Spracúvanie biometrických údajov z pohľadu GDPR
Využívanie technológie na identifikáciu osôb v rámci systémov bezpečnosti v súčasnosti napreduje rýchlym tempom. Čoraz častejšie sa pritom v tejto súvislosti využíva technické spracúvanie osobných údajov, a to najmä biometrických údajov osôb ako ich jedinečnej identifikácie. Môže ísť napríklad o kontrolovanie vstupov do vymedzených priestorov, autentifikáciu s cieľom zabezpečenia vysokej úrovne ochrany, či rozvoj v oblasti služieb smerujúci k ich zjednodušeniu a spríjemneniu[1].
Vzhľadom na tento pokračujúci trend sme sa preto rozhodli priblížiť Vám v akých prípadoch a za akých podmienok je spracúvanie biometrických údajov možné z hľadiska ochrany osobných údajov.
Podľa GDPR[2] sú biometrickými údajmi všetky „osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje“. Ide teda o nezameniteľné údaje slúžiace na identifikáciu konkrétnej osoby, ktoré nie je možné zmeniť. To im priznáva citlivý charakter.
Na to, aby sa akýkoľvek údaj považoval za biometrický, musia byť teda splnené dve podmienky. Tou prvou je, že pôjde o údaj biologických vlastností, fyziologických znakov alebo čŕt alebo behaviorálnych znakov alebo čŕt špecifických pre konkrétnu osobu. Druhou podmienkou je merateľnosť biometrického údaju. To znamená, že údaj musí byť možné „zmerať“ v zmysle zaznamenať spôsobom jedinečne určujúcim konkrétnu fyzickú osobu, v opačnom prípade nemôže ísť o biometrický údaj.
Spracúvanie biometrických údajov v zmysle GDPR musí byť „výsledkom osobitného technického spracúvania“. Napríklad kamerový alebo hlasový záznam sám osebe nepredstavuje biometrický údaj, pretože nejde o výsledok špecifického technického procesu, za účelom identifikácie osoby na základe jej jedinečných vlastností. Jedná sa len o vyhotovovanie záznamov bez toho, aby dochádzalo ku technickému spracúvaniu zaznamenávaných údajov. Osobitným technickým spracúvaním je možné rozumieť využitie technologického postupu nad rámec bežného premietnutia zvuku a obrazu, napr. počítačového programu schopného analyzovať dáta z vyhotovených záznamov. Ak kamerové alebo hlasové záznamy budú podliehať inteligentnej technologickej analýze, ktorej výsledkom bude rozpoznanie údajov, ktorými sú biologické, fyziologické alebo behaviorálne znaky alebo črty konkrétnych osôb na zázname a zároveň sa takáto technológia použije za účelom jednoznačnej identifikácie fyzickej osoby, pôjde o spracúvanie biometrických údajov podľa GDPR.
S ohľadom na citlivú povahu biometrických údajov je ich spracúvanie prísne regulované a podľa GDPR je možné len ak bola splnená aspoň jedna z nasledujúcich podmienok:
- dotknutá osoba udelila výslovný súhlas na spracúvanie týchto údajov;
- spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom členského štátu;
- spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;
- spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním pod podmienkou, že takto spracúvané údaje sa týkajú iba členov takéhoto subjektu;
- spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila;
- osobitné kategórie osobných údajov sú spracúvane pri výkone súdnej právomoci;
- spracúvanie je nevyhnutné z dôvodov významného verejného záujmu;
- spracúvanie je nevyhnutné na účely lekárstva a iných vybraných činností[3];
- spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia; alebo
- spracúvanie je nevyhnutné na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu či na štatistické účely podľa práva členského štátu.
V podnikateľskom prostredí dochádza k spracúvaniu biometrických údajov zvyčajne na základe výslovného súhlasu dotknutej osoby. Tak>>> tu).
Hoci sú podmienky spracúvania biometrických údajov určené v GDPR pomerne stroho, Európsky výbor pre ochranu údajov (ang. European Data Protection Board; ďalej len „EDPB“) poskytuje v tejto súvislosti pomerne extenzívny a detailný výklad. Do právomoci EDPB okrem iného patrí aj vydávanie všeobecných usmernení pre objasnenie európskych právnych predpisov v oblasti ochrany osobných údajov, poskytovanie ich jednotného výkladu či prijímanie záväzných rozhodnutí voči dozorným úradom členských štátov pre zabezpečenie konzistentného uplatňovania predpisov o ochrane osobných údajov.
Podľa názoru EDPB[4] napríklad platí, že prevádzkovateľ nesmie podmieniť prístup k svojim službám akceptáciou spracúvania biometrických údajov. Dotknutej osobe musí ponúknuť aj alternatívne riešenie spracúvania osobných údajov, a to bez obmedzení alebo dodatočných nákladov. EDPB ďalej odporúča prevádzkovateľom spracúvajúcim biometrické údaje prijať špecifické opatrenia za účelom minimalizácie rizík[5] takéhoto spracúvania osobných údajov. Medzi tieto špecifické opatrenia patria napríklad:
- uloženie šablón[6] na individuálnom zariadení, ktoré je vo výlučnom dosahu používateľa (t.j. dotknutej osoby), ako napr. smartfón, občiansky preukaz a pod. alebo v centralizovanej databáze, zašifrované prostredníctvom kľúča, ktorý je výlučne v dispozícii prevádzkovateľa;
- zašifrovanie šablón pomocou kryptografického algoritmu;
- rozčlenenie údajov počas prenosu a uchovávania;
- ukladanie biometrických šablón a nespracovaných údajov alebo údajov o identite v rôznych databázach (t.j. nekumulovať ich);
- zavedenie organizačných a technických opatrení na zistenie podvodu; alebo
- zákaz akéhokoľvek externého prístupu k biometrickým údajom.
Okrem vyššie uvedených odporúčaní spracúvania podľa EDPB, ktoré sú špecifické pre biometrické údaje, je pri spracúvaní biometrických údajov stále potrebné dodržiavať aj všeobecné zásady spracúvania osobných údajov podľa GDPR, ktorými sú najmä:
- splnenie podmienky zákonnosti spracúvania, tzn. že pre spracúvanie osobných údajov existuje právny základ, ktorý pripúšťa GDPR[7];
- dodržiavanie zásady transparentnosti, t.j. zrozumiteľne poskytnúť dotknutým osobám informácie o tom kto osobné údaje spracúva, akým spôsobom sú spracúvané a po akú dlhú dobu;
- obmedzenie účelu spracúvania – osobné údaje nie je možné spracúvať na iné ako vopred určené legitímne účely, ktoré sú konkrétne a o ktorých bola dotknutá osoba informovaná;
- minimalizácia spracúvania – podľa GDPR je prípustné iba spracúvanie osobných údajov v rozsahu nevyhnutnom pre dosiahnutie určeného účelu spracúvania;
- zachovávanie primeranej doby uchovávania – osobné údaje môže prevádzkovateľ uchovávať iba počas doby nevyhnutnej na dosiahnutie stanoveného účelu spracúvania a po skončení ich spracúvania na daný účel ich zlikvidovať;
- spracúvanie iba správnych osobných údajov – prevádzkovateľ zodpovedá za správnosť údajov, ktoré spracúva a v prípade zistenia ich nesprávnosti a/alebo neaktuálnosti je povinný zabezpečiť opravu, doplnenie alebo výmaz takýchto údajov;
- prijatie primeraných technických a organizačných opatrení pre zabezpečenie dostatočnej miery ochrany pomernej ku povahe spracúvaných údajov.
Jednou z najdôležitejších vecí, na ktoré by prevádzkovateľ, ktorý spracúva biometrické údaje nemal zabudnúť je povinnosť zabezpečiť výmaz nespracovaných údajov, t.j. údajov, ktoré nie sú využívané pre splnenie účelov spracúvania určených prevádzkovateľom (napr. podobizne tváre, zaznamenávanie hlasu, črty chôdze a i.). Ak neexistuje právny základ pre spracúvanie, všetky biometrické údaje musia byť bezodkladne zlikvidované.
Spracúvanie biometrických údajov v praxi môže predstavovať jeden z dôvodov pre vznik povinnosti prevádzkovateľa vypracovať posúdenie vplyvu na ochranu osobných údajov (ang . Data Protection Impact Assessment; ďalej len „DPIA“). DPIA je mechanizmom na vyhodnotenie rizík spracúvania osobných údajov, ktorého účelom je zamedziť negatívnym vplyvom na práva a právom chránené záujmy dotknutých osôb (napr. na ich právo na súkromie, právo na ochranu osobnosti, a pod.). GDPR neurčuje konkrétne náležitosti DPIA, ani výslednú formu jej spracovania, avšak je potrebné mať zaznamenané, že prevádzkovateľ takéto posúdenie vykonal a ku spracúvaniu biometrických údajov môže dôjsť až po tom, ak podľa vyhodnotenia na základe DPIA neprevažujú riziká vyplývajúce pre dotknuté osoby nad účelmi sledovanými prevádzkovateľom. Podľa názoru EDPB samotné spracúvanie biometrických údajov nepodlieha povinnosti vykonať DPIA, avšak ak ide o spracúvanie biometrických údajov za účelom individuálnej identifikácie dotknutej osoby v spojení s aspoň jedným ďalším kritériom pre vypracovanie DPIA[8] bude jej vypracovanie pre prevádzkovateľa povinnosťou.
Veríme, že náš článok Vám pomohol lepšie porozumieť problematike spracúvania biometrických údajov v podnikateľskom prostredí. Ak máte záujem o ďalšie informácie v oblasti GDPR neváhajte nás kontaktovať.
JUDr. Denisa Gallová
Advokátska kancelária RELEVANS s.r.o.
Dvořákovo nábrežie 8/A
811 02 Bratislava
Tel.: +421 2 323 54 602
e-mail: office@relevans.sk
[1] Napríklad sprístupnenie vybraných služieb, ktoré by inak mohol klient využiť iba osobne v prevádzke, na diaľku na základe jeho biometrickej autentifikácie.
[2] Nariadenie Európskeho parlamentu a Rady 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES.
[3] Podľa článku 9 GDPR medzi tieto patria činnosti na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva EÚ alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom.
[4] „Guidelines 3/2019 on processing of personal data through video devices“ prijaté 29. januára 2020.
[5] Rizikom pri spracúvaní osobných údajov môže byť najmä porušenie dôvernosti údajov, narušenie bezpečnosti či funkčnosti systémov spracúvania osobných údajov, a iné, ktoré vedú k tzv. bezpečnostným incidentom (udalostiam pri spracúvaní osobných údajov, kedy je narušená bezpečnosť spracúvania alebo ku spracúvaniu dochádza nezákonne z určitého dôvodu narušenia).
[6] Šablónou biometrického údaju sú črty takéhoto údaju zapísané v číselnej podobe, pričom tieto číselné kódy by nemalo byť možné spätne previesť na biometrický údaj. Šablóny sú vytvárané extrakciou kľúčových znakov zo „surovej formy“ biometrických údajov (napr. meraní z obrazového záznamu) s cieľom jednoznačne identifikovať osobu.
[7] Právnym základom pre spracúvanie osobných údajov môže byť: (i) súhlas dotknutej osoby; alebo (ii) plnenie zmluvy a predzmluvných povinností; alebo (iii) plnenie zákonnej povinnosti; alebo (iv) ochrana životne dôležitého záujmu dotknutej alebo inej fyzickej osoby; alebo (v) plnenie úlohy vo verejnom záujme alebo výkon verejnej moci; alebo (vi) oprávnené záujmy sledované prevádzkovateľom.
[8] Kritériami pre vypracovanie DPIA sú: (i) profilovanie a predpovedanie; (ii) automatizované rozhodovanie, ktorého výsledok má právny alebo podobne závažný účinok; (iii) systematické monitorovanie dotknutých osôb; (iv) spracúvanie citlivých údajov alebo údajov veľmi osobnej povahy; (v) spracúvanie údajov vo veľkom rozsahu; (vi) spájanie alebo kombinovanie súborov údajov; (vii) spracúvanie údajov zraniteľných dotknutých osôb; (viii) inovačné využitie alebo uplatňovanie nových technologických alebo organizačných riešení; a (ix) spracúvanie brániace dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu.
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk