z právní praxe údajů měli informace o postupu, který nebude v rozporu s obecným nařízením. V návaznosti na výsledky kontrol ÚOOÚ zveřejní aktuální stanovisko k biometrickým údajům.“ Avizované „aktuální stanovisko“ ÚOOÚ k  biometrickým údajům však dosud, ani po více než roce nebylo vydáno. Jelikož jsme nezaznamenali ani jakýkoli publikovaný kontrolní závěr ÚOOÚ, není zcela zřejmé, jak aktuálně ÚOOÚ přístupové systémy zahrnující čtečku otisků prstů posuzuje. ÚOOÚ mimo jiné na svých stránkách v jiné souvislosti uvedl, že není jasný výklad ustanovení čl. 9 GDPR a  to, „zda bude za zpracování biometrických údajů považováno i  vstupní použití otisků prstů, aniž by docházelo k  jejich uchovávání v  databázi správce, či zda bude takový postup po posouzení vlivu na ochranu osobních údajů považován při dodržení stanovených záruk za přípustný, není zatím zřejmé. Mělo by to být předmětem jednotného celoevropského přístupu k  této problematice, o  kterém bude Úřad informovat.“ Jelikož tato informace je na stránkách ÚOOÚ publikována s datem poslední úpravy 29.  1.  2018, je patrné, že v  době od zveřejnění „upozornění na změnu“ v  červnu 2017 došlo k  posunu v  hodnocení ÚOOÚ. Taktéž v případě Pracovní skupiny WP 29 si nejsme vědomi jakéhokoli relevantního stanoviska k  této problematice, vydaného na základě GDPR; předchozí stanovisko WP 29 č. 3/2012 k  vývoji biometrických technologií bylo přijato 27. dubna 2012, tedy ještě před nabytím platnosti GDPR.

Relevantní právní úprava GDPR v čl. 6 odst. 1 písm. f) stanoví, že zpracování osobních údajů je zákonné v rozsahu, v jakém „je nezbytné pro účely oprávněných zájmů příslušného správce, či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě“. Pro zpracování zvláštních kategorií osobních údajů pak GDPR stanoví přísnější podmínky, když v  čl. 9 odst. 1 obecně zakazuje zpracování takovýchto osobních údajů. Jde o zákaz vztahující se na údaje, „které vypovídají o  rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v  odborech, a  zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a  údajů o  zdravotním stavu či

o  sexuálním životě nebo sexuální orientaci fyzické osoby“. V  případě otisků prstů by se mohlo z uvedeného výčtu jednat o biometrické údaje, ty jsou v čl. 4 bod 14 GDPR vymezeny jako „osobní údaje vyplývající z  konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje“. GDPR v čl. 9 odst. 4 stanoví členským státům možnost „zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu“. Nejsme si však vědomi, že by v aktuálně platných a účinných právních předpisech byla obsažena obdobná podmínka relevantní pro popsaný případ. Obdobně též v aktuální verzi návrhu zákona o  zpracování osobních údajů (t.č. projednávaného Poslaneckou sněmovnou Parlamentu ČR) není dle našich informací takováto podmínka obsažena. Vymezení citlivého údaje v zákoně č. 101/2000 Sb. o  ochraně osobních údajů a  o  změně některých zákonů, ve znění pozdějších předpisů („ZOOÚ“), již dle našeho hodnocení není účinné. Dle tohoto vymezení obsaženého v  § 4 ZOOÚ „citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů“.

Závěry V  případě přístupových systémů popsaných výše ad A, tedy systémů posuzujících pouze, zda daná osoba patří do množiny osob s  povoleným přístupem do určitých prostor, se dle našeho názoru nejedná o  zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby a  nejde tedy o  zpracování zvláštních kategorií osobních údajů. Jelikož takovéto přístupové systémy neumožňují ani identifkovat konkrétní fyzickou osobu, nejedná se dle našeho právního hodnocení ani o zpracování osobních údajů. Máme tedy za to, že takovéto přístupové systémy je možné i  nadále používat, aniž by zaměstnavatelé museli přijímat dodatečná opatření.

stanovil jako pojmový znak citlivého údaje skutečnost, že tento údaj „umožňuje přímou identifikaci nebo autentizaci subjektu údajů“, dle GDPR patří mezi zvláštní kategorie osobních údajů biometrické údaje, které jsou zpracovávány „za účelem jedinečné identifikace fyzické osoby“. Přitom však GDPR definuje biometrické údaje jako „osobní údaje vyplývající z  konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci“ a  jako příklad uvádí „zobrazení obličeje nebo daktyloskopické údaje“. Lze tedy uzavřít, že GDPR zakazuje pouze takovéto zpracování osobních údajů, tedy zpracování biometrických údajů, které umožňuje nebo potvrzuje jedinečnou identifikaci fyzické osoby. Tím se dle našeho právního hodnocení GDPR ve výsledku příliš neliší od formulace právní úpravy obsažené v  ZOOÚ. Pokud bylo dle ZOOÚ dovozováno, že otisk prstu, poté, co je převeden na číselný přepočet, nepředstavuje zpracování biometrických údajů, mělo by dle našeho právního hodnocení totéž obdobně platit i v režimu GDPR. O  tom, že ani ÚOOÚ nedospěl v  této věci k  finálnímu závěru, svědčí i  výše citovaný názor na právní důvody zpracování. Obdobně lze dle našeho hodnocení říci totéž také o  Evropském sboru pro ochranu osobních údajů (EDPB). Skutečnost, že ÚOOÚ zveřejnil před více než rokem upozornění na změnu hodnocení a avizoval následné zveřejnění aktuálního stanoviska, přesto tak dosud neučinil, považujeme za dosti nešťastnou pro adresáty této právní normy a pro jejich právní jistotu. Tuto skutečnost však přičítáme tomu, že v  dané věci probíhají i  na mezinárodní úrovni diskuse a  věříme, že finální názor zohlední legitimní očekávání a  praktické potřeby jak subjektů údajů, tak rovněž správců. Podle našich zkušeností se nejedná o jediný případ v rámci výkladu právní úpravy GDPR, v němž stále přetrvávají nejasnosti. V  budoucnu se hodláme některým těmto tématům na tomto místě dále věnovat. 

•

JUDr. Miroslav Uřičař Mgr. Alexandr Liolias LEGALITÉ advokátní kancelář s.r.o.

U  přístupových systémů ad B, tedy systémů identifikujících pro evidenci docházky zaměstnanců konkrétního zaměstnance a délku jeho pobytu na pracovišti, je otázkou, jakou roli hraje rozdíl mezi právní úpravou ZOOÚ a  úpravou GDPR. Zatímco ZOOÚ www.epravo.cz | EPRAVO.CZ Magazine | 4/2018

85