Nemôžete vyplniť toto pole
Domov / Blog / Biometria a GDPR: Čo potrebujete vedieť

Biometria a GDPR: Čo potrebujete vedieť

Biometrické technológie sú dnes bežnou súčasťou moderných služieb. Odomykanie mobilu odtlačkom prsta, vstup do budovy cez rozpoznanie tváre, prihlasovanie hlasom, overenie identity cez dúhovku. Pre používateľa je to pohodlné a rýchle. Pre organizácie lákavé, lebo biometria znižuje riziko zdieľania hesiel, zjednodušuje prístupové procesy a často zvyšuje bezpečnosť.

Z pohľadu GDPR, je však biometria jedna z najcitlivejších oblastí. Dôvod je jednoduchý. Heslo viete zmeniť. Odtlačok prsta alebo tvár nie. Ak dôjde k úniku alebo zneužitiu biometrických údajov, dopady môžu byť dlhodobé a prakticky nevratné. Preto GDPR biometrické údaje zaraďuje medzi osobitné kategórie osobných údajov a kladie na ich spracúvanie prísne podmienky.

V tomto článku sa na biometriu pozrieme prakticky. Čo presne sú biometrické údaje, kedy ide o spracúvanie podľa GDPR, aké právne základy prichádzajú do úvahy, čo musíte splniť pri nasadení biometrie v praxi, a na čo si dať pozor, aby ste minimalizovali právne aj bezpečnostné riziká.

Čo je biometria a kedy ide o „biometrické údaje“ podľa GDPR

GDPR definuje biometrické údaje ako osobné údaje získané osobitným technickým spracúvaním, ktoré sa týkajú fyzických, fyziologických alebo behaviorálnych charakteristík fyzickej osoby a ktoré umožňujú alebo potvrdzujú jej jedinečnú identifikáciu.

Z praktického hľadiska sú typické príklady:

  • odtlačok prsta,
  • rozpoznanie tváre (face recognition),
  • hlasová biometria,
  • sken dúhovky alebo sietnice,
  • geometria dlane,
  • dynamika podpisu, rytmus písania a iné behaviorálne znaky.

Dôležitá nuance: nie každé spracúvanie „obrazu tváre“ automaticky znamená spracúvanie biometrických údajov ako osobitnej kategórie. Rozdiel je v tom, či ide o technické spracúvanie na účel jedinečnej identifikácie alebo autentifikácie.

Príklad:

  • Kamera na recepcii, ktorá len nahráva priestor, spracúva osobné údaje (videozáznam), ale nemusí spracúvať biometrické údaje v zmysle osobitnej kategórie, ak sa nerobí biometrická identifikácia.
  • Systém, ktorý z tváre vytvorí biometrickú šablónu a porovnáva ju s databázou kvô

Prečo sú biometrické údaje podľa GDPR „osobitná kategória“

GDPR osobitné kategórie osobných údajov chráni prísnejšie, lebo ich zneužitie môže mať vážne dopady na práva a slobody jednotlivcov. Biometria je citlivá preto, že:

  • je ťažko zmeniteľná alebo nezmeniteľná,
  • môže umožňovať skryté sledovanie alebo profilovanie,
  • pri úniku môže byť zneužiteľná naprieč systémami,
  • často sa spracúva v kontexte asymetrie moci (zamestnanec vs. zamestnávateľ).

Výsledok: všeobecné pravidlo je, že spracúvanie osobitných kategórií je zakázané, pokiaľ nespadnete do niektorej z výnimiek podľa článku 9 GDPR.

Kedy je spracúvanie biometrie povolené (právny základ a výnimky)

Pri biometrických údajoch si musíte vyriešiť dve vrstvy:

  1. právny základ podľa článku 6 GDPR (napr. súhlas, zákonná povinnosť, oprávnený záujem, zmluva),
  2. výnimku zo zákazu spracúvania osobitnej kategórie podľa článku 9 GDPR (napr. výslovný súhlas, pracovné právo, verejný záujem).

V praxi sú najčastejšie relevantné tieto možnosti:

1) Výslovný informovaný súhlas (najčastejšie spomínaný, ale nie vždy vhodný)

Spracúvanie biometrických údajov môže byť dovolené, ak máte výslovný súhlas dotknutej osoby. Nestačí „implicitný“ súhlas ani všeobecné zaškrtnutie niekde v podmienkach. Súhlas musí byť:

  • slobodný (bez nátlaku a bez negatívnych následkov pri odmietnutí),
  • konkrétny a informovaný,
  • jednoznačný,
  • výslovný (explicitný).

Pozor na prostredie zamestnania: v pracovnoprávnych vzťahoch býva sloboda súhlasu často spochybniteľná, lebo zamestnanec je v podriadenej pozícii. Ak nemá reálnu alternatívu, súhlas môže byť považovaný za neplatný.

2) Zákonné povinnosti, verejný záujem, životne dôležité záujmy, obrana právnych nárokov

GDPR umožňuje spracúvať biometriu aj bez súhlasu napríklad vtedy, keď je to potrebné:

  • na splnenie povinností a výkon osobitných práv v oblasti pracovného práva a sociálneho zabezpečenia, ak to umožňuje právo EÚ alebo členského štátu,
  • z dôvodov podstatného verejného záujmu, opäť na základe práva,
  • na ochranu životne dôležitých záujmov (skôr výnimočné scenáre),
  • na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

V bežnom komerčnom prostredí (napr. „chceme vstup do kancelárie na tvár, lebo je to pohodlnejšie“) sa často ukáže, že bez súhlasu to právne neustojíte.

3) „Oprávnený záujem“ ako argument? Pri biometrických údajoch veľmi opatrne

Oprávnený záujem podľa článku 6 je častý právny základ pri kamerových systémoch alebo bezpečnosti. Pri biometrických údajoch však narážate na článok 9. Teda aj keby ste si odôvodnili oprávnený záujem, stále potrebujete výnimku pre osobitnú kategóriu. V praxi to znamená, že oprávnený záujem sám o sebe biometrické spracúvanie „neodblokuje“.

Najdôležitejšie zásady, ktoré musíte dodržať

Ak biometriu zavádzate, nestačí mať papierový súhlas a hotovo. GDPR stojí na zásadách. Pri biometrických údajoch sú kritické najmä tieto:

Transparentnosť a informovanie

Dotknutá osoba musí jasne vedieť:

  • kto jej údaje spracúva (prevádzkovateľ, prípadne sprostredkovateľ),
  • na aký účel (vstup, autentifikácia, dochádzka),
  • aké údaje sa spracúvajú (napr. biometrická šablóna, nie „odtlačok“ ako obrázok),
  • ako dlho,
  • komu sa poskytujú,
  • aké má práva a ako ich uplatní,
  • či ide o povinné alebo dobrovoľné spracúvanie a aké sú dôsledky odmietnutia.

Odporúčanie z praxe: informovanie píšte zrozumiteľne, nie právnickým jazykom. Biometria vyvoláva otázky a odpor. Dobrá komunikácia znižuje konflikty aj riziko sťažností.

Minimalizácia údajov a nevyhnutnosť

Pýtajte sa: naozaj potrebujeme biometriu?

  • Ak cieľom je len komfortné prihlásenie do zákazníckej zóny, často existujú menej invazívne možnosti (2FA, aplikácia, bezpečnostný kľúč).
  • Ak ide o dochádzku, biometria je často „overkill“, ak viete zabezpečiť dochádzku čipom a kontrolnými procesmi.

Ak biometria nie je nevyhnutná, ťažko sa obhajuje jej primeranosť. A to je slabé miesto pri kontrolách aj sporoch.

Bezpečnosť spracúvania

Pri biometrických údajoch bezpečnosť nie je len IT téma, ale GDPR povinnosť. Očakáva sa vysoký štandard, napríklad:

  • šifrovanie pri prenose aj v úložisku,
  • prísne riadenie prístupov (need-to-know),
  • auditné logy a pravidelné kontroly,
  • segmentácia systémov, minimalizácia integrácií,
  • bezpečné spravovanie kľúčov,
  • pravidelné testovanie a aktualizácie,
  • procesy pre incidenty a porušenia ochrany osobných údajov.

Dôležité je tiež, aby ste vedeli preukázať, že bezpečnostné opatrenia máte nastavené primerane riziku.

server

Uchovávanie a vymazávanie

Nastavte jasné lehoty uchovávania. Typicky:

  • ak osoba odvolá súhlas, biometrické údaje musia ísť preč,
  • ak skončí pracovný pomer alebo zmluvný vzťah, v primeranej lehote vymazať,
  • nevytvárať „archívy“ biometrických šablón „pre istotu“.

Práva dotknutých osôb

Musíte umožniť a procesne zvládnuť práva ako:

  • prístup k údajom,
  • oprava (pri biometrických šablónach je oprava špecifická, skôr nové nasnímanie a výmena šablóny),
  • výmaz,
  • obmedzenie spracúvania,
  • prenosnosť (ak je relevantná),
  • námietka (pri určitých právnych základoch),
  • odvolanie súhlasu (ak je právnym základom súhlas).

Praktická rada: dopredu si pripravte interný postup, kto žiadosť prijíma, kto ju vyhodnocuje, kto komunikuje odpoveď a v akej lehote.

DPIA: Posúdenie vplyvu na ochranu osobných údajov (pri biometrii takmer vždy)

Pri biometrických systémoch je spravidla vysoké riziko pre práva a slobody dotknutých osôb. Preto je v praxi bežné, že potrebujete urobiť DPIA (Data Protection Impact Assessment), teda posúdenie vplyvu na ochranu osobných údajov.

DPIA nie je formalita. Má vám odpovedať na otázky:

  • aké riziká biometria prináša (zneužitie, únik, neoprávnená identifikácia, diskriminácia),
  • ako ste vyhodnotili nevyhnutnosť a primeranosť,
  • aké opatrenia riziká znižujú (technické aj organizačné),
  • aké zostatkové riziko zostáva a či je prijateľné.

Ak DPIA ukáže vysoké riziko, ktoré neviete primerane znížiť, môže prísť na rad aj konzultácia s dozorným orgánom.

Súhlas a alternatíva: „Buď biometria, alebo nič“ je typický problém

Jedna z najčastejších chýb, ktoré vídam v praxi, je nasadenie biometrie bez reálnej alternatívy. Napríklad:

  • vstup do budovy iba odtlačkom prsta,
  • dochádzka iba tvárou,
  • zákaznícky účet iba cez biometrické prihlásenie.

Ak je právnym základom súhlas, musí byť reálne dobrovoľný. To v praxi znamená ponúknuť alternatívu, napríklad:

  • čipová karta alebo PIN,
  • mobilná aplikácia s 2FA,
  • jednorazové kódy,
  • fyzický bezpečnostný kľúč.

Alternatíva má byť rovnocenná. Nie „môžete odmietnuť biometriu, ale potom budete čakať každý deň 20 minút na recepcii“.

Cookies vs. biometria: prečo to ľudia často hádžu do jedného vreca

Na weboch ste zvyknutí na cookies bannery, ktoré sa používajú na:

  • komfortné prehliadanie (funkčné cookies),
  • analýzu návštevnosti,
  • zlepšovanie webu a marketing.

Cookies a biometria sú rozdielne kategórie, no majú spoločné menovatele: transparentnosť, voľba, minimalizácia, bezpečnosť a dôvera.

Ak napríklad ponúkate prihlásenie do účtu cez rozpoznanie tváre v mobilnej aplikácii, používateľ bude citlivejší na to, ako komunikujete aj ďalšie spracúvania, vrátane analytiky. V praxi teda platí: keď chcete od ľudí biometriu, musíte mať mimoriadne dobre upratané aj ostatné oblasti súkromia.

Dokumentácia a zodpovednosť: musíte vedieť preukázať, že ste to urobili správne

GDPR nie je len o tom, čo robíte, ale aj o tom, čo viete preukázať. Pri biometrii odporúčam mať minimálne:

  • záznamy o spracovateľských činnostiach (účely, kategórie údajov, lehoty, príjemcovia),
  • DPIA,
  • interné smernice a postupy (prístupy, incidenty, žiadosti dotknutých osôb),
  • zmluvy so sprostredkovateľmi (dodávateľ biometrického systému, cloud),
  • školenia a záznamy o školeniach (najmä bezpečnosť a práca s citlivými údajmi),
  • texty informovania a vzory súhlasov, ak ich používate.

Čo vám hrozí pri nesúlade

Pri spracúvaní biometrických údajov sú riziká dvojité: regulačné a reputačné.

  • GDPR umožňuje uložiť pokutu až do 20 miliónov eur alebo 4 % celosvetového ročného obratu (podľa toho, čo je vyššie), v závislosti od porušenia.
  • Sťažnosti dotknutých osôb sa pri biometrii podávajú častejšie, lebo ide o „viditeľne citlivú“ tému.
  • Únik biometrických údajov je incident, ktorý môže mať vážne dopady na dôveru, médiá a obchodné vzťahy.

Z praxe: aj keď pokuta nemusí byť maximálna, náklady na riešenie incidentu, právne služby, PR a interné opatrenia bývajú výrazné.

Praktické odporúčania pri zavádzaní biometrie (checklist)

Ak chcete biometriu zaviesť rozumne a GDPR-kompatibilne, držte sa týchto krokov:

  1. Ujasnite si účel a overte, či existuje menej invazívna alternatíva.
  2. Vyberte právny základ a výnimku pre osobitnú kategóriu. Ak idete cez súhlas, pripravte ho ako výslovný a informovaný.
  3. Ponúknite alternatívu k biometrickému overeniu, najmä v zamestnaneckých scenároch.
  4. Urobte DPIA a reálne vyhodnoťte riziká.
  5. Minimalizujte údaje. V ideálnom prípade pracujte s biometrickou šablónou, nie s „raw“ obrazmi, a ukladajte len to, čo potrebujete.
  6. Nastavte bezpečnosť: šifrovanie, prístupy, audit, incident management.
  7. Nastavte lehoty uchovávania a automatizované mazanie, kde sa dá.
  8. Pripravte informovanie pre dotknuté osoby jasne a zrozumiteľne.
  9. Zabezpečte práva dotknutých osôb praktickým procesom, nielen textom v politike.
  10. Školte zamestnancov a udržiavajte dokumentáciu aktuálnu.

Záver: biometria je silný nástroj, ale s vysokou zodpovednosťou

Biometria môže byť pre používateľov aj organizácie prínosná. Zároveň je to spracúvanie, pri ktorom GDPR očakáva najvyššiu mieru disciplíny. Ak to zhrniem ako poradca pre GDPR, ktorý rieši tieto nastavenia v praxi: najčastejšie problémy nevznikajú zo zlého úmyslu, ale z pohodlnosti. „Dáme to tak, lebo je to moderné.“ Pri biometrii to nefunguje.

Ak chcete biometrické technológie používať bezpečne a zákonne, postavte to na troch pilieroch: dobrý právny základ, reálna alternatíva pre ľudí, silné technické a organizačné opatrenia. A k tomu kvalitná dokumentácia, vrátane DPIA.

Takto biometria prestane byť rizikom a stane sa kontrolovaným nástrojom, ktorý obstojí aj pri kontrole a hlavne v očiach vašich používateľov a zamestnancov.

Často kladené otázky

Čo sú biometrické údaje podľa GDPR?

Biometrické údaje podľa GDPR sú osobné údaje získané osobitným technickým spracúvaním, ktoré sa týkajú fyzických, fyziologických alebo behaviorálnych charakteristík fyzickej osoby a umožňujú alebo potvrdzujú jej jedinečnú identifikáciu. Príklady zahŕňajú odtlačky prstov, rozpoznanie tváre, hlasovú biometriu či sken dúhovky.

Prečo GDPR považuje biometrické údaje za osobitnú kategóriu osobných údajov?

GDPR zaraďuje biometrické údaje medzi osobitné kategórie, pretože ich zneužitie môže mať vážne dopady na práva a slobody jednotlivcov. Biometria je ťažko zmeniteľná, môže umožňovať skryté sledovanie alebo profilovanie a pri úniku dát môže byť zneužiteľná naprieč rôznymi systémami.

Kedy sa spracúvanie biometrických údajov považuje za spracúvanie podľa GDPR?

Spracúvanie biometrických údajov podľa GDPR nastáva vtedy, keď dochádza k technickému spracovaniu fyzických, fyziologických alebo behaviorálnych charakteristík osoby na účel jej jedinečnej identifikácie alebo autentifikácie. Napríklad systém rozpoznania tváre, ktorý vytvára biometrickú šablónu a porovnáva ju s databázou.

Aké právne základy musia byť splnené pre legálne spracovanie biometrických údajov?

Pre legálne spracovanie biometrických údajov musíte zabezpečiť dve vrstvy právnych základov: (1) právny základ podľa článku 6 GDPR, napríklad súhlas dotknutej osoby alebo zákonná povinnosť; (2) výnimku zo zákazu spracúvania osobitných kategórií podľa článku 9 GDPR, ktoré umožňujú spracovanie biometrie za určitých podmienok.

Ako môžu organizácie minimalizovať riziká spojené so spracovaním biometrických údajov?

Organizácie by mali dôkladne posúdiť právne základy spracovania biometrie, zabezpečiť transparentnosť voči používateľom, implementovať silné bezpečnostné opatrenia na ochranu údajov a obmedziť prístup len na nevyhnutné osoby. Tiež je dôležité pravidelne monitorovať dodržiavanie pravidiel GDPR a pripraviť plán reakcie na prípadný únik dát.

Je každé zaznamenávanie obrazu tváre automaticky považované za spracovanie biometrických údajov?

Nie, nie každé zaznamenávanie obrazu tváre znamená spracovanie biometrických údajov podľa GDPR. Rozdiel spočíva v tom, či sa obraz technicky spracúva na účel jedinečnej identifikácie alebo autentifikácie osoby. Napríklad kamera na recepcii nahrávajúca priestor nemusí automaticky spracúvať biometrické údaje.

Predchádzajúci článok Ďalší článok

Čo potrebujete nájsť?