Dynamický biometrický podpis nově vždy jako zvláštní kategorie osobních údajů
Úřad pro ochranu osobních údajů („Úřad“) mění svůj přístup ke zpracování biometrického dynamického podpisu připojeného ke konkrétnímu dokumentu v rámci běžné smluvní agendy, kdy nedochází k verifikaci či porovnávání podpisu dle referenčního vzoru.
I tento (v praxi nejběžnější) způsob zpracování bude Úřad nově považovat za zpracování zvláštních kategorií osobních údajů, pro které bude vyžadován výslovný souhlas subjektu údajů.
Využívání dynamického biometrického podpisu
Využívání dynamického biometrického podpisu („DBP“), tj. nahrazení tradičního podepisování se na papír za podepisování se na speciální zařízení (tablet nebo signpad) pro snímání podpisu, není zejména v soukromé sféře žádnou novinkou. Biometrické autentizační technologie jsou na vzestupu a jsou stále dostupnější jak z technického, tak finančního hlediska. Přestože DBP byl a stále je tématem právních diskusí, praktické zavádění DBP se v České republice doposud nesetkalo s žádnými významnými problémy. DBP je tzv. prostým elektronickým podpisem (podpisem bez přívlastku) dle definice čl. 3 bodu 10 nařízení eIDAS[1], který byl v České republice prostřednictvím § 7 zákona č. 297/2016 Sb. aprobován jako platný typ podpisu v rámci soukromoprávního jednání.
DBP vzniká tak, že je snímán vlastnoruční podpis s využitím speciálního zařízení (signpadu) zaznamenávajícího data, která umožní analyzovat vlastnosti podpisu spojeného s typickým chováním podepisující se osoby (čas, tlak, velikost, zrychlení apod.). V souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 („GDPR“) se bezpochyby jedná o osobní údaj, tj. informaci o identifikované nebo identifikovatelné fyzické osobě. Informace, které jsou prostřednictvím DBP snímány, totiž představují biometrickou stopu, která je unikátní pro každou fyzickou osobu, a nemohou být reprodukovány. Biometrickými údaji se podle GDPR rozumí „osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje“.
Dosavadní postoj Úřadu
Úřad k variantám využití biometrických údajů z pohledu zpracování osobních údajů vydal v roce 2014 výkladové stanovisko č. 2/2014.[2] V tomto stanovisku Úřad uvedl, že v případě snímání DBP dochází automaticky ke zpracování citlivých údajů (v souladu s terminologií GDPR zvláštních kategorií osobních údajů). Dynamické prvky jsou speciální technologií cíleně vygenerovány a zachyceny jako přidaná hodnota k samotnému grafickému znázornění podpisu, takže grafické znázornění a biometrické údaje existují vedle sebe a v této podobě jsou s nimi prováděny i následné operace. Toto své stanovisko později Úřad při komunikací s odbornou veřejností[3] upřesnil tak, že v případě, kdy by byl DBP zpracováván nikoli primárně za účelem získání biometrických údajů, ale klasickým způsobem jako běžný písemný podpis, nejednalo by se o zpracování citlivého osobního údaje. Pokud by tedy bylo s DBP nakládáno stejným způsobem jako s podpisem „na papír“, jednalo by se pouze o jiný prostředek podpisu, tj. subjekt údajů by učinil podpis na elektronickém zařízení, které podpis uloží, nikoli na klasickém papírovém dokumentu. V praxi většina subjektů zabezpečuje podpisy tak, že biometrická data opustí snímací zařízení pouze v zašifrovaném tvaru způsobem, který neumožňuje zpětnou rekonstrukci jejich biometrických charakteristik, a podpis je připojen k podepisovanému dokumentu takovým způsobem, aby byla zajištěna jeho integrita (ochrana proti jakékoli změně).
Kontrolní zjištění a posun v kvalifikaci dynamického biometrického podpisu
V souvislosti s účinností GDPR a zařazením biometrických údajů mezi zvláštní kategorie osobních údajů Úřad uveřejnil zprávu o změně v hodnocení úrovně právní ochrany biometrických údajů.[4] Úřad naznačil, že do budoucna nebude rozlišovat mezi výše uvedenými různými variantami technických řešení využívání biometrických údajů. Dle Úřadu by měl být jakýkoliv systém, který shromažďuje biometrická data za účelem identifikace konkrétních osob, považován za systém zpracovávající zvláštní kategorii osobních údajů. Úřad se v tomto ohledu rozchází se známým názorem odborné veřejnosti, který považuje biometrická data v DBP za data nesloužící k identifikaci podepisující osoby, a dochází tak k závěru, že na ně nelze použít aktuální přístup Úřadu.[5]
I přes skutečnost, že formálně ze strany Úřadu nedošlo k nahrazení výše zmíněného stanoviska č. 2/2014 stanoviskem novým, Úřad v rámci nedávné kontroly společnosti BNP Paribas Personal Finance SA[6] potvrdil, že ke zpracování biometrických údajů v momentě uzavírání smlouvy je potřeba výslovný souhlas subjektu údajů dle článku 9 odst. 2 písm. a) GDPR. Dle názoru Úřadu nepřichází jiný právní základ dle uvedeného článku 9 GDPR pro tyto účely v úvahu. Konkrétně v kontextu DBP se jedná nejen o případy, kdy dochází k vytvoření referenčního vzoru podpisu (zde se postoj Úřadu nezměnil), ale i pro případy užití DBP pouze v rámci podpisu jednotlivých elektronických dokumentů v zašifrovaném tvaru, což představuje značný posun v přístupu Úřadu k této problematice.
Vedle výše uvedeného posunu vnímání DBP Úřad v rámci kontroly rovněž konstatoval, že u některých subjektů (typicky se bude jednat o banky, pojišťovny apod.) není zpracování DBP za účelem „zjednodušení identifikace klienta“ v souladu s předpisy pro ochranu osobních údajů. Tyto subjekty dle Úřadu zpracovávají o svých klientech takové množství osobních údajů, že zpracování DBP porušuje zásadu minimalizace osobních údajů, jelikož pro tento účel není zpracování DBP nezbytné a ani výslovný souhlas subjektu údajů nezbavuje správce povinnosti postupovat v souladu se zásadami zpracování osobních údajů. Využití biometrických charakteristik podpisu je pak dle Úřadu na místě pouze pro případ zpochybnění pravosti podpisu smlouvy.
[1] Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
[2] Stanovisko č. 2/2014 – Dynamický biometrický podpis z pohledu zákona o ochraně osobních údajů: Úřad pro ochranu osobních údajů. Dostupné z: https:// www.uoou.cz/stanovisko-c-2-2014-dynamicky-biometricky-podpis-z-pohledu-zakona-o-ochrane-osobnich-udaju/d-11298.
[3] Zejména opakovaná komunikace naší kanceláře s Úřadem v rámci klientských zadání.
[4] Změna v hodnocení úrovně právní ochrany biometrických údajů: Úřad pro ochranu osobních údajů. Dostupné z: https://www.uoou.cz/zmena-v-hodnoceniurovne-pravni-ochrany-biometrickych-udaju/d-23850.
[5] Názor obsažen např. v SMEJKAL, Vladimír. Dynamický biometrický podpis a nařízení GDPR. Revue pro právo a technologie. [Online]. 2017, č. 16, s. 89-112. [cit. 2019-04-16]. Dostupné z: https://journals.muni.cz/revue/article/view/8282.
[6] Kontrola zpracování osobních údajů klientů při tzv. nákupu na splátky (BNP Paribas Personal Finance SA, odštěpný závod): Úřad pro ochranu osobních údajů. Dostupné z: https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=5394&n=kontrola-zpracovani-osobnich-udaju-klientu-pri-tzvnakupu-na-splatky-bnp-paribas-personal-finance-sa-odstepny-zavod.
Další články
Participační práva dětí, aneb „ty nevíš, co je pro tebe dobré“ podruhé
Rozsudek Nejvyššího správního soudu z prosince 2025 vyjasňuje limity participačních práv dětí v opatrovnických řízeních. Zdůrazňuje, že smyslem pohovoru není dítě přesvědčovat, ale citlivě porozumět jeho názoru a respektovat jeho prožívání.
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
