Právní aspekty využívání biometrických dat v HR:

Využívání biometrických údajů, jako jsou otisky prstů či skeny obličeje, pro docházku nebo kontrolu přístupu je v českých firmách stále častější. Přináší efektivitu, ale i značná rizika podle GDPR. V tomto článku se dozvíte, jak tyto technologie používat legálně, vyhnout se pokutám a proč se nespoléhat na souhlas zaměstnance.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Petr Hanzel, LL.M.", expert na dané téma.

 

Biometrie na pracovišti: Moderní nástroj, nebo právní minové pole?

Než se pustíte do implementace jakéhokoli biometrického systému, je klíčové pochopit, proč jsou tyto údaje z pohledu práva tak specifické. Nejde jen o další osobní údaj v řadě; jejich ochrana podléhá nejpřísnějšímu režimu.

Co přesně jsou biometrické údaje?

Podle Obecného nařízení o ochraně osobních údajů (GDPR) se biometrickými údaji rozumí osobní údaje „vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje její jedinečnou identifikaci“. 

Mezi nejčastější příklady patří otisky prstů, sken oční duhovky či sítnice, rozpoznání obličeje, geometrie ruky, ale i dynamický biometrický podpis nebo analýza hlasu.

Proč jsou „zvláštní kategorií“?

To nejdůležitější, co musíte vědět: GDPR v článku 9 zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby v zásadě zakazuje. 

Jedná se o tzv. zvláštní kategorii osobních údajů (dříve „citlivé údaje“), kam patří například i údaje o zdravotním stavu nebo politických názorech. Tento výchozí zákaz znamená, že jakékoli jejich zpracování je nezákonné, pokud nespadá pod jednu z velmi úzce vymezených výjimek.

Častým omylem je domněnka, že převedením otisku prstu na digitální šablonu (tzv. hash) se povinnosti GDPR obcházejí. Není to pravda. 

Úřad pro ochranu osobních údajů (ÚOOÚ) i zavedená praxe potvrzují, že i tyto šablony jsou považovány za zvláštní kategorii osobních údajů, protože stále umožňují jedinečnou identifikaci osoby a podléhají tak stejnému přísnému režimu.

Proč je souhlas zaměstnance pastí, které se musíte vyhnout?

Mnoho zaměstnavatelů se mylně domnívá, že si mohou jednoduše nechat od zaměstnanců podepsat souhlas se zpracováním biometrických údajů a tím mají splněno. 

Opak je pravdou. Podle ÚOOÚ je tento postup v pracovněprávních vztazích prakticky vždy neplatný.

Nevíte si s daným tématem rady?

Jádro problému: Nerovné postavení stran

Základním předpokladem platného souhlasu podle GDPR je, že musí být udělen svobodně. Vztah mezi zaměstnavatelem a zaměstnancem je však z definice postaven na nerovné pozici. 

Zaměstnanec se může důvodně obávat, že odmítnutí souhlasu by pro něj mohlo mít negativní následky, i kdyby nebyly přímo vyřčeny. Z tohoto důvodu se má za to, že souhlas není skutečně svobodný.

Úřad pro ochranu osobních údajů (ÚOOÚ) opakovaně a jednoznačně konstatoval, že používání souhlasu zaměstnance pro zpracování biometrických údajů je „nepřijatelné“.

Spoléhat na tento právní titul je tedy extrémně rizikové a při kontrole téměř jistě neobstojí.

Dilema odvolatelnosti a praktické problémy

Dalším hřebíčkem do rakve souhlasu je jeho odvolatelnost. Zaměstnanec má právo svůj souhlas kdykoli odvolat. 

Pokud by tak učinil byť jen jediný zaměstnanec, musel by pro něj zaměstnavatel okamžitě zajistit plnohodnotný alternativní systém (např. karty). To zcela podkopává smysl zavedení jednotného biometrického systému a činí jej provozně neudržitelným.

MicroFAQ

• Otázka: Co když mi zaměstnanec souhlas podepíše dobrovolně a bez nátlaku?

• Odpověď: Podle ÚOOÚ a evropské praxe se i takový souhlas v pracovněprávním vztahu nepovažuje za svobodný kvůli nerovnému postavení stran. Jeho platnost je vysoce zpochybnitelná a při kontrole neobstojí. Pro posouzení vaší konkrétní situace nás kontaktujte na office@arws.cz.

• Otázka: Nemůžu si to „pojistit“ souhlasem pro jistotu, i když mám jiný důvod?

• Odpověď: Tento přístup je v rozporu se zásadou transparentnosti GDPR. Pokud existuje jiný právní důvod (např. oprávněný zájem), je vyžadování souhlasu matoucí a považuje se za nezákonné. Potřebujete právní pomoc? Kontaktujte nás na office@arws.cz.

Na koho se můžete obrátit?

Jak tedy biometrické údaje zpracovávat legálně? Klíčem je balanční test

Pokud je souhlas prakticky vyloučen, jaká cesta zbývá? Jedinou reálnou možností je opřít zpracování o právní titul tzv. oprávněného zájmu správce podle článku 6 odst. 1 písm. f GDPR. 

To ale není automatické právo. Jeho využití je podmíněno provedením a pečlivou dokumentací tzv. balančního testu.

Balanční test je v podstatě detailní analýza, kde musíte poměřit váš zájem (např. ochranu majetku) proti právům a svobodám vašich zaměstnanců.

V ARROWS máme s přípravou těchto testů pro naše klienty, mezi které patří více než 150 akciových společností a 250 s.r.o., bohaté zkušenosti a pomůžeme vám jej sestavit tak, aby obstál i při té nejpřísnější kontrole.

Jak provést balanční test: Průvodce ve 4 krocích

Podle metodiky ÚOOÚ by měl kvalitní balanční test obsahovat následující kroky:

1. Identifikace oprávněného zájmu: Musíte jasně definovat, jaký váš legitimní zájem zpracování sleduje. Pouhá snaha o zjednodušení evidence docházky nestačí. Musí jít o ochranu významných hodnot – například zamezení vstupu do laboratoří s nebezpečnými látkami, ochrana datových center nebo zabezpečení skladu s drahým zbožím.

2 Test nezbytnosti: Musíte prokázat, že zavedení biometrie je k dosažení tohoto cíle nezbytné. To znamená, že musíte zvážit méně invazivní alternativy (např. čipové karty v kombinaci s PIN kódem) a detailně zdůvodnit, proč jsou ve vašem konkrétním případě nedostatečné.

3. Samotné poměření (balancování): Zde vážíte intenzitu vašeho zájmu proti míře zásahu do soukromí zaměstnanců. Musíte zohlednit, jak citlivá data zpracováváte, jaké je rozumné očekávání zaměstnanců a jaké by byly dopady případného úniku dat. Jednou zcizený biometrický údaj nelze, na rozdíl od hesla, změnit.

4. Doplňující záruky: Musíte popsat, jaká technická a organizační opatření jste přijali ke zmírnění rizik. To zahrnuje například silné šifrování dat, striktní řízení přístupů, okamžité mazání dat po použití a smluvní záruky od dodavatele technologie.

Biometrie v ČR a jak pomáhá ARROWS

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Spoléhání na neplatný souhlas zaměstnance. Problémy: Nezákonné zpracování, pokuty od ÚOOÚ v řádu statisíců až milionů Kč, žaloby ze strany zaměstnanců.	Právní analýza a stanovení správného právního základu. Ověříme vaše stávající procesy a navrhneme přechod na obhajitelný oprávněný zájem. Chcete prověřit váš právní základ? Napište na office@arws.cz.
Formální nebo chybně provedený balanční test. Problémy: Test neobstojí při kontrole ÚOOÚ, což vede k závěru o nezákonném zpracování a riziku sankcí.	Vypracování robustního balančního testu. Připravíme pro vás detailní, právně podložený balanční test, který prokáže nezbytnost a přiměřenost zpracování. Potřebujete pomoci s balančním testem? Kontaktujte nás na office@arws.cz.
Porušení zásady minimalizace dat (sběr nadbytečných údajů). Problémy: Pokuta za nepřiměřené zpracování, jak ukázal případ Hello bank!, reputační poškození.	Revize a nastavení interních směrnic. Zanalyzujeme vaše systémy a pomůžeme vám nastavit procesy tak, abyste sbírali jen skutečně nezbytná data. Zajistěte soulad se zásadou minimalizace. Spojte se s námi na office@arws.cz.
Nedostatečné zabezpečení citlivých biometrických dat. Problémy: Únik dat, nevratné poškození zaměstnanců (biometrický údaj nelze "změnit" jako heslo), vysoké pokuty, reputační škoda.	Příprava bezpečnostní dokumentace a smluv se zpracovateli. Zajistíme, aby vaše smlouvy s dodavateli technologií obsahovaly potřebné záruky a ochranná opatření. Ochraňte svá data. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

Případ z praxe: Jak se vyhnout chybám, které stály banku čtvrt milionu?

Skvělým příkladem, jak přísně ÚOOÚ posuzuje zpracování biometrických údajů, je případ Hello bank!, která v roce 2019 obdržela pokutu 250 000 Kč. Tento případ je zásadní lekcí pro každou firmu.

Banka byla pokutována za využívání dynamického biometrického podpisu při uzavírání smluv. Paradoxně problémem nebyl chybějící souhlas – ten banka od klientů měla. 

Problém spočíval v porušení jedné ze základních zásad GDPR: zásady minimalizace údajů. ÚOOÚ argumentoval, že pro účel uzavření smlouvy je plně dostačující pouhý obrázek podpisu, tedy jeho statická podoba. 

Banka však sbírala a uchovávala i dynamická data – rychlost podpisu, tlak na pero a další behaviorální charakteristiky. Tato dodatečná data nebyla pro daný účel nezbytně nutná.

Protože banka sbírala více údajů, než bylo nezbytně nutné, její postup byl vyhodnocen jako nezákonný, a to i přes existující souhlas klienta.

Zajišťujete mezinárodní provoz? Pozor na specifika v zahraničí

Pokud vaše společnost působí na mezinárodních trzích, nestačí se řídit pouze GDPR. 

Ochrana biometrických dat se v různých částech světa dramaticky liší a neznalost lokálních zákonů může vést k fatálním následkům. 

Nevíte si s daným tématem rady?

Díky naší síti ARROWS International, kterou budujeme již přes deset let, denně řešíme případy s mezinárodním prvkem a dokážeme zajistit soulad vašich procesů s lokální legislativou kdekoli na světě.

Americká anomálie: Hromadné žaloby v Illinois (BIPA)

Největší riziko v USA představuje illinoiský zákon BIPA (Biometric Information Privacy Act). Je považován za nejpřísnější zákon svého druhu v zemi.

Vyžaduje nejen písemný souhlas, ale především dává jednotlivcům tzv. soukromé právo na žalobu (private right of action). To znamená, že kdokoli, jehož údaje byly zpracovány v rozporu se zákonem, může firmu žalovat o odškodné ve výši 1 000 až 5 000 dolarů za každé jednotlivé porušení.

To vedlo k vlně hromadných žalob, které pro firmy znamenají riziko v řádu milionů dolarů.

Asijský model: Singapurský zákon PDPA

Na druhé straně spektra stojí například singapurský zákon o ochraně osobních údajů (PDPA). Ten sice také vychází z principů souhlasu a účelového omezení, ale zná například koncept tzv. předpokládaného souhlasu (deemed consent) a má vlastní specifická pravidla pro předávání dat do zahraničí, která je nutné respektovat.

Mezinárodní provoz a řešení s ARROWS International

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS International
Ignorování specifických zákonů v USA (např. Illinois BIPA). Problémy: Extrémní riziko hromadných žalob (class-action lawsuits) s nároky na odškodnění v řádu milionů dolarů.	Právní poradenství a compliance pro americký trh. Díky síti ARROWS International zajistíme revizi vašich procesů a dokumentace, aby odpovídaly požadavkům BIPA. Řešíte expanzi do USA? Pro okamžité řešení nám napište na office@arws.cz.
Rozdílné požadavky na zpracování v Asii (např. Singapur PDPA). Problémy: Sankce od místních regulátorů, narušení obchodních operací, reputační škody.	Zajištění souladu s lokálními předpisy v Asii. Naši partneři denně řeší problematiku s mezinárodním prvkem a pomohou vám přizpůsobit vaše postupy singapurskému PDPA. Potřebujete právní pomoc v Asii? Kontaktujte nás na office@arws.cz.
Komplikované předávání dat mezi EU a třetími zeměmi. Problémy: Porušení Kapitoly V GDPR, vysoké pokuty od evropských úřadů, zastavení toku dat.	Příprava mechanismů pro legální mezinárodní přenos dat. Vypracujeme standardní smluvní doložky (SCCs) a posouzení dopadu přenosu (TIA) pro bezpečný transfer dat. Získejte řešení na míru na office@arws.cz.
Nejednotná firemní compliance politika napříč jurisdikcemi. Problémy: Právní chaos, neefektivita, zvýšená rizika chyb a opomenutí, obtížná správa.	Vytvoření globální, ale lokálně adaptované compliance strategie. Pomůžeme vám vytvořit zastřešující rámec pro ochranu dat, který bude respektovat specifika každé země. Neváhejte se obrátit na naši kancelář – office@arws.cz.

Jak vám v ARROWS konkrétně pomůžeme nastavit procesy?

Orientace v problematice biometrických dat vyžaduje hlubokou odbornost a praktické zkušenosti. V ARROWS jsme připraveni vám poskytnout komplexní právní podporu, abyste mohli technologie využívat bezpečně a v souladu se zákonem.

Na koho se můžete obrátit?

Naši experti pro vás zajistí:

• Provedeme za vás právní analýzu a robustní balanční test, abychom zajistili, že váš oprávněný zájem je neprůstřelný.
• Vyhotovíme interní směrnice a připravíme veškerou dokumentaci, která vás ochrání před pokutami a prokáže soulad s GDPR.
• Připravíme a zrevidujeme vaše smlouvy s dodavateli biometrických technologií, abychom přenesli odpovědnost a minimalizovali vaše riziko.
• Poskytneme odborná školení pro vaše HR a management, aby celý tým rozuměl rizikům a správným postupům, včetně vystavení certifikátu.
• V případě kontroly nebo sporu vás budeme efektivně zastupovat u ÚOOÚ i u soudů.

Pečlivé nastavení procesů pro nakládání s daty je základem moderní firemní odpovědnosti. Více o tom, jak vám můžeme pomoci v oblastech firemní compliance a ESG, najdete na našem webu.

Zavádění biometrických systémů v HR není pouhým technologickým upgradem, ale vysoce rizikovým právním krokem. 

Klíčové je zapamatovat si, že spoléhat se na souhlas zaměstnance je cesta k pokutě a jediným legálním způsobem je oprávněný zájem podložený bezchybným balančním testem. Mezinárodní působení pak rizika a komplexitu dále násobí.

Neriskujte milionové pokuty a poškození reputace. Spojte se s našimi experty na ochranu osobních údajů a nastavte své HR procesy správně a bezpečně. 

FAQ – časté otázky

• Mohu tedy vůbec použít otisky prstů pro evidenci docházky?
  Je to extrémně obtížné a rizikové. Vyžaduje to neprůstřelný balanční test prokazující, že žádné jiné řešení není možné (např. z důvodu vysokého bezpečnostního rizika), a musíte zaměstnancům vždy nabídnout plnohodnotnou alternativu. Pokud řešíte podobný problém, kontaktujte nás na office@arws.cz.
• Jaký je rozdíl mezi biometrickou šablonou (hash) a původním otiskem prstu z hlediska GDPR?
  Ačkoliv hash je jednosměrně zašifrovaný a nelze z něj otisk rekonstruovat, ÚOOÚ jej stále považuje za zvláštní kategorii osobních údajů, protože umožňuje jedinečnou identifikaci. Platí pro něj tedy stejná přísná pravidla. Pro detailní právní stanovisko k vaší technologii nám napište na office@arws.cz.
• Co jsou první kroky, pokud zvažujeme zavedení biometrického systému?
  Prvním krokem by nikdy neměl být nákup technologie, ale právní konzultace. Je nutné posoudit nezbytnost, provést balanční test a teprve poté vybírat řešení, které splňuje právní požadavky. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

• Naše firma působí v EU i v USA. Na co si dát největší pozor?
  Musíte mít duální strategii. V EU se soustředíte na GDPR a balanční test. V USA, zejména v Illinois, musíte prioritně řešit požadavky zákona BIPA, především písemný souhlas a ochranu před hromadnými žalobami. Naši právníci z ARROWS International jsou připraveni vám pomoci – napište na office@arws.cz.
• Jak dlouho smíme biometrické údaje zaměstnanců uchovávat?
  Pouze po dobu nezbytně nutnou pro splnění konkrétního, předem definovaného účelu. Například u docházky by se měl údaj (hash) použít pro ověření a ihned poté smazat, neměl by být dlouhodobě ukládán. Potřebujete nastavit retenční politiku? Spojte se s námi na office@arws.cz.
• Jaké jsou nejčastější chyby, které firmy dělají?
  Nejčastější chybou je mylná domněnka, že podepsaný souhlas zaměstnance vše řeší. Druhou je podcenění hloubky a detailnosti balančního testu. Třetí je porušení zásady minimalizace dat, tedy sběr údajů, které nejsou pro daný účel nezbytně nutné. Neváhejte se obrátit na naši kancelář a těmto chybám se vyhnout – office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.