ÚOOÚ k biometrické identifikaci nežádoucích osob na fotbalových stadionech
ÚOOÚ se v poslední době opakovaně vyjadřuje k možnosti zpracování osobních údajů kamerovými systémy zpracovávajícími biometrické údaje za účelem zamezení vstupu nežádoucích osob na fotbalové stadiony. Kamerový záznam pořizovaný a zpracovávaný obvyklým způsobem (tj. bez biometrických charakteristik) nepředstavuje zpracování zvláštní kategorie, a jeho zpracování bývá založeno na oprávněném zájmu správce či plnění smlouvy (čl. 6 odst. 1 GDPR). Biometrické zpracování vyžaduje některou z výjimek dle čl. 9 odst. 2 GDPR; obecně lze zpracovat biometriku jen podle výjimek, zejména ve veřejném zájmu podle čl. 9 odst. 2 písm. h) GDPR, za podmínek přiměřenosti a s vhodnými zárukami a legislativním rámcem. Nasazení vzdálené biometrické identifikace v reálném čase prostřednictvím AI je spojeno s mimořádně vysokým rizikem; v ČR platí omezení podle § 39a a zákona č. 110/2019 Sb., kdy zpracovávat mohou jen Policie ČR na mezinárodních letištích a s písemným povolením soudu na nejdéle 12 měsíců (s možným prodloužením) a Policie ČR o tom podává zprávu ÚOOÚ do 72 hodin od zahájení použití. ÚOOÚ poskytuje předběžné konzultace podle čl. 36 GDPR a účast na legislativním procesu, ale primárně jde o dozorový úřad.
Úřad pro ochranu osobních údajů se v rámci své konzultační činnosti v poslední době opakovaně vyjadřoval k možnosti zpracování osobních údajů skrze kamerové systémy zpracovávající biometrické údaje za účelem zamezení vstupu nežádoucích osob na fotbalové stadiony.
Při jakémkoliv zpracování osobních údajů je obecně nutno dodržovat zásady uvedené v rámci čl. 5 GDPR, v tomto kontextu zejména zásadu zákonnosti, na jejímž základě musí správce disponovat alespoň jedním z právních základů uvedených v čl. 6 odst. 1 GDPR (typicky oprávněný zájem správce, zákonná povinnost či plnění smlouvy). Právní základ podle čl. 6 je dostačující pro zpracování osobních údajů kamerovým záznamem pořízeným a zpracovávaným obvyklým způsobem; pro pořizování biometrických charakteristik prostřednictvím kamer je nutno nalézt některou z odchylek, které jsou uvedeny v čl. 9 odst. 2 GDPR z obecného zákazu takového zpracování osobních údajů.
Kamerový záznam pořízený a zpracovávaný obvyklým způsobem (tedy bez biometrických charakteristik) nepředstavuje zpracování zvláštní kategorie osobních údajů. Právním základem v tomto případě bývá nejčastěji ochrana oprávněných zájmů správce nebo třetí osoby, přičemž takové zpracování osobních údajů je nezbytné podle čl. 6 odst. 1 písm. f) GDPR.[1] V zásadě jde o vizuální identifikaci osoby v souvislosti s jejím určitým jednáním (například u spáchání trestného činu jde o zachycení pachatele bez ohledu na jeho národnost, náboženské vyznání, etnický původ, zdravotní stav či biometrické charakteristiky). Tím není vyloučeno eventuální následné zpracování latentních osobních údajů, které jsou obsaženy v části záznamu zobrazujícím konkrétní incident či domnělého pachatele, a to například biometrických charakteristik osob nebo i jiných osobních údajů, které po předání kamerového záznamu v rámci dalšího šetření extrahuje zvláštními nástroji Policie ČR jako nový samostatný správce. Správce je Policii ČR poskytuje jako prostý kamerový záznam.
V případě, že jsou spolu s obrazovým záznamem či přenosem zpracovávány biometrické charakteristiky subjektů údajů (obličejové charakteristiky, markanty, charakteristiky chůze apod.) pro účely identifikace, představuje takové zpracování zásadní zásah do soukromí monitorovaných osob. V takovém případě se totiž jedná o zpracování zvláštní kategorie osobních údajů, u kterých je obecně GDPR zakázáno jejich zpracování (čl. 9 odst. 1). Je třeba si uvědomit, že biometrické charakteristiky jsou natolik spjaty s konkrétní fyzickou osobou, že je nelze následně změnit či zrušit. Zneužití či jiná kompromitace biometrických dat proto pro subjekt údajů představuje trvalé riziko, kterým je například použití pro další identifikaci již bez vědomí dané osoby či podrobnější vyhodnocování dalších charakteristik subjektu údajů proti zájmům subjektu údajů (emoční, psychické či zdravotní aspekty). Neoprávněný přístup k jednou shromážděným biometrickým údajům, ať již opomenutím správce nebo v důsledku vnějšího útoku, by tak mohl být protiprávně využit pro jiné účely, např. by mohl umožnit přístup k dalším systémům užívajícím tytéž biometrické údaje.[2]
Z obecného zákazu zpracování těchto údajů je možno nalézt odchylky, které jsou uvedeny v čl. 9 odst. 2 GDPR. V kontextu zvažovaného nasazení pro účely identifikace osob na fotbalových stadionech z bezpečnostních důvodů je možno uvažovat o zpracování ve veřejném zájmu podle čl. 9 odst. 2 písm. h) GDPR. Nutno zdůraznit, že tato výjimka výslovně vyžaduje, aby se takové zpracování dělo z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů. Nutným předpokladem uplatnění této výjimky je tedy přijetí odpovídajícího zákona (s uvedenými kvalitami). ÚOOÚ toto konzistentně sděluje[3] při všech příležitostech.
V rámci možných kombinací účelů a technologií představuje zpracování osobních údajů prostřednictvím vzdálené biometrické identifikace fyzických osoby v reálném čase prostřednictvím umělé inteligence mimořádně vysokou kombinaci rizikových faktorů. Pro srovnání, obdobné zpracování osobních údajů např. akt o umělé inteligenci (AI Act) i pro účely odhalování trestné činnosti zakazuje, přičemž povoluje jen striktní výjimky, pokud to umožní právo členského státu EU za velmi přísných podmínek. V ČR jde nově o § 39a a násl. zákona č. 110/2019 Sb., o zpracování osobních údajů, přičemž v tomto režimu zpracovávat osobní údaje může jen Policie ČR, a to jen na mezinárodních letištích a po předchozím písemném povolení předsedy senátu vrchního soudu nejdéle na 12 měsíců s možností opakovaného prodloužení opět nejdéle na dobu 12 měsíců. Zprávu o použití tohoto systému dále předkládá Policie Úřadu pro ochranu osobních údajů do 72 hodin od zahájení jeho použití.
Úřad je připraven poskytovat správcům předběžnou konzultaci podle čl. 36 GDPR v kontextu konkrétního nasazení a rovněž konzultace v rámci legislativního procesu [článek 57 odst. 1 písm. c) GDPR]. ÚOOÚ je nicméně primárně dozorovým úřadem, tudíž vytvoření a přijetí případné nové legislativy zůstává na vládě a parlamentu.
[1] Pokud se správce rozhodne, že bude zpracovávat osobní údaje na základě oprávněného zájmu, musí vždy ještě před zahájením zamýšleného zpracování provést komplexní posouzení (balanční test, test vyváženosti neboli test proporcionality), jehož cílem je porovnat, zda oprávněný zájem správce má přednost před zájmy nebo základními právy a svobodami subjektů údajů. Více např. bod 3.2.1 Metodiky k návrhu a provozování kamerových systémů z hlediska zpracování a ochrany osobních údajů, dostupnou zde: https://uoou.gov.cz/media-publikace/ke-stazeni/publikace/metodika-ke-kamerovym-systemum
[2] Více zde https://uoou.gov.cz/nejcastejsi-nedorozumeni-v-oblasti-zpracovani-biometrickych-udaju
[3] Již v roce 2019 se k uvedenému vyjadřoval https://uoou.gov.cz/uoou-k-biometricke-identifikaci-nezadoucich-osob-na-fotbalovych-stadionech
A v roce 2020 https://uoou.gov.cz/vyjadreni-uoou-k-navrhu-regulace-nasili-na-fotbalovych-stadionech
Úřad pro ochranu osobních údajů
