Přeskočit na obsah

Právní aspekty využívání biometrických dat v HR

GDPR, etika a balanční testy

Využívání biometrických údajů, jako jsou otisky prstů či skeny obličeje, pro docházku nebo kontrolu přístupu je v českých firmách stále častější. Přináší efektivitu, ale i značná rizika podle GDPR. V tomto článku se dozvíte, jak tyto technologie používat legálně, vyhnout se pokutám a proč se nespoléhat na souhlas zaměstnance.

Na obrázku vidíte odborníka na právní aspekty využívání biometrických dat v HR.

Biometrie na pracovišti: Moderní nástroj, nebo právní minové pole?

Co přesně jsou biometrické údaje?

Podle Obecného nařízení o ochraně osobních údajů (GDPR) se biometrickými údaji rozumí osobní údaje „vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje její jedinečnou identifikaci“. 

Mezi nejčastější příklady patří otisky prstů, sken oční duhovky či sítnice, rozpoznání obličeje, geometrie ruky, ale i dynamický biometrický podpis nebo analýza hlasu.

Proč jsou „zvláštní kategorií“?

To nejdůležitější, co musíte vědět: GDPR v článku 9 zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby v zásadě zakazuje. 

Jedná se o tzv. zvláštní kategorii osobních údajů (dříve „citlivé údaje“), kam patří například i údaje o zdravotním stavu nebo politických názorech. Tento výchozí zákaz znamená, že jakékoli jejich zpracování je nezákonné, pokud nespadá pod jednu z velmi úzce vymezených výjimek.

Častým omylem je domněnka, že převedením otisku prstu na digitální šablonu (tzv. hash) se povinnosti GDPR obcházejí. Není to pravda. 

Úřad pro ochranu osobních údajů (ÚOOÚ) i zavedená praxe potvrzují, že i tyto šablony jsou považovány za zvláštní kategorii osobních údajů, protože stále umožňují jedinečnou identifikaci osoby a podléhají tak stejnému přísnému režimu.

Proč je souhlas zaměstnance pastí, které se musíte vyhnout?

Mnoho zaměstnavatelů se mylně domnívá, že si mohou jednoduše nechat od zaměstnanců podepsat souhlas se zpracováním biometrických údajů a tím mají splněno. 

Opak je pravdou. Podle ÚOOÚ je tento postup v pracovněprávních vztazích prakticky vždy neplatný.

POTŘEBUJETE PRÁVNÍ POMOC?

Ozvěte se nám, rádi pomůžeme.

ARROWS advokátní kancelář

Jádro problému: Nerovné postavení stran

Základním předpokladem platného souhlasu podle GDPR je, že musí být udělen svobodně. Vztah mezi zaměstnavatelem a zaměstnancem je však z definice postaven na nerovné pozici. 

Zaměstnanec se může důvodně obávat, že odmítnutí souhlasu by pro něj mohlo mít negativní následky, i kdyby nebyly přímo vyřčeny. Z tohoto důvodu se má za to, že souhlas není skutečně svobodný.

Úřad pro ochranu osobních údajů (ÚOOÚ) opakovaně a jednoznačně konstatoval, že používání souhlasu zaměstnance pro zpracování biometrických údajů je „nepřijatelné“.

Spoléhat na tento právní titul je tedy extrémně rizikové a při kontrole téměř jistě neobstojí.

Dilema odvolatelnosti a praktické problémy

Dalším hřebíčkem do rakve souhlasu je jeho odvolatelnost. Zaměstnanec má právo svůj souhlas kdykoli odvolat. 

Pokud by tak učinil byť jen jediný zaměstnanec, musel by pro něj zaměstnavatel okamžitě zajistit plnohodnotný alternativní systém (např. karty). To zcela podkopává smysl zavedení jednotného biometrického systému a činí jej provozně neudržitelným.

MicroFAQ

1. Co když mi zaměstnanec souhlas podepíše dobrovolně a bez nátlaku?

ARROWS advokátní kancelář
  • Otázka: Co když mi zaměstnanec souhlas podepíše dobrovolně a bez nátlaku?
  • Odpověď: Podle ÚOOÚ a evropské praxe se i takový souhlas v pracovněprávním vztahu nepovažuje za svobodný kvůli nerovnému postavení stran. Jeho platnost je vysoce zpochybnitelná a při kontrole neobstojí. Pro posouzení vaší konkrétní situace nás kontaktujte na konzultace@arws.cz.
  • Otázka: Nemůžu si to „pojistit“ souhlasem pro jistotu, i když mám jiný důvod?
  • Odpověď: Tento přístup je v rozporu se zásadou transparentnosti GDPR. Pokud existuje jiný právní důvod (např. oprávněný zájem), je vyžadování souhlasu matoucí a považuje se za nezákonné. Potřebujete právní pomoc? Kontaktujte nás na konzultace@arws.cz.

Pomohou vám naši specialisté

JUDr. Jakub Dohnal, Ph.D., LL.M.

JUDr. Jakub Dohnal, Ph.D., LL.M.

advokát, řídící partner

dohnal@arws.cz
Mgr. Petr Hanzel, LL.M.

Mgr. Petr Hanzel, LL.M.

advokát

hanzel@arws.cz
ARROWS advokátní kancelář

Jak tedy biometrické údaje zpracovávat legálně? Klíčem je balanční test

Pokud je souhlas prakticky vyloučen, jaká cesta zbývá? Jedinou reálnou možností je opřít zpracování o právní titul tzv. oprávněného zájmu správce podle článku 6 odst. 1 písm. f GDPR. 

To ale není automatické právo. Jeho využití je podmíněno provedením a pečlivou dokumentací tzv. balančního testu.

Balanční test je v podstatě detailní analýza, kde musíte poměřit váš zájem (např. ochranu majetku) proti právům a svobodám vašich zaměstnanců.

V ARROWS máme s přípravou těchto testů pro naše klienty, mezi které patří více než 150 akciových společností a 250 s.r.o., bohaté zkušenosti a pomůžeme vám jej sestavit tak, aby obstál i při té nejpřísnější kontrole.

Jak provést balanční test: Průvodce ve 4 krocích

Podle metodiky ÚOOÚ by měl kvalitní balanční test obsahovat následující kroky:

1. Identifikace oprávněného zájmu: Musíte jasně definovat, jaký váš legitimní zájem zpracování sleduje. Pouhá snaha o zjednodušení evidence docházky nestačí. Musí jít o ochranu významných hodnot – například zamezení vstupu do laboratoří s nebezpečnými látkami, ochrana datových center nebo zabezpečení skladu s drahým zbožím.

2 Test nezbytnosti: Musíte prokázat, že zavedení biometrie je k dosažení tohoto cíle nezbytné. To znamená, že musíte zvážit méně invazivní alternativy (např. čipové karty v kombinaci s PIN kódem) a detailně zdůvodnit, proč jsou ve vašem konkrétním případě nedostatečné.

3. Samotné poměření (balancování): Zde vážíte intenzitu vašeho zájmu proti míře zásahu do soukromí zaměstnanců. Musíte zohlednit, jak citlivá data zpracováváte, jaké je rozumné očekávání zaměstnanců a jaké by byly dopady případného úniku dat. Jednou zcizený biometrický údaj nelze, na rozdíl od hesla, změnit.

4. Doplňující záruky: Musíte popsat, jaká technická a organizační opatření jste přijali ke zmírnění rizik. To zahrnuje například silné šifrování dat, striktní řízení přístupů, okamžité mazání dat po použití a smluvní záruky od dodavatele technologie.

Biometrie v ČR a jak pomáhá ARROWS

Riziko k řešení a potenciální problémy a sankce

Jak pomáhá ARROWS

Spoléhání na neplatný souhlas zaměstnance. Problémy: Nezákonné zpracování, pokuty od ÚOOÚ v řádu statisíců až milionů Kč, žaloby ze strany zaměstnanců.

Právní analýza a stanovení správného právního základu. Ověříme vaše stávající procesy a navrhneme přechod na obhajitelný oprávněný zájem. Chcete prověřit váš právní základ? Napište na konzultace@arws.cz.

Formální nebo chybně provedený balanční test. Problémy: Test neobstojí při kontrole ÚOOÚ, což vede k závěru o nezákonném zpracování a riziku sankcí.

Vypracování robustního balančního testu. Připravíme pro vás detailní, právně podložený balanční test, který prokáže nezbytnost a přiměřenost zpracování. Potřebujete pomoci s balančním testem? Kontaktujte nás na konzultace@arws.cz.

Porušení zásady minimalizace dat (sběr nadbytečných údajů). Problémy: Pokuta za nepřiměřené zpracování, jak ukázal případ Hello bank!, reputační poškození.

Revize a nastavení interních směrnic. Zanalyzujeme vaše systémy a pomůžeme vám nastavit procesy tak, abyste sbírali jen skutečně nezbytná data. Zajistěte soulad se zásadou minimalizace. Spojte se s námi na konzultace@arws.cz.

Nedostatečné zabezpečení citlivých biometrických dat. Problémy: Únik dat, nevratné poškození zaměstnanců (biometrický údaj nelze "změnit" jako heslo), vysoké pokuty, reputační škoda.

Příprava bezpečnostní dokumentace a smluv se zpracovateli. Zajistíme, aby vaše smlouvy s dodavateli technologií obsahovaly potřebné záruky a ochranná opatření. Ochraňte svá data. Naši právníci jsou připraveni vám pomoci – napište na konzultace@arws.cz.

ARROWS advokátní kancelář

Případ z praxe: Jak se vyhnout chybám, které stály banku čtvrt milionu?

Skvělým příkladem, jak přísně ÚOOÚ posuzuje zpracování biometrických údajů, je případ Hello bank!, která v roce 2019 obdržela pokutu 250 000 Kč. Tento případ je zásadní lekcí pro každou firmu.

Banka byla pokutována za využívání dynamického biometrického podpisu při uzavírání smluv. Paradoxně problémem nebyl chybějící souhlas – ten banka od klientů měla. 

Problém spočíval v porušení jedné ze základních zásad GDPR: zásady minimalizace údajů. ÚOOÚ argumentoval, že pro účel uzavření smlouvy je plně dostačující pouhý obrázek podpisu, tedy jeho statická podoba. 

Banka však sbírala a uchovávala i dynamická data – rychlost podpisu, tlak na pero a další behaviorální charakteristiky. Tato dodatečná data nebyla pro daný účel nezbytně nutná.

Protože banka sbírala více údajů, než bylo nezbytně nutné, její postup byl vyhodnocen jako nezákonný, a to i přes existující souhlas klienta.

Zajišťujete mezinárodní provoz? Pozor na specifika v zahraničí

Pokud vaše společnost působí na mezinárodních trzích, nestačí se řídit pouze GDPR. 

Ochrana biometrických dat se v různých částech světa dramaticky liší a neznalost lokálních zákonů může vést k fatálním následkům. 

POTŘEBUJETE PRÁVNÍ POMOC?

Ozvěte se nám, rádi pomůžeme.

ARROWS advokátní kancelář

Díky naší síti ARROWS International, kterou budujeme již přes deset let, denně řešíme případy s mezinárodním prvkem a dokážeme zajistit soulad vašich procesů s lokální legislativou kdekoli na světě.

Americká anomálie: Hromadné žaloby v Illinois (BIPA)

Největší riziko v USA představuje illinoiský zákon BIPA (Biometric Information Privacy Act). Je považován za nejpřísnější zákon svého druhu v zemi.

Vyžaduje nejen písemný souhlas, ale především dává jednotlivcům tzv. soukromé právo na žalobu (private right of action). To znamená, že kdokoli, jehož údaje byly zpracovány v rozporu se zákonem, může firmu žalovat o odškodné ve výši 1 000 až 5 000 dolarů za každé jednotlivé porušení.

To vedlo k vlně hromadných žalob, které pro firmy znamenají riziko v řádu milionů dolarů.

Asijský model: Singapurský zákon PDPA

Na druhé straně spektra stojí například singapurský zákon o ochraně osobních údajů (PDPA). Ten sice také vychází z principů souhlasu a účelového omezení, ale zná například koncept tzv. předpokládaného souhlasu (deemed consent) a má vlastní specifická pravidla pro předávání dat do zahraničí, která je nutné respektovat.

Mezinárodní provoz a řešení s ARROWS International

Riziko k řešení a potenciální problémy a sankce

Jak pomáhá ARROWS International

Ignorování specifických zákonů v USA (např. Illinois BIPA). Problémy: Extrémní riziko hromadných žalob (class-action lawsuits) s nároky na odškodnění v řádu milionů dolarů.

Právní poradenství a compliance pro americký trh. Díky síti ARROWS International zajistíme revizi vašich procesů a dokumentace, aby odpovídaly požadavkům BIPA. Řešíte expanzi do USA? Pro okamžité řešení nám napište na konzultace@arws.cz.

Rozdílné požadavky na zpracování v Asii (např. Singapur PDPA). Problémy: Sankce od místních regulátorů, narušení obchodních operací, reputační škody.

Zajištění souladu s lokálními předpisy v Asii. Naši partneři denně řeší problematiku s mezinárodním prvkem a pomohou vám přizpůsobit vaše postupy singapurskému PDPA. Potřebujete právní pomoc v Asii? Kontaktujte nás na konzultace@arws.cz.

Komplikované předávání dat mezi EU a třetími zeměmi. Problémy: Porušení Kapitoly V GDPR, vysoké pokuty od evropských úřadů, zastavení toku dat.

Příprava mechanismů pro legální mezinárodní přenos dat. Vypracujeme standardní smluvní doložky (SCCs) a posouzení dopadu přenosu (TIA) pro bezpečný transfer dat. Získejte řešení na míru na konzultace@arws.cz.

Nejednotná firemní compliance politika napříč jurisdikcemi. Problémy: Právní chaos, neefektivita, zvýšená rizika chyb a opomenutí, obtížná správa.

Vytvoření globální, ale lokálně adaptované compliance strategie. Pomůžeme vám vytvořit zastřešující rámec pro ochranu dat, který bude respektovat specifika každé země. Neváhejte se obrátit na naši kancelář – konzultace@arws.cz.

ARROWS advokátní kancelář

Jak vám v ARROWS konkrétně pomůžeme nastavit procesy?

Orientace v problematice biometrických dat vyžaduje hlubokou odbornost a praktické zkušenosti. V ARROWS jsme připraveni vám poskytnout komplexní právní podporu, abyste mohli technologie využívat bezpečně a v souladu se zákonem.

Pomohou vám naši specialisté

JUDr. Jakub Dohnal, Ph.D., LL.M.

JUDr. Jakub Dohnal, Ph.D., LL.M.

advokát, řídící partner

dohnal@arws.cz
Mgr. Petr Hanzel, LL.M.

Mgr. Petr Hanzel, LL.M.

advokát

hanzel@arws.cz
ARROWS advokátní kancelář

Naši experti pro vás zajistí:

  • Provedeme za vás právní analýzu a robustní balanční test, abychom zajistili, že váš oprávněný zájem je neprůstřelný.
  • Vyhotovíme interní směrnice a připravíme veškerou dokumentaci, která vás ochrání před pokutami a prokáže soulad s GDPR.
  • Připravíme a zrevidujeme vaše smlouvy s dodavateli biometrických technologií, abychom přenesli odpovědnost a minimalizovali vaše riziko.
  • Poskytneme odborná školení pro vaše HR a management, aby celý tým rozuměl rizikům a správným postupům, včetně vystavení certifikátu.
  • V případě kontroly nebo sporu vás budeme efektivně zastupovat u ÚOOÚ i u soudů.

Pečlivé nastavení procesů pro nakládání s daty je základem moderní firemní odpovědnosti. Více o tom, jak vám můžeme pomoci v oblastech firemní compliance a ESG, najdete na našem webu.

Zavádění biometrických systémů v HR není pouhým technologickým upgradem, ale vysoce rizikovým právním krokem. 

Klíčové je zapamatovat si, že spoléhat se na souhlas zaměstnance je cesta k pokutě a jediným legálním způsobem je oprávněný zájem podložený bezchybným balančním testem. Mezinárodní působení pak rizika a komplexitu dále násobí.

Neriskujte milionové pokuty a poškození reputace. Spojte se s našimi experty na ochranu osobních údajů a nastavte své HR procesy správně a bezpečně. 

FAQ – časté otázky

1. Mohu tedy vůbec použít otisky prstů pro evidenci docházky?

Je to extrémně obtížné a rizikové. Vyžaduje to neprůstřelný balanční test prokazující, že žádné jiné řešení není možné (např. z důvodu vysokého bezpečnostního rizika), a musíte zaměstnancům vždy nabídnout plnohodnotnou alternativu. Pokud řešíte podobný problém, kontaktujte nás na konzultace@arws.cz.

2. Jaký je rozdíl mezi biometrickou šablonou (hash) a původním otiskem prstu z hlediska GDPR?

Ačkoliv hash je jednosměrně zašifrovaný a nelze z něj otisk rekonstruovat, ÚOOÚ jej stále považuje za zvláštní kategorii osobních údajů, protože umožňuje jedinečnou identifikaci. Platí pro něj tedy stejná přísná pravidla. Pro detailní právní stanovisko k vaší technologii nám napište na office@arws.cz.

3. Co jsou první kroky, pokud zvažujeme zavedení biometrického systému?

Prvním krokem by nikdy neměl být nákup technologie, ale právní konzultace. Je nutné posoudit nezbytnost, provést balanční test a teprve poté vybírat řešení, které splňuje právní požadavky. Pro okamžité řešení vaší situace nám napište na konzultace@arws.cz.

4. Naše firma působí v EU i v USA. Na co si dát největší pozor?

Musíte mít duální strategii. V EU se soustředíte na GDPR a balanční test. V USA, zejména v Illinois, musíte prioritně řešit požadavky zákona BIPA, především písemný souhlas a ochranu před hromadnými žalobami. Naši právníci z ARROWS International jsou připraveni vám pomoci – napište na konzultace@arws.cz.

5. Jak dlouho smíme biometrické údaje zaměstnanců uchovávat?

Pouze po dobu nezbytně nutnou pro splnění konkrétního, předem definovaného účelu. Například u docházky by se měl údaj (hash) použít pro ověření a ihned poté smazat, neměl by být dlouhodobě ukládán. Potřebujete nastavit retenční politiku? Spojte se s námi na konzultace@arws.cz.

6. Jaké jsou nejčastější chyby, které firmy dělají?

Nejčastější chybou je mylná domněnka, že podepsaný souhlas zaměstnance vše řeší. Druhou je podcenění hloubky a detailnosti balančního testu. Třetí je porušení zásady minimalizace dat, tedy sběr údajů, které nejsou pro daný účel nezbytně nutné. Neváhejte se obrátit na naši kancelář a těmto chybám se vyhnout – konzultace@arws.cz.

MÁTE DALŠÍ DOTAZY? OZVĚTE SE NÁM

ARROWS advokátní kancelář

Autor článku:


Upozornění:

Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2025. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (konzultace@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.