Úřad pro ochranu osobních údajů obdržel za rok a čtvrt platnosti nařízení GDPR přes 4000 stížností. Vyhověl třetině z nich. Čím dál častěji přitom řeší, jak můžou zaměstnavatelé nebo instituce používat biometrické údaje svých zaměstnanců a klientů – tedy například otisky prstů, sítnice nebo snímání hlasu. Úřad proto doporučil ministerstvu práce a sociálních věcí, aby v novele zákoníku práce přesně definovalo, kdy může firma takové údaje využít.

Praha 13:31 5. září 2019 Tento článek je více než rok starý Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Místo papíru a propisky digitální podložka a k ní stylus. Možná i vám se už v poslední době stalo, že jste smlouvu v bance nebo pojišťovně nepodepisovali klasickým způsobem. Jenže to, co na první pohled vypadá jen jako okopírovaný obrázek, je ve výsledku velmi důmyslný systém.

„Digitální pero umí – oproti peru obyčejnému – snímat i další údaje, jako jsou síla přítlaku na podložku, různé úhly nastavení. Takže nejen podpis samotný, jeho tvar, jeho vizuální podobu, ale spoustu dalších parametrů, které ztěžují falšování podpisů,“ vysvětluje Radiožurnálu František Zeman z kybernetické společnosti Algotech.

Důvod? Méně papíru a lepší zabezpečení, tvrdí banky. Ty ale nejsou jediné, kdo své klienty chce přesně identifikovat. Někteří zaměstnavatelé do firem zavádějí třeba skenování sítnice nebo otisků prstů – ať už kvůli docházce, nebo třeba pro obyčejné otevírání dveří.

Jenže podle Richarda Otevřela z advokátní kanceláře Havel & Partners může být zneužití těchto technologií velmi nebezpečné. „Technologie jako skenování sítnice, otisky prstů jsou daleko závažnějším zásahem do soukromí, protože pokud dokážete tento jedinečný prvek lidského těla zkopírovat, tak už může být snadné se vydávat za někoho jiného,“ popisuje.

Nepřijatelné použití

I proto se teď proti používání biometrických údajů ohradil Úřad pro ochranu osobních údajů a doporučil upravit novelu zákoníku práce, kterou chystá ministerstvo práce a sociálních věcí. Nově by mělo být přesně vymezené, v jakých případech lze biometriku použít.

Otisky prstů i osobní údaje. Bezpečnostní firma nechala na internetu 23 gigabytů nechráněných dat

Číst článek

„Zaměstnavatelé zakládají zpracování některých biometrických údajů zaměstnanců pro účely kontroly vstupu, přítomnosti a přístupů na souhlasech zaměstnanců. Takové používání souhlasu ve vztahu zaměstnavatel – zaměstnanec je však nepřijatelné,“ vysvětluje mluvčí úřadu Tomáš Paták.

A nejen účel, kvůli němuž společnosti biometrické údaje uchovávají, je předmětem diskusí. Podle vedoucího kybernetického centra Raiffeisenbank Tomáše Rosy mnohdy není jasně řečeno, jak se data budou uchovávat.

„Přesto, že existují mezinárodně platné a uznávané standardy, tak se na trhu objevuje stále velké množství výtvorů nejrůznějších alchymistů, kteří bez jakéhokoli argumentu stále jen opakují, že jejich výrobek je ten nejbezpečnější a že tomu musíme věřit zkrátka jen proto, že oni to řekli,“ dodává Rosa.

FaceApp

A nejen skenování částí těla, ale taky nahrávání vlastních fotek do některých aplikací zcela neplní kritéria GDPR, tedy rok a čtvrt platných pravidel pro ochranu osobních údajů.

Hit, nebo hrozba? Díky FaceApp virtuálně zestárnete, podle kritiků ale mohou být zneužita osobní data

Číst článek

„Nazdárek párek! Kdo ji nemá, tak o ní určitě alespoň slyšel. O čem je řeč? No přece o aplikaci FaceApp! Appka, která vás umí zkrášlit a jsou v ní bezva filtry. Ale to není to nejlepší. Umí z vás totiž udělat důchodce, změnit vám barvu vlasů nebo třeba přidat vousy. Tohle bude sranda, jooooo!“ zní ve videu malých youtuberek.

Přitom právě aplikaci FaceApp běžně nepoužívají jen děti jako ve videu youtuberek, které si říkají Lollymánie. Snímky upravené právě v aplikaci FaceApp se odesílají na ruský server. Jenže ten není podle odbornice na ochranu osobních údajů ze společnosti Deloitte – Renaty Šiklové – tak bezpečný, jako ty evropské, americké nebo japonské.

„Rusko a Čína mají odlišný režim zabezpečení a nedá se tedy pokládat za ekvivalentní a je potřeba daleko více si dávat pozor na to, jakou ochranu nám aplikace vytvořené v těchto zemích poskytují,“ vysvětluje Šiklová.

Jenže proti takovému porušování GDPR zahraničními společnostmi se dá podle advokátů těžko bránit. Případné sankce by se totiž vymáhaly jen velmi těžko.

Tereza Beránková Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít