Dynamický biometrický podpis a nařízení GDPR

Podobné dokumenty
STANOVISKO č. 3/2009 květen 2009, poslední revize červen 2017

Co všechno je zpracování osobních údajů podle GDPR

STANOVISKO č. 1/2017 červen 2017 (původně k biometrické identifikaci č. 3/2009)

Legislativní hranice identifikovatelnosti pacienta. Mgr. Konstantin Lavrushin

Roman Cinkais Wincor Nixdorf s.r.o. Biometrické podepisování elektronických dokumentů

PROHLÁŠENÍ O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

Prohlášení o zpracování a ochraně osobních údajů společnosti SML AUTOCENTRUM, s.r.o.

Důležité otázky při výběru biometrické modality. Roman Cinkais, Jiří Vábek Wincor Nixdorf s.r.o.

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Právní úprava ochrany osobních údajů. Václav Stupka

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

PRÁVNÍ ASPEKTY ELEKTRONICKÉ VÝMĚNY OBCHODNÍCH DOKUMENTŮ. Mgr. Ing. Jindřich Jelínek

Škola ochrany osobních údajů

Směrnice pro nakládání s osobními údaji. Městský úřad Vamberk

Soukromí nade vše. Čím víc toho o sobě prozradíme, tím jsme zranitelnější. Ing. Simona Martínková Masarykovo gymnázium, Plzeň

Stanovisko č. 12/2012 aktualizace říjen 2017

Právní ohledy využití dat o návštěvnících a zákaznících. JUDr. Pavel Pešek Legal Department Director

Ochrana osobních údajů

Signpads GE Money Bank Hana Čuboková. 17.Března 2014

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

Palmsecure. Najvyšší stupeň ochrany osobných údajov s Fujitsu. Biometrie naší ruky - otisky prstů nebo obraz krevního řečiště

GDPR Obecné nařízení o ochraně osobních údajů

Prohlášení o ochraně osobních údajů

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

Žádost o poskytnutí sociální služby

SPISOVÁ SLUŽBA A GDPR

Ochrana osobních údajů

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Veřejné zakázky 2018 Jste připraveni na povinnou elektronickou komunikaci? Elektronické podepisování v zadávacím řízení

Informace o zpracování osobních údajů

Elektronický podpis význam pro komunikaci. elektronickými prostředky

Záznam o zpracování osobních údajů

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Prohlášení o ochraně osobních údajů

Ochrana osobních údajů aktuálně

Zdravotnická dokumentace

Opatření děkana LF MU č. 5/2013 k zajištění ověřitelnosti výzkumných dat. Část I. Základní ustanovení

ŽÁDOST O POSKYTNUTÍ SOCIÁLNÍ SLUŽBY DOMOV SE ZVLÁŠTNÍM REŽIMEM (pro zájemce s Alzheimerovou chorobou nebo jiným typem demence)

Správa přístupu PS3-2

Právníaspekty inovací ochrana osobních dat

Autentizace. Ing. Miloslav Hub, Ph.D. 10. října 2007

ELEKTRONICKÉ PODPISY A ELEKTRONICKÁ IDENTIFIKACE V PRAXI KATASTRÁLNÍCH ÚŘADŮ. Vladimíra Žufanová Katastrální úřad pro Středočeský kraj

STANOVISKO č. 2/2014 červenec

aneb k čemu vám ten eidasvlastně bude

Ochrana osobních údajů

JUDr. Alena Kučerová Úřad pro ochranu osobních údajů OCHRANA OSOBNÍCH ÚDAJŮ V PROCESU DIGITALIZACE ZDRAVOTNICKÉ DOKUMENTACE

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

ROZHODNUTÍ VÝKONNÉHO VÝBORU ČJF č. 1/2018 K CHOVÁNÍ ČJF A JEHO ČLENSKÝCH SUBJEKTŮ PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Prohlášení o ochraně osobních údajů

Bezpečný digitální podpis v praxi.

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

Souhlas subjektu údajů

Poučení o ochraně osobních údajů

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

PRÁVNÍ ASPEKTY OUTSOURCINGU

Zásady ochrany osobních údajů

Má elektronický podpis identifikovat podepsanou osobu?

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

eidas a jeho praktické využití v soukromém sektoru

Informace o zpracování osobních údajů

VI / Dokumentace o poskytování sociální služby

GDPR, eidas Procesní nebo technologický problém?

Právní základy ochrany soukromí

JUDr. Ivana Bukovská, vedoucí odboru obč.-spr.agend RMK dne , usnesení č července Neomezena

EURO ekonomický týdeník, číslo 17/2001

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

ROZHODNUTÍ VÝBORU ČGF 4 15/2018 K CHOVÁNÍ ČGF A JEHO ČLENSKÝCH SUBJEKTŮ PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ. ODBOR: EVIDENČNÍCH SPRÁVNÍCH SLUŽEB A OBECNÍHO ŽIVNOSTENSKÉHO ÚŘADU Oddělení: přestupků

Nová pravidla ochrany osobních údajů

GDPR pro základní školy. JUDr. Jiří Matzner, Ph.D., LL.M. Advokát

GDPR a budoucí redakční praxe. Petr Tkadlec CZECH NEWS CENTER a.s.

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - OBECNÉ

Elektronické dokumenty Terminologie, technologická Dokument jako důkazní prostředek Právní předpoklady pro používání elektronických dokumentů Autentiz

Informace o zpracování osobních údajů pro zaměstnance

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE PRO UCHAZEČE O ZAMĚSTNÁNÍ

MZDOVÉ ÚČETNICTVÍ PRO PRAXI

Vysoké učení technické v Brně SMĚRNICE REKTORA Č. 14

Identifikace a elektronický podpis. Identifikace a geolokační technologie

SMĚRNICE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ. Směrnice o zpracování osobních údajů

Matematický ústav AV ČR, v. v. i.

Dopady nařízení eidas a související legislativy na veřejné vysoké školy

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

1. Příjmení a jméno Datum narození...rodné číslo Rodinný stav... číslo OP Manžel/ka (jméno, příjmení, datum narození)... 5.

INTERNÍ SMĚRNICE Č. 1/2018 ZPŮSOB NAKLÁDÁNÍ A PRÁCE S OSOBNÍMI ÚDAJI

Chráněné bydlení Pastelky o.p.s Vilémov 39 IČO: Tel.:

ICT seminář GDPR, eidas, ZoKB. Nové legislativní povinnosti organizací a co s tím?

Záznam o činnostech zpracování dle článku 30 nařízení GDPR

VNITŘNÍ SMĚRNICE DDM VĚTRNÍK

Zásady zpracování osobních údajů

Důvěra napříč Evropou nařízení eidas. + návrh zákona o službách vytvářejících důvěru pro elektronické transakce

Domov u lesa Tavíkovice, příspěvková organizace Tavíkovice 153, IČ , tel.:

Informace o zpracování osobních údajů

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Výběrové řízení ŽÁDOST O NÁJEM BYTU

Základní škola profesora Josefa Brože, Vlachovo Březí, okres Prachatice. Základní škola profesora Josefa Brože, Vlachovo Březí, okres Prachatice

Transkript:

Dynamický biometrický podpis a nařízení GDPR Prof. Ing. Vladimír Smejkal, CSc., LL.M. Moravská vysoká škola Olomouc, o.p.s. Vysoké učení technické v Brně, Fakulta podnikatelská vladimir.smejkal@mvso.cz www.mvso.cz www.znalci.cz

Co to je dynamický biometrický podpis

Dynamický biometrický podpis (DBP) Alternativa ke kryptografickému elektronickému podpisu. Vlastnoruční podpis doplněný technologickým backgroundem zajišťuje vysokou bezpečnost při zachování klasického způsobu podepisování. Uživatelsky daleko přijatelnější varianta oproti používání certifikátů (časově limitovaná platnost certifikátů a otravná práce s nimi).

Princip vytvoření DBP Snímá se vlastnoruční podpis na digitalizačním tabletu, vytvořený buď jakýmkoliv nástrojem nebo speciálním perem. Data obsahují 1. obrázek (statický podpis), 2. dynamické vlastnosti podpisu spojeného s typickým chováním podepisující se osoby.

Princip vytvoření DBP DBP obsahuje informace o tom: jak podpis byl vytvořen, jaké jsou charakteristické znaky podepisující se osoby, její návyky a projevy chování. Tyto vlastnosti představují biometrickou stopu, která je unikátní pro každého jednotlivce a nemůže být padělatelem reprodukována.

Dynamické charakteristiky Padělatel může napodobit Pokus o nápodobu obrázek, podpisu ale nikdy dle vzoru nenapodobí dynamická data. vykazuje diametrální odlišnosti v čase, kdy byly vytvořeny vzor i padělek. V rámci výzkumu provedeného v roce 2014 byly zkoumány mj. charakteristiky DBP při pokusu o padělání podpisu jiné osoby, jejíž podpisový vzor coby obraz byl k dispozici. Ani jeden padělatel ze 190 pokusů neuspěl. Stejné výsledky i u dalších, zahraničních výzkumů.

Využití dynamického podpisu V případech kdy budou DBP sloužit jako projev právního jednání nebo v jiných situacích, kdy je přítomnost podpisu důležitá (obchodní, pracovněprávní nebo zdravotnická dokumentace), pak je nasazení této formy autentizace dokumentu vysoce přínosné jak pro rutinní využívání, tak pro zajištění integrity zpracovávaných podepsaných elektronických dokumentů. (EZ, ČR)

Zabezpečení DBP: Schéma provázání DBP s dokumentem typu PDF Připojí se S/N, ČR apod. Pro kontrolu integrity PDF a šifr. BD Propojení dokumentu a BD Zašifrují se data AES a klíč pak RSA HASH1 z dokumentu a zašifrovaných biometrických dat HASH2 z HASH1 a nezašifrovaných biometrických dat

Dynamický biometrický podpis právně

DBP z hlediska českého práva - Nařízení eidas Uznávaný elektronický V čl. 3 najdeme definován podpis elektronický podpis takto: Elektronickým podpisem se rozumí data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena Kvalifikovaný Zaručený elektronický a která podepisující osoba používá k podepsání.. elektronický Není zde požadavek podpis na to, že podpis má sloužit (ZEP jako s metoda KvCt) k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě, jako tomu bylo doposud (Směrnice Elektronický + EPZ) podpis Nová definice elektronického podpisu zařazuje DBP jako EP i ZEP splňující požadavky stanovené v článku 26.

DBP z hlediska českého práva - NOZ 561 - Jiný právní předpis stanoví, jak lze při právním jednání učiněném elektronickými prostředky písemnost elektronicky podepsat. dříve z. č. 227/2000 Sb., nyní eidas a z. č. 297/2016 Sb. (komplikuje používání DBP pro veřejnou sféru vyžadováním KvEP a UzEP) 562 Písemná forma je zachována i při právním jednání učiněném elektronickými nebo jinými technickými prostředky umožňujícími zachycení jeho obsahu a určení jednající osoby.

DBP z hlediska českého práva - GDPR Slovo biometrie je původem z řečtiny a skládá se ze slov bios" a metron", přičemž slovo bios" znamená život a slovo metron" znamená měřítko. Jedná se tedy o jakési měření života". V oboru IT označujeme tímto výrazem systém či postup k rozpoznávání vzorů lidských vlastností. Biometrie (IT) je automatizované rozpoznávání lidských jedinců na základě jejich charakteristických anatomických rysů (např. obličej, otisk prstu, duhovka, sítnice) a behaviorálních rysů (tedy chování; např. dynamické vlastnosti podpisu, chůze). [DRAHANSKÝ, M. et al. Biometrie. Brno: Computer Press, s.r. o, 2011, s. 13]

DBP z hlediska českého práva - GDPR Základní pojmy biometrie: Biometrické modality aneb čím je člověk charakterizován (typ biometrie). Biometrická data - surová data nasnímaná čtečkou. Biometrická šablona (resp. model) - digitalizovaná charakteristika rozpoznávané osoby - vzhled (resp. chování ). Biometrická reference - komplet šablon/modelů charakterizujících rozpoznávanou osobu.

DBP z hlediska českého práva - GDPR Rozpoznávání má ale dvě varianty užití: Identifikací rozumíme rozpoznání entity systémem, a to na základě určitého identifikátoru, který je spojen s určitou osobou, reprezentuje jeho identitu a může být znám jiným osobám. (Jméno a příjmení, případně další identifikátory, odstraňující zaměnitelnost rodné číslo, číslo sociálního pojištění, bezvýznamový identifikátor atd.) Právně je identifikace určení osoby, která učinila určitý úkon.

DBP z hlediska českého práva - GDPR Autentizace znamená ověřování proklamované identity subjektu. Na listině vlastnoručním podpisem: podpisovým vzorem, podpisem před svědky, úředně ověřeným podpisem, nebo elektronickým podpisem.

DBP z hlediska českého práva - GDPR

DBP z hlediska českého práva - GDPR Cinkais, R., Vábek, J. Důležité otázky při výběru biometrické modality. Konference SECURITY 2015. Dostupné na https://konferencesecurity.cz/images/archiv/2015/for-download/t3-1.pdf.

DBP z hlediska českého práva - GDPR Z. č. 101/2000 Sb. citlivé údaje - osobní údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů ( 4 písm. b). GDPR "biometrickými údaji" se rozumí osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje (čl. 4 odst. 14)

DBP z hlediska českého práva - GDPR Podle 9 citlivé údaje je možné zpracovávat, jen jestliže a) subjekt údajů dal ke zpracování výslovný souhlas, nebo h) je zpracování nezbytné pro zajištění a uplatnění právních nároků. ÚOOÚ (8. 8. 2016): pokud tzv. dynamický biometrický podpis bude využíván stejně jako podpis klasický, tzn. jeho využití nebude spojeno s dalším automatickým zpracováním biometrických údajů (např. porovnávání podpisu s podpisovým vzorem za využití biometrických dat), bude se jednat o zpracování probíhající ve stejném právním režimu, jako při zpracování klasického podpisu. zpracování osobních, ale nikoliv citlivých údajů. Zakazuje se zpracování osobních údajů, které vypovídají o a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. (čl. 9 odst. 1) Odst. 1 se nepoužije, pokud jde o některý z těchto případů: a) subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, f) zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí. (čl. 9 odst. 2)

DBP z hlediska českého práva - GDPR ÚOOÚ (8. 8. 2016): pokud tzv. dynamický biometrický podpis bude využíván stejně jako podpis klasický, tzn. jeho využití nebude spojeno s dalším automatickým zpracováním biometrických údajů (např. porovnávání podpisu s podpisovým vzorem za využití biometrických dat), bude se jednat o zpracování probíhající ve stejném právním režimu, jako při zpracování klasického podpisu. zpracování osobních, ale nikoliv citlivých údajů ÚOOÚ (8. 6. 2017): GDPR přináší podstatnou změnu v právním pohledu na technologie zpracovávající biometrické údaje, mj. také v tom, že uchovávání biometrických šablon (template) a jejich zpracování za účelem identifikace osob považuje za zpracování zvláštní kategorie osobních údajů nebude tedy možno postupovat v mezích dosavadního stanoviska ÚOOÚ ÚOOÚ zveřejní aktuální stanovisko k biometrickým údajům.

DBP z hlediska českého práva - GDPR Podle našeho názoru: DBP snímá surová biometrická data, která jsou využívána pouze pro podepsání dokumentu, jejich využití nebude spojeno s dalším automatickým zpracováním biometrických údajů a DBP není používán pro identifikaci subjektu údajů. (Zásadní rozdíl: podpis autentizuje, identifikace probíhá jinak.) Biometrické údaje jsou šifrovány, chráněny proti neoprávněnému přístupu a jsou zpřístupněny třetí osobě (soudnímu znalci) pouze v případě sporu o pravost podpisu, a to velmi formalizovaným postupem obsahujícím vysoké záruky. Stále jde tedy o postup, který odpovídá dřívějšímu stanovisku ÚOOÚ - ve stejném právním režimu, jako při zpracování klasického podpisu. nejde o zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby.

Stanovisko ÚOOÚ č. 1/2017 - Biometrická identifikace nebo autentizace zaměstnanců Přístupové systémy - u přístupových systémů, kde zajištění bezpečnosti zpracováním citlivých biometrických údajů není stanoveno zvláštním zákonem prováděcí vyhláškou, lze biometrické identifikace s vyhledáváním biometrických údajů v databázi použít jen s výslovným souhlasem jejich nositele podle 9 písm. a) z. č. 101/2000 Sb. (!)

Stanovisko ÚOOÚ č. 1/2017 - Biometrická identifikace nebo autentizace zaměstnanců Docházkové systémy - Jestliže dojde např. při použití jednosměrného hashování k vytvoření číselného údaje, jehož zpětná rekonstrukce na biometrický údaj není možná, nelze již tento údaj považovat za biometrický a využití takového systému může být v určitých případech přípustné i bez souhlasu subjektu údajů, protože nedochází k uchovávání citlivého údaje. Pro další zpracování údajů o docházce do zaměstnání za účelem plnění práv a povinností vyplývajících z pracovněprávních vztahů je v tom případě aplikovatelná i výjimka z oznamovací povinnosti podle 18 odst. 1 písm. b) zákona o ochraně osobních údajů.

Stanovisko ÚOOÚ č. 1/2017 - Biometrická identifikace nebo autentizace zaměstnanců Důležitým hlediskem je, zda je použitý systém založen na autentizaci (verifikaci) fyzické osoby, nebo na identifikaci subjektu údajů v databázi, v níž jsou uchovávány osobní údaje i dalších subjektů údajů. Autentizační (verifikační) systém pouze ověřuje totožnost fyzické osoby porovnáním údajů 1:1. Při identifikaci systém rozpoznává jednotlivce odlišením od ostatních osob, tedy výběrem jednoho z možných případů. Povinnostem stanoveným zákonem o ochraně osobních údajů pro zpracování citlivých údajů proto nemusí podléhat systém, který pracuje pouze na principech autentizace, tedy metody kontroly příchodu a odchodu zaměstnance, kdy čtecí zařízení, do kterého otisk prstu vkládá na základě požadavku zaměstnavatele na kontrolu docházky sám zaměstnanec, porovnává údaje 1:1. Rozhodné pro posouzení, zda jde o z hlediska zásad ochrany přípustnou autentizaci, nebo o identifikaci, kterou je třeba podrobit přísné regulaci je, zda účelem použití otisku prstu, je pouze ověření totožnosti porovnáním s přiloženým prstem ruky, nebo v systému dochází k vyhledávání a porovnávání informací s údajem uchovávaným v databázi biometrických údajů, která musí být vždy považována za zpracování citlivých údajů, podléhající režimu 9 zákona o ochraně osobních údajů.

DBP z hlediska českého práva - GDPR Závěry: 1. eidas neohrozil DBP, spíše naopak, 2. právní úprava z. č. 297/2016 Sb. komplikuje používání DBP pro veřejnou sféru PROČ? 3. GDPR by nemělo rovněž ohrozit používání DBP, 4. a už vůbec ne, pokud se bude jednat o zpracování se souhlasem nebo nezbytné pro určení, výkon nebo obhajobu právních nároků (čl. 9, odst. 2, písm. f) GDPR)

dotazy? smejkal@znalci.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář