Biometrický podpis: Poplašná zpráva ÚOOÚ? - Legal TV

MV: 

Víte, co je to dynamický biometrický podpis? Komu slouží a k čemu? Nemůže jeho užívání ohrozit nové rozhodnutí Úřadu pro ochranu osobních údajů, které podle odborníků staví užívání informačních technologií tak trochu na hlavu? To se dozvíte v pořadu Cui bono na téma “Dynamický biometrický podpis”.

Vítá vás u něj Michaela Vašinová.

MV: 

Pozvání do pořadu Cui bono přijali profesor Vladimír Smejkal, soudní znalec v informačních technologiích a řadě dalších oborů, dobrý den.

A advokát doktor Martin Maisner, mezinárodně uznávaný odborník na právo informačních technologií, dobrý den.

Pane doktore, začnu u vás. Možná je namístě na úvod vysvětlit, v čem spočívá podstata dynamického biometrického podpisu a čím se liší od ostatních elektronických podpisů. Komu vlastně slouží a k čemu? 

MM:

To je krásně položená široká otázka. Já nejdřív začnu tím vymezením. Principiálně elektronické podpisy se rozlišují na kryptografické, které užívají vlastně to podpisování se děje souborem dat, nikoliv mechanickým zobrazením jména na nějaké destičce. A zatímco ten biometrický podpis spočívá v tom, že máte pisátko, podepíšete se na destičku nějakou snímací a ta může buď u těch méně dokonalých sejmout akorát obrázek, který potom slouží k vizuálnímu porovnávání vzorce a samozřejmě jaksi certifikační hodnota takového podpisu je minimální. A nebo biometrický podpis, který skutečně současně s tím obrázkem toho podpisu snímá i určité údaje, ať už je to rychlost, síla přitlačení, směr a tak dále. Který je charakteristický pro toho podpisujícího a tudíž podle něj lze velmi spolehlivě identifikovat, zda jaksi ten podpis učinila vlastnoručně určitá osoba či nikoliv. Jsem to hodně zjednodušil, aby to bylo pochopitelnější. Samozřejmě tyto elektronické podpisy včetně dynamického biometrického podpisu slouží k verifikaci, k podepisování stejně jako tedy vlastnoruční podpis husím brkem namočeným do duběnkového inkoustu. Akorát v rámci elektronických podpisů já osobně tento způsob preferuji, protože tam je zachována ta vlastnoručnost, co po staletí byla charakteristický rys podpisování a který mi u toho kryptografického  trošku jako systémově chyběl.

MV: 

Jak vnímá dynamický biometrický podpis současná právní úprava? Jak se na něj dívá GDPR?

VS:

Já bych v prvé řade chtěl říci, že GDPR je až ten poslední právní předpis, který by nás měl nějakým způsobem zajímat nebo který možná podle názoru českého úřadu ohrožuje dynamický biometrický podpis. My v podstatě musíme vycházet od obecných právních úprav, jako jsou ustanovení § 561 a § 562 občanského zákoníku, které nám říkají, jak vypadá podpis a, že se můžeme podepsat elektronicky. Máme tady již několik let působící takzvané nařízení o elektronické identifikaci neboli eIDAS, které tedy přímo působí v českém právním řádu a které říká, jak má vypadat podpis, elektronický podpis, autentizace osob a tak dále.  A teprve až tady tím vším se probereme, případně máme tady ještě zákon o službách vytvářejících důvěru pro elektronické transakce, který jakýmsi  způsobem ještě upřesňuje některé způsoby podepisování zejména v oblasti komunikace s orgány veřejné moci. A teprve následně se zabýváme tím, jestli celá ta agenda toho podepisování, je nebo není nějak v rozporu s nařízením o ochraně osobních údajů čili GDPR.

MV:

Je vůbec tedy možné podle GDPR dynamický biometrický podpis užívat? 

VS:

Samozřejmě, že je. Hysterie okolo GDPR byla obrovská a dneska ještě přetrvává a tak trochu zastihla nebo postihla i dynamický biometrický podpis. A to v souvislosti s tím, že vlastně tam ten dynamický biometrický podpis má dvě roviny, tak jak říkal učený kolega doktor Maisner. Obrázek a tu biometriku pod tím. To je pro nás obrovské plus, protože vlastními experimenty jsme prokázali, že takový podpis nelze padělat. Na rozdíl od obrázku, což si myslím, že je veřejnosti a dokonce nejen odborné všeobecně známo. A je to vlastně tedy ta neviditelná vrstva je jakási biometrika. A nařízení GDPR říká, za jakých situací je možné biometrická data zpracovávat. A tam je jeden klíčový moment, podle mého názoru i toto je zbytečné, ale musíme s tím nějak žít, že tedy se tato biometrická data nemají bez souhlasu dotčených osob používat k identifikaci. Já bych chtěl říci tady důležitou věc. Ten podpis nepoužíváme k identifikaci, protože z obsahu toho dokumentu my víme, kdo se podepisuje. Jinak by to nemělo smysl. My ho používáme k autentizaci neboli ověření toho, že ta osoba tedy ví, co podepsala, souhlasí s tím a tak dále.  A to je ten základní problém, který dnes se šíří formou poplašné zprávy po České republice, protože Úřad pro ochranu osobních údajů nedokáže rozlišit, co to je identifikace a autentizace.

MV:

V úvodu jsme zmínili nové překvapivé rozhodnutí Úřadu pro ochranu osobních údajů. O jaké rozhodnutí jde?   

VS:

Je to rozhodnutí individuální. Nejedná se o nějaké obecné stanovisko a mohu o tom hovořit samozřejmě, jak se říká bez znalosti spisu. Ale z toho rozhodnutí vyplynuly dvě překvapivé informace, nebo dva překvapivé závěry, tak jak jste říkala, nad kterými zůstává trochu rozum stát. Za prvé, že tedy úřad zaměňuje identifikaci s autentizací, což není pravda. Ale úřad na základě toho generuje, že to není vůbec přípustné takový podpis používat. A to dokonce i přesto, že všichni, kteří ten podpis použili, dali předem k tomu souhlas. To už mně připadá jako těžce komunistické sociální inženýrství, kdy úřad říká, no vy jste sice dali souhlas, ale nás to nezajímá. My víme sami lépe, co můžete dělat a co nemůžete.  S tím nemohu už z takového ústavněprávního principu souhlasit.  A druhá věc je, že úřad přímo v tom rozhodnutí tomu konkrétnímu subjektu v podstatě napsal. My vám doporučujeme, a zdůrazňuji, že to bylo bankovní to znamená v dost citlivé praxi. My vám doporučujeme, aby jste se vrátili k obyčejným obrázkům na papíru. No, to mně připadá zhruba stejné, jako když na počátku 19. století takzvaní luddité rozbíjeli stroje s tím, že jim berou práci. Tak Úřad pro ochranu osobních údajů z nějakého svého podle mého názoru pomýleného hlediska vlastně rozbíjí elektronické podepisování. 

MV:

Co na to říkáte vy z hlediska praktických dopadů? 

MM:

Z hlediska praktických dopadů. Já se obávám, že to je opravdu rozhodnutí nešťastné. Já si bohužel myslím, že je hlavně nekvalifikované. Problém je v tom, že já vůbec nezpochybňuju, možná v té dotyčné bance s tím zacházeli takovým způsobem, jako když sedí malé dítě na stohu a škrtá sirkami. To já nemůžu vyloučit. Možná, že na to ani neměli to správné zařízení. Takže já se obávám prostě, že to rozhodnutí doufejme je jenom chybné a vadně zpracované, že řekli ano, dynamický biometrický podpis ano, ale prosím vás ne tímto způsobem, takto neodborně a tak dále. V okamžiku, kdybychom  vzali za bernou minci, že toto je tedy ten budoucí výklad závazný navždy, který se bude aplikovat i v ostatních případech, tak je to strašlivý průšvih, protože, jako ty banky skutečně šly touto bezpečnou cestou, používá to řada bank. Řada dalších a dalších organizací pro tu autentizaci. Směřuje to vlastně v jejich vizi do takzvaných paperless office, že vše bez papírů, vše vlastně jaksi formou elektronickou. To znamená, pokud jim seberete tenhle spolehlivý nástroj, který v podstatě nemá srovnatelný ekvivalent, tak se to buď nějakým způsobem zastaví. To do čeho nainvestovali budou muset přestat užívat. Nebo to budou užívat s nějakou mírou rizika. A v současné době je na trhu poplach. Jsou zděšení a říkají, co budeme teď dělat jako. Co to znamená? Znamená to, že to máme vypnout. Rozdat inkoustové tužky a říkat přijďte se nám všichni znova podepsat. Jako je to opravdu nešťastné. Já jsem to původně panu profesorovi nechtěl věřit, když mi sdělil tuto hrůznou novinu a je to  skutečně pravda. Já to budu i prezentovat v rámci advokátní komory,  protože chceme být trošku předvídavější. A pokusíme se to s Úřadem pro ochranu osobních údajů nějak citlivě probrat. Jsme řekli dobře, tak to rozhodnutí chápeme, že bylo jaksi ve vypjaté situaci, ale prosím vás možná byste se na to měli koukat jako ostatní normální odborníci a nikoli tímto zvrhle amatérským pohledem.  

MV

Jak si, pánové, myslíte, že se bude situace dále vyvíjet, pane profesore?

VS:

Já doufám, že se bude vyvíjet lépe, než to zatím proběhlo. Protože domnívám se, že Úřad pro ochranu osobních údajů nemůže popírat vlastním výkladem principy nařízení GDPR. Mimochodem chtěl bych podotknout, že například v Německu, kde jsme se ptali prostřednictvím výrobců těch zařízení pro biometrické podpisy, tak oni byli velice udiveni a říkali, ale u nás nikdo nic takového neřeší. Takže já toto považuji jako za určitý exces, který doufám, že se podaří vysvětlit. Nelze vyloučit, tak jak říkal doktor Maisner, že prostě to v konkrétním případě nebylo v pořádku. Možná je to také, jak se s oblibou říká o kvalitě právního zastoupení. Ale myslím si, že úřad by měl daleko opatrněji vážit svá slova. Protože tímto v podstatě vytvořil, vygeneroval poplašnou zprávu, která zděsila finanční trh, telekomunikační operátory, leasingové firmy a v podstatě, kde koho. Já vím podle vlastních zkušeností, že těch správných a bezpečných implementací biometrického podpisu jsou v České republice desítky, možná už jich bude stovka. 

MV:

Pane doktore, podle vás se bude situace vyvíjet jak?

MM:

Je to určitě tak, jak řekl pan profesor. S tím, že skutečně Úřad pro ochranu osobních údajů nemůže vyložit GDPR tak, aby říkal něco jiného, než co tam je napsané. Ale podle mých zkušeností se o to určitě pokusí. Takže budeme samozřejmě vyjednávat a pokusíme se to vrátit zpátky na koleje. Pravda určitě zvítězí, ale možná to ještě dá práci.

MV: 

Děkuji našim hostům, tolik profesor Vladimír Smejkal, soudní znalec v informačních technologiích a advokát doktor Martin Maisner, mezinárodně uznávaný odborník na právo informačních technologií. Těším se na setkání s vámi u dalšího dílu pořadu Cui bono. Přeji vám pěkný den.

Poznámka: Hosté pořadu Cui bono komentovali rozhodnutí Úřadu pro ochranu osobních údajů, které koluje mezi odborníky na internetu. Mělo by jít o rozhodnutí, vydané pod Čj. UOOU – 10138/18-8.

Připravujeme

Zde můžete položit dotaz hostům připravované relace na téma:

  • Komu slouží oddlužení
  • Diskutovat se bude o “oddlužovací” novele insolvenčního zákona