Údaje z nových občanských průkazů bude moci zjišťovat široká řada subjektů. Technologie dříve využívaná pro ochranu dat a pro přechod hranic se nyní šíří ve státním i soukromém sektoru, kde podmiňuje služby. Se zákazem zpracování údajů se nepočítá. Lidé by o tom podle Úřadu pro ochranu osobních údajů (ÚOOÚ) měli být informováni a sami při vydání dokladu rozhodnout, zda údaje chtějí poskytovat. Prokazovat totožnost je povinnost v bance, v dopravě, při volbách, v kasinu, na policii nebo při ubytování v hotelu a na dalších místech.
Vyplývá to ze stanoviska ÚOOÚ k zavádění nových občanských průkazů se strojově čitelnými údaji. Ty v sobě mají údaje trojího charakteru.
Co obsahuje každý občanský průkaz
Předně jsou to údaje uvedené v občanském průkazu v podobě bezprostředně čitelné člověkem. Za druhé jsou to údaje uvedené ve strojově čitelné podobě: [na zadní straně – 2D kód = dvoudimenzionální čárový kód s vysokou informační hodnotou a schopností detekce a oprav při jeho porušení (zapsáno je číslo občanského průkazu) + údaje uvozené kódem „IDCZE“, kde je kód dokladu, kód vydávajícího státu, číslo dokladu, kontrolní číslice, datum narození, kontrolní číslice, pohlaví, datum platnosti, kontrolní číslice, státní občanství, celková kontrolní číslice, příjmení, jméno, popřípadě jména občana].
A za třetí jde o „data elektronicky uložená v občanském průkazu („s využitím nosiče dat“ – bezkontaktního elektronického čipu)“. „Je odpovědností správce, aby si uložil a dále zpracoval pouze ty osobní údaje na občanském průkazu sub. 1, které jsou k jeho účelu zpracování osobních údajů nezbytné,“ dodává k tomu ÚOOÚ.
Původní účel: Ochrana dat a přechod hranic
Ohledně údajů na občanském průkazu druhého a třetího typu je podle ÚOOÚ nutno rozlišovat úpravu de lege lata: Zákon o občanských průkazech výslovně zakazuje shromažďovat, ukládat, upravovat nebo pozměňovat, předávat, šířit, zveřejňovat, uchovávat, kombinovat, blokovat nebo likvidovat strojově čitelné údaje vedené v občanském průkazu, popřípadě v kontaktním elektronickém čipu, pokud tento zákon nebo zvláštní právní předpis nestanoví jinak, uvádí se ve stanovisku.
Tato úprava pochází z roku 2010, „kdy účelem tohoto zákazu bylo chránit držitele občanského průkazu před zneužitím jeho osobních údajů, popřípadě jejich předávání jiným subjektům v elektronické podobě, přičemž technologie strojově čitelné zóny byla zpravidla využívána toliko při překračování státních hranic“, vysvětluje Úřad.
Zákaz zpracování dat z čipu se nekoná
Jenže doba, technologie i politika se mění. V nové době už se nepočítá se zákazem zpracování osobních dat čitelných strojem. „Vzhledem k tomu, že postupem času se vyvinulo vícero technologií, které mohou strojově využívat osobní údaje, aniž by je musel subjekt ručně opisovat (např. bankovní sektor), došlo i k novému náhledu na skutečnost v poskytování strojově čitelných údajů,“ uvádí se ve stanovisku.
A tak úplný zákaz zpracování už nebude platit: „De lege ferenda v souvislosti s nařízením Evropského parlamentu a Rady (EU) 2019/1157 ze dne 20. června 2019, o posílení zabezpečení průkazů totožnosti občanů Unie a povolení k pobytu vydávaných občanům Unie a jejich rodinným příslušníkům, kteří vykonávají své právo volného pohybu, se již nepočítá se zákazem tohoto zpracování osobních údajů, nýbrž v ustanovení § 39 písm. d) návrhu nového zákona o občanských průkazech se pouze zakazuje zpracovávat údaje uvedené v občanském průkazu a data pro elektronické využití občanského průkazu bez souhlasu držitele,“ uvádí Úřad s tím, že uložení, načtení a shromáždění osobních údajů z bezkontaktního čipu znamená jejich zpracování ve smyslu GDPR.
Povinnost všech předkládat doklad proti terorismu
„Z toho vyplývá, že bude záležet ve většině případů na občanovi, zda poskytne údaje či nikoli. I nadále výjimku z tohoto bude znamenat zvláštní právní předpis, který stanovuje povinnost poskytnutí (např. zmíněný zákon č. 253/2008 Sb.),“ uzavírá Úřad.
Jde o zákon potírající terorismus a praní špinavých peněz tím, že každý se musí ve finanční instituci, pojišťovně identifikovat a banka musí jeho data ukládat: „Prokázání totožnosti je v řadě případů zákonnou povinností, bez jejíhož splnění se neobejde uplatnění určitého práva nebo poskytnutí nějaké služby. Zákonnou povinnost20 identifikovat klienta mají povinné osoby podle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „zákon č. 253/2008 Sb.“), např. banky, investiční společnosti, pojišťovny, auditoři, daňoví poradci nebo účetní. První identifikaci klienta, který je fyzickou osobou, provede povinná osoba za fyzické přítomnosti identifikovaného, přičemž povinná osoba identifikační údaje zaznamená a ověří z průkazu totožnosti, jsou-li v něm uvedeny, a dále zaznamená druh a číslo průkazu totožnosti, stát, popřípadě orgán, který jej vydal, a dobu jeho platnosti; současně ověří shodu podoby s vyobrazením v průkazu totožnosti,“ cituje zákon Úřad s tím, že v nepřítomnosti klienta mohou tyto instituce pořizovat dokonce kopie dokladů.
Doklad totožnosti je třeba už téměř všude
Povinnost prokazování totožnosti mají občané v ČR vůči všem orgánům veřejné moci. Jsou to Policie ČR, soudy, správní orgány a podle správní řádu a občanského soudního řádu také doručovatelé pošty.
Bez prokázání totožnosti se neobejde zdravotnictví, doprava a ani průmysl hraní a hazardu a také volby: „Volič musí prokázat svoji totožnost volební komisi, pacient musí na požádání prokázat totožnost zdravotnickému pracovníkovi, bez prokázání totožnosti se neobejde návštěva kasina. Cestující, který se neprokáže jízdním dokladem ve vlaku, autobuse nebo tramvaji, má povinnost prokázat se osobním dokladem a sdělit osobní údaje osobě pověřené ke kontrole. Účastníci dopravní nehody jsou povinni si prokázat na požádání navzájem svou totožnost,“ vyjmenovává Úřad.
Kromě toho je prokázání totožnosti potřebné v soukromoprávních vztazích – při plnění smluv nebo při prokázání totožnosti návštěvníka objektu, výrobního zařízení. Evidence by neměla být vedena podle ÚOOÚ při vstupu do veřejných budov jako jsou obchodní centra, uvádí Úřad ve svém stanovisku.
Samostatnou kapitolou je pořizování kopií dokladů – například při dálkovém uzavírání smluv, při obchodech s uměleckými díly, v bazarech, u notáře. Známé je ono sporné kopírování dokladů při půjčování aut a dalších věcí spolu s kaucí.
ÚOOÚ: Číst čipy by měly jen certifikovaní
Podle Úřadu pro ochranu osobních údajů by měla platit zásada minimalizace dat, tedy předávání dat nezbytných a jen ve vztahu k předmětné činnosti. „I v těchto případech tedy soukromý subjekt nejen nemá získat údaje, které ke své činnosti nepotřebuje, ale má mít přístup jen k takovým, které potřebuje. Příkladem může být existující právní úprava v Německu, kde jednak soukromé subjekty (poskytovatelé služeb) mohou zpracovávat osobní údaje jen v nezbytném rozsahu, jednak musí požádat o vydání certifikátu (časově omezeného), na jehož základě mohou načítat osobní údaje z bezkontaktního elektronického čipu.
„Při vydání povolení je přitom zohledněno hledisko ochrany osobních údajů v podobě jedné z podmínek, kterou je zajištění dodržování ochrany osobních údajů. V souladu s ochranou osobních údajů je například i to, kdy by se fyzická osoba mohla při vydání občanského průkazu rozhodnout, zda chce své osobní údaje poskytovat soukromým poskytovatelům služeb nebo nikoliv. To by předpokládalo poskytnutí dostatečného vysvětlení ve formě informační povinnosti před vydáním občanského průkazu,“ uzavírá své stnaovisko Úřad pro ochranu osobních údajů.
Irena Válová