Moderní technologie v rámci systému kontroly vstupů do budov z pohledu práva
Pokud si chcete koupit čtečku dokladů, tato investice vás vyjde na cca. 20 tis Kč. Pokud ji hodláte používat např. v rámci kontroly návštěv podniku, zlepšení služeb recepce hotelu, může Vás tato investice stát i několik milionů, proč? Protože této částky může dosáhnout pokuta za porušení povinností při zpracování osobních údajů.
Zavedení systému kontroly vstupů do budovy je tradičním krokem každého vlastníka či provozovatele objektu, který hodlá chránit svá práva a realizovat své povinnosti v souvislosti s běžným provozem budovy nebo prostor s ní spojených (například areál podniku), jehož cílem je jak vlastní kontrola a evidence přístupu všech vstupujících osob, tak účinná obrana proti přístupu neoprávněných osob do střežených prostor či zabránění vstupu do zabezpečené oblasti nebo jednací oblasti ve smyslu § 24 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. Z pohledu ochrany osobních údajů jde v zásadě o legitimní nástroj pro ochranu práv dotčených osob (viz stanovisko Úřadu pro ochranu osobních údajů č. 3/2016 „Evidence návštěvníků při vstupech do budov a kopírování dokladů“1). Toto stanovisko však i po jeho posledních úpravách vychází spíše z tradičního způsobu identifikace vstupujících osob a zaznamenání osobních údajů návštěvníka do tzv. návštěvní knihy.
Současná praxe upřednostňuje tzv. „technickou kontrolu vstupu“, jejímž základním smyslem je provedení kontroly, ať jde o zaměstnance, nebo klienty či návštěvníky budovy s maximálním využitím dostupných technologií včetně dalších skenovacích zařízení s cílem prevence bezpečnostních incidentů uvnitř chráněného prostoru. Dnes provozované systémy většinou umožňují nejen zpracovávat základní identifikační údaje vstupujících osob, ale i sledovat pohyb jednotlivých osob i za vstupním prostorem s rozlišením jejich pohybu v definovaných zónách, s možností jejich vyhledání v případě nouzové situace, kontrolu průchodů zabezpečeným prostorem atd.
Základní součástí těchto systémů je speciální vstupní zařízení – čtečka dokladů, která má schopnost přečíst a dále zpracovat zakódované údaje a další informace (např. oprávnění ke vstupu do střežených prostor) a tyto vyhodnotit. Technické prostředky, které se v této souvislosti používají, byly původně vyvinuty jako podpora kontroly cestujících osob využívajících mezinárodní leteckou přepravu (proto je tato technologie vytvořena v souladu s mezinárodními standardy ICAO 9303). Toto softwarové řešení je velmi různorodé a je zastoupeno jednoduchým snímačem osobního dokladu nebo identifikační karty s rozpoznáním typu dokumentu bez evidence až po sofistikovaný systém, který ‒ poté co proběhne skenování a automatické určení typu předloženého dokumentu ‒ čtečkou přenese všechna textová data spolu s fotografií osoby a obrázkem celého dokumentu do aplikace, jež je založena na zpracování ukládaných informací podle nastavených parametrů. Tyto systémy tak evidující jednotlivé osoby, ale mohou současně analyzovat rizikové situace, což vyžaduje jejich propojení s dalšími aplikacemi a kontrolními mechanismy.
Právě oblastí používání čteček dokladů se budeme blíže zabývat, a to v souvislosti s aplikací § 15a zákona č. 328/1999 Sb., o občanských průkazech, který kromě zákazu pořizování kopie občanského průkazu bez souhlasu jeho držitele (ten byl již součástí i dřívější právní úpravy) obsahuje nově zákaz shromažďovat a ukládat (uchovávat) strojově čitelné údaje vedené v občanském průkazu, popřípadě v kontaktním elektronickém čipu, pokud tento nebo zvláštní zákon nestanoví jinak.
Až na jedinou výjimku, kterou je možnost provádění elektronické identifikace občana – držitele elektronicky čitelného dokladu pro ověření totožnosti v souvislosti s požadavkem na přístup k referenčním údajům, které jsou o něm vedeny v základních registrech podle zákona č. 111/2009 Sb., o základních registrech, není právním předpisem upravena žádná další výjimka ze zákazu obsaženého v § 15a zákona o občanských průkazech. Jinak řečeno, ani kdyby dohlížecí služba nebo služba recepce získala od držitele OP souhlas se zpracováním těchto informací pomocí technologie čtečky, nemohou tak učinit, respektive mohou využít čtecí zařízení jen pro provedení autentizace dokladu a identifikace jeho držitele.
Přitom čtečky dokladů jsou dnes základním a velmi praktickým nástrojem pro vedení dokumentace o vstupujících osobách do administrativních objektů, dále pro recepce v hotelovém nebo nemocničním provozu, protože při jejich použití dochází k urychlení základní vstupní procedury, na kterou často navazují další činnosti, služby nebo úkony spojené s odbavením klienta při příchodu nebo opuštění budovy. Použitím čtečky se tak výrazně zvyšuje komfort odbavení a snižuje i chybovost při ručním zadávání základních osobních údajů příchozího.
Díky jednoduchosti a cenové dostupnosti této technologie však často docházelo i k tomu, že byly shromažďovány a dále uchovávány osobní údaje, a to i po odchodu klienta, pacienta, odjezdu hotelového hosta apod. Časté jsou případy, kdy díky použití čtečky dokladů jsou do databáze provozovatele objektu ukládány nejen základní jmenné a adresní informace o držiteli dokladu, ale také fotografie těchto osob. Ostraha, hotelová služba, recepce apod. využívá tyto informace pro účel zvýšení stupně bezpečnosti. Zaměstnanci hotelové služby mohou například zkontrolovat pohyb hosta v prostorách hotelu dle jeho fotografie uložené v systému z kteréhokoliv počítače v hotelu. Na tuto skutečnost upozorňuje i Úřad pro ochranu osobních údajů v již zmiňovaném stanovisku, když v bodě 10 uvádí, že „lze osobní údaje návštěvníků budov uchovávat pouze po dobu, která je nezbytná k účelu jejich zpracování.“ Jako doba přiměřená pro účel evidence osobních údajů návštěvníka při vstupu se uvádí doba „maximálně několika týdnů“.
Kdo by se domníval, že díky platné právní úpravě § 15a zákona o občanských průkazech bude možné hledat přijatelné řešení v rámci stále se rozšiřující praxe technické kontroly vstupu, asi by se zmýlil. Jak si tedy situaci vyložit dále?
Na jedné straně platí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, jako obecná právní úprava, která upravuje základní právní podmínky pro zpracování osobních údajů. Dále platí jako zvláštní právní úprava podmínek pro zpracování osobních dat již zmiňovaný § 15a odst. 3 zákona o občanských průkazech obsahující taxativní výčet operací, které nelze při manipulaci s OP vybaveným strojově čitelnou zónou provádět. Jde zejména o shromáždění, ukládání (pro budoucí zpracování), předávání, šíření stejně jako v případě kombinování nebo uchovávání těchto dat. Obdobně je zákon č. 328/1999 Sb. přísný i co se týká možnosti zpracovávat údaje obsažené v kontaktním elektronickém čipu občanského průkazu.
V zásadě tak platí již zmiňované stanovisko Úřadu pro ochranu osobních údajů, které se týká problematiky evidence návštěvníků při vstupu do budov. Z tohoto publikovaného dokumentu vyplývá, že v případech, kdy objekt není určen k návštěvám veřejnosti, je právem vlastníka, provozovatele nebo správce objektu, s ohledem na odpovědnost za majetek, provoz a případně i zajištění bezpečnosti v objektu, požadovat, aby návštěvník uvedl jméno navštívené osoby (příp. číslo kanceláře) a poskytl své identifikační údaje v rozsahu jméno a příjmení. V případě pracovního jednání je důvodné vyžadovat i předložení služebního průkazu, jehož číslo včetně názvu vysílající instituce lze v této souvislosti zaznamenat. Pokud je návštěva vykonána mimo rámec pracovní nebo služební povinnosti, je tímto dokladem především občanský průkaz nebo cestovní doklad, případně i jiný, účelu návštěvy odpovídající dokument, jehož číslo a druh lze opět v této souvislosti zaznamenat.
Toto stanovisko bylo zpracováno jako technologicky neutrální dokument, je však na škodu, že po přepracování původního stanoviska č. 1/2004 se jeho obsah již nedotýká i zcela zvláštní právní úpravy pro možnost identifikace a vedení jmenné evidence návštěvníků kasina, upravenou v § 36 zákona č. 202/1990 Sb., o loteriích a jiných podobných hrách, ve znění pozdějších předpisů. Rozsah identifikace včetně způsobu jejího provádění a uchovávání osobních údajů návštěvníka kasina se řídí Hlavou I Identifikace a kontrola klienta zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů. Dalším právním předpisem, který by mohl ovlivnit současný stav provozování systémů kontroly vstupů je zákon č. 412/2005 Sb., o ochraně utajovaných informací a bezpečnostní způsobilosti, ve znění pozdějších předpisů, v části, která se věnuje podmínkám pro zajišťování fyzické bezpečnosti a nasazení systémů pro kontrolu vstupu, včetně prováděcích vyhlášek a souvisejících dokumentů, kterými je i veřejně publikovaný seznam certifikovaných systémů NBU2. Naopak za pozitivní je třeba uvést, že se nově upravené stanovisko č. 3/2016 ve své části označené jako 11 zmiňuje o možnosti elektronicky vedené databáze a upozorňuje na povinnosti vyplývající pro povinné subjekty z § 13 zákona č. 101/2000 Sb.
Závěr
Pokud chceme podporovat a používat moderní technologie při provádění identifikace osob při vstupu do budov a souvisejících prostor a vedení související evidence, musíme vždy pečlivě zvážit legitimitu účelu a prostředků zpracování skenovaných informací a tomu přizpůsobit i jejich rozsah.
V této souvislosti nelze opominout informační povinnost podle § 11 zákona č. 101/2000 Sb., které je odpovědný subjekt povinen dostát již při shromáždění osobních údajů. Právě schopnost zaměstnanců ostrahy podat všechny relevantní informace o prováděném zpracování často pokulhává a je příčinou stížností podávaných na Úřad.