Analýza nabídky dotace na nákup a instalaci biometrických nebo obdobných domovních vstupních systémů učiněné MČ Praha 1

Dle nedatovaného dokumentu opatřeného v záhlaví znakem MČ Praha 1 a podepsaného starostou MČ Praha 1 Petrem Hejmou, předsedkyní Výboru proti vylidňování centra a pro podporu komunitního života Bronislavou Sitár Baborákovou a radním pro majetek Janem Votočkou, nabízí MČ Praha 1 jednorázovou a nevratnou dotaci na nákup a práci spojenou s osazením systému biometrické nebo obdobné identifikace (dále též jako „Identifikační systémy“), kamerového systému a ročního pojištění proti poškození biometrického nebo obdobného systému, a to všem společenstvím vlastníků jednotek a bytovým družstvům, která o takovou dotaci požádají.
 
V souvislosti s užíváním Identifikačních systému je třeba upozornit na pravidla stanovená zejména
NAŘÍZENÍM EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále též jako „GDPR“).
 
Dle výše uvedené nabídky mají Identifikační systémy chránit domy „proti nezvaným návštěvníkům“. Lze tedy usuzovat, že jednotlivé vstupy do budov mohou být po získání předmětné dotace osazovány Identifikačními systémy, které budou snímat, resp. zpracovávat citlivé údaje o konkrétních fyzických osobách (dále též jako „Subjekt údajů“).
 
Dle článku 4 odst. 14 GDPR se biometrickými údaji rozumí „osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje“
 
Z článku 9 odst. 1 GDPR pak mj. vyplývá, že je zakázáno zpracování genetických a biometrických údajů, jsou-li zpracovávány za účelem jedinečné identifikace fyzické osoby. Tento zákaz může být prolomen v některém z případů, které jsou uvedeny ve druhém odstavci článku 9 GDPR. Z tam vypočtených případů lze prakticky uvažovat o jediném, který by mohl v posuzované situaci prolomit zákaz zpracování biometrických či genetických údajů prostřednictvím dotovaných Identifikačních systémů, a to o případu, kdy každý Subjekt údajů udělí výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů (článek 9 odst. 2 písm. a) GDPR).
 
Jakkoli lze předpokládat, že společenství vlastníků jednotek, potažmo bytové družstvo, které o dotaci zažádá, si rovněž bez větších obtíží schválí osazení domu dotovaným Identifikačním systémem, tj. naplní potřebná hlasovací kvóra, nelze tak snadno usuzovat na udělení souhlasu se zpracováním citlivých osobních údajů všemi vlastníky jednotek v domě. Pak vyvstává prostá otázka – jak se vlastník jednotky, který se zpracováním biometrických či genetických údajů prostřednictvím dotovaných Identifikačních systémů neudělil souhlas, dostane do domu a ke své jednotce, pakliže vstup bude umožněn pouze osobám identifikovaným skrze zmíněné citlivé osobní údaje? Tento problém se navíc netýká jenom vlastníků, ale i dalších osob, které legálně byty užívají (nájemci, spolužijící osoby).
  
 Racionálně lze na uvedenou otázku odpovědět pouze tak, že společenství vlastníků jednotek, (resp. bytová družstva) bude povinno zajistit takovému vlastníku alternativní přístup do budovy, při kterém nebudou jeho biometrické či genetické údaje zpracovány. Nadto by mělo být zajištěno, že nikdo (tj. nejen vlastníci jednotek v domě) nebude snímán bez předchozího souhlasu, což v praxi znamená např. nutnost vyvolat snímání biometrických či genetických údajů kupříkladu stiskem tlačítka. Tyto závěry vyplývají mj. z Pokynu 3/2019 ke zpracování osobních údajů prostřednictvím video zařízení (plenární zasedání Evropského sboru pro ochranu osobních údajů (EDPB) 9-10. července 2019).
 
S ohledem na výše popsané závěry je pak otázkou smysluplnost celé dotace na pořízení Identifikačních systémů, je-li jejím účelem tvrzená ochrana domu „proti nezvaným návštěvníkům“. V situaci, kdy neposkytne se zpracováním biometrických či genetických údajů souhlas byť jediný vlastník jednotky v domě, bude muset být do domu zajištěn přístup alternativní (čti v podstatě stejný jako doposud). Alternativním přístupem je v tomto případě třeba rozumět takový přístup, který každému umožní vstup skrze přenositelný prostředek, tj. typicky klíč či kód, jehož prostřednictvím bude moci do domu kromě vlastníka jednotky vstoupit též např. osoba blízká či krátkodobě ubytovaný host, a to bez přítomnosti vlastníka jednotky. Lze tedy shrnout, že dotované řešení je naprosto bezzubé a „nezvaní návštěvníci“ budou mít do jednotky vlastníka, který se zpracováním biometrických či genetických údajů neudělil souhlas (a tedy do budovy), přístup „bezproblémový“ tak, jako měli dosud bez Identifikačních systémů.
 
Vedle výše uvedeného problému je třeba zmínit i nepraktičnost zvoleného řešení pro užívatele bytových jednotek. Do domu zcela legálně vstupují i další osoby, které v domě přímo nebydlí. Může jít např. o poštovní doručovatele, zaměstnance poskytovatelů sociálních služeb, osoby pověřené vlastníky či nájemce (např. zalévání kytek během dovolené apod.) Přístup těchto osob, které v běžném režimu disponují klíči, které jim poskytl uživatel bytu, by byl velmi zkomplikován ke škodě vlastníků či jiných oprávněných uživatelů bytů. Zřejmě by se řešení opět neobešlo bez nutnosti zajištění alternativního vstupu do domu.
Problematický může být i záměr vstupy na biometriku opatřit kamerovými systémy. Fungování těchto systémů má rovněž svá pravidla daná GDPR. Jejich užití v bytových domech není paušálně možné, ale vždy je třeba zvažovat celou řadu faktorů počínaje bezpečnostní situaci v tom kterém domě, výběrem kamer a jejich rozlišení, nastavení zabíraných úhlů, zajištění zabezpečení záznamů atd.
 
Závěr:
Ačkoli vsoučasné době poskytování krátkodobého ubytování ustoupilo v důsledku omezení souvisejících s epidemií COVID-19, lze předpokládat, že v řádu měsíců se situace opět začne pomalu vracet do starých kolejí. Z tohoto pohledu je pozitivní snaha o řešení negativních jevů spjatých s poskytováním krátkodobého ubytování. Máme nicméně za to, že zavádění biometrické kontroly u vstupů do budov je zcela nevhodným řešením, které ve většině případů povede k porušování ustanovení o ochraně osobních údajů zakotvených v GDPR. Obáváme se, že SVJ či bytová družstva nemají dostatečné kapacity na to, aby možné důsledky posoudily ve všech souvislostech. Máme za to, že by mělo být úkolem MČ Praha 1, pokud daný dotační program vypisuje, aby byly důkladně zváženy možné dopady.
 
v Praze dne 20. 4. 2020
Zpracovali: Mgr. Marek Hučík, Mgr. Jan Vobořil, Ph.D.