Dne 25. května 2018 nabývá účinnosti evropský předpis, který nově nastavuje ochranu osobních údajů mj. z důvodu proměn a rychlého rozvoje technologií, tzv. obecné nařízení o ochraně osobních údajů (nařízení Evropského parlamentu a Rady, č. 2016/679). V čl. 9 upravuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Tato úprava přináší podstatnou změnu v právním pohledu na technologie zpracovávající biometrické údaje, mj. také v tom, že uchovávání biometrických údajů, včetně šablon (template) a jejich zpracování za účelem identifikace osob, považuje za zpracování zvláštní kategorie osobních údajů.
Obecné nařízení v otázkách zpracování biometrických údajů plně nahradí dosud platné ustanovení zákona o ochraně osobních údajů, nebude tedy možno postupovat v mezích dosavadní právní úpravy a stanovisek Úřadu pro ochranu osobních údajů. Právní úprava v obecném nařízení a nové nástroje ochrany osobních údajů nejsou totožné s dosud platným § 4 písm. b) zákona o ochraně osobních údajů. Z pohledu nové právní regulace i rychlého vývoje technologií je totiž nutno systémy s biometrickými údaji považovat za systémy s citlivými údaji, které vyžadují zvláštní, resp. přísnější systém ochrany.
Kontroly zpracování osobních údajů prováděné v současné době jsou již vedeny s přihlédnutím k výše uvedené skutečnosti. Úřad proto považuje za vhodné, aby správci osobních údajů měli již nyní informace o postupu, který nebude v rozporu s obecným nařízením po jeho účinnosti. V návaznosti na výsledky kontrol a na nové poznatky ÚOOÚ zveřejní aktuální stanovisko k biometrickým údajům.
Biometrické technologie, přes jejich stále větší dostupnost a dosažitelnost (technickou i finanční), nejsou plnou náhradou jiných bezpečnostních řešení a samy o sobě větší bezpečnost nezajišťují. Správci pořizující si takové systémy mají nejen povinnost posoudit přiměřenost konkrétního řešení a rizika s ním spojená, ale také musí vhodně kombinovat biometrický systém s dalšími bezpečnostními opatřeními. Správci musí předem zkoumat, zda existují vážné hrozby, které instalaci takových systémů odůvodňují, a průběžně posuzovat účinnost biometrických systémů.
K použití biometriky by měl být dán vážný důvod a současně by měly být zkoumány i další dopady na dotčené osoby. Zvláštní pozornost je přitom třeba věnovat použití biometriky např. u dětí ve školách. Jedná se o výjimečné případy, kdy není dán zákonný titul pro zpracování údajů a bude nutno dodržet pravidla pro získání souhlasu se zpracováním osobních údajů od každé dotčené osoby.
