Kasino
Kontrola zpracování osobních údajů včetně zvláštních kategorií (otisků prstů) při provozování hazardních her
Předmětem kontroly, zahájené na základě kontrolního plánu pro rok 2019, bylo dodržování povinností při zpracovávání osobních údajů, včetně zvláštních kategorií osobních údajů při provozování hazardních her.
Kontrolovány byly všechny postupy zpracování osobních údajů a údajů zvláštní kategorie, zpracovávané kasinem v souvislosti s provozováním hazardních her podle zákona č. 186/2016 Sb., o hazardních hrách, zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, a zákona č. 69/2006 Sb., o provádění mezinárodních sankcí, a dalších, a to nejen ve smyslu prověření vnitřních předpisů v oblasti technicko-organizačního zabezpečení.
Kasino je, jakožto provozovatel hazardní hry, povinno registrovat každého účastníka hazardní hry. Při registraci a každé další návštěvě hráče je povinno provádět identifikaci účastníka hazardní hry. Postup a náležitosti identifikace se řídí zákonem č. 186/2016 Sb., o hazardních hrách.
K registraci a identifikaci má každý hráč možnost využít jednu z tří možností, a to otisk prstu (hashuje se), face-id (detekce obličeje s využitím hashe) společně s účastnickou kar-tou, nebo účastnická karta a občanský průkaz.
Vzhledem k tomu, že kasino jako správce zpracovává mj. i biometrické údaje (otisk prstu a face-id), je potřeba brát v potaz i čl. 9 odst. 1 nařízení (EU) 2016/679, který zakazuje zpracování biometrických údajů. V čl. 9 odst. 2 nařízení (EU) 2016/679 jsou stanoveny výjimky z tohoto zákazu. V daném případě je zpracování možné jen na základě právního titulu dle čl. 9 odst. 2 písm. a) nařízení (EU) 2016/679, tedy pokud subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů.
Kontrolovaný předložil výslovný souhlas osob, které si za způsob evidence docházky zvolily otisk prstu či face-id. Kontrolovaný odůvodnil využití biometrických údajů, (hash kódů) účelem identifikace, registrace hráčů a zabezpečení prostřednictvím přístupového údaje uživatelského herního konta před krádeží a podvody.
Kontrolovaný posoudil rizika spojená s možným únikem hash kódu a dospěl k závěru, že řetězec číselného kódu, který hash představuje, je při úniku ze společnosti pro třetí osoby bezcenný z následujícího důvodu. Prozatím neexistuje technologie, která by dokázala číselný kód rozklíčovat do obrazové podoby získaného biometrického údaje od subjektu údajů.
Bylo zjištěno, že kontrolovaný v rámci registrace na příslušném formuláři, ve kterém poskytuje subjektu údajů informace o zpracování, délce uchovávání a právech subjektu údajů (vycházejících z právních předpisů, kterými je kontrolovaný jako správce povinen se řídit), vyžaduje se zpracováním biometrických údajů výslovný souhlas.
Uvedený souhlas je jediným souhlasem, který je nezbytný pro zpracování zvláštní kategorie osobních údajů subjektů údajů, neboť ostatní osobní údaje zpracovává kontrolovaný na základě právními předpisy stanovených povinností, případně na základě smlouvy [dle čl. 6 odst. 1 písm. c) a b) nařízení (EU) 2016/679].
Kontrolou nebylo zjištěno porušení nařízení (EU) 2016/679.