Omezená možnost využití biometrické identifikace na fotbalových stadionech a ve sportovních areálech

Jít či nejít (na fotbal, hokej,) ...?

Omezená možnost využití biometrické identifikace na fotbalových stadionech a ve sportovních areálech

Použití kamerových systémů ve sportovních areálech je obecně možné, pokud správce dodrží podmínky GDPR, zejména zásady zákonnosti, účelového omezení, minimalizace údajů, přiměřenosti a zabezpečení. Jiná situace však nastává tehdy, pokud kamerový systém neslouží pouze k běžnému pořizování záznamu, ale vytváří nebo porovnává biometrické charakteristiky osob, například obličejové znaky, za účelem jejich automatizované identifikace.

Biometrické údaje zpracovávané za účelem jedinečné identifikace fyzické osoby patří podle čl. 9 GDPR mezi zvláštní kategorie osobních údajů, jejichž zpracování je zásadně zakázáno, ledaže je splněna některá z výjimek uvedených v čl. 9 odst. 2 GDPR. Nestačí tedy pouze obecný právní základ podle čl. 6 GDPR, který může být za určitých okolností dostačující pro běžný kamerový systém. Pro biometrickou identifikaci je nutná zvláštní právní opora a splnění přísnějších podmínek.

Úřad pro ochranu osobních údajů se k této otázce výslovně vyjádřil právě ve vztahu  k fotbalovým stadionům. Již ve stanovisku ze dne 16. 8. 2019 uvedl, že technologie face recognition při vstupech na stadion představuje zpracování biometrických údajů za účelem jedinečné identifikace osoby. ÚOOÚ současně uzavřel, že obecná ustanovení zákona o podpoře sportu, která upravují opatření k zajištění pořádku při sportovním podniku a návštěvní řád, nejsou dostatečným zákonným zmocněním pro zpracování biometrických údajů. Stejně tak podle ÚOOÚ takovou zvláštní právní úpravu neposkytoval ani zákon č. 110/2019 Sb.,  o zpracování osobních údajů.

Závěr ÚOOÚ byl už tehdy formulován jednoznačně: za tehdejšího právního stavu nebylo možné najít dostatečný právní důvod ke zpracování biometrických osobních údajů návštěvníků fotbalového utkání technologií rozpoznávání obličejů vlastníkem sportovního zařízení jako správcem osobních údajů. Tento závěr je pro provozovatele stadionů a sportovních areálů zásadní: bezpečnostní zájem pořadatele sám o sobě nenahrazuje zvláštní zákonné zmocnění pro biometrickou identifikaci.

ÚOOÚ svůj přístup potvrdil i v novějším vyjádření ze dne 20. 5. 2026. Rozlišil běžný kamerový záznam bez biometrických charakteristik, který může být za splnění podmínek GDPR založen například na oprávněném zájmu správce, od pořizování a porovnávání biometrických charakteristik osob pro účely identifikace. V druhém případě podle ÚOOÚ jde o zásadní zásah do soukromí monitorovaných osob a o zpracování zvláštní kategorie údajů. ÚOOÚ zdůraznil, že nutným předpokladem pro takové zpracování je odpovídající zákon, který bude přiměřený sledovanému cíli, bude respektovat podstatu práva na ochranu údajů a poskytne konkrétní záruky ochrany práv dotčených osob.

Stejně restriktivně vyznívá i Akt o umělé inteligenci, tedy nařízení Evropského parlamentu  a Rady (EU) 2024/1689. AI Act není právním titulem, který by soukromému provozovateli stadionu umožňoval biometrickou identifikaci návštěvníků. Naopak potvrzuje, že vzdálená biometrická identifikace představuje vysoce rizikovou technologii. Reálná vzdálená biometrická identifikace ve veřejně přístupných prostorech je v kontextu vymáhání práva zásadně zakázána, s úzkými výjimkami, předchozím povolením a přísnými zárukami. Současně příloha III AI Act řadí systémy vzdálené biometrické identifikace mezi vysoce rizikové AI systémy, a to pouze za předpokladu, že je jejich použití vůbec dovoleno příslušným právem Unie nebo vnitrostátním právem.

Česká právní úprava po přijetí § 39a a násl. zákona č. 110/2019 Sb. je rovněž úzká. Podle ÚOOÚ se tento zvláštní režim týká pouze Policie ČR, a to jen v souvislosti s mezinárodními letišti a po předchozím písemném povolení předsedy senátu vrchního soudu, nejdéle na 12 měsíců s možností prodloužení. Nejde tedy o obecné zmocnění pro provozovatele stadionů, sportovních areálů, kluby nebo bezpečnostní agentury.

Praktický závěr pro správce osobních údajů je proto následující: běžný kamerový systém, pokud je řádně odůvodněn, označen, zdokumentován, přiměřený a zabezpečený, může být ve sportovním areálu použitelným bezpečnostním opatřením. Naproti tomu systém automatického rozpoznávání obličejů nebo jiné biometrické identifikace návštěvníků je za současného právního stavu pro soukromého provozovatele stadionu či sportovního areálu jen velmi obtížně obhajitelný, a zpravidla nebude mít dostatečný právní základ. Před případným zavedením by bylo nezbytné nejen provést DPIA (Data Protection Impact Assessment - posouzení  vlivu na ochranu osobních údajů) podle čl. 35 GDPR, ale zejména prokázat existenci výslovného zákonného zmocnění, nezbytnost, proporcionalitu a konkrétní ochranná opatření. ÚOOÚ přitom již v roce 2020 upozornil, že u takového rozsáhlého zpracování by posouzení vlivu bylo nezbytné a muselo by zohlednit rizika neoprávněného zpracování, předávání nebo uchovávání biometrických údajů většiny návštěvníků, kteří se žádného incidentu nedopustili.

Biometrická identifikace návštěvníků stadionu není pouhý „vylepšený kamerový systém“, ale zpracování nejcitlivější kategorie údajů s mimořádným zásahem do soukromí. Bez zvláštní zákonné opory, přesného účelu, přísných záruk a splnění požadavků GDPR i AI Act by její zavedení soukromým správcem představovalo prozatím významné právní riziko.

Zdeněk Hromádka, červen 2026