• Josef Bátrla

Kontroly ÚOOÚ: Porušuje policie GDPR?

GDPR dopadá mimo jiné i na správní orgány a bezpečnostní složky. Možnosti, jak je potrestat za případné porušení ochrany osobních údajů, jsou však omezené. Na co ÚOOÚ narazil při svých loňských kontrolách policie?


Občas se zapomíná, že GDPR vzniklo i z jiného důvodu, než aby stanovovalo tvrdá pravidla pro podnikatele, kteří se ve svém nejlepším zájmu snaží prodat zboží či služby. Pravdou je, že GPDR by mělo stejně tak chránit občany EU a všechny subjekty údajů před libovůlí správních orgánů i bezpečnostních složek.


Ačkoliv šance potrestat kohokoliv, kdo splňuje definiční znaky veřejného subjektu, je prakticky nulová, nemění to nic na tom, že i nad těmito subjekty ÚOOÚ vykonává dohled a jejich činnost kontroluje. Pojďme se tedy podívat, co se Úřadu nelíbilo na postupu policie.


Dva druhy zpracování


Jen na úvod: v rámci zpracování osobních údajů policie musíme rozlišovat mezi dvěma typy. Za prvé jde o zpracování, kdy je policie v pozici správního orgánu, a za druhé zpracování, které vykonává jako člen ozbrojeného bezpečnostního sboru.


Tento rozdíl se totiž promítne v tom, jaká právní úprava se v takovém případě uplatní. Narážíme na hlavu III zákona o zpracování osobních údajů, který se uplatňuje na ochranu osobních údajů při jejich zpracování za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti. Při těchto činnostech se uplatní daná ustanovení předmětného zákona, přičemž ustanovení GDPR se použijí pouze v přiměřeném rozsahu.


V konečném důsledku je pochopitelné, že v případě odhalování trestného činu budou práva na ochranu soukromí oproti běžným případům o něco slabší, nicméně neznamená to, že zákon tyto situace neřeší.


Vízový informační systém


První z kontrol (UOOU-02798/20) byla zahájena na základě kontrolního plánu a týkala se Vízového informačního systému (VIS), jehož je policie správcem. VIS byl zřízen na základě nařízení EU v roce 2008 a slouží k výměně údajů o krátkodobých vízech mezi členskými státy EU.


Potřeba VIS vznikla z důvodu společného postupu členských států při prosazování vízové politiky, včetně zamezení takzvanému visa shoppingu, tedy podávání více žádostí o víza do různých členských států. Opatření stanovená v nařízení VIS mají zabránit podvodům a zlepšit kontrolu na hraničních přechodech.


A právě členské státy mají povinnost jednou za čtyři roky kontrolovat, zda veškeré zpracování probíhá správně. Do jisté míry se toho ujal ÚOOÚ, který v oblasti schengenské spolupráce vykonává úkoly dozorového orgánu a dohled nad dodržováním příslušných právních předpisů. Celou věc můžeme uzavřít tím, že kontrola neodhalila žádná pochybení.


Nahlížení do registru obyvatel


Pokud bychom si měli připít pokaždé, kdy některý ze správních orgánů neoprávněně využívá data ze základních registrů, byl by to večírek, na který by nikdo jen tak nezapomněl.

ÚOOÚ se v minulém roce zabýval kontrolou Policie ČR (UOOU-03866/20) na základě stížnosti proti jejímu postupu. Dle stěžovatele měla policie neoprávněně přistupovat do registru obyvatel a na dotaz subjektu údajů pak uváděla různé v čase měnící se důvody, proč tato data z registru obyvatel využívá. Stěžovatel byl nejdříve souhrnně informován, že do registru obyvatel bylo nahlíženo z důvodu silniční kontroly. Následně však obdržel vysvětlení z úřadu policejního prezidenta, že do registru obyvatel nebylo nahlíženo z důvodu silniční kontroly, ale z důvodu potřebnosti zjištění adresy, na které měly být vyzvednuty kamerové záznamy dle předchozí domluvy mezi Policií ČR a stěžovatelem.

Častým problémem je neoprávněné využívání dat ze základních registrů

ÚOOÚ tedy zahájil úkony předcházející kontrole a od policie si vyslechl ještě třetí verzi důvodu, proč do registru obyvatel přistupovala. Tentokrát dle policie nešlo ani o silniční kontrolu, ani o zjištění adresy pro účel zajištění důkazu. Tvrdila, že nahlížení do registru obyvatel bylo nutné pro účely zaznamenání osobních údajů stěžovatele v rámci spisového materiálu příslušného trestního řízení. Informace o stěžovateli však součástí předmětného spisu nebyly.


ÚOOÚ tedy zahájil kontrolu a došel k tomu, že policie pochybila, neboť v rozporu s § 25 odst. 1 psím. a) zákona č. 110/2019 Sb., o zpracování osobních údajů, nestanovila konkrétní účel pro dané zpracování. Stejně tak se dopustila chyby v poskytnutí informací subjektu údajů. Tím byla celá věc uzavřena.


Policie a karanténa


V minulém roce proběhala médii zpráva, že policie bude kontrolovat dodržování nařízené karantény. Zkraje tohoto roku však vyšlo najevo, že policie téměř dva roky shromažďuje mnoho informací od různých institucí a není vůbec jasné, jak je tato databáze tvořena či využívána. Dle informací z médií by se již měl ÚOOÚ touto věcí zabývat, a to na základě žádosti, kterou koncem ledna od policie obdržel a jež směřovala na projednání databáze lidí v karanténě nebo izolaci.


Ačkoliv se nabízí policii pochválit za její vzorné chování, je třeba říct, že nešlo zcela o její iniciativu. Faktem totiž je, že policii tento postup uložilo Ministerstvo vnitra, jemuž to předtím nařídil ÚOOÚ.


Co se týče okolností zpracování, moc toho zatím nevíme. Dle slov policie, respektive Ministerstva vnitra, byla databáze tvořena na základě příkazu hlavní hygieničky. ÚOOÚ se vůči tomu však ohradil a řekl, že se nejedná o zákonný titul.


Nakonec ministerstvo vnitra podalo odpor a uvedlo, že sběr probíhá na základě zákona o ochraně veřejného zdraví a databáze je budována za účelem předcházení trestným činům, stíhání a trestání deliktů – tedy že nepostupuje v režimu GDPR, ale v režimu hlavy III zákona o zpracování osobních údajů. Na výsledky celého řízení si však ještě musíme počkat.


Pravidla platí pro všechny


I policie musí v případě, že zpracovává osobní údaje, dodržovat určitá pravidla. Pokud jsou tato pravidla porušována, měl by ÚOOÚ zakročit. Faktem nicméně zůstává, že k tomu nemá žádnou páku, jako tomu je v případě soukromého sektoru.


Článek byl publikován v Elektronickém zpravodaji pro pověřence