"Úřad upozornil Policii ČR na možné porušení ustanovení zákona o zpracování osobních údajů (…) tím, že ze strany Policie ČR jako spravujícího orgánu nedošlo ke stanovení konkrétního účelu pro zpracování osobních údajů," řekl Aktuálně.cz mluvčí Úřadu pro ochranu osobních údajů Milan Řepka. Policie si převzala sdělení úřadu minulý měsíc.
Policie začala evidenci vytvářet na jaře 2020 při vypuknutí první vlny epidemie covidu. V aplikaci s názvem Karanténa shromažďovala jména, data narození či adresy trvalého bydliště lidí, kteří museli po kontaktu s nakaženým do karantény nebo kvůli nemoci přímo do izolace.
Jenže už na počátku spuštění databáze nesplnila policie základní povinnost. Podle zákona se měla obrátit na Úřad pro ochranu osobních údajů, jenž by prověřil základní parametry evidence. Zjišťoval by, zda policie může za daných okolností takové poznatky o lidech sbírat a zda nejde o nepřijatelný zásah do soukromí.
"Jsem přesvědčený, že to je protiprávní"
"Vymezení účelu zpracování osobních údajů je rozhodující pro nastavení a provedení celého procesu zpracování osobních údajů, a to rozsahem zpracovávaných údajů počínaje až po konkrétní možnosti jejich využití včetně doby, po kterou jsou u spravujícího orgánu uloženy," vysvětlil mluvčí úřadu Řepka.
Od začátku tak chyběl úkon nezbytný pro předpisové provozování databáze, tedy aby úřad mohl spoluurčit pravidla pro její fungování. Proto policie dostala v dubnu od úřadu písemně, že svévole spočívající ve spuštění evidence na vlastní pěst odporuje zákonu a databáze postrádá účel.
Ostatně už v únoru o tom mluvil Oldřich Kužílek, který se tématem ochrany osobních údajů dlouhodobě zabývá. "Jsem přesvědčený, že to je protiprávní. Z mého pohledu nelze nalézt v zákoně o zpracování osobních údajů žádný paragraf, o který by se to dalo opřít," řekl tehdy Aktuálně.cz.
Čerstvým stanoviskem úřadu se pro policii nic nemění. Zastává přesvědčení, že postupovala bezchybně. "Trvá na svém právním názoru, že v případě aplikace Karanténa byla v pozici správce, čímž nemohlo dojít k porušení povinnosti, kterou konstatoval Úřad pro ochranu osobních údajů ve svém sdělení," řekl Aktuálně.cz mluvčí policejního prezidia Ondřej Moravčík.
Správní řízení kvůli GDPR
Současné zjištění úřadu zůstalo na půl cesty. Za odhalený nedostatek policii nepostihl, zůstal jen u slov. Mimo jiné kvůli tomu, že sbor nejpozději od března aplikaci Karanténa nepoužívá. Souvisí to s uvolněním pravidel vládou Petra Fialy (ODS). Do karantény už od února nemusí ani člověk, který měl přímý kontakt s nakaženým.
"Úřadu pro ochranu osobních údajů bylo na jeho dotaz oznámeno, že aplikace není využívána a neobsahuje žádné údaje, současně byly poskytnuty potvrzující podklady," poznamenal mluvčí policejního prezidia Moravčík. "To významně ovlivnilo průběh projednání, a tím i jeho výsledek," podotkl k tomu mluvčí úřadu Řepka.
Úřad pro ochranu osobních údajů
■ Úřad dohlíží na dodržování povinností stanovených zákonem při zpracování osobních údajů státními institucemi i soukromými subjekty.
■ Vyřizuje podněty a stížností na porušení zákonných povinností, projednává přestupky a ukládá pokuty, poskytuje konzultace, informuje veřejnost o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním osobních údajů.
■ Vznikl v roce 2000 transformací dosavadního odboru ochrany osobních údajů Úřadu pro státní informační systém.
Případ má však ještě jednu, zásadnější rovinu, na kterou ustoupení od aplikace nemá vliv. Už od loňského července vede Úřad pro ochranu osobních údajů s policií správní řízení. Sbor je podezřelý, že vznikem a vedením evidence porušila evropské nařízení o ochraně osobních údajů, známé jako GDPR.
Otočka policie
Než úřad správní řízení rozjel, policie argumentovala, že osobní údaje lidí v karanténě a izolaci shromažďuje kvůli pomoci hygienám ve smyslu zákona o ochraně veřejného zdraví. Jakmile však v očích úřadu upadla do podezření z porušení GDPR, kvůli čemuž se spustilo řízení, vedení sboru na popud ministerstva vnitra změnilo argumentaci.
Evidenci podle něj zřídili pro potřeby policie předcházet, stíhat a trestat delikty v souvislosti s porušením covidových restrikcí. Takový smysl databáze je podle vnitra přímo spojený s výkonem veřejné moci, na nějž se nařízení GDPR nevztahuje. Úřad se s touto novou argumentací musí ve správním řízení vyrovnat.
Předpokládá se, že se řízení uzavře do konce června. Úřad však připouští možné průtahy. "Délka se odvíjí i od případných vyjádření policie, se kterými se bude třeba vypořádat," upozornil mluvčí Řepka. Podle některých expertů (viz box na konci článku) lze policii za databázi v případě prohřešku potrestat pokutou až 10 milionů korun.
Za pozornost stojí zásadní rozpor. Policie veřejně vysvětluje smysl evidence způsobem, který ve správním řízení před úřadem popírá. "Osobní údaje zpracováváme za účelem poskytnutí součinnosti orgánům ochrany veřejného zdraví a kontroly dodržování opatření k zajištění ochrany veřejného zdraví," řekl už dříve Aktuálně.cz mluvčí prezidia. Obojí však platit nemůže.
Na počátku byla hlavní hygienička
Na počátku databáze stálo nařízení tehdejší hlavní hygieničky Jarmily Rážové. V březnu 2020 uložila krajským stanicím, aby údaje posílaly každé pondělí na policejní prezidium. Vysvětlila to tím, že za účelem prevence před covidem se policie "musí v nezbytném rozsahu seznamovat s osobními údaji osob, vůči nimž by měla být kontrola vykonána," citoval její pokyn Deník N.
Loni v březnu nahradila pokyn Rážové dohoda mezi policií a ministerstvem zdravotnictví. Tato úmluva padla letos v lednu, zrušil ji tehdejší policejní prezident Jan Švejdar. Policie požadované údaje lidí v izolaci či karanténě tehdy začala dostávat od Ústavu zdravotnických informací a statistiky.
Hygienici navíc ani nestíhali každý týden posílat na prezidium aktualizované informace. Například ústecká krajská hygiena je přestala prezidiu poskytovat už loni na podzim. Od letošního jara pak sbor už žádné osobní údaje podle vyjádření svého mluvčího k dispozici nemá a evidenci neprovozuje.
Analýza: Lze potrestat policii?
"Je pravdou, že zpracovávání osobních údajů policejními orgány nepodléhá
plně GDPR, respektive je třeba rozlišovat, kdy při tomto zpracování
vystupuje policie v roli správního orgánu a kdy v roli ozbrojeného
bezpečnostního sboru. V prvním případě bude podléhat GDPR a druhém
případě bude podléhat zákonu o zpracování osobních údajů a dalších přímo
použitelných právních instrumentů Evropské unie.
V prvním případě - policie vystupuje jako správní orgán a zpracování
podléhá GDPR - není vůbec co řešit. Nařízení EU jsou vždy přímo účinná v
právním řádu členských států, takže platí podmínka zákonnosti dle článku 6
GDPR a musí být k takovému zpracování osobních údajů zákonný podklad,
což v uvedeném případě není. Bude také platit to, co uvedl pan Kužílek
ohledně nemožnosti udělit policii za takové jednání pokutu.
Policie se ovšem v uvedeném případě dovolává výjimky pro účel vymáhání
práva, kdy působí jako ozbrojený bezpečnostní sbor. V tomto případě se
aplikuje zákon o zpracování osobních údajů a konkrétně jeho hlava III.
Tato hlava měla implementovat směrnici o ochraně osobních údajů při
prosazování práva (sesterský nástroj GDPR, který upravuje právě to, jak
mají postupovat policejní orgány při zpracování osobních údajů).
Zásadní problém je špatná implementace této směrnice a řada povinností z ní
nebyla nikdy do českého práva implementována. V článku 8 této směrnice je
uvedena přímá povinnost pro členské státy zavést povinnost zákonnosti
zpracování, podobně jako je v článku 6 GDPR. Jde o to, aby veškeré
zpracování osobních údajů bylo zákonem aprobované.
Přestože směrnice nejsou většinou přímo aplikovatelné, tak v tomto
případě článek 8 směrnice o ochraně osobních údajů při prosazování práva
přímo účinná pro všechny policejní orgány je. Splňuje všechny podmínky
vymezené judikaturou Evropského soudního dvora pro přímou aplikaci
směrnic (jasné a konkrétní vymezení povinnosti, uplynutí implementační
lhůty v čl. 63 směrnice, vertikální vzestupný účinek a široká definice
státu respektive zavázaných adresátů). Tudíž je jasné, že povinnost
zákonnosti zpracování je tady dána. Přestože Policie ČR a Ministerstvo
vnitra se tomuto brání a budou nejspíš vinu házet na chybu českých
zákonodárců, občané unie jsou právě takovým výkladem chráněni před
legislativními chybami členských států.
A zásadní na tom je také to, že v tomto případě může policejní orgán
skutečně dostat pokutu až 10 milionů korun, protože výjimka z možnosti
sankcionovat orgány veřejné moci platí jenom v režimu GDPR. Policejní
orgány dle zákona a zpracování osobních údajů pokuty dostat mohou a
nemají tuto výjimku. Přestupky policejní orgánů jsou v § 63 zákona o
zpracování osobních údajů, kde tato výjimka není. Výjimky ze sankcí
umožňuje GDPR, ale nikoliv směrnice, která v čl. 57 nařídila členským
státům zavést sankce, což bylo legislativně učiněno správně.
Tudíž pokud bych měl uvedené shrnout, tak pokud je vyjádření policie o
tom, že databázi vytvořil za účelem předcházet, stíhat a trestat
delikty, měl by být za toto protiprávní jednání sankcionován Úřadem pro
ochranu osobních údajů, kdy mu hrozí pokuta až 10 000 000 Kč dle zákona
o zpracování osobních údajů, protože povinnost zákonnosti zpracování
tady je dána z přímo použitelné směrnice."
Václav Mach, absolvent Přírodovědecké fakulty Univerzity Palackého v Olomouci, student právnické fakulty tamtéž, externí spolupracovník spolku Iuriducum Remedium zabývajícího se ochranou osobních údajů
