Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2006
  6. Zveřejňování a zabezpečení osobních údajů PČR při jejich zpracování v rámci probíhajícího trestního řízení

Zveřejňování a zabezpečení osobních údajů PČR při jejich zpracování v rámci probíhajícího trestního řízení

Jedním z témat roku 2006 v České republice, která mají vztah k ochraně osobních údajů a k působnosti Úřadu, se stal odposlech telekomunikačního provozu prováděný orgány činnými v trestním řízení. Téma bylo živé jak mediálně, tak politicky a do jisté míry zaujalo i občanskou veřejnost. Mediálně vděčným aspektem problému byl v roce 2006 odposlech veřejně známých osob, včetně aktivních politiků. Média dále přinášela osobní údaje z probíhajícího trestního řízení v reportážích investigativního charakteru a operativně k některým případům. Mediální prezentace a diskuse v Poslanecké sněmovně Parlamentu České republiky vedly předsedu Úřadu k rozhodnutí provést kontrolu v Policii České republiky. 7. září 2006 byly Úřadu doručeny dva podněty jednoho občana České republiky, který napadl zveřejňování obsahu odposlechů a jiných informací o trestním řízení spojených s osobními údaji veřejnoprávní televizí.

Zpracování osobních údajů v rámci probíhajícího trestního řízení Policie České republiky provádí jako subjekt plnící úkoly podle trestního řádu a zákona o Policii České republiky a dalších věcně příslušných předpisů, zejména zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. Zpráva pro parlamentní kontrolní orgán o použití odposlechu a sledování ve smyslu § 53a zákona o Policii ČR je periodicky vyhotovovaným výstupem ze zpracování osobních údajů. Úplný přehled účastnických adres (čísel), která byla ve sledovaném období Policií České republiky odposlouchávána, je souborem nedokonale anonymizovaných údajů, které jsou údaji osobními; na tom nemění nic možnost, že účastníkem, k němuž je určitá účastnická adresa formálně vázána, může být právnická osoba.

Policie České republiky odpovídá za zpracování osobních údajů v rámci probíhajícího trestního řízení výlučně pouze do okamžiku jejich předání jinému příjemci; poté za ně odpovídá společně s jiným příjemcem, pokud jím není fyzická osoba, která s osobními údaji nakládá výlučně pro osobní potřebu. Za další nakládání s osobními údaji odpovídají přiměřeně jejich příjemci; těmi jsou osoby oprávněné podle trestního řádu, další orgány činné v trestním řízení, jednotliví novináři a právnické osoby, které osobní údaje pocházející z probíhajícího trestního řízení zveřejňují, popř. jinak šíří, Ministerstvo vnitra a Parlament České republiky - Poslanecká sněmovna, zpravodajské služby, Národní bezpečnostní úřad a informace a Ministerstvo financí.

V souvislosti s plněním povinnosti Policie České republiky přijmout opatření podle § 13 odst. 1 zákona o ochraně osobních údajů (dále jen „bezpečnostní opatření“) bylo zjišťováno, zda a jak Policie České republiky určila odpovědnost za zpracování osobních údajů v rámci probíhajícího trestního řízení, jak jí a zákonem stanovenou odpovědnost vymáhá a jaká další organizační a technická bezpečnostní opatření k zajištění ochrany osobních údajů přijala. Bylo přihlédnuto k návrhu zpracování jako k faktoru určujícímu bezpečnostní rizika, s nimiž se musí přijímaná opatření vyrovnávat. Návrh nebyl zjišťován a posuzován v celém rozsahu; kontrolující vycházela z poznatků z předchozích kontrol, které v Policii České republiky provedla. Na jednotlivých pracovištích a v objektech kontrolované bylo zjišťováno a potvrzeno, že nedošlo ke snížení úrovně zabezpečení. Podrobněji byla zjišťována technicko-bezpečnostní opatření aktivně přijímaná specificky pro několik datových souborů obsahujících informace o probíhajícím trestním řízení a pro odposlech. V takto vymezeném rámci bylo konstatováno několik problémů:

1. K osobním údajům vypovídajícím o probíhajícím trestním řízení má od počátku přístup velký počet osob, a to u Policie České republiky a u jiných subjektů: např. u jednoho datového souboru bylo evidováno 4 305 aktuálně používaných uživatelských oprávnění, k dalšímu 33 300 uživatelských oprávnění v samotné Policii České republiky. Na základě ustanovení § 41 až 43, 55, 55a a zejména § 59 a 65 trestního řádu jsou osobám tam vymezeným poskytovány určené dokumenty s osobními údaji ve formě stejnopisu, jiné ve formě neindividualizovaných kopií.

Údaje o probíhajícím trestním řízení zpracovávané v určitých elektronických datových souborech Policie České republiky jsou dále zpřístupňovány pro samoobslužné vyhledávání nepřetržitým dálkovým přístupem, na základě písemného požadavku nebo telefonicky jiným správcům: třem ministerstvům, zpravodajským službám a Národnímu bezpečnostnímu úřadu.

2. Na bezpečnostní opatření přijatá a používaná Policií České republiky nenavazují odpovídající bezpečnostní opatření příjemců osobních údajů o probíhajícím trestním řízení: média získané osobní údaje z principu zveřejňují, postup Ministerstva vnitra a Parlamentu České republiky, Poslanecké sněmovny v případě zpráv o odposlechu je třeba posoudit ve světle zásady § 6 odst. 1 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, podle níž lze fyzické osobě umožnit přístup k utajované informaci stupně utajení „Vyhrazené“, jestliže jej nezbytně potřebuje k výkonu své funkce, pracovní nebo jiné činnosti.

Rozpor mezi podmínkami přístupu k osobním údajům o odposlechu a záznamu telekomunikačního provozu u kontrolované a u příjemců periodicky zpracovávané zprávy je zřejmý; úroveň bezpečnostních opatření u příjemců zprávy však nebyla předmětem kontroly.Rozpor mezi podmínkami přístupu k osobním údajům o odposlechu a záznamu telekomunikačního provozu u kontrolované a u příjemců periodicky zpracovávané zprávy je zřejmý; úroveň bezpečnostních opatření u příjemců zprávy však nebyla předmětem kontroly.

3. Bezpečnostní opatření, která má Policie České republiky přijmout a provést podle zákona o ochraně osobních údajů, jsou obecně zpochybněna tím, že chráněné osobní údaje lze podle dalších zákonů zveřejnit. Ustanovení § 42l zákona o Policii České republiky stanoví striktně omezení rozsahu na nezbytný a současně zakotvuje podmínku souvislosti s trestním řízením. Ustanovení § 8a trestního řádu opravňuje Policii České republiky zveřejnit osobní údaje přímo související s trestnou činností. Poskytování informací o probíhajícím trestním řízení v odpověď na dotaz novináře neprobíhá v režimu stanoveném v § 42k zákona o Policii České republiky. Poskytování informací z iniciativy Policie České republiky podle ustanovení § 8a trestního řádu probíhá opět v jiném režimu.

4. Bezpečnostní rizika jsou spojena s telekomunikační infrastrukturou, v níž jsou osobní údaje o probíhajícím trestním řízení zpracovávány. Policie České republiky je v úplnosti odpovědna pouze za opatření, která lze přijmout na úrovni aplikací; za další opatření odpovídá společně s Ministerstvem vnitra.

Z dokumentace předložené kontrolovanou a jinak shromážděné Úřadem vyplývá, že Policie České republiky přijala a provedla opatření ke splnění povinností stanovených v § 13 odst. 1 zákona o ochraně osobních údajů a že přijatá a provedená opatření zpracovává a dokumentuje. Při pobytu a pohybu v objektech Policie České republiky nebylo zjištěno žádné porušení stanovených režimů a opatření fyzické bezpečnosti, ani nerespektování odpovědnosti stanovené věcně příslušnými předpisy či interními akty řízení.

Slabým článkem technologického řetězce je pořizování kopií dokumentů s osobními údaji o probíhajícím trestním řízení zahrnujícím odposlech telekomunikačního provozu a jeho záznam; bezpečnostní rizika s tím spojená však nezakládají přímo porušení povinnosti přijmout bezpečnostní opatření, neboť subjekty, které získávají takové dokumenty a osobní údaje do trvalé nebo časově omezené dispozice, jsou jako správci vázáni současně jinými povinnostmi a jako fyzické osoby využívající osobní údaje pouze pro osobní potřebu nejsou povinnostmi podle zákona o ochraně osobních údajů vázány vůbec.

Zjištění vypovídají o tom, že ochrana osobních údajů v rámci probíhajícího trestního řízení podle zákona o ochraně utajovaných informací není jako bezpečnostní opatření podle zákona o ochraně osobních údajů příliš účinná; její přínos je spíše pro plnění povinnosti přijatá a provedená opatření dokumentovat.