Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Osobní údaje ve společných informačních systémech EU

S členstvím České republiky v Evropské unii souvisejí také závazky při dozoru nad zpracováním osobních údajů ve společných informačních systémech, které vznikly buď na základě zvláštní smlouvy, k níž Česká republika přistoupila, nebo na základě sekundární legislativy, zakotvující povinnost přispívat do takového systému. Na nadnárodní úrovni pak určený národní dozorový orgán jednak provádí dozor na území státu nad věcně odpovídajícím zpracováním podle vnitrostátního předpisu, jednak se podílí na kontrolách centrální části. Dohled nad zpracováním osobních údajů v centrálních datových souborech Evropské unie přísluší buď společnému dozorovému orgánu (JSB, JSA), nebo spolupracujícím národním orgánům a evropskému inspektoru ochrany údajů (EDPS). Působení na této úrovni vyžaduje, aby Úřad byl patřičně obeznámen se zpracováním prováděným v České republice a jménem České republiky. V zájmu toho byly do plánu kontrolní činnosti na rok 2008 zařazeny kontrolní akce Zpracování osobních údajů v Celním informačním systému a Zpracování osobních údajů EURODAC. Celní informační systém vznikl na základě zvláštní mezinárodní smlouvy, EURODAC je provozován na základě několika nařízení.

Kontrola zaměřená na národní část Celního informačního systému, určenou pro potřeby orgánů činných v trestním řízení, byla provedena ve dnech 15. dubna - 3. června 2008 v Generálním ředitelství cel. Při zpracování osobních údajů v Celním informačním systému, včetně plnění povinností stanovených Úmluvou vypracovanou na základě článku K.3 Smlouvy o Evropské unii o používání informační technologie pro celní účely, na jejímž základě systém vznikl a je provozován smluvními stranami, nebylo zjištěno porušení povinností stanovených zákonem o ochraně osobních údajů za použití ustanovení Úmluvy o celním informačním systému. Byl zjištěn postup neodpovídající ve svých důsledcích požadavkům na ochranu osobních údajů zakotveným v Úmluvě o celním informačním systému. Kontrolujícím nebylo jasné, jak může Celní správa České republiky a Generální ředitelství cel naplňovat účel, k němuž je systém provozován, pokud systém nepoužívá, ačkoli to je základním záměrem příslušné úmluvy. Z hlediska ochrany osobních údajů znamená takový postup a přístup ohrožení kvality zpracovávaných osobních údajů, a to i s přihlédnutím k ustanovení článku 13 odst. 3 Úmluvy o Celním informačním systému, podle něhož je systém v každém členském státě považován za vnitrostátní datový soubor upravený vnitrostátními ustanoveními uvedenými v této úmluvě a specifickými ustanoveními této úmluvy. Celní informační systém jako takový soubor tedy obsahuje osobní údaje, na které se vztahuje požadavek zajistit úroveň ochrany podle Úmluvy č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat. Nepoužívání postupů stanovených Úmluvou o Celním informačním systému neodpovídá zásadám kvality údajů podle článku 5 Úmluvy č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat, jmenovitě zásadě podle písm. a). Neodpovídá rovněž zásadě článku 5 téže Úmluvy č. 108 podle písm. d), neboť nesměřuje nijak k udržování aktuálního stavu zpracovávaných osobních údajů, ačkoli je to nepochybně potřebné.

Při kontrole byly zjištěny vágně formulované informace o době uchování osobních údajů v Celním informačním systému. Odpovědnost za formulaci ustanovení článku 12 Úmluvy o celním informačním systému, která je zdrojem této informace, však Generální ředitelství cel jako kontrolovaný nenese.

Kontrola byla provedena s využitím poznatků získaných z práce společného dozorového orgánu pro Celní informační systém (JSA Customs).

K naplnění záměrů kontrolního plánu na rok 2008 pro Zpracování osobních údajů EURODAC bylo třeba vykonat kontroly dvě: 19. srpna 2008 byla zahájena kontrola v Ministerstvu vnitra, jejímž předmětem bylo zpracování osobních údajů v elektronické databázi otisků prstů využívaných v rámci Dublinského systému (EURODAC) a při zpracování údajů o otiscích prstů azylantů a žadatelů o udělení mezinárodní ochrany obecně. Jako právní rámec plnění povinností podle zákona o ochraně osobních údajů byla použita příslušná ustanovení řady právních předpisů, zejména zákona č. 325/1999 Sb., o azylu a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o azylu), (dále jen „zákon o azylu“), zákona č. 326/1999 Sb., o pobytu cizinců na území České republiky a o změně některých zákonů, ve znění pozdějších předpisů, zákona č. 221/2003 Sb., o dočasné ochraně cizinců, ve znění pozdějších předpisů, sdělení Ministerstva zahraničních věcí č. 115/2001 Sb. m. s., o Úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat (dále jen „Úmluva č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat“), sdělení Ministerstva zahraničních věcí č. 28/2005 Sb. m. s. k Úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat, nařízení Rady (ES) č. 2725/2000 ze dne 11. prosince 2000 o zřízení systému „EURODAC“ pro porovnávání otisků prstů za účelem účinného uplatňování Dublinské úmluvy, nařízení Rady (ES) č. 343/2003 ze dne 18. února 2003, kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o azyl podané státním příslušníkem třetí země v některém z členských států (dále jen „nařízení rady (ES) č. 343//2003“) a nařízení Komise (ES) č. 1560/2003 ze dne 2. září 2003, kterým se stanoví kritéria a postupy pro určení státu příslušného k posuzování žádosti o azyl podané státním příslušníkem třetí země v některém z členských států. Bylo také přihlédnuto k vybraným ustanovení směrnice Evropského parlamentu a Rady Evropské unie 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů (dále též jen „směrnice 95/46/ES“).

Pro zjištění, zda došlo k porušení zákona o ochraně osobních údajů, byla jako rozhodující vzata ustanovení § 5 odst. 1 písm. d), § 5 odst. 3, §§ 9, 11, 13 a 18 odst. 2 zákona o ochraně osobních údajů. Dále bylo použito ostatních ustanovení § 5 odst. 1 a odst. 2. Pro použití jiných ustanovení tohoto zákona nenastaly podmínky. Ministerstvo vnitra je podle § 8 zákona o azylu příslušné k řízení o udělení mezinárodní ochrany a k řízení o odnětí azylu nebo doplňkové ochrany; podle § 71 vede Ministerstvo evidence s osobními údaji cizinců, kteří jsou podrobeni daktyloskopování a jejichž údaje jsou využívány v Dublinském systému. V míře vymezené zákonem o azylu a dalšími věcně příslušnými předpisy, především v návaznosti na nařízení Rady určuje prostředky zpracování osobních údajů. Za zpracování osobních údajů v rozsahu vymezeném správními spisy Ministerstva, odpovídajícími částmi informačního systému Ministerstva odpovídá. Protože operace s osobními údaji vykonává Ministerstvo systematicky a je státním orgánem, vztahuje se na toto zpracování zákon o ochraně osobních údajů. Ve smyslu tohoto zákona je Ministerstvo správcem osobních údajů. V rámci toho odpovídá rovněž za zpracování osobních údajů z Dublinského systému, které mu byly poskytnuty sekundárně, tedy jako příjemci; i v této části zpracování je v postavení správce.

U kontrolovaného byla konstatována povinnost podle ustanovení § 18 odst. 2 zákona o ochraně osobních údajů, totiž zajistit aby informace o účelu zpracování, kategoriích osobních údajů, kategoriích subjektů údajů, kategoriích příjemců a době uchování byly jako explicitně formulované zpřístupněny přímo subjektu údajů v okamžiku započetí samotného zpracování osobních údajů. Zveřejnění takových údajů nebo zpřístupnění jinou formou jiným osobám, než jsou žadatelé o mezinárodní ochranu, zjištěno nebylo. V tom bylo shledáno porušení zákona o ochraně osobních údajů. Naproti tomu formulace o době uchování osobních údajů, určená každému jednotlivému subjektu údajů, navozující nejistotu, po jak dlouhou dobu budou nebo mohou být osobní údaje uchovávány, nebyla inspektorkou považována za vadu v plnění povinnosti podle ustanovení § 18 odst. 2 zákona o ochraně osobních údajů, mající za následek porušení povinnosti, neboť účelu, který toto ustanovení zákona o ochraně osobních údajů sleduje, je dosaženo – příjemce získává informaci o době uchování.

Samostatným posouzením vnitrostátní právní úpravy a zjištěného stavu s relevantními ustanoveními tří relevantních nařízení (ES) bylo shledáno, že rozsah údajů, které jsou shromažďovány v České republice podle zákona o azylu, je větší, než jak stanoví nařízení Komise (ES) č. 1560/2003 ze dne 2. září 2003, kterým se stanoví kritéria a postupy pro určení státu příslušného k posuzování žádosti o azyl podané státním příslušníkem třetí země v některém z členských států; to není v rozporu se zákonem o ochraně osobních údajů.

Posouzena byla rovněž odpovídající ustanovení Úmluvy č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat - vzhledem k jejich přímé aplikovatelnosti v situaci, kdy by postup kontrolovaného byl napaden stížností subjektu údajů podanou podle zákona o ochraně osobních údajů. Jako základní byla vzata ustanovení článku 5 a 8 Úmluvy č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat; za použití sdělení Ministerstva zahraničních věcí č. 28/2005 Sb. m. s., k Úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat, jímž byla působnost Úmluvy vztažena rovněž na soubory osobních údajů, které se nezpracovávají automatizovaně. Postup Ministerstva popsaný a doložený v kontrolním protokolu odpovídá požadavkům zakotveným v ustanovení článku 5. Nebylo zjištěno porušení žádného z práv, které Úmluva č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat přiznává subjektu údajů. Dodatečné záruky pro subjekt údajů, garantované smluvními stranami Úmluvy č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat, jsou pro kontrolované zpracování k dispozici. Kontrola byla ukončena 24. října 2008.

Na základě zjištění, že na zpracování osobních údajů, které bylo předmětem této kontroly, se podílejí další subjekty, rozhodla inspektorka o provedení kontroly v Policii České republiky.

Výsledky obou kontrol byly bezprostředně využity pro koordinační schůzky národních orgánů s evropským inspektorem ochrany údajů.

Členem kontrolního týmu byl rovněž jeden zaměstnanec Úřadu zařazený v útvaru odpovědném za mezinárodní spolupráci v dané problematice. Program kontroly umožnil získat podklady pro poskytování údajů pro účely sledování a harmonizace ochrany osobních údajů na úrovni EU; některé požadavky však nebylo možné vyřídit v rámci kontroly; tak tomu bylo v případech, kdy předmětem dotazu byly činnost nebo operace s osobními údaji, které nejsou v působnosti Úřadu.

V přímé reakci na požadavky na součinnost při provádění dozoru nad zpracováním osobních údajů podle Úmluvy o Evropské unii o zřízení Evropského policejního úřadu (Úmluva o Europolu), založené na článku K.3 Smlouvy (dále jen „Úmluva o Europolu“), byla za použití podkladů Společného kontrolního orgánu Europolu ve dnech 12.–23. května 2008 provedena kontrola v Policii České republiky. Byly při ní prověřeny případy zjištěné v informačním systému Europolu. Vzhledem k tomu, že dosáhnout požadovaného cíle nebylo možné kontrolou plnění povinností stanovených Policii České republiky zákonem o ochraně osobních údajů, byla kontrola provedena na základě ustanovení § 2 a § 29 odst. 1 písm. c), e) a g) zákona o ochraně osobních údajů a podle Úmluvy o Europolu a za použití ustanovení § 29 odst. 2 a dále § 37 až 43 zákona o ochraně osobních údajů. Zákon o ochraně osobních údajů a Úmluva o Europolu byly pro daný případ považovány za zdroj platných vnitrostátních postupů podle článku 23 Úmluvy o Europolu.

Bylo zjištěno, že Policie ČR postupovala při zpracování osobních údajů uložených v informačním systému Europolu nikoli v plném souladu s ustanoveními Úmluvy o Europolu. V jednom případě bylo zjištěno pochybení při posuzování přípustnosti zpracování osobních údajů na základě příslušnosti Europolu pro určitou formu trestné činnosti nebo její zvláštní projevy. Pro zpracování osobních údajů nebyly při vložení záznamu do informačního systému Europolu naplněny všechny podmínky, které jsou pro takovou operaci stanoveny v článku 2; tyto znaky nebyly naplněny ani později. Postup neodpovídající ustanovení článku 21 odst. 3 Úmluvy o Europolu zjištěn nebyl. S ohledem na skutečnost, že záznam s osobními údaji, u nichž nebyly naplněny současně všechny podmínky pro vložení do informačního systému Europolu vedeného podle článku 7 a 8 Úmluvy o Europolu, byl vymazán a osobní údaje tam obsažené zlikvidovány v době trvání kontroly prováděné Úřadem, nebyly dány důvody pro uložení opatření k nápravě.