Kontrola Schengenského informačního systému
29. dubna 2014
Inspektorka Úřadu provedla v termínu od 13. května 2013 do 30. října 2013 kontrolu Policejního prezidia, jejímž předmětem bylo zjistit a ověřit zajištění ochrany osobních údajů Policií České republiky jako správce osobních údajů zpracovávaných v národní součásti Schengenského informačního systému v souvislosti s přechodem ze Schengenského informačního systému (SIS 1+) na Schengenský informační systém druhé generace (SIS II). Kontrola se zaměřila na postupy Policie ČR a pravidla při zpracování osobních údajů, dále na technické i fyzické zabezpečení ochrany dat v systému a opatření proti neoprávněnému zpracování osobních údajů, uchování a další zpracování osobních údajů v SIS 1+, včetně informací o přístupu k těmto údajům (logů), na zabezpečení osobních údajů ve fázi jejich převodu do databáze SIS II a na nastavení pravidel ochrany osobních údajů v SIS II. Předmětem kontroly bylo rovněž ověření zpracování osobních údajů konkrétního subjektu údajů v Schengenském informačním systému (SIS 1+).
Z poznatků získaných v průběhu kontroly a na základě vyžádaných dokladů a dokumentů byl zjištěn skutkový stav a následně provedeno právní hodnocení, jak ve věci přechodu ze SIS 1+ na systém SIS II, tak hodnocení postupu při vyřizování žádosti konkrétního žadatele a prověření zpracování jeho osobních údajů v SIS. Právní posouzení vycházelo z příslušných vnitrostátních právních přepisů v oblasti ochrany osobních údajů i ze závazných předpisů EU týkajících se zpracování osobních údajů v informačních systémech provozovaných v rámci Schengenské spolupráce.
Migrace dat systému SIS II proběhla přesně dle stanoveného harmonogramu EU. Během migrace byl systém nedostupný pro složky Policie ČR po dobu řádově desítek minut. Migrace proběhla bez problémů vzhledem k tomu, že migrovaná data byla v předstihu zkontrolována a případně opravena. Následně byly provedeny opravy dat na základě požadavků z ostatních členských států. Kontrolujícím byl předložen materiál dokumentující tyto opravy včetně příslušných systémových logů. K výpadku přístupu k SIS II nedošlo, přístup k databázi dosud funguje bez jakýchkoliv komplikací. Přístupy do systému jsou logovány, evidence přístupů je uchovávána po dobu tří let, interně je prováděna kontrola oprávněnosti přístupů. Nadále jsou dle předpisů a požadavků Komise centrálně uchovávány i logy ze SIS 1+, a to především pro účely vnitřních kontrol. Dle vyjádření Policie ČR nebyly v oblasti bezpečnosti systému zjištěny nedostatky. Systém je v tomto směru provozován v souladu s „katalogem nejlepší praxe SIS“. Bezpečnost databázového centra Policie České republiky, kde je Schengenský informační systém provozován, je průběžně kontrolována.
Kontrolou byla taktéž ověřena technická a organizační opatření pro zajištění ochrany osobních údajů v SIS II, dále bylo zjištěno a ověřeno, že Kontrolovaný má řádně zpracovány podrobné směrnice pro zajištění personální bezpečnosti při zpracovávání osobních údajů v SIS II., a to pro celou oblast nakládání s osobními údaji od jejich zjištění, přes zpracovávání v užším slova smyslu, zpřístupňování až po likvidaci. Veškeré možné postupy jsou upraveny interními akty řízení, kterými jsou stanoveny podrobné podmínky a postupy pro zpracování osobních údajů. Nastavena je také bezpečnostní politika ochrany osobních údajů ve vztahu k provozování SIS II. Kontrolou bylo dále zjištěno, že pro vedení osobních údajů konkrétního subjektu údajů, který podal k Úřadu žádost o prověření, zda v SIS jsou zpracovávány jeho osobní údaje, nebyl pro jejich zpracovávání ve smyslu § 154 odst. 1 zákona č. 326/1999 Sb., o pobytu cizinců na území České republiky právní důvod a nebylo prokázáno, že jeho osobní údaje, jako nežádoucí osoby, byly v době podaných žádostí v SIS zpracovávány.
Kontrolou nebylo zjištěno porušení zákona č. 101/2000 Sb., opatření k nápravě tedy nebyla uložena. Inspektorka Úřadu v závěru kontrolního protokolu uvedla doporučení kontrolovanému, vypracovat aktualizovanou bezpečnostní studii národní součásti SIS II a při vyřizování žádostí přímo vyhledávat žádostí dotčené osobní údaje v systému a ve spise výsledek úkonu dokumentoval tak, aby byla zajištěna přezkoumatelnost postupu k úkonu oprávněného subjektu, včetně zachování informace o osobních údajích dotazovaných na základě žádosti v národní součásti SIS II.
PaedDr. Jana Rybínová,
inspektorka Úřadu pro ochranu osobních údajů