Ministerstvo zahraničních věcí
Kontrola zpracování osobních údajů ve vnitrostátní části Vízového informačního systému
Na základě kontrolního plánu pro rok 2018 provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů ve vnitrostátní části Vízového informačního systému („VIS“). Ochrana osobních údajů ve VIS se řídí zejména nařízením Evropského parlamentu a Rady (ES) č. 767/2008 ze dne 9. července 2008 o Vízovém informačním systému (VIS) a o výměně údajů o krátkodobých vízech mezi členskými státy (nařízení o VIS) a rozhodnutím Rady č. 2004/512/ES ze dne 8. června 2004 o zřízení Vízového informačního systému (VIS). Úřadu jako vnitrostátnímu orgánu dozoru vzniká podle čl. 41 odst. 1 nařízení (ES) č. 767/2008 povinnost nezávisle dohlížet na zákonnost zpracování osobních údajů a podle odst. 2 téhož článku povinnost provést minimálně jednou za čtyři roky kontrolu zpracování údajů ve vnitrostátním systému VIS. Kontrolující se v rámci této kontroly zaměřili zejména na zpracování osobních údajů prováděné při vyřizování žádostí o udělení krátkodobých víz do 90 dnů (tzv. schengenských víz).
VIS je založen na centralizované architektuře a skládá se z ústředního informačního systému, z rozhraní v každém členském státě, které umožňuje připojení příslušného ústředního vnitrostátního orgánu daného členského státu, a z komunikační infrastruktury mezi těmito částmi. Odpovědnost za provoz ústřední části VIS, národního uživatelského rozhraní v každém členském státě a komunikační infrastruktury je na straně Evropské unie. Členské státy mají odpovědnost za zřízení a funkčnost vnitrostátní části VIS. Veškeré operace s údaji ve VIS (tzn. zejména vkládání, aktualizace, výmaz, vyhledávání) pak probíhají právě prostřednictvím vnitrostátní části VIS, tzn. členské státy nepřistupují přímo do ústřední části. Vedle ústřední databáze je na centrální úrovni zřízena také databáze otisků prstů žadatelů o víza, tzv. Biometric Matching System.
Výkon vízové agendy je kontrolované osobě svěřen zákonem č. 326/1999 Sb., o pobytu cizinců na území České republiky a o změně některých zákonů, zákonem č. 150/2017 Sb., o zahraniční službě a o změně některých zákonů (zákon o zahraniční službě), a dále nařízením (ES) č. 767/2008 a nařízením Evropského parlamentu a Rady (ES) č. 810/2009 ze dne 13. července 2009 o kodexu Společenství o vízech (vízový kodex). Údaje o žadatelích o schengenská víza, které kontrolovaná osoba shromažďuje a dále vkládá do VIS, jsou z povahy věci údaji umožňujícími přímou identifikaci konkrétního žadatele (subjektu údajů). Biometrické identifikátory odebírané při podání žádosti (fotografie a otisky prstů) jsou pak biometrickými údaji zpracovávanými za účelem jedinečné identifikace žadatele.
Z pohledu ochrany osobních údajů je kontrolovaná osoba v postavení správce osobních údajů. Právním titulem pro předmětné zpracování je plnění úkolu ve veřejném zájmu dle čl. 6 odst. 1 písm. e) nařízení (EU) 2016/679, ve vztahu ke zvláštním kategoriím osobních údajů pak dle čl. 9 odst. 2 písm. g) ve spojení s čl. 6 odst. 1 písm. e) tohoto nařízení (významný veřejný zájem).
V některých zemích mají žadatelé v souladu s čl. 43 nařízení (ES) č. 810/2009 možnost podat žádost o vízum prostřednictvím outsourcingové společnosti, která je pak v postavení zpracovatele osobních údajů. Kontrolovaná osoba má s tímto zpracovatelem uzavřenu zpracovatelskou smlouvu odpovídající požadavkům čl. 28 nařízení (EU) 2016/679.
Kontrolující dále prověřili technická a organizační opatření přijatá k zajištění bezpečnosti zpracovávaných osobních údajů, a to jak po organizační stránce (interní předpisy, nakládání s dokumentací, školení zaměstnanců, povinnost mlčenlivosti), tak i technická opatření, včetně logování. Součástí kontroly bylo také místní šetření na vybraném konzulátě České republiky, při kterém bylo prověřeno provedení opatření v praxi, včetně fyzického zabezpečení prostor.
Úřad dále vyhodnotil postupy kontrolované osoby při poskytování informací subjektům údajů, vedení záznamů o činnostech zpracování a splnění povinnosti jmenovat pověřence pro ochranu osobních údajů.
Úřad v souvislosti s předmětným zpracováním osobních údajů nezjistil porušení povinností vyplývajících z příslušných právních předpisů.
Kontrolu řídila inspektorka Mgr. et Mgr. Božena Čajková.
Doporučení
Účelem vízového informačního systému je zlepšit provádění společné vízové politiky členských států EU, konzulární spolupráci a zajištění konzultace mezi ústředními vízovými úřady, zejména usnadnění řízení o žádostech o vízum, zamezení současnému podávání více žádostí o víza do různých členských států (tzv. „visa shopping“), usnadnění boje proti podvodům, usnadnění kontrol na hraničních přechodech. Více o zpracování osobních údajů ve vízovém informačním systému.