Probační a mediační služba
Kontrola zpracování osobních údajů při výkonu kontroly trestu domácího vězení
Na základě kontrolního plánu pro rok 2018 provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů při výkonu kontroly trestu domácího vězení, která probíhá na základě § 334h zákona č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve spojení s vyhláškou č. 456/2009 Sb., o kontrole výkonu trestu domácího vězení. Úřad se konkrétně zaměřil na zpracování osobních údajů při dohledu nad výkonem trestu domácího vězení s využitím elektronického monitorovacího systému („EMS“).
Předmět kontroly spadá do působnosti směrnice (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, která však nebyla v době kontroly transponována do českého právního řádu (ačkoli lhůta pro transpozici uplynula). Na kontrolovanou osobu se proto i nadále vztahovala právní úprava obsažená v zákoně č. 101/2000 Sb., který byl v době kontroly platným a účinným právním předpisem a současně nebyl v rozporu s principy obsaženými ve směrnici (EU) 2016/680.
Kontrolované osobě byl zákonem svěřen dohled nad výkonem trestu domácího vězení, a to včetně možnosti využívat k tomuto účelu EMS. Zákonem byly stanoveny účel i prostředky zpracování osobních údajů a kontrolovaná osoba je tedy v postavení správce osobních údajů. Za účelem dohledu nad výkonem trestu domácího vězení kontrolovaná osoba disponuje osobními údaji odsouzených (v rozsahu, v jakém byly shromážděny v rámci trestního řízení, resp. popsány v rozhodnutí soudu), a to včetně citlivých údajů vypovídajících o zdravotním stavu odsouzeného, případně též o jeho náboženském vyznání (v rozsahu nezbytném pro posouzení možnosti využití trestu domácího vězení s kontrolou pomocí EMS).
Kontrolující zjistili, že provoz datového centra informačního systému EMS a centrálního monitorovacího střediska zajišťuje pro kontrolovanou osobu Ministerstvo spravedlnosti, které je tedy v postavení zpracovatele osobních údajů. Kontrolovaná osoba postupovala při zpracování osobních údajů na základě právního titulu předpokládaného zákonem č. 101/2000 Sb. (plnění právních povinností), a o předmětném zpracování informovala dotčené osoby v souladu s požadavky § 11 odst. 1 a 2 zákona č. 101/2000 Sb.
Kontrolující také prověřili plnění povinností v oblasti opatření přijatých k zajištění bezpečnosti zpracovávaných osobních údajů ve smyslu § 13 zákona č. 101/2000 Sb. s tím, že v tomto bodě nebylo zjištěno žádné pochybení. Vzhledem k účasti ministerstva na předmětném zpracování v roli zpracovatele nicméně kontrolující konstatovali porušení povinnosti uvedené v § 6 zákona č. 101/2000 Sb., neboť kontrolovaná osoba neuzavřela s ministerstvem smlouvu o zpracování osobních údajů. K uzavření smlouvy o zpracování osobních údajů mezi kontrolovaným a ministerstvem mělo přitom dojít ještě před samotným zahájením zpracování osobních údajů ministerstvem, bez ohledu na stav transpozice směrnice (EU) 2016/680.
Vzhledem k tomu, že kontrolovaná osoba závadný stav neprodleně napravila, Úřad neuložil opatření k odstranění zjištěných nedostatků a od uložení pokuty upustil.
Kontrolu řídila inspektorka JUDr. Jiřina Rippelová.
Doporučení
Je-li do zpracování zapojen zpracovatel, je s ním správce povinen uzavřít zpracovatelskou smlouvu. Více informací o povinnosti uzavřít zpracovatelskou smlouvu lze nalézt na internetových stránkách https://www.uoou.cz/zpracovatel/d-29316/p1=3938.