Policie ČR (UOOU-01815/22)
Dokumenty
Informační systém Očista
Informační systém OČISTA je databází, v níž Policie ČR shromažďuje poznatky a uchovává informace získané na úseku extremismu, toxikomanie, trestné činnosti mládeže, trestné činnosti páchané na mládeži, mravnostní trestné činnosti, trestné činnosti páchané v souvislosti s diváckým násilím. Tyto poznatky, včetně osobních údajů, jsou zpracovávány s cílem jejich využití při plnění úkolů Policie ČR v oblasti preventivních činností, odhalování latentní kriminality a objasňování trestných činů po liniích problematik.
Z ustanovení § 82 odst. 1 zákona o Policii České republiky vyplývá Policii ČR povinnost nejméně jednou za tři roky prověřit, jsou-li zpracovávané osobní údaje nadále potřebné pro plnění jejích úkolů v oblasti předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech. Ačkoli je tato povinnost promítnuta do interních předpisů, jimiž se Policie ČR při zpracování osobních údajů v informačním systému OČISTA řídí, a ačkoli je v rámci samotného informačního systému nastaven mechanismus pro automatické upozornění na uplynutí této lhůty a výmaz neaktualizovaného záznamu, Policie ČR v rámci kontroly nedoložila, zda ve stanovených lhůtách skutečně dochází k přezkumu potřebnosti dalšího zpracování osobních údajů po materiální stránce. O prověřování potřebnosti dalšího zpracování osobních údajů nejsou vedeny záznamy a informační systém OČISTA neumožňuje zobrazit historii záznamu, ze které by byl zřejmý způsob a rozsah aktualizace, po které je automaticky nastavena nová tříletá lhůta pro provedení přezkumu, aniž by bylo zřejmé, zda bylo dané zpracování osobních údajů fakticky přezkoumáno.
Závěr: Policie ČR v rozporu s § 32 odst. 1 zákona č. 110/2019 Sb. nepřijala taková technická a organizační opatření, aby doložila splnění svých povinností při ochraně osobních údajů, a to konkrétně povinnosti dané § 32 odst. 2 písm. c) zákona, tj. povinnosti přijmout technická a organizační opatření s cílem omezovat zpracování osobních údajů, které není nezbytné kvůli době jejich uložení.