Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Ministerstvo zahraničních věcí (UOOU-2412/22 a UOOU-2828/23)

Kontroly Vízového informačního systému

V rámci provádění nezávislého dohledu nad zákonností zpracování osobních údajů ve Vízovém informačním systému Úřad v roce 2023 provedl dvě kontroly zpracování osobních údajů při vízovém procesu.

Kontroly se zaměřily na zpracování osobních údajů při vyřizování žádostí o krátkodobá (schengenská) víza. Schengenská víza jsou jedním z prvků společné vízové politiky Evropské unie a umožňují státním příslušníkům třetích zemí pobývat na území Schengenského prostoru po dobu nepřesahující 90 dnů během jakéhokoliv období 180 dnů. Tato víza jsou zpravidla vydávána konzuláty členských států ve třetích zemích, přičemž postupy a podmínky jejich udělování upravuje zejména vízový kodex. Členské státy mohou při vízovém procesu využít služeb externích poskytovatelů, kteří provozují tzv. vízová centra. Při kontrolách byla realizována místní šetření na zastupitelských úřadech České republiky a též v příslušných vízových centrech, a to ve třech zemích mimo EU - ve Spojeném království Velké Británie a Severního Irska (Londýn), v Kazachstánu (Astana) a ve Spojených arabských emirátech (Abú Dhabí). Při výběru konkrétních zastupitelských úřadů Úřad přihlížel zejména ke statistikám (celkový počet podaných žádostí o víza, podíl zamítnutých žádostí), které Úřadu poskytuje Ministerstvo zahraničních věcí.

V rámci první kontroly, která byla provedena na tamním zastupitelském úřadu České republiky v Londýně, bylo na základě nepředložení příslušné dokumentace konstatováno, že kontrolovaná osoba (Ministerstvo zahraničních věcí) neprokázala plnění povinnosti stanovené čl. 43 odst. 11 vízového kodexu, tj. povinnosti provádět pravidelné kontroly na místě v prostorách externího poskytovatele služeb, přičemž vízovým kodexem je stanoveno, že tyto kontroly musí být prováděny nejméně každých devět měsíců. Bylo dále zjištěno dílčí pochybení v oblasti fyzického zabezpečení ve smyslu čl. 32 GDPR, a v dané souvislosti též konstatováno porušení povinnosti čl. 32 odst. 1 písm. d) GDPR, tj. povinnosti pravidelně sledovat, testovat, posuzovat a hodnotit účinnost technických a organizačních opatření pro zajištění bezpečnosti zpracování. Kontrolou bylo nadto zjištěno, že kontrolovaná osoba subjekty údajů dostatečně podrobným způsobem neinformovala o totožnosti správce ve smyslu čl. 37 odst. 1 písm. a) nařízení (ES) č. 767/2008. S ohledem na skutečnost, že pochybení v oblasti informování do určité míry navazuje mimo jiné na způsob vymezení správce Vízového informačního systému zákonem o pobytu cizinců na území České republiky, a jedná se tak o hlubší problém, inicioval Úřad v návaznosti na kontrolní zjištění diskuze o správci národní součásti Vízového informačního systému a v roce 2023 realizoval tři setkání se zástupci Ministerstva zahraničních věcí, Ministerstva vnitra a Policií ČR ve snaze napomoci nápravě neuspokojivého stavu.

Při druhé kontrole bylo místní šetření v roce 2023 realizováno na českých zastupitelských úřadech a ve vízových centrech v Astaně a v Abú Dhabí. Také v rámci této kontroly bylo konstatováno pochybení v oblasti plnění informační povinnosti, v rozsahu shora uvedeném. Plnění povinnosti dané čl. 43 odst. 11 vízového kodexu ve věci pravidelných kontrol v prostorách externího poskytovatele služeb bylo kontrolovanou osobou prokázáno pouze částečně, přičemž kontrolující museli zohlednit skutečnost, že externí poskytovatel služeb provozuje v dané zemi pro zastupitelský úřad více než jedno vízové centrum. Také v rámci místních šetření realizovaných v roce 2023 Úřad v rámci kontroly zjistil pochybení při plnění povinností v oblasti zabezpečení osobních údajů, stanovených čl. 32 GDPR, a to různé úrovně závažnosti. S ohledem na konkrétní zjištění Úřadu bylo v jednom případě na místě zahájeno okamžité prošetření věci zastupitelským úřadem České republiky a též externím poskytovatelem služeb provozujícím vízové centrum, nadto následně (ještě v průběhu kontroly) došlo k realizaci několika významných opatření (např. změny personálního charakteru vč. suspendace pracovníků, nově zavedená organizační i technická opatření) a o celé záležitosti byla informována též skupina místní schengenské spolupráce tak, aby mohly být příslušné postupy prověřeny též zastupitelskými úřady dalších členských států Schengenu.

Kontrola konstatovala porušení povinností stanovených čl. 32 odst. 1 písm. a), b) a d) GDPR a čl. 43 odst. 8 a 11 písm. b), c) a d) vízového kodexu, přičemž některá opatření k nápravě zjištěného stavu byla kontrolovanou osobou přijata již v době kontroly, jak je shora popsáno.

Dokumenty