Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2024
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. Policie ČR (UOOU-03154/23)

Policie ČR (UOOU-03154/23)

Kontrola zpracování osobních údajů v informačním systému Digitálních podob osob

Kontrola zpracování osobních údajů v souvislosti s využíváním informačního systému Digitálních podob osob (IS DPO) byla zahájena v návaznosti na provedené tzv. předkontrolní úkony podle § 3 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), ke kterým Úřad přistoupil s ohledem na informace zveřejněné na internetu. Doplňuje se, že v souvislosti s IS DPO následně Úřad obdržel též podnět a konkrétní stížnost subjektu údajů.

IS DPO je nástroj využívaný Policií ČR pro usnadnění ztotožnění neznámých zájmových osob důležitých pro trestní řízení, až již jde o pachatele, svědka či jinou osobu (např. poškozeného). IS DPO využívá technologii automatického rozpoznávání tváří (facial recognition) s cílem určit či ověřit totožnost jednotlivce pomocí fotografie obličeje. Referenční databáze je tvořena průkazovými fotografiemi z informačních systémů evidence občanských průkazů a evidence cestovních dokladů a dle názoru Policie ČR lze na základě ustanovení § 66a zákona č. 273/2008 Sb., o Policii České republiky, databázi rozšířit o údaje z informačního systému evidence diplomatických a služebních pasů, registru řidičů, centrálního registru řidičů a informačního systému cizinců. Zpracování osobních údajů v rámci IS DPO spadá pod režim hlavy III zákona č. 110/2019 Sb.

Kontrola byla ukončena až vyřízením námitek proti kontrolním zjištěním. S jejich zohledněním lze shrnout následující závěry kontroly. Zákonná úprava v podobě ustanovení § 66a zákona č. 273/2008 Sb. předvídá, že prostřednictvím IS DPO budou zpracovávány biometrické údaje. K tomu však bylo konstatováno, že z ustanovení § 66a zákona č. 273/2008 Sb. nejsou dostatečně předvídatelné podmínky, omezení či přesný účel využití IS DPO a dále, že v zákoně není uvedeno ani to, že k předmětnému zpracování biometrických údajů bude docházet právě a pouze v IS DPO, v důsledku čehož se Úřad neztotožňuje s názorem kontrolované osoby, že § 66a zákona č. 273/2008 Sb. představuje dostatečný právní titul pro zpracování digitálních fotografií subjektů údajů v IS DPO. Kontrolou bylo dále konstatováno, že Policie ČR ve vztahu k IS DPO vypracovala posouzení vlivu na ochranu osobních údajů, které i přes jisté nedostatky naplnilo požadavky vymezené v § 37 zákona č. 110/2019 Sb. Zároveň pak bylo též konstatováno, že Policie ČR porušila povinnost podat Úřadu žádost k projednání připravovaného zpracování osobních údajů prostřednictvím IS DPO, vyplývající jí z § 38 odst. 1 písm. b) zákona č. 110/2019 Sb.

Doplňující informace: Hlava III zákona č. 110/2019 Sb., o zpracování osobních údajů, se použije pro zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti. Je jí transponována tzv. trestněprávní směrnice, tj. směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.