Policie obešla zákon, když začala sbírat osobní data lidí v karanténě. Dostala výtku
Úřad pro ochranu osobních údajů vede s policií správní řízení za možné porušení evropského nařízení o ochraně osobních údajů (GDPR).
Publikováno: 30.5.2022
"Úřad upozornil Policii ČR na možné porušení ustanovení zákona o zpracování osobních údajů (…) tím, že ze strany Policie ČR jako spravujícího orgánu nedošlo ke stanovení konkrétního účelu pro zpracování osobních údajů," řekl Aktuálně.cz mluvčí Úřadu pro ochranu osobních údajů Milan Řepka. Policie si převzala sdělení úřadu minulý měsíc.
Policie začala evidenci vytvářet na jaře 2020 při vypuknutí první vlny epidemie covidu. V aplikaci s názvem Karanténa shromažďovala jména, data narození či adresy trvalého bydliště lidí, kteří museli po kontaktu s nakaženým do karantény nebo kvůli nemoci přímo do izolace.
Jenže už na počátku spuštění databáze nesplnila policie základní povinnost. Podle zákona se měla obrátit na Úřad pro ochranu osobních údajů, jenž by prověřil základní parametry evidence. Zjišťoval by, zda policie může za daných okolností takové poznatky o lidech sbírat a zda nejde o nepřijatelný zásah do soukromí.
"Jsem přesvědčený, že to je protiprávní"
"Vymezení účelu zpracování osobních údajů je rozhodující pro nastavení a provedení celého procesu zpracování osobních údajů, a to rozsahem zpracovávaných údajů počínaje až po konkrétní možnosti jejich využití včetně doby, po kterou jsou u spravujícího orgánu uloženy," vysvětlil mluvčí úřadu Řepka.
Od začátku tak chyběl úkon nezbytný pro předpisové provozování databáze, tedy aby úřad mohl spoluurčit pravidla pro její fungování. Proto policie dostala v dubnu od úřadu písemně, že svévole spočívající ve spuštění evidence na vlastní pěst odporuje zákonu a databáze postrádá účel.
Ostatně už v únoru o tom mluvil Oldřich Kužílek, který se tématem ochrany osobních údajů dlouhodobě zabývá. "Jsem přesvědčený, že to je protiprávní. Z mého pohledu nelze nalézt v zákoně o zpracování osobních údajů žádný paragraf, o který by se to dalo opřít," řekl tehdy Aktuálně.cz.
Čerstvým stanoviskem úřadu se pro policii nic nemění. Zastává přesvědčení, že postupovala bezchybně. "Trvá na svém právním názoru, že v případě aplikace Karanténa byla v pozici správce, čímž nemohlo dojít k porušení povinnosti, kterou konstatoval Úřad pro ochranu osobních údajů ve svém sdělení," řekl Aktuálně.cz mluvčí policejního prezidia Ondřej Moravčík.
Správní řízení kvůli GDPR
Současné zjištění úřadu zůstalo na půl cesty. Za odhalený nedostatek policii nepostihl, zůstal jen u slov. Mimo jiné kvůli tomu, že sbor nejpozději od března aplikaci Karanténa nepoužívá. Souvisí to s uvolněním pravidel vládou Petra Fialy (ODS). Do karantény už od února nemusí ani člověk, který měl přímý kontakt s nakaženým.
"Úřadu pro ochranu osobních údajů bylo na jeho dotaz oznámeno, že aplikace není využívána a neobsahuje žádné údaje, současně byly poskytnuty potvrzující podklady," poznamenal mluvčí policejního prezidia Moravčík. "To významně ovlivnilo průběh projednání, a tím i jeho výsledek," podotkl k tomu mluvčí úřadu Řepka.
Případ má však ještě jednu, zásadnější rovinu, na kterou ustoupení od aplikace nemá vliv. Už od loňského července vede Úřad pro ochranu osobních údajů s policií správní řízení. Sbor je podezřelý, že vznikem a vedením evidence porušila evropské nařízení o ochraně osobních údajů, známé jako GDPR.
Otočka policie
Než úřad správní řízení rozjel, policie argumentovala, že osobní údaje lidí v karanténě a izolaci shromažďuje kvůli pomoci hygienám ve smyslu zákona o ochraně veřejného zdraví. Jakmile však v očích úřadu upadla do podezření z porušení GDPR, kvůli čemuž se spustilo řízení, vedení sboru na popud ministerstva vnitra změnilo argumentaci.
Evidenci podle něj zřídili pro potřeby policie předcházet, stíhat a trestat delikty v souvislosti s porušením covidových restrikcí. Takový smysl databáze je podle vnitra přímo spojený s výkonem veřejné moci, na nějž se nařízení GDPR nevztahuje. Úřad se s touto novou argumentací musí ve správním řízení vyrovnat.
Předpokládá se, že se řízení uzavře do konce června. Úřad však připouští možné průtahy. "Délka se odvíjí i od případných vyjádření policie, se kterými se bude třeba vypořádat," upozornil mluvčí Řepka. Podle některých expertů (viz box na konci článku) lze policii za databázi v případě prohřešku potrestat pokutou až 10 milionů korun.
Za pozornost stojí zásadní rozpor. Policie veřejně vysvětluje smysl evidence způsobem, který ve správním řízení před úřadem popírá. "Osobní údaje zpracováváme za účelem poskytnutí součinnosti orgánům ochrany veřejného zdraví a kontroly dodržování opatření k zajištění ochrany veřejného zdraví," řekl už dříve Aktuálně.cz mluvčí prezidia. Obojí však platit nemůže.
Na počátku byla hlavní hygienička
Na počátku databáze stálo nařízení tehdejší hlavní hygieničky Jarmily Rážové. V březnu 2020 uložila krajským stanicím, aby údaje posílaly každé pondělí na policejní prezidium. Vysvětlila to tím, že za účelem prevence před covidem se policie "musí v nezbytném rozsahu seznamovat s osobními údaji osob, vůči nimž by měla být kontrola vykonána," citoval její pokyn Deník N.
Loni v březnu nahradila pokyn Rážové dohoda mezi policií a ministerstvem zdravotnictví. Tato úmluva padla letos v lednu, zrušil ji tehdejší policejní prezident Jan Švejdar. Policie požadované údaje lidí v izolaci či karanténě tehdy začala dostávat od Ústavu zdravotnických informací a statistiky.
Hygienici navíc ani nestíhali každý týden posílat na prezidium aktualizované informace. Například ústecká krajská hygiena je přestala prezidiu poskytovat už loni na podzim. Od letošního jara pak sbor už žádné osobní údaje podle vyjádření svého mluvčího k dispozici nemá a evidenci neprovozuje.