Pokuta uložená Ministerstvu vnitra ČR ve výši 975 000 Kč za plošné zpracovávání údajů o osobách, kterým byla z důvodu prokázaného onemocnění COVID-19 nařízena izolace, byla rozhodnutím předsedy Úřadu pro ochranu osobních údajů potvrzena. Podle Úřadu se případ týkal přibližně 2 000 000 lidí, kteří se onemocněním nakazili v období od 1. dubna 2021 do 8. března 2022.
„Orgány veřejné moci mohou uplatňovat svou moc pouze způsobem stanoveným zákonem. Toto platí vždy, tedy i za mimořádných okolností včetně pandemie. Zákon o Policii ČR neumožňuje plošné shromažďování takzvaných citlivých osobních údajů, k nimž patří i informace o zdravotním stavu. Jejich plošné zpracování, provedené navíc bez adekvátní informace určené osobám, jichž se takové údaje týkají, s sebou může nést velmi závažná rizika.“ Uvedl Jiří Kaucký, předseda Úřadu pro ochranu osobních údajů.
Jak Úřad pro ochranu osobních údajů zjistil, Policie shromažďovala osobní údaje o zdravotním stavu osob plošně a preventivně bez vazby na konkrétní prošetřovaný případ. Tím ovšem překročila pravomoci, které jí pro nakládání s tímto typem osobních údajů stanoví zákon[1].
Úřad upozorňuje i na porušení dalších povinností, které měla Policie ČR v souvislosti se zpracováním osobních údajů dodržet. Zejména nebyla řádně splněna informační povinnost ve vztahu k osobám, jejichž údaje byly v souvislosti s prokázaným onemocněním COVID-19 shromažďovány a zpracovávány. Dostatečná informovanost je přitom nezbytná právě proto, aby se dané osoby mohly proti neoprávněnému nakládání s jejich osobními údaji včas a adekvátně bránit.
Další pochybení, které Úřad pro ochranu osobních údajů zjistil, spočívalo ve vynechání dvou zákonem předpokládaných kroků, které měly zahájení takto rozsáhlého a závažného sběru osobních údajů předcházet. Policie ČR měla totiž nejprve provést takzvané posouzení vlivu na ochranu osobních údajů. Zamýšlený způsob plošného shromažďování a zpracování údajů o zdravotním stavu pak měla předem projednat s Úřadem pro ochranu osobních údajů. Pro tyto typy zpracování osobních údajů stanoví zákon[2] oba tyto kroky jako povinné, a to především pro prevenci rizika u osob, jejichž osobní údaje mají být zpracovávány.
To, že nejde o formalitu a že možné dopady na ochranu osobních údajů je skutečně nutné posoudit předem, je podle předsedy ÚOOÚ právě z tohoto případu zřejmé. „Pokud by totiž Policie ČR tyto kroky provedla, včas by zjistila – buď sama, při posouzení své vlastní plánované činnosti, nebo později při projednání s naším úřadem, že takovéto plošné shromažďování osobních údajů o zdravotním stavu, podle stávajících zákonů, vůbec provádět nesmí. K přestupku, za něž byla pokuta uložena, by tak nejspíš vůbec nemuselo dojít,“ dodal předseda Úřadu Jiří Kaucký.
Údaje o zdravotním stavu osob v souvislosti s onemocněním COVID-19 začala policie sbírat až v dubnu 2021, tedy více než rok po propuknutí pandemie. „Nelze tedy říci, že na provedení přípravných kroků, spočívajících v posouzení právního rámce i případných rizik plánovaného shromažďování těchto údajů, nebylo dost času,“ konstatoval předseda Úřadu pro ochranu osobních údajů.
Pokutu za přestupek v oblasti ochrany osobních údajů bylo v tomto případě možné Ministerstvu vnitra coby orgánu veřejné moci udělit[3]. Osobní údaje zde byly totiž zpracovávány za účelem předcházení, vyhledávání a odhalování trestné činnosti, které upravuje hlava III. zákona o zpracování osobních údajů. Takovéto zpracování osobních údajů tedy spadá do režimu tzv. trestněprávní směrnice[4]. A zde se – na rozdíl od zpracování osobních údajů v režimu GDPR – ukládání trestů veřejným subjektům nevylučuje.
Za porušení povinností spravujícího orgánu v režimu hlavy III. zákona o zpracování osobních údajů je možné uložit pokutu až do výše 10 milionů Kč. „Vzhledem k závažnosti zjištěného pochybení, k množství osob, jejichž údaje byly zpracovávány i k dalším okolnostem daného případu je vyměřená částka 975 000 korun zcela přiměřená,“ uzavřel Jiří Kaucký.
[1] Zákon č. 273/2008 Sb., o Policii ČR
[2] Zákon č. 110/2019 Sb., o zpracování osobních údaj; konkrétně hlava III tohoto zákona
[3] Na rozdíl od přestupků při zpracování osobních údajů v režimu GDPR, kde orgány veřejné moci trestat nelze
[4] Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV