GDPR změní praxi i v trestní a soudní oblasti

Ochrana dat, data, GDPR. Foto: www.pixabay.com

Změna pravidel v souvislosti s novou, přísnější, úpravou ochrany osobních dat kvůli přijetí evropského směrnice o GDPR, čeká i policisty, soudce a státní zástupce. Data, která shromažďují by měla být pod větší kontrolou.

Tématem ochrany osobních údajů, které shromažďují vyšetřovací orgány, soudy a případně tajné služby, či další bezpečnostní složky napříč Evropou se zabývá samostatná směrnice evropského parlamentu a rady o  ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů.

V návrhu nového Zákona o zpracování osobních údajů je problematice ochrany osobních údajů v těchto specifických případech věnována celá jedna kapitola označená jako Hlava III. V této hlavě se nacházejí ustanovení, která z části provádějí směrnici o ochraně osobních údajů v trestní soudní a policejní spolupráci 2016/680. Jde o ustanovení společná několika bezpečnostním sborům a dalším orgánům, která je vhodné soustředit do obecnějšího předpisu. Při tomto zpracování zákon používá termín „spravující orgány“, aby předešel omylům, zdůraznil, že jde o jiný soubor pravidel, a tím vyloučil případnou nesprávnou aplikaci těchto pravidel jinými subjekty při zpracování, které správně podléhá hlavě II nebo hlavě IV,“ uvádí v důvodové zprávě k tomuto zákonu autoři nového zákona.

Ve zprávě se ještě upřesňuje, že pokud tyto orgány zpracovávají údaje i v jiných oblastech (typicky půjde o oblast personální, případně o řízení podléhající předpisům Evropské unie z jiné oblasti, jako je problematika řízení ve věcech o pobytu cizinců nebo ve věcech zbraní a střeliva nebo v celních správních věcech), použijí Obecné nařízení o ochraně osobních údajů 2016/679 (tedy „obyčejné“ GDPR – pozn. red).

Rozlišování mezi různými kategoriemi osob, které budou v evidenci

Evropská směrnice stanoví, že správce osobních údajů  musí jasně rozlišovat mezi osobními údaji různých kategorií subjektů údajů (občanů):

  1. a) osob, u nichž existují závažné důvody se domnívat, že spáchaly trestný čin nebo se jej chystají spáchat;
  2. b) osob odsouzených za trestný čin;
  3. c) osob, které se staly obětí trestného činu nebo u kterých některé skutečnosti vedou k domněnce, že by obětí trestného činu mohly být, ¨
  4. d) třetích stran v souvislosti s trestným činem, například osob, které by mohly být předvolány jako svědci při vyšetřování trestného činu nebo při následném trestním řízení nebo které mohou poskytnout informace o trestných činech, nebo kontaktních osob či společníků některé z osob uvedených v písmenech a) a b).

Tuto podmínku naplňuje paragraf číslo 18 českého návrhu zákona, který navíc stanovuje, že „spravující orgán“ je-li to možné připojit ke zpracovávaným osobním údajům označí „nepřesné osobní údaje, popřípadě osobní údaje, které se zakládají na osobních hodnoceních.“ Cílem takového opatření je zajistit, aby nebyly předávány ani zpřístupňovány osobní údaje, které jsou nepřesné, neúplné nebo již nejsou aktuální. „Zjistí-li se, že došlo k předání nesprávných osobních údajů nebo že údaje byly předány protiprávně, musí o tom být příjemce neprodleně vyrozuměn. V takovém případě musí být osobní údaje opraveny nebo vymazány nebo být omezeno jejich zpracování ,“ uvádí se v článku 7 Evropské směrnice.

Povinnost informovat o zpracovávání osobních údajů a sdělit údaje konkrétní osobě

Všechny instituce, které budou spadat pod zmiňovanou hlavu III, tedy především bezpečnostní složky budou muset na svých webových stránkách informovat o:

  1. a) názvu a kontaktních údajích spravujícího orgánu,
  2. b) kontaktních údajích pověřence,
  3. c) účelu zpracování osobních údajů,
  4. d) právu podat stížnost k úřadu a kontaktních údajích úřadu, a
  5. e) právu na přístup k osobním údajům, jejich opravu, omezení zpracování nebo likvidaci.

Kdokoliv bude mít zájem, může podat žádost příslušnému úřadu o informace, zda zpracovává jeho osobní údaje. Pokud je dotázaná instituce bude zpracovávat, musí žadateli sdělit informace o

  1. a) účelu zpracování,
  2. b) nejdůležitějších právních předpisech, podle nichž tyto údaje zpracovává,
  3. c) příjemcích, popřípadě kategoriích příjemců,
  4. d) předpokládané době uchování nebo způsobu jejího určení a
  5. e) zdroji těchto údajů.

Pokud dotčený správce osobních dat nazná, že by mohlo dojít k ohrožení některého z následujících bodů, může odmítnou informace vydat:

  1. a) plnění úkolu v oblasti předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky a zajišťování veřejného pořádku a vnitřní bezpečnosti včetně pátrání po osobách a věcech nebo,
  2. b) průběhu řízení o přestupku, kázeňském přestupku nebo jednání, které má znaky přestupku,
  3. c) utajovaných informací, nebo
  4. d) oprávněných zájmů třetí osoby.

Důvody pro postup podle zmíněných bodů musí zpracovatel osobních údajů dokladovat pro případnou kontrolu.

Pokud by dotyčný žadatel zjistil, že o něm vedené údaje jsou nepřesné, má právo požadovat, aby je příslušná organizace opravila, či upřesnila. Pokud při zpracovávání osobních údajů organizace porušila některé z ustanovení tohoto zákona, pak může občan požadovat, aby byly údaje smazány. Zpracovatel mu však nemusí vyhovět v případě, že by bylo nutno údaje uchovat pro důkazní řízení o porušení zákona. V takovém případě do databáze poznačí, že bylo požádáno o výmaz údajů.

Lhůta pro vyřízení dva měsíce, kverulanti mohou být odmítnuti zcela

Podle zákona by měly být žádosti o informace o případném zpracovávání osobních údajů vyřízeny bez zbytečného odkladu, nejpozději však do 60 dnů ode dne podání. Pokud však „spravující orgán“ doloží, že žádost je zjevně nedůvodná, nebo nepřiměřená zejména proto, že se v krátké době v téže věci opakuje, může odmítnout žádosti vyhovět. Podle důvodové zprávy k zákonu se za standardních okolností se krátkou dobou, ve které se žádost subjektu údajů v téže věci opakuje, rozumí 6 měsíců, a to v souladu s účinným zněním zákona č. 273/2008 Sb., o Policii České republiky, stejně jako zákona č. 300/2013 Sb., o Vojenské policii, a zákona č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů.

Subjekt je však povinen žadatele informovat o možnosti  požádat o výkon práv prostřednictvím úřadu a o jeho kontaktních údajích, o možnosti na podat na rozhodnutí instituce stížností a možnosti žádat o soudní ochranu.

Občan může požádat ÚOOÚ o výkon svých práv

Velmi zajímavým bodem navrhovaného zákona o zpracování osobních údajů je § 23:

Výkon práv subjektu údajů úřadem

(1) Subjekt údajů (občan – pozn. red.) může požádat o výkon práv podle § 20 nebo 21 prostřednictvím úřadu (ÚOOÚ – pozn. red.). Ustanovení § 22 odst. 1 a 2 se použijí obdobně.

(2) Úřad může na základě žádosti subjektu údajů ověřit zákonnost zpracování.

(3) Úřad do 4 měsíců ode dne podání žádosti subjektu údajů o ověření zákonnosti zpracování informuje subjekt údajů, zda ověřil zákonnost zpracování; pokud tak neučinil, připojí k informaci odůvodnění svého postupu. Úřad rovněž poučí subjekt údajů o možnosti žádat o soudní ochranu.

Podle důvodové zprávy je však českými zákonodárci tento bod vykládán tak, že „Úřad pro ochranu osobních údajů, který bude mít zákon „na starosti“, bude mít možnost (nikoli povinnost, jak plyne z článku 46(1)(g) směrnice 2016/680) prověřit na základě takového podnětu zákonnost nejméně těch zpracování, u kterých mohlo dojít k omezení práv subjektu údajů.“

U tohoto bodu se dá očekávat velká diskuse v připomínkovém řízení, jelikož národní právní úprava a evropská nejsou zcela v souladu. Podle informací Ekonomického deníku je tento bod jedním z těch o kterých se ještě diskutuje na úrovni ČR-Evropská komise a další dotčené orgány.

Citace zmiňovaného bodu Směrnice totiž zní: „Dozorový úřad ověřuje zákonnost zpracování podle článku 17 a v přiměřené lhůtě informuje subjekt údajů o výsledku daného ověření podle odstavce 3 uvedeného článku nebo o důvodech, proč ověření nebylo provedeno;“

Do čtyř měsíců ode dne podání žádosti pak bude muset ÚOOÚ žadateli sdělit, zda ověřil zákonnost zpracování; pokud tak neučinil, připojí k informaci odůvodnění svého postupu. Úřad rovněž poučí občana o možnosti žádat o soudní ochranu.

Jiří Reichl

GDPR se pravidelně věnujeme, přečtěte si předcházející texty:

Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek  

GDPR – pověřenec pro ochranu osobních bude nedostatkové zboží
Petr Maličovský – 

Miliardový dopad GDPR na obce a města Jiří Reichl – 4.8.2017

Obce a města musejí shánět odborníky na IT a právo v jednom. Kvůli implementaci… 

Vnitro připravuje manuál pro obce k GDPR, vznikající paniku mírní  

Advokáti se připravují na směrnici o ochraně osobních údajů, ČAK je musí zabezpečit  

Unie posílí ochranu osobních údajů. Ludvík: Bude to stát strašné peníze  

EET má další problém. Nemohou ho využívat tisíce zrakově postižených