ÚOOÚ - Potvrzena miliónová pokuta pro Ministerstvo vnitra

Pokuta uložená Ministerstvu vnitra ČR ve výši 975 000 Kč za plošné zpracovávání údajů o osobách, kterým byla z důvodu prokázaného onemocnění COVID-19 nařízena izolace, byla rozhodnutím předsedy Úřadu pro ochranu osobních údajů potvrzena. Podle Úřadu se případ týkal přibližně 2 000 000 lidí, kteří se onemocněním nakazili v období od 1. dubna 2021 do 8. března 2022.

„Orgány veřejné moci mohou uplatňovat svou moc pouze způsobem stanoveným zákonem. Toto platí vždy, tedy i za mimořádných okolností včetně pandemie. Zákon o Policii ČR neumožňuje plošné shromažďování takzvaných citlivých osobních údajů, k nimž patří i informace o zdravotním stavu. Jejich plošné zpracování, provedené navíc bez adekvátní informace určené osobám, jichž se takové údaje týkají, s sebou může nést velmi závažná rizika.“ Uvedl Jiří Kaucký, předseda Úřadu pro ochranu osobních údajů.

Jak Úřad pro ochranu osobních údajů zjistil, Policie shromažďovala osobní údaje o zdravotním stavu osob plošně a preventivně bez vazby na konkrétní prošetřovaný případ. Tím ovšem překročila pravomoci, které jí pro nakládání s tímto typem osobních údajů stanoví zákon[1].

Úřad upozorňuje i na porušení dalších povinností, které měla Policie ČR v souvislosti se zpracováním osobních údajů dodržet. Zejména nebyla řádně splněna informační povinnost ve vztahu k osobám, jejichž údaje byly v souvislosti s prokázaným onemocněním COVID-19 shromažďovány a zpracovávány. Dostatečná informovanost je přitom nezbytná právě proto, aby se dané osoby mohly proti neoprávněnému nakládání s jejich osobními údaji včas a adekvátně bránit.

Další pochybení, které Úřad pro ochranu osobních údajů zjistil, spočívalo ve vynechání dvou zákonem předpokládaných kroků, které měly zahájení takto rozsáhlého a závažného sběru osobních údajů předcházet. Policie ČR měla totiž nejprve provést takzvané posouzení vlivu na ochranu osobních údajů. Zamýšlený způsob plošného shromažďování a zpracování údajů o zdravotním stavu pak měla předem projednat s Úřadem pro ochranu osobních údajů. Pro tyto typy zpracování osobních údajů stanoví zákon[2] oba tyto kroky jako povinné, a to především pro prevenci rizika u osob, jejichž osobní údaje mají být zpracovávány.

To, že nejde o formalitu a že možné dopady na ochranu osobních údajů je skutečně nutné posoudit předem, je podle předsedy ÚOOÚ právě z tohoto případu zřejmé. „Pokud by totiž Policie ČR tyto kroky provedla, včas by zjistila – buď sama, při posouzení své vlastní plánované činnosti, nebo později při projednání s naším úřadem, že takovéto plošné shromažďování osobních údajů o zdravotním stavu, podle stávajících zákonů, vůbec provádět nesmí. K přestupku, za něž byla pokuta uložena, by tak nejspíš vůbec nemuselo dojít,“ dodal předseda Úřadu Jiří Kaucký.

Údaje o zdravotním stavu osob v souvislosti s onemocněním COVID-19 začala policie sbírat až v dubnu 2021, tedy více než rok po propuknutí pandemie. „Nelze tedy říci, že na provedení přípravných kroků, spočívajících v posouzení právního rámce i případných rizik plánovaného shromažďování těchto údajů, nebylo dost času,“ konstatoval předseda Úřadu pro ochranu osobních údajů.

Pokutu za přestupek v oblasti ochrany osobních údajů bylo v tomto případě možné Ministerstvu vnitra coby orgánu veřejné moci udělit[3]. Osobní údaje zde byly totiž zpracovávány za účelem předcházení, vyhledávání a odhalování trestné činnosti, které upravuje hlava III. zákona o zpracování osobních údajů. Takovéto zpracování osobních údajů tedy spadá do režimu tzv. trestněprávní směrnice[4]. A zde se – na rozdíl od zpracování osobních údajů v režimu GDPR – ukládání trestů veřejným subjektům nevylučuje. 

Za porušení povinností spravujícího orgánu v režimu hlavy III. zákona o zpracování osobních údajů je možné uložit pokutu až do výše 10 milionů Kč. „Vzhledem k závažnosti zjištěného pochybení, k množství osob, jejichž údaje byly zpracovávány i k dalším okolnostem daného případu je vyměřená částka 975 000 korun zcela přiměřená,“ uzavřel Jiří Kaucký.
 
[1] Zákon č. 273/2008 Sb., o Policii ČR  
[2] Zákon č. 110/2019 Sb., o zpracování osobních údaj; konkrétně hlava III tohoto zákona
[3] Na rozdíl od přestupků při zpracování osobních údajů v režimu GDPR, kde orgány veřejné moci trestat nelze
[4] Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV


25.04.2023 (autor Redakce)





Související

Pokuta 351 mil. Kč za porušení GDPR uložena ÚOOÚ

Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro...

 vydáno 16.04.2024 
Téma: Zákony a GDPR

EDPB udělil společnosti META pokutu 1,2 mld. eur

Pokuta byla společnosti Meta IE udělena na základě šetření její služby Facebook ze strany irského úřadu pro...

 vydáno 23.05.2023 
Téma: Zákony a GDPR

ÚOOÚ - Závěry z kontrol za 2. pololetí roku 2022

Úřad pro ochranu osobních údajů v rámci své dozorové a rozhodovací činnosti zveřejnil závěry z kontrol,...

 vydáno 25.04.2023 
Téma: Zákony a GDPR



Související dotazy
Odpovídá Mgr. Nikola Dohnalová
Ano, i IP adresa může být osobním údajem, a to zejména v případě, kdy je IP adresa používána k identifikaci jednotlivce, například když je v...

Odpovídá Mgr. Nikola Dohnalová
Obdobně, jako u jiných správců, doporučuji provést revizi interní dokumentace podle požadavků GDPR, nastavení interních procesů pro přístup k údajům...

Odpovídá Mgr. Nikola Dohnalová
S velkou pravděpodobností bude nutné doplnit souhlasy a poučení o zpracování osobních údajů. U aplikací provádějících složitější zpracování, resp....



www.helpgdpr.cz
© Copyright 2000 - 2024, všechna práva vyhrazena - helpGDPR.cz