Autoři se v tomto článku snaží vnést světlo do problematiky a dále překonat mezery mezi teorií a praxí, a to zejména s ohledem na využití technologie facial recognition Policií České republiky a obcemi (tj. rozuměj i městy, statutárními městy a hlavním městem Prahou), resp. obecní (městskou) policií.
Použití technologie facial recognition
Policie České republiky
Co se týče otázky zpracování osobních údajů Policií ČR, je situace poměrně jednoznačná, a to i s ohledem na stanovisko, které autorům poskytl ÚOOÚ. Světlo do problematiky přináší nově účinný zák. č. 110/2019 Sb. (dále jen jako „adaptační zákon“), a to zejména v hlavě III, jež upravuje mimo jiné ochranu osobních údajů při jejich zpracování za účelem předcházení, vyhledávání nebo odhalování trestné činnosti. Ust. § 24 odst. 1 adaptačního zákona výslovně stanoví, že ustanovení této hlavy se použijí při zpracování osobních údajů, které je nezbytné pro plnění úkolů a výkon veřejné moci spravujícího orgánu stanovených jinými zákony za účelem předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech.
Spravujícím orgánem v tomto případě zákon rozumí Policii ČR, nikoliv však obecní policii, jak je výslovně uvedeno v ust. § 24 odst. 3 adaptačního zákona, tedy „spravujícím orgánem se rozumí orgán veřejné moci příslušný k plnění úkolu uvedeného v odstavci 1, který není zpravodajskou službou nebo obecní policií“. Způsobilost Policie ČR být spravujícím orgánem dle znění adaptačního zákona dovozují autoři z tzv. jiného zákona, když v tomto konkrétním případě se jedná o zákon č. 273/2008 Sb. (dále jen jako „zákon o PČR“). Ten v ust. § 79 odst. 1 ostatně vymezuje, že ust. § 79 a násl. zákona o PČR se použijí na zpracování osobních údajů za účelem předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech. Ust. § 79 odst. 2 stanoví, že policie může zpracovávat osobní údaje, je-li to nezbytné pro účely uvedené v odst. 1. Dle ust. § 2 je hlavním úkolem Policie ČR kromě dalšího chránit bezpečnost osob a majetku a veřejný pořádek, předcházet trestné činnosti, plnit úkoly podle trestního řádu.
Z výše uvedeného autoři dovozují, že v kontextu technologického pokroku a podstatného zdokonalení technologie facial recognition (byť stále není stoprocentně bezchybná) je takové zpracování osobních údajů (resp. zvláštní kategorie osobních biometrických údajů, dříve údajů citlivých) k plnění úkolů Policie ČR nejen potřebné, ale také nezbytné. Pozornost je třeba věnovat též ust. § 79 odst. 3 zákona o PČR, které stanoví, že „shromažďovat údaje o rasovém nebo etnickém původu, náboženském, filosofickém nebo politickém přesvědčení, členství v odborové organizaci, zdravotním stavu, sexuálním chování nebo sexuální orientaci lze pouze tehdy, je-li to nezbytné pro účely šetření konkrétního trestného činu nebo přestupku“. Dle textace uvedeného ustanovení se ovšem výše uvedené omezení na technologii facial recognition nevztahuje.
Adaptační zákon se dále zabývá postavením zpracovatele, když v ust. § 34 odst. 1 uvádí, že „spravující orgán pověří zpracováním osobních údajů pouze zpracovatele, který je schopen přijetím opatření podle § 32 odst. 1 účinně zajistit plnění povinností při ochraně osobních údajů“. Samotné ust. § 32 adaptačního zákona ve svém prvním odstavci dává jakési obecné vodítko, když odst. 2 až 5 vyjmenovávají konkrétní cíle a povinnosti spravujícího orgánu/zpracovatele. Ust. § 34 odst. 2 adaptačního zákona dále stanovuje, že pokud pověření zpracovatele nevyplývá z právního předpisu, spravující orgán se zpracovatelem uzavře písemnou smlouvu o zpracování osobních údajů.
V praxi je tedy dle autorů možná situace, kdy podnikatel jako fyzická či právnická osoba uzavře s Policií ČR tuto smlouvu a plní funkci zpracovatele. Odst. 2 určuje podstatné náležitosti takové smlouvy, a to zejména předmět a dobu trvání zpracování osobních údajů, povahu a účel zpracování osobních údajů, typ osobních údajů, které budou zpracovávány, kategorie subjektů údajů a práva a povinnosti spravujícího orgánu. Další odstavce ust. § 34 adaptačního zákona stanovují další náležitosti smlouvy a povinnosti zpracovatele.
Autoři dále upozorňují na možnost, že na činnost spočívající v užívání technologie facial recognition se vztahuje rovněž ust. § 36 adaptačního zákona o automatizovaném pořizování záznamů. Toto ustanovení dále upravuje povinnosti spravujícího orgánu, a s ohledem na odst. 5 uvedeného ustanovení, i zpracovatele. Mimo jiné je povinností spravujícího orgánu rovněž pořizování záznamů alespoň o operacích shromáždění, vložení, pozměnění, kombinování, nahlédnutí, předání, sdělení a výmazu osobních údajů. Odst. 3 dále uvádí, že takové záznamy lze využít pouze pro účely trestního řízení, ověření zákonnosti zpracování osobních údajů, zajištění neporušenosti zabezpečení osobních údajů a zajištění plnění úkolů spravujícího orgánu nebo zpracovatele a povinností osob, kterým se poskytuje přístup k osobním údajům. Ust. § 40 adaptačního zákona podrobněji upravuje zabezpečení osobních údajů se zvláštním zřetelem na automatizované zpracování osobních údajů.
Tyto povinnosti s ohledem na ust. § 40 odst. 3 adaptačního zákona platí pro spravující orgán a pro zpracovatele obdobně. Mezi tyto povinnosti zpracovatele či spravujícího orgánu patří zejména přijetí nezbytných opatření, aby tyto osobní údaje zabezpečil před neoprávněným přístupem, přenosem, změnou, zničením, ztrátou, odcizením, zneužitím nebo jiným neoprávněným zpracováním, zajistil obnovitelnost těchto osobních údajů, zajistil možnost určit a ověřit osobu, která tyto osobní údaje vložila nebo které byly prostřednictvím zařízení pro přenos údajů předány nebo zpřístupněny, zajistil bezpečnost a spolehlivost informačního systému, který tyto osobní údaje obsahuje, včetně hlášení výskytu chyb, a zabránil v neoprávněném přístupu k nosiči těchto osobních údajů nebo zařízení užívanému k jejich zpracování.
V případě Policie ČR tedy autoři uzavírají, že užití technologie facial recognition obecně možné je, když toto potvrdil i ÚOOÚ,[2] zároveň však zdůrazňují potřebu v každém konkrétním případě provést posouzení vlivu, a to konzultovat s ÚOOÚ dle § 37, 38 adaptačního zákona, když nelze obecně předvídat doporučení ÚOOÚ v konkrétním záměru užití technologie facial recognition.
Obecní policie
U obecní policie je situace komplikovanější, když adaptační zákon v ust. § 24 odst. 3 výslovně nepřiznává působnost hlavy III tohoto zákona na obecní policii, a tedy oprávnění obecní policie je nutné hledat v jiné právní úpravě. Autoři uvádějí mimo jiné stanovisko ÚOOÚ ze dne 16. 8. 2019 k biometrické identifikaci nežádoucích osob na fotbalových stadionech, když zejména citují: „… využití technologie rozpoznávání obličejů (face recognition) pořadatelem utkání při vstupech na stadion. Tato technologie však jako zpracování zvláštní kategorie osobních údajů – biometrických údajů za účelem jedinečné identifikace fyzické osoby, podléhá podmínkám podle čl. 9 GDPR o zpracování zvláštních kategorií osobních údajů.“
Z výše uvedeného činí autoři závěr, že na technologii facial recognition se vztahují podmínky podle čl. 9 nařízení (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) [dále jen „GDPR“].
K odpovědi na otázku problematiky zpracování osobních údajů obecní policií je tedy nutné užít obecnou úpravu GDPR, zejména čl. 9 tohoto nařízení. Kromě významného veřejného zájmu, jak je uvedeno v čl. 9 odst. 2 písm. g) GDPR, je třeba výslovné zákonné zmocnění na základě práva Unie či členského státu. Významný veřejný zájem dovozují autoři zejména ze zákona č. 553/1991 Sb. (dále jen „zákon o obecní policii“), když ust. § 2 zákona o obecní policii stanovuje úkoly obecní policie. Obecní policie tedy zejména: přispívá k ochraně a bezpečnosti osob a majetku, dohlíží na dodržování pravidel občanského soužití, dohlíží na dodržování obecně závazných vyhlášek a nařízení obce, podílí se na dodržování právních předpisů o ochraně veřejného pořádku a v rozsahu svých povinností a oprávnění stanovených tímto nebo zvláštním zákonem činí opatření k jeho obnovení, podílí se na prevenci kriminality v obci, odhaluje přestupky, jejichž projednávání je v působnosti obce.
Nadto autoři uvádějí, že výkladem znění čl. 9 GDPR dospěli k názoru, že výjimka z ust. čl. 9 odst. 2 písm. g) GDPR se na obecní policii vztahuje, když ovšem není nesporné, zda se na obecní policii vztahuje vynětí z působnosti nařízení, a to obsažené v čl. 2 odst. 2 písm. d) nařízení GDPR. K tomu autoři dodávají, že alternativní úpravu relevantní pro obecní policii obsahuje směrnice Evropského parlamentu a Rady (EU) 2016/680, jejíž obsah byl promítnut do zákona o PČR a do adaptačního zákona. Samotná směrnice nemá nicméně přímou účinnost a ze způsobu její transpozice zákonodárcem autoři dovozují, že na obecní policii se tato směrnice nevztahuje, a obecní policie tak není ani vyňata z působnosti obecného nařízení GDPR, kterého se tudíž užije.
Zákonné zmocnění obecní policie pak autoři dále dovozují ze zákona o obecní policii, když § 24 odst. 1 tohoto zákona stanoví, že obecní policie zpracovává osobní údaje, které potřebuje k plnění úkolů podle tohoto nebo zvláštního zákona. Takové úkoly stanovuje výše citované ust. § 2 zákona o obecní policii, v tomto případě tedy zejména přispívání k ochraně a bezpečnosti osob a majetku a podílení se na prevenci kriminality v obci. Ust. § 24a odst. 4 zákona o obecní policii dále uvádí, že ustanovení právních předpisů upravujících ochranu osobních údajů nejsou dotčena. Z tohoto ustanovení usuzují autoři, že ohledně povinností správce a zpracovatele je nasnadě věnovat pozornost čl. 5 GDPR, který vymezuje zásady zpracování osobních údajů, které je správce povinen dodržet, a dále zejména kapitoly III a IV tohoto nařízení, když ostatně výše autoři vyjadřují právní názor, že na obecní policii se vztahuje obecná úprava nařízení.
Co se týče praxe, autoři jsou toho názoru, že je opět možná situace, kdy by obecní policie pověřila zpracovatelem podnikatele (soukromou fyzickou či právnickou osobu), a to s odkazem na čl. 4 odst. 8 GDPR, který obecně stanoví, že zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Samotné pověření je pak dále upraveno v čl. 28 nařízení GDPR. Pokud opět na straně zpracovatele chybí zákonné zmocnění, je nutné uzavřít mezi obecní policií a zpracovatelem smlouvu a zpracovatel musí poskytnout dostatečné záruky vhodných technických a organizačních opatření.
K právnímu názoru autorů se vyjádřil také ÚOOÚ,[3] který s uvedeným názorem autorů nesouhlasí a ve svém stanovisku vyjadřuje názor, že obecní policie nemá k takovéto činnosti oprávnění (tedy být způsobilým správcem). Učinil tak s odkazem na své stanovisko týkající se technologie facial recognition při sportovních utkáních a uvedl, že zmocnění v zákoně o obecní policii nepovažuje za dostatečné. Autoři se s tímto názorem vzhledem k výše uvedenému neztotožňují a dále uvádějí, že co se praxe týče, ani toto stanovisko ÚOOÚ nebrání situaci, kdy by tuto zvláštní kategorii osobních údajů obecní policie zpracovávala pro Policii ČR, když ta by v tomto případě byla v pozici správce.
Pokračování článku se věnuje době uchovávání získaných informací a mezinárodní komparaci.
Článek byl publikován na stránkách Advokátního deníku a v časopise Bulletin advokacie.
[2] Stalo se tak však pouze ústně.
[3] Stalo se tak však pouze ústně.
Diskuze k článku ()