Na základě kontrolního plánu pro rok 2018 provedl Úřad kontrolu, jejímž předmětem bylo zpracování osobních údajů při výkonu kontroly trestu domácího vězení, která probíhá na základě § 334h zákona č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve spojení s vyhláškou č. 456/2009 Sb., o kontrole výkonu trestu domácího vězení. Úřad se konkrétně zaměřil na zpracování osobních údajů při dohledu nad výkonem trestu domácího vězení s využitím elektronického monitorovacího systému („EMS“).
Předmět kontroly spadá do působnosti směrnice (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, která však nebyla v době kontroly transponována do českého právního řádu (ačkoli lhůta pro transpozici uplynula). Na kontrolovanou osobu se proto i nadále vztahovala právní úprava obsažená v zákoně č. 101/2000 Sb., který byl v době kontroly platným a účinným právním předpisem a současně nebyl v rozporu s principy obsaženými ve směrnici (EU) 2016/680.
Kontrolované osobě byl zákonem svěřen dohled nad výkonem trestu domácího vězení, a to včetně možnosti využívat k tomuto účelu EMS. Zákonem byly stanoveny účel i prostředky zpracování osobních údajů a kontrolovaná osoba je tedy v postavení správce osobních údajů. Za účelem dohledu nad výkonem trestu domácího vězení kontrolovaná osoba disponuje osobními údaji odsouzených (v rozsahu, v jakém byly shromážděny v rámci trestního řízení, resp. popsány v rozhodnutí soudu), a to včetně citlivých údajů vypovídajících o zdravotním stavu odsouzeného, případně též o jeho náboženském vyznání (v rozsahu nezbytném pro posouzení možnosti využití trestu domácího vězení s kontrolou pomocí EMS).
Kontrolující zjistili, že provoz datového centra informačního systému EMS a centrálního monitorovacího střediska zajišťuje pro kontrolovanou osobu Ministerstvo spravedlnosti, které je tedy v postavení zpracovatele osobních údajů. Kontrolovaná osoba postupovala při zpracování osobních údajů na základě právního titulu předpokládaného zákonem č. 101/2000 Sb. (plnění právních povinností), a o předmětném zpracování informovala dotčené osoby v souladu s požadavky § 11 odst. 1 a 2 zákona č. 101/2000 Sb.
Kontrolující také prověřili plnění povinností v oblasti opatření přijatých k zajištění bezpečnosti zpracovávaných osobních údajů ve smyslu § 13 zákona č. 101/2000 Sb. s tím, že v tomto bodě nebylo zjištěno žádné pochybení. Vzhledem k účasti ministerstva na předmětném zpracování v roli zpracovatele nicméně kontrolující konstatovali porušení povinnosti uvedené v § 6 zákona č. 101/2000 Sb., neboť kontrolovaná osoba neuzavřela s ministerstvem smlouvu o zpracování osobních údajů. K uzavření smlouvy o zpracování osobních údajů mezi kontrolovaným a ministerstvem mělo přitom dojít ještě před samotným zahájením zpracování osobních údajů ministerstvem, bez ohledu na stav transpozice směrnice (EU) 2016/680.
Vzhledem k tomu, že kontrolovaná osoba závadný stav neprodleně napravila, Úřad neuložil opatření k odstranění zjištěných nedostatků a od uložení pokuty upustil.
Doporučení:
Je-li do zpracování zapojen zpracovatel, je s ním správce povinen uzavřít zpracovatelskou smlouvu. Více informací o povinnosti uzavřít zpracovatelskou smlouvu lze nalézt na internetových stránkách https://www.uoou.cz/zpracovatel/d-29316/p1=3938.
