2. 2. 2018
ID: 107019upozornění pro uživatele
Nesoulad zpracování genetických údajů u Policie ČR
Zpracování vzorků DNA jako citlivé informace podle zákona č. 101/2000 Sb. , o ochraně osobních údajů v policejní databázi je stále otevřená otázka, na kterou má rozdílný názor na jedné straně Veřejný ochránce práv, Úřad pro ochranu osobních údajů a subjekt, kterého se zpracování v databázi týká (subjekt údajů), a na druhé straně Ministerstvo vnitra. Na čem se všechny strany včetně Nejvyššího správního soudu shodují, je fakt, že uchovávání profilů vzorků DNA[1] v Národní databázi DNA (dále jen „databáze“) může představovat zásah do práv na soukromý život[2]. S novou právní úpravou obsaženou v Nařízení GDPR[3] budou podmínky pro zpracování genetických informací jako zvláštní kategorie osobních údajů přísnější. Subjekty, kterých se zpracování v databázi týká, budou mít novou naději, že jejich vzorek DNA nebude splňovat podmínky pro jeho zpracování a bude muset být z databáze vyřazen.
 |
Prvotní impuls ke zřízení kriminalistické databáze DNA vzešel v roce 2001 z veřejného zájmu zlepšení ochrany společnosti před kriminalitou (všeobecněji bezpečnost společnosti). Dalším důvodem pro zřízení databáze DNA jsou mezinárodní závazky České republiky v boji proti terorismu. Databáze je součástí Schengenského informačního systému a v jejím rámci dochází k přeshraničnímu poskytování těchto údajů.
Významný objem profilů DNA byl do databáze založen po plošné akci v roce 2007, kdy byl na základě interního aktu Policie ČR ve věznicích po celé zemi prováděn tzv. bukální stěr ze sliznice odsouzeným bez rozdílu trestu. Do databáze jsou stále zařazovány nové vzorky DNA[5] na základě ust. § 65 zákona č. 273/2008 Sb. , o Policii České republiky, kdy Policie může při plnění svých úkolů pro účely budoucí identifikace u a) osoby obviněné ze spáchání úmyslného trestného činu nebo osoby, které bylo sděleno podezření pro spáchání takového trestného činu, b) osoby ve výkonu trestu odnětí svobody za spáchání úmyslného trestného činu, c) osoby, jíž bylo uloženo ochranné léčení nebo zabezpečovací detence, nebo d) osoby nalezené, po níž bylo vyhlášeno pátrání a jejíž svéprávnost je omezena, snímat daktyloskopické otisky, zjišťovat tělesné znaky, provádět měření těla, pořizovat obrazové, zvukové a obdobné záznamy a odebírat biologické vzorky umožňující získání informací o genetickém vybavení. Zákon zde upravuje pouze odebírání DNA jako jednu z operací zpracovávání[6].
Databáze je bezpochyby užitečným nástrojem v rukách Policie ČR k plnění veřejného zájmu ochrany naší společnosti před kriminalitou, stejně jako Rejstřík trestů nebo třeba kamerový monitoring veřejného prostranství. Každá taková evidence resp. databáze napomáhá odhalovat a usvědčovat pachatele trestných činů a lze připustit, že zařazení údajů do ní může působit ve vztahu k budoucímu porušiteli zákona i preventivně.
Do účinnosti GDPR v květnu 2018 bude muset Policie ČR provést inventuru profilů DNA a rozhodnout, které profily zpracovává za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení[7]. Na zpracování takových vzorků se bude aplikovat pouze směrnice EU 2016/680[8], kterou musí pověřené ministerstvo vnitra implementovat do května 2018. Ostatní takto nevyloučené zpracování profilů DNA musí Policie ČR uvést do souladu s Nařízením GDPR.
Zpracování genetických údajů Policií ČR (pro jiné účely než pro účely směrnice EU 2016/680) bude možné pouze při naplnění podmínek vyplývajících z GDPR, tedy když dle ust. čl. 6 odst. 1 písm. e) GDPR, zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Ustanovení čl. 6 odst. 1 písm. f) a zákonného důvodu zpracování pro účely oprávněných zájmů správce se nepoužije, neboť tento právní důvod se nevztahuje na zpracování prováděného orgány veřejné moci při plnění jejich úkolů (viz pododstavec). V případě genetických údajů jako kategorie zvláštních osobních údajů musí nadto správce dodržet zákonnost podle čl. 9 odst. 2 písm. g), aby zpracování bylo nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů. V opačném případě je dle čl. 9 odst. 1 zpracování genetických údajů zakázáno. Jsou koncipovány minimálně 4 podmínky, jejichž naplnění musí být kumulativní.
Neimplementovaná směrnice EU 2016/680 a český zákon č 273/2008 Sb. , o Policii ČR upravují zmiňovaný právní základ a obsahují zmocnění pro Policii ČR ke zpracování za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, vždy za podmínky, že zpracování genetických údajů jako zvláštní kategorie osobních údajů je zcela nezbytné, existují vhodné záruky práv a svobod subjektu údajů a je povoleno zákonem[9]. Na základě ust. § 79 odst. 1 zákona o Policii ČR, může Policie zpracovávat osobní údaje včetně citlivých (tedy i genetických) údajů bez souhlasu subjekt údajů, pokud je to nezbytné pro plnění jejích úkolů. Ust. § 85 stejného zákona žádné výslovné povolení ke zpracování genetických údajů bez souhlasu subjektu neobsahuje a týká se obecné kategorie osobních údajů[10]. Na aplikaci tohoto ustanovení podle stávající úpravy z. č. 101/2000 Sb. prozatím ztroskotaly všechny snahy o kontrolu zpracovávaných údajů v Národní databázi DNA.
Výklad, že Policie má na základě ust. § 85 zákona č 273/2008 Sb. , oprávnění zpracovávat všechny osobní údaje včetně kategorie zvláštních údajů dle GDPR, by byl excesivní a v rozporu s podstatou práva na ochranu osobních údajů jako podmínky uvedené v čl. 9 odst. 2 písm. g) GDPR. Restriktivní výklad podmínek zpracování genetických údajů deklaruje i rozsudek Evropského soudu pro lidská práva ve věci S. a Marper proti Spojenému království[11]. Připustíme-li účelový výklad, že Policie může při plnění svých úkolů „neomezeně“ zpracovávat osobní údaje (včetně DNA) pouze na základě svého uvážení, jehož jediným korektivem je předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů, zajištění vnitřního pořádku a bezpečnosti včetně pátrání po osobách a věcech a zajištění bezpečnosti České republiky, znamená to, že pod takový výklad lze podřadit kohokoliv z nás, což by mohlo „vypustit džina z lahve“. Zákon o Policii z roku 2008 možná vyhovoval mezím zákona o osobních údajích z roku 2000, rozhodně však neobstojí před zákonem z roku 2018 a výzvám v nadcházejícím horizontu beze změny. Zákonná ustanovení § 85 (v poznámce číslo 10) viditelně rozporují zásadám minimalizace, přesnosti a legálnosti.
Ve světle nastávající úpravy ochrany osobních údajů a posouzení dosavadního zpracování (uchovávání) genetických údajů v databázi vyplývá, že nejsou splněny všechny podmínky čl. 9 odst. 2 písm. g), když není právní základ ani neexistuje vhodná a konkrétní záruka pro ochranu osobních údajů. Policie by měla konstatovat, že zpracovávání není v souladu s GDPR, protože nemá ani souhlas ani jasné zákonné zmocnění ke zpracování DNA v databázi. Před podobným závěrem se mohou octnout i ostatní organizace ze sektorů medicíny a zdravotnictví. Vhodným legislativním řešením a jasným vymezením hranice by bylo přijetí speciálního zákona o DNA.
Mgr. Libor Pavlíček,
advokátní koncipient
MORENO VLK & ASOCIADOS
advokátní kancelář
Sokolovská 32/22
186 00 Praha 8
Tel.: +420 224 818 736
Fax: +420 224 818 736
e-mail: praha@moreno-vlk.eu
_____________________________________
[1] Blíže k profilům: DNA v Policejní praxi, Iuridicum Remedium, autoři Jan Vobořil a Vít Ferfecki
[2] Rozhodnutí NSS 4 AS 168/2013 v kasační stížnosti Úřadu pro ochranu osobních údajů proti rozsudku Městského soudu v Praze 10 A 30/2010.
[3] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[4] Recitál č. 34 Nařízení GDPR: Genetické údaje by měly být definovány jako osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které vyplývají z analýzy biologického vzorku dotčené fyzické osoby, zejména chromozomů nebo kyseliny deoxyribonukleové (DNA) či ribonukleové (RNA), anebo z analýzy jiného prvku, která umožňuje získat rovnocenné informace.
[5] Nyní databáze čítá kolem 250 tisíc profilů DNA fyzických osob.
[6] Definice dle čl. 4 GDPR: „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
[7] Čl. 2 odst. 1 písm. d) GDPR
[8] SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů
[9] Čl. 10 Směrnice EU 2016/680
[10] Znění § 85 zákona č. 273/2008 Sb. , o Policii ČR: Policie může při plnění svých úkolů - a) zpracovávat nepřesné nebo neověřené osobní údaje; pokud je to možné, policie osobní údaje takto označí, b) zpracovávat osobní údaje i k jinému účelu, než ke kterému byly shromážděny, c) shromažďovat osobní údaje otevřeně i utajeným způsobem nebo pod záminkou jiného účelu anebo jiné činnosti, d) sdružovat osobní údaje, které byly získány k rozdílným účelům, za účelem předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů, zajištění vnitřního pořádku a bezpečnosti včetně pátrání po osobách a věcech a zajištění bezpečnosti České republiky.
[11] Rozhodnutí ESLP ze dne 4.12.2008 (30562/04, 30566/04)
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
