Nepovšimnuté novely zákonů s dopadem do soukromí (2) Biometrika v kamerách a změna ZZOÚ
Mgr. Monika Bendová, LL.M.
Druhý díl odborného zhodnocení: Jak dubnové návrhy změn zákonů ovlivní ochranu osobních údajů, aneb důležité novely právních předpisů, jejichž dopad do sféry ochrany osobních může být podstatný.
Vládní návrh zákona, kterým se mění zákon č. 273/2008 Sb., o Policii České republiky, ve znění pozdějších předpisů, a některé další zákony /sněmovní tisk č. 807, senátní tisk č. 104/ - projednáno Poslaneckou sněmovnou Parlamentu ČR dne 23. 4. 2025
Důvod předložení: Hlavním důvodem předložení tisku je úprava přeshraniční výměny informací mezi tzv. donucovacími orgány, tedy orgány policejní povahy, v rámci předcházení, odhalování a vyšetřování trestné činnosti, stanovenou nově přijatou směrnicí Evropského parlamentu a Rady (EU) 2023/977. Zároveň však dochází k dalším dílčím změnám dopadajícím na ochranu osobních údajů, a to zejména v oblasti užití biometriky v kamerách v reálném čase a v oblasti předávání jmenného seznamu cestujících v letecké dopravě. Dochází také k nesouvisející změně zákona č. 110/2019 Sb., o zpracování osobních údajů, která upravuje některé organizační záležitosti a činnosti Úřadu pro ochranu osobních údajů.
Dopady na ochranu soukromí a osobních údajů fyzických osob:
A. Směrnice o policejní výměně informací
Účelem navrhovaného zpracování osobních údajů je provádění policejní spolupráce v rámci EU a s dalšími státy uplatňujícími předpisy k provedení směrnice 2023/977. Novela upřesňuje požadavky na výměnu informací a zavádí hierarchizovanou strukturu spolupracujících orgánů policejního typu, kterou zastřešuje jednotné kontaktní místo. Předkladatel však přiznává, že návrh mírně zvyšuje potenciální zpracování osobních údajů tím, že zavádí povinnost tzv. spontánního podání informace ve kvalifikovaných případech. Tím, že návrh stanoví lhůty pro poskytnutí odpovědi, patrně do jisté míry zvýší intenzitu výměny osobních údajů. Naopak návrh vymezením množiny možných osobních údajů, které lze předat v rámci přeshraniční spolupráce donucovacích orgánů při transpozici směrnice 2023/977, potenciálně omezuje rozsah kategorií osobních údajů, které budou zpracovávány v rámci přeshraniční policejní spolupráce podle této směrnice. Návrh dle předkladatele zvyšuje ochranu osobních údajů tím, že žádající subjekty vede k odůvodnění účelu žádosti, popisu skutku a relevantních souvislostí i odůvodnění, proč mají být informace k dispozici v žádaném státě, i k vyžadování pouze těch kategorií osobních údajů, které jsou k dosažení účelu žádosti přiměřené a nezbytné.
Relevantní nová ustanovení: § 88b, § 88c zákona o Policii ČR (žádost o předávání a předávání údajů, § 88d zákona o Policii ČR (zvláštní ustanovení o zpracovávání osobních údajů policií v jiných oblastech), § 90a, § 90b a § 90c zákona o Policii ČR (předávání informací Evropskému policejnímu úřadu).
B. Provoz kamerových systémů s biometrickou identifikací v reálném čase a AI Act
Policie České republiky provozuje relevantní systém v rámci zajištění bezpečnosti a prevence kriminality na Letišti Václava Havla jako systém izolovaný; dle AI Actu má však uvedená vzdálená biometrická identifikace ve veřejných prostorách v reálném čase má povahu zákazu, který se uplatňuje již 6 měsíců po jeho vyhlášení, ledaže členský stát splní podmínky v AI Actu uvedené. Aby nedošlo ke zbytečnému přerušení činnosti relevantních částí tohoto systému, předkládá se v nezbytném rozsahu transpozice podmínek vyžadovaných pro vzdálenou biometrickou identifikaci v reálném čase ve specifickém rozsahu, a to formou novelizace zákona, který již do vnitrostátního právního řádu transponoval většinu ustanovení směrnice (EU) 2016/680 (trestněprávní směrnice). Vzhledem k tomu, že vláda z důvodů ochrany vnitřní bezpečnosti předpokládá rozšíření kamerového systému na další mezinárodní letiště, umožňuje text návrhu nasazení izolovaného systému na jednom nebo více mezinárodních letištích, ale nikde jinde, jakkoli to AI Act – dle předkladatelů materiálu - umožňuje. Dle předkladatelů zároveň úprava nepředstavuje vyčerpání možností povolených AI Actem de lege ferenda. Současně s oprávněními spravujícího orgánu provozovat izolovaný systém se stanoví i nové přestupky za porušení povinností tohoto orgánu.
Předmětem adaptace také nejsou různé hypotetické systémy vzdálené biometrické identifikace ve veřejných prostorách v reálném čase (např. systémy nasazené v prostorách s velkým množstvím procházejících nebo jinak se náhodně vyskytujících osob, systémy s proměnlivým geografickým rozsahem apod.). Půjde-li o jiné systémy pro biometrickou identifikaci (tedy ty, které nefungují v reálném čase na veřejně přístupných místech), bude i nadále zpracování biometrických údajů a osobních údajů související s jejich používáním spadat pod čl. 10 výše uvedené trestněprávní směrnice. Jde-li o jiné účely, než je vymáhání práva, bude se aplikovat ve vztahu k těmto zvláštním kategoriím osobních údajů čl. 9 obecného nařízení o ochraně osobních údajů a čl. 10 nařízení (EU) 2018/1725, které se vztahuje na zpracování osobních údajů institucemi a orgány EU.
Návrh dle předkladatele zapracovává podmínky a požadavky AI Actu, zejména jako zásadní záruku ochrany práv a svobod osob stanoví proces a podmínky povolování vzdálené biometrické identifikace v reálném čase soudem. Návrh také v souladu s požadavky AI Actu omezuje kategorie osob, jejichž biometrické údaje lze využít v referenční databázi a posiluje dohled pověřence nad zpracováním osobních údajů.
Relevantní nová ustanovení: § 39a, § 39b, § 39c zákona o zpracování osobních údajů (Izolovaný systém- systém umělé inteligence pro vzdálenou biometrickou identifikaci fyzických osob v reálném čase a podmínky jeho užití).
C. Jmenná evidence cestujících
Také jmenná evidence cestujících v letecké dopravě není ničím novým a tato je předávána leteckými společnostmi Policii ČR; v této oblasti však předkladatel chtěl reagovat na některé části výkladu směrnice 2016/681 o jmenné evidenci cestujících, který podal rozsudkem C-817/19 Evropský soudní dvůr, přestože nejde o rozsudek určený ČR, protože Komise oznámila záměr postupně přezkoumávat transpoziční předpisy členských států. Jde zejména o stanovení povinnosti výběru relevantních letů (resp. tras, letišť nebo letových modelů) uvnitř EU, a dále o zkrácení dosavadní pětileté doby uchování všech údajů jmenné evidence cestujících. Tyto parametry je nutno stanovit zákonem. Je také nutno stanovit zákonem povinnost Policie k výmazu údajů z letů, které nebyly vybrány. Policie výběr letů, který aktualizuje podle potřeby nejméně jednou za 12 měsíců. Výběr letů se provádí pouze z letů uskutečňovaných leteckým dopravcem z území členského státu EU s přistáním na území jiného členského státu EU bez mezipřistání mimo členské státy EU, u kterých je letecký dopravce povinen předat údaje jmenné evidence cestujících. Vybraným letem může být nejdéle na 9 měsíců také zvláště určený let, u kterého nelze důvodnost výběru posoudit pro nedostatek informací. Na výběru letů se mohou podílet využívající orgány České republiky, k tomuto účelu jim policie může poskytnout přístup k údajům jmenné evidence cestujících. Novela upravuje také lhůty pro výmaz údajů o cestujících (neprodleně u letů, které nebyly vybrány, 3 roky a 5 let u ostatních letů dle jejich povahy, respektive nastalé situace).
Relevantní nová ustanovení: § 84a odst. 6 zákona o Policii ČR (výběr letů a jejich aktualizace u letů uvnitř EU), § 84b odst. 2, 6 a 7 zákona o Policii ČR (výmaz a znepřístupnění údajů).
Zabezpečení dat: Přestože návrh hovoří o výrazných dopadech do rozpočtu, kdy u používání izolovaného systému vzdálené biometrické identifikace osob v reálném čase v kontextu zajištění vnitřní bezpečnosti a prevence kriminality uvádí dílčí dopady zejména na úpravy stávajícího systému, aby vyhovoval nové regulaci, jakož i na nové administrativní procesy ve fázi přípravy požadované dokumentace k systému a ve fázi dohledu pověřence nad zařazováním biometrických údajů osob do referenční databáze (náklady cca v jednotkách milionů korun), u jmenné evidence cestujících uvádí náklady na úpravy IT systému pro zpracování údajů o cestujících v letecké dopravě (cca jednotky milionů korun) a u vyřizování žádostí o přeshraniční spolupráci jde o úpravy IT systému pro vyřizování žádostí o přeshraniční spolupráci (cca jednotky milionů korun); o konkrétním zabezpečení dat, nebo nákladech na toto zabezpečení, však nehovoří návrh nic.
Další změny v právní úpravě Úřadu pro ochranu osobních údajů: Na základě iniciativy Úřadu pro ochranu osobních údajů za účelem řešení problémů, které ukázala praxe uplatňování zákona o zpracování osobních údajů, byly v novele zákona o Policii ČR zapracovány níže uvedené dílčí změny zákona o zpracování osobních údajů, které se týkají činnosti Úřadu pro ochranu osobních údajů a které se zákonem o Policii ČR nikterak nesouvisí.
- dochází ke snížení požadavku minimálního věku pro místopředsedu Úřadu ze 40 let na věk 35 let;
- mění se způsob, jakým může Úřad stanovit kritéria pro akreditaci subjektu provádějícího monitorování kodexů chování (čl. 41 odst. 3 GDPR), kritéria pro vydávání osvědčení o ochraně údajů nebo příslušných pečetí a známek (čl. 42 odst. 5 GDPR) nebo požadavky pro akreditaci subjektu pro vydávání osvědčení (čl. 43 odst. 1 písm. b) GDPR); nově by se mělo jednat nikoli o vyhlášku, nýbrž o opatření obecné povahy;
- vkládá se nová úprava rozhodování o kodexu chování podle čl. 40 odst. 5 GDPR. Zejména se upřesňují činnosti Úřadu v oblasti kodexů, tj. jejich schvalování kodexů a akreditace subjektů pro jejich monitorování, což je využito v návrhu novely zákona o správních poplatcích, kde jsou tyto činnosti vydefinovány a zpoplatněny podle druhu rozhodnutí částkou od 5 do 30 tisíc korun. Zavedení správních poplatků a stanovení jejich výše je motivováno usměrněním zájemců o předložení kodexů a akreditace pro monitorování kodexů chování, tedy aby návrhy kodexů chování předkládali pouze vážní zájemci;
- důležitou informací je, že od poplatku v souvislosti s rozhodováním o kodexu chování jsou osvobozeny nadace a nadační fondy, spolky a pobočné spolky, odborové organizace, právnické osoby založené jako součásti registrovaných církví a náboženských společností, obecně prospěšné společnosti a ústavy, pokud jsou tyto subjekty založené k poskytování obecně prospěšných činností a souvisí-li prováděný úkon s činností, pro níž byly tyto subjekty založeny.
Závěr: Novela zákona o Policii ČR a souvisejících právních předpisů přináší nejen změny reflektující evropskou právní úpravu a judikaturu a týkající se přeshraničního předávání informací, ale též novinku v podobě vydefinování izolovaného (kamerového) systému jako systém umělé inteligence pro vzdálenou biometrickou identifikaci fyzických osob v reálném čase a podmínek jeho užití přímo v zákoně o zpracování osobních údajů, a to jako reakce na AI Act, nebo změny v oblasti předávání jmenného seznamu cestujících v letu uvnitř EU včetně lhůt pro výmaz; u této problematiky je otázkou, zda došlo ke správné interpretaci rozsudku Soudního dvora EU C‑817/19 ohledně výběru podezřelých letů. Jako překvapivé se jeví změny zákona o zpracování osobních údajů týkající se přímo Úřadu pro ochranu osobních údajů, akreditací a kodexů chování, které s novelou zákona o Policii ČR vůbec nesouvisí, lze však chápat skutečnost, že "otevřít" zákon o zpracování osobních údajů jen kvůli těmto změnám by bylo problematické. Osobně mám však za to, že změny si zasloužily ze strany Úřadu pro ochranu osobních údajů alespoň nějakou publicitu, aby se minimálně odborná veřejnost měla možnost o těchto změnách dozvědět.
Stenozáznam z Poslanecké sněmovny Parlamentu ČR: https://www.psp.cz/eknih/2021ps/stenprot/136schuz/bqbs/b24917201.htm
Sněmovní tisk: https://www.psp.cz/sqw/historie.sqw?o=9&t=807
Autor článku: Mgr. Monika Bendová, LL.M.
