Interní akty řízení
Zveřejnění podle ustanovení § 5 odst. 3 zákona č. 106/1999 Sb.
Žadatel požadoval poskytnutí následujících informací:
"Jaké jsou vnitřní směrnice Policie České republiky v případě bezpečnostního incidentu - ztráty osobních údajů nebo situace, kdy policie omylem vydá osobní údaje o desítkách osob jiné osobě mimo Policii České republiky.
Jaký je vnitřní mechanismus podle zákona č. 106/1999 Sb., když policista, když Policie České republiky, nedbalostním způsobem elektronicky zašle mimo svůj rezort fyzické osobě údaje stovky policistů, jaký je správný postup, jak Policie České republiky má postupovat a dále zaslat mně i interní akty řízení a případně závazný pokyny nebo metodiku, případně manuál, jak se má v těchto případech postupovat."
Policie České republiky jako povinný subjekt podle § 2 odst. 1 zákona č. 106/1999 Sb. žádost posoudila a k výše citovaným dotazům uvedla následující. Policie České republiky vnímá každý bezpečnostní incident jako porušení zabezpečení. Porušení zabezpečení je stavem, při němž došlo k náhodnému nebo protiprávnímu zničení, ztrátě či změně osobních údajů. Dále je porušením zabezpečení neoprávněné poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
K dotazům lze uvést, že postup při porušení zabezpečení osobních údajů je v rámci Policie České republiky upraven pokynem policejního prezidenta č. 215/2021, o zpracování osobních údajů, ze dne 29. listopadu 2021 (dále jen „pokyn č. 215/2021“), konkrétně v čl. 46 až čl. 53 (pokyn č. 215/2021 byl žadateli rovněž poskytnut).
Dojde-li v rámci Policie České republiky k porušení zabezpečení, má Policie České republiky povinnost případ zdokumentovat, a ve stanovených případech ohlásit a oznámit. V rámci Policie České republiky jsou dokumentovány všechny případy porušení zabezpečení bez ohledu na to, zda došlo k ohlášení na Úřad pro ochranu osobních údajů, či nikoliv. Náležitosti dokumentace porušení zabezpečení a doba jejího uchování jsou podrobně popsány v čl. 49 odst. 2, resp. odst. 3 pokynu č. 215/2021. V případě ohlašování porušení zabezpečení Úřadu pro ochranu osobních údajů je postupováno dle čl. 50 pokynu č. 215/2021, při vědomí povinností vyplývajících Policii České republiky z čl. 33 nařízení Evropského parlamentu a Rady (EU) 2016/679 a § 41 zákona č. 110/2019 Sb., o zpracování osobních údajů. Ohlášení porušení zabezpečení Úřadu pro ochranu osobních údajů musí být provedeno bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy došlo ke zjištění porušení zabezpečení. Pro úplnost povinný subjekt doplňuje, že Policie České republiky není povinna ohlašovat všechna zjištěná porušení zabezpečení Úřadu pro ochranu osobních údajů. Povinnost hlásit tato porušení není dána tehdy, je-li nepravděpodobné, že by porušení zabezpečení mělo za následek riziko pro práva a svobody fyzických osob, nebo v případě je-li riziko neoprávněného zásahu do práv a svobod subjektu údajů nízké. Povinnost oznamování, v případě pravděpodobnosti, že porušení zabezpečení způsobí vysoké riziko pro práva a svobody fyzických osob, spočívá v informování dotčených fyzických osob o zjištěném porušení zabezpečení. Hlavním účelem je poskytnutí informace o krocích, které by tyto dotčené osoby měly učinit pro vlastní ochranu. Obecně lze konstatovat, že v rámci porušení zabezpečení se nikterak nerozlišuje, v jaké oblasti k němu došlo. Dojde-li k porušení zabezpečení v rámci zákona č. 106/1999 Sb., o svobodném přístupu k informacím, resp. v souvislosti s vyřizováním žádosti dle zmíněného zákona, jedná se o bezpečnostní incident, na nějž bez dalšího dopadají postupy uvedené výše.
pplk. Mgr. art. et Mgr. David Schimmer – 4. 11. 2024