Zpracování osobních údajů v trestním řízení založené na souhlasu subjektu údajů

Zákon č.141/1961 Sb., trestní řád, v platném znění (dále jen „trestní řád“), však stanovuje, že některé úkony v trestním řízení je možné provádět se souhlasem subjektu, který je úkonem dotčen (např. uživatel jiných prostor nebo pozemků, uživatel telekomunikačního zařízení atd.). Trestněprávní směrnice ani zákon o zpracování osobních údajů nestanovují podmínky pro zpracování osobních údajů založeném na souhlasu subjektu údajů při úkonech orgánů činných v trestním řízení. Cílem tohoto článku je posoudit zpracování osobních údajů dle trestního řádu založené na souhlasu subjektu údajů a vyhodnotit, zda na získání a užívání souhlasu subjektu údajů se vztahují podmínky GDPR, včetně toho, jaké důsledky může zpracování na základě souhlasu získané orgánem veřejné moci pro legitimitu takového zpracování mít.

Osobní údaj a jeho zpracování v trestním řízení

GDPR v článku 2 odst. 2 písm. b) stanovuje výjimky z věcné působnosti a stanovuje, že GDPR se nepoužije na „zpracování osobních údajů prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.“ Při vyšetřovacích úkonech policejními orgány tedy nemusí být dodržovány podmínky GDPR, ale takové zpracování má vlastní úpravu, která je v rámci legislativy Evropské unie upravena trestněprávní směrnicí.

Osobním údajem jsou jak dle čl. 3 odst. 1 trestněprávní směrnice, tak dle čl. 4 odst. 1 GDPR „veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“.

Osobními údaji jsou tak údaje, které konkrétní osobu identifikují (např. jméno, příjmení, datum narození, bydliště) a dále všechny údaje, které s touto osobou souvisí (např. lokalizační údaje, historie volání, údaje o pozemku, domácnosti, jiném prostoru atd.).

V bodu 35 recitálu trestněprávní směrnice je uvedeno, že: „plnění úkolů prevence, vyšetřování, odhalování nebo stíhání trestných činů, kterými je institucionálně pověřily právní předpisy, pak příslušným orgánům umožňuje vyžadovat od fyzických osob nebo jim nařizovat, aby splnily, co je po nich požadováno. V takovém případě by souhlas subjektů údajů podle definice v nařízení (EU) 2016/679 neměl představovat právní základ pro zpracování osobních údajů příslušnými orgány. Pokud se od subjektu údajů vyžaduje splnění právní povinnosti, nemá tento subjekt skutečnou a svobodnou volbu, a jeho reakci tudíž nelze považovat za svobodný projev jeho vůle. To by členským státům nemělo bránit v tom, aby právním předpisem stanovily, že subjekt údajů může souhlasit se zpracováním svých osobních údajů pro účely této směrnice, jako jsou testy DNA při trestním vyšetřování nebo sledování místa, kde se nachází, elektronickými náramky pro účely výkonu trestu.“

Trestněprávní směrnice tedy nepočítá s tím, že by při činnostech prováděných dle jejích ustanovení mohlo docházet ke zpracování založeném na základě souhlasu subjektu údajů, ani souhlas neuvádí jako právní základ pro zpracování, počítá však s možností, že členské státy stanoví ve svých právních předpisech, že může docházet ke zpracování založeném na souhlasu subjektu údajů (zákon o zpracování osobních údajů nic takového nestanoví). Trestní řád pak v několika případech stanovuje, že subjekt údajů může souhlasit s určitou činností, při které dochází i ke zpracování osobních údajů. Byť se obecně na zpracování osobních údajů při činnostech orgánů činných v trestních řízení GDPR nepoužije, pakliže se jedná o zpracování, které je založené na souhlasu subjektu údajů, na takové zpracování není možné použít trestněprávní směrnici, ani zákon o zpracování osobních údajů a musí se tedy přistoupit ke kvalifikaci dle GDPR. Projevení souhlasu s takovou činností je pak nutno posoudit dle požadavků, které na souhlas klade GDPR v čl. 6 odst. 1 písm. a).

Činnosti, při nichž je užíván souhlas subjektu údajů

Trestní řád stanovuje, že některé činnosti je možné provádět i bez povolení oprávněného orgánu veřejné moci, pokud k takové činnosti dá souhlas osoba, do jejíž práv činnost zasahuje, resp. subjekt údajů. Obecně není možné nahradit povolení oprávněného orgánu souhlasem subjektu údajů, pokud však trestní řád výslovně stanoví, že určitou činnost lze provést, pokud s ní subjekt údajů souhlasí, pak je souhlas relevantním právním titulem pro zpracování osobních údajů.[4] Jedná se např. o provádění prohlídky jiných prostor a pozemků dle § 83a odst. 3 trestního řádu: „Bez příkazu může policejní orgán provést prohlídku jiných prostor nebo pozemků také tehdy, pokud uživatel dotčených prostor nebo pozemků písemně prohlásí, že s prohlídkou souhlasí, a své prohlášení předá policejnímu orgánu.“

Na souhlasu může být také založen odposlech a záznam telekomunikačního provozu dle § 88 odst. 5 trestního řádu: „Bez příkazu k odposlechu a záznamu telekomunikačního provozu může orgán činný v trestním řízení nařídit odposlech a záznam telekomunikačního provozu, nebo jej provést i sám, je-li vedeno trestní řízení pro trestný čin obchodování s lidmi (§ 168 trestního zákoníku)…, pokud s tím uživatel odposlouchávané stanice souhlasí.“ nebo získání údajů o telekomunikačním provozu dle § 88a odst. 1 trestního řádu: „Je-li třeba pro účely trestního řízení vedeného pro úmyslný trestný čin, na který zákon stanoví trest odnětí svobody s horní hranicí trestní sazby nejméně tři roky…zjistit údaje o telekomunikačním provozu, které jsou předmětem telekomunikačního tajemství anebo na něž se vztahuje ochrana osobních a zprostředkovacích dat a nelze-li sledovaného účelu dosáhnout jinak nebo bylo-li by jinak jeho dosažení podstatně ztížené, nařídí v řízení před soudem jejich vydání soudu předseda senátu a v přípravném řízení nařídí jejich vydání státnímu zástupci nebo policejnímu orgánu soudce na návrh státního zástupce.“ Dle § 88a odst. 4 trestního řádu pak platí, že „příkazu není třeba, pokud k poskytnutí údajů dá souhlas uživatel telekomunikačního zařízení, ke kterému se mají údaje o uskutečněném telekomunikačním provozu vztahovat.“

Také dle § 158d odst. 6 trestního řádu platí, že je možno na základě souhlasu osoby, do jejíž práv má být zasaženo, sledovat osoby a věci, a to i za pomoci zvukových, obrazových a jiných záznamů.[5] Nebo dle § 331 odst. 2 trestního řádu může odsouzený souhlasit s předáním svých údajů o stavu převýchovy zájmovému sdružení občanů, které navrhuje podmíněné propuštění z výkonu.

V trestním řádu jsou upraveny i jiné druhy souhlasů (např. souhlas poškozeného s trestním stíháním dle § 163 trestního řádu). Tyto souhlasy však svojí povahou nejsou souhlasem se zpracováním osobních údajů a zejména se odlišují tím, že po jejich poskytnutí nedochází ke zpracování osobních údajů subjektu, který souhlas poskytl (ale je např. zahájeno trestní stíhání třetí osoby).

Podmínky při zpracování v trestním řízení založeném na souhlasu subjektu údajů

Pokud v trestním řízení dochází k činnosti, která je založena na souhlasu subjektu údajů poskytnutém dle čl. 6 odst. 1 písm. a) GDPR, pak pro získání souhlasu a jeho užívání musí být dle našeho názoru splněny i podmínky uvedené v čl. 4 odst. 7 a podmínky uvedené v čl. 7. Souhlas musí být:

• „svobodný,
• konkrétní,
• informovaný a
• jednoznačný projev vůle,

kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů“ a dále, pokud je souhlas součástí písemného prohlášení, „které se týká rovněž jiných skutečností, musí být souhlas jasně odlišitelný, srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků.“ Mimo jiné také platí, že souhlas může být kdykoliv odvolán a následně musí být zpracování založené na souhlasu ukončeno.  Povinnost ukončit činnost prováděnou na základě souhlasu subjektu údajů je výslovně uvedena v § 158d odst. 6 trestního řádu: „Je-li souhlas dodatečně odvolán, sledování se neprodleně zastaví.“ Dle našeho názoru se zde uplatní i podmínky souhlasu dle čl. 7 odst. 3 GDPR a odvoláním souhlasu „není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.“ Uvedené však dle našeho názoru platí i v případě jiných činností založených na souhlasu subjektu údajů uvedených v trestním řádu (prohlídka prostor, odposlech a záznam telekomunikačního provozu, zjištění údajů o telekomunikačním provozu, sledování osob a věcí, předání údajů o stavu převýchovy zájmovému sdružení občanů).

Svoboda projeveného souhlasu ke zpracování osobních údajů

Je plně na orgánu veřejné moci, aby doložil splnění podmínky konkrétního, informovaného a jednoznačného projevu vůle, stejně jako odlišitelnost, srozumitelnost a užití jednoduchých jazykových prostředků, když orgán veřejné moci např. souhlas připravoval v písemné podobě. Pro platně udělený souhlas však musí být také splněna podmínka svobodného projevu vůle. Jak uvádí právní teorie, vůle je vnitřní psychický vztah jednajícího k jednání, který jednat chtěl. O vůli se nejedná nebo se jedná o relativně neplatné právní jednání, pokud je jednání dosaženo fyzickým násilím, vyhrožováním nebo vyvoláním omylu.[6] Bod 43 odůvodnění GDPR také uvádí, že pro zachování svobody souhlasu by mezi správcem a subjektem údajů neměla existovat jasná nerovnováha, zejména pokud je správce orgánem veřejné moci. Pracovní skupina WP 29 ustanovená čl. 29 směrnice 95/46/EC, která účinností GDPR byla nahrazena Evropským sborem pro ochranu osobních údajů, schválila dne 10. 4. 2018 pokyny pro souhlas podle GDPR (dále jen „Pokyn WP259“)[7]. Dle Pokynu WP259 se při posuzování, zda byl souhlas poskytnut svobodně, bere v úvahu rovnováha, resp. nerovnováha správce a subjektu údajů. Není však vyloučeno, aby i za určitých okolností využil souhlas orgán veřejné moci. Pokyn WP259 uvádí, že „pokud subjekt údajů nemá žádnou skutečnou volbu, cítí se být nucen k souhlasu, nebo neposkytne-li souhlas, utrpí negativní důsledky, pak souhlas nebude platný“.[8]

Při posuzování svobodného udělení souhlasu je nezbytné zvažovat, zda subjekt údajů měl možnost si svobodně zvolit, jestli chce souhlas poskytnout a případné neudělení souhlasu pro něj nemá negativní důsledky, zda nebyl k podepsání souhlasu nucen, zda mu byla povaha a důsledky udělení souhlasu vysvětleny a zda nebyl uváděn v omyl. V praxi mnohdy dochází k tomu, že orgány činné v trestním řízení předkládají souhlasy (např. souhlas se zjištěním údajů o telekomunikačním provozu) obviněným, kteří jsou orgánem činným v trestním řízení vyslýcháni a nemají faktickou možnost důsledky udělení souhlasu více zvážit nebo se o nich poradit s právním zástupcem. V těchto a podobných případech, kdy k udělení souhlasu došlo v rámci vyšetřování anebo kdy nebyla splněna některá z dále uvedených podmínek (subjekt nebyl k podpisu nucen, byly mu jasně sděleny důsledky udělení souhlasu, neudělení pro subjekt údajů nemá negativní důsledky), by dle našeho závěru souhlas neměl být považován za platně udělený. V důsledku toho by získané informace v trestním řízení neměly být použitelné.

Závěr

Obecně se GDPR na zpracování osobních údajů při úkonech příslušných orgánů veřejné moci prováděných za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů nepoužije, ale zpracování je upraveno v zákoně o zpracování osobních údajů a v trestněprávní směrnici. Trestní řád však v několika případech počítá s možností, kdy určitá činnost je prováděna na základě souhlasu subjektu údajů (odposlech a záznamu telekomunikačního provozu, zjištění údajů o telekomunikačním provozu atd.). Pokud tedy orgán veřejné moci založí zpracování na souhlasu subjektu údajů, je nezbytné pro platnost udělení souhlasu a jeho užití postupovat v souladu s GDPR. Souhlas musí být udělen konkrétně, informovaně, jednoznačně a svobodně. Právě se svobodou projevu vůle může být při udělení souhlasu orgánu veřejné moci komplikace. Mezi subjektem údajů a orgánem veřejné moci existuje značná nerovnováha, proto by k poskytování souhlasu mělo docházet jen výjimečně a za určitých okolností. Subjekt údajů musí mít zejména dle našeho hodnocení jasnou volbu (včetně možnosti si udělení dostatečně promyslet, poradit se s právním zástupcem), subjekt nesmí být nucen ani klamán o následcích udělení souhlasu a pokud se rozhodne souhlas neudělit, nesmí utrpět žádnou újmu. Pokud tak např. souhlas vyžaduje orgán činný v trestním řízení od obviněného během jeho výslechu, kdy subjekt údajů nemá faktickou možnost důsledky udělení zvážit nebo se o nich poradit s právním zástupcem, zastáváme názor, že takový souhlas nemůže být považován za svobodně udělený a použitelný.

[1] Nařízení Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), ve znění pozdějších úprav, doplňků nebo změn
[2] Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, ve znění pozdějších úprav, doplňků nebo změn
[3] Ač dle čl. 63 trestněprávní směrnice mělo dojít k transpozici trestněprávní směrnice nejpozději do 6. 5. 2018, zákon o zpracování osobních údajů se nyní projednává v Senátu a nebyl do dnešního dne schválen. Znění zákona o zpracování osobních údajů schválené Poslaneckou sněmovnou je k dispozici >>> zde.
[4] Úřad pro ochranu osobních údajů. K souhlasu se zveřejněním osobních údajů u nezletilých, se kterými je vedeno trestní řízení, č.j. SPR-4266/12. K dispozici >>> zde.
[5] JUDr. Stříž k tomuto uvádí, že souhlas je výjimkou ze stanovených povolovacích mechanismů, pokud se však jedná o výslovný souhlas, není třeba zajistit vyšší míru kontroly. In:Trestní zákoník a trestní řád: průvodce trestněprávními předpisy a judikaturou. 2. díl, Trestní řád. Praha: Linde, 2010. ISBN 978-80-7201-803-1, str. 494.
[6] Beran v PETROV, Jan. Občanský zákoník: komentář. V Praze: C.H. Beck, 2017. Beckova edice komentované zákony. ISBN 978-80-7400-653-1. Str. 588
[7] Pracovní skupina zřízená podle článku 29. Pokyny pro souhlas podle nařízení 2016/679. Ze dne 10. 4. 2018. K dispozici >>> zde.
[8] Pokyn WP259. Str. 5