Podobně jako Úřad pro ochranu osobních údajů došel ombudsman k tomu, že Policie ČR shromažďovala od České správy sociálního zabezpečení minimálně mezi 16. a 31. březnem loňského roku osobní údaje lidí v karanténě bez zákonného titulu. Došlo totiž k záměně role toho, kdo o informace žádá, a subjektu, který je oprávněn je poskytnout. Policie ani nesplnila zákonem danou informační povinnost, tedy neinformovala veřejnost například na svých internetových stránkách, které osobní údaje, z jakého důvodu a v jakém rozsahu shromažďuje.

„Od května 2018 se všechny státy Unie musí řídit Obecným nařízením o ochraně osobních údajů známým jako GDPR. Obecně platí, že pokud někdo osobní údaje shromažďuje, musí splnit několik podmínek. Předně musí mít právní důvod neboli titul pro jejich zpracování. Může jít typicky o souhlas dotyčného člověka, jehož údaje se zpracovávají. Důvodem ale může být třeba i smlouva nebo může být zpracování údajů nezbytné kvůli plnění nějaké právní povinnosti,“ vysvětluje vedoucí odboru veřejného pořádku a místní správy Kanceláře veřejného ochránce práv Veronika Gabrišová s tím, že podrobnější informace mohou lidé nalézt především na stránkách Úřadu pro ochranu osobních údajů. „I v naší praxi vidíme, že lidé přemýšlejí, jaké osobní údaje a komu poskytují. V minulém roce se na veřejného ochránce práv obraceli třeba s dotazy na prokazování bezinfekčnosti například v restauracích, na hromadných akcích nebo ve službách,“ dodává právnička. 

Tyto podněty ovšem ombudsman řešit nemůže, netýkají se totiž žádného úřadu v jeho působnosti. Stěžovatelům ale například vysvětloval, že samotným předložením potvrzení o bezinfekčnosti ke zpracování osobních údajů ve smyslu GDPR nedochází a jedná se pouze o jednorázovou kontrolu naplnění podmínek bezinfekčnosti.