Pokud se jiný subjekt rozhodne zpracovávat osobní údaje obsažené ve veřejných rejstřících, musí nejprve určit účel a prostředky zpracování. Toto rozhodnutí z něj učiní správce. Co vše zahrnuje pojem veřejný rejstřík a jaké povinnosti má správce při dalším zpracování osobních údajů v takovém rejstříku obsažených?
Co je veřejný rejstřík?
V užším smyslu, ve kterém budu pojem dále užívat, jsou veřejnými rejstříky ty, které jsou úplným výčtem vyjmenovány v zákoně č. 304/2013 Sb., o veřejných rejstřících právnických a fyzických osob a o evidenci svěřenských fondů (dále jen „ZVR“), tj.: spolkový rejstřík, nadační rejstřík, rejstřík ústavů, rejstřík společenství vlastníků jednotek, obchodní rejstřík a rejstřík obecně prospěšných společností.
Jde o informační systémy veřejné správy, do kterých se zapisují zákonem stanovené údaje o právnických a fyzických osobách.
Obecně platí, že údaje o zapsané osobě a listiny uložené ve sbírce listin zveřejňuje rejstříkový soud způsobem umožňujícím dálkový přístup. Z hlediska možného dalšího zpracování údajů ve veřejných rejstřících je však třeba zdůraznit, že některé údaje se neuveřejňují a některé údaje lze na žádost zapsané osoby znepřístupnit.[1]
Speciální úpravu stanoví ZVR u rodných čísel
Pokud se do veřejného rejstříku zapisuje rodné číslo, neuvádí se v opisu z veřejného rejstříku ani se neuveřejňuje. Je-li rodné číslo uvedeno v listinách zakládaných do sbírky listin, uveřejňují se tyto listiny postupem podle tohoto zákona, včetně rodného čísla.[2]
ZVR neobsahuje žádné výslovné vymezení toho, za jakým účelem lze osobní údaje, které jsou v rejstřících obsaženy, dále využívat.[3]
Jaké jsou podmínky dalšího zpracování osobních údajů z veřejných rejstříků?
Pokud se jiný subjekt rozhodne zpracovávat osobní údaje obsažené ve veřejných rejstřících, musí nejprve určit účel a prostředky zpracování. Toto rozhodnutí z něj učiní správce. Jako správce pak musí plnit všechny povinnosti, které mu GDPR[4] stanoví.
Považuji přitom za důležité věnovat se následujícím povinnostem[5]:
1. určení právního důvodu zpracování
Přestože existuje několik více právních důvodů, které by mohly být pro zpracování údajů z veřejných rejstříků relevantní, lze s vysokou mírou pravděpodobnosti předpokládat, že ve velké většině případů bude tímto důvodem oprávněný zájem správce nebo třetí strany[6]. Tento právní důvod přitom potvrdil ve vztahu k tzv. klonům veřejných rejstříků v rámci své kontrolní činnosti též Úřad pro ochranu osobních údajů[7]. V případech veřejných subjektů lze uvažovat i o zpracování nezbytném pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci[8].
V případě zpracování osobních údajů pro účely oprávněných zájmů je správce povinen provést tzv. balanční test (k tomu více níže).
V případě právního důvodu týkajícího se plnění úkolu ve veřejném zájmu je správce povinnosti provádět balanční test ušetřen. O to více pozornosti ale musí věnovat vyhodnocení, zda je zpracování, které chce provádět, opravdu nezbytné pro splnění jeho úkolu. S ohledem na povinnost doložit soulad[9] musí být tuto skutečnost připraven prokázat.
V rámci balančního textu nebo vyhodnocení podle předchozího odstavce pak bude posouzena i tzv. slučitelnost účelů.[10]
2. balanční test
Předmětem balančního testu je porovnání oprávněných zájmů správce či třetí strany (tou může být třeba i veřejnost) na jedné straně a zájmů nebo základních práv a svobod subjektů údajů na straně druhé. Podstatnou součástí balančního testu pak je i vyhodnocení nezbytnosti zpracování. Správce musí být schopen, s ohledem na již zmíněnou povinnost doložit soulad, podmínky balančního testu kdykoli v průběhu zpracování prokázat.
Pokud správce v rámci testu dojde k závěru, že přednost mají zájmy subjektu údajů, nemůže údaje z veřejného rejstříku pro účel, který si stanovil, zpracovávat. V opačném případě může zpracování zahájit.
V případě již zmíněných klonů veřejných rejstříků je třeba zdůraznit, že odkaz na oprávněný zájem nelze použít pro zpracování údajů, které sice byly původně získány z veřejného rejstříku, ale nejsou v něm již dále zveřejněny.[11] V takovém případě budou převažovat zájmy subjektů údajů a zpracování by bylo prováděno bez právního titulu.7 [12] To samozřejmě neznamená, že by údaje, které již nejsou ve veřejné části rejstříku zveřejněny, nebylo možno dále zpracovávat vůbec (např. za účelem vedení soudního či jiného sporu je takové zpracování stále možné).
3. zásada přesnosti[13]
Podle této zásady musí být údaje přesné a v případě potřeby aktualizované. Správce má též povinnost přijmout veškerá rozumná opatření k tomu, aby nepřesné údaje vymazal či opravil. Obecně nelze stanovit, jaká tato opatření mají být. Nicméně v situaci, kdy správce přebírá pro své zpracování osobní údaje z veřejných rejstříků, musí si například nastavit periodicitu, se kterou bude údaje aktualizovat. Současně by také měl zcela jasně deklarovat, kdy proběhla poslední aktualizace. Ke konkrétnímu porušení této zásady lze odkázat též na kontrolní činnost Úřadu.7
4. informační povinnost
I v případě údajů získaných z veřejných rejstříků je obecně správce povinen subjekt údajů o zpracování řádně informovat, a to v rozsahu, který GDPR stanoví pro zpracování osobních údajů, které nebyly získány od subjektů údajů.[14] Současně GDPR stanovuje výjimky z informační povinnosti, z nichž by bylo možné u údajů z veřejných rejstříků uvažovat pouze o nemožnosti či nepřiměřeném úsilí[15] pro poskytnutí informací o zpracování. Vzhledem k charakteru rejstříků a jejich obsahu je faktická nemožnost dotčené subjekty informovat v podstatě vyloučena.[16] V úvahu tak přichází pouze to, že s ohledem na množství subjektů údajů by jejich individuální kontaktování bylo považováno za nepřiměřené úsilí. Tuto skutečnost by nicméně vždy musel prokázat správce.[17] To vyplývá i z pokynů WP 29 k transparentnosti.[18]
Při porovnání pokynů WP 29 k transparentnosti a dostupných výsledků kontrolní činnosti Úřadu považuji z hlediska správců evropský přístup spíše za přísnější.[19]
5. právo na námitku a na výmaz
Pokud je právním důvodem zpracování osobních údajů oprávněný zájem nebo plnění úkolu ve veřejném zájmu, může subjekt údajů vznést proti zpracování námitku. Správce v takovém případě může ve zpracování pokračovat pouze v případě, že prokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, jenž námitku vznesl.
Požadavky na oprávněné důvody, které prokazuje správce, jsou tak po podání námitky přísnější než v případě prokázání oprávněného zájmu jako právního důvodu zpracování.[20] V případě úspěšně uplatněného práva na námitku pak má subjekt údajů samozřejmě i právo na výmaz svých údajů.
Co na závěr?
Další zpracování osobních údajů obsažených ve veřejných rejstřících není pro nové správce bez rizika. Skutečnost, že se správce rozhodne zpracovávat již zveřejněné údaje, zdaleka neznamená, že by byl zbaven povinností, které GDPR správcům ukládá. Správcům lze proto doporučit důkladné vyhodnocení všech relevantních povinností.
Vanda Foldová
Autorka se dlouhodobě věnuje ochraně osobních údajů, aktuálně jako zaměstnankyně Ministerstva financí.
[1] § 25 odst. 2 ZVŘ.
[2] § 6 ZVŘ.
[3] Na rozdíl například od zákona č. č. 256/2013 Sb., o katastru nemovitostí (katastrální zákon), který v § 53 stanoví, že údaje katastru lze užít jen k účelům uvedeným v § 1 odst. 2 (podle tohoto ustanovení je katastr zdrojem informací, které slouží k ochraně práv k nemovitostem, pro účely daní, poplatků a jiných obdobných peněžitých plnění, k ochraně životního prostředí, k ochraně nerostného bohatství, k ochraně zájmů státní památkové péče, pro rozvoj území, k oceňování nemovitostí, pro účely vědecké, hospodářské a statistické a pro tvorbu dalších informačních systémů sloužících k uvedeným účelům). Šířit údaje katastru lze pouze se souhlasem Českého úřadu zeměměřického a katastrálního za podmínek stanovených prováděcím právním předpisem.
[4] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[5] Neznamená to, že jiné povinnosti (například týkající se zabezpečení) nemusí správce dodržovat nebo nejsou důležité, jen se mi nejeví specifické pro ta zpracování, při kterých jsou zdrojem osobních údajů veřejné rejstříky.
[6] čl. 6 odst. 1 písm. f) GDPR.
[7] Kontrola zveřejňování osobních údajů na internetu v tzv. klonech veřejných rejstříků (Mladá fronta a.s.): Úřad pro ochranu osobních údajů (uoou.cz). Nejednalo se sice o veřejný rejstřík dle ZVR, ale závěry této kontroly lze plně aplikovat i na veřejné rejstříky v užším smyslu.
[8] čl. 6 odst. 1 písm. e) GDPR.
[9] čl. 5 odst. 2 GDPR.
[10] čl. 6 odst. 4 GDPR.
[11] Typickým případem je situace, kdy jsou přebírány osobní údaje ze živnostenského rejstříku a následně není zajištěno, aby ty údaje, které již byly odstraněny z veřejné části živnostenského rejstříku, byly odstraněny též z jeho klonu.
[12] Teoreticky by bylo možné tuto situaci považovat též za porušení zásady omezení uložení podle čl. 5 odst. 1 písm. e) GDPR.
[13] čl. 5 odst. 1 písm. d) GDPR.
[14] čl. 14 GDPR.
[15] čl. 14 odst. 5 písm. b) GDPR.
[16] Dotčené subjekty by de facto ve všech případech mělo být možné informovat právě s pomocí zveřejněných údajů prostřednictvím provozovatele poštovních služeb (na adresu místa pobytu) nebo datovou schránkou.
[17] Z již zmíněné kontroly provedené Úřadem (Kontrola zveřejňování osobních údajů na internetu v tzv. klonech veřejných rejstříků (Mladá fronta a.s.): Úřad pro ochranu osobních údajů (uoou.cz)) lze dovodit, že v daném případě akceptoval neindividuální informování o zpracování osobních údajů.
[18] bod 64 Pokynů k transparentnosti podle nařízení 2016/679 č. WP260 rev.01 vydaných Pracovní skupinou zřízenou podle článku 29: Pokud správce údajů chce uplatnit výjimku podle čl. 14 odst. 5 písm. b) na základě skutečnosti, že poskytnutí informací by vyžadovalo neúměrné úsilí, měl by zvážit poměr mezi úsilím, které by musel vynaložit, aby subjektům údajů informace poskytl, a dopadem a účinky na subjekty údajů v případě neposkytnutí těchto informací.
[19] viz např. bod 61 uvedených Pokynů, podle kterého Vzhledem ke zdůraznění archivace a vědeckým a statistickým účelům v souvislosti s použitím této výjimky v 62. bodě odůvodnění a v čl. 14 odst. 5 písm. b) WP29 zastává názor, že na tuto výjimku by se neměli běžně spoléhat správci údajů, kteří nezpracovávají osobní údaje pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely.
[20] Kontrola zveřejňování osobních údajů na internetu v tzv. klonech veřejných rejstříků (Mladá fronta a.s.): Úřad pro ochranu osobních údajů (uoou.cz): Zájmy subjektu údajů zásadně převáží až ve chvíli, kdy subjekt údajů vznese námitku proti tomuto zpracování.