Je možné osobní údaje z veřejných rejstříků – například z insolvenčního rejstříku či katastru nemovitostí – dále zpracovávat? ÚOOÚ je v tomto ohledu poměrně nesmlouvavý. Ve většině případů vám nepomůže ani oprávněný zájem.
Stále častěji se v rámci praxe setkáváme s nástroji, které umožňují poměrně běžnou věc, a sice vyhledávání v rámci různých veřejných zdrojů, včetně státních rejstříků, jako je živnostenský, obchodní nebo insolvenční rejstřík či katastr. Tím poměrně očekávatelným prvkem na této funkcionalitě je právě relativní jednoduchost takových systémů, neboť jednotlivé rejstříky lze vzájemně propojit na základě IČO či jiných identifikátorů fyzických osob (jako je zejména datum narození či adresa trvalého pobytu). Nejedná se však jen o technickou nenáročnost, ale do určité míry i právní – uvedené údaje jsou přece dávno uvedené na internetu, komu by tedy mohlo vadit je dále zpracovávat? Ať už vyhledáváme v obchodním rejstříku, nebo v rejstříku insolvencí, vše je pro průměrně zdatného uživatele dostupné – stačí se jen připojit k internetu a vědět, co hledáte. Proč by tedy měla být služba, která toto dělá za uživatele, nezákonná? Zeptejme se ÚOOÚ, který v tomto zastává poměrně tvrdý postoj.
Veřejné zdroje a jejich zpracování
Pokud bychom se na to podívali z širšího pohledu, na internetu najdeme opravdu všechno (ostatně nepřímo díky tomu bylo zavedeno i právo být zapomenut, které svoji podobu z původního rozhodnutí SDEU dostalo v nařízení GDPR). Samotné zdroje na internetu můžeme rozlišovat podle několika různých hledisek, pro účely tohoto článku se hodí rozdělit je na soukromé a veřejné. Mezi soukromé zdroje řadíme nestátní rejstříky i sociální sítě, na nichž uživatelé zveřejňují údaje sami o sobě, které je mnohdy možno (technicky, ale málokdy právně) dále zpracovávat (příkladem je profesní síť LinkedIn, která je v dnešní době mnohdy integrována v rámci náborového procesu a podobně). Nás ale v tomto článku zajímají spíše zdroje, které mají určitou veřejnoprávní povahu, neboť (velmi zjednodušeně řečeno) nebýt státu, pravděpodobně by takové rejstříky na internetu nebyly.
Nástroje na vyhledávání z veřejných zdrojů mohou být z pohledu ÚOOÚ nezákonné
Již jsme zde jmenovali různé rejstříky od obchodního až po insolvenční. I samotné veřejné rejstříky bychom mohli dělit dále podle jejich veřejnosti či neveřejnosti. Bavit se o zpracování osobních údajů z „neveřejných“ rejstříků pochopitelně nemá smysl, neboť z drtivé většiny by se pravděpodobně jednalo o nezákonné zpracování. Máme zde však ještě jedno dělení, které bychom mohli uplatnit, a sice na takzvaná open data a samotné veřejné rejstříky.
Zpracování osobních údajů v rámci takzvaných open dat si zaslouží mnohem bližší pohled, který vám nabídneme v dalších číslech Zpravodaje, neboť některé aspekty mohou působit problémy. Pro tuto chvíli se zaměříme rovnou na veřejné rejstříky.
Open data můžeme chápat jako jednu ze skupin veřejných zdrojů informací, přičemž těžiště právní úpravy open dat najdeme v nařízení vlády č. 425/2016 Sb., nařízení vlády o seznamu informací zveřejňovaných jako otevřená data. V rámci činnosti některých orgánů veřejné správy často vznikají data, jež mohou přinést další hodnotu, a to právě ve formě jejich dalšího zpracování v rámci soukromého sektoru. Taková data totiž musí být uveřejňována ve strojově čitelném formátu, který umožňuje jejich jednoduché další zpracování. Oproti jiným informacím, které jsou zveřejněny v rámci veřejného prostoru (jako například veřejné rejstříky, velmi zjednodušeně řečeno) je cílem zveřejnění otevřených dat právě jejich další zpracování.
Co si o tom myslí ÚOOÚ
V rámci povinně zveřejňovaných informací ÚOOÚ publikoval dva kontrolní protokoly, které se týkají obdobných případů, viz č. j. UOOU-02127/19-37 a č. j. UOOU-10021/18-18. V prvním případě se jednalo o službu popsanou výše, v jejímž rámci docházelo ke zpracování osobních údajů nejméně v rozsahu jméno, příjmení, datum narození, věk, adresa trvalého pobytu, číslo bankovního účtu a rovněž rodné číslo ve tvaru daňového identifikačního čísla. Tyto osobní údaje kontrolovaná osoba získala jednak z insolvenčního rejstříku, jednak z údajů týkajících se veřejných zakázek (jednalo se o open data), dále z živnostenského rejstříku, obchodního rejstříku, rejstříků týkajících se práv duševního vlastnictví a dalších zdrojů (kontrolovaná osoba neposkytla součinnost, tudíž výčet nemusí být úplný).
ÚOOÚ se k dané problematice postavil poměrně tvrdě. V zásadě k věci přistupuje tak, že v rámci open dat lze přemýšlet o zpracování na základě oprávněného zájmu (k tomu však jindy), nicméně v případě ostatních veřejných rejstříků (které nejsou open daty) je takové zpracování vyloučeno. Respektive ÚOOÚ dokonce sděluje, že takové zpracování je možné pouze na základě souhlasu samotného subjektu údajů.
Data z veřejných rejstříků lze zpracovávat jen na základě souhlasu
Neméně zajímavá je však argumentace ÚOOÚ, o které by bylo možné dlouho diskutovat. V rámci prvního rozhodnutí totiž ÚOOÚ vždy zhodnocuje příslušnou úpravu konkrétního rejstříku, z níž následně odvozuje faktickou nemožnost využívat předmětná data jinak, než zákon původně předpokládá. Například k insolvenčnímu rejstříku ÚOOÚ cituje ustanovení § 419 odst. 3 insolvenčního zákona: „Insolvenční rejstřík je veřejně přístupný, s výjimkou údajů, o kterých tak stanoví tento zákon. Každý má právo do něj nahlížet a pořizovat si z něj kopie a výpisy. Soudce insolvenčního soudu má přístup ke všem údajům vedeným v insolvenčním rejstříku.“
K této citaci uvádí vlastní interpretaci daného ustanovení: „Z výše uvedeného tedy vyplývá pouze možnost do insolvenčního rejstříku nahlédnout a pořídit si z něj kopii a výpis. Insolvenční zákon nezakotvuje možnost insolvenční rejstřík zveřejnit (zpřístupnit) jiným subjektem než Ministerstvem spravedlnosti ČR, které je správcem insolvenčního rejstříku (§ 419 odst. 1 insolvenčního zákona). Kontrolované osobě tedy není insolvenčním zákonem dána možnost, aby tento veřejný rejstřík překlopila a údaje v něm uváděla na svých webových stránkách.“
Obdobně pak přistupuje ke všem ostatním rejstříkům a stejně i v rámci druhého rozhodnutí uvádí: „Výše uvedené rejstříky a registr ARES umožňují pouze nahlédnutí a pořídit si z nich kopie nebo výpisy. Insolvenční zákon, zákon č. 304/2013 Sb. ani Nařízení vlády 425/2016 neupravují možnost, aby osobní údaje z výše uvedených rejstříků a údaje získané prostřednictvím registru ARES Společnost zveřejňovala na svých webových stránkách.“
Ke zpracování osobních údajů na základě oprávněného zájmu společnosti ÚOOÚ uvádí následující: „V případě zveřejňování osobních údajů Společností na webových stránkách nemůže ‚oprávněný zájem‘ Společnosti převážit nad ochranou soukromí, přičemž trvalé zveřejnění osobních údajů významně rozšiřuje okruh příjemců zveřejněných údajů.“
Závěr
Z výše uvedeného vyplývá, že zákonné zpracování osobních údajů v rámci veřejného rejstříku je velmi těžko představitelná věc. ÚOOÚ k dané problematice přistupuje poměrně nesmlouvavě, a byť předmětná argumentace nalezne své odpůrce, je nutno s tímto přístupem ze strany ÚOOÚ počítat. Ostatně zákonnost takového zpracování se jeví jako velmi komplikovaná i s ohledem na informování o zpracování osobních údajů. Stále totiž platí čl. 13, respektive čl. 14 GDPR, dle kterého je nutno o předmětném zpracování informovat, přičemž s přihlédnutím k argumentaci ÚOOÚ si lze velmi těžko představit odůvodnění výjimky z poskytnutí informací.
Článek byl publikován v Elektronickém zpravodaji pro pověřence