9. 3. 2020
ID: 110749upozornění pro uživatele

Další zpracování osobních údajů zveřejněných orgány veřejné moci

Zdroj: shutterstock.com

Úřad pro ochranu osobních údajů (dále též jen „ÚOOÚ“) se na základě stížností ze strany několika subjektů údajů zabýval kontrolou oprávněnosti zpracování informací a osobních údajů v rámci čerpání a zpracování takzvaných „open dat“ a dalších informací dostupných z veřejných registrů.[1]

Kontrolovaný subjekt na webových stránkách v rámci své podnikatelské činnosti poskytoval služby, při nichž nakládal s osobními údaji (při nejmenším v rozsahu jméno, příjmení, datum narození, věk, adresa trvalého bydliště, číslo bankovního účtu a DIČ), přičemž tyto informace získával z veřejných registrů, rejstříků a listin, seznamů a evidencí a rovněž měl na svých webových stránkách uvedeno, že čerpání a zpracování osobních údajů probíhá v rámci právního titulu oprávněného zájmu. Kontrolovaný jako zdroje používal např. insolvenční rejstřík, veřejný rejstřík dlužníků, živnostenský rejstřík, obchodní rejstřík atd.
 

Open data

Open data jsou na internetu volně dostupné informace, zveřejňované zpravidla orgány veřejné správy. Zveřejňování open dat především zvyšuje kvalitu transparentnosti veřejné správy a boje proti korupci. Seznam informací vedených jako open data lze nalézt v nařízení vlády č. 425/2016 Sb., o seznamu informací zveřejňovaných jako otevřená data, ve znění pozdějších předpisů. Mezi open data se řadí např. informace obsažené v seznamu znalců, tlumočníků, znaleckých ústavů, informace o osobách, které mají zřízenou datovou schránku, informace obsažené v registru poskytovatelů sociálních služeb atd.

Informace zveřejněné na základě zákona o svobodném přístupu k informacím

Orgány státní moci, včetně územních samosprávných celků, jejich orgánů a veřejných institucí, mají v souladu s § 5 odst. 5 zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů („zákon o svobodném přístupu k informacím“), povinnost zveřejnit informace zaznamenané ve veřejných registrech, seznamech, evidencích nebo rejstřících také způsobem umožňujícím dálkový přístup. Mezi takto zveřejňované informace se řadí např. informace zveřejněné v živnostenském rejstříku, insolvenčním rejstříku, databázi ochranných známek, průmyslových vzorů atd.

Názory ÚOOÚ vyjádřené v kontrolním protokolu

Podnikáním založeným na zpracování a poskytování informací a osobních údajů z veřejně dostupných databází a z toho vyplývající pozice správce osobních údajů se zabýval ÚOOÚ. Dle názoru ÚOOÚ lze osobní údaje v režimu open dat využít „nejen při podnikatelské nebo jiné výdělečné činnosti, ale rovněž pro podnikatelskou nebo jinou výdělečnou činnost,“ tedy lze podnikání přímo na zpracování open dat postavit. Právním titulem dalšího zpracování open dat je oprávněný zájem ve smyslu čl. 6 odst. 1 písm. f) obecného nařízení o ochraně osobních údajů (dále jen "GDPR"),[2] proto má správce povinnost provést balanční test, v rámci kterého „pro oprávněný zájem správce bude svědčit především ta skutečnost, že další využití open dat je předvídáno zákonem.  

Při kontrole došel ÚOOÚ dále k závěru, že u osobních údajů, které nejsou open data, nelze další zpracování osobních údajů, které budou dále zveřejněny na internetu, založit na oprávněném zájmu, ale zpracování by muselo být založeno na souhlasu ve smyslu čl. 6 odst. 1 písm. a) GDPR, to mimo případy, kdy dílčí zákon další zpracování předpokládá. Souhlas je navíc nutné doložit po celou dobu zpracování osobních údajů.

Závěr

Z kontrolního protokolu ÚOOÚ plyne, že osobní údaje, které jsou zveřejněny v režimu open dat, lze po provedení testu oprávněného zájmu zpravidla dále zpracovávat a zveřejňovat i na internetu, protože oprávněný zájem na další zpracování převáží nad základními právy a svobodami subjektu údajů, a to zejména z důvodu, že další zpracování je předvídáno zákonem.

ÚOOÚ v kontrolním protokolu vyjádřil i názor, že osobní údaje, které nejsou zveřejněny v režimu open dat, nelze v praxi dále zpracovávat za účelem jejich zveřejnění na internetu na základě oprávněného zájmu. Byť ÚOOÚ připouští jako legitimní právní titul souhlas, získat v praxi souhlas od všech subjektů údajů, jejichž osobní údaje jsou zpracovávány v jednotlivých databázích zveřejněných orgány veřejné moci, je prakticky nemožné. Se závěrem ÚOOÚ se zcela neztotožňujeme, protože závěry o vědomí subjektu údajů o zpracování jeho osobních údajů a marginálnosti takového zpracování nelze paušálně vztahovat pouze na osobní údaje zpracovávané v režimu open dat. Dle § 4b zákona o svobodném přístupu k informacím platí u open dat vyvratitelná domněnka, že práva subjektů údajů nemají přednost před oprávněným zájmem na dalším zpracování těchto osobních údajů. ÚOOÚ z tohoto ustanovení dovozuje, že „každý subjekt údajů, který se nachází ve veřejných rejstřících v režimu open dat, o zveřejnění svých osobních údajů ví a je s tímto marginálním zásahem do svého soukromí ztotožněn.“ Je tak otázkou, proč by dělícím kritériem oprávněného zájmu na dalším zpracování měla být pouze vyvratitelná domněnka vyjádřená v § 4b zákona o svobodném přístupu k informacím.  ÚOOÚ se již v kontrolním protokolu dostatečně nevypořádal s odůvodněním, proč by subjekt údajů, jehož data jsou zveřejněna v jiné databázi než databázi v režimu open dat (např. v databázi ochranných známek), neměl být se zveřejněním srozuměn a proč by další takové zveřejnění daných osobních údajů nemělo být marginální. Dle názoru autorů by v řadě případů mělo být legitimní založit zpracování a další zveřejnění osobních údajů z jiných veřejných databází (než databází v režimu open dat) na internetu na základě oprávněného zájmu, a to za předpokladu řádného provedení balančního testu, v rámci kterého bude zjištěno, že oprávněný zájem na dalším zpracování osobních údajů převáží nad základními právy a svobodami subjektu údajů. 

Mgr. Alexandr Liolias,
koncipient
 
Jan Weinhauer,
student
 
 
Václavská 12
120 00 Praha 2
 
Tel.:       +420 222 200 700
e-mail:    office@legalite.cz
 

[1] Protokol o kontrole Úřadu pro ochranu osobních údajů čj. UOOU-02127/19-37, ze dne 13. 11. 2019. K dispozici >>> zde.

[2] Nařízení Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), ve znění pozdějších úprav, doplňků nebo změn.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz