Mladá fronta a.s.
Kontrola zveřejňování osobních údajů na internetu v tzv. klonech veřejných rejstříků
Na základě svého kontrolního plánu provedl Úřad kontrolu dle nařízení (EU) 2016/679, jejímž předmětem bylo zveřejňování osobních údajů obsažených v živnostenském rejstříku. Zaměřil se především na právní titul pro takové další zpracování osobních údajů v návaznosti na novou právní úpravu ochrany osobních údajů.
Kontrolovaná osoba na internetových stránkách www.finance.cz, resp. webovém portálu rejstriky.finance.cz, nabízí návštěvníkům portálu službu ve formě informací o právnických osobách a fyzických osobách podnikajících shromážděných z veřejných rejstříků vedených příslušnými úřady České republiky, a to včetně historických informací. Vyhledávat informace na portálu rejstriky.finance.cz lze prostřednictvím příslušného formuláře, po zadání jména podnikatele nebo IČ. Výsledkem vyhledávání jsou pak základní údaje k jednotlivým podnikatelům (zejména jméno, příjmení, IČ, DIČ, místo podnikání, ID datové schránky, číslo bankovního účtu, typ registrace a platnost registrace) a dále historie podnikání. Kontrolovaná osoba dále k těmto informacím přiřazuje informaci o hodnocení daného podnikatele a získává předmětné informace primárně z informačního systému Ministerstva financí ČR ARES. Navíc využívá databázi podnikatelských subjektů, kterou v minulosti získala od třetí osoby.
Úřad dospěl k závěru, že dané zpracování lze v této formě založit na právním titulu upraveném v čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679, neboť kontrolovaná osoba má oprávněný zájem na dalším zveřejnění osobních údajů podnikatelů získaných z veřejných rejstříků (v podobě zajištění ekonomické stránky své podnikatelské činnosti). V daném případě je dán i zájem třetích osob, respektive veřejnosti, na dostupných a strukturovaných informacích o ekonomicky aktivních subjektech a obecně zájem na zvýšení transparentnosti podnikatelského prostředí. Další zpracování těchto osobních údajů, které se týkají výhradně ekonomické aktivity subjektů a nikoli rodinné či osobní sféry zároveň, nepředstavuje takový zásah do základních práv subjektů údajů, který by odůvodňoval závěr o tom, že zájmy subjektů údajů převáží tyto oprávněné zájmy. Zájmy subjektu údajů zásadně převáží až ve chvíli, kdy subjekt údajů vznese námitku proti tomuto zpracování.
Kontrola dále prokázala, že na předmětných webových stránkách jsou zveřejňovány také osobní údaje podnikatelů, které byly již odstraněny z veřejné části živnostenského rejstříku. Tím dochází k nedůvodnému zásahu do práv těchto osob na ochranu jejich osobních údajů, neboť za této situace převáží zájmy subjektů údajů na ochraně jejich soukromí nad zájmy výše uvedenými. Pro zpracování osobních údajů podnikatelů, u kterých již uběhly 4 roky od zániku jejich poslední živnosti, tedy nemá kontrolovaná osoba žádný právní titul a porušila tak povinnost stanovenou v čl. 6 odst. 1 nařízení (EU) 2016/679.
Současně Úřad zjistil, že kontrolovaná osoba zpracovává osobní údaje podnikatelů, aniž by zajistila, že tyto osobní údaje budou aktualizované, a tím porušila povinnost vyplývající z čl. 5 odst. 1 písm. d) nařízení (EU) 2016/679. Naopak plnění informační povinnosti ohledně předmětného zpracování, stejně jako postupy přijaté pro vyřízení žádostí subjektů údajů o uplatnění jejich práv, byly vyhodnoceny jako odpovídající požadavkům nařízení (EU) 2016/679.
Kontrolovaná osoba výše uvedeným jednáním porušila povinnosti stanovené čl. 5 odst. 1 písm. d) (zpracování pouze přesných údajů) a čl. 6 odst. 1 (právní titul pro zpracování) nařízení (EU) 2016/679.
Vzhledem k tomu, že kontrolovaná osoba zahájila nápravu zjištěného stavu ještě v průběhu kontroly, Úřad nezahájil řízení o uložení opatření k nápravě, nicméně zahájil řízení o přestupku.
Kontrolu řídila inspektorka Mgr. et Mgr. Božena Čajková.