Obchodní společnost - pokuta 10.000 Kč
Kontrola zpracování osobních údajů přejímaných z veřejných rejstříků a jejich další zveřejňování
Kontrola byla zahájena na základě několika obdržených stížností. Úřad provedl kontrolu, jejímž předmětem bylo zpracování osobních údajů formou jejich zveřejnění na internetových stránkách provozovaných kontrolovanou osobu. Osobní údaje byly zveřejňovány z různých veřejných rejstříků. Předmětem kontroly bylo i uplatňování práva na výmaz subjekty údajů a rovněž práva na informace o zpracování osobních údajů.
Stěžovatelé uvedli, že na výše uvedeném webovém portálu jsou zpracovávány jejich osobní údaje bez jejich vědomí a souhlasu a dále, že na jejich námitky proti zpracování osobních údajů jim provozovatel neodpověděl.
Kontrolovaná osoba získávala osobní údaje subjektů údajů z různých veřejných rejstříků.
V rámci „překlápění“ insolvenčního rejstříku kontrolovaná osoba nedoložila právní titul, na jehož základě by byla oprávněna takové zpracování osobních údajů provádět, a proto v otázce zveřejňování osobních údajů z insolvenčního rejstříku na internetu (tj. překlápění) je takové zpracování nezákonné, neboť není založeno na právním titulu, jak vyžaduje čl. 6 nařízení (EU) 2016/679.
V případě informací o veřejných zakázkách dospěli kontrolující k názoru, že kontrolované osobě svědčí právní titul dle čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679.
V případě překlápění živnostenského rejstříku nedoložila kontrolovaná osoba právní titul, na jehož základě by byla oprávněna takové zpracování osobních údajů provádět, a proto v otázce zveřejňování osobních údajů z živnostenského rejstříku na internetu (tj. překlápění) bylo takové zpracování vyhodnoceno jako nezákonné, neboť není založeno na právním titulu, jak vyžaduje čl. 6 nařízení (EU) 2016/679, s výjimkou údajů, které jsou uvedené v informačním systému ARES, jehož obsah patří mezi tzv. open data, a pro takové zpracování svědčí kontrolované osobě právní titul dle čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679.
V případě překlápění obchodního rejstříku kontrolovaná osoba nedoložila právní titul, na jehož základě by byla oprávněna takové zpracování osobních údajů provádět, a proto v otázce zveřejňování osobních údajů z obchodního rejstříku na internetu (tj. překlápění) bylo takové zpracování vyhodnoceno jako nezákonné, neboť nebylo založeno na právním titulu, jak vyžaduje čl. 6 nařízení (EU) 2016/679.
V případě „volných pracovních míst“ bude kontrolované osobě svědčit právní titul dle čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679 ve vztahu k záznamům z ISoSS a překlápět data z centrální evidence volných pracovních míst bude možné až v okamžiku, kdy bude tato datová sada „otevřena“.
V případě informací překlápěných z rejstříků ve smyslu zákona č. 529/1991 Sb., o ochraně topologií polovodičových výrobků, zákona č. 527/1990 Sb., o vynálezech, průmyslových vzorech a zlepšovacích návrzích a zákona č. 441/2003 Sb., o ochranných známkách, kontrolovaná osoba nedoložila právní titul, na jehož základě by byla oprávněna takové zpracování osobních údajů provádět, a proto v otázce zveřejňování osobních údajů z rejstříků dle zákonů č. 529/1991 Sb., 527/1990 Sb. a 441/2003 Sb. na internetu (tj. překlápění), bylo takové zpracování vyhodnoceno jako nezákonné, neboť nebylo založeno na právním titulu, jak vyžaduje čl. 6 nařízení (EU) 2016/679.
V případě stížnosti, která směřovala k žádosti o informace o zpracování osobních údajů, nepostupovala kontrolovaná osoba v souladu s čl. 15 ve spojení s čl. 12 odst. 3 nařízení (EU) 2016/679, neboť nepodala řádně a včas odpověď na otázku, zda zpracovává, a v jakém rozsahu zpracovává, osobní údaje.
Kontrolovaná osoba porušila čl. 17 nařízení (EU) 2016/679, neboť nevyhověla žádostem subjektů údajů a to i přesto, že subjekty údajů uplatnily námitku zpracování ve smyslu čl. 21 nařízení (EU) 2016/679.
Úřad za shledaná porušení uložil pokutu ve výši 10 000 Kč.
Doplňující informace
Tvorba databází z údajů zveřejňovaných na internetu podle zvláštních zákonů, formou překlopení veřejných rejstříků obsahujících osobní údaje, k podnikatelským účelům, není přípustným zpracováním osobních údajů, neboť takové soukromoprávní jednání nelze odůvodnit veřejným zájmem a zpravidla postrádá právní titul pro zpracování údajů podle čl. 6 nařízení (EU) 2016/679.