Obchodní společnost - přejímání údajů z veřejného rejstříku
Kontrola zpracování osobních údajů přejímaných z veřejného rejstříku a dále zveřejňovaných
Kontrola byla zahájena na základě stížnosti stěžovatele, který uvedl, že na webovém portálu XY jsou zpracovávány osobní údaje členů výboru SVJ v rozsahu titul, jméno a příjmení a datum od kdy je funkce člena výboru vykonávaná, včetně údajů stěžovatele, jako člena výboru SVJ na Praze 8. Stejné údaje členů výborů SVJ jsou na webových stránkách uvedeny v případech, kdy je se SVJ zahájeno insolvenční řízení.
Stěžovatel vznesl prostřednictvím datové zprávy proti kontrolované osobě jako provozovateli webových stránek XY námitku proti zpracování jeho osobních údajů a uplatnil právo na výmaz jeho osobních údajů z webových stránek XY. Společnost stěžovateli sdělila, že jeho osobní údaje jsou tzv. veřejnými neomezenými informacemi, a že jsou splněny předpoklady pro zpracování osobních údajů stěžovatele ve veřejném rejstříku na základě oprávněného zájmu, bez nutnosti získání souhlasu subjektů podle nařízení (EU) 2016/679.
Předmětem kontroly bylo zpracování osobních údajů na webovém portálu XY, provozovaném kontrolovanou osobou, se zaměřením na čl. 17 odst. 1 nařízení (EU) 2016/679. K dotazu Úřadu kontrolovaná osoba sdělila, že osobní údaje členů výborů SVJ zpracovává ve veřejném zájmu. Jako hlavní účel zpracování osobních členů výborů SVJ a členů SVJ nepřihlášených k insolvenci si kontrolovaná osoba v dokumentu „Test proporcionality pro posouzení oprávněného zájmu provozovatele“ určila dosahování zisku.
Kontrolující konstatovali, že pro zákonnost zpracování osobních údajů členů výborů SVJ na XY nesvědčila kontrolované osobě žádná z podmínek pro zákonné zpracování osobních údajů bez souhlasu subjektu údajů ve smyslu čl. 6 odst. 1 písm. b) – f) nařízení (EU) 2016/679, tedy kontrolovaná osoba nedisponovala právním titulem ke zpracování osobních údajů ve smyslu uvedeného ustanovení. Kontrolující dospěli k názoru, že účastník řízení nebyl v daném případě subjektem veřejné správy pověřeným ke zpracovávání osobních údajů subjektů, uvedených v Insolvenčním rejstříku, Veřejném rejstříku a Sbírce listin a údajů získaných prostřednictvím registru ARES.
Jelikož společnost vznesené námitce stěžovatele podle čl. 21 odst. 1 nařízení (EU) 2016/679 nevyhověla, porušila povinnost podle čl. 17 odst. 1 písm. c) nařízení (EU) 2016/679.
Doplňující informace
Existence osobních údajů, resp. jejich snadná přístupnost a priori nezakládá možnost jejich neomezeného zpracování. Správce, a to i u zveřejněných osobních údajů, jak na základě zákonné úpravy, tak samotným subjektem údajů, musí vždy ke zpracování osobních údajů disponovat právním důvodem, což jsou v článku 6 nařízení (EU) 2016/679 tímto nařízením předvídané případy, kdy lze osobní údaje oprávněně zpracovávat.