Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2020
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. Obchodní společnost (UOOU-00196/20)

Obchodní společnost (UOOU-00196/20)

Zpracování osobních údajů na webových stránkách formou překlápění údajů z veřejných rejstříků

Úřad obdržel na danou společnost celkem šest stížností, které brojily proti zpracovávání osobních údajů agregovaných na webových stránkách společnosti, a to formou jejich prostého překlápění z veřejně přístupných rejstříků (např. ARES, obchodní rejstřík, živnostenský rejstřík atd.)

Předmětem kontroly bylo dodržování povinností stanovených obecným nařízením a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů na internetu, respektováním práva na výmaz a rovněž práva na informace o zpracování osobních údajů, a to jak v rozsahu podaných stížností, tak v rozsahu obecného naplňování práv subjektů údajů při zpracování jejich osobních údajů v prostředí internetu.

V protokolu o kontrole Úřad konstatoval porušení: (i) čl. 6 bod 1 obecného nařízení, neboť v případě prostého překlápění živnostenského rejstříku a obchodního rejstříku kontrolovanou společností je takové zpracování nezákonné, neboť pouhé „překlápění“ veřejného rejstříku nesplňovalo podmínku nezbytnosti ve vztahu k účelu zpracování osobních údajů deklarovaného společností, a proto právní titul uvedený v čl. 6 odst. 1 písm. f) obecného nařízení pro dané zpracování nešlo aplikovat, (ii) čl. 5 odst. 1 písm. a) obecného nařízení, neboť společnost zpracovávala osobní údaje, aniž by disponovala některým z právních titulů uvedených v čl. 6 bod 1 obecného nařízení, (iii) čl. 12 bod 3 obecného nařízení, neboť někteří ze stěžovatelů nebyli žádným způsobem vyrozuměni o způsobu vyřízení jejich žádosti o výmaz osobních údajů [tj. společnost neposkytla subjektům údajů informace o přijatých opatřeních dle čl. 15 až 22 obecného nařízení], (iv) čl. 12 bod 2 obecného nařízení, protože společnost neusnadňovala výkon práv stěžovatelů (subjektů údajů) dle článků 15 až 22 obecného nařízení  a (v) čl. 14 obecného nařízení, neboť kontrolovaná společnost nesplnila svou informační povinnost dle tohoto článku [pouhým zveřejněním informací dle čl. 14 obecného nařízení na webových stránkách společnosti nelze považovat tuto povinnost za splněnou]. Proti protokolu o kontrole nebyly námitky podány.

Závěrem je třeba uvést, že na kontrolu navazovalo správní řízení, ve kterém byl vydán příkaz o uložení opatření k nápravě a uložení pokuty ve výši 500 000 Kč, a že v průběhu kontroly byla společnosti udělena pokuta za nesoučinnost ve výši 100 000 Kč [pro porušení čl. 15 odst. 1 písm. a) kontrolního řádu].