Řada podnikatelských subjektů zpracovává osobní údaje osob z veřejných rejstříků. Většinou tak činí zcela legitimně, avšak ani takové zpracování není zcela bez úskalí…
Jak postupovat, pokud chcete využívat osobní údaje z veřejných zdrojů?
Zpracovávat osobní údaje z veřejných zdrojů je možné pouze pro ty účely, pro které byly zveřejněny. Např. pokud právnická kancelář sestavuje smlouvu mezi dvěma společnostmi, je zcela legitimní uvést osobní údaje statutárů tak, jak jsou zveřejněny v obchodním rejstříku. Naopak není např. možné využít emailových kontaktů z rejstříku advokátů u ČAK pro účely přímého marketingu.
Pokud si při zpracování osobních údajů legitimitou účelu nejste jisti, můžete ji prověřit pomocí testu slučitelnosti účelů, který je specifikován v čl. 6 odst. 4 nařízení GDPR. V jeho rámci byste měli prověřit mimo jiné vazbu mezi účely zpracování, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování, vztah mezi subjektem údajů (dále jen fyzickou osobou) a správcem, zpracovávané kategorie osobních údajů či možné důsledky zamýšleného dalšího zpracování pro fyzické osoby a existenci vhodných bezpečnostních záruk. Jinými slovy, zpracování bude možné, jestliže zpracováváte údaje za podobným účelem jako za kterým byly shromážděny (např. opsání údajů z obchodního rejstříku za účelem kontroly hodnověrnosti členů statutárního orgánu), existuje mezi Vámi a fyzickou osobou určitý vztah (např. opsání údajů z obchodního rejstříku za účelem získání fakturačních údajů), nejedná se o zvláštní kategorii osobních údajů a celé zpracování nemůže fyzické osobě způsobit újmu.
Je výsledek testu pozitivní?
V případě, že se prokázaly původní a nový účel zpracování jako slučitelné, je třeba stanovit náležitý právní titul – pro zpracování údajů z veřejných zdrojů je to ve valné většině oprávněný zájem správce. I zde je nutné provést tzv. balanční test, tedy test, zda oprávněný zájem převažuje nad zájmy a právy samotných fyzických osob. V rámci tohoto testu musí být posouzena důležitost oprávněného zájmu správce na zpracovávání osobních údajů, jaké jsou důsledky zpracovávání osobních údajů pro dotčené fyzické osoby a popsány přijaté záruky na ochranu osobních údajů ze strany správce. Co nejdůslednější bezpečnostní opatření a transparentnost zpracování zvyšují pravděpodobnost úspěchu prováděného testu.
Mohou se fyzické osoby bránit proti zpracovávání osobních údajů získaných z veřejných zdrojů?
Fyzická osoba má právo vznést námitku proti zpracovávání osobních údajů získaných z veřejných zdrojů založeném na oprávněném zájmu správce na základě čl. 21 nařízení. Následně je třeba jí co nejrychleji odpovědět, zpravidla do 30 dní. Oprávněnost zpracování je možné doložit testem slučitelnosti a balančním testem. V opačném případě, kdy doložitelnost není možná, musí dojít k vyhovění žádosti a ukončení zpracovávání. Pokud nedojde ani k jedné z reakcí, tedy doložení oprávněnosti či ukončení zpracovávání, je fyzická osoba oprávněna uplatnit svá práva doručením stížnosti Úřadu pro ochranu osobních údajů.
Pokud si nevíte s uvedenou problematikou rady, neváhejte se obrátit na naši obchodní společnost.