Aj prevádzkovanie súkromných podnikateľských registroch bolo preto z hľadiska ochrany osobných údajov menej náročné a minimálne regulované. Uvedené však zásadne zmenila účinnosť nariadenia GDPR, ktoré podobné privilegované postavenie prevádzkovateľom spracúvajúcim verejne dostupné osobné údaje nepriznáva[1]. Preto aj oni musia splniť všetky podmienky a povinnosti podľa GDPR.

Všeobecne k open data

Otázka či osobné údaje zverejňované štátom možno ďalej použiť napríklad na prevádzkovanie súkromného podnikateľského registra častokrát súvisí s tým, či tieto údaje spadajú do rámca tzn. open data, teda „informácií, ktoré sú voľne a bezplatne dostupné pre každého za rovnakých podmienok a ktoré je možné použiť na akýkoľvek účel komerčného či nekomerčného charakteru“. [2] Pri open data totiž štát predpokladá ich ďalšie využitie aj na komerčné použitie čo výrazne pomáha prevádzkovateľom súkromných podnikateľských registrov pri teste proporcionality oprávneného záujmu spomínanom nižšie. Takto postupuje napríklad český zákonodarca, ktorý nariadením vlády č. 425/2016 Sb. určil open data, ktoré možno využiť podnikaní alebo inej zárobkovej činnosti, k študijným alebo vedeckým účelom alebo pri verejnej kontrole povinných subjektov. [3]

Slovenská právna úprava v súčasnosti bohužiaľ neobsahuje definíciu open data a teda výslovne neumožňuje (i keď ani nezakazuje) ich použitie na komerčné účely. Ambíciu zmeniť to má návrh nového zákona o údajoch, ktorý by mal obsahovať takúto definíciu ako aj legislatívne zakotviť možnosť ich opätovného použitia na akékoľvek účely[4].

Všeobecne o spracúvaní osobných údajov súkromnými registrami

Nakoľko spracúvanie zverejnených osobných údajov, už nie je privilegované, je potrebné pri ňom vždy prísne dodržiavať požiadavky GDPR, čo znamená najmä správne určiť účel a v nadväznosti naň právny základ spracúvania. Iba správne určenie totiž zaručí, že spracúvanie osobných údajov, na ktorom súkromné registre majú častokrát založený svoj business model, bude zákonné a teda prevádzkovateľ nebude mať povinnosť vymazať nezákonne spracúvané údaje.[5]

Účel spracúvania v prípade prevádzkovania súkromných registrov bude častokrát definovaný tým aké služby konkrétny register ponúka. Príkladom, ak register chce aby na základe jeho databázy si podnikatelia vedeli jednoduchšie preveriť bonitnosť obchodných partnerov je potrebné aby tento účel spracúvania jednoznačne uviedol vo svojej privacy notice a posúdil v rámci testu proporcionality.

Problematickejšie ako určenie účelu je správne určenie právneho základu. S ohľadom na fungovanie súkromných registrov pritom v zásade prichádza do úvahy len oprávnený záujem[6], kedy je však k tomu, aby mohol súkromný prevádzkovateľ dáta získané z verejných registrov ďalej spracovávať a ponúkať k ním prístup nevyhnutné, aby záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana, prevažovali nad záujmami a základnými právami a slobodami dotknutej osoby. Toto posúdenie sa robí formou tzn. testu proporcionality. Test proporcionality vyžaduje podrobné posúdenie všetkých aspektov spracúvania, napríklad primeraných očakávaní dotknutých osôb, zdrojov osobných údajov, vzťahu medzi prevádzkovateľom a dotknutou osobou, apod. V prospech prevádzkovateľa súkromného registra pritom môže hovoriť napríklad skutočnosť, že prispieva k transparentnosti a zlepšeniu podnikateľského prostredia alebo skutočnosť, že zákon predpokladá použitie open data na komerčné účely. [7] Je však treba pripomenúť, že na druhej strane pomyselných váh v rámci testu proporcionality naopak budú najmä záujmy dotknutých osôb na minimalizáciu pohybu ich osobných údajov, zachovania prehľadu o pohybe osobných údajov a zabránenie situáciám, kedy dotknutá osoba kvôli nekontrolovanému šíreniu dát efektívne stratí možnosť kontrolovať ich správnosť, aktuálnosť a sledovať účelnosť ich využitia.

Zaujímavé v tejto súvislosti je, že prevádzkovateľ nemá povinnosť test proporcionality zverejniť a preto pokiaľ jej ho prevádzkovateľ dobrovoľne neposkytne dotknutá osoba sa k nemu vie dostáť až v prípadnom konaní pred dozorným orgánom alebo súdom.

Teoretickou alternatívou k použitiu oprávneného záujmu je súhlas dotknutej osoby. Ten v odôvodnení protokolu o kontrole spomína aj český Úřad pro ochranu osobních údajů, keď hovorí, že iné verejne dostupné údaje ako údaje označené výslovne ako open data možno zverejňovať v súkromných podnikateľských registroch len na základe súhlasu dotknutej osoby. [8] Tento názor je však potrebné vnímať v kontexte českej legislatívy kde zákonodarca určil, ktoré údaje sú open data a teda môžu byť ďalej používané, čiže ho nemožno ho jednoducho aplikovať na slovenské podmienky, nakoľko by vylučoval použitie všetkých zverejnených údajov. Zároveň je samozrejme potrebné uviesť, že požadovanie súhlasov zo strany prevádzkovateľov súkromných registrov nie je prakticky realizovateľné a v praxi by sa ich vyžadovanie rovnalo skôr zákazu spracúvania osobných údajov zo strany takýchto registrov.

V praxi sa občas možno stretnúť aj s názorom, že keďže podľa recitálu 14 sa GDPR nevzťahuje na spracúvanie osobných údajov, ktoré sa týkajú právnických osôb, pokiaľ prevádzkovateľ súkromného registra spracúva napríklad údaje konateľov spoločnosti, ochrana podľa GDPR im neprislúcha. Toto však nie je pravda, pričom podľa názoru Úradu na ochranu osobných údajov[9] treba recitál 14 GDPR vykladať reštriktívne a to spôsobom, že akonáhle je možno spoľahlivo identifikovať konkrétnu fyzickú osobu, hoci aj pôsobiacu v rámci právnickej osoby, ochrana osobných údajov podľa GDPR sa na ňu vzťahuje. Podobný názor vyplýva aj z vyjadrenia Komisie.

Informačná povinnosť

Osobitnú pozornosť v súvislosti s činnosťou súkromných podnikateľských registrov si zaslúži povinnosť ich prevádzkovateľov informovať dotknuté osoby o spracúvaní ich osobných údajov podľa článku 14 GDPR. V tejto súvislosti sa prevádzkovatelia súkromných podnikateľských registrov v praxi často spoliehajú na výnimku z tejto povinnosti keď tvrdia, že informovanie všetkých dotknutých osôb by bolo nemožné, resp. by si vyžadovalo s ohľadom na náklady neprimerané úsilie.[10] V prípade uplatnenia výnimky prevádzkovateľ potom musí prijať len opatrenia na ochranu dotknutých osôb, čo najčastejšie znamená zverejnenie informácií podľa článku 14 GDPR na internete.

Uplatnením tejto výnimky na súkromné podnikateľské registre sa zaoberal dozorný úrad v Poľsku, pričom podľa jeho názoru prevádzkovateľ nemôže tvrdiť, že informovanie je nemožné pokiaľ disponuje adresami dotknutých osôb, ktorých údaje spracúva vo svojej databáze. Dozorný úrad zároveň neakceptoval ani argument, že zaslanie potrebných informácií všetkým dotknutým osobám poštou by si vyžadovalo náklady na úrovni celoročných tržieb takéhoto registra, čiže by išlo o neprimerané úsilie. Toto rozhodnutie poľského dozorného orgánu už pritom potvrdil aj poľský súd. Napriek tomuto potvrdeniu ide o pomerne kontroverzné rozhodnutie, ktoré výrazne limituje situácie kedy sa prevádzkovateľ môže spoľahnúť na uvedenú výnimku z informačnej povinnosti.

Namietanie voči zverejneniu údajov v súkromnom podnikateľskom registri

Nakoľko spracúvanie osobných údajov zo strany súkromných podnikateľských registrov je vo väčšine prípadov založené na oprávnenom záujme je voči nemu možné v súlade s podmienkami GDPR namietať. [11] Základnou ideou za inštitútom námietky pri oprávnenom záujme je, že prevádzkovateľ nemôže v rámci testu proporcionality zohľadniť všetky situácie, ktoré môžu na strany dotknutej osoby nastať, naopak musí posúdenie do určitej miery zovšeobecniť tak aby bolo univerzálne platné, a preto má dotknutá osoba právo namietať na základe konkrétnych okolnosti. Preto pokiaľ dotknutá osoba oznámi prevádzkovateľovi súkromného registra konkrétne skutočnosti, v dôsledku ktorých jej práva a záujmy prevážia nad oprávnenými záujmami prevádzkovateľa, napríklad, že zverejnenie jej osobných údajov určitým spôsobom neprimerane zasahuje do jej práv, je tento povinný spracúvanie ukončiť a údaje zmazať. Toto vo svojim vyjadrení potvrdil aj český Úřad pro ochranu osobních údajů, podľa ktorého záujmy dotknutej osoby prevážia v prípade uplatnenia námietky.[12] V tomto ohľade teda hrá rolu aj subjektívne vnímanie dopadov zverejnenia údajov v takýchto databázach dotknutou osobou, a tá tak má do určitej miery právo obdobné tzv. opt-out princípu – teda možnosť námietkou zabrániť ďalšiemu spracúvaniu aj v prípade, že principiálne nebolo prevádzkovanie daného registru ako celku protizákonné.

Pokiaľ prevádzkovateľ napriek námietke odmietne spracúvanie ukončiť s tvrdením, že oprávnené záujmy jeho alebo ďalších osôb prevažujú nad záujmami dotknutej osoby je ako obvykle jedinou možnosťou z hľadiska dotknutej osoby obrátiť na sa na dozorný orgán alebo súd, ktorý na situáciu môže mať odlišný názor ako prevádzkovateľ.

Napriek uvedenému je uplatnenie námietky pomerne jednoduchým spôsobom ako dosiahnuť stiahnutie osobných údajov zverejnených v súkromných podnikateľskom registri, pričom prevádzkovatelia takýchto registrov na Slovensku a v Česku podľa našich skúsenosti v zásade akceptujú spomínaný názor českého dozorného orgánu a opt-out princíp teda rešpektujú.