Ochrana osobních údajů, resp. jejich zpracování, je aktuálně předmětem zejména nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, tzv. GDPR), potažmo zákona č. 110/2019 Sb., o zpracování osobních údajů. Zpracování zveřejněných osobních údajů však není v těchto předpisech (na rozdíl od právní úpravy předešlé) žádným specifickým způsobem upraveno, přinejmenším ne tak, aby nevznikaly pochybnosti o tom, jaké údaje lze bez splnění dalších zvláštních podmínek a omezení dále zpracovávat a jaké nikoli.

Osobním údajem je jakákoli informace, kterou lze přiřadit ke konkrétní, určené nebo určitelné fyzické osobě. Na pravidlech zpracování osobních údajů a jejich ochraně v zásadě nemění nic ani skutečnost, zda takové údaje jsou zveřejněné či nikoli.

Osobní údaje bývají typicky zveřejňovány ve veřejnoprávních seznamech (katastr nemovitostí, obchodní a živnostenský rejstřík, insolvenční rejstřík apod.), ale také v seznamech profesních (seznamy advokátů, daňových poradců, znalců, tlumočníků atp.), a v neposlední řadě v seznamech tzv. „komerčních“. Posledně jmenované seznamy vytvářejí různé, zpravidla podnikatelské subjekty, z údajů získaných z celého prostředí internetu, ať již z databází výše zmíněných nebo z údajů, které do veřejného prostoru vkládáme (ať už záměrně, vědomě či nevědomě) my sami (např. při různých registracích k odběru informací o výrobcích a službách, při nákupech v e-shopech apod.).

Pro účely tohoto článku ponecháme stranou osobní údaje zpracovávané v souvislosti s obchodem a marketingovými aktivitami a zaměříme se na legitimitu zpracování osobních údajů z veřejných databází.

V této souvislosti je třeba se zmínit o nařízení vlády č. 425/2016 Sb., o seznamu informací zveřejňovaných jako otevřená data. Těmi jsou údaje obsažené např. v seznamech znalců, znaleckých ústavů, tlumočníků, informace z centrální evidence volných pracovních míst a evidence agentur práce, seznamy datových schránek, údaje obsažené v Registru veřejných zakázek aj. Souhrnně se jedná o informace zveřejňované způsobem umožňujícím dálkový přístup v otevřeném a strojově čitelném formátu, jejichž způsob ani účel následného využití není omezen[1]. Přesto i zpracování, konkrétně užití otevřených dat, musí splňovat požadavky GDPR a respektovat práva subjektů údajů, především pak právo na výmaz osobních údajů.

Máme však celou řadu údajů, které lze považovat za údaje osobní, jsou zveřejněné a veřejně dostupné, avšak nejedná se o otevřená data a nelze s nimi proto nakládat a využívat je bez omezení. Jedná se typicky o zveřejněné údaje z živnostenského rejstříku, katastru nemovitostí, evidence advokátů zapsaných v České advokátní komoře apod. Oním kritériem použitelnosti takových údajů je zejména účel jejich zpracování, tedy účel, pro nějž jsou data v takových evidencích především shromažďována a zveřejňována. V případě živnostenského rejstříku je takovým účelem publikace informací o podnikajících osobách, přičemž získané údaje mohou být užity např. z důvodu uplatnění nároků vůči konkrétnímu podnikateli. Smyslem zveřejnění údajů o advokátech evidovaných Českou advokátní komorou bývá typicky potřeba vyhledání odborníka k poskytnutí specifické právní služby. Katastr nemovitostí pak obsahuje řadu informací o osobách, jejich majetku a závazcích; takové informace jsou legitimně užívány zejména v zájmu jistoty právních vztahů k nemovitostem, při jejich převodu, zajištění závazků apod.

Nejčastějším nešvarem dnešní doby je však neoprávněné využívání, resp. zneužívání údajů zveřejněných za specifickým účelem k nevyžádaným obchodním sdělením. Vlastníci nemovitostí tak mohou být například cíleně korespondenčně oslovováni s nabídkami služeb údržby svých nemovitostí, podnikatelé s nabídkami „zaručených“ investičních příležitostí apod. Nezřídka dokonce dochází k tvorbě sekundárních databází, jejichž autor, který v rozporu s účelem primárního zveřejnění údajů o podnikatelích tyto následně kontaktuje, a za jejich udržení v této „unikátní“ databázi se snaží inkasovat nemalé finanční odměny. Vyskytly se i případy ne nepodobné jednání tzv. „šmejdů“, kdy tvůrci sekundárních databází kontaktovali vybrané podnikatele např. telefonicky a připravenou legendou v nich vzbudili dojem, že mezi nimi byl již v minulosti uzavřen nějaký závazkový právní vztah, na jehož základě je dotčený podnikatel evidován v jakési „unikátní“ databázi, přičemž nyní se jedná jen o potvrzení prodloužení této spolupráce či přeřazení podnikatele do nějaké prémiové úrovně databáze apod. Na základě takového manipulativního kontraktačního jednání pak provozovatelé nelegitimních databází vystavují faktury na úhrady odměn, a tyto se nezdráhají po dotčených podnikatelích i vymáhat.

Neoprávněné užití osobních údajů, například některým z výše nastíněných způsobů, může být postižitelné jako přestupek či jiný správní delikt podle norem ochrany osobních údajů, případně podle jiných právních předpisů. Eventuální trestněprávní rozměr takového závadného jednání by záležel na posouzení okolností konkrétního případu.

 

[1] Srov. § 3 odst. 11 zákona č. 106/1999 Sb., o svobodném přístupu k informacím.