Registre obsahujúce verejné dáta podľa GDPR

So, 05/04/2019 - 22:32
GDPR a verejné dáta

Ako sa na registre, ktoré čerpajú dáta z verejných zdrojov a ponúkajú ich ďalej ako súčasť svojich služieb pozerá GDPR? Na čo si dať pozor pri výbere registra a za čo už registre dostali podľa GDPR pokutu vo výške 220 tisíc EUR? 

V prvom rade by sme sa v tomto príspevku chceli vyhnúť problematike verejných registrov ako je napr. obchodný register alebo centrálny register zmlúv a súkromným registrom, ktoré majú svoje postavenie vymedzené zákonom ako napr. spoločný bankový register. V tomto príspevku sa budeme venovať výlučne súkromným registrom bez postavenia výslovne vymedzeného zákonom, ktoré využívajú najmä dáta z verejných registrov alebo zdrojov a poskytujú ich ďalej ako služby, či už spoplatnené alebo nie, či už v kombinácií s inými dátami alebo nie (ďalej len „registre“). Typickými príkladmi daných registrov na Slovensku sú napríklad finstat.sk, otvorenesudy.sk, verejne.digital, ekosystem.slovensko.digital, bisnode.sk alebo cribis.sk. Téma sa však týka aj mnohých databázových a najmä direct-marketingových spoločností.  

V čom je problém? 

Je potrebné začať od toho, že náš právny poriadok nepozná definíciu „verejných dát“ ako takých, aj keď existuje mnoho európskych a národných iniciatív na podporenie využívania verejných alebo otvorených dát.  Napriek tomu však existuje stále rozšírený názor podľa ktorého ak ide už o raz zverejnené dáta, je možné ich ďalej voľne šíriť a spracúvať. Tento (nesprávny) názor vychádza z výkladu už zrušeného zákona č. 122/2013 Z. z. o ochrane osobných údajov. Ten pred príchodom GDPR obsahoval „bezsúhlasový“ právny základ, ktorý znel: „súhlas nie je potrebný ak sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené; ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zákonne zverejnené.“

Ešte počas platnosti starého zákona však Úrad na ochranu osobných údajov vo svojej praxi potvrdil základné pravidlo, podľa ktorého daný právny základ fungoval len v prípade, ak sa údaje využívali na ten istý účel, na ktorý boli zverejnené. Napr., ak Vaše osobné údaje boli zverejnené v obchodnom registri na to, aby si protistrana mohla overiť Vaše oprávnenie zastupovať obchodnú spoločnosť pri uzatváraní zmlúv, protistrana ich mohla za týmto účelom spracúvať bez Vášho súhlasu. Tento právny základ však neumožňoval obohacovanie direct marketingových databáz o údaje z obchodného registra, pretože za týmto účelom neboli dáta zverejnené v obchodnom registri. Keďže tento právny základ nevychádzal zo znenia Smernice 95/46/ES a bol čisto „slovenskou špecialitou“, nenájdeme ho ani v GDPR.

Momentálne teda žiadny špecifický právny základ podľa GDPR alebo Zákona o ochrane osobných údajov týkajúci sa spracúvania verejných dát neexistuje. Existuje len oprávnenie prevádzkovateľa spracúvať tzv. citlivé osobné údaje v prípade, ak ich dotknutá osoba preukázateľne zverejnila. V praxi sa však využíva skôr výnimočne a dnešný výklad článku 9 GDPR ho nedovoľuje použiť na osobné údaje, ktoré sa nachádzajú v registroch. Získavanie dát z verejných registrov, ich kombinácia s inými dátami, segmentácia, obohacovanie a následné poskytovanie užívateľom registrov predstavuje spracúvanie osobných údajov ako každé iné. Samozrejme v rozsahu, v akom ide o osobné údaje (viď posledná časť). 

Základnými otázkami ktorými by ste sa mali zaoberať sú:

  • kto je za dané spracúvanie zodpovedný ako prevádzkovateľ;
  • na základe akého právneho základu podľa článku 6 GDPR ho vykonáva;
  • ako o tom informuje dotknuté osoby podľa článku 14 GDPR; a
  • aké je Vaše postavenie vo vzťahu k danému registru?

Ďalej sa pokúsime na načrtnúť možné odpovede. 

Postavenie registrov a ich užívateľov 

Ak využívate služby registrov, zodpovední budete vždy aj Vy aj samotný register. Rozhodujúce je len to, či ako prevádzkovateľ alebo ako sprostredkovateľ. Východzím by malo byť postavenie registra ako samostatného prevádzkovateľa. Ak register sám rozhodol o tom, že načerpá dáta z verejných zdrojov a bude ich ďalej v určitej podobe poskytovať ako službu – je ako prevádzkovateľ zodpovedný za také načerpanie. Register v takom prípade spracúva dáta ešte predtým, ako ho začnete využívať a bez ohľadu na to, či ho začnete využívať. Podľa nášho názoru je tomto prípade vzťah medzi registrom a  jeho užívateľom vzťahom dvoch prevádzkovateľov, medzi ktorými dochádza k poskytovaniu osobných údajov. 

„Dajte si pozor na registre, ktoré presúvajú zodpovednosť za dáta (ktoré už majú) na svojich užívateľov tým, že sa stavajú do postavenia sprostredkovateľov. Tieto registre si pravdepodobne uvedomujú, že nedisponujú dostatočným právnym základom a presúvajú tento problém na svojich zákazníkov.“

Pri niektorých doplnkových službách však naozaj môže dochádzať k tomu, že spoločnosť prevádzkujúca register vystupuje aj v postavení sprostredkovateľa svojho užívateľa. Napr. český CRiBiS rozlišuje svoje postavenie podľa toho o akú službu ide. Ak ide o službu registra, tvrdí že ide o vzťah prevádzkovateľ-prevádzkovateľ. Ak však ide o službu, ktorej predmetom je na základe pokynu užívateľa vyhľadať a zhromaždiť informácie o osobe rôznych zdrojov a databáz, vidí sa v postavení sprostredkovateľa užívateľa. Nevidíme však úplne do dôsledkov toho, ako CRiBiS myslí dané rozlišovanie a preto naňho odkazujeme len informatívne. 

"Podľa nášho názoru je možné ako „rule of thumb“ pravidlo použiť nasledovnú otázku: Disponuje register už v čase Vášho pokynu údajmi o ktoré máte záujem? Ak áno, potom ich už predtým musel získať ako prevádzkovateľ."

Ak nie, potom ich plánuje ešte len vyhľadať, pričom tak bude pravdepodobne robiť už vo Vašom mene ako sprostredkovateľ. Otázka postavenia registra a jeho užívateľa preto súvisí aj s otázkou ako technicky dochádza k výmene dát medzi registrom a verejnými registrami.

Napr. ak by register čerpal informácie z verejných zdrojov v reálnom čase cez API, skôr by to podľa nášho názoru nahrávalo jeho postaveniu ako sprostredkovateľa. Spracúvanie osobných údajov by v takom prípade bolo determinované výlučne užívateľom registra a jeho pokynmi. Ak však register dáta z verejných registrov už načerpal do svojej databázy a umožňuje v nej užívateľom vyhľadávať, nahráva to skôr postaveniu prevádzkovateľ – prevádzkovateľ. V praxi však môže byť problematické, že tieto dve situácie sa môžu vzájomne prekrývať a existovať popri sebe rovnako ako popri sebe existujú základné a doplnkové služby registrov. 

Z verejne dostupných zdrojov vyplýva, že takmer všetky registre ponúkajúce služby na Slovensku sa považujú za prevádzkovateľov. Avšak, stretli sme v praxi aj s opačným a veľmi problematickým prístupom niektorých registrov. 

Právny základ

Väčšia registrov sa pri spracúvaní osobných údajov spolieha na právny základ oprávnených záujmov v zmysle čl. 6 ods. 1 písm. f) GDPR. Prakticky ide o jedinú možnosť, nakoľko registre zo svojej povahy nemajú priamy zmluvný vzťah s dotknutými osobami, ktorý by im umožňoval spoliehať sa na súhlas alebo plnenie zmluvy a nejde o zákonnú povinnosť. Niektoré registre sa tiež pohrávajú aj s myšlienkou plnenia úlohy vo verejnom záujme, ktorá pri aktuálnom výklade vyžaduje aspoň základnú oporu v zákone. Nie je však úplne vylúčená.

Aj keď vo všeobecnosti nie je vylúčený žiadny právny základ, zdá sa, že oprávnené záujmy sú aktuálne jedinou možnou cestou a to tak ako na strane registrov tak aj na strane užívateľov registrov. 

Pri vymedzovaní oprávnených záujmov sa však registre výrazne odlišujú:  

  • Finstat: „Zvyšovanie všeobecnej transparentnosti v spoločnosti, s cieľom predchádzať podvodom a nekalým praktikám,  vyvarovať sa uzatvoreniu zmluvných vzťahov s nebonitnými partnermi, umožniť overenie informácií o kredibilite potenciálneho partnera a tiež prispieť k lepšiemu fungovaniu podnikateľského prostredia na Slovensku.“ 
  • Ekosystem.slovensko.digital: „Na základe oprávneného záujmu údaje z evidencií verejnej správy zverejňované na základe požiadaviek zákona (OpenData). Pre tieto údaje umožňujeme ich opakované použitie ich uchovávaním, transformáciou formátov a umožnením prístupu pre ďalšie subjekty a využívame ich v našich službách. Spracúvanie OpenData vykonávame vždy v medziach licenčných ujednaní vopred určených poskytovateľmi údajov. Pri tomto spracúvaní zodpovedáme za správnosť údajov voči stavu zverejnenému verejnou správou, nie sme oprávnení skúmať vecnú správnosť údajov ani ich meniť.“ 
  • Bisnode.sk: „Minimalizácia úverového rizika.“

Je pravda, že prístup k oprávneným záujmom na Slovensku ešte nie je úplne ustálený a to aj vďaka predchádzajúcej legislatíve na ochranu osobných údajov a historickému prístupu ku „právom chráneným záujmom“. Charakter vyššie uvedených registrov sa odlišuje a preto aj z tohto pohľadu sa dá chápať, že oprávnené záujmy sú jednotlivými registrami vymedzené rôzne.

Avšak, využívanie dát z registrov vždy predstavuje pre klienta riziko, nad ktorým nemá úplnú kontrolu. Našim klientom plánujúcim využívať register preto vždy odporúčame preveriť: 

  • ako konkrétne daný register vymedzil oprávnené záujmy, ktoré sleduje; 
  • ako posúdil ich prevahu nad záujmami alebo základnými právami a slobodami dotknutej osoby; 
  • či daný oprávnený záujem zahŕňa aj poskytnutie osobných údajov klientovi; 
  • ako resp. či vôbec prispôsobil a obmedzil rozsah spracúvania a funkcionalitu svojho registra záverom o prevahe oprávneného záujmu;  
  • ako register pristupuje k námietkam dotknutých osôb podľa čl. 21 GDPR. 

"Snažíme sa zistiť, či ide o skutočný alebo len „deklarovaný“ oprávnený záujem. Je to dôležité preto, aby sme vedeli klientovi odporučiť, či bude môcť osobné údaje z daného registra ďalej spracúvať na svoje vlastné účely." 

Keďže oprávnený záujem je úzko prepojený (ak nie identický) s účelom spracúvania, bolo by porušením zásady obmedzenia účelu, ak by užívateľ registra využíval dáta z neho na úplne iný a nekompatibilný účel. Pre užívateľov by preto malo byť veľmi dôležité ako ich registre vymedzujú oprávnené záujmy, ktoré sledujú. 

Informačná povinnosť a pokuta 220 tisíc EUR v Poľsku

Každý prevádzkovateľ má vo všeobecnosti informačnú povinnosť a to buď podľa článku 13 alebo 14 GDPR. V prípade získavania osobných údajov z iných zdrojov ako priamo od dotknutej osoby sa uplatňuje informačná povinnosť podľa článku 14 GDPR – to platí aj pre registre a vo väčšine prípadoch aj pre ich užívateľov.  

Informačná povinnosť podľa článku 14 GDPR je liberálnejší režim, pri ktorom môžu byť informácie poskytnuté neskôr (čl. 14 ods. 3 GDPR) a najmä existuje viac výnimiek z tejto povinnosti (čl. 14 ods. 5 GDPR) v porovnaní s režimom podľa čl. 13 GDPR. Stále však ide o problematickú povinnosť, ako ukazuje aj nedávna pokuta vo výške 220 tisíc EUR uložená poľským dozorným orgánom. 

Išlo o spoločnosť patriacu do skupiny Bisnode, ktorá získavala dáta z verejných zdrojov a poskytovala ich ďalej na komerčné účely v rámci svojich služieb. Podľa zástupcov poľského dozorného orgánu register plnil informačnú povinnosť iba pri tých dotknutých osobách nachádzajúcich sa v registroch, ktorých emailovými adresami disponoval. Z približne 6 miliónov dotknutých osôb tak mal register informovať približne 680 tisíc užívateľov. 

Zaujímavé a kontroverzné na danom rozhodnutí je, že spoločnosť Bisnode informovala verejnosť prostredníctvom svojej online privacy policy na webstránke. Spoliehala sa pritom na výnimku z informačnej spoločnosti podľa článku 14 ods. 5 písm. b) kedy prevádzkovateľ nemusí informovať dotknuté osoby, ak: „sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, na ktoré sa vzťahujú podmienky a záruky podľa článku 89 ods. 1, alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania. V takých prípadoch prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti.“ 

Poľský dozorný orgán argumentoval, že register mohol dotknuté osoby informovať poštou, nakoľko poštovými adresami disponoval. Spoločnosť sa bránila, že ak by chcela dotknuté osoby kontaktovať prostredníctvom pošty, stálo by ju to 8 miliónov EUR, kým výnosy spoločnosti tvorili za posledný finančný rok 8,1 miliónov EUR (t.j. neprimerané úsilie). Dozorný orgán túto argumentáciu zamietol s poukazom na to, že predmetnú výnimku nemožno aplikovať s argumentom finančných nákladov na splnenie informačnej povinnosti.

Dané rozhodnutie dozorného orgánu je v právnickej obci kritizované a očakáva sa podanie odvolania na správny súd, z ktorého môže potenciálne vzísť aj prejudiciálna otázka Súdnemu dvoru EÚ ohľadom výkladu článku 14 ods. 5 písm. b) GDPR. 

Pokiaľ by však súdy potvrdili tento reštriktívny výklad danej výnimky, prakticky by neexistovala iná výnimka z informačnej povinnosti použiteľná na súkromné registre, ktorých činnosť nie je výslovne upravená zákonom. To by znamenalo koniec alebo výrazné ohrozenie obchodných modelov registrov. Nejde len o problém registrov a ich užívateľov ale vo všeobecnosti o problém veľkého množstva prevádzkovateľov. 

Kedy nejde o osobné údaje? 

Zjednodušene vtedy, ak sa údaje týkajú právnickej osoby alebo ak sa netýkajú identifikovateľných fyzických osôb. GDPR sa podľa svojho recitálu 14 nemá vzťahovať na:  „spracúvanie osobných údajov, ktoré sa týka právnických osôb, a najmä podnikov založených ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby.“

Ako sa vôbec osobné údaje môžu týkať právnických osôb ak súčasťou ich definície je "týkajúcich sa fyzických osôb“?

Tento recitál predstavuje priestor pre výklad, že napríklad osobné údaje konateľa spoločnosti alebo zmluvný kontakt sa v danom kontexte týkajú viac právnickej osoby ako fyzickej osoby a preto nejde o osobné údaje. Takýto výklad však prirodzene dozorné orgány nechcú pripustiť, pretože sa obávajú oslabenia ochrany fyzických osôb. Úrad na ochranu osobných údajov SR dokonca vydal k recitálu 14 stanovisko, v ktorom uvádza:

„Osobné údaje fyzických osôb, ktoré právnickú osobu zastupujú, konajú v jej mene, podliehajú v plnom rozsahu ochrane podľa Nariadenia a zákona č. 18/2018 Z. z., preto napríklad aj na údaje o štatutárnych zástupcoch právnickej osoby, ktoré sú obsiahnuté v zmluvnej dokumentácii, alebo sú uvedené na portáloch obsahujúcich najmä ekonomické informácie o spoločnostiach (verejne dostupné zdroje), sa vzťahuje právna úprava podľa Nariadenia  a zákona č. 18/2018 Z. z.“    

Nie je tak úplne jasné, na aké situácie sa má recitál 14 GDPR potom vzťahovať. Existuje len jeden dlhodobo uznávaný príklad, ktorým je meno a priezvisko v obchodnom mene spoločnosti. Preto ani neodporúčame klientom podstupovať riziko príliš liberálneho výkladu daného recitálu. 

V neposlednom rade je tu aj otázka politického tlaku na registre, ktoré úspešné pomáhajú odľahčovať prepojenia medzi firmami, jednotlivcami a štátom. V tomto smere registre poskytujú verejnosti nástroj na účinnejšiu kontrolu vecí verejných. Na druhej strane, na Slovensku nie sme stále zvyknutí nazerať na otázku súkromia tak citlivo a kriticky ako v západných krajinách EÚ. Pre zahraničných klientov je napr. nepredstaviteľné zverejňovanie miesta bydliska štatutárov v obchodnom registri. 

Využívanie dát z registrov bude vždy predstavovať isté právne riziká pre ich užívateľov, ktoré sa dajú do určitej miery minimalizovať. Niekedy to však nie je možné a je potrebné dať od problematických databáz a registrov ruky preč. Netreba si robiť ilúzie o tom, že "pokutnícke" registre na Slovensku nie sú. O to viac treba vzdať hold registrom, ktoré svoju prípravu na GDPR zobrali veľmi zodpovedne. 

 

Jakub Berthoty, LL.M, advokát, Dagital Legal, s.r.o.