Veřejné registry a ochrana osobních údajů: možnosti výmazu a omezení zveřejnění

Veřejné registry: proč existují a odkud pocházejí osobní údaje

Veřejné registry slouží k transparentnosti právních vztahů, ochraně třetích osob a právní jistotě v obchodních či občanských vztazích. Základním principem je veřejnost – možnost nahlédnout do vybraných údajů bez prokazování právního zájmu. Z pohledu ochrany soukromí to znamená, že se v registrech běžně objevují osobní údaje (jméno, adresa, datum narození, funkce, podíly, vlastnická práva) a někdy i citlivé metadata (historie zápisů, vazby na spisy, čísla listů vlastnictví).

Typy veřejných registrů a typické údaje

  • Obchodní rejstřík / rejstřík partnerů veřejného sektoru: statutární orgány, společníci, podíly, sídlo, základní kapitál, koneční uživatelé výhod.
  • Živnostenský rejstřík: jméno podnikatele, místo podnikání, předměty činnosti a pozastavení.
  • Katastrální / pozemkové registry: vlastníci nemovitostí, podíly, zatížení, zástavní práva (obvykle bez rodného čísla, s datem narození nebo jiným identifikátorem dle místní legislativy).
  • Insolvenční / konkurzní registry: informace o platební neschopnosti, správci, přihlášených pohledávkách, usneseních soudů.
  • Soudní rozhodnutí / justiční desky: anonymizované rozsudky, vyhlášení o jednáních; stupeň anonymizace se liší.
  • Rejstřík smluv a povinně zveřejňované informace: smlouvy subjektů veřejného sektoru, faktury a objednávky, jména kontaktů.
  • Profesní registry: licence a členství (lékaři, architekti, auditoři), disciplinární rozhodnutí.

Právní rámec: kde končí právo na výmaz

V EU platí, že GDPR přiznává právo na výmaz (čl. 17), ale obsahuje výjimku pro případy, kdy je zpracování nezbytné pro splnění právní povinnosti nebo pro výkon práva na svobodu projevu a informace či pro veřejný zájem v oblasti veřejného zdraví, archivnictví a výzkumu. U veřejných registrů je proto typická kolize mezi právem na soukromí a principem veřejnosti + zákonnými povinnostmi zveřejnění. Z toho vyplývá, že:

  • Úplné vymazání často není možné, pokud zákon přímo ukládá zveřejnění (např. zápis statutárního orgánu v obchodním rejstříku).
  • Je však možné oprava, aktualizace, omezení zpracování, anonymizace nebo nezveřejnění části údajů, pokud to zákon umožňuje (např. adresa bydliště vs. korespondenční adresa).
  • Ve sekundárních databázích (agregátory, portály „open data“, komerční vyhledávače) je prostor pro uplatnění práv širší – tam je často možné dosáhnout výmazu nebo delistingu, i když primární registr zůstává veřejný.

Primární vs. sekundární zdroj: dvě bojiště

  • Primární registr (státní nebo zákonem pověřený orgán): zpracovává údaje na základě zákona; možnosti zásahu jsou přísně vymezeny zákonem (oprava, doplnění, někdy „skrytí“ citlivé části).
  • Sekundární šíření (komerční databáze, „people search“, SEO zrcadla): často zpracovávají na základě oprávněného zájmu; zde lze uplatnit právo na výmaz, námitku proti profilování, delisting ve vyhledávačích („právo být zapomenut“ vůči vyhledávači), případně žádost o aktualizaci.

Co je typicky možné podle druhu registru

Registr Typický cíl Reálná možnost zásahu
Obchodní/živnostenský Skrýt soukromou adresu, opravit neaktuální údaje Oprava údajů, změna sídla/korespondenční adresy; výmaz po zániku subjektu se nekoná zpětně – zůstává historie
Katastrální Minimalizovat identifikátory ve výpisech Obvykle není možné vymazání, ale legislativně omezené zobrazení; chráněné údaje (např. rodné číslo) nejsou zveřejňovány
Insolvenční Stažení po ukončení řízení Historie bývá veřejná; je možné dosáhnout anonymizace detailů dle soudních pravidel
Rozsudky Silnější anonymizace Žádost o dodatečnou anonymizaci citlivých údajů, zejména při nepřiměřeném zásahu do soukromí
Povinně zveřejňované smlouvy Redakce osobních údajů Možná redakce (např. podpisy, telefony) před zveřejněním; dodatečná anonymizace v odůvodněných případech

Open data a indexace vyhledávači

I když je samotný registr zákonný, zpracování jako open data a jeho masová indexace vyhledávači mohou zvýšit riziko profilování a doxingu. Provozovatelé by měli používat data minimization, „noindex“ pro osobní stránky a zvažovat míra-detal vs. veřejný zájem. Jako dotčená osoba můžete žádat sekundární zpracovatele o delisting a omezení opakované publikace.

Praktický postup: jak si uplatnit práva

  1. Identifikujte správce (primární registr vs. sekundární web) a právní základ zpracování (zákon vs. oprávněný zájem).
  2. Určete přesný cíl: oprava, aktualizace, omezení zveřejnění, doplnění anonymizace, delisting ve vyhledávačích, výmaz u agregátorů.
  3. Připravte důkazy: odkazy/URL, snímky obrazovky, referenční čísla spisů, prokázání neaktuálnosti nebo nepřiměřeného zásahu.
  4. Podání žádosti (DSAR / RTBF) písemnou formou, s konkrétními články GDPR (např. čl. 16 – oprava; čl. 17 – výmaz; čl. 21 – námitka; čl. 18 – omezení).
  5. Sledujte lhůty: standardně odpověď do 1 měsíce (možné prodloužení o 2 měsíce při složitosti); u vyhledávačů obvykle rychleji.
  6. Odvolání / stížnost: pokud nejste spokojeni, obraťte se na dozorový úřad (DPA) nebo uplatněte soudní ochranu.

Argumenty, které zvyšují šanci na úspěch

  • Neaktuálnost: údaje již nereflektují realitu a vyvolávají omyl (např. staré funkce, zaniklý závazek).
  • Nepřiměřenost dopadu: mechanická indexace jmenovitých údajů bez ohledu na veřejný zájem (např. masové databáze „lidí“).
  • Bezpečnostní riziko: zvýšené riziko pronásledování, domácího násilí, stalking – v některých jurisdikcích existují režimy confidential address.
  • Chyba / nezákonnost: nezákonný rozsah publikovaných údajů nad rámec zákona; absence právního základu u sekundárního správce.

Časté limity a očekávání

  • Historie zápisů: registry uchovávají historii kvůli právní jistotě; výmaz zpětně se standardně neprovádí.
  • Identifikační minimum: jména a funkce statutárních orgánů jsou legitimně veřejné; jejich odstranění je výjimečné.
  • Archivní a statistický režim: i po ukončení účelu mohou údaje pokračovat v archivním zpracování – zde se uplatňuje přísná anonymizace/pseudonymizace.

Šedá zóna: komerční agregátoři a „lidé v databázích“

Weby, které hromadně sbírají veřejná data a profilují osoby (propojení katastru, obchodního rejstříku, sociálních sítí), často nemají jasný zákonný důvod k rozšířenému zveřejňování. Zde je téměř vždy na místě námitka podle čl. 21 GDPR a žádost o výmaz dle čl. 17. Pokud agregátor žádost ignoruje, účinné je současně požádat vyhledávače o delisting konkrétních URL pro dotaz obsahující vaše jméno.

Bezpečnostní rizika a prevence „doxingu“

  • Adresy a mapy: zveřejněná adresa v kombinaci s katastrálními mapami usnadňuje fyzické sledování; zvažte právní nástroje k omezení sekundární publikace.
  • Zlomyšlené prolinkování: SEO „farmy“ vytvářejí profily osob – cíleně žádejte odstranění a nastavte alerty na nové výskyty (monitoring jmen/přezdívek).
  • Účet ve vyhledávači: využívejte formuláře na delisting pro osobní jména; argumentujte neaktuálností a nepoměrem mezi veřejným zájmem a zásahem do soukromí.

Minimalizace budoucích zásahů: co můžete udělat předem

  • Adresní strategie: tam, kde to zákon umožní, používejte korespondenční nebo virtuální adresu místo domácí (pozor na soulad s právem).
  • Firemní nastavení: při zakládání společnosti zvažte odpovědnostní struktury a role, které minimalizují osobní údaje v zápisech.
  • Kontrakty a smlouvy: před zveřejněním uplatňujte redakci osobních údajů a používání funkčních e-mailů (např. info@) místo osobních adres.
  • Monitoring: nastavte si pravidelné kontroly vlastního jména a adresy; při novém výskytu jednajte rychle, dokud se obsah nerozšíří.

Ukázková kostra žádosti (DSAR/RTBF)

Pozn.: text upravte dle jurisdikce a adresujte konkrétnímu správci.

  • Předmět: Žádost o uplatnění práv podle GDPR – [Oprava/Výmaz/Omezení/Delisting]
  • Identifikace: Jméno, kontakt, popis dotčených záznamů (URL, čísla spisů, datum).
  • Právní základ: Odkaz na čl. 16/17/18/21 GDPR; vysvětlení neaktuálnosti/nepřiměřenosti/bezpečnostního rizika.
  • Žádost: Přesný popis, co má správce provést (opravit údaj X, odstranit stránku Y z indexace, anonymizovat pasáž Z).
  • Přílohy: Doklady s důkazy; preferujte needitovatelné formáty (PDF s časovým razítkem).
  • Lhůta a kontakt: Požadavek na odpověď ve stanovené lhůtě; preferovaný kanál komunikace.

Rizika při neodborné anonymizaci

„Přeškrtnutí jména v PDF“ nestačí – text je často extrahovatelný. Nutná je redakce ve zdrojovém dokumentu nebo export s nevratnou anonymizací. Dbejte na to, aby nezůstala metadata (autor, historie revizí) a aby kontext neumožnil zpětnou reidentifikaci (např. kombinace data narození a obce).

Co dělat, pokud správce nevyhoví

  • Formální odvolání s poukázáním na kritéria proporcionality a nezbytnosti.
  • Stížnost na dozorový úřad (DPA) s dokumentací komunikace a dopadem na soukromí.
  • Návrh na předběžné opatření při akutní hrozbě (např. ohrožení bezpečnosti osob).
  • Paralelní delisting u vyhledávačů a zásah u sekundárních webů, aby se minimalizovalo šíření.

Checklist: rychlá orientace před podáním žádosti

  • Je zdroj primární (zákonný registr) nebo sekundární (agregátor/archiv)?
  • Je cíl realistický (oprava/anonymizace/delisting) vzhledem k zákonné povinnosti?
  • Mám důkazy o neaktuálnosti, omylu nebo nepřiměřeném zásahu?
  • Které články GDPR jsou pro můj případ nejsilnější (16/17/18/21)?
  • Komu poslat paralelní žádost (vyhledávače, hostingy, SEO zrcadla)?

Mezi právní jistotou a lidskou důstojností

Veřejné registry jsou nezbytné pro fungování práva a ekonomiky, nes