Veřejné registry: možnosti a omezení vymazání osobních údajů

Veřejné registry: proč existují a odkud pocházejí osobní údaje

Veřejné registry slouží k transparentnosti právních vztahů, ochraně třetích osob a právní jistotě v obchodních či občanských stycích. Základním principem je veřejnost – možnost nahlédnout do vybraných údajů bez prokazování právního zájmu. Z pohledu soukromí to znamená, že se v registrech běžně vyskytují osobní údaje (jméno, adresa, datum narození, funkce, podíly, vlastnická práva) a někdy i citlivé metadata (historie zápisů, vazby na spisy, čísla listů vlastnictví).

Typy veřejných registrů a typické údaje

  • Obchodní rejstřík / rejstřík partnerů veřejného sektoru: statutární orgány, společníci, podíly, sídlo, základní kapitál, koneční uživatelé výhod.
  • Živnostenský rejstřík: jméno podnikatele, místo podnikání, předměty činnosti a pozastavení.
  • Katastrální / pozemkové registry: vlastníci nemovitostí, podíly, věcná břemena, zástavní práva (obvykle bez rodného čísla, s datem narození nebo jiným identifikátorem podle místní legislativy).
  • Insolvenční / konkurzní registry: informace o platební neschopnosti, správci, přihlášených pohledávkách, soudních usneseních.
  • Soudní rozhodnutí / justiční desky: anonymizované rozsudky, vyhlášení o jednáních; stupeň anonymizace se liší.
  • Registr smluv a povinně zveřejňované informace: smlouvy subjektů veřejného sektoru, faktury a objednávky, jména kontaktních osob.
  • Profesní registry: licence a členství (lékaři, architekti, auditoři), disciplinární rozhodnutí.

Právní rámec: kde končí právo na vymazání

V EU platí, že GDPR uznává právo na vymazání (čl. 17), avšak zahrnuje výjimku pro případy, kdy je zpracování nezbytné k plnění právní povinnosti nebo k výkonu práva na svobodu projevu a informací či ve veřejném zájmu v oblasti veřejného zdraví, archivnictví a výzkumu. U veřejných registrů tak bývá typický konflikt mezi právem na soukromí a principem veřejnosti + zákonnými povinnostmi zveřejnění. Z toho vyplývá, že:

  • Úplné vymazání často není možné, pokud zákon přímo ukládá zveřejnění (např. zápis statutárního orgánu v obchodním rejstříku).
  • Je však možné oprava, aktualizace, omezení zpracování, anonymizace nebo nezveřejnění části údajů, pokud to zákon umožňuje (např. adresa bydliště vs. korespondenční adresa).
  • Ve sekundárních databázích (agregátory, „open data“ portály, komerční vyhledávače) je prostor pro uplatnění práv širší – tam je často možné dosáhnout vymazání či odstranění záznamu, i když primární registr zůstává veřejný.

Primární vs. sekundární zdroj: dvě bojiště

  • Primární registr (státní nebo zákonem pověřený správce): zpracovává údaje na základě zákona; možnosti zásahu jsou striktně zákonem stanovené (oprava, doplnění, někdy „skrytí“ citlivé části).
  • Sekundární šíření (komerční databáze, „people search“, SEO zrcadla): často zpracovávají na základě oprávněného zájmu; zde lze uplatnit právo na vymazání, námitku proti profilování, odstranění z vyhledávačů („právo na zapomenutí“ vůči vyhledávači), případně žádost o aktualizaci.

Co je typicky možné podle druhu registru

Registr Typický cíl Reálná možnost zásahu
Obchodní/živnostenský Schovat soukromou adresu, opravit neaktuální údaje Oprava údajů, změna sídla/korespondenční adresy; vymazání po zániku subjektu zpětně neprobíhá – zůstává historie
Katastrální Minimalizovat identifikátory ve výpisech Obvykle ne vymazání, ale legislativně omezené zobrazování; chráněné údaje (např. rodné číslo) se nezveřejňují
Insolvenční Snížení dostupnosti po ukončení řízení Historie bývá veřejná; lze dosáhnout anonymizace detailů podle soudních pravidel
Rozhodnutí soudů Silnější anonymizace Žádost o dodatečnou anonymizaci citlivých údajů, zejména při nepřiměřeném zásahu do soukromí
Povinně zveřejňované smlouvy Úprava osobních údajů Možná úprava (např. podpisy, telefonní čísla) před zveřejněním; dodatečná anonymizace v odůvodněných případech

Otevřená data a indexace vyhledávači

I když je samotný registr zákonný, zpracování jako open data a jeho masová indexace vyhledávači může zvýšit riziko profilování a doxxingu. Správci by měli uplatňovat minimalizaci dat, používat „noindex“ u osobních stránek a zvážit míru detailů vs. veřejný zájem. Jako dotčená osoba můžete žádat sekundární zpracovatele o odstranění záznamů a omezení opakované publikace.

Praktický postup: jak uplatnit práva

  1. Identifikujte správce (primární registr vs. sekundární web) a právní základ zpracování (zákon vs. oprávněný zájem).
  2. Určete přesný cíl: oprava, aktualizace, omezení zveřejnění, doplnění anonymizace, odstranění z vyhledávačů, vymazání u agregátorů.
  3. Připravte důkazy: odkazy/URL, snímky obrazovky, referenční čísla spisů, doložení neaktuálnosti nebo nepřiměřenosti zásahu.
  4. Podání žádosti (DSAR / RTBF) písemně, s konkrétními články GDPR (např. čl. 16 – oprava; čl. 17 – vymazání; čl. 21 – námitka; čl. 18 – omezení).
  5. Sledujte lhůty: standardně odpověď do 1 měsíce (možné prodloužení o 2 měsíce při složitosti); u vyhledávačů obvykle rychlejší.
  6. Odvolání / stížnost: pokud nejste spokojeni, obraťte se na dozorový úřad (DPA) nebo využijte soudní ochranu.

Argumenty zvyšující šanci na úspěch

  • Neaktuálnost: údaje již nereflektují realitu a vyvolávají omyl (např. staré funkce, zaniklé závazky).
  • Nepřiměřenost dopadu: mechanická indexace jmen bez souvislosti s veřejným zájmem (např. masové databáze „lidí“).
  • Bezpečnostní riziko: zvýšené riziko pronásledování, domácího násilí, stalking – v některých jurisdikcích existují režimy „confidential address“.
  • Chyba / nezákonnost: nezákonný rozsah publikovaných dat nad rámec zákona; absence právního titulu u sekundárního správce.

Časté limity a očekávání

  • Historie zápisů: registry uchovávají historii z důvodu právní jistoty; zpětné vymazání se běžně neděje.
  • Identifikační minimum: jména a funkce statutárních orgánů jsou legitimně veřejná; jejich odstranění je výjimečné.
  • Archivní a statistický režim: i po ukončení účelu mohou data pokračovat v archivním zpracování – zde se aplikuje přísná anonymizace/pseudonymizace.

Šedá zóna: komerční agregátoři a „lidé v databázích“

Weby, které hromadně sbírají veřejná data a profilují osoby (propojení katastru, obchodního rejstříku, sociálních sítí), často nemají jasný zákonný důvod pro rozšířené zveřejňování. V takových případech je téměř vždy na místě námitka podle čl. 21 GDPR a žádost o vymazání podle čl. 17. Pokud agregátor žádosti nevyhoví, je účinné současně požádat vyhledávače o odstranění záznamů konkrétních URL pro vyhledávací dotazy obsahující vaše jméno.

Bezpečnostní rizika a prevence „doxxingu“

  • Adresy a mapy: zveřejněná adresa v kombinaci s katastrálními mapami usnadňuje fyzické sledování; zvažte právní prostředky pro omezení sekundární publikace.
  • Zlomyslné prolinkování: SEO „farmy“ vytvářejí profily osob – cíleně žádejte odstranění a nastavte alerty na nové výskyty (monitoring jmen/aliasů).
  • Účet ve vyhledávači: využívejte formuláře pro odstranění záznamů u osobních jmen; argumentujte neaktuálností a nepoměrem mezi veřejným zájmem a zásahem do soukromí.

Minimalizace budoucích zásahů: co můžete udělat předem

  • Adresní strategie: tam, kde zákon umožňuje, používejte korespondenční nebo virtuální adresu namísto domovní (dbát na právní soulad).
  • Firemní nastavení: při zakládání společnosti zvažte odpovědnostní struktury a role, které minimalizují osobní údaje v zápisech.
  • Kontrakty a smlouvy: před zveřejněním uplatňujte úpravu osobních údajů a používejte funkční e-maily (např. info@) místo osobních adres.
  • Monitoring: pravidelně kontrolujte vlastní jméno a adresu; při novém výskytu rychle reagujte, než se obsah rozšíří.

Ukázková kostra žádosti (DSAR/RTBF)

Pozn.: text upravte podle jurisdikce a adresujte konkrétnímu správci.

  • Předmět: Žádost o uplatnění práv podle GDPR – [Oprava/Vymazání/Omezení/Odstranění záznamu]
  • Identifikace: Jméno, kontakt, popis dotčených záznamů (URL, čísla spisů, datum).
  • Právní základ: Odkaz na čl. 16/17/18/21 GDPR; vysvětlení neaktuálnosti/nepřiměřenosti/bezpečnostního rizika.
  • Žádost: Přesný popis, co má správce učinit (opravit údaj X, odstranit stránku Y z indexace, anonymizovat část Z).
  • Přílohy: Doklady s důkazy; preferujte needitovatelné formáty (PDF s časovým razítkem).
  • Lhůta a kontakt: Požadavek na odpověď v zákonné lhůtě; preferovaný komunikační kanál.

Rizika při nedůkladné anonymizaci

„Přeškrtnutí jména v PDF“ nestačí – text je často extrahovatelný. Nutná je úprava ve zdrojovém dokumentu nebo export s nevratnou anonymizací. Dbejte na to, aby nezůstala metadata (autor, historie revizí) a aby kontext neumožňoval zpětnou reidentifikaci (např. kombinace data narození a obce).

Co dělat, pokud správce nevyhoví

  • Formální odvolání s poukázáním na kritéria proporcionality a nezbytnosti.
  • Stížnost na dozorový úřad (DPA) s dokumentací komunikace a dopadem na soukromí.
  • Návrh na předběžné opatření při akutní hrozbě (např. ohrožení bezpečnosti osob).
  • Současné odstranění záznamů u vyhledávačů a zásah u sekundárních webů, aby se minimalizovalo šíření.

Checklist: rychlá orientace před podáním žádosti

  • Je zdroj primární (zákonný registr) nebo sekundární (agregátor/archiv)?
  • Je cíl realistický (oprava/anonymizace/odstranění) vzhledem ke zákonné povinnosti?
  • Mám důkazy o neaktuálnosti, omylu nebo nepřiměřeném zásahu?
  • Které články GDPR jsou pro můj případ nejsilnější (16/17/18/21)?
  • Komu poslat současné žádosti (vyhledávače, hostingy, SEO zrcadla)?

Mezi právní jist