Zejména v posledním roce si určitě leckdo všiml, že mnohem častějším souhlasem je souhlas se zpracováním osobních údajů. Ať už na vás vyskakuje jako žádost v e-mailu, nebo otravné okénko při čtení zpráv v mobilu (nevidíte jej na vrchní straně obrazovky právě teď?), požadavku na souhlas s různým více či méně intenzivním zpracováním osobních údajů se zkrátka nevyhneme.

Otázka je, jestli v obou výše uvedených případech jde z právního hlediska o totožný souhlas a jestli je správný postup zákonodárce, když pro zápis do obchodního rejstříku vyžaduje souhlas zapisované osoby.

Co mají společného?

Při jisté míře zjednodušení (viz níže) je souhlas se zápisem do veřejného rejstříku současně souhlasem se zpracováním osobních údajů.

K čemu vlastně dává jednatel souhlas, když souhlasí se zápisem? Jednak osobě, která návrh podává, jednak obchodnímu rejstříku, že může jeho osobní údaje nejen evidovat, ale také zveřejnit neomezenému okruhu příjemců. Tedy ke zpracování osobních údajů.

Najdi pár rozdílů

Zatímco v případě zápisu do veřejného rejstříku je třeba souhlasu osoby – tedy jakékoliv, i právnické, v případě souhlasu se zpracováním osobních údajů nás zajímají pouze fyzické osoby, lidé. To je dáno tím, že jen člověk má právo na ochranu soukromí.

Na souhlas se zápisem do veřejného rejstříku se kladou vyšší formální požadavky – musí být buďto zachycen ve veřejné listině, nebo musí být udělen s úředně ověřeným podpisem.

Nařízení o ochraně osobních údajů (GDPR) stanoví pro souhlas se zpracováním osobních údajů zase jiné požadavky: Má být vyjádřením "svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají (…)". "Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen." "S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, zejména pokud je správce orgánem veřejné moci, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace byl souhlas udělen svobodně."

Je v případě veřejného rejstříku souhlas správný důvod pro zpracování?

Zápis do obchodního rejstříku vede k tomu, že zpracování osobních údajů získává zcela novou kvalitu – povinné informace o osobě získávají kvalitu informací přístupných široké veřejnosti. Je tedy logické ptát se, jaký je právní důvod zpracování těchto informací.

Český zákonodárce vyžaduje k takovému zpracování souhlas. Mám za to, že v typických případech zápisů do obchodního rejstříku by se však mělo jednat nikoliv o zpracování na základě souhlasu, ale o zpracování na základě právní povinnosti dané zákonem, popř. plnění úkolu ve veřejném zájmu.

Veřejný rejstřík je rejstřík vedený pro usnadnění obchodního styku, ale jeho význam je mnohem širší. Jako základní informaci jej používají i orgány státní moci a vůbec všichni, kdo chtějí či potřebují zjistit některou z informací v něm vedenou. Veřejný rejstřík má za svůj cíl podávat pokud možno aktuální informace o jednotlivých obchodních společnostech a jiných právnických osobách.

Rejstříkový zákon stanovuje, že návrh na zápis má být dán bez zbytečného odkladu po vzniku rozhodné skutečnosti. Osoba oprávněná podat návrh rejstříku tedy jedná na základě povinnosti, kterou jí stanovil zákon. Rejstřík zpracovává osobní údaje na základě zákona a plní tím úkol stanovený ve veřejném zájmu.

K čemu tedy souhlas? Souhlas se zde jeví nadbytečným. Osobě podávající návrh na zápis osoby do veřejného rejstříku by měl postačit doklad, že osoba získala postavení, které se povinně zapisuje do veřejného rejstříku. S tímto dokladem by mohla na základě stanovené právní povinnosti zapsat osobu do obchodního rejstříku.

Souhlas ve velkém množství případů vlastně de facto nahrazuje kvalifikované přijetí funkce. Je pochopitelné, že zákonodárce cítil potřebu získat dostatečně formalizovaný dokument, na základě kterého se osoba zapíše do veřejného rejstříku – ale proč není požadován doklad o přijetí funkce namísto souhlasu?

A proč ne souhlas?

Přednost přesnosti rejstříku před souhlasem dotčeného

Veřejný zájem na přesnosti údajů obsažených v rejstřících by měl převážit nad soukromým zájmem fyzické osoby, který je zohledněn požadavkem na souhlas této osoby se zápisem.

V situaci, kdy se osoba stane dobrovolně členem orgánu, není důvod čekat s jejím zápisem do rejstříku na okamžik, kdy udělí souhlas. Nezbytným předpokladem však je, že je k dispozici doklad o tom, že se tato osoba stala členem orgánu.

Požadavky na skutečný souhlas nejsou naplněny

Výše jsem citovala některé z požadavků GDPR na kvalitu souhlasu. Souhlas se zápisem do obchodního rejstříku těchto kvalit nedosahuje. Subjekt je nucen souhlasit, neboť bez tohoto souhlasu by způsobil nemalé škody společnosti, u které působí, a ztížil si výkon funkce. V mnoha případech by např. jednatel nezískal přístup k bankovním účtům společnosti, dokud a pokud by nebyl jako jednatel uvedený v obchodním rejstříku. Souhlas tak není svobodný.

Vzhledem k tomu, že jde o podmínku pro zápis do obchodního rejstříku, málokterý jednatel dostane dostatečně podrobné informace o tom, kdo a jak bude osobní údaje zpracovávat. Souhlas tedy obvykle nebude ani informovaný.

O nadužívání souhlasu jako právního důvodu pro zpracování osobních údajů toho bylo mezi odbornou veřejností řečeno mnoho. Využití souhlasu jako právního důvodu ke zpracování osobních údajů tam, kde se fakticky jedná o zpracování na základě jiného právního důvodu, vede jednak k tomu, že osoba (subjekt údajů) není informována o zpracování osobních údajů správně a pokud je informovanější v oblasti ochrany osobních údajů, může se dokonce domnívat, že odvoláním souhlasu správce činnost zpracování ukončí.

V neposlední řadě vede nadužívání souhlasu k degradaci souhlasu na "můžeš souhlasit nebo odejít", což se mimochodem ukazuje např. na mnoha internetových stránkách při žádosti o souhlas se zpracováním cookies, ačkoliv jsou k dispozici řešení zcela v souladu s GDPR a chvála těm, kteří je využívají. Taková degradace je pak v přímém rozporu s GDPR, které požaduje, aby souhlas byl skutečně svobodný.

Rozsah zpracování osobních údajů ve veřejných rejstřících

Dlouhodobým problémem zpracování osobních údajů ve veřejných rejstřících je rozsah osobních údajů a skutečnost, že jsou bez omezení všem přístupné.

Zatímco rodná čísla už vesměs z veřejných rejstříků zmizela a byla nahrazena daty narození, stále může být snadno polemizováno o tom, zda je opravdu pro usnadnění právního styku a plnění ostatních funkcí veřejného rejstříku nezbytné, aby každý společník a každý člen orgánu měl v obchodním či jiném rejstříku zapsáno také místo svého bydliště. Obzvláště v dnešní době webových stránek a elektronické komunikace se mi jeví, že uvádění bydliště je nepřiměřeným zákonným požadavkem, pro který neexistuje žádné adekvátní opodstatnění a naopak zásadním způsobem zasahuje do soukromí a leckdy jistě i do bezpečí zapsaných osob a jejich rodinných příslušníků.

I zde se ukazuje problematičnost nesvobodného souhlasu, kdy je člen statutárního orgánu nucen souhlasit se zpracováním místa svého bydliště jen proto, že chce řádně vykonávat svou funkci a nechce způsobit společnosti škodu. Ale na co si stěžuje, když s tím souhlasil?

Zápis skutečného majitele – zase trošku jinak

Oproti tomu při zápisu skutečného majitele si můžeme povšimnout, že souhlas skutečného majitele se zápisem se nevyžaduje. To je logické, neboť se uplatní výše uvedené výhrady k souhlasu pro zápis do veřejného rejstříku, navíc v tomto případě by zřejmě nesouhlas skutečných majitelů mohl snadno vést k tomu, že databáze skutečných majitelů by byla značně hubenější.

I v tomto případě by však měl být subjekt údajů o zpracování jeho osobních údajů informován.

Závěrem

Zákon o veřejných rejstřících by měl reflektovat ochranu osobních údajů dle GDPR a distancovat se od terminologie používající pojmu "souhlas", zvláště proto, že jde o souhlas, jehož důsledkem je skutečně zpracování osobních údajů. V této souvislosti by také bylo vhodné opět otevřít debatu o nezbytnosti uvedení fyzické adresy bydliště zapsané osoby, aby nedocházelo ke zpracování nadbytečného rozsahu osobních údajů formou zpřístupňování veřejnosti.

Mgr. Jana Otčenášková, LL.M. (Universität Passau)