Naše společnost se primárně zaměřuje na ekonomická data o obchodních korporacích, nikoliv osobní data o fyzických osobách.

Osobní údaje zpracováváme jen ad hoc, týkají se výhradně osob ve vedení obchodních korporacích a zpracováváme je v rozsahu nezbytném pro bezpečnou identifikaci dané osoby v rámci veřejných registrů.

Slučitelnost naší činnosti se směrnicí GDPR

 
Z hlediska stanovených právních titulů (legitimních důvodů pro zpracování osobních údajů dle čl. 6 Nařízení GDPR) jsme identifikovali tři, které dle našeho názoru umožňují poskytování služeb Business Intelligence:
 

1) článek 6 odst. 1 písm. d) Nařízení GDPR – zpracování je nezbytné pro ochranu životně důležitých zájmů jiné fyzické osoby

  • Jde o zřídkavé případy, kdy naší činností varujeme klienty před přímým rizikem závažné trestné činnosti vůči jejich osobě.
  • Z naší činnosti šlo o případy, kdy jsme zjistili, že za společností, se kterou klient plánoval vstoupit do obchodních vztahů, stojí osoby
    napojené např. na ruskojazyčné organizované zločinecké struktury či osoby, které dle otevřených zdrojů byly v minulosti trestně stíhány  či souzeny pro násilnou trestnou činnost typu vydírání či nebezpečného vyhrožování. Nebo v minulosti došlo k tomu, že se jiný společník či dlužník takových osob stal nezvěstným a na portálu Policie ČR po něm bylo vyhlášeno pátrání.
 

2) článek 6 odst. 1 písm. c) Nařízení GDPR – zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje

 
Přenesená povinnost plátce DHP – zpracování bezpečnostně-ekonomických analýz
 
  • Na základě zmocnění klienta za něj plníme právní povinnost, vyplývající z § 109 zák. č. 235/2004 Sb., o dani z přidané hodnoty, v
    platném znění.
  • Dle odst. 1) citovaného ustanovení plátce, který přijme zdanitelné plnění s místem plnění v tuzemsku, uskutečněné jiným plátcem, ručí za nezaplacenou daň z tohoto plnění, pokud věděl nebo vědět mohl, že daň nebude úmyslně zaplacena, plátce se úmyslně dostal nebo dostane do postavení, kdy nemůže daň zaplatit, nebo že dojde ke zkrácení daně nebo vylákání daňové výhody. Dle odst. 3) citovaného ustanovení plátce ručí za nezaplacenou daň též tehdy, je-li o jeho obchodním partnerovi v systému umožňujícím dálkový přístup známo, že je nespolehlivým plátcem.
  • Aplikační praxe v rámci tohoto ustanovení není ujednocená. K tématu se v roce 2015 v odborném tisku – časopisu Daňový expert – vyjádřil  zástupce Finanční správy ČR s tím, že by podnikatelé před vstupem do obchodního vztahu měli být schopni si zodpovědět níže uvedené otázky:
    • „Jakou má můj dodavatel podnikatelskou historii? Je na trhu etablovaný a známý v oboru?
    • Proč si pro zboží jezdím vlastním autem do jiného členského státu, ale odebírám jej fakturačně od českého subjektu, kterým je jiná osoba než oprávněný příjemce?
    • Proč mám platit za zboží na účet jiné osoby, než která je uvedena na faktuře? Věřím pohádce o „nějakých problémech s bankou“?
    • Není mi divné, že na stejné adrese, na které má sídlo můj dodavatel, sídlí stovky dalších společností? 
      Jak odtud mohou všechny racionálně podnikat? 
    • Mohl bych já sám nebo má společnost podnikat také tak?
    • Jednatel mého dodavatele má bydliště na sídle obecního úřadu. Bylo by to racionální i v mém vlastním případě?
    • Proč můj dodavatel neukládá písemnosti ve sbírce listin?
    • Můj dodavatel má zahraniční bankovní účet, na který požaduje úhradu, i když se jedná o čistě český subjekt. Proč?
    • Můj dodavatel vyžaduje platbu v hotovosti a chce ji rozdělit do více částek, abychom obešli smysl zákona o omezení plateb v hotovosti. Proč?“

  • S ohledem na to, že zjištění výše vyžadovaných údajů a jejich správné vyhodnocení, a zejména zákonem vyžadovaná predikce budoucího vývoje na straně obchodního partnera, přesahuje možnosti a kompetence většiny ekonomických subjektů, přenášejí tyto na základě smluvního ujednání plnění této povinnosti na naši společnost a tento právní titul je základním právním titulem pro zpracovávání osobních údajů fyzických osob v rámci zpracování bezpečnostně-ekonomických analýz, které naše společnost poskytuje.
 

3) článek 6 odst. 1 písm. f) Nařízení GDPR – zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě

 

Oblast zpracování bezpečnostně-ekonomických analýz

  • Na základě smluvního ujednání s klientem společnost zpracovává bezpečnostně-ekonomické analýzy, které se týkají zejména prověření pravdivosti údajů, které obchodní partneři poskytli klientovi či nechali o sobě zapsat do veřejných registrů. Činnost naší společnosti i účel zpracování osobních údajů se zcela kryje se zákonnými důvody, pro které zákonodárce dané veřejné registry zřídil.
 

Zpracování osobních údajů fyzických osob:

  • omezeno výhradně na osoby, které jsou určující pro posouzení dané obchodní korporace, tedy na majoritní vlastníky, členy statutárních orgánů a management,
  • omezeno výhradně na osobní údaje, které tyto osoby o sobě nechaly zveřejnit ve veřejných rejstřících dle příslušných právních
    předpisů, či v jiných otevřených zdrojích, např. na sociálních sítích,
  • a přistupuje se k němu pouze v případech, je-li to zcela nezbytné pro bezpečnostně-ekonomické posouzení dané obchodní korporace, a to pouze v nezbytném rozsahu (např. je omezeno na osobu majoritního akcionáře, na předsedu představenstva atd.).
 

V konkrétních případech je pro otázku přiměřenosti nezbytné provést Balanční testTest slučitelnosti účelů

 
Balanční test spočívá v porovnání a vyhodnocení toho, zda zájmy subjektu údajů nepřeváží nad zájmy zpracovatele dat, resp. klienta.
Zvažována je zejména:
 
    a) váha samotného oprávněného zájmu, pro který klient žádá zpracovat analýzu,
    b) možné negativní i pozitivní důsledky pro subjekt údajů,
    c) rozumné očekávání subjektu údajů ohledně zpracování,
    d) vztah správce a subjektu údajů.
 
Test slučitelnosti účelů se provádí v případech, kdy zdroj osobních údajů shromažďoval tyto údaje pro jiný účel, než pro který jsou nyní zpracovávány. V takovém případě hodnotitel dle citovaného ustanovení zohlední zejména:
 
  • a) jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;
  • b) okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;
  • c) povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10;
  • d) možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;
  • e) existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.
 

Příklady aplikace balančního testu a testu slučitelnosti důvodů při řešení otázky zpracování osobních údajů zaměstnanců za účelem jejich kontroly:

 
  • Účelem poskytnutí osobních údajů bylo vytvoření pracovněprávního vztahu mezi zaměstnavatelem a zaměstnancem (subjektem osobních údajů). Pro faktickou realizaci pracovněprávního vztahu je nezbytná i kontrola zaměstnance, tedy použití osobních údajů za účelem kontroly považujeme stále za způsob použití v mezích daného účelu.
  • V daném případě stojí na straně správce osobních údajů zájem na ochraně před majetkovou kriminalitou, která v případě rozšíření „pocitu beztrestnosti“ může nabýt velkého rozsahu. Na straně subjektu údajů – zaměstnanců – stojí právo na ochranu soukromí.
 
Zaměstnanec poskytl osobní údaje za účelem uzavření pracovního poměru a v rámci trvání tohoto poměru musí rozumně očekávat i kontrolu jeho činnosti. V daném případě nesmí jít o nějakou skrytou kontrolu, narušující soukromí zaměstnance, nýbrž o monitoring jeho veřejných a veřejně dostupných aktivit (např. inzerce prodeje zaměstnavateli odcizeného zboží na sociálních sítích).