Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka

 

Bankovní sektor

 

 
 

V tomto roce banky investovaly mnoho úsilí do rozvoje trhu spotřebních úvěrů, a to i pomocí dosti nevybíravých reklamních prostředků. Výsledkem byl i růst zadlužení domácností o cca 100 miliard Kč. Přitom dobrou zprávou pro banky je, že míra klasifikovaných úvěrů zůstává okolo deseti procent. Využívá se stále více dalších nástrojů na zabezpečení vymahatelnosti případných pohledávek, přes pojišťování úvěrů proti případné platební neschopnosti, až po exekuce. Je proto s podivem, že přes tyto a další silné nástroje se banky uchylují ke shromažďování dalších a dalších nadbytečných osobních údajů, které si ani nemohou ověřit.

Klasickým případem, který Úřad řešil v tomto roce u několika bank, bylo poskytování telefonických informací o roční procentuální sazbě nákladů (RPSN). Podle této sazby může zájemce o úvěr porovnat nabídky bank podle svých konkrétních potřeb a vybrat si pro sebe tu nejvýhodnější. Úmysl zákonodárce byl zřejmý a chvályhodný. Některé banky to však využily k dalšímu shromažďování informací a vůbec jim nevadilo, že se při tom dopouštěly porušování zákona o ochraně osobních údajů. Dokonce někdy odmítaly informaci o RPSN poskytnout, pokud zájemce o informaci nesdělí veškeré požadované osobní údaje, zejména pak identifikační. Rozsah požadovaných údajů bývá velice rozsáhlý. Obvykle to jsou, jméno, příjmení, rodné číslo, datum narození, místo narození, přesné bydliště, telefon, rodinný stav, zaměstnavatel, telefon do zaměstnání, čistý příjem, délka současného zaměstnání, doba předchozího zaměstnání, druh bydlení, dosažené vzdělání, pracovní pozice, děti, vlastnictví účtů, splácení jiného úvěru a podrobnosti o něm, zda je klientem banky, zda bude žádat s manželkou, na které pobočce a odkud se dověděl o nabídce banky. Bankám při tom neuvědomují, že mohou zpracovávat a pak uchovávat ve svých informačních systémech údaje nepřesné a nepravdivé a to na základě údajů poskytnutých prostřednictvím telefonu či Internetu. Je ale zřejmé, že zejména identifikační údaje, jako jsou jméno, příjmení, rodné číslo, bydliště, místo narození, telefony a některé další nemohou mít vliv na výšku RPSN, pokud na další otázky zájemce odpoví pravdivě. Podstata pochybení bank spočívá v tom, že pokud zájemce identifikují, pak musí postupovat podle zákona o ochraně osobních údajů, neboť poskytují informaci a nikoli obchod. V tomto případě musí volajícího informovat v plném rozsahu § 11 odst. 1 a 2 tohoto zákona a zároveň ho informovat o jeho právu k přístupu k osobním údajům, právu na opravu osobních údajů a dalších právech podle § 21 zákona o ochraně osobních údajů. Pokud tyto povinnosti požadované zákonem nesplní, dopouštějí se porušení informační povinnosti vyžadované zákonem. Proto pro účely zjištění RPSN jsou výše zmíněné identifikační údaje nadbytečné a tedy jejich zpracování je porušením § 5 odst. 1 písm. d) zákona o ochraně osobních údajů. Podle vyjádření některých bank všechny tyto osobní údaje zaznamenávají a po určitý čas zpracovávají, což ale pro účel informace může být porušením § 5 odst. 1 písm. e) zákona, který stanoví, že správce smí uchovávat osobní údaje pouze po dobu, nezbytnou k účelu jejich zpracování. Vzhledem k tomu, že poskytování informací nelze zařadit pod bankovní obchody, lze rovněž vážně zvažovat, zda banky žádající pro informaci plnou identifikaci tazatele neporušují rovněž i § 16 zákona o ochraně osobních údajů. Je tedy zřejmé, že pokud by banky poskytovaly tuto informaci bez zpracování identifikačních osobních údajů, nemusely by plnit zákonem předepsané povinnosti a ušetřily by si konflikt se zákonem o ochraně osobních údajů.

Banky jsou jedny z nejvýznamnějších soukromých správců osobních údajů u nás. Po špatných zkušenostech s poskytováním nezajištěných úvěrů a různým podvodům a nyní i hrozby terorismu přistoupily dozorové orgány k ukládání povinností bankám nejen v oblasti řízení rizik, ale i k shromažďování osobních údajů pro banky nepotřebných. Banky ovšem samy nahrávají státním orgánům ke zvyšování svých rizik ochrany osobních údajů. Jako příklad je možné uvést zpracování rodného čísla podle zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech, který pro banky neukládal zpracování rodných čísel a ponechával na svobodné vůli klientů, zda tento identifikátor poskytnou nebo ne. Ani zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti, tuto povinnost bankám neukládal. Pro banky pak jako ověřitelný identifikátor rodné číslo nemohlo být k užitku, neboť jako soukromé subjekty nemají přístup do centrálního registru obyvatel a používaly ho jako třídící a vyhledávací kritérium ve svých informačních systémech. Patřily tak ke správcům, kterých se týkala povinnost buď do konce roku 2005 získat souhlas se zpracováním, nebo zpracování rodného čísla ukončit. Úmysl zákonodárce zvýšit ochranu soukromí občanů, neboť propojení různých osobních údajů přes tento jedinečný identifikátor občana v dnešní době počítačových systémů a Internetu je velmi snadné, pojal bankovní sektor opět standardně. Proč se namáhat se získáváním souhlasů klientů; je jednodušší změnit zákon. Což bankovní lobby provedla vpašováním pozměňovacích návrhů o povinnosti pro banky zpracovávat rodné číslo do druhého čtení rozpočtového výboru Poslanecké sněmovny k zákonu č. 377/2005 Sb., o finančních konglomerátech. Je rovněž příznačné, že tyto dodatečné pozměňovací návrhy byly konzultovány s ČNB, nikoliv ale s Úřadem pro ochranu osobních údajů.

Rovněž Všeobecné obchodní podmínky (VOP) nejsou právě přehlídkou vstřícného přístupu bank vůči klientům. Banky znova přistoupily ke směšování informační povinnosti a souhlasů do VOP, a to způsobem, který balancuje na hraně zákona. Výsledkem je téměř znemožnění vyjádření vlastního rozhodnutí klienta, jakým způsobem může banka nakládat s jeho osobními údaji a bankovními informacemi. Vzhledem k tomu, že obchodování s osobními údaji klientů se stalo skvělým byznysem, zejména v oblasti direktmarketingů, soustředily se banky na získávání souhlasů klientů s čímkoliv, a dá se téměř říci, že jakýmikoli metodami, z čeho by v budoucnu mohl být pro banky nějaký profit . K tomu mají sloužit i zamlžené účely sběru, rozsahu a předávání osobních a bankovních údajů. Neuvědomují si ale, že takto široce pojatými souhlasy, které klientům podstrkují ve VOP, otevírají prostor pro předávání svých bankovních údajů i nebankovním subjektům podnikajícím ve finančnictví, které ale nepodléhají přísnému dozoru a nemusí být vždy seriozní. Jinak řečeno, těmito široce koncipovanými souhlasy otvírají svůj trh i neseriozním, nebankovním finančním spekulantům, jimž mohou umožnit získat přístup k bankovním informacím svých klientů.

Nejčastějším případem takového smíchávání souhlasů je způsob, kdy ve VOP v jednom odstavci klient uděluje souhlasy, bez nichž by se služba nemohla uskutečnit, souhlasy, které vůbec banka nepotřebuje, neboť zpracování, předání může uskutečnit podle zákona o bankách a individuální souhlasy, tedy souhlasy se zpracováním či předáváním jiným subjektům, které by měly být individuální klientovou volbou. Klient má pak v praxi jen malou šanci postřehnout, k jakému nakládání se svými údaji dal souhlas a zda měl nějakou volbu. Stejný princip neurčitosti ve VOP se týká i informační povinnosti správce o nakládání s osobními údaji podle zákona. Nejasné formulace a snaha po získání všeobjímajících souhlasů pak způsobují, že banky zapomínají informovat klienta o možnosti prvotního odmítnutí souhlasu (opt-out), právo odmítnutí předávání jeho údajů zákonem neurčeným subjektům, základní právo být informován u kterých subjektů budou jeho osobní údaje, ba dokonce si vybrat komu bude chtít poskytnou podrobnější údaje pro direktmarketingové účely. Zde lze také poznamenat, že některé uváděné účely, které jsou prezentovány jako ve prospěch klienta, slouží bankám spíše na kontrolu jejich vlastních zaměstnanců. Tato opomenutí pak jsou hodnocena jako nedodržení povinností vyplývajících ze zákona o ochraně osobních údajů. Heslo „Poznej svého klienta“ se pak zvrhává na „Dostaň svého klienta“. V praxi pak tento stav směřuje k tomu, aby klient, pokud chce mít jistotu partnerského jednání, při podepisování smlouvy v bance měl sebou nejen svého bankovního poradce, ale i odborníka na ochranu osobních údajů.

Tyto a další netransparentnosti by měly z VOP být odstraněny. Zjednodušeně lze říci, že pokud by se banky chovaly ke klientům transparentně a jako k partnerům, pak by ani neporušovaly zákon o ochraně osobních údajů.

 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 12.12.2013 / 12.12.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém