Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy

 

Cesta: Titulní stránka > Hlavní menu > Zahraničí > Rada Evropy > Dokumenty > Doporučení č. r (90) 19 Výboru ministrů členským státům o ochraně osobních údajů používaných při platebních a jiných souvisejících operacích

 

Doporučení č. r (90) 19 Výboru ministrů členským státům o ochraně osobních údajů používaných při platebních a jiných souvisejících operacích

 
 
 

(přijaté Výborem ministrů dne 13. září 1990
na 443. zasedání zástupců ministrů)


Výbor ministrů, podle podmínek stanovených v článku 15.b Statutu Rady Evropy,

Maje na zřeteli, že cílem Rady Evropy je dosažení větší jednoty mezi jejími členy;

S vědomím rostoucího využívání automatizovaného zpracování údajů v oblasti platebních a jiných souvisejících operací a výhod, kterých je třeba využít;

S vědomím, že rostoucí využívání automatizovaného zpracování údajů v institucích poskytujících finanční služby, což nutně nemusí být pouze banky;

Domnívaje se, že využívání automatizovaného zpracování údajů v oblasti platebních a jiných souvisejících operací může znamenat riziko pro soukromí jednotlivců;

Domnívaje se navíc, že přes stále rostoucí využívání automatizovaného zpracování údajů v oblasti platebních a jiných souvisejících operací, jednotlivci by neměli být nuceni k používání elektronických platebních prostředků, čímž se jim ponechá možnost minimalizovat množství osobních údajů zpřístupňovaných při transakcích;

Uznávaje, že ustanovení Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat ze dne 28. ledna 1981 se vztahují na automatizované zpracování údajů prováděné institucemi, které poskytují finanční služby;

Domnívaje se nicméně, že je vhodné uplatňovat všeobecná ustanovení Úmluvy specifičtějším způsobem, a přizpůsobit je tak zvláštním požadavkům výše uvedených typů operací;

Maje na mysli mezinárodní povahu některých těchto operací a přeshraničních toků osobních údajů, ke kterým v jejich důsledku dochází, což činí nezbytným prosazování rovnocenné úrovně ochrany údajů ve všech členských státech Rady Evropy,

Doporučuje, aby vlády členských států:

- ve své národní legislativě a praxi v oblasti platebních a jiných souvisejících operací vzaly v úvahu zásady a pravidla obsažená v příloze k tomuto doporučení;

- uvědomily o tomto doporučení příslušné orgány v oblasti ochrany údajů, a také instituce poskytující platební prostředky, uživatele a provozovatele komunikačních sítí nebo jejich představitele.


Příloha k doporučení č. R(90)19

1. Rozsah a definice

1.1 Zásady obsažené v tomto doporučení se vztahují na automatizované zpracování osobních údajů ve vztahu k poskytování platebních prostředků a jejich použití při platebních a jiných souvisejících operacích.

Tyto zásady se navíc vztahují na všechny účastníky těchto operací (uživatelé, instituce poskytující platební prostředky a provozovatelé komunikačních sítí).

1.2 Pro účely tohoto doporučení:

Výraz „osobní údaje“ zahrnuje veškeré informace týkající se určeného nebo určitelného jednotlivce 2) . Jednotlivec se nepokládá za „určitelného“ pokud jeho identifikace vyžaduje neúměrně dlouhou dobu, náklady nebo úsilí.

Výraz „platební prostředky“ zahrnuje veškeré platební nástroje a jiná média pro platební příkazy, zejména šeky, žirové příkazy a platební karty, jakožto i veškeré další druhy debetních příkazů a kreditních příkazů, ať spuštěných elektronickým signálem či nikoli.

Výraz „uživatel“ zahrnuje veškeré právnické a fyzické osoby mající prospěch z platebních nebo jiných souvisejících operací, především pak obchodníky, maloobchodníky a poskytovatele služeb, ne však jednotlivé spotřebitele.

Výraz „instituce poskytující platební prostředky“ zahrnuje všechny bankovní i nebankovní podnikatelské subjekty, které, pravidelně nebo občasně, poskytují nebo vedou platební prostředky.

Uvedený výraz zahrnuje i podnikatelské subjekty, které od hlavní instituce dostávají pokyny k poskytnutí nebo správě platebních prostředků.

Výraz „provozovatel komunikační sítě“ se vztahuje na subjekt, který přenáší ke zpracování údaje používané pro uskutečnění platby nebo jiné související operace.


2. Ohled na soukromí

Ohled na soukromí má být zajištěn v průběhu shromažďování, ukládání, užívání, sdělování a uchovávání osobních údajů souvisejících s poskytováním nebo užíváním platebního prostředku. Za tímto účelem přijmou instituce poskytující platební prostředky, uživatelé a provozovatelé komunikačních sítí potřebná opatření k zajištění důvěrnosti těchto osobních údajů.


3. Shromažďování a uchovávání údajů

3.1 V souvislosti s poskytováním platebních prostředků by osobní údaje měly být shromažďovány a uchovávány institucí poskytující platební prostředky jen v rozsahu nezbytném pro zajištění dostupnosti platebních prostředků, a také služeb souvisejících s jejich použitím, včetně ověřovacích činností.

3.2 V souladu s ustanoveními národní legislativy by instituce poskytující platební prostředek měla mít možnost svěřit shromažďování, uchovávání a zpracování těchto údajů smluvnímu partnerovi, pokud bude poučen, že tyto údaje nesmí použít k jiným účelům.

3.3 V zásadě by osobní údaje měly být shromažďovány pouze od dotčeného jednotlivce. V případech, kdy je potřeba čerpat z jiných informačních zdrojů, měl by být jednotlivec předem plně informován o kategoriích zdrojů, ze kterých by mělo být čerpáno a rovněž o důsledcích spojených s odmítnutím nebo odvoláním jeho souhlasu.

3.4 Osobní údaje může uživatel shromažďovat a uchovávat jen za účelem ověření totožnosti držitele platebních prostředků a k určení platnosti či zákonnosti platební nebo jiné související operace.

3.5 Pokud se provádí operace s platebním prostředkem, pak osobní údaje související s touto operací by měly být shromažďovány a uchovávány pouze institucemi poskytujícími platební prostředky a v rozsahu potřebném pro ověření platnosti a kontrolu této operace, jakož i za účelem poskytnutí těchto služeb a plnění veškerých povinností stanovených národními právními předpisy vztahujícími se na jejich použití.

3.6 Platební systémy by měly být koncipovány způsobem, který zamezí, aby v průběhu platby či jiné související operace byly osobní údaje, které nejsou potřebné k dosažení účelů uvedených v zásadách 3.1 a 3.5, sděleny poskytovateli platebního prostředku a aby osobní údaje, které nejsou potřebné k dosažení účelů uvedených v zásadě 3.4, byly uchovávány uživatelem.

3.7 Provozovatel komunikační sítě by měl mít možnost shromažďovat a uchovávat pouze takové osobní údaje, které jsou nutné k provádění služeb jím poskytovaných nebo které jsou potřebné pro ověřování a vyúčtování těchto služeb.

3.8 Zpracování osobních údajů v souvislosti s trestním postihem jednotlivce by mělo být prováděno pouze v případech, kdy tyto údaje jsou takové povahy, že jsou zjevně potřebné pro zvážení způsobilosti jednotlivce k obdržení nebo k dalšímu užívání platebního prostředku a pokud dotyčný jednotlivec poskytl svůj výslovný a informovaný souhlas nebo pokud je zpracování v souladu se zárukami stanovenými národními právními předpisy.

Shromažďování a uchovávání jiných kategorií citlivých údajů zmíněných v článku 6 Úmluvy o ochraně osob se zřetelem na automatizované zpracovávání osobních dat, by nemělo být přípustné.


4. Využívání údajů

4.1 Podle ustanovení zásady 4.2. osobní údaje shromažďované a ukládané v souladu se zásadou 3 by měly být používány pouze za účelem zjištění, zda žadateli mohou být platební prostředky poskytnuty, pro ověření, pro vedení příslušného účtu včetně poskytování výpisů, nebo s cílem zabránit zneužití v případě ztráty či zrušení platebního prostředku.

4.2 Pokud byl dotyčný jednotlivec v plném rozsahu písemně informován a nic nenamítnul, instituce poskytující platební prostředky může použít údaje shromážděné a uchovávané pro účely uvedené v zásadách 3.1 a 3.5 pro marketing a propagaci svých služeb vůči němu.

Tento jednotlivec by měl být informován o skutečnosti, že vznese-li námitky vůči použití jeho údajů pro účely marketingu a propagace, nebude tím ovlivněno rozhodnutí poskytnout mu platební prostředky nebo mu umožnit další používání platebních prostředků již poskytnutých.

4.3 Vzájemné propojení různých souborů osobních údajů, vzniklých různým užíváním platebních prostředků jednotlivcem, by mělo být provedeno pouze institucí poskytující tento platební prostředek k účelům, uvedeným v zásadě 4.1 nebo pro marketing a zpřístupnění služeb, které tento jednotlivec akceptoval v souladu s principem 4.2.

Není-li stanoveno jinak v národních právních předpisech nebo dáno výslovným a informovaným souhlasem dotyčného jednotlivce, nemělo by být přípustné propojení různých souborů osobních údajů za účely jinými než uvedenými v této zásadě.

4.4 V rozsahu, v jakém se při použití platebních prostředků objevují citlivé údaje, nemohou tyto údaje být využívány pro marketingové, propagační nebo jiné účely.

4.5 Je-li víceúčelová karta rovněž, mimo jiné, platebním prostředkem a používá-li se k účelům jiným, než uvedeným v zásadě 1.2, pododstavec 2, měla by být koncipována tak, aby při používání k těmto jiným účelům byl znemožněn přístup k těm typům osobních údajů, o kterých pojednává toto doporučení.


5. Sdělování údajů

5.1 Osobní údaje, shromážděné a uchovávané za účely uvedenými v zásadách 3.1 a 4.1, lze sdělovat pouze v následujících případech:

(a) při souladu s povinnostmi stanovenými v národní legislativě;

(b) kdy je to nutné k ochraně zásadních a oprávněných zájmů instituce poskytující platební prostředky;

(c) s výslovným a informovaným souhlasem dotčeného jednotlivce;

(d) v případě neplnění platební povinnosti tam, kde byl zaveden systém oznamování nebo zaznamenávání takových informací v souladu s národními právními předpisy, za účelem zvýšení platební jistoty v rámci oboru pojednávaného tímto doporučením.

5.2 Podmínky stanovené v zásadě 5.1 nemají omezovat instituci poskytující platební prostředky ve sdělování osobních údajů jejím smluvním partnerům nebo provozovateli komunikační sítě, pokud je toto sdělování nutné pro vydávání a užívání platebních prostředků.


6. Zveřejňování

V souladu s národní legislativou a praxí by instituce poskytující platební prostředky měly spolu s uživateli a provozovateli komunikačních sítí zajistit, aby byl jednotlivec informován o povaze údajů, které uchovávají, o účelech, pro které jsou tyto údaje uchovávány, o kategoriích osob a jiných subjektů, kterým tyto údaje mohou být sděleny a o právním základě, o který se takové sdělení opírá.


7. Právo přístupu a právo na opravu

7.1 Každý jednotlivec by měl mít, na základě své žádosti, možnost získat ve srozumitelné podobě veškeré údaje, které se ho týkají, včetně dat uvedených na platebních prostředcích.

7.2 Měl by mít možnost, aby takové údaje byly opraveny nebo vymazány v případě, že jsou shledány nepřesnými, nepodstatnými pro daný účel, nadbytečnými nebo byly shromážděny či uchovávány v rozporu se zásadami stanovenými v tomto doporučení.

7.3 Instituce poskytující platební prostředky by měly učinit přiměřená opatření aby zajistily, že subjekt údajů si bude vědom svých práv souvisejících s jeho osobními údaji, jak jsou stanovena v zásadách 7.1 a 7.2, jakož i způsobů a prostředků jejich uplatňování.

7.4 Instituce poskytující platební prostředky by měla zajistit, aby subjekt údajů mohl bez nepřiměřených průtahů či nákladů uplatnit své právo přístupu k těmto údajům, zejména v případech, kdy systém distribuovaného zpracování údajů umístil jeho data ve více souborech.


8. Bezpečnost údajů

8.1 Každá strana platební či jiné související operace by měla přijmout vhodná organizační a technická opatření tak, aby zajistila bezpečnost, integritu a důvěrnost osobních údajů proti nepovolenému přístupu, použití, sdělování, pozměnění či zkreslení.

8.2 Kontrolní opatření, dostatečná pro zaručení ochrany údajů, by měla být prováděna uživateli, institucemi poskytujícími platební nástroje i provozovateli komunikační sítě.

Zejména by měly instituce své zaměstnance informovat o těchto opatřeních a o nutnosti se jimi řídit. Opatření by měla být přijata v rámci organizace tím způsobem, že budou jmenovitě označeni konkrétní pracovníci s oprávněním přístupu k údajům.

8.3 Instituce poskytující platební prostředky by měly svým zákazníkům poradit ve věci bezpečnosti, včetně způsobu vedení a bezpečného uložení platebních prostředků a kódů a ohledně postupů které je třeba dodržet v případě ztráty nebo odcizení platebního prostředku.


9. Opravné prostředky

Národní legislativa by měla poskytovat opravné prostředky pro případy porušení zásad stanovených v tomto doporučení, především tam, kde nejsou respektována práva stanovená zásadou 7


10. Přeshraniční toky údajů

10.1 V případech, kdy poskytnutí či použití platebních prostředků vyžaduje shromažďování, ukládání a zpracování určitých osobních údajů ve dvou či více signatářských státech Úmluvy na ochranu osob se zřetelem na automatizované zpracování dat, neměly by být vytvářeny žádné překážky přeshraničním tokům takových údajů mezi nimi za předpokladu, že bude zaručen princip rovnocenné ochrany.

10.2 Pokud země, do které mají být údaje předány, není signatářem Úmluvy, má být respektování zásad tohoto doporučení v takové zemi považováno kompetentními orgány smluvních států za pádný argument pro povolení předání osobních údajů do této země.


11. Uchovávání údajů

11.1 Tam, kde osobní údaje již nejsou potřebné k dosažení účelů uvedených v tomto doporučení, měly by být vymazány.

11.2 Smluvní partneři odpovědní za zpracování údajů jménem institucí poskytujících platební prostředky, by je neměli uchovávat déle než je nutné k provedení pokynů těchto institucí.

11.3 Je třeba zvážit vhodnost poskytování časových limitů pro uchovávání osobních údajů, pokud byl platební prostředek odmítnut. Časová omezení by se rovněž měla zavést při posuzování takových záležitostí, jako je potřeba uchovávat údaje po dobu nutnou za účelem obhajoby v soudním řízení či doložení transakcí uskutečněných určitým jednotlivcem.


12. Zajištění dodržování zásad

12.1 Každá země by měla zavést systém dohledu, který by umožnil zajistit dodržování zásad obsažených v tomto doporučení.

12.2 Za tímto účelem by měla každá země zajistit, aby bylo snadné identifikovat instituce poskytující platební prostředky.

———————————————————

1) V době, kdy bylo toto doporučení přijato, zástupce Spojeného království, uplatňujíce článek č. 10.2.c jednacího řádu pro zasedání zástupců ministrů, si vyhradil právo své vlády vyhovět či nevyhovět následujícím odstavcům přílohy k tomuto doporučení: 3.3, 3.4, 5.1.c a 7.1.

2) V terminologii zákona o ochraně osobních údajů jde o „subjekt údajů“.

 

Kontext

Umístění: Složky dokumentů > Mapa stránek > Hlavní menu > Zahraničí > Rada Evropy > Dokumenty > Doporučení č. r (90) 19 Výboru ministrů členským státům o ochraně osobních údajů používaných při platebních a jiných souvisejících operacích

Zobrazit aktuální dokumenty | archiv dokumentů | dokumenty včetně archivu

 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém