Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka

 

Stanovisko č. 4/2014 - Transparentní účty a ochrana osobních údajů

 

Odkazy


 
 

září 2014[1]


Úvod

Transparentní účty se staly oblíbeným nástrojem, který využívá řada subjektů za účelem veřejné kontroly vlastní činnosti a zejména nakládání s finančními prostředky. Pokud ovšem probíhají platební transakce mezi zřizovatelem transparentního účtu a fyzickou osobou, může docházet ke zveřejňování osobních údajů. Na tuto problematiku se následující stanovisko zaměřuje a určuje možná pravidla, podle kterých postupovat tak, aby se správce osobních údajů nedostal do konfliktu se zákonem.

Transparentní účty ve vztahu k zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů

Z veřejně dostupných informací o transparentních účtech nabízených bankami v České republice vyplývá, že transparentní účet obsahuje vždy informace o názvu účtu, zprávě pro příjemce, výši, datu a typu platby, variabilním, konstantním a specifickém symbolu konkrétní platby. Zveřejňováno naopak není číslo účtu druhé strany platební transakce.

Za této situace lze konstatovat, že údaje o protistraně a bankovní operaci bude možné považovat za osobní údaje[2]. Identifikace fyzické osoby bude záležet na množství zveřejněných údajů, které budou s platbou spojeny. O jednoznačnou identifikaci půjde vždy, pokud bude jako variabilní symbol uvedeno rodné číslo. Název účtu (jméno a příjmení) povede k identifikaci zejména tehdy, pokud bude sám o sobě dostatečně unikátní, aby buď sám o sobě anebo ve spojení s účelem platby či její výší umožnil zjistit majitele účtu (opakované platby za nájem povedou k identifikaci plátce, jednorázový příspěvek na dobročinné účely celorepublikového spolku již obvykle nikoliv). Otázku, zda jsou informace obsažené ve výpisu z transparentního účtu osobními údaji, si poté správce musí klást jak u odchozích, tak u příchozích plateb.

Shromažďování a následné zveřejňování informací o provedených platbách týkajících se konkrétních fyzických osob (subjektů údajů) je nutné považovat za zpracování osobních údajů ve smyslu § 4 písm. e) zákona č. 101/2000 Sb. Správcem osobních údajů poté bude ten subjekt, který si transparentní účet zřídil a rozhodl tím o tom, že informace o platbách (včetně osobních údajů) budou veřejně dostupné.

V obecné rovině platí, že pokud bude fyzická osoba provádět platbu na transparentní účet, a bude o povaze tohoto účtu předem a prokazatelně informována[3], lze provedení platby považovat za souhlas[4] se zpracováním, a tedy i zveřejněním osobních údajů. V případě, kdy je zřejmé, že fyzická osoba bude na transparentním účtu identifikována, má povinnost plnit, a proto nemá možnost platbu neuskutečnit, musí dostat možnost převést finanční prostředky i jiným způsobem, než na transparentní účet.[5] Naopak platba z transparentního účtu na účet fyzické osoby (za podmínky její identifikovatelnosti) nebude bez souhlasu subjektu údajů uděleného předem v zásadě možná. Výjimkou jsou některé situace uvedené v následujících příkladech.

Transparentní účty územně samosprávných celků

Pro kraje, obce či městské části Úřad pro ochranu osobních údajů (dále jen „Úřad“) doporučuje při zřizování, resp. užívání transparentního účtu, dbát zejména na následující pravidla:

-       transparentní účet by neměl být využíván pro ty platby, které jsou přímo spojeny s výkonem veřejné moci vůči fyzickým osobám. Uvedené znamená, že tento účet by neměl sloužit pro individuální příjem správních poplatků, uložených pokut, výplatu sociálních dávek, svědečného, znalečného atd.;

-       z transparentního účtu by neměl být vyplácen plat zaměstnancům[6];

-       z/na transparentní účet lze naopak provádět takové platby, u kterých by kraj, obec, městská část jako povinný subjekt podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, byl v případě fyzických osob povinen poskytnout a zveřejnit shodné informace. Jedná se tedy o dodržení ustanovení § 8a[7] a § 8b[8] zákona č. 106/1999 Sb., a to včetně principu proporcionality při poskytování osobních údajů.

V případě rizika, že by provedení konkrétní platby prostřednictvím transparentního účtu mohlo vést k neoprávněnému zveřejnění osobních údajů, lze doporučit tuto platbu provést z běžného účtu a s tím související převod peněz mezi běžným a transparentním účtem pouze označit účelem dané platby (např. výplaty zaměstnanců, pokuta atd.). 

Transparentní účty spolků, nadací, apod.

Pro činnost spolků je z hlediska ochrany osobních údajů významné ustanovení § 236 zákona č. 89/2012 Sb., občanský zákoník[9]. Toto ustanovení upravuje podmínky, za kterých může spolek zveřejňovat seznam svých členů, resp. jej zpřístupňovat třetím osobám. Pokud bude daný spolek vybírat např. členský poplatek na transparentní účet a platby budou prováděny takovým způsobem, že z nich budou jednotlivé fyzické osoby identifikovatelné, tedy půjde o osobní údaje, mohlo by dojít k jednání, které bude v rozporu s občanským zákoníkem, a tedy i se zákonem č. 101/2000 Sb. Proto musí spolek vždy volit takový způsob výběru členských poplatků, resp. provádění plateb vůči svým členům, který bude v souladu s jeho stanovami, tzn. v souladu se stanoviskem jeho členů ke zveřejnění jejich seznamu dle § 236 odst. 3 zákona č. 89/2012 Sb.

V případě nadací může nastat problematická situace při zveřejnění osobních údajů dárce anebo osoby, které byl poskytnut nadační příspěvek. Podle § 358 odst. 3 písm. b) a d) zákona č. 89/2012 Sb. zveřejňuje nadace ve své výroční zprávě alespoň přehled o osobách, které poskytly nadační dar v hodnotě vyšší než 10.000 Kč, a přehled o osobách, kterým byl poskytnut nadační příspěvek v hodnotě vyšší než 10.000 Kč. To tedy znamená, že se nadace může rozhodnout zveřejňovat ve výroční zprávě i ostatní osoby, které poskytnou nadační dar anebo které obdrží nadační příspěvek. Současně je ovšem zákonem stanoveno, že dárce může požádat o zachování své anonymity; stejné právo má i příjemce nadačního příspěvku. Při poskytnutí nadačního příspěvku v hodnotě vyšší než 10.000 Kč může žádat o zachování anonymity jen člověk, jenž dostal nadační příspěvek z humanitárních důvodů, zejména z důvodů zdravotních (§ 359zákona č. 89/2012 Sb.). Každá nadace by proto měla s těmito možnostmi počítat a při využití transparentního účtu postupovat tak, aby zákonem předvídanou ochranu soukromí dárce nebo příjemce nezmařila.

Z výše uvedeného lze dovodit následující pravidla:

-       nadační příspěvek přesahující částku 10.000 Kč, který nebyl poskytnut z humanitárních důvodů, může být vyplacen z transparentního účtu bez omezení, neboť jeho příjemce bude vždy uveden ve výroční zprávě, a jedná se tedy o již zveřejněné osobní údaje;

-       ostatní nadační příspěvky by měly být vypláceny z transparentního účtu anonymně tak, aby nebylo předem zabráněno příjemci požádat o zachování anonymity[10];

-       je vhodné dárci umožnit poskytnout nadační dar na transparentní účet anebo na běžný účet tak, aby svojí volbou vyjádřil také svůj postoj ke zveřejnění informací o své osobě.

Další právní otázky související s transparentními účty

Z dalších otázek souvisejících se zpracováním osobních údajů při využití transparentních účtů je nutno zmínit problematiku plnění informační povinnosti vůči subjektu údajů. Při platbě na transparentní účet by měl být plátce vždy předem informován o tom, že platbu činí na transparentní účet a že jeho osobní údaje budou zveřejněny, přičemž s ohledem na obecnou znalost institutu transparentního účtu postačí, pokud k číslu účtu bude vždy doplněna informace o tom, že se jedná o transparentní účet. Tato povinnost správce osobních údajů vyplývá z § 11 odst. 1 zákona č. 101/2000 Sb.

V opačném případě, pokud jsou peníze fyzické osobě z transparentního účtu vypláceny, by měl správce vhodným způsobem příjemce (tj. subjekt údajů) informovat o povaze účtu a zveřejnění osobních údajů. V některých případech se ovšem na správce může vztahovat výjimka z informační povinnosti dle § 11 odst. 3 písm. b) zákona č. 101/2000 Sb., za podmínky, že osobní údaje nezíská přímo od subjektu údajů.

Je nutné upozornit na zcela nevhodnou praxi spočívající v identifikaci plateb, resp. osob provádějících platbu, prostřednictvím rodného čísla jako variabilního symbolu. V případě všech transparentních účtů nabízených na českém trhu je variabilní symbol údajem, který je zveřejňován, a proto dochází také ke zveřejňování rodného čísla. Úřad proto doporučuje volit jako variabilní symbol jinou číselnou kombinaci, která neobsahuje další informace o dané osobě.

Také je nutno zmínit možnost zprostředkované platby, kdy za fyzickou osobu provádí platbu na transparentní účet třetí osoba (např. zaměstnavatel formou srážky ze mzdy). Mzdové a účetní informační systémy by měly být přizpůsobeny tak, aby v detailech transakcí (zpráva pro příjemce) omezily předávání osobních údajů.

Pokud je transparentní účet zveřejňován na webových stránkách banky, která jej zřídila, vystupuje tato banka vůči správci, tedy majiteli účtu, v postavení zpracovatele osobních údajů. V takovém případě smlouva o zřízení transparentního účtu rovněž musí splňovat náležitosti smlouvy o zpracování osobních údajů dle § 6 zákona č. 101/2000 Sb.

Podle § 16 odst. 1 zákona č. 101/2000 Sb. má každý správce povinnost oznámit zpracování osobních údajů Úřadu. Jelikož se na výše popsané zpracování osobních údajů nevztahuje žádná z výjimek uvedených v § 18 odst. 1 zákona č. 101/2000 Sb., je nutné, aby správci tato zpracování předem u Úřadu registrovali.[11]

Povinnost správce, resp. zpracovatele, zabezpečit osobní údaje dle § 13 zákona č. 101/2000 Sb. se v případě transparentního účtu zúží především na povinnost zabezpečit zveřejněné osobní údaje před jejich neoprávněnou změnou, tedy před tím, aby do zveřejněných osobních údajů někdo neoprávněně zasahoval.

Závěr

Transparentní účty jsou stále rozšířenějším způsobem, jakým různé subjekty činí svoje nakládání s finančními prostředky veřejně kontrolovatelným. Současně je ovšem nutné si uvědomit, že i tímto způsobem může docházet ke zveřejňování osobních údajů, a to mnohdy bez vědomí dotčených osob. Z tohoto pohledu se transparentní účty mohou jevit jako problematické, neboť neumožňují správci zasáhnout do zveřejňovaných údajů a případně v nich provést anonymizaci údajů. Je proto nutné, aby si správci při zřízení transparentního účtu byli předem vědomi svých povinností z pohledu zákona č. 101/2000 Sb., a využití a nastavení transparentního účtu tomuto přizpůsobili.

 



[1] Podle stavu právních předpisů k 1. červenci 2014.

[2] Osobním údajem je dle § 4 písm. a) zákona č. 101/2000 Sb. jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

[3] Informace o tom, že účet příjemce je transparentním účtem, musí být v takovém případě uváděna vždy ve spojení s číslem účtu tak, aby se dostala každému, kdo na tento účet bude převádět finanční prostředky.

[4] K otázce souhlasu blíže viz stanovisko Úřadu pro ochranu osobních údajů č. 2/2008 – Souhlas se zpracováním osobních údajů.

[5] Uvedené se tedy nevztahuje např. na příspěvky na dobročinné účely apod., kdy je čistě na volbě dárce, zda bude akceptovat zvolený transparentní účet a příspěvek poskytne, anebo nebude a příspěvek neposkytne.

[7] § 8a zákona č. 106/1999 Sb. uvádí, že „Informace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje povinný subjekt poskytne jen v souladu s právními předpisy, upravujícími jejich ochranu“.

[8] § 8b zákona č. 106/1999 Sb. uvádí v odst. 1 „Povinný subjekt poskytne základní osobní údaje o osobě, které poskytl veřejné prostředky.“

              v odst. 2 „Ustanovení odstavce 1 se nevztahuje na poskytování veřejných prostředků podle zákonů v oblasti sociální, poskytování zdravotních služeb, hmotného zabezpečení v nezaměstnanosti, státní podpory stavebního spoření a státní pomoci při obnově území.“

              v odst. 3 „Základní osobní údaje podle odstavce 1 se poskytnou pouze v tomto rozsahu: jméno, příjmení, rok narození, obec, kde má příjemce trvalý pobyt, výše, účel a podmínky poskytnutých veřejných prostředků.“

[9] § 236 zákona č. 89/2012 Sb. uvádí v odst. 1  „Vede-li spolek seznam členů, stanovy určí, jakým způsobem provádí v seznamu členů zápisy a výmazy týkající se členství osob ve spolku. Stanovy dále určí, jak bude seznam členů zpřístupněn, anebo že zpřístupněn nebude.“

               v odst. 3 „Seznam členů může být uveřejněn se souhlasem všech členů, kteří jsou v něm zapsáni; při uveřejnění neúplného seznamu členů musí být z něho patrné, že je neúplný.“

[10] § 359 odst. 2 zákona č. 89/2012 Sb. uvádí, že „Nadace zachová anonymitu, doručí-li jí oprávněné osoby žádost před schválením výroční zprávy. Člověk, jenž dostal nadační příspěvek z humanitárních důvodů, však může uplatnit své právo na anonymitu kdykoli, jestliže jej nadace o jeho právu při poskytnutí příspěvku nepoučila; má se za to, že poučení nebylo dáno.“

[11] Výjimkou je situace, kdy by členové spolku dali souhlas se zveřejněním svých osobních údajů, nemusel by tento spolek zpracování registrovat na základě § 18 odst. 1 písm. c) zákona č. 101/2000 Sb.

 

Odkazy


Hesla rejstříku této stránky

 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 11.9.2014 / 11.9.2014

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém