Implementace nové metodiky vyžaduje úpravu procesů jak při obsluze a identifikaci klientů, tak při celkovém hodnocení a řízení procesu pro předcházení legalizace výnosů z trestné činnosti a financování terorismu. Nutné je také upřesnit pravidla pro zpracování osobních údajů a aktualizovat vnitřní dokumentaci.
Kopírovat, nebo nekopírovat?
Kopírování občanských průkazů je obecně možné jen se souhlasem jejich držitele. Takto přímo a jednoznačně to uvádí § 39 písm. c) zákona č. 269/2021 Sb., o občanských průkazech: „Zakazuje se pořizovat kopii občanského průkazu bez souhlasu držitele občanského průkazu.“ Jen pro jistotu dodejme, že tento souhlas musí být svobodný a vědomý, nelze jím podmiňovat například poskytnutí služby nebo vstup do určitého objektu.
Jak už to v právu bývá, nic není úplně jednoduché.
Existují speciální zákony, které naopak kopírování občanských průkazu připouštějí. Někdy dokonce pořizování kopií dokladů přímo ukládají.
Typickým případem je zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu. V praxi se často používá pojem AML zákon, z anglické Anti-Money Laundering.
AML zákon se netýká jenom bank či pojišťoven, kde se s požadavky na identifikaci a doložení původu majetku běžný klient nejčastěji setkává. AML zákonem se totiž, alespoň při některých činnostech nebo poskytování určitých služeb, obvykle spjatých s převodem finančních prostředků, musí řídit daleko více subjektů, zejména:
Banky a spořitelní družstva
Poskytovatelé investičních služeb
Platební instituce, například platební brány či fintechy
Nebankovní poskytovatelé úvěrů, leasingu nebo jiných druhů půjček
Pojišťovny a pojišťovací zprostředkovatelé
Směnárny
Provozovatelé hazardních her, včetně těch online
Realitní zprostředkovatelé
Daňoví poradci, soudní exekutoři, advokáti a notáři
Obchodníci s uměleckými díly a starožitníci
A pozor, také všichni podnikatelé při obchodu v hotovosti, když částka obchodu překročí 10.000 euro. Což je přibližně čtvrt milionu českých korun.
Je kopie občanky pro identifikaci nutná?
Jedním z pilířů AML je jednoznačná identifikace klientů. Fyzických a právnických osob, ale i těch, kdo právnické osoby zastupují nebo se jinak podílejí na dispozici s finančními prostředky a dalšími hodnotami.
Je při identifikaci vždy nutné vždy pořizovat kopii předložených dokladů? AML zákon není v tomto bodě zcela jasný, když v § 9 odst. 8 říká: „Povinná osoba může pro účely tohoto zákona pořizovat kopie nebo výpisy z předložených dokladů.“
A právě slovo „může“ bylo předmětem dlouhých diskusí mezi dvěma úřady: Finančním analytickým úřadem (FAÚ) a Úřadu pro ochranu osobních údajů (ÚOOÚ).
Cílem činnosti FAÚ je předcházení a odhalování praní špinavých peněz. Proto pochopitelně tendoval spíše k přísnějšímu pohledu a častějšímu pořizování kopií dokladů. ÚOOÚ naopak zdůrazňoval ochranu práv fyzických osob a princip minimalizace údajů. Jinak řečeno, plošné kopírování občanek se ÚOOÚ nezamlouvalo.
Úřady spolu několik měsíců, nebo spíše několik málo let, diskutovaly, jak to tedy s tím kopírováním občanek je. A výsledkem je zbrusu nový metodický pokyn FAÚ č. 8 ze dne 17. srpna 2023, Kopírování průkazů totožnosti pro účely AML zákona. Metodický pokyn byl konzultován s ÚOOÚ a obsahuje i požadavky pro zpracování osobních údajů dle GDPR.
Metodika je účinná už od 1. září 2023. Pojďme si proto projít její hlavní dopady jak z pohledu AML zákona, tak podle GDPR.
Kopie dokladu jen při zvýšeném AML riziku
Regulované subjekty jsou povinny vyhodnocovat rizika, který z pohledu AML čelí. Podle jednotlivých procesů a nabízených produktů. Občanské průkazy, resp. identifikační doklady, mohou kopírovat jen tehdy, pokud je to z pohledu AML rizik nutné. Nejedná se o posuzování každého jednotlivého klienta, ale celého procesu či produktu, např. prvotní identifikace klienta, otevírání bankovního účtu, příjem a výplata hotovosti, jednání se statutáry právnických osob s komplikovanou majetkovou strukturou atd.
Souhlas? Není potřeba
Občanské průkazy se pro potřeby AML zákona kopírují bez souhlasu jejich držitele. Pokud je pro snížení AML rizik nezbytné, povinná osoba prostě klienta bez pořízení kopie občanky neobslouží.
Metodika doplňuje, že je vhodné tento důsledek uvést i ve smlouvě či obchodních podmínkách, aby se klient později nedivil.
Kopíruje se celá strana dokladu
V praxi se občas stále setkáváme s různými šablonami, košilkami atd., které při kopírování dokladů zakrývají některé údaje. Z pohledu minimalizace zpracování dat je to asi chvályhodné, ovšem takto pořízené neúplné kopie jsou v praxi jen málo použitelné. Proto metodika říká, že se kopírují celé strany, na kterých jsou AML relevantní údaje, včetně grafických prvků dokladu.
Stejná pravidla i pro elektronické kopie
Všechna pravidla platí pro fyzické (papírové) i elektronické kopie dokladů (scany). Forma kopie není důležitá, rozhoduje její kvalita a využitelnost pro navazující AML procesy.
Posouzení vlivu na ochranu osobních údajů
FAÚ a ÚOOÚ v metodice uvádějí, že právním titulem pro pořizování kopie dokladů a navazující zpracování osobních údajů bude veřejný zájem dle čl. 6 odst. 1 písm. e) GDPR. Dosavadní výklad pracoval spíše s plněním právní povinnosti dle písm. c) stejného ustanovení.
Tato na první pohled spíše formální změna má z pohledu GDPR dva praktické dopady.
Tím prvním je, že pro zpracování osobních údajů prováděném pro splnění právní povinnosti není nutné dělat posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment). Proč? Protože ho udělal, nebo alespoň měl udělat, zákonodárce. A organizace se stejně nemůže rozhodnout, jestli toto zpracování bude provádět, prostě je to její povinnost a hotovo.
U zpracování údajů prováděném ve veřejném zájmu, což nyní platí i pro kopírování dokladů, už tato výjimka vždy neplatí. V případě kopírování dokladů pro účely AML zákona je v metodice výslovně uvedeno, že posouzení vlivu na ochranu osobních údaj je nutno provést.
AML povinné subjekty proto budou muset provést, a zdokumentovat, posouzení vlivu kopírování dokladů a navazujícího zpracování dat do práv a svobod svých klientů, resp. všech osob, jejichž osobní průkazy budou kopírovat. Pozor, nejedná se o analýzu a hodnocení AML rizik, ale vyhodnocení rizik pro práva klientů a dalších dotčených osob.
Jak se uplatní GDPR námitka?
U zpracování osobních údajů prováděném ve veřejném zájmu může dotčená osoba uplatnit námitku proti zpracování.
Co to znamená?
Subjekt údajů může s ohledem na svoji specifickou situaci či jiné okolnosti požadovat, aby správce zpracování osobních údajů zastavil. V našem kontextu skartoval či vymazal pořízenou kopii občanského průkazu.
Bude muset AML povinná osoba námitce automaticky vyhovět a kopii dokladu odstranit? To záleží na okolnostech.
Důležité je zopakovat, že kopie se pořizuje a dále využívá bez souhlasu držitele dokladu. Podání námitky není totéž, jak odvolání souhlasu, důsledkem námitky není automatické ukončení zpracování dat. Subjekt údajů totiž musí námitku odůvodnit. A je na správci, aby doplňující informace posoudil a znovu zvážil, jestli je další zpracování osobních údajů v původním rozsahu pro dosažení veřejného zájmu nutné či ne.