Banky patří v přípravách na GDPR − chystanou revoluci v ochraně osobních údajů − k premiantům. Přesto i ony čelí problémům. Nevědí třeba, zda podle nových pravidel zvládnou správně prověřovat schopnost klientů splácet úvěry, říká Margit Doležalová, expertka České bankovní asociace na ochranu osobních dat a pověřenec pro ochranu dat ČSOB.

HN: Jak se banky připravují na novinky v ochraně osobních údajů?

Je to dost individuální. Záleží na velikosti banky, na složitosti procesů a její technické architektuře a infrastruktuře. Většina větších bank už ale má hotové úvodní analýzy a zavádí změny, které pro ně z nařízení plynou. V rámci České bankovní asociace jsme více než před rokem obnovili činnost pracovní skupiny k GDPR. Spolupracujeme s advokátní kanceláří Rowan Legal, s níž diskutujeme některá specifika nařízení týkající se bankovního sektoru, jako jsou například archivační lhůty pro uchovávání osobních údajů dle specifických bankovních regulací.

HN: Jsou nějaké specifické problémy, které banky v souvislosti s novými pravidly trápí?

Řešíme hlavně interpretaci některých ustanovení nařízení. S Úřadem pro ochranu osobních údajů jsme už řešili například téma podoby souhlasů se zpracováním osobních údajů, rámcově i právo na přenositelnost údajů, výmaz dat nebo porušení zabezpečení osobních údajů, tedy hlavně to, jaké porušení úřadu oznamovat a v jakých případech to nebude potřeba.

Margit Doležalová

Zastává od letoška v ČSOB post pověřence pro ochranu osobních údajů, jehož vznik si vynutilo nové evropské nařízení GDPR. Předtím vystudovaná právnička pracovala v právních a compliance odděleních bankovních i nebankovních institucí.

HN: Co bylo za problém u přenositelnosti? Ta přece už dnes v bankovnictví funguje podle zákona o platebním styku.

Nařízení o ochraně osobních údajů stanovuje, že na žádost klienta musí správce přenést jeho data k jinému poskytovateli služeb. Řešili jsme zejména, jestli budeme moci využít stávající zákon o platebním styku jako speciální regulaci ke GDPR. Co se týče běžných účtů, tam nakonec není třeba nic měnit. S Úřadem pro ochranu osobních údajů jsme si potvrdili, že bankovní sektor je na mobilitu velmi dobře připraven.

HN: Stále se čeká na oficiální vodítka k podobě souhlasů se zpracováním osobních údajů. Velké banky už ale musely začít nové souhlasy sbírat. Jak těžké bylo vytvořit je bez oficiálního výkladu?

Abychom měli větší míru jistoty, než budou vodítka vydána, tak jsme tuto otázku diskutovali s Úřadem pro ochranu osobních údajů. Řešili jsme například, jestli může být v rámci souhlasu marketing uveden jako jeden účel, nebo musí mít správci dat souhlas ke každé jeho složce zvlášť.

HN: A k jakému závěru jste ohledně toho dospěli?

Marketing sice zahrnuje několik operací zpracování, před oslovením klienta tam třeba může probíhat rámcová analýza dat a pak teprve běží vlastní nabídka. Ale za předpokladu, že bude v textu souhlasu jasně uvedeno, co všechno marketing obsahuje, může být definován jako jeden účel. Při splnění této podmínky tedy můžeme žádat jen jeden souhlas pro marketing jako celek.

HN: Co všechno by se měl klient banky před podepsáním souhlasu dozvědět?

Především by se měl z textu souhlasu dozvědět účel zpracování, tedy důvod, proč správce dat osobní údaje zpracovává. Dále by tam měl být uveden rozsah zpracování, jinými slovy, které osobní údaje správce od klienta potřebuje. Třetí věc je, komu své osobní údaje ­klient dává. Měl by tam být minimálně obchodní název firmy a rozhodně je vhodné uvést i identifikační číslo. Pokud správce zamýšlí, že by osobní údaje klientů předával třetí straně, tak by měl v textu souhlasu příjemce dat uvést. Klient by měl také vždy dostat informaci o tom, že může svůj souhlas odvolat. Povinnou náležitostí souhlasu naopak není doba, po kterou se budou získané údaje zpracovávat. To znamená, že nemusí být součástí textu souhlasu. Doporučuji ale, aby ji správci pro úplnost zahrnuli alespoň do informací o zpracování osobních údajů, na které se může souhlas odkazovat.

HN: Banky si prověřují klienty v různých bankovních a nebankovních registrech. Bude jim to nově muset každý klient odsouhlasit?

O tom aktuálně diskutujeme v rámci České bankovní asociace s hlavním provozovatelem úvěrových registrů a se zástupci ministerstva financí a úřadu pro ochranu údajů. Směřujeme k tomu, aby do budoucna souhlas nebyl potřeba a zpracování bylo založeno na oprávněném zájmu, případně zákonné povinnosti. Banky jednají na základě smlouvy s úvěrovým registrem, proto budou případné změny iniciovány registry ve vztahu ke všem zúčastněným bankám.

HN: Je nějaký registr, u něhož jste si už teď jistí, že v něm budete moci prověřovat klienty bez jejich souhlasu?

Už teď funguje prověřování bank skrze Bankovní registr klientských informací, kde mají banky oporu v zákoně o bankách. Takže tam to už nyní funguje bez souhlasu.

HN: A jak je to s pozitivními registry, jako je třeba registr klientů, u nichž nedošlo k prodlení?

Pozitivní registry se dost často opírají o zákon o ochraně spotřebitele a tam lze očekávat, že pravděpodobně potřeba souhlasu zůstane.

HN: Kdyby klient nedal souhlas se svým prověřením v těchto registrech, co to pro banku bude znamenat? Bude mu moci vůbec poskytnout úvěr?

Snažíme se za Českou bankovní asociaci dosáhnout toho, aby se toto nestávalo, protože většina úvěrových registrů slouží k tomu, abychom byli schopni řádně vyhodnotit úvěruschopnost daného klienta. Určitě bychom byli neradi, aby dotazování do registrů bylo navázáno na souhlasy. Kdybychom toho nedosáhli, mohlo by to mít negativní vliv na řízení úvěrových rizik a posuzování úvěruschopnosti klientů. To po nás ale požaduje zákon o spotřebitelském úvěru a zákon o bankách.

jarvis_5a26d89b498e34d8c922e86f.jpeg
Margit Doležalová, expertka České bankovní asociace na ochranu osobních dat a pověřenec pro ochranu dat ČSOB.
Foto: HN – Michaela Danelová
Související