Práva osob při ochraně osobních údajů

• souhlas splňoval všechny náležitosti právního úkonu, aby byl svobodný, vážný, určitý a srozumitelný;
• ten, kdo souhlas poskytuje, si byl vědom důsledku svého konání;
• ten, kdo souhlas poskytuje, byl předem informován, za jakým účelem, kým, na jak dlouho a konkrétně jaké jeho osobní údaje budou zpracovány;
• v případě očekávaného zpracování citlivých údajů byl souhlas učiněn výslovně;
• byl prokazatelný po celou dobu zpracování.

Jestliže je ke zpracování osobních údajů nutný souhlas, může osoba jednou udělený souhlas také kdykoli odvolat.

Bez souhlasu údajů může správce zpracovávat osobní údaje v případech, které výslovně stanoví zákon nebo je např. takové zpracování nezbytné pro uzavření, změnu nebo plnění smlouvy, k ochraně práv a právem chráněných zájmů správce apod.

Pokud získává správce osobní údaje od osoby, musí ji vždy poučit o tom, kdy je zpracování údajů dobrovolné a kdy povinné. Jestliže je povinné, musí být osoba poučena o této skutečnosti a také o následcích odmítnutí poskytnutí údajů.

Zvláštní pravidla platí pro nabízení obchodu nebo služeb. Správce může osobní údaje získané z veřejných registrů nebo svou činností používat pouze do té doby, než s tím osoba, které se osobní údaje týkají, písemně vyjádří svůj nesouhlas.

Zákon dává osobám právo zjistit, jaké osobní údaje o nich správce zpracovává a komu byly případně poskytnuty. Takovou informaci je správce povinen na vyžádání bez zbytečného odkladu poskytnout.

Banky musí nakládat s osobními údaji přiměřeně a transparentně

Zástupkyně ochránce šetřila stížnost na postup Úřadu pro ochranu osobních údajů. Ten podle stěžovatele neshledal porušení zákona ze strany banky, která i po zamítnutí žádosti o úvěr dál zpracovávala stěžovatelovy osobní údaje, přestože svůj souhlas odvolal. Podobných stížností přibývá s tím, jak se zvyšuje zájem lidí na ochraně osobních údajů. Lidem však přitom stále chybí dostatek informací o podmínkách zpracování osobních údajů v bankovním i nebankovním sektoru. Na ochránce se tak obracejí stěžovatelé, kteří nejsou schopni uplatnit svá základní práva vyplývající ze zákona o ochraně osobních údajů.

Přestože se působnost ochránce nevztahuje na banky, ale pouze na orgány státní správy, musela se v průběhu šetření zástupkyně ochránce zabývat nejen jednáním Úřadu pro ochranu osobních údajů, ale analyzovat i vlastní nakládání s osobními údaji v bankovním i nebankovním sektoru.

Jak zjistila, podmínky zpracování osobních dat v obou sektorech nejsou nastaveny optimálně a situace je neuspokojivá. Na vině je zejména skutečnost, že právní úprava je komplikovaná, nejednoznačná a zvýhodňuje postavení finančních institucí vůči klientům. Samotné banky mají navíc tendenci vykládat zákon o bankách a zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financováni terorismu široce, často na úkor ochrany soukromí klientů. Běžní občané pak mají pocit, že se při jednání s bankou ocitají v nerovném postavení a jejich údaje nejsou dostatečně chráněny.

Zákon dovoluje, aby banky zpracovávaly poměrně velké množství údajů bez souhlasu klientů v případech, kdy je to nezbytné pro plnění smlouvy, tj. pro účel bankovního obchodu nebo pro jednání o uzavření určité smlouvy (např. smlouvy o běžném účtu či smlouvy o úvěru).

Banky mají také povinnost postupovat obezřetně a přiměřeně právním a věcným rizikům, tedy tak, aby nepoškozovaly zájmy vkladatelů a neohrozily stabilitu a bezpečnost banky. Musí proto zjišťovat a zpracovávat údaje o osobách, včetně rodného čísla. Stejně tak mají povinnost zabezpečit identifikaci vkladatele při vedení jeho účtu a identifikační údaje vést po určitou dobu ve své evidenci. Takto získané a zpracované údaje jsou předmětem bankovního tajemství.

Celkový rozsah osobních údajů, které banky vyžadují, není podle zástupkyně ochránce často přiměřený účelu. Snaha o minimalizaci rizik spojených s poskytováním úvěrů vede banky ke shromažďování maximálního množství informací o klientovi, včetně např. kopírování osobních dokladů.

Jak zástupkyně ochránce rovněž zjistila, banky zpracovávají osobní údaje, i když obchod či vztah nebyl se zájemcem nakonec uzavřen. Převážná část informací o klientech bank je navíc předávána do Bankovního registru klientských informací (BRKI), aniž by k tomu byl vyžadován jejich souhlas. Děje se tak s odkazem na zákonem požadovanou obezřetnost a s ní spojenou nutnost výměny informací s ostatními bankami.

Ačkoliv zástupkyně ochránce chápe registr BRKI jako jeden z legitimních nástrojů plnění zákonné povinnosti, upozorňuje, že nediferencované předávání všech osobních údajů a kreditních operací (tedy i těch, které potencionálně neohrožují bezpečnost a stabilitu banky) do zmíněného registru, nerespektuje zásadu přiměřenosti zpracování dat a je vysoce problematické. Obecnou povinnost postupovat obezřetně nelze totiž neomezeně nadřazovat nad ústavně garantovanou ochranu soukromí.

Za jednoznačně nepřípustné je třeba považovat situaci, kdy se v registru nacházejí informace o klientech, kteří své závazky řádně splnili. V takovém případě není podle zástupkyně ochránce možné odůvodňovat zpracovávání osobních údajů povinnou obezřetností, protože tito klienti zjevně riziko pro bezpečnost či stabilitu banky nepředstavují.

Zákon o bankách by tak měl být v nejbližší době zpřesněn o uzavřený výčet osobních údajů a finančních operací, které lze do bankovního registru předávat bez souhlasu klientů.

Novelizace zákona by měla také vyřešit další spornou otázku – informování neúspěšného žadatele o důvodech neuzavření smlouvy či obchodu. V současnosti jsou totiž do BRKI zanášeny i informace o neúspěšných žadatelích, aniž by tito věděli, z jakého důvodu byli bankou odmítnuti. Negativní informace bez sdělení bližších podrobností je pak nepříznivým signálem pro další banky, přestože nemusí vypovídat o bonitě nebo důvěryhodnosti tohoto klienta obecně.

Pokud chce žadatel zjistit, jestli nebylo odmítnutí způsobeno nepřesnými nebo neaktuálními údaji evidovanými v bankovním registru, může požádat správce registru o výpis informací, které jsou o něm zpracovávány. Jak však zástupkyni ochránce upozornilo sdružení Iuridicum Remedium, částky za pořízení takového výpisu nejsou malé a výrazně převyšují náklady nezbytné na poskytnutí informace. Informace navíc nejsou poskytovány bez zbytečného odkladu, jak požaduje zákon o ochraně osobních údajů. I tento stav je proto třeba neprodleně napravit.

Novela zákona o bankách by také měla stanovit jasná pravidla pro propojení bankovního registru s nebankovními registry (např. Nebankovní registr klientských informací NRKI, registr dlužníků SOLUS. Do nebankovního registru se oficiálně mají dostávat pouze informace o dlužnících úvěrových a leasingových společností. Skutečnost je však taková, že prostřednictvím souhlasu může docházet k  propojení bankovního registru s nebankovními registry. Souhlas klienta je obvykle součástí všeobecných obchodních podmínek, kde se často uvádí, že osobní údaje budou vloženy do evidence v BRKI i NRKI. V klientech je vzbuzován dojem, že poskytnutí souhlasu je podmínkou uzavření smlouvy. K osobním údajům se tak dostávají i další instituce, které jinak nemají oprávnění k nahlížení do bankovního registru. Snadno tak získávají informace, které jsou fakticky předmětem bankovního tajemství. Klienti navíc nejsou poučeni, že předávání údajů do nebankovních registrů mají zcela ve své dispozici a udělený souhlas mohou kdykoli odvolat. Jestliže klient svůj souhlas s evidencí v nebankovním registru odvolá, správce evidence je povinen jeho osobní údaje neprodleně odstranit. Zástupkyně ochránce za této situace doporučuje, aby si klienti vždy pozorně přečetli veškeré podmínky smlouvy s vědomím svých ústavně garantovaných práv.

Nepřesné zpracování osobních údajů o adoptovaných dětech

Stížnosti na nakládání s osobními údaji se netýkají jen bankovního sektoru, ale i dalších sfér života, včetně orgánů státní správy.

Každý správce a zpracovatel osobních údajů je povinen zpracovávat pouze přesné osobní údaje a pravidelně je aktualizovat. Jak však zjistila zástupkyně ochránce, informační systém evidence obyvatel (ISEO) neobsahuje ve všech případech aktuální údaje, a to i za několikaletý časový úsek. Ministerstvo vnitra, které je ze zákona správcem ISEO, musí podle ní nést následky za chyby a nepřesnosti.

Zástupkyně ochránce šetřila několik případů, v nichž registr ISEO obsahoval nepřesné osobní údaje o osvojení a vazebních osobách osvojenců. Tyto informace byly zpřístupňovány a zpracovávány i jinými státními orgány, např. policií a soudy. Takový stav je z pohledu ochrany soukromí osvojenců i osvojitelů nepřípustný. V konkrétně šetřených případech byli osvojitelé opakovaně dotazováni různými státními orgány na místo pobytu původního rodiče jejich dětí nebo jim byla dokonce doručena doporučená zásilka na jméno biologické matky osvojeného dítěte. Státní orgány se stížnostem bránily s tím, že nepřesnou informaci získaly od ministerstva vnitra, resp. z registru ISEO.

Zástupkyně ochránce vytkla ministerstvu pochybení ve zpracovávání nepřesných údajů a navrhla, aby ministerstvo přijalo taková technická opatření, která by odhalila nesprávně zpracovávané osobní údaje. Ty by pak ministerstvo mělo blokovat, opravit či aktualizovat. Blokovaní údajů o osvojení (tj. vytvoření takového stavu, kdy se údaj neposkytuje dalším subjektům) však v současnosti technicky není možné.

Zástupkyně ochránce také apeluje na ministerstvo, aby umožnilo soudům dálkový přístup k údajům o osvojení. Tento údaj je poskytován pouze na písemné vyžádání, což je podle zástupkyně ochránce zcela nedostačující a navíc v rozporu se zákonem o soudech a soudcích.