KYC VE SVĚTLE GDPR Ing. Miroslav Červenka Katedra financí, Fakulta ekonomických studií Vysoká škola finanční a správní, a.s.

Záměr reakce na nabytí účinnosti nařízení EP a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Nařízení) konfrontuje zásady ochrany osobních údajů s požadavky na aplikaci zásad Poznej svého klienta poukazuje na některé možné problémy, které mohou u finančních institucí nastat v souvislosti s právy fyzických osob

Požadavky na kontrolu klientů 40+9 doporučení FATF doporučuje mj. hodnotit riziko klienta a rizikové faktory zkoumat obchody a transakce klienta průběžně kontrolovat klienty Zákon č. 253/2008 Sb. požaduje mj. aplikovat přístup založený na posouzení rizik klienta klienti se musí podrobit kontrole povinných osob (z RIA) Vyhláška ČNB č. 281/2008 Sb. ukládá mj. provádět kategorizaci klientů zjišťovat rizikové faktory klientů přijímat odpovídající postupy vůči klientům s rizikovým faktorem (včetně země původu, původ peněžních prostředků, účel obchodního vztahu, riziko předmětu činnosti, PEP)

Požadavky na kontrolu – pokr. Vyhláška ČNB č. 67/2018 Sb. (účinnost od 1.10.2018) stanoví požadavky na postupy provádění kontroly klienta mj. s ohledem na zemi původu klienta rizikový profil klienta povolání klienta bydliště klienta chování klienta využívání produktů klientem původ peněžních prostředků klienta původ majetku klienta možnost využívání automatizovaného systému hodnocení rizikovosti klienta postupy pro odmítnutí obchodu s klientem situace, kdy má klient vždy profil s vyšším rizikem

Hodnocení rizik povinných osob SVZ obsahuje musí obsahovat mj. rizikové faktory rizikovou kategorizaci klientů rizikovou kategorizaci produktů zesílenou kontrolu klientů Rizikové faktory jsou mj.: země původu nebo transakce nejasný původ peněžních prostředků neobvyklý způsob uskutečnění obchodu rizikové povolání nebo předmět činnosti bydliště v rizikové oblasti využívání rizikových obchodů ! (viz dále)

KYC dle ČNB Povinnost mít zásady KYC jako součást VŘKS byla stanovena už v opatření ČNB č. 1/2003: v návaznosti na to stanovena povinnost mít politiku přijatelnosti klienta uchovávat o klientovi takové informace, které umožní vyhodnocovat, zda se jedná o rizikového klienta provádění kategorizaci klientů (i automatizovaně!) – podle doporučení Basilejského výboru pro bankovní dohled „Customer due Diligence“ nově vyhláška č. 67/2018 Sb. mj. stanoví postupy pro provádění kontroly klienta při zohlednění uznávaných principů a postupů (standardů) zveřejněných ČNB a metodických a výkladových materiálů účelem je na základě rizikových faktorů zajistit účinné řízení rizik definuje výkon zesílené kontroly klienta, včetně omezení jeho přístupu k některým produktům a službám

Zásady zpracování osobních údajů Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů – čl. 5 zákonnost souhlas subjektů údajů plnění smlouvy splnění právní povinnosti správce ochrana životně důležitých zájmů fyzické osoby splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci oprávněné zájmy správce (s omezením u zájmů subjektu údajů) korektnost transparentnost minimalizace údajů přesnost, integrita, důvěrnost omezení uložení

Dodržení zásad zpracování podle Nařízení Zákonnost: souhlas FO – nelze vynutit, zejména rizikové osoby neposkytnou plnění smlouvy – jen omezené údaje, nejvíce údajů u úvěrových produktů, akreditivů, záruk plnění právní povinnosti správce – základem je zákon č. 253/2008 Sb., dále např. zákon č. 257/2016 Sb. nebo č. 256/2004 Sb., ale jsou tam omezení (např. zjišťování údajů za účelem posouzení bonity) ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby – lze si představit např. při ochraně před podvodem, ale naráží to na povinnost mlčenlivosti splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci – přichází v úvahu jen u FAÚ oprávněné zájmy správce – sem by šlo zahrnout např. řízení reputačního nebo regulatorního rizika Minimalizace údajů – správce bude muset doložit, jaké údaje jsou nezbytné pro splnění povinností (např. řízení rizik). Ostatní zásady by při dodržení právních předpisů neměl být problém dodržet.

Zvláštní osobní údaje Výjimečně by mohly přicházet v úvahu etnický původ (spíše však státní občanství) náboženské vyznání (příslušnost k extrémistické náboženské skupině) Podmínkou zpracování je mj. souhlas FO – od těchto osob nepravděpodobné zpracování se týká údajů zjevně zveřejněných subjektem údajů (např. facebook) zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva EU nebo členského státu (zákon č. 69/2006 Sb. -boj s terorismem?; problém identifikovatelnosti fyzických osob)

Práva subjektu údajů Proti shora uvedeným povinnostem finančních institucí stojí práva subjektů údajů: informace získané od subjektu údajů – správce musí dělit mj. právní základ pro zpracování existenci práva FO požadovat přístup k osobním údajům možné důsledky neposkytnutí údajů na základě zákona nebo smlouvy informace o využití pro jiný účel zpracování (tedy např. i informace při posouzení bonity pro potřeby řízení AML rizika) údaje nebyly získány od subjektu údajů – povinnost informovat o zdroji, ze kterého pocházejí + skutečnost, že dochází k automatizovanému zpracování (alerty – varovná hlášení) právo subjektu údajů na přístup k osobním údajům!!! účely a kategorie osobních údajů příjemci (pozor – i do zahraničí, např. mateřským bankám) informace o zdroji informace o automatizovaném zpracování, vč. profilování, a důsledků

Uplatnění práv subjektu údajů finanční instituce budou muset zvažovat, zda zpracovávané osobní údaje za účelem řízení rizik jsou nezbytné a zda jejich případné sdělení na vyžádání klienta nepovede (třeba i masově) k odlivu klientů budou narážet na popírání přesnosti subjektem údajů, což může vést až ke stížnostem dozorovému úřadu nebo k žalobám (zejména u vypovídání smluv) budou čelit námitkám subjektů údajů proti zpracování osobních údajů a budou muset „prokázat závažné oprávněné důvody pro zpracování“ (např. proč zpracovávají informace o předchozím úvěrovém vztahu po lhůtě stanovené zákonem, když úvěr byl splacen; proč uchovávají informace o předchozím zdravotním stavu v souvislosti s životní pojistkou, když došlo ke změně pojistky na základě nového zdravotního stavu; proč uchovávají investiční dotazník, když došlo ke změně poměrů klienta a sjednání nových investičních produktů)

Odpovědnost finančních institucí „vhodně“ zajistit zpracování v souladu s Nařízením využívat pouze „vhodné“ zpracovatele zodpovídat za dodržování Nařízení a prokazovat je dodržovat požadavky AML legislativy dodržovat požadavky ČNB zohledňovat oprávněné požadavky subjektů údajů

Shrnutí – hlavní problémy k další diskusi přehodnotit osobní údaje klientů – fyzických osob v kontextu s jejich právem na informace o zpracovávaných osobních údajích předvídat námitky subjektů údajů proti přesnosti zpracovávaných osobních údajů (např. proti subjektivnímu hodnocení) zvážení, zda předchozí výkladové materiály ČNB obstojí při dodržování Nařízení zvážit, zda je adekvátní rizikovost klientů odvozovat od rizikovosti vlastních produktů revidovat předávání osobních údajů v rámci finanční skupiny (zejména managementu v zahraničí)