Shromažďování a uchovávání osobních údajů klientů bank

Dotaz:

Zrušil jsem svůj účet v bance, přičemž jsem byl informován, že nelze vyhovět mé žádosti o vymazání osobních údajů, které jsem použil při registraci, neboť banka je ze zákona povinna tyto údaje shromažďovat dalších 10 let.

Prosím o potvrzení, že toto je fakt a nelze tedy dosáhnout vymazání údajů o mé osobě z předmětné databáze.

Na začátku pár terminologických upřesnění. Nejedná se o shromažďování osobních údajů, ale o jejich uchovávání. Obě tyto činnosti se pak nazývají způsoby zpracování a samotný zákon č. 101/2000 Sb., o ochraně osobních údajů a změně dalších zákonů (dále jen "ZOOU") jich zná celou řadu (např. shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace). Jak shromažďování, tak uchovávání osobních údajů je v zákoně definováno.

Shromažďováním osobních údajů je systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování (§ 4 písm. f) ZOOU). Uchováváním osobních údajů je udržování údajů v takové podobě, která je umožňuje dále zpracovávat (§ 4 písm. g) ZOOU).

Shromažďování je tak vlastně první úkon, který správce osobních údajů (banka) s Vašimi údaji dělá. Tedy v podstatě to, že přijdete do banky a sepíšete s ní smlouvu, ve které uvedete Vaše osobní údaje. Uchovávání je vlastně popis situace, kdy má správce osobní údaje o Vaší osobě k dispozici. Aktivní činnost správce tu vlastně není a z hlediska zákona správce zpracovává osobní údaje uchováváním do té doby, než je zlikviduje, případně vymaže.

Nyní k Vašemu problému. Podle § 21 odst. 1 ZOOU máte právo, domníváte-li se, že správce provádí zpracování Vašich osobních údajů, které je v rozporu s ochranou Vašeho soukromého a osobního života nebo v rozporu se zákonem,

a) požádat správce nebo zpracovatele o vysvětlení,

b) požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.

Zpravidla se tyto žádosti odůvodňují nezákonností zpracování osobních údajů. Správce osobních údajů má totiž celou řadu povinností, které musí při zpracování osobních údajů plnit. Tou nejznámější povinností je povinnost zpracovávat osobní údaje se souhlasem subjektu údajů (§ 5 odst. 2 ZOOU). Nicméně z této povinnosti je celá řada výjimek a jednou z nich je i zpracování osobních údajů, které správce osobních údajů (banka) provádí kvůli dodržování právních povinností, zjednodušeně řečeno, že mu to nařizuje nějaký zákon.

V oblasti bankovnictví jsou minimálně dva zákony, které bankám stanovují povinnosti uchovávat osobní údaje. Prvním z nich je zákon č. 21/1992 Sb., o bankách ve znění pozdějších předpisů (dále jen "zákon o bankách") a zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění souvisejících zákonů, ve znění pozdějších předpisů (dále jen "zákon proti praní špinavých peněz").

Podle § 21 odst. 2 zákona o bankách je banka a pobočka zahraniční banky je povinna evidovat v rámci účetnictví odděleně obchody na účet klienta a obchody na účet banky nebo zahraniční banky. Doklady o uskutečněných obchodech jsou banky a pobočky zahraničních bank povinny uschovávat po dobu nejméně 10 let.

Zákon proti praní špinavých peněz uvádí, jak se mají klienti bank identifikovat (§ 1a odst. 3 písm. a)). U fyzické osoby to představuje zjištění jejího jména a příjmení, případně všech jmen a příjmení, rodného čísla nebo data narození, pohlaví, trvalého nebo jiného pobytu, jejich ověření z průkazu totožnosti, jsou-li v něm uvedeny, a dále ověření shody podoby s vyobrazením v průkazu totožnosti a ověření čísla a doby platnosti průkazu totožnosti a orgánu nebo státu, který jej vydal; jde-li o fyzickou osobu provozující podnikatelskou činnost, též zjištění její obchodní firmy, odlišujícího dodatku nebo dalšího označení a identifikačního čísla. Tato identifikace je však vyžadovaná jenom u jistých druhů obchodů (§ 2 zákona proti praní špinavých peněz).

Povinnost uchovávat uvedené údaje je stanovena v § 3 zákona proti praní špinavých peněz, který zní:

§ 3

Povinnost uchovávat stanovené údaje

(1) Povinná osoba v době trvání smluvního vztahu nebo při dalších obchodech kontroluje platnost a úplnost identifikačních údajů uvedených v § 1a odst. 3 a zaznamenává jejich změny.

(2) Identifikační údaje získané podle § 1a odst. 3 a § 2, kopie dokladů, nebo výpis příslušných identifikačních údajů z nich, předložených k identifikaci a v případě zastupování originál plné moci, uchovává povinná osoba po dobu 10 let od ukončení vztahu se zákazníkem. Údaje a doklady o obchodech spojených s povinností identifikace uchovává nejméně 10 let po uskutečnění obchodu . Povinná osoba uvedená v § 1a odst. 7 písm. k) (pozn. jedná se o právnickou nebo fyzickou osobu oprávněnou k obchodování s použitým zbožím, s kulturními památkami nebo s předměty kulturní hodnoty nebo ke zprostředkování takových obchodů nebo k přijímání věcí do zástavy) uchovává údaje a doklady po dobu nejméně 10 let, byla-li hodnota obchodu vyšší než 10 000 EUR, v ostatních případech tři roky po ukončení obchodu. Tato doba počíná běžet prvním dnem kalendářního roku následujícího po roce, ve kterém byl proveden poslední úkon obchodu známý povinné osobě.

Pokud tedy shrnu uvedenou situaci, tak domoci se úplného výmazu v době 10 let od zrušení účtu v bance nelze. V úvahu připadá pouze domoci se likvidace údajů, které by byly zpracovávány nad rámec uvedených povinností (nad rámec stanoveného účelu). Podle § 5 odst. 1 písm. d) ZOOU je možné shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu. Pokud by tedy byly shromažďované údaje nad rámec stanoveného účelu (např. otisky prstů), potom by bylo možné se s úspěchem domáhat jejich výmazu.