Praní špinavých peněz, respektive opatření proti takovému praní. Oblast, které se i v našich hájích říká "AML", je pro mnoho subjektů v České republice neodmyslitelnou součástí compliance. Každá realitní kancelář, banka, advokátní kancelář, pojišťovna a další (tzv. "povinné osoby") musí mít nastaveny procesy, jak kontrolovat původ peněz, se kterými hospodaří a nakládají.
Právě původ peněz je v obchodování důležitý. V EU má kontrola vysokou prioritu a zkoumá se, zda peníze nepochází z trestné činnosti, podvodů, prodejů drog, nelegálního hazardu apod. A tak existují AML předpisy, které nastavují pravidla, jak mají povinné osoby postupovat při jednání se svými klienty a jejich prostředky.
Když chcete znát původ peněz, musíte znát osoby, které peníze předávají, dávají do úschovy, nakládají s nimi. A k jednoznačné identifikaci je prostě potřeba občanský průkaz, cestovní pas nebo jiný průkaz totožnosti.
Jak je to ale s těmito doklady z pohledu GDPR? Můžete je kopírovat? Pojďme si odpovědět.
Než se vydáme do vod souhlasů podle GDPR, nahlédněme pod pokliču § 8 odst. 2 zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu ↗ (prostě "AML"). Podle tohoto ustanovení totiž povinné osoby musí provést identifikaci klientů v případech vyjmenovaných v zákoně. Prostě si musí ověřit totožnost fyzických osob, se kterými jednají.
Dále pak podle § 8 odst. 11 tohoto AML zákona jsou povinné osoby zmocněny pořizovat kopie nebo výpisy z předložených dokladů, a to bez souhlasu klienta.
Tento článek dopodrobna nerozebírá, kdy je vůbec potřeba identifikaci provádět a kdy nikoliv. Pokud máte dotazy k tomuto, Roman Tomek ↗ je tím správným kontaktem.
Není potřeba polemizovat nad tím, zda kopie občanského průkazu obsahuje osobní údaje nebo ne. Svou povahou obsahuje občanka takové informace, že má dokonce svůj zákon - zákon č. 269/2021 Sb., o občanských průkazech ↗.
V § 39 písm. c) tohoto zákona se dočtete, že pořizovat kopie občanských průkazů je možné pouze se souhlasem držitele. Obdobně to platí i pro cestovní doklady (ty řeší § 2 odst. 3 zákona o cestovních dokladech ↗)
No a na závěr tady máme ještě GDPR, které v čl. 6 uvádí zákonnosti, podle kterých mohou být osobní údaje zpracovávány. V kontextu tohoto článku jsou důležité dvě zákonnosti:
Jenže tyto dvě zákonnosti vedle sebe neobstojí. Pokud totiž něco zpracováváte na základě souhlasu, může subjekt údajů takový souhlas odvolat. A pokud vám zákon říká, že něco máte dělat a vy i tak chcete souhlas, těžko poté umožníte odvolání souhlasu.
Navíc, pokud by byl vyžadován souhlas, musí být svobodný. Subjekt tedy do něj nemůže být nucen. A jak chcete prokázat svobodnost ve chvíli, kdy zákazníkovi řeknete, že mu neposkytnete službu, protože je obchod rizikový a bez kopie občanského průkazu s ním smlouvu neuzavřete? (je to řečnická otázka)
Kvůli této odpovědi si čtete tento článek, takže: ano, ale jen v některých případech. V jakých?
To se dozvíte níže.
Než si případy vyjmenujeme, jen krátké vysvětlení, proč je kopírování v některých případech možné bez souhlasu.
Podle metodického pokynu FAÚ totiž platí, že AML zákon je speciální předpis vůči zákonu o občanských průkazech (cestovních dokladech). Z racionálního pohledu tak je možné podle AML zákona kopírovat jakékoliv průkazy totožnosti (aniž je přímo zmíněna občanka nebo pas).
K pořizování kopií občanských průkazů bez souhlasu se použije jiná zákonnost, kterou jsme uvedli výše. Nejedná se o plnění právních povinností, nýbrž o plnění úkolu prováděného ve veřejném zájmu.
Proč? Protože AML zákon výslovně nestanovuje povinnost kopii pořizovat (pak by šlo o plnění právní povinnosti), ale pouze dává oprávnění tak činit (a protože se předchází protiprávní činnosti, je to určitě ve veřejném zájmu).
Pravidlo pro to, kdy pořizovat kopie je následující: "Kopie občanského průkazu se pořizuje v rizikových případech. Čím rizikovější, tím odůvodněnější kopie bude."
Jak poznat rizikový obchod? To musí být nastaveno v systému vnitřních zásad, který musí každá povinná osoba mít vydán.
Chcete pomoct nastavit systém vnitřních zásad? Kontaktujte nás ↗
V těchto modelových případech by mělo docházet ke kopírování občanských průkazů, a to bez souhlasu klienta:
Zde uvedený výčet je jen příklad. Každá profese může mít svá vlastní výkladová stanoviska. Například pro advokáty je vydán metodický pokyn, který obsahuje další konkrétní příklady. Pokyn je dostupný zde ↗.
Každý zaměstnanec by následně měl být se systémem hodnocení rizikovosti seznámen, aby věděl, v jakých případech má pořizovat kopie občanských průkazů.
Půjde zejména o případy, kdy je možné provést zjednodušenou identifikaci a kontrolu ve smyslu § 13 AML. Nebo jde o případy, kdy je klient osobně znám, nejsou pochybnosti o poskytnutých informacích a informace dávají ucelený přehled o jeho činnosti.
V takovém případe postačí na občanský průkaz pouze nahlédnout a nemusí se kopírovat.
Opět by mělo být v systému vnitnřích zásad vymezeno, co je a co není rizikové z pohledu pořízení kopií.
Nabízí se otázka. Co když si budu chtít získat souhlas? Z našeho pohledu je to v pořádku, jen musí být dodržena zejména svobodnost souhlasu. Prostě pokud vám subjekt souhlas neudělí, nemůže to znamenat neposkytnutí služby.
Když budete pořizovat kopie občanských průkazů nebo jiných dokladů totožnosti, nezapomeňte, že z pohledu GDPR musíte vyřešit ještě jednu velmi důležitou oblast, a tou je provedení DPIA.
Z metodického pokynu FAÚ totiž jednoznačně vyplývá, že musí být provedeno posouzení vlivu na ochranu osobních údajů - DPIA. Jedná se o písemné posouzení, jak je zpracování zabezpečeno, odůvodněno, jak jsou minimalizována rizika apod. Konrkétní náležitosti jsou uvedeny v čl. 35 GDPR.
Pokud budete chtít pomoct s přípravou DPIA, neváhejte se na nás obrátit ↗.
Jen ty části, na kterých jsou uvedeny údaje požadované AML zákonem. U cenostních pasů tak není potřeba kopírpovat stránky s vízy apod. Typicky se u občanských průkazu skenuje celý průkaz z obou stran. Neboť pouze na základě tohoto lze dostatečně posoudit integritu daného dokladu.
Kopie by také měla být pořízena barevně, protože je věrohodnější.
Aktualizovaný metodický pokyn FAÚ přinesl vyjasnění do toho, jakým způsobem kopírovat občanské průkazy. Kdybych měl jako autor tohoto článku vyjádřit svůj názor, tak řeknu: "Rozdělovat povolení a nepovolení pořizování kopií na rizikovost je hezké. Ale nepraktické. Představte si běžné pracovníky, kteří jednají s klienty a balancují nad tím, zda občanský průkaz pořídit či nikoliv. Je to neefektivní jak pro firmu, tak i zaměstnance samotného. Osobně bych se klonil k zavedení povinnosti kopii občanského průkazu učinit ve všech případech u povinných osob dle AML."
Jsem advokát specializující se na ochranu osobních údajů, e-commerce, compliance a související oblastí. Za dobu působení v kanceláři jsem provedl desítky firem audity, nastavením procesů souvisejících s technologiemi a právem. Chcete se se mnou potkat, domluvte si schůzku přes Calendly.