Nové evropské nařízení o ochraně osobních údajů známé pod zkratkou GDPR začne platit až v květnu příštího roku. Už teď ale lidé, kteří si přijdou do banky otevřít účet, narazí na některé novinky. V největších bankách už tak dostávají jasnou informaci o tom, co banka dělá s jejich osobními údaji. Souhlas se zpracováním dat klientů pro marketingové účely se podle nových pravidel už nesmí skrývat v hloubi všeobecných obchodních podmínek. Finanční sektor ale má svá specifika, a ačkoliv by se mohlo zdát, že citlivá data klientů jsou ve světě svázaném přísným bankovním tajemstvím jako v trezoru, opak je někdy pravdou.

Celý "koktejl" osobních údajů banky i další finanční instituce sbírají ze zákona. K tomu souhlas klientů nepotřebují. Podle zákona proti praní špinavých peněz například získávají jejich jméno, adresu a rodné číslo. Finančníci musí údaje klientů archivovat deset let po ukončení obchodního vztahu. Žádat výmaz těchto dat, jako v případech zaručených GDPR, tady lidé nemohou.

Bez souhlasu se obejde také zasílání klientských dat například Garančnímu systému finančního trhu − nástupci známějšího fondu pojištění vkladů. "Banky mají povinnost garančnímu systému posílat údaje klientů, které jsou stanoveny v rámci zákona o bankách," popisuje odborný asistent Mendelovy univerzity v Brně a právník advokátní kanceláře Havel, Holásek & Partners Libor Kyncl. Data klientů včetně čísla účtu teď nově směřují i do vznikající centrální evidence účtů.

Co je GDPR?

General Data Protection Regulation je nové nařízení EU, které výrazně zvýší ochranu osobních dat.

Nové systémy i formuláře

Typickým případem, kdy se naopak banky budou muset podřídit novým pravidlům, je využití osobních údajů v marketingu. Tady už se bez souhlasu klientů neobejdou. Klient musí text souhlasu dostat odděleně od dalších ujednání smlouvy, a navíc srozumitelně. Pro finančníky to znamená, že pokud chtějí posílat klientům reklamní sdělení i po 25. květnu příštího roku, musí jim o souhlas se zpracováním osobních údajů říct znovu.

Největší banky v Česku mají několik milionů klientů, splnit nové nařízení pro ně tak nebude lehké. Bez ohledu na to, že stále chybí závazný celoevropský výklad, jak přesně mají souhlasy vypadat, největší banky už se sbíráním těch nových začaly.

Seriál HN k ochraně dat GDPR

1. 11.

Únik dat

8. 11.

GDPR a zaměstnanci

15. 11.

Kybernetická bezpečnost

Například Česká spořitelna, která je největší bankou na trhu, se do toho pustila v polovině července. "Dnes prostřednictvím pobočkové sítě sbíráme tisíce souhlasů denně," říká ředitel řízení nefinančních rizik a compliance České spořitelny Michal Němec. "Máme téměř pět milionů klientů. Prostou aritmetikou tak dojdeme k tomu, že potřebujeme mnohem více času než dva měsíce, které bychom měli, kdybychom se sběrem souhlasů začali až po zveřejnění oficiálního stanoviska," vysvětluje. To se totiž čeká až v únoru.

Nové žádosti o souhlas jsou tím nejviditelnějším projevem GDPR, na který klienti České spořitelny zatím narazí. Banka na změnách už ale pracuje rok, dokončit by je měla příští rok v květnu, kdy nařízení začne platit. Přípravu spojila s celkovou revizí práce s osobními daty.

Výsledky se promítají do vnitřních dokumentů banky, formulářů, které předkládá klientům, a vyžádaly si i změny IT systémů. "Vytváříme centrální software, který nám bude řídit účely zpracování souhlasů. Bude automaticky kontrolovat, kde máme oprávnění, kde je potřeba provést výmazy dat, protože jsme pozbyli účelu jejich zpracování," popisuje Němec. Celkové náklady České spořitelny na nová řešení přijatá kvůli nařízením o ochraně dat překročí 100 milionů korun.

Menší hráči novinky teprve analyzují

Do příprav na nové evropské nařízení se už pustily ale i menší finanční instituce, včetně záložen a nových úvěrových platforem. "Máme za sebou analýzu všech procesů, na které bude mít nové nařízení dopad. Nyní jsme ve fázi zavádění změn," říká šéf peer-to-peer platformy Zonky Pavel Novák. Změny se podle něj dotknou asi stovky procesů ve firmě, úpravy čekají podobně jako v České spořitelně i IT systém Zonky.

Říct si bude muset klientům také o nové souhlasy se zpracováním osobních údajů. Kdy s tím ale začne a jakým způsobem uživatele osloví, zatím neřeší, ačkoliv jde o záležitost nejvyšší důležitosti. V některých případech totiž neudělení nového souhlasu může vést i k tomu, že portál nebude moci uživateli poskytovat své služby. "Bude to například tehdy, pokud nám klient neumožní vyhodnotit bonitu a rizikovou kategorii k poskytnutí úvěru," upozorňuje Novák. Protože ale Zonky má řádově méně klientů než spořitelna, měla by sběr souhlasů zvládnout rychleji.

Teprve v začátcích jsou pak přípravy na nové povinnosti u finančních start-upů. Některé teprve začínají kontaktovat právníky s žádostí o radu, jak si s novinkami poradit. "V tuto chvíli dokončujeme důkladnou právní analýzu dopadů nařízení. Část jsme již odpracovali v rámci projektu Twisto karta a část příslušných změn budeme implementovat na počátku příštího roku," říká Michal Kročil, manažer řízení rizik společnosti Twisto, která v rámci svých služeb umožňuje zákazníkům odložit platbu za zboží nakoupené v e-shopech až na dobu, kdy ho mají vyzkoušené.

Chybějí hranice pro sdílení dat

Pro Twisto nařízení znamená zvýšenou administrativní zátěž a náklady, které start-up zatím jen rámcově odhaduje na několik milionů korun ročně. Kvůli novinkám ho čekají technologické a organizační změny a klientům si bude muset říct také o nové souhlasy se zpracováním údajů. V jakých případech je bude potřebovat a kdy bude mít na klientská data nárok ze zákona, zatím analyzuje. "Komunikace s klienty bude probíhat v prvním čtvrtletí příštího roku," upřesňuje plány Kročil.

Situaci finančních start-upů pak ještě více komplikuje nevyjasněný vztah mezi nařízením a směrnicí o platebních službách − další novou regulací, která finanční sektor sváže od ledna příštího roku. Nevyjasněná je třeba otázka práva na přenositelnost údajů mezi správci dat ve vztazích regulovaných novou směrnicí. "V tomto směru zatím chybějí hranice, které budou odlišovat přenosy dle jednotlivých právních předpisů," vysvětluje advokát Rowan Legal Michal Nulíček. To by mohlo očekávaný rozvoj finančních start-upů, který má směrnice nastartovat, naopak zbrzdit.