Oč jsou daná ustanovení zákona stručnější, o to více praktických otázek nabízejí. Otázek týkajících se jak okruhu chráněných osob, informací, které institutu bankovního tajemství podléhají, a rovněž aplikací jednotlivých výluk.

Česká národní banka dne 1. listopadu 2021 zveřejnila komplexní stanovisko k některých otázkám týkajícím se praktické aplikace bankovního tajemství. Toto stanovisko na řadu otázek či praktických nejasností odpovídá.[1] V následujícím článku toto stanovisko stručně shrnu a pokusím se odpovědět i některé další otázky či nejasnosti, které jsou pro praxi rovněž důležité.

Osobní údaje vs. bankovní tajemství

Neméně zajímavý aspektem je vztah úpravy bankovního tajemství a obecné regulace zpracování osobních údajů. Pojem osobní údaj je v čl. 4 bod 1 obecného nařízení o ochraně osobních údajů (GDPR)[2] definován jako jakákoliv informace, která se týká identifikované nebo přímo či nepřímo identifikovatelné fyzické osoby. Informace chráněné bankovním tajemstvím jsou pak v zásadě veškeré údaje týkající se klientů či bývalých klientů využívajících nebo majících zájem využít některou platební službu poskytovanou bankou.

Je zjevné, že v případě klientů, fyzických osob, se tyto dvě množiny informací do velké míry překrývají. Stanovisko ČNB se vztahem příslušné úpravy v zákoně o bankách a v GDPR částečně zabývá, nicméně i zde podle mého názoru stojí několik dalších bodů za vyjasnění. Nebo alespoň za formulování klíčových otázek, které si zaslouží další diskusi.

Úprava bankovního tajemství v zákoně o bankách

Rozsah bankovního tajemství je fakticky upraven jedinou větou v § 38 odst. 1 zákona o bankách: „Na všechny bankovní obchody, peněžní služby bank, včetně stavů na účtech a depozit, se vztahuje bankovní tajemství.“ Zákon kromě toho v obecném rozsahu zakládá oprávnění bank shromažďovat a dále zpracovávat osobní údaje včetně rodného čísla nezbytné pro poskytování obchodů bez nepřiměřených rizik pro banku (§ 38).

Zákon o bankách dále obsahuje detailní a uzavřený (taxativní) výčet případů, kdy lze osobní údaje poskytnout další osobám. V principu jde o čtyři kategorie situací:

• Zpřístupnění nezbytné pro poskytnutí služby klientovi (např. poskytnutí informací bance, která vede účet příjemci platby)
• zpřístupnění orgánu dohledu (Česká národní banka) nebo některým dalším úřadům při výkonu jejich kompetencí (například Finančnímu analytickému úřadu, Úřadu pro dohled nad politickými stranami, soudnímu exekutorovi atd.)
• zpřístupnění nebo i zveřejnění nezbytné k ochraně práv banky či dalších subjektů (sdílení dat o bonitě klientů v bankovním registru, podání trestního oznámení nebo občanskoprávní žaloby, možnost, v praxi příliš nevyužívaná, zveřejnit informace o dlužníkovi banky)
• zpřístupnění těchto informací se souhlasem klienta, tedy osoby, které bankovní tajemství svědčí

Jaké informace podléhají bankovnímu tajemství?

První z otázek, kterou se komentované stanovisko České národní banky zabývá, je rozsah informací, které podléhají ochraně dle bankovního tajemství.

Česká národní banka k tomuto bodu upřesňuje, že bankovnímu tajemství podléhají informace o všech bankovních obchodech a peněžních službách bank. Těmito pojmy je, stručně řečeno, nutno rozumět veškeré informace o obchodních vztazích banky a konkrétní (fyzické či právnické osoby), stejně jako o poskytnutí jednorázové platební služby, např. umožnění vložení peněz na účet či výběru hotovosti z bankomatu. K této otázce ČNB upřesňuje, že i záznam z kamer zachycující identifikovatelnou osobu, jak využívá službu banky, např. vybírá z bankomatu, tudíž nutně obsahuje informace charakteru bankovního tajemství.

Nabízí se tudíž otázka, zda mohou existovat situace, kdy banka někomu poskytuje službu, ale informace o poskytování této služby a jejím příjemci bankovnímu tajemství nepodléhají. Zákon o bankách vymezuje možný okruh služeb nabízený bankou uzavřeným výčtem. Velkou většinu z možných činností je možné podřadit pod uzavírání bankovních obchodů nebo poskytování peněžních služeb, tedy nejen přijímání vkladů od veřejnosti a poskytování úvěrů, ale i např. vydávání elektronických peněz, poskytování záruk či investičních služeb, poskytování směnárenské činnosti nebo pronájem bezpečnostních schránek.[3]

Služby, které podle mého názoru naopak do vymezené kategorie nespadají, jsou především služby, řekněme, nefinančního charakteru. Jedná se především o činnost spočívající v poskytování identifikačních služeb, tedy poskytování elektronické identifikace, autentizace a služeb vytvářejících důvěru i poskytování nebo potvrzování osobních identifikačních údajů klienta. Druhou takovou službou pak může být výkon působnosti kontaktního místa veřejné správy.

Informace o poskytování služeb uvedených v předchozím odstavci ochraně dle bankovního tajemství nepodléhají. To však neznamená, že s nimi banka může nakládat libovolně, například využívat je k profilování či marketingovému oslovování klienta. Pokud klientem bude fyzická osoba, pak je vždy rovněž nutno aplikovat GDPR, které pro zpracování těchto informací, osobních údajů, stanovuje detailní pravidla.

Není souhlas jako souhlas

Stanovisko České národní banky se zabývá i tím, jaké náležitosti musí splňovat souhlas klienta s poskytnutím informací charakteru bankovního tajemství dalšímu subjektu.  V praxi se typicky jedná o souhlas klienta se sdílením informací podléhající bankovnímu tajemství podnikům spřízněným s bankou, resp. tvořící s ní skupinu. K takovému sdílení pro některé účely, např. obsluhu klienta, by obvykle nebyl nutný souhlas se zpracováním osobních údajů podle GDPR, protože by toto zpracování bylo možné považovat za jednání v oprávněném zájmu banky či dalšímu člena skupiny podniků. Zákon o bankách však tento důvod ke sdílení informací podléhající bankovnímu tajemství, tedy oprávněný zájem, nezná, proto v těchto případech může banka data předávat jen se souhlasem klienta.

Česká národní banka k tomu uvádí, že takovýto souhlas musí především splňovat náležitosti pro právní jednání stanovené občanským právem. Musí tedy být projevem svobodné vůle, být učiněn vážně a vyjádřen určitě a srozumitelně. ČNB k tomu dodává, že jako jednostranné právní jednání může být tento souhlas uveden například ve smlouvě nebo obchodních podmínkách.

V tom je nutno rovněž spatřovat jistý rozdíl oproti souhlasu se zpracováním osobních údajů. U něj GDPR výslovně vyžaduje, aby v případě, kdy je udělován písemným prohlášením, které se týká rovněž dalších skutečností, byl souhlas od těchto jasně odlišen.[4] Na druhé straně, i v případě souhlasu se zpřístupněním informací bankovního tajemství, které je součástí komplexnějšího dokumentu, nesmí být tento souhlas pro klienta překvapivý či nejasný.

Pokud bychom tuto část měli shrnout, tak byť se v případě souhlasu se zpřístupněním informací podléhajících bankovnímu tajemství a souhlasu se zpracováním osobních údajů jedná o postup podle dvou odlišných právních předpisů, zákona o bankách a GDPR, fakticky si jsou tyto dva úkony velmi blízké. Pokud bude souhlasy udělovat fyzická osoba, pak je jistě možné, aby bylo vyjádřeny jedním jednáním, např. prostřednictvím jednoho formuláře. V takovém případě je důležité, aby toto jednání splňovalo náležitosti vyžadované oběma předpisy a aby bylo transparentní. Jinými slovy, klientovi musí být zřejmé, ke zpřístupnění jakých informací dává souhlas a že se jedná jak o jeho osobní údaj, tak o informace charakteru bankovního tajemství.

Kdo je vlastně klientem banky?

Česká národní banka vykládá shora uvedené ustanovení zákona po bankách tak, že za klienta banky je při posuzování institutu bankovního tajemství nutno považovat každého, kdo má nebo v minulosti měl s bankou obchodní vztah, a stejně tak každého, kdo s bankou vedl nebo vede jednání o uzavření bankovního vztahu bez ohledu na to, jak jednání dopadlo. ČNB tedy aplikuje extenzivní výklad, kdy každá osoba, která čerpala nebo čerpá některou výše vymezenou bankovní službu, ať už na základě písemné smlouvy či jednorázově, nebo která banku o poskytnutí některé produktu, typicky úvěru, požádala, je osobou, jíž svědčí bankovní tajemství.

I tato část komentovaného stanoviska může přinést dílčí výkladové problémy. Zejména u osob, které jednorázově využijí platební službu, u které se nemusí identifikovat, může být komplikované získat jejich souhlas s využitím informací podléhající bankovnímu tajemství. Pokud by banka hodlala tyto informace využít, aniž by jí k tomu svědčil některý z právních titulů uvedených v zákoně o bankách, bylo by prakticky velmi obtížné získávat prokazatelný souhlas takovýchto klientů.

Outsourcing a postoupení pohledávky není porušením bankovního tajemství

Komentované stanovisko se vyjadřuje i ke dvěma velmi častým situacím, kdy v praxi dochází nebo může docházet ke zpřístupnění informací o konkrétních klientech banky další osobě.

Prvním z nich je outsourcing čili zajištění určité činnosti, kterou by jinak dělala banka, prostřednictvím další osoby.[5] Česká národní banka k tomu uvádí, že v takovém případě dodavatel, poskytovatel outsourcingu, pro banku vykonává činnosti, které by jinak banka vykonávala sama. Informace mu tedy nejsou předány pro využití za jeho vlastním cílem, ale pouze pro zajištění outsourcované služby. Z toho důvodu se nejedná o průlom do bankovního tajemství a k využití poskytovatele outsourcingu není nutné hledat některý z právních titulů pro zpřístupnění těchto informací, tím méně souhlas klienta.

Podle mého názoru je nutné tento výklad vztáhnout i na další situace, kdy banka určitou činnost řeší dodavatelsky, nicméně se nejedná o outsourcing ve smyslu příslušné regulace. Takovým případem může být např. využití služeb advokátní kanceláře pro zastupování banky ve sporu s klienty.[6] Ač se rovněž jedná o zpřístupnění osobních údajů další osobě odlišné od banky, opět půjde o situaci, kdy tato třetí osoba informace zpracovává pro banku a v jejím zájmu. Navíc, pokud podle ČNB není důvodné považovat za prolomení bankovního tajemství zpřístupnění informací o klientovi poskytovateli outsourcingu, tím méně důvodné by to bylo u poskytovatele méně rizikové a méně regulované služby.

Česká národní banka rovněž dovozuje, že bez souhlasu klienta lze sdělit informace podléhající bankovnímu tajemství v situaci, kdy banka postupuje pohledávky za svými klienty dalším osobám. V této části však nejsou možnosti banky neomezené. S ohledem na uzavřený výčet právních titulů ke zpřístupnění těchto informací lze aplikovat jen důvod uvedený v § 38b zákona o bankách, podle kterého lze tyto informace další osobě předat jen tehdy, je-li to potřebné pro účely plnění pravidel obezřetného podnikání. Tento právní důvod v sám sobě obsahuje jisté omezení: Aby postoupení pohledávek, resp. související zpřístupnění informací podléhajících bankovnímu tajemství, mohlo proběhnout bez souhlasu klienta, je nutné, aby banka byla schopna doložit, že postoupení pohledávky bylo součástí jejího obezřetného podnikání. Typicky se jedná o případy, kdy je z pohledu banky efektivnější problematickou pohledávku postoupit (prodat) nebo je hospodárnější zvýšit si likviditu prodejem určitého portfolia než například úvěrem od jiné instituce.

Poskytování informací úřadům

Stanovisko upřesňuje některé spíše formální nebo procesní aspekty poskytování informací oprávněným úřadům, např. rozsah či lhůtu pro zpřístupnění požadovaných dat. Tato část komentovaného stanoviska podle mého názoru žádné další otázky nepřináší, proto si zájemce dovolím odkázat na stanovisko samotné.

Shrnutí vztahu bankovního tajemství a GDPR

Pokud je klientem banky nebo zájemcem o produkt banky fyzická osoba, pak informace o jeho využívání bankovních produktů a související skutečnosti můžeme ve velké většině podřadit jak pod pojem osobní údaje, tak informace chráněné bankovním tajemstvím.

Na druhou stranu, osobními údaji jsou i data o neklientech banky, které má banka k dispozici, nebo data klientech, kteří využívají některé specifické služby, zejména identifikaci či služby kontaktního místa veřejné správy. Z opačného úhlu pohledu pak můžeme konstatovat, že informace o právnických osobách jako o (současných či bývalých) klientech banky nebo zájemcích o bankovní produkty jsou informacemi charakteru bankovního tajemství, nikoliv však osobními údaji v režimu GDPR. GDPR totiž dopadá pouze na informace týkající se fyzických osob.

V praxi je proto nutné při každém procesu, který zahrnuje zpřístupnění informací o klientech banky dalším subjektům, na prvém místě posoudit, zda se jedná o informace podléhající bankovnímu tajemství nebo o osobní údaje. Následně je nutné uplatnit některý, či případně oba, z dotčených předpisů. Zákon o bankách, který obsahuje především výčet právních titulů pro zpřístupnění chráněných informací, pro bankovní tajemství a GDPR s jeho detailními pravidly pro zpracování osobních údajů.

Mgr. František Nonnemann

Autor je členem Výboru Spolku pro ochranu osobních údajů.

Článek vyjadřuje osobní názor autora.

e-mail: nonnemann@volny.cz