Kopírovat či nekopírovat průkazy totožnosti bez souhlasu subjektu údajů v souvislosti s opatřeními proti praní špinavých peněz?
Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil dne 13. května 2021 souhrnný materiál k prokazování totožnosti a zpracování osobních údajů. Mimo jiné se zabývá také otázkou kopírování občanských průkazů na základě zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (AML zákon). V případech, kdy dochází k uzavření smlouvy za fyzické přítomnosti klienta ÚOOÚ v zásadě dovodil, že pořizování kopií občanských průkazů by nemělo být plošné, ale odůvodněné v konkrétních případech, jinak by měla být kopie pořizována jen se souhlasem subjektu údajů.
Tento závěr ÚOOÚ se však rozchází s pozičním vyjádřením Finančního analytického úřadu (FAÚ), dozorového úřadu v oblasti opatření proti praní špinavých peněz, které je obsaženo v metodickém pokynu č. 8 „Kopírování průkazů totožnosti pro účely AML zákona“ ze dne 9. října 2020. Ten naopak oprávnění tzv. povinné osoby podle AML zákona (např. bank, realitních makléřů, notářů, advokátů, nebankovních poskytovatelů úvěrů či leasingu) k pořízení kopie občanského průkazu bez nutnosti výslovného souhlasu subjektu údajů považuje ve stejném případě za zákonný postup, kdy zároveň tuto praxi výslovně doporučuje. Cílem tohoto článku je zamyšlení nad touto diskrepancí a dalším postupem, zejména u nebankovních povinných osob , typicky při uzavření smlouvy za fyzické přítomnosti klienta.
Úvodem je třeba připomenout, že povinná osoba má dle AML zákona povinnost provést identifikaci klienta (ať už je klient fyzickou osobou nebo zástupcem právnické osoby) za jeho fyzické přítomnosti, identifikační údaje zaznamenat a ověřit podle předloženého průkazu totožnosti a dále zaznamenat si z něj některé údaje (druh a číslo průkazu, stát, popřípadě orgán, který jej vydal, a dobu jeho platnosti). Současně musí i ověřit shodu podoby s vyobrazením v průkazu totožnosti. Tomu odpovídá i zákonná povinnost klienta poskytnout povinné osobě informace, které jsou k provedení identifikace nezbytné, včetně předložení příslušných dokladů. Povinná osoba přitom dle ust. § 8 odst. 11 AML zákona „může pro účely tohoto zákona pořizovat kopie nebo výpisy z předložených dokladů a zpracovávat takto získané informace k naplnění účelu tohoto zákona, a to bez souhlasu klienta“.
Je nutné dodat, že u uzavírání obchodu distančním způsobem bez fyzické přítomnosti či v případě tzv. zprostředkované identifikace (u notáře nebo u kontaktního místa veřejné správy) AML zákon přímo stanoví povinnost kopii (sken) průkazu totožnosti pořídit, nicméně tyto případy identifikace nejsou předmětem tohoto článku.
Dále AML zákon upravuje povinnost provést takzvanou kontrolu klienta (zahrnující např. zjištění účelu obchodu, zjištění skutečného majitele atd.), přičemž v ust. § 9 odst. 8 výslovně stanoví, že povinná osoba „může pro účely tohoto zákona pořizovat kopie nebo výpisy z předložených dokladů“.
Ze shora uvedeného je zřejmé, že zákon při provádění identifikace a kontroly za fyzické přítomnosti klienta nestanoví „povinnost“, ale „oprávnění“ povinné osoby pořídit kopii předloženého dokladu, tj. i průkazu totožnosti. Novelou AML zákona č. 257/2020 Sb., účinnou od 1. ledna 2021, přitom bylo doplněno do § 8 odst. 11 uvedeného zákona, že tak lze činit i bez souhlasu klienta. Důvodem mělo být, aby klient nemohl odmítnout pořízení kopie podle § 15a odst. 2 zákona č. 328/1999 Sb., o občanských průkazech[1], dle kterého je „zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana, kterému byl občanský průkaz vydán, pokud zvláštní zákon nebo mezinárodní smlouva, kterou je Česká republika vázána, nestanoví jinak“.[2] Zároveň toto doplnění mělo přiblížit znění AML zákona požadavkům tzv. 4. AML směrnice[3], která zavádí povinnost členských států EU vyžadovat, aby povinné osoby v případě hloubkové kontroly klienta prováděly kopie dokumentů a informací, které jsou k provedení kontroly nezbytné. Otázka, proč rovnou zákonodárce nezavedl povinnost kopie provádět je nasnadě. Nicméně lze konstatovat, že doplnění ustanovení AML zákona nebylo úplně potřebné, jelikož ke stejnému závěru lze dospět výkladem. AML zákon je lex specialis k zákonu o občanských průkazech a umožňuje pořídit kopii občanského průkazu přímo bez dalších podmínek, tj. i bez prokazatelného souhlasu. To ale samozřejmě neznamená, že by se tak mělo dít zcela proti vůli nebo bez vědomí klienta. Je jasné, že pokud by klient průkaz totožnosti nepředložil vůbec, je identifikace zmařena a obchod nesmí být uzavřen. Pokud se ale klient vyjádří, že si nepřeje pořízení kopie občanského průkazu, identifikace je i tak stále možná, neboť postačí průkaz předložit a povinná osoba si pořídí výpis údajů. V některých případech, zvláště pak u rizikových klientů, u obchodů, které nesou znaky podezřelého obchodu, ale kopie občanského průkazu může sloužit jako významný důkazný prostředek o provedené identifikaci a kontrole a např. i pro další vyšetřování. Její pořízení by tak bylo skutečně vhodné, ne-li nezbytné.
Ze shora uvedeného je také zřejmé, že zákonodárce se při koncipování novely AML zákona otázkou pořízení kopie průkazu totožnosti v souvislosti se zpracováním osobních údajů vůbec nezabýval.
Pořízení kopie (příp. skenu) průkazu totožnosti je bezpochyby zpracováním osobních údajů se všemi povinnostmi a důsledky vyplývajícími z obecného nařízení o ochraně osobních údajů (GDPR)[4]. Jaký je však právní titul dle článku 6 pro takové zpracování osobních údajů, když AML zákon primárně nestanoví pořizování kopií průkazů totožnosti přímo jako povinnost, ale oprávnění? Právní titul pro zpracování dle článku 6 odst. 1 písm. c) (zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje), tedy není zcela případný. AML zákon sice stanoví povinnost provést identifikaci podle průkazu totožnosti (tj. povinná osoba si jej musí vyžádat, údaje ověřit a zaznamenat a dále uchovávat), ale ve vztahu k pořízení kopie by mohl být tento právní titul problematický.
FAÚ ve své metodickém pokynu č. 8 dovozuje, že „Toto zpracování osobních údajů je zákonné podle čl. 6 odst. 1 písm. e) GDPR (pozn. aut. – ustanovení zní: zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce), a tak k němu není třeba souhlas ve smyslu čl. 4 bodu 11 a čl. 7 GDPR. Povinná osoba se při něm musí řídit pravidly stanovenými právními předpisy, jež upravují ochranu osobních údajů, a to zejména GDPR.“[5]
Stanovisko ÚOOÚ se však o tomto titulu nezmiňuje vůbec, naopak dovozuje, že titulem pro zpracování osobních údajů, tam kde zákon nezakládá výslovnou povinnost kopii pořídit, bude souhlas subjektu údajů. Není pochyb, že boj a prevence proti praní špinavých peněz a hloubková identifikace a kontrola klientů za tímto účelem jsou důležitý veřejný zájem. Je však kopírování průkazů totožnosti skutečně „nezbytné“ pro splnění takového úkolu, když sám zákonodárce dal povinné osobě pouze možnost pořídit kopii, ale nestanovil to přímo jako povinnost? Autorka má za to, že povinná osoba si bude muset tuto otázku interně vyhodnotit v rámci hodnocení rizik klientů, a to i v souvislosti se zásadou minimalizace osobních údajů. V některých případech, tj. zejména u rizikových klientů, by pořízení kopie průkazu totožnosti mohlo být považováno za nezbytné (např. pro účely rekonstrukce procesu identifikace, odhalení padělání dokladu, omezení rizika spojeného s chybným opisem údajů apod.). U nerizikových klientů či klientů s nižším rizikem už ale mohou o takové nezbytnosti nastat pochybnosti, a to právě s ohledem na zásadu minimalizace (tj. že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány). Jako jediný právní titul by se pak nabízel již jen souhlas subjektu údajů dle čl. 6 odst. 1 písm. a) GDPR v souladu s názorem ÚOOÚ.
Stejný postup při hodnocení, zda pořídit výpis údajů nebo i kopii průkazu totožnosti, nabízí ale i metodický pokyn č. 8 FAÚ, kdy uvádí, že by si povinná osoba měla určit na základě hodnocení rizik legalizace výnosů z trestné činnosti a financování terorismu, která mohou nastat v rámci její činnosti, pro jaký typ klientů zvolí který postup. Hodnocení těchto rizik by pak měla promítnout ve svém systému vnitřních zásad (tedy interních postupů a strategií zaměřených na boj proti praní špinavých peněz). Čím je případ rizikovější, tím spíše by povinná osoba měla zvolit kopírování namísto pořizování výpisů. Z metodiky FAÚ ale vyplývá, že souhlas (ať již dle zákona o občanských průkazech či dle GDPR) není zapotřebí pro žádný z těchto postupů.
Je zřejmé, že rozdílností názorů obou dozorových úřadů, zda mít či nemít explicitní souhlas ve smyslu čl. 7 GDPR k pořízení kopie průkazu totožnosti, vzniká na straně povinných subjektů velká nejistota. Pořizovat kopie občanských průkazů či nikoliv, a pokud ano, za jakých podmínek? Co již s těmi, které povinná osoba pořídila a archivuje je v souladu s AML zákonem (tj. 10 let)? Znamená to tedy, že kopie průkazů totožnosti bude nutné zlikvidovat, protože povinná osoba jako správce osobních údajů nedisponuje platným souhlasem dle GDPR? Pokud bude chtít povinná osoba pořizovat kopie průkazů totožnosti u všech klientů, bude muset u těch méně rizikových požadovat souhlas? Jak správně nastavit takový souhlas, aby splňoval podmínky GDPR, zejména, aby byl skutečně svobodný, tj. aby i v případě jeho neudělení, byla služba poskytnuta? Povinná osoba zároveň jako správce osobních údajů bude muset přizpůsobit svá organizační a technická opatření za účelem evidence těch souhlasů, sledování jejich platnosti apod.
To vše jsou otázky, kterými se nyní musí vážně zabývat každá povinná osoba . FAÚ přitom, dle svého dodatečného vyjádření ze dne 17. května 2021, při přípravě svého metodického pokynu č. 8 přitom navíc vycházel i z tehdejšího názoru ÚOOÚ, který jej však během několika málo měsíců změnil. FAÚ nyní tuto nastalou situaci řeší a lze očekávat v nejbližší době jeho vyjádření, potažmo novou metodiku. Do té doby by ale měl být dle vyjádření FAÚ metodický pokyn č. 8 stále platný, tj. lze pořizovat kopie průkazů totožnosti bez souhlasu klienta, ať již prokazatelného dle zákona o občanských průkazech, tak souhlasu dle GDPR. Povinné osoby tedy vůči FAÚ mohou být relativně v klidu, nicméně jim ale může nadále hrozit kontrola, potažmo sankce ze strany ÚOOÚ. Sám ÚOOÚ ve svém stanovisku uvádí příklad bankovní instituce, jejíž zaměstnanec odmítl (i v rozporu s interními předpisy banky) poskytnout službu klientovi, jelikož ten nesouhlasil s pořízením kopie průkazu totožnosti. V tomto případě ÚOOÚ dovodil porušení GDPR, jelikož takový souhlas by nikdy nemohl být svobodný.
Lze tedy doufat, že oba dozorové úřady vzájemně tuto otázku brzy prodiskutují a poskytnou jednoznačné stanovisko. Do té doby lze doporučit povinným osobám provést kontrolu jejich vnitřního systému zásad a zavedené praxe pro kopírování průkazů totožnosti, aby byly případně připraveny na změnu. Taktéž by mohla nastalá situace být impulzem i pro případnou změnu AML zákona, která by shora popsané otázky postavila na jisto. Nejjednodušším řešením v tomto směru by sice bylo výslovné zakotvení povinnosti pořídit kopii průkazu totožnosti, je ale otázka, zda toto obstojí i ve světle GDPR, zejména při uplatnění zásady minimalizace zpracování osobních údajů. Jako vhodnější se proto jeví navázat pořízení kopie průkazu totožnosti na individuální posouzení rizika u klienta.
Mgr. Lenka Hanková,
advokátka
Rödl & Partner, advokáti, v.o.s.
Platnéřská 2
110 00 Praha 1
Tel.: +420 236 163 710
E-mail: lenka.hankova@roedl.com
[1] Pozn. aut. obdobný zákaz stanoví i zákon č. 329/1999 Sb., o cestovních dokladech a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, a to v § 2 odst. 3 tohoto zákona.
[2] Pozměňovací návrh poslance Zbyňka Stanjury, kterým se mění zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů, a další
související zákony, zákony související s přijetím zákona o evidenci skutečných majitelů a zákon č. 186/2016 Sb., o hazardních hrách, ve znění pozdějších předpisů (sněmovní tisk 909)
[3] Srov. čl. 40 Směrnice Evropského parlamentu a Rady (EU) 2015/849 ze dne 20. května 2015 o předcházení využívání finančního systému k praní peněz nebo financování terorismu, o změně nařízení Evropského parlamentu a Rady (EU) č. 648/2012 a o zrušení směrnice Evropského parlamentu a Rady 2005/60/ES a směrnice Komise 2006/70/ES
[4] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (GDPR)
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz