Finanční poradce i zprostředkovatel finančních produktů přichází při své činnosti do kontaktu s osobními údaji klientů, v některých případech i s údaji citlivými (např. záznamy ve zdravotním dotazníku u životního, úrazového či nemocenského pojištění).
Pokud si poradce či zprostředkovatel vytváří jakoukoliv vlastní databázi klientů (nemusí být vedená na počítači, stačí i papírová kartotéka), kam zaznamenává osobní údaje pro vlastní potřebu, musí především splnit oznamovací povinnost vůči Úřadu pro ochranu osobních údajů (www.uoou.cz), neboť má postavení správce osobních údajů ve smyslu zákona 101/2000 Sb. Tuto povinnost by neměl pouze ten zprostředkovatel, který by veškeré zprostředkované smlouvy odevzdával a nepořizoval si kopie ani žádné vlastní záznamy o klientech (vyjma zákonem předepsaných evidencí).
Souhlas klienta
Další podmínkou pro legálnost vedení takové vlastní databáze klientů je písemný souhlas klienta. Ten musí být dán přímo konkrétnímu poradci či zprostředkovateli, který si takovou databázi vede. Výjimkou je pouze případ, kdy je vedení databáze uloženo zvláštním právním předpisem - příkladem je Deník investičního zprostředkovatele, který je veden na základě povinnosti uložené zákonem 256/2004 Sb., tudíž pro zaznamenávání údajů do něho není třeba písemný souhlas klienta a není třeba plnit ani oznamovací povinnost. Pro všechny ostatní databáze vedené poradcem či zprostředkovatelem pro jeho potřebu ovšem ano! To, že klient dal takový souhlas například pojišťovně, jejíž produkty poradce či zprostředkovatel používá, v žádném případě neznamená, že si lze bez souhlasu klienta údaje přenášet do vlastní databáze.
Rodné číslo
Zvláštní pozornost je třeba v tomto smyslu věnovat rodnému číslu. To totiž požívá zvýšené ochrany zvláštním právním předpisem - zákonem 133/2000 Sb., o evidenci obyvatel a rodných číslech v platném znění. Byť to může připadat leckomu absurdní, neboť rodné číslo lze bez problému najít například ve veřejném katastru nemovitostí nebo ve veřejném obchodním rejstříku, platí pro jeho využívání velmi přísná pravidla. Zákon stanoví v § 13c, že rodné číslo lze kromě státní správy využívat pouze tehdy, pokud tak stanoví zvláštní právní předpis nebo pokud k tomu klient dal souhlas. Kdo využívá rodné číslo v rozporu s těmito pravidly, může obdržet pokutu až do výše 10 000 000 Kč.
Je dobré si uvědomit, že finanční instituce mají využívání rodného čísla zpravidla povoleno zvláštním právním předpisem, tudíž souhlas klienta nepotřebují. Například pojišťovny mají povoleno identifikovat pojistníka i pojištěného rodným číslem zákonem 37/2004 Sb., o pojistné smlouvě. To ovšem v žádném případě neznamená, že pojišťovací zprostředkovatel si může takové rodné číslo kamkoliv přenést a využívat ho například pro evidenci klientů či vyplacených provizí. K takovému počínání potřebuje zprostředkovatel výslovný souhlas klienta, udělený podle zákona 133/2000 Sb. Podle názoru odborníků na problematiku ochrany osobních údajů nepostačuje obecný souhlas, udělený podle zákona 101/2000 Sb., o ochraně osobních údajů.
Je opravdu zapotřebí?
V každém případě je nutné zvážit, zda je opravdu nezbytné rodné číslo vůbec v databázi poradce či zprostředkovatele používat. Zpravidla zjistíme, že k jednoznačné identifikaci klienta pro potřeby poradce či zprostředkovatele plně postačuje jméno, příjmení, bydliště a datum narození. V ten moment se dostáváme mimo přísný režim zákona 133/2000 Sb. a postačuje souhlas podle zákona 101/2000 Sb. Používání rodného čísla je tak zcela nadbytečné, tudíž nezákonné, neboť zákon stanoví, že je povoleno "shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu". Pokud tedy rodné číslo není nezbytné pro naplnění konkrétního účelu, je jeho využívání v rozporu se zákonem i tehdy, pokud by k tomu klient dal souhlas. To platí i pro všechny ostatní osobní údaje. Závěrem zbývá připomenout, že splnění oznamovací povinnosti a souhlas klienta jsou pouze nezbytnými počátečními podmínkami pro vedení příslušné databáze. Platí samozřejmě celá řada dalších povinností, jako je povinnost mlčenlivosti a povinnost ochrany údajů proti jejich zneužití. Podrobnosti stanoví zákon 101/2000 Sb. v platném znění.
předseda Legislativně právní komise AFIZ
Pokud si poradce či zprostředkovatel vytváří jakoukoliv vlastní databázi klientů (nemusí být vedená na počítači, stačí i papírová kartotéka), kam zaznamenává osobní údaje pro vlastní potřebu, musí především splnit oznamovací povinnost vůči Úřadu pro ochranu osobních údajů (www.uoou.cz), neboť má postavení správce osobních údajů ve smyslu zákona 101/2000 Sb. Tuto povinnost by neměl pouze ten zprostředkovatel, který by veškeré zprostředkované smlouvy odevzdával a nepořizoval si kopie ani žádné vlastní záznamy o klientech (vyjma zákonem předepsaných evidencí).
Souhlas klienta
Další podmínkou pro legálnost vedení takové vlastní databáze klientů je písemný souhlas klienta. Ten musí být dán přímo konkrétnímu poradci či zprostředkovateli, který si takovou databázi vede. Výjimkou je pouze případ, kdy je vedení databáze uloženo zvláštním právním předpisem - příkladem je Deník investičního zprostředkovatele, který je veden na základě povinnosti uložené zákonem 256/2004 Sb., tudíž pro zaznamenávání údajů do něho není třeba písemný souhlas klienta a není třeba plnit ani oznamovací povinnost. Pro všechny ostatní databáze vedené poradcem či zprostředkovatelem pro jeho potřebu ovšem ano! To, že klient dal takový souhlas například pojišťovně, jejíž produkty poradce či zprostředkovatel používá, v žádném případě neznamená, že si lze bez souhlasu klienta údaje přenášet do vlastní databáze.
Rodné číslo
Zvláštní pozornost je třeba v tomto smyslu věnovat rodnému číslu. To totiž požívá zvýšené ochrany zvláštním právním předpisem - zákonem 133/2000 Sb., o evidenci obyvatel a rodných číslech v platném znění. Byť to může připadat leckomu absurdní, neboť rodné číslo lze bez problému najít například ve veřejném katastru nemovitostí nebo ve veřejném obchodním rejstříku, platí pro jeho využívání velmi přísná pravidla. Zákon stanoví v § 13c, že rodné číslo lze kromě státní správy využívat pouze tehdy, pokud tak stanoví zvláštní právní předpis nebo pokud k tomu klient dal souhlas. Kdo využívá rodné číslo v rozporu s těmito pravidly, může obdržet pokutu až do výše 10 000 000 Kč.
Je dobré si uvědomit, že finanční instituce mají využívání rodného čísla zpravidla povoleno zvláštním právním předpisem, tudíž souhlas klienta nepotřebují. Například pojišťovny mají povoleno identifikovat pojistníka i pojištěného rodným číslem zákonem 37/2004 Sb., o pojistné smlouvě. To ovšem v žádném případě neznamená, že pojišťovací zprostředkovatel si může takové rodné číslo kamkoliv přenést a využívat ho například pro evidenci klientů či vyplacených provizí. K takovému počínání potřebuje zprostředkovatel výslovný souhlas klienta, udělený podle zákona 133/2000 Sb. Podle názoru odborníků na problematiku ochrany osobních údajů nepostačuje obecný souhlas, udělený podle zákona 101/2000 Sb., o ochraně osobních údajů.
Je opravdu zapotřebí?
V každém případě je nutné zvážit, zda je opravdu nezbytné rodné číslo vůbec v databázi poradce či zprostředkovatele používat. Zpravidla zjistíme, že k jednoznačné identifikaci klienta pro potřeby poradce či zprostředkovatele plně postačuje jméno, příjmení, bydliště a datum narození. V ten moment se dostáváme mimo přísný režim zákona 133/2000 Sb. a postačuje souhlas podle zákona 101/2000 Sb. Používání rodného čísla je tak zcela nadbytečné, tudíž nezákonné, neboť zákon stanoví, že je povoleno "shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu". Pokud tedy rodné číslo není nezbytné pro naplnění konkrétního účelu, je jeho využívání v rozporu se zákonem i tehdy, pokud by k tomu klient dal souhlas. To platí i pro všechny ostatní osobní údaje. Závěrem zbývá připomenout, že splnění oznamovací povinnosti a souhlas klienta jsou pouze nezbytnými počátečními podmínkami pro vedení příslušné databáze. Platí samozřejmě celá řada dalších povinností, jako je povinnost mlčenlivosti a povinnost ochrany údajů proti jejich zneužití. Podrobnosti stanoví zákon 101/2000 Sb. v platném znění.
předseda Legislativně právní komise AFIZ
