Úřad k výkladu zákona proti praní špinavých peněz

Stanovisko ÚOOÚ „K prokazování totožnosti a zpracování osobních údajů“ bylo vydáno za účelem zvýšení povědomosti veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním osobních údajů, což je v souladu s čl. 57 odst. 1 písm. b) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) jedním z úkolů Úřadu.

Dílčím tématem tohoto souhrnného materiálu bylo i uvedení případů, kdy může docházet k pořizování kopií průkazu totožnosti na základě zákona. Bylo poukázáno na to, že zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (zákon proti praní špinavých peněz) stanoví v § 11 odst. 7 povinnost zpracovávat kopie průkazu totožnosti pouze v případech, kdy dochází k uzavření smlouvy bez fyzické přítomnosti klienta. Dále bylo uvedeno, že jinak (tedy i podle § 8 odst. 11 zákona proti praní špinavých peněz) by pořizování kopií nemělo být plošné, ale v konkrétních případech odůvodněné, zejména podezřením na možné porušování zákona, jehož účelem je zabránění zneužívání finančního systému k legalizaci výnosů z trestné činnosti a k financování terorismu a vytvoření podmínek pro odhalování takového jednání. Následovalo uvedení příkladů závěrů ÚOOÚ z provedených kontrol, přičemž některé byly již dříve veřejně dostupné[1].

Článek publikovaný 8. července 2021 na serveru epravo.cz „Kopírovat či nekopírovat průkazy totožnosti bez souhlasu subjektu údajů v souvislosti s opatřeními proti praní špinavých peněz?“, ve kterém bylo poukázáno na odlišný výklad Úřadu a FAÚ týkající se ust. § 8 odst. 11 zákona proti praní špinavých peněz, však uvádí stanoviska a vyjádření úřadů v době před a po novele zákona, přičemž metodika FAÚ je z října 2020, tedy před účinností novely. O této skutečnosti ÚOOÚ s FAÚ v průběhu června 2021 jednal a závěrem jednání je dohoda o doplnění stanoviska ÚOOÚ i metodiky FAÚ. Výsledkem by měla být změna zohledňující zásady přiměřenosti a minimalizace zpracování osobních údajů, uvedených v závěru článku, tj. navázat potřebnost pořízení kopie průkazu totožnosti na posouzení rizika v konkrétní situaci, u jednotlivé poskytované služby. Jinými slovy řečeno, ÚOOÚ v souladu s textem zákona proti praní špinavých peněz poukazuje na to, že není žádoucí praxí, aby se pořizovaly kopie průkazů totožnosti každého, kdo chce např. uzavřít smlouvu o (běžném) účtu podle ust. § 2662 zákona č. 89/2012 Sb., občanský zákoník, neboť zákon proti praní špinavých peněz stanoví pořizování kopií průkazů totožnosti jako možnost a nikoli zákonnou povinnost – povinný subjekt má předem provést hodnocení rizik a nastavit pořizování kopií s ohledem na rizika poskytované služby s klientem.

Informace uvedená na webových stránkách FAÚ, že metodický pokyn FAÚ č. 8 z 5. října 2020 byl vydaný „po získání souhlasného stanoviska ÚOOÚ“, není přesná, neboť koncept metodického pokynu zaslaný ÚOOÚ v dopise 3. dubna 2020 FAÚ (č. j. FAU-24203/2020/031) byl podstatně kratší než zveřejněný metodický pokyn, přičemž neobsahoval dodatečně vloženou spornou větu „V každém případě FAÚ povinným osobám doporučuje, aby průkazy totožnosti kopírovaly, a to ze dvou důvodů.“ Takové doporučení se jeví být nežádoucí a v rozporu s principy právní úpravy ochrany osobních údajů. V kontextu obecného nařízení (GDPR) nelze z českého zákona dovodit povinnost ani možnost pořizovat kopie průkazů totožnosti klientů bez jejich souhlasu plošným a nerozlišujícím způsobem, aniž by byl zohledněn účel zákona.

[1] Informace o kontrole: Kontrola zpracování osobních údajů potenciálních klientů společnosti, se zvláštním zaměřením na ověřování jejich totožnosti a pořizování kopií průkazů totožnosti při zřizování bankovního účtu (UOOU-02511/19).
Protokol o kontrole je dostupný ZDE.