Poskytnutá informace dne 18. září 2012
Úřad pro ochranu osobních údajů (dále jen „Úřad“) obdržel dne 18. září 2012 od pana T. P. (dále jen „žadatel“) žádost o informace podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů.
Žadatel požadoval od Úřadu poskytnutí některých informací získaných Úřadem při výkonu kontroly u finančních institucí. Požadované informace byly žadateli poskytnuty dne 18. října 2012.
Konkrétně mu bylo sděleno následující:
K první části žádosti týkající se zjištění Úřadu, jak je bankovními/finančními subjekty nakládáno s informací o tom, že na majetek klienta byla nařízena exekuce nebo výkon rozhodnutí přikázáním pohledávky z účtu, lze uvést, že Úřad neprovedl žádnou kontrolou, jejímž předmětem by bylo takovéto zpracování osobních údajů. Informace o tomto postupu byly získány pouze okrajově v kontrolách zaměřených na jiné otázky. V daném případě podle poznatků Úřadu banky obecně postupují ve smyslu ustanovení § 25 a 25a zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, které přesně upravuje povinnost banky poskytovat informace příslušných orgánům, přičemž takovéto poskytnutí informací se nepovažuje za porušení bankovního tajemství.
Nebankovní finanční instituce, jejichž činnost není regulována zvláštním zákonem, postupují dle zjištění Úřadu při předávání osobních údajů svých klientů dle povinnosti, kterou jim nařizuje několik zákonů, a to zejména zákona č. 141/1961 Sb., o trestním řízení soudním (trestní řád), zákona č. 273/2008 Sb., o Policii České republiky, zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, zákona č. 349/1999 Sb., o Veřejném ochránci práv, zákona č. 120/2001 Sb., o soudních exekutorech a exekuční činnosti (exekuční řád) a o změně dalších zákonů, zákona č. 280/2009 Sb., daňový řád, dále např. podle zákon č. 111/2006 Sb., o pomoci v hmotné nouzi apod.
Druhá část žádosti se týkala toho, jak jsou informace evidovány v informačních systémech peněžních ústavů a zda jsou rutinně poskytovány i jiným osobám, zejména formou záznamu do bankami sdílených systémů klientských informací.
V rámci kontrol prováděných Úřadem se kontrolující seznamují i s jednotlivými informačními systémy, které jednotlivé banky a nebankovní instituce využívají. Tyto systémy však samy o sobě nebyly předmětem kontrolní činnosti a jsou kontrolovány výhradně z hlediska plnění povinností dle § 13 zákona o ochraně osobních údajů, tedy toho, jakým způsobem jsou správci přijata a následně aplikována přijatá technicko-organizační opatření k zabezpečení zpracovávaných osobních údajů.
Oblast předávání osobních údajů do tzv. dlužnických registrů se v oblasti činnosti bank řídí § 38a zákona o bankách, na základě kterého některé banky působící na základě udělené licence v České republice založily společnosti CBCB, která je provozovatelem Bankovního registru klientských informací. V rámci tohoto registru jsou evidovány veškeré informace týkající se úvěrových obchodů klientů bank. Obecně lze tento registr charakterizovat jako „pozitivní registr“, ve kterém se soustřeďují informace o všech uzavřených úvěrových smlouvách, a to včetně informací o ručitelství, zástavách atd. Registr obsahuje tedy informace pozitivní i negativní, uzavření úvěrové smlouvy, informace o jejím plnění i neplnění. Dále jsou zde uloženy veškeré informace týkající se i jednání klientů o uzavření úvěrové smlouvy. Dle výkladu České národní banky je klientem každá osoba, která s bankou jedná o uzavření smlouvy.
Informace z Bankovního registru klientských informací jsou přístupné pouze bankám. Jednotlivé přístupy k informacím v tomto registru jsou zaznamenávány (logovány). Z hlediska zákona o ochraně osobních údajů se jedná o zpracování osobních údajů bez souhlasu subjektu údajů a to na základě právního titulu upraveného v § 5 odst. 2 písm. a) tohoto zákona, neboť správce provádí takové zpracování, které je nezbytné pro dodržení jeho právní povinnosti vyplývající zejména ze zákona o bankách.
Předávání osobních údajů do tzv. dlužnických registrů v oblasti činnosti nebankovního sektoru není regulováno žádným zvláštním zákonem. Předávání osobních údajů proto podléhá obecnému předpisu, zákonu o ochraně osobních údajů. V daném případě je nezbytné pro předávání osobních údajů do příslušného dlužnického registru získat souhlas subjektu údajů (klienta). Rovněž tak pro nahlédnutí do příslušného dlužnického registru je nezbytné získat souhlas subjektu údajů (klienta). Proto se v daném případě dle obecných poznatků Úřadu hovoří o tzv. dvojím souhlasu. První souhlas je klientem udělen s tím, že jeho osobní údaje budou předány do příslušného dlužnického registru, a to většinou nebankovní společností, která poskytuje úvěr, službu apod. Druhý souhlas je klientem udělen nebankovní společnosti k tomu, aby mohla nahlédnout a získat osobní údaje zpracovávané (uložené) v nebankovním registru.
V současné době v České republice dle zjištění Úřadu existují dva nejvíce využívané registry obsahující informace o fyzických osobách. Jedná se o registr, který provozuje zájmové sdružení právnických osob SOLUS a o Nebankovní registr klientských informací, který provozuje LLCB, zájmové sdružené právnických osob, jež je založeno některými bankovními a nebankovními společnostmi. Oba registry v současné době podle poznatků Úřadu obsahují pouze tzv. negativní informace o klientech, tedy informace, které vypovídají o neplnění závazku klienta. Do těchto registrů mohou se souhlasem subjektu údajů (klienta) předávat informace i banky. Je nezbytné upozornit na skutečnost, že do těchto nebankovních dlužnických registrů neposkytují informace všechny banky, resp. nebankovní (např. úvěrové) společnosti. Do dlužnického registru SOLUS předávají informace i společnosti poskytující například energetické nebo telekomunikační služby.