Výrazná pokuta za plošné kopírování průkazů
autoři: Mgr. Michal Nulíček, LL.M., FCIArb, Mgr. Filip Beneš
Polský dozorový úřad (UODO) uložil významné bance pokutu 18,4 milionu zlotých (cca 4,3 milionů eur). Jde o jednu z nejvyšších sankcí za porušení GDPR, které kdy byly v Polsku uděleny. Banka od července 2018 totiž začala systematicky a plošně pořizovat kopie občanských průkazů a dalších dokladů klientů, aniž by přitom provedla či zhodnotila individuální analýzu rizik (rizikový profil) klienta. Šlo o důsledek změny její interní AML směrnice, která stanovila, že bez pořízení kopie nesmějí zaměstnanci provést požadované služby.
Podle UODO je kopírování dokladů možné jen tehdy, pokud to vyplývá z individuálního posouzení rizika klienta. Až na základě rizikového profilu lze uplatnit příslušná AML pravidla, která pořízení kopie umožňují. UODO proto dospěl k závěru, že banka porušila zásady zákonnosti, účelového omezení a minimalizace údajů i právní základ zpracování. Při určování výše pokuty UODO vzal v úvahu i vysoký počet dotčených osob (přes 4,3 milionu subjektů).
Český AML zákon umožňuje kopírovat průkazy totožnosti ve dvou případech bez toho, aniž by povinná osoba musela získat souhlas subjektu údajů. Prvním případem je to, že typová rizikovost případu je tak velká, že musí dojít k okopírování. Nejčastěji je to v situacích, kdy je průkaz poškozený, vykazuje známky padělání či pozměnění nebo jde o zahraniční průkaz totožnosti. Druhým případem je první identifikace klienta ze strany úvěrové instituce, která probíhá za fyzické přítomnosti. (Více informací zde)
