Nedávno jsem se rozhodl otevřít si účet u Hello bank! Jak už to u nízkorozpočtových bank bývá, celá akce se dá zařídit z pohodlí domova − nejprve poskytnete všechny potřebné osobní údaje, pak poskytnete fotku osobních dokladů a nakonec účet aktivujete platbou z jiného českého účtu vedeného na vaše jméno, ze kterého navíc dodáte výpis. Jde o v zásadě standardní postup a nelze proti němu nic moc namítat.
Podepisujeme na dálku
V průběhu aktivace je také klient seznámen s několika smluvními dokumenty, které podepíše tak, že zaškrtnutím formulářového políčka souhlasí s textem dokumentu a akci potvrdí opsáním jednorázového hesla ze zprávy SMS. Jedním z prvních dokumentů je pak Rámcová smlouva o poskytování bankovních produktů a služeb.
Ta upravuje základní vztahy klienta a banky a je zajímavá mimo jiné i tím, že obsahuje pasáž o osobních údajích a bankovním tajemství, kde umožňuje klientovi pomocí zaškrtávacích políček buď udělit, nebo neudělit dva souhlasy se zpracováním osobních údajů.
Výtah z rámcové smlouvy Hello bank!
Osobní údaje
Ve třetím odstavci jsem dostal možnost vyjádřit dva samostatné souhlasy:
- první se zpracováním kopie mých osobních dokladů i v případech, kdy to zákon nevyžaduje, za účelem zjednodušení a zrychlení mé identifikace, a dále
- druhý, týkající se klasického marketingového zpracování údajů.
Dospěl jsem k závěru, že ani s jedním z těchto užití nesouhlasím − o marketing zájem nemám a zjednodušení a zrychlení mé identifikace pomocí zpracované kopie osobních dokladů pro mě bylo příliš vágní, než abych si dokázal představit, jakou výhodu toto může představovat. Ostatně toto proběhlo už v době, kdy kopie mých dokladů beztak byly nahrány v systémech banky.
Povinný souhlas, bez něhož nelze pokračovat.
Vynucený souhlas
Jenže jsem narazil. Aplikace pro podepisování této rámcové smlouvy byla totiž nastavena tak, že bez udělení prvního souhlasu odmítla pokračovat dál. V takovém případě se ovšem těžko dá mluvit o dobrovolném souhlasu. V aktualitě s titulkem Udělit souhlas se zpracováním osobních údajů je možnost, nikoli povinnost Úřad pro ochranu osobních údajů jasně píše, že takový souhlas je neplatný.
Odvoláváme vynucený souhlas
Většina lidí by v tomto místě nad vynuceným souhlasem jednoduše mávla rukou s vědomím, že banka tak jako tak kopie osobních dokladů potřebuje a bude ukládat kvůli nejrůznějším legislativním opatřením pro boj proti praní špinavých peněz. Já se však rozhodl, že vyzkouším využít své právo, které mi banka sama přiznává v odstavci číslo 4 výše, tedy že všechny uvedené souhlasy je možné kdykoli odvolat. Souhlas jsem tedy udělil a dokončil proces otevírání účtu; zároveň jsem na kontaktní e-mailovou adresu poslal odvolání zmíněného souhlasu:
Dobrý den,
během podepisování rámcové smlouvy s bankou jsem byl aplikací donucen k udělení ‚dobrovolného‘ souhlasu s tím, abyste:
pořídili a zpracovávali kopie Vašich dokladů totožnosti i v případech, kdy nám to neukládá zákon.
Podle rámcové smlouvy tento souhlas mohu kdykoli odvolat, proto tak prostřednictvím tohoto e-mailu činím.
První zamítnutí
Po třech dnech dorazila odpověď od banky:
Dobrý den,
děkujeme za zprávu.
Tuto chvíli Vaší žádosti nemůžeme vyhovět. V souladu s platnou legislativou jsme totiž jako banka povinni osobní údaje klientů včetně kopie OP evidovat po celou dobu trvání smluvního vztahu a následně po dobu deseti let od okamžiku jeho ukončení.
Na Vaše jméno a příjmení evidujeme aktivní Hello spoření.
Protože jsem se domníval, že jde pouze o nedorozumění, pokusil jsem se svůj problém popsat obšírněji a vysvětlit, že mi nejde o zpracovávání údajů, které banka musí zpracovávat podle příslušných zákonů, ale jen o zpracování kopie osobních dokladů i v případech, kdy to bance neukládá zákon.
Obraťte se na ÚOOÚ
O dva dny později přišla i obšírnější reakce banky, která ovšem můj požadavek na odvolání souhlasu vyložila jako stížnost na pořízení kopie dokladu totožnosti při žádosti o spořicí účet. Z toho také vyplývá reakce, která se opět otáčí na zákonných povinnostech banky:
Vážený pane Caletko,
dovolte nám, vyjádřit se k Vámi podané stížnosti ohledně pořízení kopie dokladu totožnosti při žádosti o spořicí účet.
Na základě Vašeho podnětu jsme prověřili postup zpracování podaní žádosti, o zřízení spořicího účtu, a rádi bychom Vám předali následující vyjádření.
Vaše smlouva ke spořicímu účtu byla uzavřena v elektronické podobě, kdy není možné, ze strany pověřených zaměstnanců banky, ověřit identifikaci klienta. S ohledem na interní předpisy naší bankovní skupiny, týkající se identifikace klienta, a zajištění prevence legalizace výnosů z trestné činnosti, nemůžeme spořicí účet, který je zřizován v elektronické podobě, založit s pouhým opisem osobních údajů z občanského průkazu, a požadujeme přímo jeho kopii. V případě, že by nebyl, při žádosti o uzavření spořicího účtu, udělen souhlas se zpracováním kopie dokladu totožnosti, a kopii byste nám neumožnil pořídit, nebylo by možné spořicí účet založit.
Kopie průkazu totožnosti je pořizována a bankou uchována pouze za účelem prokázání provedené identifikace z pohledu naplnění mezinárodních standardů, zaměřených na zabránění legalizace výnosů z trestné činnosti a financování terorismu, jimiž je naše bankovní skupina vázána.
Věříme, že naše vysvětlení přijmete. Pro jakékoli doplňující informace Vám zůstáváme plně k dispozici na telefonním čísle 257 080 080 v pracovních dnech od 8 do 20 hodin nebo prostřednictvím jakéhokoliv jiného námi podporovaného komunikačního kanálu.
V závěru bychom Vás rádi informovali o dalším možném postupu, týkající se Vaší stížnosti. Pokud máte pochybnosti o legalitě našeho postupu, můžete se ve věci uchování osobních údajů obrátit na Úřad pro ochranu osobních údajů. Tento orgán řeší mimosoudní spotřebitelské spory a může tak posoudit Váš podnět.
Adresa Úřadu pro ochranu osobních údajů:
Pplk. Sochora 27, 170 00, Praha 7
Více informací najdete na www.uoou.cz
Velice pozitivně hodnotím, že banka sama informuje o možnosti podat stížnost k Úřadu pro ochranu osobních údajů. Rozhodl jsem se této nabídky využít, ale ještě předtím se pokusil na třetí pokus vysvětlit můj požadavek:
Dobrý den,
děkuji vám za obsáhlé vysvětlení, které mě ovšem neuspokojilo. Aby bylo jasno, nemám nic proti tomu, aby banka ukládala a používala kopie mých osobních dokladů pro účely, pro které je to nezbytné s ohledem na zákonné podmínky. Takovéto zpracování je, jak sama píšete, nutnou podmínkou k otevření spořicího účtu a tedy nedává žádný smysl vyžadovat ode mě jako klienta explicitní souhlas s tímto zpracováním.
Vaše aplikace ode mě však vyžádala explicitní souhlas se zpracováváním kopie mých osobních dokladů i k jiným účelům, konkrétně ‚za účelem zjednodušení a zrychlení Vaší identifikace‘. V uvedeném bodu rámcové smlouvy se přitom píše že jde o souhlas nad rámec toho, co vyžaduje zákon. Další bod mi potom dává jednoznačné právo tento souhlas kdykoli odvolat, což se tedy snažím učinit.
Snažím se tedy domoci pouze toho, na čem jsme se v rámcové smlouvě dohodli. Pokud tedy nehodláte respektovat text smlouvy, který jste sami připravili, nezbude mi nic jiného, než se obrátit na příslušný úřad.
Podáváme stížnost
Úřad pro ochranu osobních údajů má pro podávání stížnosti na správce nebo zpracovatele osobních údajů připravený formulář ve formátu PDF. Ten je možné buď vyplnit a přímo odeslat, nebo poslat e-mailem spolu s přílohami, přičemž podání nemusí být elektronicky podepsáno. Protože jsem chtěl přiložit všechny relevantní dokumenty, formulář jsem vyplnil, vytiskl do souboru a odeslal spolu s přílohami podatelně.
Všiml jsem si, že po uložení vyplněného formuláře se v něm ztratila některá diakritická písmena, ovšem při editaci se zase objevila. Doufám tedy, že se úřadu podařilo veškerý text přečíst tak, jak jsem ho napsal.
Podání stížnosti na ÚOOÚ
Banka konečně pochopila
Po čtrnácti dnech se z ničeho nic ozvala banka znovu. Zřejmě na třetí pokus konečně pochopila, co po ní chci a prohlásila souhlas se zpracováním kopií osobních dokladů nad rámec zákonných povinností za odvolaný:
Vážený pane Caletko,
dovolte nám vyjádřit se k Vaší žádosti ohledně odvolání souhlasu se zpracováním kopie Vašich dokladů totožnosti i v případech, kdy nám to neukládá zákon.
Na základě Vašeho požadavku, byl souhlas se zpracováním kopie Vašich dokladů totožnosti nad rámec, zákonných povinností odvolán. Nyní je kopie průkazu totožnosti námi uchována pouze za účelem plnění zákonných povinností.
Jak již bylo sděleno v předchozí komunikaci, v rámci zavedení a udržování souboru opatření, pro efektivní a harmonizované naplnění mezinárodních standardů, zaměřených na zabránění legalizace výnosů z trestné činnosti a financování terorismu, jimiž je naše bankovní skupina vázána (dále jen ‚AML/CFT‘), postupujeme dle ustanovení § 11 odst. 7 písm. a) bod 1 zákona č. 253/2008 Sb. Tyto kopie dokladů totožnosti musíme, ve smyslu § 16 uvedeného zákona, uchovávat a to po dobu 10 let od ukončení obchodního vztahu s klientem.
Závěrem nám dovolte Vás ubezpečit, že plnění smluvních povinností vůči klientům a ochrana jejich osobních údajů, je pro nás samozřejmostí. Veškeré smluvní ujednání mezi námi a Vámi, jako naším klientem, byly dodrženy a nemůže se stát, že by Vaše osobní údaje byly jakkoliv zneužity, nebo by k nim kdokoliv získal neoprávněný přístup.
Můžu jen doufat, že tento skoro měsíc trvající souboj na straně banky neskončí tímto jedním příkladem, ale donutí banku k zamyšlení, zda je opravdu nezbytné nutit klienty k souhlasu s něčím, co evidentně není potřeba, a nastaví své procesy do budoucna tak, aby to, co je napsané ve smlouvě, tedy možnost odvolání příslušného souhlasu, bylo skutečně možné i bez nutnosti takto složité eskalace.
Odpověď ÚOOÚ mě vrací na začátek
Po šesti týdnech jsem obdržel e-mail s odpovědí od úřadu. Bohužel musím konstatovat, že se úřad − stejně jako banka − pouze upnul na vysvětlování zákonných důvodů, proč banka má právo zpracovávat kopie osobních dokladů. Včetně upřesnění, že v novele schválené 1. 10. 2020 se výslovně stanovuje, že toto zpracování může být bez souhlasu.
Reakce ÚOOÚ na odvolání souhlasu pro Hello bank!
Reakce ÚOOÚ na odvolání souhlasu pro Hello bank!
O tom, že celá stížnost míří na vynucení souhlasu se zpracováním kopií nad rámec zákonných požadavků, se úřad nijak nevyjadřuje a pouze konstatuje, že neshledal důvody k zahájení řízení z moci úřední
.
Vzdávám to
Úřad je na rozdíl od banky mnohem méně dostupný k diskuzi. E-mailová průvodka, ve které odpověď úřadu přišla, je evidentně generována nějakým automatickým systémem. Pokusil jsem se na ni odpovědět, ale nejsem si úplně jist, že úřad takovouto odpověď zpracuje. Nemám už nervy na vyplňování dalšího formuláře a nejsem si jist, jestli by i druhá odpověď neskončila stejně jako ta první.
Ostatně banka nakonec mému odvolání vyhověla. Budu doufat, že se dokáže z tohoto případu poučit sama, a zásah ze strany úřadu tedy nebude nezbytný.
