Právo být zapomenut: Ohrozí finanční poradce?
Od 25. května 2018 nabyde účinnosti nařízení k ochraně osobních údajů. Jedním ze zaručených práv je „právo být zapomenut“. Hrozí tak konflikt s jinými zákony, které nařizují skladování dat např. finančně poradenskými společnostmi?
Finančně poradenské i jiné kruhy se aktuálně zabývají nařízením GDPR – General Data Protection Regulation (nařízení o obecné ochraně údajů). Ta velmi pečlivě určuje, jakým způsobem se má nakládat s osobními údaji a jaká práva má subjekt údajů, tedy člověk, jehož se data týkají. Jedním z práv je „právo být zapomenut“.
Nařízení má různé výklady, ostatně jako každá právní forma, která buď ještě nebyla zavedena do praxe, nebo je aplikována teprve krátce. A totéž se týká i „práva být zapomenut“. Podle nejpřísnějšího výkladu bude moci člověk odvolat souhlas se zpracováním údajů a bude muset výt kompletně vymazán ze záznamů společnosti, která jeho data drží. To by mohlo zruinovat nejen finančně poradenské společnosti.
Finančně poradenská společnost musí uchovávat souhlasy klienta a záznamy o jednání ze schůzek pro případ kontroly ze strany České národní banky (ČNB). Pokud nemá dokumenty v pořádku, nebo některé dokumenty chybí, je to důvodem pro udělení sankce. Podle nejpřísnějšího výkladu nařízení GDPR ale bude muset veškeré záznamy o klientovi smazat, pokud o to požádá. Když je nevymaže, hrozí přísné sankce od Úřadu pro ochranu osobních údajů (ÚOOÚ).
Finančně poradenské společnosti se tak dostávají do pasti. Buď na žádost klienta data vymažou a dostanou sankci od ČNB, nebo je nevymažou, ovšem pak si na ně tvrdě posvítí ÚOOÚ. Celý finanční trh nyní hledá východisko z této pasti.
REKLAMA
Co ale nařízení GDPR o „právu být zapomenut“ říká?
Článek 17
Právo na výmaz („právo být zapomenut“)
- Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
b) subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;
c) subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2;
d) osobní údaje byly zpracovány protiprávně;
e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.
Ve znění práva na výmaz je uveden dovětek „neexistuje žádný další právní důvod pro zpracování“. Požadavek ČNB na skladování materiálů a záznamů o klientech by se do tohoto dovětku měl vejít. Problémem ovšem může být skutečnost, že každou oblast posuzuje jiný úřad. Arbitrem mezi nimi pak bude až soud… a rozhodování českých soudů je… obtížně předpovídatelné.