Novinky v oblasti GDPR a AML po 24.4.2019 (adaptační zákon)

Vážení klienti,

dovolujeme si Vás informovat, že dne 24.4.2019 nabyl účinnosti z. č. 110/2019 Sb., o zpracování osobních údajů (dále jen „ZZOÚ“), který představuje tzv. adaptační zákon doplňující obecné nařízení o ochraně osobních údajů (dále jen „GDPR“). Spolu se ZZOÚ vstoupil v účinnost také z. č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů (dále jen „ZMNZ“). V důsledku přijetí ZMNZ došlo k novelizaci celé řady právních předpisů, které se dotýkají ochrany osobních údajů a mezi které patří, mimo jiné, i z. č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „AML zákon“). 


Povinné osoby a zpracování osobních údajů podle AML zákona

V rámci plnění povinností uložených AML zákonem povinné osoby zpracovávají značné množství informací, které souvisí s uskutečněním obchodu nebo obchodního vztahu.  Povinné osoby zahrnují celou řadu subjektů, mezi které patří zejména úvěrové instituce (např. banky); finanční instituce, které nejsou úvěrovou institucí (např. osoby poskytující leasing, úvěry nebo peněžní půjčky, pojišťovny, nebo pojišťovací zprostředkovatelé) a osoby oprávněné k obchodování s nemovitostmi nebo s použitým zbožím nebo virtuální měnou. Povinnou osobou je pak také každý podnikatel při obchodu hotovosti v hodnotě 10 000 EUR nebo vyšší.AML zákon ukládá povinným osobám provést za určitých okolností identifikaci nebo kontrolu klienta. Zatímco identifikace slouží ke zjištění identifikačních údajů o klientovi, cíl kontroly spočívá zejména v získání informací o účelu a zamýšlené povaze obchodu nebo obchodního vztahu nebo o zdrojích peněžních prostředků nebo jiného majetku. V rámci identifikace jsou od fyzických osob vyžadovány všechna jména a příjmení, rodné číslo, a nebylo-li přiděleno, datum narození, dále místo narození, pohlaví, trvalý nebo jiný pobyt a státní občanství. V případě podnikající fyzické osoby je vyžadována její obchodní firma, odlišující dodatek nebo další označení, místo podnikání a identifikační číslo osoby.

Odůvodňuje-li to hodnocení rizik ve smyslu § 21a AML zákona, mohou být k identifikaci získávány i další údaje, mezi které patří zejména číslo telefonu, adresa pro doručování elektronické pošty, údaje o zaměstnání nebo zaměstnavateli. Povinné osoby jsou povinny identifikační údaje zaznamenat a ověřit z průkazu totožnosti, zaznamenat druh a číslo průkazu totožnosti, stát, popřípadě orgán, který jej vydal, dobu jeho platnosti a dále současně ověřit shodu podoby klienta s vyobrazením v jeho průkazu totožnosti. Identifikační údaje jsou zaznamenávány i u fyzických osob, které jednají jménem právnické osoby. V rámci identifikace klienta povinná osoba zjišťuje a zaznamenává také údaj o tom, zda klient není politicky exponovanou osobou nebo zda není osobou, vůči níž Česká republika uplatňuje mezinárodní sankce podle z. č. 69/2006 Sb., o provádění mezinárodních sankcí.


Informační povinnost

V důsledku účinnosti ZMNZ bylo do AML zákona vloženo nové ustanovení § 17a, které stanoví, že povinná osoba zpracovává osobní údaje v rozsahu nezbytném pro plnění povinností podle tohoto zákona. Uvedená změna stanovuje jednoznačný právní titul pro zpracování osobních údajů, a to čl. 6 odst. 1 písm. c) GDPR; jedná se tedy o zpracování osobních údajů, které je nezbytné pro splnění právní povinnosti, která se vztahuje na povinnou osobu jako na správce osobních údajů. Na povinné osoby se současně vztahuje i informační povinnost o zpracování osobních údajů vůči jejich klientům. Tato informační povinnost je však v souladu se smyslem a účelem AML zákona modifikována. Povinná osoba je povinna poskytnout klientovi již před navázáním obchodního vztahu nebo provedením obchodu mimo obchodní vztah informace o zpracování osobních údajů požadované podle právních předpisů upravujících ochranu a zpracování osobních údajů, a to obecné upozornění na povinnost zpracovávat osobní údaje pro účely předcházení legalizaci výnosů z trestné činnosti a financování terorismu. Kromě těchto informací však povinná osoba nesmí subjektu údajů poskytnout informace o  zpracování osobních údajů za účelem plnění povinností podle AML zákona. Z důvodové zprávy k ZMNZ vyplývá, že povinné osoby mají klientům jakožto subjektům údajů poskytnout toliko obecné upozornění týkající se povinnosti povinných osob podle AML zákona zpracovávat osobní údaje pro účely předcházení legalizace výnosů z trestné činnosti a financování terorismu. Všechny údaje, které povinná osoba získá při plnění povinnosti dle AML zákona, není možné klientům sdělovat, neboť mohou být podkladem pro případné podezření o podezřelém obchodu. Údaje a doklady o obchodech spojených s povinností identifikace uchovává povinná osoba 10 let po uskutečnění obchodu nebo ukončení obchodního vztahu.