5. 6. 2018

GDPR – strašidlo nebo pomocník bankovních klientů?

Zkratka GDPR byla v květnu častým tématem novinových článků a internetových diskuzí. Na jedné straně pomocník, který má chránit vaše osobní údaje, na druhé straně obavy, že ve skutečnosti spíše uškodí. Jak GDPR ovlivnilo Banku CREDITAS a její klienty?

Pro bankovní sektor nepředstavuje GDPR významnější komplikaci. Ochrana dat v bankách je dlouhodobě na vysoké úrovni a zavedení GDPR tak znamenalo spíše úpravu některých pravidel, než zavádění zcela nové úrovně nakládání s osobními údaji klientů. Banky totiž kladou mimořádný důraz nejen na vnější, ale i na vnitřní ochranu osobních údajů. Zatímco v řadě společností ještě nedávno nebyl problém najít šanony nebo adresáře zákazníků na místech dostupných všem zaměstnancům, v bankách již dávno existují tvrdá pravidla. Díky nim mají přístup k osobním údajům pouze vybraní a prověření pracovníci. Stejně je přistupováno i k digitálním datům, která banky maximálně zabezpečují a pro správu používají zařízení renomovaných bezpečnostních firem.

Co znamená GDPR pro bankovní klienty?

GDPR přináší klientům několik práv, která lze v souladu s nařízením uplatňovat u správce osobních údajů (= banky).

  • Právo na přístup
    Chcete vědět, jaké informace si o vás banka vede? Můžete o ně požádat a povinností banky je vydat vám všechny informace, které o vás má uložené. Zároveň máte právo vědět, komu vaše osobní údaje banka zpřístupňuje, jak dlouho je bude archivovat apod.
  • Právo na opravu nebo doplnění
    Pokud ve vašich údajích, které banka má, objevíte chybu, máte právo požadovat opravu nebo doplnění. Samozřejmě je i v zájmu banky, aby o vás měla správné informace.
  • Právo na výmaz (právo být zapomenut)
    Pokud už banka vaše údaje nepotřebuje, pokud odvoláte souhlas se zpracováním osobních údajů a z několika dalších důvodů máte právo požadovat, aby banka vymazala všechny údaje, které o vás má. Typickým případem je situace, kdy se stanete klientem v nové bance a v té původní zrušíte všechny dosud využívané produkty. V tom případě máte právo po své původní bance požadovat výmaz vašich osobních údajů. Je ale třeba upozornit, že banka nemůže smazat všechny informace, které o vás má. Některé údaje totiž jiné zákony předepisují archivovat, a v tom případě se na ně právo na výmaz nevztahuje.
  • Právo na přenositelnost
    Máte právo vyžadovat, aby váš současný správce osobních údajů předal tyto údaje ve strojově čitelném formátu vám nebo jinému správci, kterého jste si vybrali. Jednoduše řečeno – pokud přecházíte od jedné banky k jiné, můžete se dohodnout, že si od původní banky vyžádáte vaše osobní údaje, abyste v nové bance nemuseli vše znovu diktovat, vyplňovat nebo dokládat dokumenty.

Nemáte se čeho bát

GDPR obsahuje i další práva a možnosti, které nově můžete využívat, jejich výčet by ale přesáhl kapacitu tohoto článku. Doporučujeme vám proto navštívit stránky Úřadu na ochranu osobních údajů, kde najdete vysvětlení všech práv, které vám plynou z GDPR, a současně i odpovědi na nejčastěji kladené otázky.

Nezapomeňte, že GDPR je vaším pomocníkem, ze kterého mají strach pouze ti, kdo to s vámi nemyslí dobře. Nebojte se proto svá práva využívat. Pečovat o vaše osobní údaje by totiž měla nejen vaše banka, ale každý, komu jste je svěřili.

Co je GDPR

GDPR (General Data Protection Regulation) je obecné nařízení na ochranu osobních údajů tvořené uceleným souborem pravidel platných od 25. května 2018 v celé EU. Hlavním českým regulátorem zůstává Úřad pro ochranu osobních údajů (ÚOOÚ), v případě pochybností o jeho rozhodnutí se ale nově lze odvolat k Evropskému sboru pro ochranu osobních údajů (EDPB).

Pověřenec pro ochranu osobních údajů: GDPR nás nezaskočila, stačilo se včas připravit

Před začátkem platnosti GDPR zazněly v médiích hlasy kritizující složitost a náročnost zavádění tohoto nařízení ve firmách. Jak vidí situaci člověk, který se ochranou osobních údajů zabývá v praxi? Zeptali jsme se JUDr. Matúše Palčáka, pověřence pro ochranu osobních údajů v Bance CREDITAS.

Před začátkem platnosti GDPR se v médiích objevila řada hlasů varujících před jeho zničujícím dopadem na firmy. Jak náročné je GDPR pro banku?

V první řadě je nutno uvést, že Banka CREDITAS vždy dbala na ochranu osobních údajů svých klientů a zaměstnanců, a proto byly nové požadavky zavedené GDPR z naší strany vítané a akceptované. Za zdůraznění stojí, že už za předcházející právní úpravy jsme splňovali vyšší standardy na ochranu osobních údajů, které jsou nyní vyžadovány GDPR, a proto pro nás příprava na GDPR neznamenala zásadnější zásahy do chodu banky.

Co bylo při přípravě na GDPR nejsložitější?

Nejsložitější bylo vysvětlit komplikovanou problematiku GDPR tak, aby jí všichni naši pracovníci nejen porozuměli, ale byli také schopni tyto informace poskytovat klientům. Velice rád konstatuji, že naši zaměstnanci, kteří přicházejí do každodenního kontaktu s klientem, obojí zvládli na vysoké úrovni. V jejich případě totiž nestačí jen vědět, jak mají v rámci svých pracovních povinností postupovat. Musí být také schopni odpovídat na dotazy klientů, kteří se na GDPR ptali už před začátkem jeho platnosti a nepochybně se budou ptát i nadále. Osobní bankéř nebo pracovník call centra samozřejmě není právník a nemusí umět vysvětlit GDPR do detailů, musí být ale schopen odpovědět na často kladené otázky. A musí odpovědět tak, aby jeho slova pochopil i laik, který se v právní terminologii nevyzná.

Kde vidíte největší úskalí při vysvětlování GDPR laikům, třeba právě klientům banky?

Největší problém je v neúplných nebo zcela zavádějících informacích, které se před začátkem platnosti GDPR objevovaly především na internetu. Typický příklad: podle GDPR lidé mají „právo být zapomenut“, tedy právo na vymazání všech osobních údajů, které si o nich správce vede. Současně ale platí, že správce nesmí smazat údaje, které je povinen ze zákona archivovat. Jenže tato upřesňující informace už v nejednom článku o GDPR nezazněla. Je proto možné, že v budoucnu dojde ke zbytečným konfliktům. Lidé budou mít pocit, že se je správce osobních údajů snaží obelhat, když tvrdí, že úplně všechny jejich osobní údaje smazat nemůže. Jenže správce to skutečně nebude mít dovoleno, protože mu nějaký zákon bude nařizovat, aby část údajů archivoval, třeba pro potřeby kontroly ze strany státu.