Přípravy na GDPR budou jen Českou spořitelnu stát 100 milionů korun. Přesto však nemá jistotu, že tím všechny požadavky Bruselu splní. Kolem nařízení zůstává řada neznámých. "Chybí nám například výklad toho, které osobní údaje mají být předmětem přenositelnosti," upozorňuje pověřenec pro ochranu osobních údajů České spořitelny Jiří Januška.

V jakých oblastech spořitelně přineslo GDPR největší změny?

Kde jsou potřeba změny, je samozřejmě oblast souhlasů se zpracováním osobních údajů. Vyžaduje to úpravy v informačních systémech, vytvoření nových formulářů. Další věcí, kterou musíme vytvořit, je registr účelů zpracovávání osobních údajů. Kvůli tomu kompletně revidujeme logiku, která nám bude řídit účely zpracování souhlasů, bude automaticky kontrolovat, kde máme oprávnění, kde je potřeba provést výmazy, protože jsme pozbyli účelu. Softwarové řešení centrální logiky je věc, kterou vyvíjíme nově, předtím to bylo řešeno decentralizovaně v jednotlivých aplikacích. Toto je tedy změna, která je velmi významná.

Kdy jste se na novinky v ochraně osobních údajů začali připravovat?

Počátek příprav se datuje do listopadu 2016. To byla počáteční fáze, kdy jsme řešili, do jaké míry budeme využívat vlastní kapacity a do jaké míry znalosti externích poradců. Toto jsme si vyjasňovali rámcově do konce roku 2016. Já jako pověřenec pro ochranu osobních údajů jsem do projektu GDPR vstoupil v únoru letošního roku.

V jaké fázi jsou nyní v České spořitelně přípravy na nařízení?

Využíváme této příležitosti ke kompletní revizi nastavení systému ochrany osobních údajů. V tuto chvíli je to ve fázi, kdy je navrhováno softwarové řešení a zavádíme organizační změny ve vnitřních předpisech. Po Novém roce bychom rádi přešli do zkušební fáze, kde budeme dolaďovat všechna IT řešení.

Která z novinek je nejviditelnější pro klienty vaší banky?

Pro klienty je jednoznačně tím hlavním nová podoba souhlasů se zpracováním osobních údajů. Když přijdou na pobočku, žádáme je, aby nám nový souhlas udělili. Pozměnila se především vizuální podoba souhlasu. GDPR říká, že má být odlišitelný, pochopitelný a srozumitelný. Souhlas jsme nově rozdělili na čtyři parciální souhlasy a ke každému z nich se klient může vyjádřit. Pokud souhlasí, zaškrtne check box, a pokud nesouhlasí, tak nedělá nic, protože podle výkladu úřadu GDPR nezná nesouhlas. Jednotlivé souhlasy jsme vizuálně oddělili rámečkem.

O jaké parciální souhlasy jde?

Žádáme o udělení marketingového souhlasu, dále o souhlas se sdílením informací v rámci skupiny banky kvůli posuzování rizik, pro nefinanční služby našich partnerů, jako je Energie ČS - a potom žádáme klienty o udělení souhlasu pro vzájemné předávání informací mezi bankovním registrem klientských informací a nebankovním registrem klientských informací.

Jakým způsobem klienty s žádostí o udělení nového souhlasu oslovujete?

Od července je oslovujeme v pobočkách, ale plánujeme spustit další kanály. Ty jsou teď v testovacím provozu. Uvažujeme o internetovém bankovnictví, připravujeme formulář, který chceme zasílat klientům prostřednictvím e-mailu, plánujeme do sběru zapojit i call centrum.

Kdy začnete sbírat souhlasy přes tyto další kanály?

Bude to do konce letošního roku.

Máte takřka 5 milionů klientů, je reálné, že je všechny stihnete požádat o nový souhlas ještě před účinností GDPR?

Kdyby se ty souhlasy sbíraly dřív, určitě by to pro nás byla výhoda, ale děláme maximum pro to, abychom v květnu 2018 měli co nejvíc nových souhlasů.

A proč jste tedy se sběrem souhlasů nezačali dřív než letos v červenci? Co tomu bránilo?

Čekali jsme na stanovisko Úřadu pro ochranu osobních údajů, jestli dnes platné souhlasy budeme muset nahradit novými. Jakmile jsme si to vyjasnili, hned jsme začali se sběrem nových souhlasů přes pobočkovou síť. Tam to bylo nejjednodušší, spuštění ostatních kanálů si žádá změny v informačních systémech banky. Jejich příprava nějaký čas trvá.

Jak reagují klienti na žádost banky o nový souhlas?

Návratnost máme vcelku vysokou, ale jsou klienti, kteří zcela odmítnou udělení nového souhlasu. Pak jsou klienti, kteří odmítnou udělit jen některý z parciálních souhlasů. Někteří mají problém s tím, že u nových souhlasů nemohou využívat políčko nesouhlasím. Nejsou na to zvyklí, hledají alternativu. Ale výklad Úřadu pro ochranu osobních údajů je takový, že GDPR nezná nesouhlas.

Kolik nových souhlasů jste už nasbírali?

Řádově statisíce. Sbíráme tisíce souhlasů denně. Odmítnutí se pohybují v řádu jednotek procent našich klientů.

Budete klienty, kteří vám nový souhlas hned nedají, ještě před účinností nařízení oslovovat znovu?

Určitě nebudeme klienta, který dnes na pobočce odmítne souhlas, o něj během čtrnácti dnů nebo měsíce žádat znovu. Bude tam delší doba, po jejímž uplynutí bychom klienta znovu požádali o udělení souhlasu. Tu jsme zatím přesně nestanovili. Indikativně se ale bavíme o období půl roku nebo minimálně několika měsíců.

Co se stane s klienty, kteří nový souhlas bance neudělí?

V oblasti bankovních služeb se pro klienty nic nemění. Dostanou stejnou obsluhu, jakou měli do současnosti, nikdo jim nebude rušit účty a podobně. GDPR říká, že nemůžeme podmiňovat službu nebo produkt tím, že nám klient poskytne souhlas. Jiné je to s nefinančními službami. Pouze až se souhlasem klienta můžeme předat jeho osobní údaje společnosti Energie ČS - dodavateli elektrické energie a plynu.

Jiří Januška

Jiří Januška, pověřenec pro ochranu osobních údajů České spořitelny

Jiří vystudoval právo a ekonomiku na vysoké škole BIBS. 14 let pracoval pro Policii ČR, v jejíchž řadách se podílel na boji proti korupci a finanční kriminalitě. V České spořitelně působí od roku 2008. Nejprve pracoval v oddělení operačních rizik, poté vedl tým transakčních podvodů. Funkci pověřence pro ochranu osobních údajů zastává od února letošního roku.

V internetovém bankovnictví bývají nabídky - přijďte si k nám pro hypotéku, kontokorent a podobně. Ty budete moci po účinnosti GDPR dál posílat i klientům bez nového souhlasu?

Tady zůstává ještě výkladová nejasnost, kterou řešíme. Otázkou je, jestli můžeme klientovi nabízet úvěr jen na základě toho, že se nějakým způsobem chová v bance, anebo jestli k tomu budeme potřebovat marketingový souhlas, nebo souhlas s profilováním. Čekáme na výklad WP29. Bude to pro nás jeden ze vstupů do centrální logiky, která bude hlídat všechny účely, pro něž data můžeme používat.

A kdyby WP29 souhlas vyžadovala pro všechny nabídky produktů?

Pokud by bylo nutné skutečně marketingový souhlas mít, budeme muset klientům pečlivě vysvětlit, proč by bylo vhodné nám ho dát. Teoreticky může nastat situace, že se na nás obrátí klient, proč jsme mu neřekli, že má možnost od nás získat výhodný úvěr, když ostatní banky na trhu mají úplně jinou procentní sazbu. A my mu řekneme - bohužel, my jsme vám to nemohli nabídnout, protože od vás nemáme podepsaný marketingový souhlas. V této rovině bychom to mohli klientům komunikovat.

GDPR dává subjektům údajů některá nová práva. Jedním z nich je právo na přenositelnost. Nebojíte se, že to usnadní odchod vašich klientů ke konkurenci?

Je potřeba si uvědomit, že přenositelnost účtů mezi bankami již existuje. Co se týče přenositelnosti osobních údajů, kvůli chybějící legislativě není úplně jasné, jakým způsobem to bude probíhat, v jakém rozsahu a podobně. To ukáže až praxe. GDPR bych se tady ale primárně neobával. Garantuje pouze přenos údajů, které klient poskytl bance, ale nejde o přenos interního know-how.

Co konkrétně byste ještě u přenositelnosti potřebovali od úřadů nebo skupiny WP29 dovysvětlit?

Chybí výklad toho, které osobní údaje mají být předmětem přenositelnosti, potom jsou to otázky formátu, v jakém má klient osobní údaje dostávat. Jsou tady obavy z toho, že když klient bude dostávat data na nějakých nosičích, tak může dojít k úniku těchto osobních údajů. Typicky kdyby klient dostal ve strojově čitelném formátu sadu výpisů z účtu, kde nejsou jenom jeho osobní údaje, ale i osobní údaje třetích stran. Tím může být teoreticky poškozena třetí strana. Není jasné ani to, jestli budeme muset přenášet i ty osobních údaje, které vzniknou zpracováváním osobních údajů, jež nám klient poskytl.

Jak budete aplikovat právo klientů na výmaz? Některé údaje musíte přece uchovávat ze zákona.

Naše centrální logika bude zkoumat, zda máme právo ty údaje držet. Pokud klient zruší všechny účty a my nebudeme disponovat žádným platným souhlasem pro marketing a podobně, tak jeho osobní údaje můžeme držet jen ze zákonných důvodů. Smažou se tedy automaticky po uplynutí zákonné lhůty. Přetrvávají tam ale ještě nejasnosti. Například ještě analyzujeme, jestli si po určitou dobu budeme moci ponechat e-mailovou adresu. Rozhodně ji po žádosti o výmaz nebudeme používat k marketingovým účelům, nicméně pro některé další účely je otázka, jestli si ji budeme muset ponechat, či nikoliv.

Jak budete komunikovat klientům, že všechny jejich osobní údaje hned vymazat nemůžete?

Na konkrétním řešení se ještě pracuje. Máme několik návrhů. GDPR nám ukládá, že musíme odpovědět klientovi na žádost o výmaz do jednoho měsíce. Tak jak my to vnímáme, pro klienty je nejdůležitější, aby je nikdo neobtěžoval zejména s marketingovými sděleními. Budeme jim muset vysvětlit, že když dnes zruší účet, tak pro banku samotnou jako by už neexistovali, ale vzhledem k tomu, že existují nějaká zákonná pravidla, třeba zákon proti legalizaci výnosů z trestné činnosti, musíme jejich osobní údaje po stanovenou dobu držet.

Novinkou je i povinnost oznamovat bezpečnostní incidenty Úřadu pro ochranu osobních údajů. Jak ji budete plnit?

Zatím se ani Úřad pro ochranu osobních údajů nevyjádřil, jakým způsobem by mělo docházet k oznamování. Uvažuje se o tom, že by pro finanční sektor mohl být jednotný formulář. Abychom ale mohli poslat úřadu zprávu, tak se o té události musíme především dovědět. V tom máme výhodu, že už v rámci operačního rizika máme nastavený systém, pomocí kterého nám každý zaměstnanec může nahlásit každou událost operačního rizika. Tento systém budeme využívat i k tomu, abychom se dozvídali o bezpečnostních incidentech.

Kolik jste v posledních letech zaznamenali případů, které byste podle GDPR museli hlásit úřadu?

V posledních pěti letech by to byly drobné jednotky. Příkladem může být únik informací a jejich využívání Fincentrem na počátku tohoto roku. Tam je skutečně podezření, že došlo k předání většího množství klientských údajů z České spořitelny. Tito klienti jsou následně oslovováni Fincentrem s nabídkami.

Vyčíslili jste už náklady, na kolik vás příprava na GDPR vyjde?

My jsme ten projekt pojali možná trochu odlišným způsobem, když jsme se rozhodli, že uděláme celkovou revizi dnešního nastavení, abychom se ujistili, že jsme v souladu s novinkami, které přináší GDPR. Z tohoto důvodu jsou tam dodatečné práce a je pro nás těžké oddělit, co je přesně dopadem GDPR a co je naše interní nadstavba. Náklady na celý projekt jako takový překročí 100 milionů korun.

Vidíte v GDPR i nějakou příležitost pro byznys, která by mohla alespoň část nákladů kompenzovat?

Pro klienty to bude další dodatečné ujištění o bezpečnosti dat, která poskytují bance. Chceme s tím začít aktivně pracovat, nabídnout klientům dodatečné změny, které souvisí s ochranou jejich údajů. Posílení důvěry by mohlo být jednou z byznysových příležitostí, na kterých bychom mohli stavět.

 

Rozhovor byl publikován v magazínu Právní rádce.