K sdílení informací mezi povinnými osobami v oblasti opatření proti legalizaci výnosů z trestné činnosti a finacování terorismu
V jakých případech umožňuje zákon č. 253/2008 Sb. sdílení údajů o klientovi mezi povinnými osobami? Jsou zákonem nebo jiným závazným předpisem stanoveny konkrétní požadavky na rozsah a způsob uchovávání údajů o klientovi povinnou osobou dle zákona č. 253/2008 Sb., jestliže na tyto údaje spoléhají i další povinné osoby? Jsou stanoveny požadavky na způsob sdílení údajů mezi povinnými osobami?
Zákon č. 253/2008 Sb. předvídá situace, kdy jsou tytéž identifikační a další údaje o klientovi užívány více povinnými osobami:
a) převzetí identifikace a údajů dle § 11 zákona č. 253/2008 Sb.,
b) spolupráce více povinných osob na konkrétním obchodu s týmž klientem
dle § 17 zákona č. 253/2008 Sb. a
c) výjimky z mlčenlivosti dle § 39 odst. 2 písm. a) a c) zákona č. 253/2008Sb.
Pokud jde o převzetí identifikace a údajů dle § 11 odst. 1 zákona č. 253/2008 Sb.:
Úvěrová nebo finanční instituce, která identifikaci nebo zjištění příslušných údajů provedla, a která se zavázala tyto údaje poskytovat jiné povinné osobě dle § 11 odst. 2 zákona č. 253/2008 Sb. (dále jen „zdrojová instituce“), musí tyto identifikační a jiné údaje uchovávat takovým způsobem, který jí umožní tyto údaje neprodleně poskytnout povinné osobě, která na zdrojovou instituci v této otázce spoléhá (dále jen „přijímající instituce“). Vedle toho musí splňovat standardní požadavky na uchovávání informací, stanovené zejm. v § 16 zákona č. 253/2008 Sb.
Ve smluvní dokumentaci mezi zdrojovou institucí a přijímající institucí bude zpravidla vymezen konkrétní způsob a lhůty poskytování údajů. V praxi se takové sdílení údajů může realizovat například tak, že zdrojová instituce umožní přijímající instituci přístup do své počítačové databáze, ve které má údaje uloženy. Zdrojová instituce k poskytnutí informací dle § 11 odst. 1 zákona č. 253/2008 Sb. potřebuje souhlas klienta (§ 11 odst. 2 věta druhá zákona č. 253/2008 Sb.).
Zákon č. 253/2008 Sb. neumožňuje, aby zdrojová instituce poskytovala přijímající instituci údaje, které sama převzala od jiné instituce (viz § 11 odst. 2: „... poskytnutí informací ... od instituce ..., která zjištění údajů provedla.“).
Pokud jde o rozsah, není nezbytné, aby přijímající instituce přebírala všechny informace uvedené v návětí § 11 odst. 1 jen od zdrojové instituce. Může přebírat např. pouze identifikaci klienta a údaje o skutečném majiteli a další součásti kontroly klienta provádět sama. Vždy však ve výsledku musí mít přijímající instituce přístup ke všem informacím, které by musela dle zákon č. 253/2008 Sb. sama získat, kdyby možnosti převzetí dle § 11 nevyužila.
V případě, že přijímající instituce získá pochybnost o správnosti přijímaných informací, nesmí na ně spoléhat (tj. přebírat je ve smyslu § 11 odst. 1 zákona č. 253/2008 Sb.) a musí si opatřit informace spolehlivé.
Pokud jde o situaci předvídanou v § 11 odst. 4 zákona č. 253/2008 Sb.:
Zde sice povinná osoba uzavírající na dálku s klientem smlouvu o finančních službách, v určitém smyslu také spoléhá na jinou povinnou osobu, tedy na instituci, která vede účet, jehož prostřednictvím bude provedena první platba podle této smlouvy o finančních službách. Nedochází však ke sdílení údajů o klientovi mezi těmito povinnými osobami s výjimkou standardních údajů, které povinně doprovázejí každou platbu v souladu s nařízením Evropského parlamentu a Rady (EU) č. 1781/2006 o informacích o plátci doprovázejících převody peněžních prostředků.
Pokud jde o situaci předvídanou v § 11 odst. 5 zákona č. 253/2008 Sb.:
Zde zákon č. 253/2008 Sb. zavádí povinnost, aby zjištěné informace, včetně kopií příslušných dokladů, byly uloženy u povinné osoby, jejímž jménem a na jejíž účet byla provedena identifikace klienta, resp. zjištěny další údaje o klientovi.
Mohla by vznikat nejasnost v otázce, u které povinné osoby mají být údaje uloženy v případech, kdy i osoba, které provede identifikaci klienta a zjištění dalších údajů, bude ve vztahu k této činnosti sama také povinnou osobou dle zákona č. 253/2008 Sb. V takovém případě by informace musely být uloženy u obou těchto povinných osob, ledaže by bylo postupováno dle § 11 odst. 1 nebo § 17 zákona č. 253/2008 Sb.
Pokud jde o situaci předvídanou v § 11 odst. 6 zákon č. 253/2008 Sb.:
Investiční zprostředkovatel není sám povinnou osobou (§ 2 odst. 1 písm. b) bod 3. zákona č. 253/2008 Sb.). Zákon č. 253/2008 Sb. zde narozdíl od situace popsané v § 11 odst. 5 výslovně neurčuje, u jakého subjektu se ukládají zjištěné informace o klientovi. Z § 16 však opět plyne, že informace uchovává povinná osoba.
Pokud jde o situaci předvídanou v § 17 zákona č. 253/2008 Sb.:
V tomto ustanovení se upravuje pouze uchovávání údajů, nikoli provádění identifikace a zjišťování dalších informací o klientovi. Zákon č. 253/2008 Sb. umožňuje, aby povinně uchovávané údaje dle § 16 byly uchovávány pouze jednou z povinných osob, které se na tomto konkrétním obchodu podílejí. Typ povinné osoby není zákonem stanoven, takže nemusí nutně jít pouze o ty o povinné osoby, na které lze spoléhat při převzetí identifikace dle § 11 odst. 2. Na zajištění přístupnosti údajů dle § 17 klade zákon obdobné požadavky jako v § 11 odst. 2. Ostatní povinné osoby musejí mít zajištěno, že údaje budou mít k dispozici bez zbytečného odkladu.
Pokud jde o situace předvídané v § 39 odst. 2 zákona č. 253/2008 Sb.:
Podle § 39 odst. 2 písm. a) a c) zákona č. 253/2008 Sb. mohou spolupracující povinné osoby sdílet i informace, na které se jinak vztahuje mlčenlivost podle § 38 tohoto zákona, tedy i informace o podaných oznámeních podezřelého obchodu včetně všech s tím souvisejících informací, jako např. hodnocení rizikovosti klienta.
Úprava ve vyhlášce č. 281/2008 Sb.
Vyhláška č. 281/2008 Sb. rovněž obsahuje požadavky na způsob uchovávání údajů povinnou osobou. Jsou to požadavky obecné, uplatní se tedy nejen na ty povinné osoby, u kterých jsou uloženy informace, na které jiné povinné osoby spoléhají. Ustanovení § 7 vyhlášky č. 281/2008 Sb. ukládá povinnost, aby veškeré schvalovací a rozhodovací procesy a kontrolní činnosti v rámci systému vnitřních zásad, postupů a kontrolních opatření, včetně souvisejících odpovědností, pravomocí a podkladů, bylo možné zpětně vysledovat (rekonstruovat).
K zabezpečení tohoto požadavku musí povinné osoby zavést a udržovat odpovídající systém uchování informací. Požadavky na rekonstruovatelnost schvalovacích a rozhodovacích procesů a tomu odpovídající informační systémy jsou obsaženy také v dalších předpisech regulujících činnost některých povinných osob, jakožto součást řídicího a kontrolního systému. Např.:
- 10 vyhlášky č. 123/2007 Sb. o pravidlech obezřetného podnikání bank, §spořitelních a úvěrních družstev a obchodníků s cennými papíry, ve znění pozdějších předpisů;
- § 3 odst. 4 vyhlášky č. 194/2011 Sb., o podrobnější úpravě některých pravidel v kolektivním investování, ve znění pozdějších předpisů;
- příloha č. 1 vyhlášky č. 434/2009 Sb., kterou se provádějí některá ustanovení zákona o pojišťovnictví, ve znění pozdějších předpisů (část I, odst. 3).
Ustanovení § 7 vyhlášky č. 281/2008 Sb. však dopadá i na ty povinné osoby, v jejichž sektorové úpravě není taková povinnost upravena obecně (např. pojišťovací zprostředkovatelé a likvidátoři pojistných událostí dle zákona č. 38/2004 Sb., o pojišťovacích zprostředkovatelích a likvidátorech pojistných událostí, ve znění pozdějších předpisů).
Úprava v dalších předpisech
Výše již uvedené sektorové předpisy regulující činnost úvěrových a některých finančních institucí, kladou také další požadavky na rozsah a formu uchovávaných údajů. Ty zpravidla vyplývají z požadavků na jejich řídicí a kontrolní systémy.