To nejzajímavější z výroční zprávy Úřadu pro ochranu osobních údajů za rok 2022

I letos shrnul Úřad pro ochranu osobních údajů (ÚOOÚ) svou dozorovou a rozhodovací činnost za uplynulý rok do výroční zprávy. Vybrali jsme to nejzásadnější z oblastí, které jsou pro nás relevantní.

V roce 2022 obdržel Úřad pro ochranu osobních údajů (ÚOOÚ) celkem 2 192 podnětů a stížností, z toho 1/4 se týkala obchodních sdělení a telemarketingu. Řešil 313 porušení zabezpečení osobních údajů (data breach), přičemž nejčastější uváděnou příčinou byl kybernetický útok. Ve zmíněných oblastech zahájil 37 kontrol. Kvůli nedodržení pravidel pro obchodní sdělení uložil pravomocně 30 pokut v celkové částce 828 000 Kč. Nejvyšší pokuta (za rozesílání obchodních sdělení bez právního titulu) činila 250 000 Kč. Nejčastějším pochybením byl chybějící právní titul při rozesílání obchodních sdělení a nedodržení jejich náležitostí (zejména chybějící možnost zasílání odmítnout).

Častá témata podnětů a stížností

Spotřebitelé se rychle učí, že ochranu svých osobních údajů by neměli podceňovat, a začínají se bránit. Nejčastěji si stěžovali na následující problémy.

  • Kopírování občanských průkazů

Kopii dokladu totožnosti vyžadovaly především půjčovny různých věcí. Nepoužívaly však šablony pro zakrytí některých údajů, takže zpracovávaly i ty údaje, které pro identifikaci fyzické osoby nejsou potřebné. Správce navíc obvykle nedisponoval právním důvodem ani dostatečně neplnil informační povinnost dle čl. 13 GDPR.

  • Stížnosti na zaměstnavatele

Velmi častým pochybením bylo nevyřízení žádosti zaměstnance/bývalého zaměstnance související s výkonem jeho práv podle GDPR, typicky žádosti o výmaz. Úřad opakovaně řešil stížnosti na nezrušení pracovní e-mailové schránky v návaznosti na ukončení pracovního poměru, a tedy další zpracování e-mailové adresy, která obsahovala jméno a příjmení zaměstnance, čili osobní údaje. V některých případech se jednalo o nedbalost, jindy byl však e-mail cíleně přesměrován na jiného pracovníka a dále monitorován. Docházelo tak i k porušení listovního tajemství.

  • Cookies

Nejčastější prohřešky, které úřad řešil, se týkaly možnosti odmítnout cookies, opakovaného zobrazování cookies lišty, doby platnosti souhlasu, klasifikace cookies souborů a cizího jazyka cookies lišty.

  • Obchodní sdělení

Úřad za rok 2022 evidoval celkem 906 stížností podaných kvůli šíření nevyžádaných obchodních sdělení. Číslo je podobné jako v předešlých letech.

Zajímavosti z kontrol

Ze všech provedených kontrol, o nichž úřad ve své zprávě podrobněji informuje, jsme vybrali ty konkrétní případy, které jsou nejzajímavější pro oblasti, jimž se dlouhodobě věnujeme.

  • Telemarketing a svobodný souhlas

Kontrolovaný subjekt zastával názor, že vygenerované telefonní číslo není osobním údajem. ÚOOÚ upozorňuje, že to je v rozporu s GDPR. Nařízení GDPR porušil subjekt také při získávání souhlasu – nebyl udělen svobodně. Spojoval totiž více účelů (zasílání obchodních sdělení; zjištění relevantních potřeb; nabídka a poskytování investičních příležitostí; péče o klienta; nabízení dalších produktů a služeb), pro něž měl být udělován vždy samostatný souhlas.

  • Odcizené notebooky

Na základě podnětu zahájil ÚOOÚ kontrolu u subjektu, kterému byly v nočních hodinách z prostor odcizeny notebooky. Porušení GDPR shledal v nedostatečném zabezpečení jak prostor (chybějící kamerový monitoring a detekce pohybu), tak samotných zařízení (žádné šifrování ani ověřování uživatelů). Nadto nebyl incident ze strany společnosti vůbec nahlášen ÚOOÚ ani samotným subjektům údajů.

  • Identifikace subjektu, jehož jménem jsou rozesílána obchodní sdělení

Úřad rozhodoval také ve věci rozesílání obchodních sdělení bez souhlasu adresátů a bez uvedení subjektu, v jehož prospěch se komunikace uskutečňuje. Zdůraznil, že odesílatel a subjekt, v jehož prospěch se odesílání uskutečňuje, mohou být rozdílné osoby, a i proto je vždy nezbytné v rámci komunikace jednoznačně identifikovat osobu, jejíž zboží, služba či image se propagují (a nikoli pouze osobu, která uskutečňuje rozesílku).

Mohlo by vás také zajímat:

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí

Za rozesílání obchodních sdělení je zodpovědný šiřitel i zadavatel

Úřad pro kyberbezpečnost varuje před novými podvody – správci jsou povinni reagovat

Evropská komise podala žalobu na Českou republiku kvůli směrnici o whistleblowingu

Evropská komise podala 13. března žalobu na Českou republiku kvůli tomu, že nezavedla do svého práva směrnici o ochraně oznamovatelů protiprávního jednání, tzv. whistleblowerů. Pokuta dosahuje více než 50 milionů korun a stále narůstá.

Česká republika předložila návrh zákona na ochranu oznamovatelů odpovídající požadavkům směrnice EU 2019/1937 už v minulém volebním období, a dokonce byla prvním členským státem EU, který tak učinil. Nicméně návrh se nepodařilo prosadit. Současný návrh předložila vláda Poslanecké sněmovně v listopadu 2022. V dubnu by se mohlo uskutečnit druhé čtení. Po něm bude následovat třetí čtení, projednání v Senátu, podpis prezidenta republiky a vyhlášení ve Sbírce zákonů. To vše zabere ještě několik dalších měsíců.

Lhůta pro implementaci směrnice z roku 2019 uplynula 17. prosince 2021. Komise požádala Soudní dvůr Evropské unie (SDEU) o vyměření pokuty, která se bude navyšovat, dokud Česká republika nezačne respektovat unijní pravidla. Kromě momentálních zhruba 54 milionů korun zaplatí Česko za každý další den prodlení 4 900 eur (zhruba 115 000 korun).

Směrnici o ochraně oznamovatelů protiprávního jednání včas nezavedlo celkem osm zemí, pokutě čelí šest z nich. Pro Českou republiku je to poprvé, kdy musí zaplatit pokutu za pozdní přijetí legislativy.

Evropská směrnice o whistleblowingu má pomoct především v případech, kdy hrozí poškození veřejných zájmů. To se týká oblastí, jako jsou ochrana životního prostředí, zadávání veřejných zakázek nebo jaderná bezpečnost. Již ke dni uplynutí transpoziční lhůty se přistoupilo k aplikaci tzv. přímého vertikálního účinku směrnice. Díky tomu se whistlebloweři mohou dovolávat svých práv přímo vůči státu.

Mohlo by vás také zajímat:

Novela zákona o evidenci skutečných majitelů dopadne i na pojišťovny

Vodafone musí zaplatit pokutu přes 1,3 milionu korun za zpracovávání dat bez právního základu

Úřad pro kyberbezpečnost varuje před novými podvody – správci jsou povinni reagovat

Za rozesílání obchodních sdělení je zodpovědný šiřitel i zadavatel

Nejvyšší správní soud svým rozsudkem definitivně potvrdil rozhodnutí, kterým Úřad pro ochranu osobních údajů (ÚOOÚ) udělil sankci ve výši 1,4 mil. Kč za šíření obchodních sdělení.

Podle ÚOOÚ „odpovědnost za šíření obchodních sdělení nese kromě samotného rozesílatele i ten, kdo takovou rozesílku ve svůj prospěch inicioval“.  Iniciováním se v tomto případě rozumí jakákoli forma pokynu od objednávky přes příkaz až po využívání digitálních nástrojů jako affiliate nebo lead marketing.

Bez ohledu na to, zda firma šíření obchodních sdělení provádí, nebo zadává, musí si ověřit, jestli adresáti udělili pro zasílání obchodních sdělení platný souhlas. Jedině pak je rozesílka v souladu se zákonem.

Zdroj

Mohlo by vás také zajímat:

Úřad pro kyberbezpečnost varuje před novými podvody – správci jsou povinni reagovat

Telemarketing v kontextu novely zákona o elektronických komunikacích

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí

 

Novela zákona o evidenci skutečných majitelů dopadne i na pojišťovny

Po roce účinnosti zákona č. 37/2021 Sb., o evidenci skutečných majitelů, (dále jen „ZESM“) došlo k přijetí novely provedené zákonem č. 245/2022 Sb. Tato novela má za cíl zapracovat připomínky Evropské komise, dle níž stávající právní úprava nebyla v souladu se směrnicí o AML1. Novela je účinná od 1. 10. 2022 a dotkne se i pojišťoven.

Pojišťoven se novela dotkne dvojím způsobem. Jako povinné osoby dle AML zákona2 by měly změnu definice skutečného majitele, rozšíření okruhu osob, které mají povinnost evidovat skutečného majitele a nová pravidla řešení nesrovnalostí zohlednit ve svých interních AML předpisech, dokumentech pro klienty (např. dotazník k identifikaci a kontrole klienta) a AML školeních svých zaměstnanců a spolupracujících osob.

Zároveň jako osoby, které mají povinnost evidovat své skutečné majitele, musí zkontrolovat, zda se změnou definice skutečného majitele změní jimi zapsaný údaj v evidenci, a do 1. 4. 2023 uvést zápis do souladu s novelou.

U některých zkoumaných osob nelze vyloučit, že v důsledku nového znění § 4 odst. 1 písm. c) ZESM budou skutečnými majiteli i osoby, které dle stávající úpravy skutečnými majiteli nejsou. Novelou se zásadním způsobem mění soukromoprávní sankce za neexistenci zápisu skutečného majitele v evidenci, pokud se jedná o tzv. náhradní skutečné majitele dle § 5 jako osoby ve vrcholném vedení.

Změna definice skutečného majitele

I po novele bude platit, že skutečným majitelem může být pouze fyzická osoba a že skutečných majitelů může být více. Největší změnou je zavedení jednotné materiální charakteristiky skutečného majitele. Skutečným majitelem dle novely bude každá fyzická osoba, která v konečném důsledku vlastní nebo kontroluje právnickou osobu nebo právní uspořádání. Je-li někdo skutečným majitelem, je to samostatná a dostačující kvalita, která již není formálně dále vnitřně členěna. Novelou dojde ke zrušení rozlišování mezi koncovým příjemcem a osobou s koncovým vlivem, neboť další podrobnější kategorizace materiálních skutečných majitelů nemá být relevantní. Každý materiální skutečný majitel ve smyslu novely vždy „vlastní nebo kontroluje“, aniž je rozlišováno mezi tím, zda konkrétně spíše vlastní, kontroluje, nebo obojí.

Dle nového § 4 odst. 1 bude skutečný majitel definován jako každá fyzická osoba, která vlastní nebo kontroluje korporaci tím, že přímo nebo nepřímo:

a) má podíl v korporaci (akcie, podíl společníka) nebo hlasovacích právech větší než 25 %,
b) má podíl na zisku, jiných vlastních zdrojích nebo likvidačním zůstatku větší než 25 %,
c) uplatňuje rozhodující vliv v korporaci nebo korporacích, které mají v dané korporaci samostatně nebo společně podíl větší než 25 %, nebo
d) uplatňuje rozhodující vliv v korporaci jinými prostředky.

ZESM definuje, co se rozumí uplatněním rozhodujícího vlivu v korporaci. Rozhodující vliv v obchodní korporaci nejčastěji uplatňuje ovládající osoba dle § 74 a 75 zákona o obchodních korporacích.

Zásadní změna se promítla do znění § 4 odst. 1 písm. c), který upravuje tzv. nepřímé vlastnictví spočívající v kontrole jiné korporace, která je společníkem či akcionářem s více jak 25% podílem ve zkoumané korporaci. Nově nepřímý skutečný majitel nemusí ovládat korporaci, která je předmětem zkoumání. Podle stávající právní úpravy skutečný majitel je osoba, která má na zkoumané korporaci podíl zejména vyšší než 25 %. Podle novely budou skutečnými majiteli všechny osoby, které jsou ovládající osobou korporace, která má více jak 25% podíl na zkoumané společnosti, přestože jejich nepřímý podíl na zkoumané korporaci může být nižší než 25 %.

Důvodová zpráva uvádí příklad této změny. Podle stávající úpravy by skutečným majitelem společnosti A (viz obrázek níže), nejsou-li známy další okolnosti, byla pouze paní Běla. U společnosti B, která má 40% podíl na společnosti A, a paní Běly, která má 60% podíl ve společnosti B, se uplatní domněnka ovládání podle § 75 odst. 2 zákona o obchodních korporacích. V případě společností C a D jejich podíl na společnosti B domněnku ovládání obecně nezaloží. Dle novely však skutečnými majiteli budou paní Běla, paní Dana a pan Emil. Každý z nich je totiž ovládající osobou (naplní domněnku) vůči korporaci, která má více jak 25% podíl na zkoumané společnosti A.

Určení skutečného majitele

Určení skutečného majitele dle § 4 odst. 1 písm. d) je sběrnou kategorií, která má případně postihnout ty skutečné majitele, kteří uplatňují rozhodující vliv jinak než prostřednictvím přímých či nepřímých podílů.

Novela zákona počítá, stejně jako současná právní úprava, s tím, že se nemusí podařit dohledat skutečného majitele. Dle novely se bude evidovat osoba ve vrcholném vedení jako tzv. náhradní skutečný majitel dle § 5 ZESM. Pokud je u korporace určen náhradní skutečný majitel, je tento (náhradním) skutečným majitelem i korporací v podřízené struktuře vztahů, přičemž u těchto korporací se již samostatně náhradní skutečný majitel neurčuje. V praxi dceřiná společnost, ve které je uplatněn rozhodující vliv mateřskou společností, určí jako své (náhradní) skutečné majitele osoby, které jsou náhradními skutečnými majiteli její mateřské společnosti.

Do 1 měsíce od účinnosti zákona Ministerstvo spravedlnosti pomocí automatického systému zajistí u již evidovaných subjektů automatický průpis údajů v evidenci takto:

— přepočítá a přepíše automatické průpisy dle nových pravidel u subjektů, u nichž je již automatický průpis nastaven podle stávající právní úpravy (např. společníci s. r. o. s podílem větším než 25 %, jediný akcionář),
— přepsání (přejmenování) některých údajů tak, aby bylo dosaženo souladu s novou právní úpravou a její terminologií. V návaznosti na zrušení pojmů „koncový příjemce“ a „osoba s koncovým vlivem“ dojde v zápisech k jejich automatizovanému nahrazení obecným pojmem „skutečný majitel podle § 4 zákona č. 37/2021 Sb.“.

Pouze v těchto případech nebude nutné žádat o změnu zápisu. Pro ostatní subjekty, které splnily evidenční povinnost podle dosavadní právní úpravy, je také stanovena šestiměsíční lhůta pro uvedení stavu zápisu do souladu s novým vymezením skutečného majitele. Potřeba zasahovat do zápisů v důsledku navrhované úpravy se omezí na situace, kdy zápisy nebudou úplné, tj. někteří skuteční majitelé ve smyslu novely nebudou evidovaní. Lhůta reaguje především na situace, kdy budou v důsledku nové právní úpravy v evidenci skutečných majitelů zapsány i osoby, které skutečnými majiteli podle nových pravidel nebudou (např. v důsledku zrušení § 3 odst. 1 ZESM). K těmto údajům se ze zákona nebude přihlížet. Evidující osoby současně nebudou tyto neaktuální údaje nuceny mazat, protože takový údaj nebude působit nesrovnalost ani porušení evidenční povinnosti podle § 9 odst. 1 ZESM. V šestiměsíční lhůtě od 1. 10. 2022 jsou osvobozeny od poplatků návrhy na zápis u osob, které před novelou zákona splnily svou povinnost zápisu údajů do evidence, kterými dochází k úpravězápisu tak, aby odpovídal požadavkům novelizovaného zákona. Od poplatku se osvobozuje pouze jeden první návrh na zápis prováděný soudem. Zápisy prováděné notáři budou zpoplatněny beze změn.

Rozšíření osob s povinností evidovat skutečného majitele

Další významnou změnou je také zúžení okruhu osob, kterým je udělena výjimka z nutnosti evidence skutečného majitele. Dle Evropské komise byla stávající právní úprava výjimek příliš široká a zahrnovala velký počet subjektů, který nemusí dokládat skutečného majitele, a nevyhovovala AML směrnici. Vymezení osob bez skutečného majitele je uvedeno obecně v § 7 ZESM, přičemž mezi ně i nadále budou spadat např. stát, Česká národní banka, Česká televize, Český rozhlas, Garanční systém finančního trhu, státní fondy, Všeobecná zdravotní pojišťovna. Naopak tato výjimka nedopadá například na ČKP, která musí nově skutečného majitele mít.

Nově jsou tedy od 1. 10. 2022 povinny evidovat údaje o skutečných majitelích tyto osoby:

— okresní a regionální komory,
— politické strany a politická hnutí,
— církve a náboženské společnosti a ostatní právnické osoby podle zákona upravujícího církve a náboženské společnosti,
— odborové organizace a organizace zaměstnavatelů,
— honební společenstva,
— společenství vlastníků jednotek.

U těchto nových subjektů je skutečným majitelem osoba, která je zapsána ve veřejném rejstříku nebo jiném registru jako člen statutárního orgánu nebo fyzická osoba v obdobném postavení nebo osoba zastupující právnickou osobu v tomto orgánu. Do 1. 11. 2022 dojde u těchto subjektů k automatickému propsání údajů s tím, že den nabytí účinnosti novely, tedy 1. 10. 2022, bude zapsán jako den, od kterého je osoba skutečným majitelem. V případě, že nedojde k automatickému průpisu (např. z důvodu neplnění povinností zápisu statutárního orgánu v obchodním rejstříku), mají nově zapisované subjekty lhůtu 6 měsíců ode dne účinnosti zákona k provedení zápisu. První návrh na zápis v této lhůtě bude osvobozen od soudního poplatku.

Nesrovnalost v evidenci skutečných majitelů

Zákaz výplaty podílu na zisku a výkonu hlasovacích práv je novelou zásadně změněn v případě obchodních korporací s tzv. náhradním skutečným majitelem. V současné době platí, že není-li skutečný majitel obchodní korporace zapsán v evidenci, nesmí tato obchodní korporace vyplatit podíl na zisku, jiných vlastních zdrojích nebo likvidačním zůstatku jemu ani právnické osobě nebo právnímu uspořádání, jichž je rovněž skutečným majitelem, a tato osoba nesmí při rozhodování nejvyššího orgánu obchodní korporace vykonávat hlasovací práva nebo rozhodovat jako její jediný společník. Po novele to však neplatí v případě tzv. náhradního skutečného majitele dle § 5 odst. 1 a 3 na základě svého postavení osoby ve vrcholném vedení. Další výjimkou jsou situace, kdy vzniklo postavení skutečného majitele v období 30 dnů přede dnem rozhodování nejvyššího orgánu nebo jediného společníka. Novelou došlo k prodloužení lhůty, během které není skutečný majitel nezapsaný v evidenci skutečných majitelů vyloučen z rozhodování nejvyššího orgánu korporace, z 15 na 30 dnů. Výše uvedenými změnami se staví najisto, že v případě korporátních struktur bez materiálního skutečného majitele se zákazy výplaty zisku a hlasovacích práv uplatnit nemají. Zákaz se prakticky neuplatní na tyto situace. Nezapsaným náhradním skutečným majitelem je osoba ve vrcholném vedení, která je současně společníkem evidující osoby s malým podílem, který nezakládá pozici materiálního skutečného majitele (akcionář s 1% podílem), nebo osoba ve vrcholném vedení korporace na vrcholu řetězení určovaného podle § 5 odst. 3 ZESM. Jelikož nové pravidlo má za cíl jednoznačně vyřešit doktrinální a praktickou nejasnost, nelze dosavadní znění § 53 a 54 ZESM vykládat tak, že ve výše uvedených případech daná ustanovení dosud neumožňovala výplatu zisku nebo výkon hlasovacích práv.

V případě automatického průpisu údajů po novele se automaticky propíše den zápisu nebo výmazu skutečnosti ve veřejném rejstříku jako den, od kterého nebo do kterého je fyzická osoba skutečným majitelem; tento údaj nepůsobí nesrovnalost ani porušení povinnosti podle § 9 odst. 1. Toto pravidlo reaguje na skutečnost, že při využití mechanismu automatických průpisů není možné poznat skutečný den, od kterého je fyzická osoba skutečným majitelem, ale jen den, kdy došlo k zápisu rozhodné skutečnosti do veřejného rejstříku, respektive do registru obyvatel. Např. v případě společníka s. r. o. nelze ze zápisu v obchodním rejstříku seznat den nabytí účinků smlouvy o převodu podílu, ale pouze den, kdy k zápisu tohoto společníka došlo. Skutečný den vzniku postavení je případně možné seznat z dokumentů ve sbírce listin, kterou však mechanismus automatického průpisu zohledňovat neumí. Obdobná bude situace při průpisu členů statutárního orgánu. Tuto nepřesnost nelze vnímat jako nezajištění souladu zápisu se skutečným stavem. Dle důvodové zprávy se toto ustanovení uplatní i zpětně, tzn. i ve vztahu k automatickým průpisům proběhlým dle dosavadní právní úpravy.

Přechodná ustanovení novely upravují pravidla nesrovnalosti v období od 1. 10. 2022 do 1. 4. 2023 pro osoby, kterým nově vznikla povinnost evidovat skutečného majitele. V tomto přechodném období se nepoužijí ustanovení o nesrovnalosti v evidenci skutečných majitelů podle ZESM a zjišťování skutečného majitele prostřednictvím evidence (např. podle AML zákona či zákona o zadávání veřejných zakázek). Tato ustanovení se neuplatní pouze do okamžiku, než je zajištěn první zápis údajů o skutečném majiteli do evidence. Ve většině případů dojde k zajištění zápisu prostřednictvím automatického průpisu krátce po nabytí účinnosti návrhu zákona. Povinné osoby dle AML zákona standardně zkontrolují údaje v evidenci skutečných majitelů. Pokud v evidenci nebudou vedeny žádné údaje a dosud neuběhlo přechodné období, nebude se jednat ve vztahu k evidenci o nesrovnalost. Pokud však dříve k zápisu skutečného majitele dojde, postupuje se vůči těmto subjektům standardně a povinné osoby budou hlásit případné zjištěné nesrovnalosti. U osob, které řádně evidovaly skutečné majitele před účinností novely, po přechodnou dobu 6 měsíců nepůsobí nesrovnalost ani porušení zákona údaje, které byly zapsány dle stávajícího zákona.

autorka: JUDr. Monika Herešová Mráková
21. 11. 2022
Článek vyšel také v Pojistném obzoru.

 

Mohlo by vás také zajímat:

Novela AML zákona s dopadem na pojišťovnictví

Potenciálně rizikový vývoj v oblasti regulace flotilového pojišťování

Informační povinnost u neživotního pojištění na Slovensku se týká i českých poskytovatelů

Úřad pro kyberbezpečnost varuje před novými podvody – správci jsou povinni reagovat

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) doporučuje správcům osobních údajů, aby zavedli nová opatření proti napadení kyberzločinci. Každé napadení totiž znamená potenciální porušení zabezpečení osobních údajů.

Důvodem varování je konkrétní způsob phishingového útoku.

Co je phishing?

NÚKIB popisuje tuto formu podvodu následovně: „Rozesílání podvodných e-mailů (spam, phishing mail), vytvářejících dojem, že se jedná o důvěryhodnou zprávu známé instituce, většinou obsahuje odkaz na podvodné internetové stránky.“ Může se jednat také o podvodné zprávy na sociálních sítích, SMS nebo telefonáty.

Více o phishingu a jak ho odhalit se dočtete na stránkách úřadu.

Tentokrát se jedná o podvodnou nabídku příspěvku na bydlení od Ministerstva práce a sociálních věcí (MPSV). Jakmile se adresát na falešném webu přihlásí pomocí bankovní identity, útočníci využijí jeho přihlašovací údaje k přihlášení do skutečného internetového bankovnictví. Odtud pak obratem odejde výzva k dvoufázovému ověření, kterou oběť pochopitelně hned potvrdí a vpustí tak zloděje přímo ke svému kontu.

NÚKIB současně indikoval závažnou zranitelnost vzdáleného VPN připojení klienta do vnitřní sítě.

Správci údajů musejí varování uposlechnout!

Pokud Národní úřad pro kybernetickou a informační bezpečnost nebo jiná relevantní autorita upozorní na zranitelnost softwarové aplikace, správce musí učinit doporučené kroky k zajištění potřebné ochrany osobních údajů. Jestliže správce včas nezareaguje a později dojde k napadení právě prostřednictvím zmiňované aplikace, lze to vyhodnotit jako porušení povinností správce.

Více podrobností na webech ÚOOÚ a NÚKIB.

Mohlo by vás také zajímat:

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí

Pokuta pro Volkswagen ve spojitosti s výzkumem řídícího asistenčního systému

Vodafone musí zaplatit pokutu přes 1,3 milionu korun za zpracovávání dat bez právního základu

Vodafone musí zaplatit pokutu přes 1,3 milionu korun za zpracovávání dat bez právního základu

Španělský úřad pro ochranu osobních údajů (AEPD) zveřejnil 16. listopadu 2021 své usnesení, v němž uložil společnosti Vodafone España S.A.U. pokutu ve výši 70 000 eur (zhruba 1,7 milionu korun) za porušení článku 6 odst. 1 obecného nařízení o ochraně osobních údajů (GDPR). Pokuta byla následně zredukována na 56 000 eur (zhruba 1,3 milionu korun).

Úřad reagoval na stížnost, kterou proti společnosti Vodafone podal zákazník poté, co si cizí osoba pořídila iPhone přes společnost Vodafone na jméno stěžovatele, sjednala si splátkový kalendář a změnila kontaktní údaje stěžovatele. AEPD navíc uvedla, že podvodník vydávající se za stěžovatele poskytl společnosti jako doklad totožnosti pouze jméno a identifikační číslo.

AEPD dospěl k závěru, že společnost Vodafone při uzavírání smlouvy nedostatečně prověřila identitu podvodníka. Na základě přitěžujících okolností považoval AEPD za vhodné uložit společnosti Vodafone pokutu ve výši 70 000 eur, po dobrovolné úhradě však byla snížena na 56 000 eur.

„Případ ukazuje, že princip minimalizace údajů nelze v některých situacích přehánět. Naopak, nedostatečné ověření může samo o sobě vést mimo jiné k porušení GDPR, ale též k odpovědnosti za případnou škodu způsobenou podvedenému zákazníkovi,“ dodává advokát Jakub Hruška z Privatry.

Rozhodnutí ve španělštině si můžete přečíst zde.

Zdroj

Mohlo by vás také zajímat:

Telemarketing v kontextu novely zákona o elektronických komunikacích

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí

Pokuta pro Volkswagen ve spojitosti s výzkumem řídícího asistenčního systému

Státní komisař pro ochranu údajů, sloužící jakožto garant ochrany dat v Dolním Sasku, oznámil 26. července 2022 své rozhodnutí udělit společnosti Volkswagen AG pokutu ve výši 1,1 milionu eur (téměř 27 milionů korun) za porušení článků 13, 28, 35 a 30 obecného nařízení o ochraně osobních údajů (GDPR).

Pozadí k rozhodnutí

V roce 2019 zastavila rakouská policie při běžné silniční kontrole testovací vozidlo značky Volkswagen a všimla si neobvykle umístěných kamer na vozidle. Státní komisař pro ochranu údajů uvedl, že toto vozidlo sloužilo k testování funkcí systému řídícího asistenta pro předcházení dopravním nehodám. Provoz ve svém okolí zaznamenával, aby mohl analyzovat chyby.

Nálezy Státního komisaře pro ochranu údajů

Na základě výše zmíněného došel Státní komisař pro ochranu údajů k následujícímu:

  • testovacímu vozidlu zjevně chyběly varovné informační nápisy v souladu s článkem 13 GDPR;
  • Volkswagen neuzavřel se společností provádějící testovací jízdy dohodu o zpracování, tudíž porušil článek 28 GDPR;
  • Došlo k porušení článku 35 GDPR, jelikož nebyla uzavřena žádná dohoda o posouzení vlivu na ochranu osobních údajů (DPIA);
  • v listu probíhajících aktivit chybělo vysvětlení technických a organizačních bezpečnostních opatření, což vedlo k porušení požadavků na dokumentaci zakotvených v článku 30 GDPR.

Vzhledem k přeshraniční povaze zpracování údajů zapojil komisař ještě před vydáním výzvy k pokutě i další evropské orgány pro ochranu údajů, a to v rámci postupu spolupráce stanoveného v článku 60 GDPR. Zdůraznil, že při sběru a pozdějším zpracování osobních údajů v procesu výzkumných jízd firma nepochybila. Šlo o málo závažná porušení a společnost Volkswagen své nedostatky neprodleně odstranila. I přesto zvolil komisař obrovskou výši pokuty, alespoň na české poměry. Automobilka pokutu ve stanovené výši přijala.

Tiskovou zprávu (pouze v němčině) si můžete přečíst zde.

Zdroj

FOTO

Mohlo by vás také zajímat – Advokáti:

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí

Výsledky kontrol Úřadu pro ochranu osobních údajů za první pololetí roku 2021

Chystá se novela zákona o evidenci skutečných majitelů

Poslanecká sněmovna právě projednává novelu zákona o evidenci skutečných majitelů. Má za cíl zapracovat připomínky Evropské komise, která stávající právní úpravu označila za nesouladnou se směrnicí o AML (Směrnice č. 2015/849, o předcházení využívání finančního systému k praní peněz nebo financování terorismu).

Novela je momentálně ve druhém čtení a měla by nabýt účinnosti 1. října. Vláda se snaží prosadit schválení v co nejkratším možném termínu, protože Evropská komise dodatečně podmínila možnost podání první žádosti o platbu v rámci Národního plánu obnovy právě změnou právní úpravy evidence skutečných majitelů.

Změna definice skutečného majitele

Novelou dojde ke zrušení rozlišování mezi koncovým příjemcem a osobou s koncovým vlivem. Skutečným majitelem bude každá fyzická osoba, která v konečném důsledku vlastní nebo kontroluje právnickou osobu či právní uspořádání. Nadále tedy nebude rozlišováno mezi vlastnictvím a kontrolou. Půjde o jednotnou charakteristiku, v níž platí, že kdo vlastní, ten kontroluje, a naopak kdo kontroluje, ten i vlastní.

Nově bude skutečným majitelem každá fyzická osoba, která vlastní nebo kontroluje korporaci tím, že:

  • má přímý podíl nebo akcii nebo hlasovací práva, včetně akcie na doručitele, větší než 25 %,
  • má přímo nebo nepřímo právo na podíl na zisku, jiných vlastních zdrojích nebo likvidačním zůstatku (dále jen „vlastnický podíl“) větší než 25 %,
  • může ovládat korporaci nebo korporace, které mají v dané korporaci samostatně nebo dohromady podíl nebo akcii, včetně akcie na doručitele, větší než 25 %, nebo
  • může kontrolovat korporaci jinými prostředky; kontrolou jsou mimo jiné kritéria stanovená v čl. 22 odst. 1 až 5 směrnice Evropského parlamentu a Rady 2013/34/EU, tedy kritéria, která Evropská unie stanovila pro povinnost sestavovat konsolidované účetní závěrky. Jde o situace, kdy:
    • má mateřský podnik většinu hlasovacích práv akcionářů nebo společníků v dceřiném podniku,
    • má mateřský podnik právo jmenovat či odvolat většinu členů správního, řídícího nebo dceřiného podniku a je zároveň akcionářem nebo společníkem takového podniku,
    • má mateřský podnik právo uplatňovat rozhodující vliv na jakýkoli dceřiný podnik, jehož je akcionářem nebo společníkem na základě smlouvy, kterou s ním uzavřel, nebo podle stanov, společenské nebo zakladatelské smlouvy, umožňuje-li právo, jímž se dceřiný podnik řídí, aby byl takovým smlouvám nebo ustanovením podřízen,
    • je mateřský podnik akcionářem nebo společníkem dceřiného podniku a většina členů správních, řídících či dozorčích orgánů tohoto podniku, kteří byli členy těchto orgánů během stávajícího účetního období a předcházejícího období, byla jmenována výhradně s využitím hlasovacích práv mateřského podniku,
    • je mateřský podnik akcionářem nebo společníkem dceřiného podniku a na základě dohody uzavřené s ostatními akcionáři nebo společníky disponuje většinou hlasovacích práv,
    • mateřský podnik může vykonávat nebo skutečně vykonává rozhodující vliv nebo kontrolu nad dceřiným podnikem,
    • mateřský podnik a dceřiný podnik jsou řízeny jednotně mateřským podnikem,

přičemž k hlasovacím právům mateřského podniku se přičítají práva všech ostatních dceřiných podniků a práva náležející kterékoli osobě jednající vlastním jménem, ale na účet mateřského podniku nebo jiného dceřiného podniku.

Nadále bude platit, že skutečným majitelem může být pouze fyzická osoba a skutečných majitelů může být i více. Novela zákona počítá, stejně jako současná právní úprava, s tím, že se nemusí podařit dohledat skutečného majitele. I dle novely tedy bude nutné evidovat tzv. náhradního skutečného majitele.

Zúžení okruhu osob, kterým je udělena výjimka z nutnosti evidence skutečného majitele

Dle Evropské komise je stávající právní úprava výjimek příliš široká a zahrnuje velký počet subjektů, který nemusí dokládat skutečného majitele. Stávající právní úprava tak nevyhovuje AML směrnici.

Nově tedy budou údaje o skutečném majiteli evidovat okresní a regionální komory, politické strany a politická hnutí, církve a náboženské společnosti, odborové organizace a organizace zaměstnavatelů, společenství vlastníků jednotek a honební společenstva.

Automatický průpis údajů

Tato novinka by měla usnadnit nově zapisovaným subjektům evidenci. Ministerstvo spravedlnosti pomocí automatického systému:

  • přepočítá a přepíše automatické průpisy u subjektů, u nichž je již automatický průpis nastaven podle stávající právní úpravy,
  • zajistí automatický průpis u subjektů, které budou mít evidenční povinnost nově,
  • zajistí přepsání (přejmenování) některých údajů tak, aby bylo dosaženo souladu s novou právní úpravou, resp. její terminologií. V návaznosti na zrušení pojmů „koncový příjemce“ a „osoba s koncovým vlivem“ dojde v zápisech k jejich automatizovanému nahrazení obecným pojmem „skutečný majitel podle § 4 zákona č. 37/2021 Sb.“, případně „skutečný majitel podle § 5a zákona č. 37/2021 Sb.“ V tomto ohledu tedy nebude nutné zápisy upravovat manuálně.

V případě, že nedojde k automatickému průpisu (např. z důvodu neplnění povinností zápisu statutárního orgánu v obchodním rejstříku), mají nově zapisované subjekty lhůtu 6 měsíců ode dne účinnosti zákona k provedení zápisu.

Pro subjekty, které splnily evidenční povinnost podle dosavadní právní úpravy, je také stanovena šestiměsíční lhůta pro uvedení stavu zápisu do souladu s novým vymezením skutečného majitele. Povinnost úpravy nemíří na právní uspořádání, jelikož v jejich případě návrh zákona sám o sobě potřebu revidovat zápis nevyvolává – nejedná se o nové pravidlo, ale pouze o nové vyjádření stávajícího pravidla. Lhůta reaguje především na situace, kdy budou v důsledku nové právní úpravy v evidenci skutečných majitelů zapsány i osoby, které skutečnými majiteli podle nových pravidel nebudou (např. v důsledku zrušení § 3 odst. 1 zákona o ESM). K těmto údajům se ze zákona nebude přihlížet. Evidující osoby současně nebudou tyto neaktuální údaje nuceny mazat, protože takový údaj nebude působit nesrovnalost ani porušení evidenční povinnosti podle § 9 odst. 1 zákona o ESM. Potřeba zasahovat do zápisů v důsledku navrhované úpravy se omezí na situace, kdy zápisy nebudou úplné, tj. někteří skuteční majitelé ve smyslu návrhu nebudou evidovaní.

Co se týče poplatkové povinnosti, ta zůstává nezměněna. Poplatek činí dle zákona č. 549/1991 Sb., o soudních poplatcích, částku

  • 4 000 Kč v případě obchodních korporací, s výjimkou bytového a sociálního družstva a podílového fondu,
  • 2 000 Kč v případě fundace, ústavu, svěřenského fondu nebo zahraničního svěřenského fondu,
  • a 500 Kč v případě jiné než obchodní korporace a v případě bytového a sociálního družstva.

Dle přechodných ustanovení navrhovaného zákona však po dobu 6 měsíců ode dne nabytí účinnosti zákona budou od soudního poplatku za zápis do evidence skutečných majitelů osvobozeny

  • první návrhy na zápis okresních a regionálních komor nebo začleněných společenstev, politických stran a politických hnutí, církví, náboženských společností a ostatních právnických osob podle zákona upravujícího církve a náboženské společnosti, a to doručené nejdříve v den nabytí účinnosti zákona,
  • další návrhy, byl-li jim předcházející návrh odmítnut,
  • návrhy osob, které před novelou zákona splnily svou povinnost zápisu údajů do evidence, jimiž dochází k úpravě zápisu tak, aby odpovídal požadavkům novelizovaného zákona.

Mohlo by vás také zajímat:

„Novinky v evidenci skutečných majitelů“ – článek JUDr. Moniky Herešové Mrákové v Pojistném obzoru

 

Novela AML zákona s dopadem na pojišťovnictví

 

Telemarketing v kontextu novely zákona o elektronických komunikacích

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021 – výběr zajímavostí

„Pokud se ohlédneme za uplynulým rokem, lze v této souvislosti konstatovat, že důležitost ochrany osobních údajů si uvědomuje stále více lidí, bohužel však často až v okamžiku, kdy se sami stanou obětmi jejího porušení,“ píše v úvodu výroční zprávy za rok 2021 předseda Úřadu pro ochranu osobních (ÚOOÚ) údajů Jiří Kaucký.

V úvodu tedy uvádíme základní čísla, díky nimž si čtenář udělá lepší představu o celoroční práci dozorového orgánu a která zároveň potvrzují Kauckého slova. Mimo to jsme pro vás ze shrnutí dozorové a rozhodovací činnosti ÚOOÚ za loňský rok vybrali nejzajímavější případy z oblastí relevantních pro náš obor.

Výroční zpráva v číslech

  • 2 430 podnětů a stížností, z toho čtvrtina se týkala marketingu a desetina telemarketingu,
  • skoro 300 ohlášení porušení zabezpečení osobních údajů (data breach), z nichž většina byla způsobena hackerskými útoky,
  • zahájeno přes 50 kontrol,
  • uloženo 40 pokut za porušení GDPR v celkové výši 3 526 000 Kč, přičemž nejvyšší pokuta (uložena za nesplnění uložených nápravných opatření) činila 2 miliony Kč,
  • a 29 pokut v oblasti šíření obchodních sdělení, celkově v částce 2 901 000 Kč, nejvyšší z nich ve výši 600 000 Kč.

V případě obchodních sdělení šlo převážně o chybějící právní titul při rozesílání. Správní řízení se nejčastěji vedla ve věci nedostatečného plnění informační povinnosti a nedostatečného umožnění výkonu práv subjektů údajů.

Očkování proti covid-19

ÚOOÚ prověřoval situaci, kdy zaměstnavatel zjišťoval od zaměstnanců, zda jsou očkovaní proti covid-19, nemoc prodělali nebo mají negativní test (podmínil tím vstup na pracoviště), a vedl si o tom evidenci. Tuto činnost prováděl i v době, kdy mu nebyla taková povinnost stanovena předpisy. Údaje mazal po uplynutí 3 měsíců od skončení bezinfekčnosti. Zpracování opřel o § 102 odst. 1 zákona č. 262/2006 Sb., zákoník práce, a tam stanovenou povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímání opatření k předcházení rizikům. Ministerstvo práce a sociálních věcí prezentovalo názor, že taková praxe je v souladu se zákonem stejně jako požadavek testování zaměstnanců i v době, kdy takovou povinnost nestanovilo mimořádné opatření (musí to však být upraveno v interních předpisech BOZP). ÚOOÚ to považuje za extenzivní výklad ustanovení a s MPSV dosud vede debaty na toto téma.

Věrnostní programy

ÚOOÚ v roce 2021 zaměřil část kontrol na prověřování věrnostních programů. Konstatoval pochybení u prodejců, kteří údaje o nákupu uchovávali po dobu 3 let. Tuto dobu shledal jako nepřiměřeně dlouhou (zejména i proto, že šlo o potravinářské nebo drogistické zboží). Navíc dodal, že osobní údaje týkající se nákupního chování jsou velmi cenné, protože teoreticky lze na jejich základě profilovat subjekty údajů za účelem zvýšení zisku. I z toho důvodu se na podobně rozsáhlá zpracování osobních údajů zaměřuje, a to předně z hlediska rozsahu zpracovávaných údajů, jejich užívání pouze k legitimním a jasně deklarovaným účelům, doby uchovávání a plnění informační povinnosti.

Zpracování osobních údajů na základě AML zákona

Na základě podnětů zahájil ÚOOÚ kontrolu u společnosti, která zpracovávala osobní údaje osob za účelem plnění povinností podle AML zákona, avšak v průběhu řízení konstatoval, že se nejedná o povinnou osobu ve smyslu AML zákona, a tedy nelze uplatnit právní titul dle čl. 6 odst. 1 písm. c) GDPR. Společnost namítala, že zpracování provádí na základě oprávněného zájmu třetích stran, které povinnými osobami ve smyslu AML zákona jsou. Námitky ÚOOÚ zamítl a kontrolované osobě uložil nápravná opatření, přičemž přestupkové řízení stále běží.

„Pokud zpracovatel v postavení vázaného zástupce ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, jímž je subjekt, v jehož prospěch vyvíjí činnost.“

(rozsudek NSS ze dne 7. října 2021, č. j. 7 As 146/2021-26, ve věci SMS finance, a.s.)

Společnost se proti právnímu názoru ÚOOÚ ohradila, že v rámci zpracování osobních údajů jejími vázanými zástupci vystupuje v pozici správce údajů. NSS konstatoval: „Vázaný zástupce oslovuje potenciálního klienta za účelem nabídnutí služeb zastoupeného, neboť právě v tom zprostředkování dle § 2 písm. e) zákona o distribuci pojištění tkví. Ani kasačnímu soudu není nadto zřejmé, z jakého důvodu by měly být zprostředkovatelské služby nabízeny ‚jen‘ jako takové (samy o sobě). Aby totiž mohl kdokoli nabízet své vlastní zprostředkovatelské služby, musí k tomu mít co zprostředkovávat.“

autorka: Mgr. Kateřina Grézlová

24. 6. 2022

Zdroj

Foto

Mohlo by vás také zajímat:

Výsledky kontrol Úřadu pro ochranu osobních údajů za první pololetí roku 2021

 

Novela AML zákona s dopadem na pojišťovnictví

 

Informační povinnost u neživotního pojištění na Slovensku se týká i českých poskytovatelů

Novela AML zákona s dopadem na pojišťovnictví

Cílem tohoto článku je upozornit na některé z hlavních novinek novely zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „AML zákon“), které mají dopad přímo na pojišťovny.

Právní rámec AML regulace

S účinností od 1. ledna 2021 je AML zákon významným způsobem novelizován zákonem č. 49/2020 Sb. zavádějícím nové způsoby elektronické identifikace a zákonem č. 527/2020 Sb. (dále jen „novela AML zákona“), kterým byla implementována 5. AML směrnice. Samotná novela AML zákona komplexně reviduje problematiku „boje“ proti legalizaci výnosů z trestné činnosti a financování terorismu a zapracovává vybraná doporučení hodnocení ČR Výborem expertů pro hodnocení opatření proti praní špinavých peněz a financování terorismu Rady Evropy. Novela rozšiřuje povinnosti dotčených subjektů, zavádí nové způsoby elektronické identifikace, mění podmínky provádění kontroly klienta a významně zvyšuje sankce za porušení AML zákona.

Finanční analytický úřad (dále jen „FAÚ“) vydal metodické pokyny, které reflektují právní stav od 1. ledna 2021, po novele AML zákona, zejména ke kontrole klienta a opatření vůči politicky exponovaným osobám (dále jen „PEP“).

Působnost AML zákona v pojišťovnictví

Novela AML zákona se dotkla definice povinné osoby v oblasti pojišťovnictví. Povinnou osobou ve smyslu AML zákona je pojišťovna, zajišťovna, pojišťovací zprostředkovatel a samostatný likvidátor pojistných událostí při výkonu činností souvisejících s provozováním životního pojištění.

Pojišťovny a další osoby působící v oblasti pojišťovnictví plní povinnosti pouze ve vztahu k činnostem, které souvisejí s provozováním životního pojištění. Povinnosti dle AML zákona nejčastěji dopadnou na produkty rizikového životního pojištění a kapitálového, důchodového či investičního životního pojištění. Neživotní pojištění i nadále zůstává mimo působnost AML zákona. AML zákon dopadá i na pobočky zahraničních pojišťoven v ČR při provozování životního pojištění v ČR.

Novelou AML zákona došlo k vypuštění výjimky z působnosti AML zákona pro „pojišťovacího zprostředkovatele, u něhož pojišťovna nese odpovědnost za škodu způsobenou jeho činností“. Změna souvisí s novým členěním pojišťovacích zprostředkovatelů dle zákona č. 170/2018 Sb., o distribuci pojištění a zajištění, (dále jen „ZDPZ“), přičemž původní podmínce převzetí odpovědnosti za zprostředkovatele odpovídají nově vázaný zástupce a doplňkový pojišťovací zprostředkovatel (viz § 22 a § 31 ZDPZ). Dle AML zákona je povinnou osobou samostatný zprostředkovatel a pojišťovací zprostředkovatel s domovským členským státem jiným než ČR (viz § 6 a § 33 ZDPZ).

Vázaný zástupce ani doplňkový pojišťovací zprostředkovatel nejsou povinnou osobou, jsou však povinni plnit na pokyn FAÚ informační povinnosti a předložit doklady, aby bylo zachováno oprávnění FAÚ požadovat informace přímo po vázaných zástupcích, nikoliv pouze po zastoupených (pojišťovna nebo samostatný zprostředkovatel).

Povinnost kontaktní a pověřené osoby

Zásadní změnou, kterou novela AML zákona přináší, je specifikace působnosti tzv. „osoby kontaktní“ a „osoby pověřené“, jejíž existenci dala nově vzniknout až novela AML zákona. Působnost kontaktní osoby byla již dřívější úpravou vymezena především pro účely styku s FAÚ. Její význam spočívá v roli prostředníka mezi povinnou osobou a FAÚ. Novelou AML zákona se zpřesňuje také lhůta, ve které musí povinná osoba oznámit FAÚ, koho k plnění povinností kontaktní osoby určila. Nově tak nemusí učinit „bezprostředně“, ale do 60 dnů ode dne, kdy se stala povinnou osobou, nebo do 30 dnů ode dne, kdy změny nastaly. V případě pojišťoven nebude možné uplatnit výjimku, že kontaktní osobou může být člen statutárního orgánu nebo osoba, u níž je možný střet zájmů při současném výkonu obchodní či kontrolní činnosti.

Povinnost písemně pověřit člena statutárního orgánu jako tzv. „pověřenou osobu“ zajišťuje reprezentaci zájmu na plnění AML povinností na této úrovni řízení, a to i vůči protichůdným byznysovým zájmům povinné osoby. Pokud má povinná osoba pouze jednoho člena statutárního orgánu, je pověřen tento člen orgánu přímo ze zákona. Pokud je statutární orgán složen z více osob, je potřeba, aby statutární orgán rozhodl, který z jeho členů bude pověřenou osobou. Pověřenou osobou může být i právnická osoba; fakticky pak bude zajišťovat plnění povinností její zástupce ve statutárním orgánu. Písemná forma tohoto pověření je stanovena jako obligatorní.

Pověřený člen statutárního orgánu nemusí, a ve větších společnostech ani nemůže, plnit všechny povinnosti podle AML zákona osobně. Je však povinen svým řízením zajistit, aby byly povinnou osobou plněny. Nelze přitom dovozovat, že by daný člen statutárního orgánu byl bez dalšího vždy odpovědný za jakékoli porušení AML povinností spáchané povinnou osobou.

Uplatní se obecná úprava odpovědnosti člena statutárního orgánu. Pověřená osoba má za úkol především zajišťovat soulad činnosti povinné osoby s požadavky AML zákona. K pověření musí dojít do 60 dnů ode dne, kdy se stala povinnou osobou, nebo od zániku členství pověřené osoby ve statutárním orgánu. Nesplnění výše popsané povinnosti písemně určit pověřenou osobu je přestupkem s možnou sankcí pro finanční instituci až ve výši 130 milionů korun.

Zvláštní úprava pro pojistné smlouvy

Novelou dochází k ujasnění otázky identifikace klienta v případě výplaty pojistného plnění oprávněné osobě. Pokud je oprávněný zároveň pojistníkem ze smlouvy, je třeba jej identifikovat již před uzavřením pojistné smlouvy. Oprávněnou osobu, která není pojistníkem a má právo na plnění ze životního pojištění, povinná osoba dle § 7 odst. 3 AML zákona identifikuje nejpozději v době vyplacení pojistného plnění.

Novelizované ust. § 9 odst. 6 písm. c) AML zákona rozšiřuje informace zjišťované a zaznamenávané v rámci kontroly klienta u oprávněných ze životního pojištění. V případě právnické osoby nebo svěřenského fondu, kterému byla postoupena smlouva o životním pojištění nebo který byl určen jako nový oprávněný, musí být zjišťována totožnost skutečného majitele k okamžiku postoupení smlouvy o životním pojištění nebo k okamžiku určení nového oprávněného a postup při jeho zjišťování. Pokud je oprávněnou osobou právnická osoba nebo svěřenský fond se zvýšeným rizikem, zaznamená se rovněž totožnost skutečného majitele k okamžiku výplaty plnění a postup při jeho zjišťování.

Dle § 25 odst. 6 AML zákona statutární orgán pojišťovny nebo pověřený AML/CTF zaměstnanec musí vydat souhlas k postoupení plnění ze životního pojištění na rizikovou PEP.

Identifikace a kontrola klienta

Základním a nejméně formalizovaným způsobem je identifikace klienta za jeho fyzické přítomnosti, což je způsob, který byl FAÚ s ohledem na národní hodnocení rizik a obecně na riziko zcizení identity vyhodnocen jako primární a nejméně rizikový. Avšak tento způsob se v dnešní době jeví čím dál tím méně praktickým. Níže se zaměříme na nové způsoby, které přinesla novela AML zákona a které mají potenciál být využity v oblasti pojišťovnictví.

  • Zjednodušená identifikace a kontrola klienta

Zjednodušená identifikace a kontrola klienta představují nejnižší úroveň. S ohledem na nízkou míru rizika se nevyžaduje získání plného rozsahu informací a provádění detailní, časově i jinak náročné kontroly. Novelou AML zákona dochází ke značnému rozvolnění úpravy, kdy odpovědnost za zhodnocení míry rizika přechází na povinné osoby. Tyto se dříve mohly opřít o zákonem taxativně vymezený výčet obchodních vztahů či obchodů, při jejichž navázání bylo možné se ke zjednodušené identifikaci uchýlit. Pojišťovny tak mohly uplatnit zjednodušenou identifikaci pouze při uzavírání smlouvy o životním pojištění, jestliže jednorázové pojistné ani vklad nepřesáhly částku 2 500 eur nebo pokud běžné pojistné ani souhrn vkladů v jednom kalendářním roce nepřesáhly částku 1 000 eur. Dle novely AML zákona si případy nízké rizikovosti pro použití zjednodušené identifikace a kontroly klienta stanoví každá povinná osoba sama pro sebe ve svém hodnocení rizik a nejsou omezeny výší pojistného ze zákona. Tento přístup sice klade zvýšenou zátěž na povinné osoby a na jejich vlastní posouzení rizik, ale zaručí, že jim budou případy nízkého rizika tzv. „šity na míru“. Nicméně vymezení není ponecháno zcela na libovůli povinných osob, které musí dodržet podmínky stanovené v ust. § 13 AML zákona. Bude docházet k jejich posouzení ze strany regulátorů v rámci vyhodnocování systémů vnitřních zásad. Kritériem pro provedení zjednodušené identifikace je tak pouze vlastní hodnocení povinné osoby. Zjednodušenou identifikaci ani kontrolu však nelze použít v případech, kdy jsou naplněny zákonné podmínky pro zesílenou identifikaci a kontrolu (navázání vztahu s rizikovou zemí, vztah s politicky exponovanou osobou, mezinárodní sankce) nebo jsou označeny jako rizikové v hodnocení rizik na úrovni ČR. Nicméně pokud pojišťovna na základě individuálního zvážení dojde k závěru, že zjednodušenou identifikaci a kontrolu vůči danému klientovi, obchodnímu vztahu, obchodu či produktu uplatnit lze, nic jí nebrání v tom, aby tak učinila, musí však dodržet při jejím uplatňování ze zákona nastavený minimální standard.

Produkty životního pojištění se liší mírou rizikovosti. Skupinová pojištění s platbou pojistného od pojistníka, jenž je sám v postavení povinné osoby, pojištění neschopnosti splácet (PPI), kdy oprávněnou osobou je finanční instituce, nebo rizikové životní pojištění jsou produktem s potencionálně nižším rizikem, a proto se jeví jako vhodný produkt k provádění zjednodušené identifikace a kontroly.

Na pojišťovny se nevztahují výjimky z povinnosti provést identifikaci a kontrolu klienta dle § 13a AML zákona, proto musí provést minimálně zjednodušenou identifikaci a kontrolu.

  • Bankovní identita

Přijetím zákona č. 49/2020 Sb. došlo k novelizaci zákona o bankách a v § 8a AML zákona se upravil nový způsob provedení identifikace prostřednictvím bankovního identifikačního prostředku (tzv. „bankovní identita“). Činnost bank a jejich poboček se v rámci bankovní identity rozšiřuje o tzv. „identifikační služby“ (služby elektronické identifikace a autentizace, služby vytvářející důvěru, poskytování nebo potvrzování osobních identifikačních údajů klienta a informací o klientovi souvisejících s jeho osobními identifikačními údaji), které umožňují bankám poskytovat službu v oblasti elektronické identifikace skrze internetové bankovnictví. Služby bankovní identity je možné využít za poplatek v rozsahu AML informací, kdy povinná osoba obdrží informace umožňující provést vzdálenou identifikaci. AML zákon tyto nové metody implicitně staví naroveň provedení identifikace za fyzické přítomnosti, takže lze tohoto způsobu identifikace využít i v případě rizikových klientů. S ohledem na 5,5 mil. klientů bank v ČR je bankovní identita zajímavým způsobem elektronické identifikace.

  • Způsoby dálkové identifikace

Dle § 11 AML zákona je umožněno elektronické ověření identity klienta, a to prostřednictvím kvalifikovaného poskytovatele služeb vytvářejících důvěru ve smyslu nařízení eIDAS. Mezi tyto se řadí např. Česká pošta, První certifikační autorita či služba eIdentity. Klient sdělí povinné osobě údaje k identifikaci a opatří je kvalifikovaným elektronickým podpisem. Povinná osoba ověří u kvalifikovaného poskytovatele služeb vytvářejících důvěru, zda se údaje sdělené klientem shodují s údaji, které získal poskytovatel při vydání kvalifikovaného certifikátu použitého při vytváření podpisu. Nevýhodou tohoto způsobu je skutečnost, že poskytovatel nemá povinnost spolupracovat s povinnou osobou.

V případě dalšího způsobu dálkové identifikace, tzv. „penny transferu“, v rámci které klient zasílá kopii dokladu totožnosti a druhého, podpůrného dokladu a provádí ověřovací platbu z účtu vedeného na své jméno, přinesla novela také změny. Jestliže ověřovací platbu bude doprovázet tzv. „povinná zpráva pro příjemce“ (v rozsahu informace o účelu identifikace, označení povinné osoby, jména a příjmení fyzické osoby, která dala platební příkaz k provedení platby), klient nemusí posílat kopii druhého (podpůrného) dokladu a takto hodnověrným způsobem prokáže existenci platebního účtu vedeného na své jméno.

  • Převzetí identifikace

Převzetí identifikace je v pojišťovnictví velmi časté, jelikož pojišťovny mohou před uzavřením pojistné smlouvy převzít od pojišťovacích zprostředkovatelů nebo jiných finančních institucí identifikační údaje a jiné informace o klientech. Novela AML zákona připouští převzetí identifikace pouze v případě, že identifikační úkony byly povinnou osobou provedeny v souvislosti se vznikem obchodního vztahu (zákaz řetězení) a identifikace byla provedena podle § 8 (za fyzické přítomnosti) nebo § 8a (elektronická identifikace) AML zákona. V případě pojišťovacího zprostředkovatele se dovozuje, že se jedná o „vznik obchodního vztahu“, a tudíž podmínka § 11 odst. 1 AML zákona je splněna. Za převzetí identifikace odpovídá povinná osoba, jako by identifikaci provedla sama. Povinná osoba může dle § 11 odst. 5 AML zákona k provedení identifikace použít osobu, která za povinnou osobu jedná a je vázána jejími vnitřními předpisy, a povinná osoba nese odpovědnost za škodu způsobenou činností této osoby. Jedná se o tzv. „outsourcing“, který v praxi pojišťovny zajišťují ve spolupráci s pojišťovacím zprostředkovatelem či kurýrem. Povinná osoba opět odpovídá, jako by úkony provedla sama.

  • Zesílená identifikace a kontrola

Zásadní novinkou v oblasti identifikace a kontroly klienta, která dopadá i na pojišťovací instituce, je zavedení postupu tzv. „zesílené identifikace“ klienta dle § 9a AML zákona, kterou je potřeba provést, pokud klient nebo obchod představují vyšší riziko. Zesílená identifikace a kontrola se týkají zejména subjektů z rizikových třetích zemí nebo PEP.

Novela AML zákona definici PEP nezměnila. Metodický pokyn FAÚ ze dne 9. října 2020 ohledně opatření vůči PEP taxativně vymezil seznam konkrétních funkcí PEP (příloha č. 1 metodického pokynu), kde jsou uvedeny veřejné funkce, jež jsou v ČR považovány za významné a které zakládají status PEP. K zjištění, zda klient má status PEP, povinná osoba využije příslušný výčet funkcí, vlastní šetření (např. využití veřejných zdrojů informací), systém pro vyhledávání rizikových klientů či písemné prohlášení klienta při první identifikaci.

Podstatou zesílené identifikace a kontroly je, že povinná osoba je povinna od klienta požadovat rozsáhlejší informace a dokumenty a ověřovat je z více důvěryhodných zdrojů, intenzivněji a pravidelně kontrolovat obchodní vztah a obchody v rámci obchodního vztahu či požadovat provedení první platby z účtu vedeného na jméno klienta. V rámci provedení kontroly PEP je povinná osoba oprávněna informovat se o zdrojích peněžních prostředků nebo jiného majetku a provádět kontrolu původu majetku. Důležitým bezpečnostním opatřením je také povinnost získat souhlas člena statutárního orgánu nebo jím pověřené osoby předtím, než vůbec dojde k uzavření obchodního vztahu.

Sankce

Novela AML zákona rozšířila katalog přestupků za porušení povinností dle AML zákona a došlo ke zpřísnění pokutových sazeb. Za přestupky lze finanční instituci nově uložit pokutu až ve výši 130 milionů korun či až do výše dvojnásobku neoprávněně získaného prospěchu, pokud je tato hodnota vyšší. Nově AML zákon výslovně umožní vedle postihu právnické osoby postihnout přímo i ty fyzické osoby, které způsobily, že se právnická osoba dopustila přestupku.

autorka: JUDr. Monika Herešová Mráková

14. 6. 2022

Článek vyšel také v Pojistném obzoru.

Mohlo by vás také zajímat:

Potenciálně rizikový vývoj v oblasti regulace flotilového pojišťování

 

Informační povinnost u neživotního pojištění na Slovensku se týká i českých poskytovatelů

 

Telemarketing v kontextu novely zákona o elektronických komunikacích

KATEŘINA STIBOROVÁ

Kateřina Stiborová
I am a paralegal with experience in commercial and civil law, as well as public procurement and its administration. I currently specialise mainly in insurance and financial products. I am fluent in English.

ALENA ŠEDOVÁ

I am a lawyer and I can advise you in particular on real estate transfers, lease law, corporate law, matrimonial regimes and probate proceedings. I am fluent in English.

KATEŘINA GRÉZLOVÁ

I am a lawyer with experience in criminal, administrative and constitutional law. Currently, I specialize mainly in the regulation of personal data under GDPR and ePrivacy. I am fluent in English.

JAKUB HRUŠKA

I am a lawyer and I focus on the regulation of personal data and information technology under GDPR, ePrivacy and other regulations in the EU and worldwide. I am fluent in English.

LENKA SÝKOROVÁ

Lenka Sýkorová
I am a lawyer specialising in insurance law and insurance distribution, commercial law and civil law with a focus on personal injury compensation and litigation. I am fluent in English and German.

MONIKA HEREŠOVÁ MRÁKOVÁ

Monika Herešová

I am a lawyer with 20 years of experience specializing in insurance, financial and pension products. I also advise on areas of commercial law including project finance. I am fluent in English.

FRANTIŠEK STIBOR

Jsem právník junior a specializuji se na obchodní právo a právo obchodních korporací. Mluvím plynně anglicky.

KATEŘINA GRÉZLOVÁ

Jsem advokátkou se zkušenostmi v oblasti trestního, správního a ústavního práva. V současné době se specializuji zejména na regulaci osobních údajů podle GDPR a ePrivacy. Mluvím plynně anglicky.

ALENA ŠEDOVÁ

Jsem advokátka a poradím Vám zejména s převody nemovitostí, nájemním právem, v oblasti zákona o obchodních korporacích, ve věcech manželského majetkového práva a v řízení o pozůstalosti. Mluvím plynně anglicky. 

KATEŘINA STIBOROVÁ

Kateřina Stiborová

Jsem paralegal se zkušenostmi v oblasti obchodního a občanského práva a dále v oblasti zadávání veřejných zakázek a jejich administraci. V současné době se specializuji zejména na pojistné a finanční produkty. Mluvím plynně anglicky.

JAKUB HRUŠKA

Jsem advokátem a zabývám se zejména regulací osobních údajů a informačních technologií podle GDPR, ePrivacy a dalších předpisů v EU a ve světě. Mluvím plynně anglicky.

LENKA SÝKOROVÁ

Lenka Sýkorová

Jsem advokátkou se specializací na pojistné právo a distribuci pojištění, na obchodní právo a občanské právo se zaměřením na náhradu újmy a řešení soudních sporů.  Mluvím plynně anglicky a německy.

MONIKA HEREŠOVÁ MRÁKOVÁ

Monika Herešová

Jsem advokátkou s 20letou zkušeností se specializací na pojistné, finanční a penzijní produkty. Poskytuji též poradenství v oblastech obchodního práva včetně financování projektů.  Mluvím plynně anglicky.