Dne 25.května 2018 vstoupí v účinnost GDPR, tedy Obecné nařízení o ochraně osobních údajů. Toto nařízení se bezesporu dotkne i bankovního a finančního sektoru.

Celému bankovnímu sektoru je dlouhodobě věnována náležitá pozornost Úřadu pro ochranu osobních údajů, jelikož patří mezi největší zpracovatele a správce osobních údajů. Pojďme si společně přiblížit, jaké změny pro banky z GDPR plynou.

Na začátku je analýza

Banky a finanční instituce musí zjistit dvě klíčové informace. Zaprvé, jaká data svých klientů zpracovávají a zadruhé, zda je tento postup zpracování v souladu s GDPR. Následně by na základě těchto zjištění měla být vypracována detailní analýza, jenž bude podkladem pro následující kroky, které je třeba podniknout, aby bylo dosáhnuto celkového souladu s GDPR.

Zpracovaná srovnávací analýza musí závěrem odpovídat na následující otázky:

  • kde mají banky a finanční instituce uloženy osobní údaje,
  • kdo má k těmto osobním údajům přístup,
  • zda a jak jsou tyto údaje chráněny,
  • jestli mohou být osobní údaje snadno dohledány, opraveny nebo smazány,
  • a zda je banka či finanční instituce schopna v případě úniku dat oznámit tuto událost do 72 hodin příslušnému dozorovému úřadu.

Největší dopady na bankovní sektor

Banky v souvislosti se svojí činností shromažďují o klientech velké množství údajů, ovšem rozsah požadovaných informací není vždy pro uzavření příslušné smlouvy nutný. Banky a finanční instituce mají zákonem danou povinnost sbírat od svých klientů určité osobní údaje, jako jsou například jejich jméno, adresu či rodné číslo a k tomu ani nadále nebudou potřebovat souhlasu klienta.

Jednou z největších změn, které GDPR do bankovního sektoru přinese je, že souhlas se zpracováním dat klientů pro marketingové zpracování se již nesmí skrývat ve změti všeobecných podmínek. Klient musí text souhlasu se zpracováním dat dostat odděleně od dalších ujednání smlouvy a musí mu být srozumitelný. Z této novinky tedy vyplývá, že pokud chtějí finanční instituce dále posílat svým klientům reklamní sdělení i po 25.květnu 2018, musí jim o souhlas se zpracováním osobních údajů říci znovu. Tyto souhlasy jsou zatím tím nejviditelnějším projevem GDPR, na které klienti bank narazí.

Dalším významným dopadem na celý bankovní sektor je povinnost bez zbytečného odkladu, tedy nejpozději do 72 hodin oznámit příslušnému úřadu porušení zabezpečení osobních údajů či jejich únik. Jelikož banky a finanční instituce při své činnosti nakládají s velmi citlivými údaji svých klientů, musí jim poskytovat odpovídající ochranu a osobní údaje klientů tak musí být přísně zabezpečeny proti hrozbě hackerských útoků či proti odcizení údajů z počítačů.

Jelikož se účinnost GDPR velmi rychle blíží je jasné, že většina bank a finančních institucí není na jeho účinnost náležitě připravena. Jestliže banky nezajistí soulad s GDPR do 25.května 2018 hrozí jim, že pokud bude tento nesoulad zjištěn, bude těmto institucím uložena vysoká pokuta.

V případě, že dojdou banky či finanční instituce k rozhodnutí, že podniknutí všech náležitých kroků je pro ně příliš náročné, rozhodně by se neměly obávat a obrátit se na specializované subjekty, jenž se zabývají přímo problematikou GDPR.