Zveřejňování výpisů z účtu

Máme za to, že čísla bankovních účtů mohou být považována za osobní údaje za předpokladu, že podle nich bude možné určit konkrétní osobu. Z tohoto důvodu doporučujeme při nakládání s čísly bankovních účtů postupovat shodně jako v případě jiných osobních údajů členů společenství a pro případné nakládání s těmito osobními údaji nad rámec plnění zákonných povinností si vyžádat od vlastníků bankovních účtů souhlas.

Pro bližší pochopení celé problematiky uvádíme následující informace:

Samotné nařízení GDPR konkrétně nestanoví, co přesně je a co není osobní údaj, klíčové pouze je, zda je možné na základě určité informace jednoznačně identifikovat konkrétní fyzickou osobu. To potvrzuje i Úřad na ochranu osobních údajů, který říká, že „je nutné si uvědomit, že osobním údajem je jakákoli informace týkající se identifikované či identifikovatelné fyzické osoby a skutečnost, že identifikace, resp. identifikovatelnost může nastat různými způsoby, ne vždy pouze podle jména, příjmení, adresy a data narození, ale i např. kódem, který je třeba zaměstnanci přidělen či IP adresou atd.“ (Zdroj: https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744).

Podrobněji se k pojmu „Osobní údaj“ vyjádřila evropská pracovní skupina pro ochranu údajů zřízená podle článku 29 směrnice 95/46/ES. Jde o nezávislý evropský poradní orgán pro ochranu údajů a soukromí. Ve svém stanovisku ze dne 20. června 2007, č. 4/2007, se vyjádřila k pojmu „osobní údaj“. Toto stanovisko bylo vypracováno před nabytím účinnosti směrnice GDPR, avšak samotná definice pojmu „osobní údaj“ zůstala v podstatě nezměněna oproti minulé právní úpravě a nadto lze podotknout, že nařízeni GDPR bylo přijato z důvodu zpřísnění právní úpravy ochrany osobních údajů, proto stanovisko vypracované podle staré právní úpravy je nadále použitelné, spíše lze usuzovat, že kritéria stanovená ve stanovisku se naopak zpřísnila přijetím nařízení GDPR. Stanovisko říká, že osobním údajem je „jakákoliv informace, která se týká určené nebo přímo či nepřímo určitelné fyzické osoby“.

Klíčové tedy je, zda na základě určité informace lze určit, neboli identifikovat konkrétní fyzickou osobu. Samotná identifikace neboli určitelnost se neurčuje pouze z pohledu zpracovatele osobních údajů, tedy např. v případě našeho případu týkající se čísla bankovního účtu není důležité, že sám zpracovatel není schopen sám dle čísla bankovního účtu určit konkrétní fyzickou osobu, ale dle názoru generálního advokáta Evropské unie, který přednesl v rozsudku soudního dvora EU ze dne 19. října 2016, Patrick Breyer vs Spolková republika Německo, věc C-213/15, „nutnost rozumně předpokládat dopadá nejen na možné prostředky či nástroje využitelné k identifikaci, ale i na možnou existenci případné další osoby, která by byla schopná údaje k identifikaci využít. Jinak řečeno buď správce nebo zpracovatel sám nebo nějaký další reálně existující subjekt (orgány činné v trestním řízení, pojišťovna, soud, telekomunikační operátor) musí mít legální i technické možnosti určité informace s využitím dalších dat, kterými buď již disponuje nebo ke kterým může získat přístup, přiřadit ke konkrétní osobě“. Jinými slovy není klíčové, že sám zpracovatel není schopný na základě určité informace sám identifikovat určitou osobu, důležité je, že někdo jiný by mohl. Lze tedy uzavřít, že je vždy nutné každou situaci hodnotit individuálně, jelikož někdy určité informace mohou identifikovat konkrétní osobu a někdy nikoliv, proto je vždy nutné zkoumat, zda určitá informace je identifikovatelná vůči konkrétní osobě.