Obecné nařízení o ochraně osobních údajů (GDPR)

Provozovatelem BRKI je CBCB, na níž mají v souladu se zákonem o bankách majetkový podíl pouze banky, které jsou společnými správci osobních údajů zpracovávaných v BRKI.

Pokud se domníváte, že při zpracování Vašich osobních údajů v BRKI došlo k porušení právních předpisů nebo Vašich práv, nebo pokud se Vám nepodaří vyřídit Vaši záležitost s Klientským centrem, máte možnost obrátit se na pověřence pro ochranu osobních údajů elektronicky na adrese poverenec@cbcb.cz.

BRKI představuje databázi údajů o smluvních (úvěrových) vztazích mezi bankami a jejich klienty. BRKI je vytvořen na základě informací, které banky poskytují společnosti CBCB a které jednotlivě nebo ve svém souhrnu vypovídají o bonitě a důvěryhodnosti klientů bank. V rámci BRKI jsou zpracovávány níže uvedené osobní údaje klientů:

• identifikační osobní údaje klienta (tj. jméno, příjmení, rodné příjmení, datum narození, místo a země narození, adresa bydliště klienta, rodné číslo klienta a informace o dokladech totožnosti) a kontaktní osobní údaje klienta poskytnuté klientem (tj. kontaktní adresa, telefon a elektronická adresa); identifikační údaje zahrnují údaje, které klient poskytl bance, a také jejich případnou aktualizaci, kterou banka provedla na základě informací získaných ze základních registrů veřejné správy v souvislosti s poskytováním identifikačních služeb podle zákona o bankách či prováděním identifikace klienta podle zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu;
• osobní údaje vypovídající o tom, zda mezi klientem (nebo žadatelem, pokud jde o ručitele) a bankou došlo k uzavření, případně neuzavření smluvního vztahu;
• osobní údaje vypovídající o finančních závazcích klienta, které vznikly, vzniknou nebo mohou vzniknout vůči bance v souvislosti se smluvním vztahem, a o plnění těchto závazků ze strany klienta;
• osobní údaje vypovídající o zajištění závazků klienta souvisejících se smluvním vztahem s bankou;
• osobní údaje vypovídající o tom, zda ohledně klienta došlo k postoupení pohledávky ze smluvního vztahu s bankou a o dalším plnění závazků ze strany klienta ve vztahu k takto postoupené pohledávce; to vše pouze za předpokladu, že banka nadále vykonává správu příslušné postoupené pohledávky a při splnění dalších smluvně stanovených podmínek;
• případné další osobní údaje, které vypovídají o bonitě, důvěryhodnosti (či platební morálce) klienta a které klient sdělil či sdělí bance, nebo které banka získala či získá v souvislosti s plněním, případně neplněním příslušného smluvního vztahu s bankou, včetně údajů o dokladu klienta.

V BRKI nejsou zpracovávány zvláštní kategorie osobních údajů klientů – fyzických osob ve smyslu obecného nařízení o ochraně osobních údajů (např. údaje o zdravotním stavu apod.).

V souladu s ustanovením § 38a odst. 1 zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů (dále jen „zákon o bankách“), podle kterého se mohou banky a pobočky zahraničních bank působících v České republice (v rámci plnění své zákonem uložené povinnosti chovat se obezřetně) vzájemně informovat o záležitostech vypovídajících o bonitě a důvěryhodnosti jejich klientů; resp. potenciálních klientů, a to i prostřednictvím třetí osoby, na níž mají majetkový podíl pouze banky, kterou je CBCB.

Právním základem pro zpracování osobních údajů klientů v BRKI je (a) plnění právních povinností bank, (b) souhlas se zpracováním osobních údajů v případě osob zastupujících klienta a vlastníků klienta. Informace (údaje) jsou do BRKI zařazovány a následně zpracovávány v rozsahu, ve kterém mohou sloužit pro posouzení bonity a důvěryhodnosti klienta a ve kterém je klient poskytl v souvislosti se smluvním vztahem nebo které mohou vyplynout ze smluvního vztahu za dobu jeho trvání (viz výše výčet osobních údajů zpracovávaných v rámci BRKI).

Informace (údaje) obsažené v BRKI jsou pravidelně měsíčně aktualizovány a jsou uchovávány pro potřebu vzájemného informování bank po dobu trvání smluvního vztahu mezi bankou a jejím klientem a po dobu dalších čtyř (4) let po jeho ukončení. Pokud požadovaná smlouva s klientem nebyla uzavřena, jsou informace (údaje) uchovávány v BRKI po dobu jednoho (1) roku ode dne podání žádosti klienta o uzavření příslušné smlouvy.

Po uplynutí příslušné doby je zpracování takovýchto informací (údajů) omezeno (to znamená, že jsou uvedeny do takového stavu, při kterém jsou nepřístupné pro účely vzájemného informování bank) a jsou archivovány pro určení, výkon nebo obhajobu právních nároků uživatelů BRKI nebo subjektu údajů. Právním základem omezeného zpracování je oprávněný zájem správce nebo subjektu údajů na jejich získání pro uvedený účel. V rámci plnění zákonných povinností CBCB mohou být archivované údaje poskytnuty na vyžádání některých 3 státních orgánů podle zvláštních zákonů; po uplynutí doby archivace pěti (5) let jsou informace (údaje) automaticky vymazány.

Informace (údaje) o smluvních (úvěrových) vztazích s klienty jsou bankami poskytovány CBCB, která tyto údaje dále zpracovává v BRKI, a to i s využitím systému pro finální automatizované technické zpracování údajů italské společnosti CRIF S.P.A., se sídlem Via della Beverara 21, 401 31 Bologna, Italská republika a CRIF – Czech Credit Bureau, a.s., IČO: 262 12 242, se sídlem Štětkova 1638/18, Nusle, 140 00 Praha 4, která na základě příslušných smluv zajišťuje pro CBCB jako další zpracovatel služby související se vzájemným informováním bank o bonitě a důvěryhodnosti klientů a provoz Klientského centra. Při tomto zpracování dochází též k profilování klientů jednotlivých bank, jehož výsledek je jedním z podkladů pro rozhodnutí banky o tom, zda s příslušným klientem požadovanou produktovou smlouvu uzavře. K automatizovanému rozhodování o tom, zda banka s příslušným klientem produktovou smlouvu uzavře, však v rámci BRKI nedochází.

Takto zpracovávané informace (údaje) zpřístupňuje CBCB ve formě úvěrových zpráv na základě jejich žádosti bankám, které využívají služeb BRKI, a to výlučně za účelem vzájemného informování bank o bonitě a důvěryhodnosti jejich klientů.

Informace (údaje) podléhají rovněž dalším souvisejícím zpracováním ze strany CBCB, která bankám slouží k plnění jejich povinností vyhodnocovat bonitu a důvěryhodnost klientů, ověřovat doklady klienta či údaje na dokladu klienta, postupovat při svém podnikání obezřetně a dalších povinností bank dle účinných právních předpisů.

Informace týkající se konkrétního klienta jsou též zpracovávány ze strany CBCB a CRIF CZ pro účely plnění smlouvy s klientem o poskytnutí služeb nabízených na portálu kolikmam.cz.

Informace (údaje) týkající se osob zastupujících klienta a vlastníků klienta – fyzických osob, poskytuje CBCB bankám na základě souhlasu těchto osob se zpracováním jejich osobních údajů v BRKI.

Informace (údaje) týkající se právnických osob, poskytuje CBCB bankám na základě plnění právní povinnosti v souladu s příslušnými ustanoveními zákona o bankách.

CBCB dále může bankám, které využívají BRKI, na základě uzavření příslušné smlouvy s bankou poskytovat:

• tzv. score, což je syntetická hodnota vypovídající o vyhodnocení informací (údajů) o klientech obsažených vždy v příslušné úvěrové zprávě, které uživatelé rovněž využívají pro účely vyhodnocování bonity, důvěryhodnosti a platební morálky jejich klientů; score je poskytováno v rámci úvěrových zpráv i v rámci souhrnných statistických zpráv (jak je uvedeno dále);
• zprávu o ověření dokladu klienta či údajů uvedených na dokladu klienta, která je součástí ověření důvěryhodnosti klienta i v souvislosti se zákonem č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů, a je vyhotovena mj. za použití veřejných databází a BRKI; zpráva o ověření dokladu klienta či údajů uvedených na dokladu klienta je poskytována buď samostatně, nebo v rámci úvěrových zpráv;
• tzv. rizikový profil klienta, který je zpracováván na základě údajů poskytnutých klientem bance, především kontaktních údajů a jejich případných nekonzistencí a na základě dalších zpracovávaných osobních údajů klienta, především údajů o finančních závazcích klienta a jejich plnění; tato služba tvoří další podklad k ověření bonity a důvěryhodnosti klienta;
• informace (údaje) ve formě souhrnných statistických zpráv o bonitě, důvěryhodnosti a platební morálce portfolií klientů v rámci příslušného produktového trhu; takové souhrnné statistické zprávy představují souhrnné a anonymní informace, které nelze žádným způsobem spojit s jakýmkoliv identifikovaným nebo identifikovatelným subjektem údajů, a mohou být zpřístupněny také příslušnému orgánu dohledu v rámci jeho dohledové a kontrolní činnosti v souladu s platnými právními předpisy;
• informace ve vztahu ke klientům, ohledně kterých banka, která o informace žádá, postoupí či postoupila pohledávky ze smlouvy s klientem.

Prvořadým právem subjektů údajů (klientů bank) je právo na informace o zpracování osobních údajů a jejich ochraně, které naleznete v Informačním memorandu CBCB.

Subjekty údajů mají podle GDPR v souvislosti se zpracováním svých osobních údajů následující práva:

1. Právo na přístup k osobním údajům: máte právo požádat CBCB o potvrzení, zda Vaše osobní údaje skutečně zpracovává, a pokud je tomu tak, máte právo získat přístup k těmto osobním údajům a ke stanoveným informacím. CBCB Vám v takovém případě poskytne kopii osobních údajů zpracovávaných o Vás v BRKI bezplatně. V souladu s pravidly obecného nařízení o ochraně osobních údajů je CBCB oprávněna účtovat Vám přiměřený poplatek pokrývající administrativní náklady zpracovatele, pokud by Vaše žádosti o přístup k údajům byly zjevně nedůvodné nebo nepřiměřené, především pokud by se opakovaly. Při případné opravě vašich nesprávně uvedených údajů v BRKI obdržíte potvrzení o opravě bezplatně formou kopie zpracovávaných osobních údajů.
2. Právo na opravu: máte právo, aby byly bez zbytečného odkladu opraveny nepřesné osobní údaje, které jsou o Vás zpracovávány v BRKI. Máte rovněž právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
3. Právo na výmaz („právo být zapomenut“): máte právo, aby byly bez zbytečného odkladu vymazány Vaše osobní údaje, pokud je dán některý z důvodů stanovených obecným nařízením o ochraně osobních údajů (např. z důvodu nepotřebnosti zpracovávaných osobních údajů pro stanovené účely či protiprávnosti jejich zpracování).
4. Právo na omezení zpracování: máte právo na to, aby bylo omezeno zpracování Vašich osobních údajů, pokud je dán některý z důvodů obecným nařízením o ochraně osobních údajů (např. z důvodu nepřesnosti zpracovávaných osobních údajů či protiprávnosti jejich zpracování).
5. Právo vznést námitku proti zpracování údajů – z důvodů týkajících se Vaší konkrétní situace máte právo kdykoli vznést námitku proti zpracování osobních údajů, které se Vás týkají a které jsou zpracovávány na základě oprávněného zájmu.
6. Ze strany CBCB Vaše osobní údaje nebudou dále zpracovávány, pokud Vám neprokážeme závažné oprávněné důvody pro zpracování, které převažují nad Vašimi zájmy nebo právy a svobodami, nebo pro určení, výkon nebo obhajobu právních nároků.
7. Právo na přenositelnost – tj. právo získat osobní údaje (které se Vás týkají, jež jste poskytl/a uživateli BRKI) ve strukturovaném, běžně používaném a strojově čitelném formátu a právo předat tyto údaje jinému správci, aniž by tomu banka, jež je uživatelem BRKI bránila, není s ohledem na povahu zpracování Vašich osobních údajů v BRKI relevantní a žádostem, týkajícím se přenositelnosti údajů, proto nemůžeme vyhovět. Toto právo se však uplatní v případě, kdy jsou Vaše osobní údaje zpracovávány na základě Vašeho souhlasu (osoby zastupující klienta a vlastníci klienta).
8. Právo podat stížnost pokud se domníváte, že zpracováním Vašich osobních údajů v BRKI dochází k porušení příslušných právních předpisů, zejména obecného nařízení o ochraně osobních údajů, můžete se obrátit se svou stížností na: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

Svá práva můžete uplatnit v Klientském centru provozovaném společností CRIF – Czech Credit Bureau, a.s., které CBCB jako zpracovatel touto činností pověřilo. Bližší informace o kontaktu na Klientské centrum, způsobu podání žádosti o uplatnění práv i formuláře žádostí naleznete zde.

 Vyřízení žádostí o uplatnění práv zajišťujeme bezplatně. Pokud by žádosti byly zjevně nedůvodné nebo nepřiměřené, zejména protože by se opakovaly, může být účtován poplatek odpovídající administrativním nákladům.

Vaše osobní údaje nejsou předávány do třetích zemí mimo Evropskou unii, resp. mimo Evropský hospodářský prostor.