14. Č. j. FAU-144224/2024/031 ze dne 9. 12. 2024

Žádost o informace o trestním oznámení a zpracování osobních údajů

Dotaz:

  1. Jakým způsobem FAÚ při zpracování a předávání informací o mé osobě zajistilo dodržení povinností vyplývajících ze zákona o ochraně osobních údajů (GDPR), především principu minimalizace údajů a účelového omezení?
  2. Jaké interní mechanismy má FAÚ zavedeny k ochraně osobních údajů subjektů, jako jsem já, a jak bylo v mém případě zajištěno, aby nedošlo k neoprávněnému nakládání s informacemi?

Částečná odpověď k bodu 4 žádosti:

K otázce žadatele uvedené pod bodem 4 žádosti „Jakým způsobem FAÚ při zpracování a předávání informací o mé osobě zajistilo dodržení povinností vyplývajících ze zákona o ochraně osobních údajů (GDPR), především principu minimalizace údajů a účelového omezení?“ Úřad odpovídá obecně a mj. cituje z komentáře k AML zákonu (KATOLICKÁ, Michaela. Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu: komentář. 2. vydání. Komentáře Wolters Kluwer. Praha: Wolters Kluwer, 2021. ISBN 978-80-7676-166-7. Část k § 31a AML zákona.). Podle výše uvedeného ustanovení § 31a AML zákona existují výjimky z ostatních právních předpisů týkající se zpracovávání osobních údajů Úřadem v rámci jeho činnosti. 

K odst. 3 až 6 § 31a AML zákona:
„Obecné nařízení o ochraně osobních údajů dává ve svém čl. 23 členským státům možnost omezit v nezbytně nutném rozsahu stanovená práva subjektu údajů. Omezení práva subjektu údajů (zcela nebo zčásti) na přístup k osobním údajům, je zakotveno i v AML směrnici (čl. 41 odst. 4), která jej umožňuje v rozsahu, v němž je takové omezení potřebné a přiměřené s ohledem na oprávněné zájmy dotčené osoby, tj. umožnění příslušnému vnitrostátnímu úřadu (v ČR je jím FAÚ) řádně plnit své úkoly v oblasti AML/CFT nebo zajištění toho, aby se nebránilo úředním nebo právním šetřením, analýzám, vyšetřováním nebo postupům podle AML směrnice a jejímu účelu. Dané omezení nakonec povoluje i vnitrostátní zákonná úprava na ochranu osobních údajů (zákon o zpracování osobních údajů) v § 11, ta jej z důvodu zamezení nadužívání podmiňuje povinností správce oznamovat omezení práv subjektu údajů dozorovému úřadu. V daném oznámení by pak měl správce takový postup zdůvodnit, přičemž by toto zdůvodnění mělo obsahovat body dle čl. 23 odst. 2 obecného nařízení o ochraně os. údajů.

Existence výjimky z uplatňování opatření na ochranu osobních údajů je pro potřeby AML/CFT a naplnění jejich účelu stěžejní. FAÚ provádí finanční šetření, jehož výstupem je při potvrzení podezření na ML/TF trestní oznámení. Toto šetření je tak „předstupeň“ k případnému zahájení trestního řízení. Z tohoto důvodu je nezbytné vyloučit poskytování údajů dotčeným osobám na vyžádání, aby tím nedošlo k varování možného pachatele. Zároveň je žádoucí uchránit povinné osoby a konkrétní „oznamovatele“ (jejich zaměstnance, kteří zpracovávali oznámení podezřelého obchodu) před nežádoucími útoky ze strany oznámené osoby. Na oznámení podezřelého obchodu a jeho šetření prováděné FAÚ se navíc vztahuje povinnost mlčenlivosti dle § 38 AMLZ, což je i v této souvislosti potřeba zohlednit.“

Z toho plyne nutný závěr, že dotaz směřuje do činnosti Úřadu, která je jako taková citlivá. Dále je nutné informace z této činnosti náležitě chránit, to interně uvnitř Úřadu, tak také navenek vůči třetím osobám. Účelem zpracování takových osobních informací je naplňování politiky České republiky v oblasti boje proti praní špinavých peněz a financování terorismu, popřípadě provádění mezinárodních sankcí.

Pokračování citace:

„Omezení práv subjektu údajů navzdory tomu musí respektovat podstatu základních práv a povinností vyplývající z obecného nařízení o ochraně osobních údajů, být nezbytné a přiměřené. Komentované ustanovení za tímto účelem taxativně vymezuje, za jakých podmínek může FAÚ žádosti o přístup k osobním údajům nevyhovět či vyhovět pouze částečně. K takovému kroku může přistoupit už při naplnění jednoho ze tří uvedených důvodů.

FAÚ by při následné komunikaci se subjektem údajů, tj. při reakci na příslušnou žádost, měl naplnit postupy a lhůty uvedené v obecném nařízení o ochraně osobních údajů. I zde se ale může z výše uvedených důvodů uchýlit v souladu s odstavcem 4 komentovaného ustanovení k odlišnému postupu. Jestliže by totiž vyhověním žádosti o přístup k osobním údajům nebo naopak sdělením o jeho nevyhovění, včetně uvedení důvodů k takovému postupu, hrozilo zmaření plnění úkolu za účelem zabránění zneužívání finančního systému k ML/TF nebo vytváření podmínek pro odhalování ML/TF či ochranu utajovaných informací, má FAÚ pravomoc informovat subjekt údajů ve stejném rozsahu jako toho, jehož osobní údaje nezpracovává. Samotná informace o tom, že nějaké osobní údaje FAÚ o subjektu údajů zpracovává či naopak i informace o tom, že o něm žádné informace nezpracovává, by mohla být porušením mlčenlivosti a zároveň by mohla významně ohrozit samotné probíhající vyšetřování. [zvýraznění doplněno Úřadem]

Komentář zde poukazuje na omezené možnosti, které právní předpisy poskytují Úřadu, jak reagovat na žádosti o informace nebo jiné typy žádostí směřující k osobním údajům za stanovených podmínek v ustanovení § 31a AML zákona.

Částečná odpověď k bodu 5 žádosti:

K otázce žadatele uvedené pod bodem 5 žádosti „Jaké interní mechanismy má FAÚ zavedeny k ochraně osobních údajů subjektů, jako jsem já, a jak bylo v mém případě zajištěno, aby nedošlo k neoprávněnému nakládání s informacemi?“ Úřad uvádí následující odpověď. 

Dle § 29c odst. 3 AML zákona platí, že „Úřad při své činnosti uplatňuje taková organizační, personální a jiná opatření, která zaručují, že s informacemi získanými při jeho činnosti podle tohoto zákona nepřijde do styku nepovolaná osoba“. Na úrovni Úřadu jsou tak zajištěna opatření, která mají za cíl chránit informace získané při jeho činnosti, včetně osobních údajů. Konkrétně jde o technická omezení (k vedení spisové služby Úřad využívá IS ELO. Zmínka dostupná např. ve výroční zprávě za rok 2021: https://fau.gov.cz/files/vyrocni-zprava-financniho-analytickeho-uradu-za-rok-2021.pdf.) přístupu k osobním údajům, kdy přístup mají pouze konkrétní osoby, které přístup nezbytně potřebují k plnění svých pracovních úkolů. Tím je současně zajištěn definovaný okruh osob, které v daný okamžik přístup k osobním údajům mají, a následně je zajištěna auditní stopa takových přístupů. Jednotlivé způsoby nakládání s osobními informacemi jsou zaznamenány a jsou dohledatelné pro účely auditu. Mimo to jsou obecně všichni zaměstnanci Úřadu vázáni přísnou mlčenlivostí podle § 38 AML zákona.