One shot, one hit
Nádejný čerstvo vyškolený finančný sprostredkovateľ v postavení podriadeného finančného agenta sa spravidla ešte v ohúrení z prvého školenia povzbudzujúceho kombináciu základného mixu prízemných psychologických pudení (napr. primitívny komerčný úspech, seba realizácia, pomoc iným, finančná nezávislosť a sloboda) dostáva do ťažkého zápasu o získanie dôvery potenciálneho klienta. Podľa „dobrej“ rady zo školenia vytiahne svoj súkromný telefón, ktorý využíval ešte pred tým ako sa zaregistroval na DIČ a začne lákať nič netušiacich známych na „záhadné“ stretnutia. Práve týmto konaním dochádza k tzv. excesu (vybočeniu) z výnimky výlučne domácich a osobných činností, ktoré umožňovali neskúsenému „finančníkovi“ doteraz spracúvať osobné údaje svojich rodinných príslušníkov, kamarátov a známych bez toho, aby sa aplikovali záväzné pravidlá ochrany osobných údajov. Ich prvým využitím na účely výkonu finančného sprostredkovania (napr. vytočenia čísla v mobile s cieľom „vylákať“ subjekt na „záhadné“ stretnutie), ako aj na všetky súvisiace a nadväzné spracovateľské operácie vykonávané s týmito osobnými údajmi sa už budú vzťahovať pravidlá ochrany osobných údajov a regulačné povinnosti ustanovené v zákone o ochrane osobných údajov.
Každý telefonát zo súkromného adresára začínajúceho podriadeného finančného agenta je tak v podstate veľmi pravdepodobným porušením ochrany osobných údajov, ktoré môže mať právne konzekvencie. Pochopiteľne začínajúci finančný sprostredkovateľ má „hokej“ v iných veciach ako je ochrana osobných údajov, ktoré sú pre jeho fungovanie ešte dôležitejšie, takže tým aké môžu byť hypotetické právne dôsledky jeho konania sa vôbec nezaťažuje. Poďme sa teda zamyslieť, aké môže mať táto prax právne dôsledky.
Kto je kto?
Zákon o ochrane osobných údajov rozlišuje a hmotnoprávne odlišuje viacero subjektov, ktoré sa bežne podieľajú na spracúvaní osobných údajov, ale majú pritom úplne odlišné postavenie s čím súvisí aplikácia konkrétnych povinností. Rovnako Zákon o finančnom sprostredkovaní rozlišuje rôzne typy finančných agentov a odlišuje ich od finančných poradcov.
Rozoberme si to na bežnej schéme, ktorá je typická pre slovenský biznis so sprostredkovaním finančných a poistných produktov. Na začiatku stojí finančná inštitúcia (banka, poisťovňa, správcovská spoločnosť apod.), ktorá má záujem o lepší predaj svojich finančných produktov a zároveň určuje aj účel spracúvania osobných údajov, keďže klient uzatvára koncovú zmluvu s touto finančnou inštitúciou. Tento subjekt bude teda vo svete ochrany osobných údajov prevádzkovateľom a vo svete finačného sprostredkovania finančnou inštitúciou, s ktorou klient uzatvára tzv. zmluvu o finančnej službe (napr. zmluva o bežnom účte, poistná zmluva, zmluva o úvere, zmluva o kúpe cenných papierov, zmluva o riadení portfólia, účastnícka zmluva atď.).
V strede stojí samostatná brokerská obchodná spoločnosť sprostredkúvajúca biznis pre viacero finančných inštitúcii alebo vlastná obchodná spoločnosť vytvorená spravidla finančnou inštitúciou za účelom BD (biznis developmentu), ktorá sprostredkúva biznis iba pre spriaznenú finančnú inštitúciu. Tento subjekt má v rámci ochrany osobných údajov postavenie sprostredkovateľa a z hľadiska regulácie finančného sprostredkovanie ide o samostatného finančného agenta a/alebo podriadeného finančného agenta.
Na konci stojí pešiak, ktorý sa Vás usiluje dostať na kávu, ktorá Vám „zmení život“, alebo aj nie...Tento subjekt je v regulácii ochrany osobných údajov najčastejšie oprávnenou osobou samostatného a/alebo viazaného finančného agenta alebo ešte horšie pre „pešiaka“ jeho subdodávateľom, resp. ďalším sprostredkovateľom zapojeným do spracúvania osobných údajov klientov a potenciálnych klientov poskytnutia finančných služieb.
Toto začlenenie do skupín je dôležité pre správnu identifikáciu povinností, ktoré sa uplatňujú. Pokračujme ďalej vo výklade týkajúcom sa spodného článku tejto reťaze, ktorý je zároveň aj najviac nepopulárnym a tiež najviac zraniteľným subjektom tohto obchodného modelu.
Pešiak ťahá za kratší koniec
V prípade, ak je podriadený finančný agent z hľadiska interného compliance riadeného sprostredkovateľom „ošetrený“ ako oprávnená osoba, tak samostatnému alebo viazanému finančnému agentovi v podstate stačí, keď si formálne podpíše s „pešiakom“ písomný záznam o poučení oprávnenej osoby, pričom si dá pozor, aby do písomného záznamu o poučení oprávnenej osoby dostal veci, ktorými ho zaväzuje prevádzkovateľ (finančná inštitutácia) v osobitnej zmluve uzatvorenej podľa § 8 ods. 4 zákona o ochrane osobných údajov. V prípade, ak majú samostatní alebo viazaní finanční agenti podriadeného finančného agenta „ošetreného“ ako sprostredkovateľa mali by s ním uzatvoriť veľmi podobnú zmluvu, aká v zmysle § 8 ods. 4 zákona o ochrane osobných údajov z hľadiska podmienok spracúvania osobných údajov zaväzuje samostatného finančného agenta ako sprostredkovateľa finančnej inštitúcie. Finančnej inštitúcii potom už stačí len vyjadriť súhlas samostatnému alebo viazanému finančnému agentovi so zapojením tzv. subdodávateľa, ktorým môže byť náš „pešiak“.
Bežne sú tak podriadení finanční agenti zaviazaní, resp. oprávnení iba na spracúvanie osobných údajov, ktoré poskytla finančná inštitúcia ako prevádzkovateľ, príp. na osoby, ktoré samé požiadajú o uzatvorenie zmluvného vzťahu niektorého z aktérov biznis modelu. Spamovanie alebo obvolávanie okruhu priateľov a známych zo súkromného adresára podriadeného finančného agenta sa tak dostáva mimo rámca povolených spracovateľských operácii a pokynov prevádzkovateľa a ostáva ako čierny Peter v ruke podriadeného finančného agenta.
Aj keby to tak nebolo, stále by dochádzalo k aplikácii ustanovenia § 12 ods. 2 Zákona o ochrane osobných údajov podľa, ktorého možno získať do informačného systému osobné údaje od inej fyzickej osoby (podriadeného finančného agenta) len s predchádzajúcim písomným súhlasom dotknutej osoby. Myslím, že asi žiadny podriadený finančný agent, ktorý je Vašim priateľom, bývalým spolužiakom, či známym Vás v praxi nežiada o písomný súhlas so spracúvaním Vašich osobných údajov pred tým ako sa Vás pokúsi dostať na stretnutie, kde sa budú kresliť pyramídy. Porušenie tohto ustanovenia môže byť dvojsečnou zbraňou. Jednak sa môžu dostať do informačného systému prevádzkovateľa osobné údaje, ktoré budú minimálne do určitej fázy spracúvané bez právneho základu, za čo môže byť hypoteticky ex lege sankcionovaný prevádzkovateľ (finančná inštitúcia). Jednak môže byť ex lege sankcionovaný aj samotný podriadený finančný agent (pešiak), ktorý takto využije osobné údaje svojich súkromných kontaktov. Samozrejme veľmi záleží aj od toho, ako sú upravené právne vzťahy medzi prevádzkovateľom a sprostredkovateľom. Pre sprostredkovateľa (pešiakov chlebodarca) prichádza v sankčnej rovine do úvahy hlavne prípadné vyvodzovanie zmluvnej zodpovednosti zo strany prevádzkovateľa (finančnej inštitúcie).
V týchto vzťahoch je teda síce bežné, že aj keď samostatný alebo viazaný finančný agent vyplácajúci provízie priamo podriadenému finančnému agentovi povzbudzuje prax spočívajúcu v zneužívaní súkromných kontaktov svojich nových podriadených finančných agentov (napr. na školeniach) v relevantných právnych dokumentoch (napr. záznam o poučení oprávnenej osoby alebo zmluva uzatvorená podľa § 8 ods. 3 a 4 zákona o ochrane osobných údajov) môže byť takéto konanie explicitne zakázané, príp. nemusí byť medzi povolenými spracovateľskými operáciami.
Polemika o zodpovednosti prevádzkovateľa, resp. finančnej inštitúcie za túto prax by asi tiež s vysokou pravdpodobnosťou narazila na ustanovenia zmlúv, ako aj samotné ustanovenie § 8 ods. 5 Zákona o ochrane osobných údajov v zmysle, ktorého za subdodávateľa znáša zodpovednosť sprostredkovateľ. Rovnako sprostredkovateľ znáša do istej miery zodpovednosť aj za svoje oprávnené osoby.
Závery
Ako tomu v praxi často v súčasnom systéme bohužiaľ býva – ten najslabší a najzraniteľnejší článok znáša najväčšiu mieru zodpovednosti. Podľa ustanovenia § 68 ods. 7 zákona o ochrane osobných údajov môže byť podriadený finančný agent ako oprávnená osoba sankcionovaná za využitie osobných údajov zo svojho súkromného adresára pri finančnom sprostredkovaní pokutou od 150 EUR do 2000 EUR (napr. ak nemá písomný súhlas dotknutej osoby a/alebo konal v rozpore s opatreniami a povinnosťami s ktorými bol poučený ako oprávnená osoba).
V prípade, ak by podriadený finančný agent nefiguroval ako oprávnená osoba samostatného alebo viazaného finančného agenta, ale bol by jeho sprostredkovateľom, resp. subdodávateľom mohlo by to byť ešte horšie. Mohla by sa k tomu pridať aj zmluvná zodpovednosť, regresné náhrady za pokuty uložené samostatnému finančnému agentovi ako aj osobitné administratívne sankcie za nesplnenie ďalších povinností ustanovených zákonom o ochrane osobných údajov (napr. ak by bol podriadený finančný agent v postavení sprostredkovateľa nemohol by sa spoliehať ako oprávnená osoba na bezpečnostnú dokumentáciu samostatného, resp. viazaného finančného agenta, ale musel by mať vlastnú apod.).
Podriadený finančný agent má naozaj ťažké postavenie a náročné povolanie. Právne nastavenie pravidiel ochrany osobných údajov jednoznačne nepraje praktikám finančného sprostredkovania, ktoré robia tomuto povolaniu aj tak iba zlé meno. Biznis modely založené na veľkých náboroch kohokoľvek a následnom uzatváraní kontraktov v sociálnom okolí takýchto nových absolútne nekvalifikovaných finančných sprostredkovateľov, ktorí po poistení svojich babiek alebo samých seba ukončujú svoju činnosť by už mali naozaj skončiť. V prípade, ak sa Vás tieto praktiky bezprostredne týkajú a hnevajú, máte možnosť vyjadriť svoju nevôľu aj iniciovaním konania o ochrane Vašich osobných údajov na Úrade na ochranu osobných údajov.
JUDr. Ondrej Zimen
Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.
