Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
★ Akční a slevové balíčkyPRINCE2ITILScrumDotace 50.000 KčDalší standardy
> > Musí finanční instituce nahrávat veškeré hovory se zákazníky?

Musí finanční instituce nahrávat veškeré hovory se zákazníky?

  • Datum: 06.03.2024
  • Autor: Monika Kovář Staňková

Finanční instituce poskytující investiční služby musí nahrávat hovory se zákazníky. Rozsah této povinnosti byl v lednu 2024 upřesněn. Jaké to má dopady do praxe poskytování investic a ochrany osobních údajů?

Změna ustanovení § 17 zákona o podnikání na kapitálovém trhu (ZPKT) zřejmě přinesla značnou úlevu pro obchodníky s cennými papíry. Totéž platí i pro banky poskytující hlavní investiční služby, investiční společnost poskytující hlavní investiční služby a investiční zprostředkovatele (dále jen „OCP“).  

Otázka nahrávání hovorů u OCP vyvolávala mezi odbornou veřejností nejasnosti a byla předmětem mnoha diskuzí. Dle dosavadního výkladu především České národní banky bylo nutné nahrávat každý hovor pracovníka či vázaného zástupce OCP, který byl oprávněn zprostředkovávat investice. Pokuty od ČNB za nedostatečné nahrávání hovorů, např. FincentrumČeská spořitelna atd., doslova „donutily“ i menší poradenské společnosti změnit přístup. Povinné nahrávání se týkalo hovorů a komunikace na všech zařízeních poskytnutých pro účely komunikace se zákazníkem (např.  fax, e-mail, SMS, chat, rychlé zprávy, videokonference).

Nahrávání v režimu dvou telefonních linek

 Dle stanoviska ČNB z roku 2022 „Přístup ČNB k záznamům telefonických hovorů a elektronické komunikace při poskytování investičních služeb“ měl být u nahrávání hovorů režim dvou linek

  • První linka, kde bylo možné poskytovat investiční služby zákazníkům, měla být nahrávaná vždy. 

  • Druhá telefonní linka, která neslouží k jednání se zákazníky, tj. typicky pracovní linky pro účely interních hovorů, nahrávána být nemusela. 

Nahrávat veškeré hovory, jejichž předmětem mohou být hovory o investičních obchodech, je v praxi problematické. Stejně tak náročné je i zajistit kapacity pro jejich interní kontrolu ze strany compliance útvaru. Kontrola musí probíhat na dostatečně reprezentativním vzorku, který z pohledu ČNB znamená vyšší stovky nahrávek kvartálně.

Dalším nákladem je pak archivace záznamů komunikace a telefonických hovorů. Roční náklady týkající se pouze nahrávání hovorů a jejich archivace v praxi dosahují desítek až stovek milionů korun.

Dle důvodové zprávy k uvedené novele byla výše nákladů pro menší společnosti až likvidační. Tento přístup, i když byl formálně v souladu s tehdy platnými a účinnými právními předpisy, se setkal s kritikou ze strany řady finančních institucí a asociací. Ty  argumentovaly, že takto striktně formulované požadavky jdou nad rámec příslušné evropské regulace (směrnice MIFID II) a nepřiměřeně zatěžují jejich provoz. 

Novelizace mění pravidla pro nahrávání hovorů

Uvedená novelizace ustanovení § 17 ZPKT významně mění pravidla pro uchovávání záznamů komunikace. OCP již není povinen uchovávat veškerou komunikaci se zákazníky, ale pouze záznamy týkající se investičních služeb a obchodů, pokud zahrnují přijetí, předání nebo provedení pokynu zákazníka. Tyto záznamy se vedou i v případě, kde bylo účelem jednání uzavření obchodu nebo poskytnutí služby, ale nedošlo k tomu.

Celkově lze změnu ustanovení § 17 ZPKT vnímat jako krok ke zjednodušení a racionalizaci procesů uchovávání záznamů komunikace v oblasti finančních služeb. V souvislosti s touto změnou v legislativě lze zřejmě očekávat úpravu stanoviska ČNB a přístupu při dohledu, který bude reflektovat změnu právního rámce.

Nahrávání hovorů z pohledu GDPR

I po provedené novelizaci musí OCP, resp. finanční instituce podílející se na nabízení investičních produktů, nahrávat řadu telefonních hovorů se svými zákazníky. Z pohledu ochrany osobních údajů tak vnímám jako podstatné, aby si daná finanční instituce jako správce osobních údajů zrevidovala záznamy o činnostech zpracování a rozdělila účely pro nahrávání hovorů a evidenci komunikace se zákazníky. 

  • Jedním z účelů bude nahrávání hovorů pro naplnění zákonné povinnosti s tím, že doba uchování osobních údajů bude v rozsahu zákonné povinnosti, tzn. 5 let. 

  • Druhým účelem může být např. nahrávání hovorů pro lepší péče o klienty, kontrolu činnosti pracovníků, poskytnutí nahrávek klientům v případě jejich žádosti, pro obhajobu právních nároků či pro soulad s dalšími regulatorními požadavky (např. § 12 ZPKT). 

Možná je i kombinace těchto účelů řádně popsaná v balančním testu.

Vhodným právním titulem pro většinu těchto účelů, kromě plnění právní povinnosti, se tak jeví oprávněný zájem správce. Pro jeho využití je důležité:

  • konzultovat zpracování s pověřencem pro ochranu osobních údajů (DPO),

  • vypracovat posouzení vlivu na ochranu osobních údajů (DPIA),

  • revidovat informační memorandum o zpracování osobních údajů, a

  • aktualizovat archivační a skartační řád s ohledem na potřebu úpravy archivační doby pro nahrávky uchovávané právě na základě oprávněného zájmu.

Riziko zde vnímám především v nadbytečném zpracování osobních údajů bez právního titulu, a to v případě nedoložení balančního testu či nerozlišení doby zpracování pro jednotlivé účely.

Článek odráží právní a skutkový stav ke dni 1. března 2024

článek je převzat z gdpr.cz

Štítky
GDPRData Protection OfficerPověřenec pro ochranu osobních údajůComplianceCompliance Officer

Nejčtenější články

Štítky
Simulation (1)AI Act (4)Management (10)Data (3)BPMN (1)Program Manager (4)Compliance (24)ISO 27701 (1)ISO/IEC 27001 (2)Six Sigma (2)Whistleblowing (10)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (18)it4it (1)ePrivacy (11)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Axelos (6)AI (4)ISO (4)IT Security (5)Marketing (2)ESG (2)Lean (3)MoP (7)CMS (1)GDPR (58)Gamification (1)Byznys (1)TOGAF (6)ITIL (22)Agile (6)Risk Manager (1)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)P3O (7)MSP (9)Data Protection Officer (35)Porsche (1)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (3)Whistleblowing Officer (3)DORA (3)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (27)OHSAS (1)ZoKB (5)Dotace (2)Kybernetická bezpečnost (6)P3M3 (1)Business Simulation (4)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (1)DPO (6)AgileSHIFT (3)PMI (1)ISMS (16)NIS2 (7)IT (4)Pověřenec pro ochranu osobních údajů (38)IT Service (4)Soukromí (1)Grab@Pizza (1)Enterprise Architect (5)Business Analytik (1)Project Manager (15)ISO 22301 (1)Ochrana osobních údajů (10)Pokuta (1)eGovernment (1)Regulace (2)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play