Výsledkem analýzy podle uvedených parametrů je pak kreditní skóre v určitém rozmezí, které je posléze poskytnuto bankám a použito jako pomocné kritérium pro žadatele o úvěr, kreditní kartu či hypotéku. Banky tedy nedostávají samotné informace ale pouze závěrečné skóre vypočítané těmito systémy. Systém je zpravidla provozován externí společností, tedy jsou údaje klientů telekomunikačních operátorů nejprve zasílány této společnosti, zde jsou konvertovány v kreditní skóre a to je posléze poskytováno bankám. Banky nicméně nemusí být jediným uživatelem těchto systémů, za poplatek ho mohou využít například pronajímatelé bytu či potenciální zaměstnavatelé.

V souvislosti s přijetím diskutovaného Obecného nařízení o ochraně osobních údajů (GDPR[1]) se nabízí otázka, zda bude podobný způsob spolupráce mobilních operátorů a bank přípustný i od května 2018, neboť ačkoliv údaje předávané od mobilního operátora směrem k bance nejsou ztotožnitelné s žádným z klientů (bude se jednat o výše zmíněný kreditní index), tak samotný operátor zpracovává osobní údaje klientů (včetně poměrně citlivých údajů typu jejich polohy) a tyto údaje poskytuje externí společnosti.

Obecně a vágně formulovaný souhlas se zpracováním osobních údajů, který se případně uděluje v souvislosti s provozováním telekomunikačních služeb by dle názoru autorů v režimu GDPR rozhodně nepokrýval užívání těchto osobních údajů v tak nesouvisející oblasti jako je úvěrový rating. Podle článku 7 GDPR musí být udělený souhlas jasný, srozumitelný a hlavně kdykoliv odvolatelný. Také článek 22 GDPR jasně popisuje, že: "Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká." Asi není pochyb, že pokud takovéto automatizované zpracování s vyhodnocením parametrů včetně geolokace klienta ovlivní jeho úvěrové hodnocení a na jeho základě dojde například k odmítnutí poskytnutí úvěru, tak takovéto profilování má právní účinky a klienta se významným způsobem dotýká, zejména pak v momentě, kdy vlastně původně zamýšlel pouze uzavřít smlouvu s telekomunikačním operátorem na poskytování možnosti volat, posílat SMS a přistupovat k mobilnímu internetu.

Samozřejmě problémy mohou vznikat i s ostatními ustanoveními GDPR, namátkou například článek 15 týkající se práva přístupu subjektů údajů ke svým osobním údajům,kde podle písmena h) by teoreticky měla taková externí společnost subjektům údajů poskytnout "informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů", tedy jinými slovy své vlastní know-how pro vytváření úvěrového ratingu na základě vstupních údajů poskytnutých mobilním operátorem. Článek 17, týkající se práva na výmaz (práva "být zapomenut") je také relevantní.

Bude bezesporu zajímavé sledovat, jak se na uvedenou problematiku promítne v praxi nejen GDPR ale i v České republice nově připravovaný návrh zákona o zpracování osobních údajů z dílny Ministerstva vnitra, který má adaptovat český právní řád právě na GDPR. Dle názoru autorů lze však již v tuto chvíli říci, že způsob fungování systémů využívajících údaje o zákaznících mobilních operátorů bude muset doznat podstatných změn. .




Mgr. Petr Šabatka



JUDr. Jan Metelka, LL.M.


DLA Piper Prague LLP, organizační složka

Panská 854/2
110 00  Praha 1

Tel.:    +420 222 817 111
e-mail:    prague@dlapiper.com


__________________________
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz