KYC a minimalizace dat: protokoly pro sdílení pouze nezbytných identifikačních údajů

Marek T.

Co je KYC a proč vzniká tlak na „minimum potřebného”

Know Your Customer (KYC) je proces ověřování identity a hodnocení rizika klienta při poskytování finančních a některých digitálních služeb. Povinnost KYC vyplývá zejména z předpisů proti praní špinavých peněz (AML/CFT), sankcí a regulací sektoru (bankovnictví, kryptoaktiva, telekomunikace, hazard, investiční služby). Z pohledu soukromí je KYC citlivý, protože kombinuje průkazy totožnosti, biometrické prvky (fotografie/živostnost), geolokaci, přehledy o finančním chování a často také skeny účtů či účetních dokumentů. Cílem tohoto článku je ukázat, jak KYC zvládnout tak, abyste sdíleli pouze to, co je nezbytné pro daný účel – a nic navíc.

Princip „data minimization” a zákonné základy

Minimalizace údajů není jen dobrou praxí, ale i právní povinností: provozovatel má zpracovávat pouze ty údaje, které jsou nezbytné pro konkrétní účel. U KYC je tímto účelem typicky splnění AML povinností, sankčních screeningů a posouzení rizika. Každý další údaj (například nevyžádaná metadata z dokumentů či nadbytečná pole ve formulářích) by měl být vyloučen nebo alespoň volitelný.

Typy KYC a úroveň potřebných údajů

  • Onboarding s nízkým rizikem (low-risk): postačí identifikační doklad + kontrola sankčních seznamů; limity transakcí bývají nízké.
  • Standardní onboarding: doklad totožnosti, selfie/živostnost, ověření adresy (ne vždy), zdroj příjmu při vyšších limitech.
  • Vysoké riziko nebo zvýšené limity: rozšířené doklady (druhý doklad), důkazy o příjmu/majetku, posouzení PEP, geografická rizika, někdy dodatečný rozhovor.

Minimalizace znamená přesně zarovnat poskytované údaje s požadovanou úrovní – nepředkládat „pro jistotu” více.

Praktické zásady: jak sdílet absolutní minimum

  1. Ověřte účel a rozsah: před nahráním dokumentů si vyžádejte seznam požadovaných polí a důvod pro každé z nich. Pokud je pole „nepovinné”, nechte ho prázdné.
  2. Používejte nejpřesnější důkaz pro daný cíl: pokud jde jen o ověření věku, preferujte mechanismus, který sdílí pouze „18+” místo data narození.
  3. Maskujte nepodstatné údaje na skenech: u bankovního výpisu zobrazte jen jméno a IBAN; částku či historii transakcí odstraňte. U účtů za energie ponechte jméno a adresu, zbytek zakryjte.
  4. Kontrolujte metadata: odstraňte EXIF z fotografií a PDF metadata (autor, GPS, historie revizí), pokud nejsou výslovně požadována.
  5. Preferujte oficiální eID a certifikované kanály: národní eID/eIDAS nebo bankovní identita často vrací ověřené minimum atributů a snižuje potřebu posílat skeny dokladů.
  6. Oddělení kanálů: citlivé soubory posílejte pouze přes zabezpečený upload poskytnutý institucí, ne e-mailem. Pokud je e-mail nutný, trvejte na šifrování nebo časově omezených odkazech s heslem.
  7. Žádejte retenční politiku: ptejte se, jak dlouho budou údaje uchovávány a jak jsou šifrovány; požadujte odstranění po uplynutí zákonné lhůty.
  8. Minimalizujte biometriku: pokud je možné zvolit „video-ident” bez trvalého ukládání biometrických vzorů, upřednostněte jej před plnohodnotným biometrickým onboardingem.

Doklady a důkazy: který kdy a co skrýt

Požadavek Doporučený důkaz Co sdílet Co maskovat
Ověření jména a věku eID nebo občanský průkaz Jméno, 18+ Rodné číslo, přesné datum narození, MRZ, číslo dokladu (pokud nejde o povinný údaj)
Ověření adresy Účty za energie/telekomunikace, potvrzení o trvalém pobytu Jméno, adresa, datum vystavení Čísla smluv, stavy měřidel, zákaznická čísla
Zdroj příjmu Potvrzení zaměstnavatele, daňové přiznání, výplatní pásky Jméno, zaměstnavatel, hrubý příjem/rozsah Rodné číslo, identifikátory spisů, nepotřebné přílohy
Ověření vlastnictví účtu Bankovní výpis/IBAN potvrzení Jméno, IBAN, název banky Historie transakcí, zůstatky, variabilní symboly

Biometrie, „liveness” a rizika

Mnoho KYC procesů používá rozpoznávání tváře a testování životaschopnosti (mrknutí, pohyb hlavy). Ptejte se:

  • Ukládá se biometrický vzor natrvalo, nebo se po kontrole bezodkladně maže?
  • Je možné zvolit alternativu (osobní pobočka, pošta, kvalifikovaný certifikát)?
  • Je biometrie zpracovávána lokálně nebo v cloudu třetích stran a kde (jurisdikce)?

Selektivní zveřejnění a „privacy-preserving” KYC

Moderní identity ekosystémy (např. verifiable credentials a digitální peněženky) umožňují selektivní sdílení atributů – například prokázat „jsem starší 18 let” bez odhalení data narození. Sledujte:

  • Digitální peněženky/eID: pokud jsou dostupné, využívejte schválené kanály s auditem.
  • Ověřitelné tvrzení: místo PDF skenů používejte průkazy vydané důvěryhodným vydavatelem, které příjemce může kryptograficky ověřit.
  • Zero-knowledge důkazy: pro věk, rezidenci či členství umožňují prokázat bez odhalení.

Bezpečné sdílení dokumentů: formát, kanál, metadata

  • Formát: preferujte PDF/A nebo kvalitní fotografii s rozumným rozlišením; před odesláním odstraňte metadata (autor, GPS).
  • Maskování: používejte redakční nástroje, které odstraní textové vrstvy, ne jen překryjí černým obdélníkem. Vyhněte se „vymazání” v grafických programech.
  • Kanál: používejte bezpečný upload s TLS, ideálně s dvoufaktorovým přístupem a expirací odkazu. Neposílejte doklady přes nešifrovaný e-mail nebo chat.
  • Názvy souborů: nepoužívejte celá jména a rodná čísla v názvech souborů (např. obcianka_JK_2025-10.pdf, ne Jan_Kovac_rodne_cislo_…).

Kontrola žádostí: signály nadměrného sběru

  • Formulář vyžaduje rodné číslo, přestože není zákonně povinné pro danou službu.
  • Žádost o celou historii transakcí místo prohlášení o příjmu nebo potvrzení IBAN.
  • Požadavek na adresář kontaktů nebo přístup k SMS v mobilní aplikaci bez zřejmé souvislosti s KYC.
  • Trvalé ukládání videa z „živostnosti” bez jasné lhůty vymazání a bez právního základu.

Retence, přístup a výmaz: co si vyžádat

  1. Retenční doba: „Dokdy budete mé údaje uchovávat? Na základě kterých předpisů?”
  2. Technická bezpečnost: „Jsou doklady při uložení šifrovány? Kdo k nim má přístup? Probíhá logování a audit?”
  3. Přenosy: „Využíváte subdodavatele mimo EU? Na základě čeho?”
  4. Výmaz: „Jak mohu po ukončení smlouvy uplatnit právo na výmaz nad rámec zákonné retence?”

Šablony žádostí pro klienta

Dotaz na minimalizaci: „Prosím o potvrzení, která pole a dokumenty jsou nezbytné pro KYC v mém případě (segment/limit XY). Chci poskytnout pouze údaje nutné k splnění zákonných povinností.”

Žádost o přístup a retenci: „Žádám seznam kategorií mých osobních údajů zpracovávaných v KYC procesu, účely, právní základy, příjemce, retenční doby a informace o přenosu do třetích zemí.”

Žádost o výmaz po ukončení vztahu: „Po ukončení smlouvy žádám o výmaz všech KYC dokumentů a souborů, které již není nutné uchovávat k plnění zákonných povinností, a o potvrzení výmazu.”

Firemní praxe: co sledovat u poskytovatele

  • Certifikace a audity (např. ISO 27001): indikují procesní vyspělost při práci s doklady.
  • Oddělení rolí: KYC tým vidí pouze to, co potřebuje; marketing nemá přístup k dokladům.
  • Automatizované mazání: po uplynutí retence jsou údaje mazány bez žádosti.
  • Vendor lock-in: při outsourcovaném KYC má poskytovatel smluvně zavázáno okamžité mazání a zákaz použití dat pro trénink modelů bez vašeho výslovného souhlasu.

Specifika mobilních KYC SDK

  • Oprávnění aplikace: kamera a úložiště jsou pochopitelné; přístup k poloze nebo kontaktům nikoliv – žádejte vysvětlení.
  • Ukládání do galerie: vypněte ukládání snímků dokladů do galerie; aby fotografie zůstaly v sandboxu aplikace.
  • Offline režim: pokud je dostupný, umožní zpracovat citlivá data lokálně a nahrát pouze extrahované minimum.

Příklady „minimum potřebného” podle cíle

  • Věková brána (18+): atribut „18+” z eID/digitální peněženky; bez data narození.
  • Onboarding do krypto-burzy s nízkými limity: doklad totožnosti + sankční screening; bez výpisu transakcí.
  • Investiční služba s vyššími limity: doklad totožnosti + zdroj příjmu; vyhnout se plným výpisům, pokud stačí potvrzení zaměstnavatele.
  • Ověření rezidence pro daňové účely: potvrzení adresy; bez sdílení výplatních pásek.

Nejčastější omyly

  • „Raději pošlu vše, urychlím proces.” Opak může být pravdou: nadbytečné údaje vyvolají další otázky a rizika.
  • „Překrytí v PDF stačí.” Ne – text se často dá obnovit. Používejte nástroje, které odstraní obsah.
  • „KYC = biometrie navždy v cloudu.” Ne vždy. Dá se požadovat dočasné zpracování a následný výmaz.
  • „Bez eID musím posílat celé výpisy.” Často existují alternativy: potvrzení IBAN, potvrzení od zaměstnavatele, výpis s redakcí.

Kontrolní seznam před odesláním KYC

  1. Je jasný účel a právní základ pro každý údaj?
  2. Posílám pouze nezbytná pole, ostatní jsem ponechal prázdné?
  3. Jsou dokumenty redigované (nejen překryté) a bez metadat?
  4. Sdílím přes bezpečný kanál s expirací a chráněným odkazem?
  5. Mám potvrzenou retenční politiku a způsob výmazu?
  6. Uložil jsem si logy a kopie komunikace pro případ sporů?

Postup při podezření na nadměrný sběr

  1. Požádejte o odůvodnění požadovaných polí; navrhněte alternativní důkazy s menším rozsahem.
  2. Zdokumentujte si snímky obrazovky a požadavky polí.
  3. Uveďte, že údaje poskytnete až po vysvětlení nezbytnosti a způsobu zpracování.
  4. Pokud odpověď nebude dostačující, zvažte eskalaci na odpovědnou osobu pro ochranu údajů.

KYC, ale ne za cenu přeexponované identity

KYC je legitimní bezpečnostní nástroj, jeho realizace však musí zásadně respektovat minimalizaci a proporcionalitu. Požadujte jasný účel, používejte selektivní důkazy, maskujte nepodstatné údaje a trvejte na bezpečném kanálu se smysluplnou retencí. Tak dosáhnete rovnováhy: splníte regulaci a ochráníte vlastní digitální identitu.

Súvisiace články