Co je KYC a proč vzniká tlak na „minimum potřebného”
Know Your Customer (KYC) je proces ověřování identity a posouzení rizika klienta při poskytování finančních a některých digitálních služeb. Povinnost KYC vyplývá zejména z předpisů proti praní špinavých peněz (AML/CFT), sankcí a z regulací sektoru (bankovnictví, kryptoaktiva, telekomunikace, hazard, investiční služby). Z pohledu soukromí je KYC citlivý, protože kombinuje doklady totožnosti, biometrické prvky (fotografie/živostnost), geolokaci, náhledy na finanční chování a často i skeny účtů či účetních dokumentů. Cílem tohoto článku je ukázat, jak KYC zvládnout tak, abyste sdíleli pouze to, co je nezbytné pro daný účel – a nic navíc.
Princip „data minimization” a zákonné základy
Minimalizace údajů není jen dobrou praxí, ale také právní požadavkem: provozovatel má zpracovávat pouze ty údaje, které jsou nezbytné pro konkrétní účel. Při KYC je tímto účelem typicky splnění AML povinností, sankčních screeningů a posouzení rizika. Každý další údaj (například nevyžádaná metadata z dokumentů či nadbytečná pole ve formulářích) by měl být vyloučen nebo minimálně volitelný.
Typy KYC a úroveň potřebných údajů
- Onboarding s nízkým rizikem (low-risk): postačí identifikační doklad + kontrola sankčních seznamů; limity transakcí bývají nízké.
- Standardní onboarding: doklad totožnosti, selfie/živostnost, ověření adresy (nikdy ne vždy), zdroj příjmu při vyšších limitech.
- Vysoké riziko nebo zvýšené limity: rozšířené doklady (druhý doklad), důkazy o příjmu/majetku, posouzení PEP, geografická rizika, někdy dodatečný rozhovor.
Minimalizace znamená přesně zarovnat poskytované údaje s požadovanou úrovní – nepředkládat „pro jistotu” více.
Praktické zásady: jak sdílet absolutní minimum
- Ověřte účel a rozsah: před nahráním dokumentů si vyžádejte seznam požadovaných polí a důvod pro každé z nich. Pokud je pole „nepovinné”, nechte ho prázdné.
- Používejte nejpřesnější důkaz pro daný cíl: jedná-li se pouze o ověření věku, preferujte mechanismus, který sdílí pouze „18+” místo data narození.
- Maskujte nepodstatné údaje na skenech: u výpisu z banky zobrazte pouze jméno a IBAN; sumě či historii transakcí věnujte pozornost pro odstranění. U účtů za energie ponechte jméno a adresu, zbytek zakryjte.
- Kontrolujte metadata: odstraňte EXIF z fotografií a PDF metadata (autor, GPS, historie revizí), pokud nejsou výslovně požadována.
- Preferujte oficiální eID a certifikované kanály: národní eID/eIDAS nebo bankovní identita často vrací ověřené minimum atributů a snižuje potřebu zasílání skenů dokladů.
- Oddělení kanálů: citlivé soubory zasílejte pouze přes zabezpečený upload poskytnutý institucí, ne emailem. Pokud je e-mail nezbytný, trvejte na šifrování nebo časově omezených odkazech s heslem.
- Žádejte retenční politiku: ptejte se, jak dlouho budou údaje uchovávány a jak jsou šifrovány; trvejte na odstranění po uplynutí zákonné lhůty.
- Minimalizujte biometriku: pokud lze zvolit „video-ident” bez trvalého uchování biometrických šablon, preferujte ho před plnohodnotným biometrickým onboardingem.
Doklady a důkazy: který kdy a co skrýt
| Požadavek | Doporučený důkaz | Co sdílet | Co maskovat |
|---|---|---|---|
| Ověření jména a věku | eID nebo občanský průkaz | Jméno, 18+ | Rodné číslo, přesný datum narození, MRZ, číslo dokladu (pokud nejde o povinný údaj) |
| Ověření adresy | Účty za energie/telekomunikace, potvrzení o trvalém pobytu | Jméno, adresa, datum vystavení | Čísla smluv, stavy měřidel, zákaznická čísla |
| Zdroj příjmu | Potvrzení zaměstnavatele, daňové přiznání, výplatní pásky | Jméno, zaměstnavatel, hrubý příjem/rozsah | Rodné číslo, identifikátory spisu, nepotřebné přílohy |
| Ověření vlastnictví účtu | Bankovní výpis/IBAN potvrzení | Jméno, IBAN, název banky | Historie transakcí, zůstatky, variabilní symboly |
Biometrie, „liveness” a rizika
Mnoho KYC procesů používá rozpoznání obličeje a testování životaschopnosti (mrknutí, pohyb hlavy). Ptejte se:
- Uchovává se biometrická šablona trvale, nebo je po kontrole bezodkladně mazána?
- Je možné zvolit alternativu (osobní pobočka, pošta, kvalifikovaný certifikát)?
- Je biometrie zpracovávána lokálně nebo v cloudu třetích stran a kde (jurisdikce)?
Selektivní zveřejnění a „privacy-preserving” KYC
Moderní identity ekosystémy (např. verifiable credentials a digitální peněženky) umožňují selektivní sdílení atributů – například prokázat „jsem starší než 18” bez odhalení data narození. Sledujte:
- Digitální peněženky/eID: jsou-li dostupné, používejte schválené kanály s auditem.
- Ověřitelné tvrzení: namísto PDF skenů průkazy vydané důvěryhodným vydavatelem, které příjemce může kryptograficky ověřit.
- Zero-knowledge důkazy: pro věk, rezidenci či členství umožňují prokázat bez odhalení.
Bezpečné sdílení dokumentů: formát, kanál, metadata
- Formát: preferujte PDF/A nebo kvalitní fotografii s rozumným rozlišením; před odesláním odstraňte metadata (autor, GPS).
- Maskování: používejte redakční nástroje, které odstraní textové vrstvy, nikoli pouze překryjí černým obdélníkem. Vyhněte se „přeškrtání” v paint programech.
- Kanál: využívejte bezpečný upload s TLS, ideálně s dvoufaktorovým přístupem a vypršením odkazu. Neposílejte doklady přes nešifrovaný e-mail nebo chat.
- Názvy souborů: nepoužívejte celá jména a rodná čísla v názvech (např. obcanka_JK_2025-10.pdf, nikoli Jan_Kovac_rodne_cislo_…).
Kontrola žádostí: signály nadměrného sběru
- Formulář vyžaduje rodné číslo, i když není zákonně povinné pro danou službu.
- Žádost o celou historii transakcí místo prohlášení o příjmu nebo potvrzení IBAN.
- Požadavek na adresář kontaktů nebo přístup k SMS v mobilní aplikaci bez zjevné vazby na KYC.
- Trvalé uchovávání videa ze „živostnosti” bez jasné lhůty výmazu a bez zákonného opodstatnění.
Retence, přístup a výmaz: co si vyžádat
- Retenční lhůta: „Dokdy budete mé údaje uchovávat? Na základě kterých předpisů?”
- Technická bezpečnost: „Jsou doklady v klidu šifrované? Kdo k nim má přístup? Probíhá logování a audit?”
- Přenosy: „Využíváte subdodavatele mimo EU? Na jakém základě?”
- Výmaz: „Jak mohu po ukončení smlouvy uplatnit právo na výmaz nad rámec zákonné retence?”
Šablony žádostí pro klienta
Dotaz na minimalizaci: „Prosím o potvrzení, která pole a dokumenty jsou nezbytné pro KYC v mém případě (segment/limit XY). Chci poskytnout pouze údaje potřebné k splnění zákonných povinností.”
Žádost o přístup a retenci: „Žádám seznam kategorií mých osobních údajů zpracovávaných v KYC procesu, účely, právní základy, příjemce, retenční lhůty a informaci o přenosu do třetích zemí.”
Žádost o výmaz po ukončení vztahu: „Po ukončení smlouvy žádám o výmaz všech KYC dokumentů a souborů, které již není třeba uchovávat k splnění zákonných povinností, a o potvrzení výmazu.”
Firemní praxe: co sledovat u poskytovatele
- Certifikace a audity (např. ISO 27001): indikují procesní zralost při práci s doklady.
- Oddělení rolí: KYC tým vidí pouze, co potřebuje; marketing nemá přístup k dokladům.
- Automatizované mazání: po uplynutí retence jsou údaje mazány bez další žádosti.
- Vendor lock-in: při outsourcovaném KYC má poskytovatel smluvně vázané okamžité vymazání a zákaz použití dat pro trénink modelů bez výslovného souhlasu klienta.
Specifika mobilních KYC SDK
- Oprávnění aplikace: kamera a úložiště jsou pochopitelné; přístup k poloze nebo kontaktům nikoli – žádejte vysvětlení.
- Ukládání do galerie: vypněte ukládání snímků dokladů do galerie; nechte fotografie v sandboxu aplikace.
- Offline režim: pokud je dostupný, umožní zpracovat citlivá data lokálně a nahrát pouze extrahované minimum.
Příklady „minimum potřebného” podle cíle
- Věková brána (18+): atribut „18+” z eID/digitální peněženky; bez data narození.
- Onboarding do krypto-burzy s nízkými limity: doklad totožnosti + sankční screening; bez výpisu transakcí.
- Investiční služba s vyššími limity: doklad totožnosti + zdroj příjmu; vyhnout se plným výpisům, pokud stačí potvrzení zaměstnavatele.
- Ověření rezidence pro daňové účely: potvrzení adresy; bez sdílení výplatních pásek.
Nejčastější omyly
- „Raději pošlu vše, urychlím proces.” Opak může být pravdou: nadbytečné údaje vyvolají další otázky a rizika.
- „Překrytí v PDF stačí.” Ne – text se často dá obnovit. Používejte nástroje, které odstraní obsah.
- „KYC = biometrie navždy v cloudu.” Ne vždy. Lze požadovat dočasné zpracování a následný výmaz.
- „Bez eID musím posílat celé výpisy.” Často existují alternativy: potvrzení IBAN, potvrzení zaměstnavatele, výpis s redakcí.
Kontrolní seznam před odesláním KYC
- Je jasný účel a právní základ pro každý údaj?
- Posílám pouze nezbytná pole, ostatní jsem nechal prázdná?
- Jsou dokumenty redigované (nejen překryté) a bez metadat?
- Sdílím přes bezpečný kanál s expirácí a chráněným odkazem?
- Mám potvrzenou retenční politiku a způsob výmazu?
- Uložil jsem si log a kopie komunikace pro případ sporů?
Postup při podezření na nadměrný sběr
- Požádejte o odůvodnění požadovaných polí; navrhněte alternativní důkazy s menším rozsahem.
- Zdokumentujte si screenshoty a požadavky na pole.
- Uveďte, že poskytnete údaje až po vysvětlení nezbytnosti a způsobu zpracování.
- Pokud odpověď nepostačuje, zvažte eskalaci na odpovědnou osobu pro ochranu údajů.
KYC, ale ne za cenu přeexponované identity
KYC je legitimní bezpečnostní nástroj, nicméně jeho realizace musí zásadně respektovat minimalizaci a proporcionalitu. Vyžadujte jasný účel, používejte selektivní důkazy, maskujte nepodstatné údaje a trvejte na bezpečném kanálu se smysluplnou retencí. Tak dosáhnete rovnováhy: splníte regulaci a ochráníte vlastní digitální identitu.