Ověřování identity (KYC): jak sdílet jen nezbytné minimum údajů

Dalimil

Co je KYC a proč vzniká tlak na „minimum potřebné”

Know Your Customer (KYC) je proces ověřování identity a vyhodnocování rizika klienta při poskytování finančních a některých digitálních služeb. Povinnost KYC vyplývá zejména z předpisů proti praní špinavých peněz (AML/CFT), sankcí a z regulací v sektoru (bankovnictví, kryptoaktiva, telekomunikace, hazard, investiční služby). Z pohledu ochrany soukromí je KYC citlivý, protože kombinuje identifikační doklady, biometrické prvky (fotografie/živost), geolokaci, přehledy finančního chování a často i skeny účtů či účetních dokumentů. Cílem tohoto článku je ukázat, jak zvládnout KYC tak, aby se sdílelo pouze to, co je nezbytné pro daný účel – a nic navíc.

Princip „data minimization” a zákonné základy

Minimalizace údajů není jen dobrou praxí, ale i právní povinností: správce údajů má zpracovávat pouze ty informace, které jsou nezbytné pro konkrétní účel. U KYC je tímto účelem typicky splnění AML povinností, sankčních screeningů a vyhodnocení rizika. Každý další údaj (například nevyžádaná metadata z dokumentů či nadbytečná pole ve formulářích) by měl být vyloučen nebo alespoň volitelný.

Typy KYC a úroveň potřebných údajů

  • Onboarding s nízkým rizikem (low-risk): postačí identifikační doklad + kontrola sankčních seznamů; limity transakcí bývají nízké.
  • Standardní onboarding: doklad totožnosti, selfie/živost, ověření adresy (ne vždy), zdroj příjmu při vyšších limitech.
  • Vysoké riziko nebo zvýšené limity: rozšířené doklady (druhý doklad), důkazy o příjmu/majetku, posouzení PEP, geografická rizika, někdy dodatečný rozhovor.

Minimalizace znamená přesně naladit poskytované údaje na požadovanou úroveň – nepředkládat „pro jistotu” více.

Praktické zásady: jak sdílet absolutní minimum

  1. Ověřte účel a rozsah: před nahráním dokumentů si vyžádejte seznam požadovaných polí a důvod pro každé z nich. Pokud je pole „nepovinné”, nechte ho prázdné.
  2. Používejte nejpřesnější důkaz pro daný cíl: pokud jde jen o ověření věku, preferujte mechanismus, který sdílí pouze „18+” místo data narození.
  3. Maskujte nepodstatné údaje na skenech: u výpisu z banky zobrazte pouze jméno a IBAN; částku či historii transakcí skryjte. U účtů za energie ponechte jméno a adresu, zbytek zakryjte.
  4. Kontrolujte metadata: odstraňte EXIF z fotografií a metadata PDF (autor, GPS, historie revizí), pokud nejsou výslovně vyžadována.
  5. Preferujte oficiální eID a certifikované kanály: národní eID/eIDAS nebo bankovní identita často poskytují ověřené minimum atributů a snižují potřebu posílat skeny dokladů.
  6. Oddělení kanálů: citlivé soubory posílejte pouze přes zabezpečený upload poskytovaný institucí, nikoli e-mailem. Pokud je e-mail nutný, trvejte na šifrování nebo časově omezených odkazech s heslem.
  7. Žádejte retenční politiku: ptejte se, jak dlouho budou data uchovávána a jak jsou šifrována; trvejte na jejich odstranění po uplynutí zákonné lhůty.
  8. Minimalizujte biometriku: pokud lze zvolit „video-ident” bez trvalého uchovávání biometrických vzorů, upřednostněte ho před plnohodnotným biometrickým onboardingem.

Doklady a důkazy: který kdy a co skrýt

Požadavek Doporučený důkaz Co sdílet Co maskovat
Ověření jména a věku eID nebo občanský průkaz Jméno, 18+ Rodné číslo, přesné datum narození, MRZ, číslo dokladu (pokud není povinné)
Ověření adresy Účty za energie/telekomunikace, potvrzení o trvalém pobytu Jméno, adresa, datum vystavení Čísla smluv, stavy měřidel, zákaznická čísla
Zdroj příjmu Potvrzení od zaměstnavatele, daňové přiznání, výplatní pásky Jméno, zaměstnavatel, hrubý příjem/rozsah Rodné číslo, identifikátory spisu, nepotřebné přílohy
Ověření vlastnictví účtu Bankovní výpis/IBAN potvrzení Jméno, IBAN, název banky Historie transakcí, zůstatky, variabilní symboly

Biometrie, „liveness” a rizika

Mnohé KYC procesy využívají rozpoznání obličeje a testování životaschopnosti (mrknutí, pohyb hlavy). Ptejte se:

  • Uchovává se biometrický vzor natrvalo, nebo se po kontrole bezodkladně maže?
  • Je možné zvolit alternativu (osobní pobočka, pošta, kvalifikovaný certifikát)?
  • Je biometrie zpracovávána lokálně nebo v cloudu třetích stran a kde (jurisdikce)?

Selektivní zveřejnění a „privacy-preserving” KYC

Moderní identity ekosystémy (např. verifiable credentials a digitální peněženky) umožňují selektivní sdílení atributů – například prokázat „jsem starší 18” bez odhalení data narození. Sledujte:

  • Digitální peněženky/eID: pokud jsou dostupné, používejte schválené kanály s auditem.
  • Ověřitelné prohlášení: místo PDF skenů doklady vydané důvěryhodným vydavatelem, které příjemce může kryptograficky ověřit.
  • Zero-knowledge důkazy: pro věk, rezidenci či členství umožňují prokázat bez odhalení.

Bezpečné sdílení dokumentů: formát, kanál, metadata

  • Formát: upřednostněte PDF/A nebo kvalitní fotografii s rozumným rozlišením; před odesláním odstraňte metadata (autor, GPS).
  • Maskování: použijte redakční nástroje, které odstraní textové vrstvy, nikoli je pouze překryjí černým obdélníkem. Vyhněte se „mazání” v grafických programech typu Paint.
  • Kanál: používejte bezpečný upload s TLS, ideálně s dvoufaktorovým přístupem a expirací odkazu. Dokumenty neposílejte přes nešifrovaný e-mail nebo chat.
  • Názvy souborů: nepoužívejte celá jména a rodná čísla v názvech (např. obcianka_JK_2025-10.pdf, nikoli Jan_Kovac_rodne_cislo_…).

Kontrola žádostí: signály nadměrného sběru

  • Formulář vyžaduje rodné číslo, i když není zákonně povinné pro danou službu.
  • Žádost o celou historii transakcí místo prohlášení o příjmu nebo potvrzení IBAN.
  • Požadavek na adresář kontaktů nebo přístup k SMS v mobilní aplikaci bez zjevné souvislosti s KYC.
  • Trvalé uchovávání videa ze „živosti” bez jasné lhůty výmazu a bez zákonného opodstatnění.

Retence, přístup a výmaz: co si vyžádat

  1. Retenční lhůta: „Dokdy budete mé údaje uchovávat? Na základě kterých předpisů?”
  2. Technická bezpečnost: „Jsou dokumenty v klidu šifrovány? Kdo má k nim přístup? Probíhá logování a audit?”
  3. Přenosy: „Využíváte subdodavatele mimo EU? Na základě čeho?”
  4. Výmaz: „Jak mohu po ukončení smlouvy uplatnit právo na výmaz nad rámec zákonné retence?”

Šablony žádostí pro klienta

Dotaz na minimalizaci: „Prosím o potvrzení, která pole a dokumenty jsou nezbytné pro KYC v mém případě (segment/limit XY). Chci poskytnout pouze údaje potřebné k naplnění zákonných povinností.”

Žádost o přístup a retenci: „Žádám seznam kategorií mých osobních údajů zpracovávaných v KYC procesu, účely, právní základy, příjemce, retenční lhůty a informace o přenosu do třetích zemí.”

Žádost o výmaz po ukončení vztahu: „Po ukončení smlouvy žádám o výmaz všech KYC dokumentů a souborů, které již není třeba uchovávat pro splnění zákonných povinností, a o potvrzení o výmazu.”

Firemní praxe: co sledovat u poskytovatele

  • Certifikace a audity (např. ISO 27001): indikují procesní vyspělost při práci s dokumenty.
  • Oddělení rolí: KYC tým vidí jen to, co potřebuje; marketing nemá přístup k dokladům.
  • Automatizované vymazávání: po uplynutí retenční doby jsou data mazána bez potřeby žádosti.
  • Vendor lock-in: při outsourcovaném KYC má poskytovatel smluvně zajištěné okamžité mazání a zákaz použití dat k tréninku modelů bez vašeho výslovného souhlasu.

Specifika mobilních KYC SDK

  • Oprávnění aplikace: kamera a úložiště jsou pochopitelné; přístup k poloze nebo kontaktům nikoli – žádejte vysvětlení.
  • Ukládání do galerie: deaktivujte ukládání snímků dokladů do galerie; fotografie by měly zůstat v sandboxu aplikace.
  • Offline režim: pokud je dostupný, umožní zpracovat citlivá data lokálně a nahrát pouze extrahované minimum.

Příklady „minimum potřebného” podle cíle

  • Věková brána (18+): atribut „18+” z eID/digitální peněženky; bez data narození.
  • Onboarding do krypto-burzy s nízkými limity: doklad totožnosti + sankční screening; bez výpisu transakcí.
  • Investiční služba s vyššími limity: doklad totožnosti + zdroj příjmu; vyhnout se plným výpisům, pokud stačí potvrzení zaměstnavatele.
  • Ověření rezidence pro daňové účely: potvrzení adresy; bez sdílení výplatních pásek.

Nejčastější omyly

  • „Raději pošlu vše, urychlím proces.” Opak může být pravdou: nadbytečné údaje vyvolají další otázky a rizika.
  • „Překrytí v PDF stačí.” Ne – text lze často obnovit. Používejte nástroje, které odstraní obsah.
  • „KYC = biometrie navždy v cloudu.” Ne vždy. Lze vyžadovat dočasné zpracování a následný výmaz.
  • „Bez eID musím posílat celé výpisy.” Často existují alternativy: potvrzení IBAN, potvrzení zaměstnavatele, výpis s redakcí.

Kontrolní seznam před odesláním KYC

  1. Je jasný účel a právní základ pro každý údaj?
  2. Posílám pouze nezbytná pole, ostatní jsou prázdná?
  3. Jsou dokumenty redigované (nikoli jen překryté) a bez metadata?
  4. Sdílím přes bezpečný kanál s expirací a chráněným odkazem?
  5. Mám potvrzenou retenční politiku a způsob výmazu?
  6. Uložil jsem si log a kopie komunikace pro případ sporů?

Postup při podezření na nadměrný sběr

  1. Požádejte o odůvodnění požadovaných polí; navrhněte alternativní důkazy s menším rozsahem.
  2. Zaznamenejte si snímky obrazovky a požadavky polí.
  3. Uveďte, že údaje poskytnete až po vysvětlení nezbytnosti a způsobu zpracování.
  4. Pokud odpověď není uspokojivá, zvažte eskalaci na odpovědnou osobu pro ochranu údajů.

KYC, ale ne za cenu přeexponované identity

KYC je legitimní bezpečnostní nástroj, jeho realizace však musí zásadně respektovat minimalizaci a proporcionalitu. Vyžadujte jasný účel, používejte selektivní důkazy, maskujte nepodstatné údaje a trvejte na bezpečném kanálu se smysluplnou retencí. Tak dosáhnete rovnováhy: splníte regulaci a ochráníte vlastní digitální identitu.

Súvisiace články

Ověření identity (KYC)

KYC (Know Your Customer) je klíčový proces ověřování identity klienta v úvěrových institucích, který minimalizuje úvěrové a identitní riziko, zajišťuje dodržování regulací a chrání před podvody, praním špinavých peněz a poškozením reputace.