KYC minimálne údaje

Posted on by Marek Bielik
KYC minimálne údaje

Čo je KYC a prečo vzniká tlak na „minimum potrebného”

Know Your Customer (KYC) je proces overovania identity a posúdenia rizika klienta pri poskytovaní finančných a niektorých digitálnych služieb. Povinnosť KYC vyplýva najmä z predpisov proti praniu špinavých peňazí (AML/CFT), sankcií a z regulácií sektora (bankovníctvo, kryptoaktíva, telekomunikácie, hazard, investičné služby). Z pohľadu súkromia je KYC citlivý, pretože kombinuje doklady totožnosti, biometrické prvky (fotografia/životačnosť), geolokáciu, náhľady na finančné správanie a často aj skeny účtov či účtovných dokumentov. Cieľom tohto článku je ukázať, ako KYC zvládnuť tak, aby ste zdieľali len to, čo je nevyhnutné pre daný účel – a nič navyše.

Princíp „data minimization” a zákonné základy

Minimalizácia údajov nie je len dobrá prax, ale aj právna požiadavka: prevádzkovateľ má spracúvať iba tie údaje, ktoré sú nevyhnutné pre konkrétny účel. Pri KYC je týmto účelom typicky splnenie AML povinností, sankčných skríningov a posúdenie rizika. Každý ďalší údaj (napríklad nevyžiadané metadáta z dokumentov či nadbytočné polia vo formulároch) by mal byť vylúčený alebo aspoň voliteľný.

Typy KYC a úroveň potrebných údajov

  • Onboarding s nízkym rizikom (low-risk): postačí identifikačný doklad + kontrola sankčných listín; limity transakcií bývajú nízke.
  • Štandardný onboarding: doklad totožnosti, selfie/životačnosť, overenie adresy (nie vždy), zdroj príjmu pri vyšších limitoch.
  • Vysoké riziko alebo zvýšené limity: rozšírené doklady (druhý doklad), dôkazy o príjme/majetku, posúdenie PEP, geografické riziká, niekedy dodatočný rozhovor.

Minimalizácia znamená presne zarovnať poskytované údaje s požadovanou úrovňou – nepredkladať „pre istotu” viac.

Praktické zásady: ako zdieľať absolútne minimum

  1. Overte účel a rozsah: pred nahraním dokumentov si vyžiadajte zoznam požadovaných polí a dôvod pre každé z nich. Ak je pole „nepovinné”, nechajte ho prázdne.
  2. Používajte najpresnejší dôkaz pre daný cieľ: ak ide len o overenie veku, preferujte mechanizmus, ktorý zdieľa len „18+” namiesto dátumu narodenia.
  3. Maskujte nepodstatné údaje na skenoch: pri výpise z banky zviditeľnite len meno a IBAN; sume či histórii transakcií dajte preč. Pri účtoch za energie nechajte meno a adresu, zvyšok zakryte.
  4. Kontrolujte metadáta: odstráňte EXIF z fotografií a PDF metadáta (autor, GPS, histórie revízií), ak nie sú výslovne požadované.
  5. Preferujte oficiálne eID a certifikované kanály: národné eID/eIDAS alebo banková identita často vracia overené minimum atribútov a znižuje potrebu posielať skeny dokladov.
  6. Oddelenie kanálov: citlivé súbory posielajte len cez zabezpečený upload poskytnutý inštitúciou, nie e-mailom. Ak je e-mail nutný, trvajte na šifrovaní alebo načasovaných odkazoch s heslom.
  7. Žiadajte retenčnú politiku: pýtajte sa, dokedy budú údaje uchovávané a ako sú šifrované; trvajte na odstránení po uplynutí zákonnej lehoty.
  8. Minimalizujte biometriku: ak je možné zvoliť „video-ident” bez trvalého uchovania biometrických šablón, uprednostnite ho pred plnohodnotným biometrickým onboardingom.

Doklady a dôkazy: ktorý kedy a čo skryť

Požiadavka Odporúčaný dôkaz Čo zdieľať Čo maskovať
Overenie mena a veku eID alebo občiansky preukaz Meno, 18+ Rodné číslo, presný dátum narodenia, MRZ, číslo dokladu (ak nejde o povinný údaj)
Overenie adresy Účty za energie/telekom, potvrdenie o trvalom pobyte Meno, adresa, dátum vystavenia Čísla zmlúv, stavy meradiel, zákaznícke čísla
Zdroj príjmu Potvrdenie zamestnávateľa, daňové priznanie, výplatné pásky Meno, zamestnávateľ, hrubý príjem/rozsah Rodné číslo, identifikátory spisu, nepotrebné prílohy
Overenie vlastníctva účtu Bankový výpis/IBAN potvrdenie Meno, IBAN, názov banky História transakcií, zostatky, variabilné symboly

Biometria, „liveness” a riziká

Mnohé KYC procesy používajú rozpoznanie tváre a testovanie životaschopnosti (mrknutie, pohyb hlavy). Pýtajte sa:

  • Uchováva sa biometrická šablóna natrvalo, alebo sa po kontrole bezodkladne maže?
  • Je možné zvoliť alternatívu (osobná pobočka, pošta, kvalifikovaný certifikát)?
  • Je biometria spracúvaná lokálne alebo v cloude tretích strán a kde (jurisdikcia)?

Selektívne zverejnenie a „privacy-preserving” KYC

Moderné ekosystémy identít (napr. verifiable credentials a digitálne peňaženky) umožňujú selektívne zdieľanie atribútov – napríklad preukázať „som starší než 18” bez odhalenia dátumu narodenia. Sledujte:

  • Digitálne peňaženky/eID: keď sú dostupné, používajte schválené kanály s auditom.
  • Overiteľné tvrdenia: namiesto PDF skenov preukazy vydané dôveryhodným vydavateľom, ktoré príjemca môže kryptograficky overiť.
  • Zero-knowledge dôkazy: pre vek, rezidenciu či členstvo umožňujú preukázať bez odhalenia.

Bezpečné zdieľanie dokumentov: formát, kanál, metadáta

  • Formát: uprednostnite PDF/A alebo kvalitnú fotografiu s rozumným rozlíšením; pred odoslaním odstráňte metadáta (autor, GPS).
  • Maskovanie: použite redakčné nástroje, ktoré odstránia textové vrstvy, nie len prekryjú čiernym obdĺžnikom. Vyhnite sa „premazaniu” v paint programoch.
  • Kanál: používajte bezpečný upload s TLS, ideálne s dvojfaktorovým prístupom a expiráciou odkazu. Neposielajte doklady cez nešifrovaný e-mail alebo chat.
  • Názvy súborov: nepoužívajte celé mená a rodné čísla v názvoch (napr. obcianka_JK_2025-10.pdf, nie Jan_Kovac_rodne_cislo_…).

Kontrola žiadostí: signály nadmerného zberu

  • Formulár vyžaduje rodné číslo aj keď nie je povinné zo zákona pre danú službu.
  • Žiadosť o celú históriu transakcií namiesto prehlásenia o príjme alebo potvrdenia IBAN.
  • Požiadavka na adresár kontaktov alebo prístup k SMS v mobilnej aplikácii bez zjavnej väzby na KYC.
  • Trvalé uchovávanie videa zo „životačnosti” bez jasnej lehoty výmazu a bez opory v zákone.

Retencia, prístup a výmaz: čo si vyžiadať

  1. Retenčná lehota: „Dokedy budete moje údaje uchovávať? Na základe ktorých predpisov?”
  2. Technická bezpečnosť: „Sú doklady v pokoji šifrované? Kto má k nim prístup? Prebieha logovanie a audit?”
  3. Prenosy: „Využívate subdodávateľov mimo EÚ? Na základe čoho?”
  4. Výmaz: „Ako si môžem po ukončení zmluvy uplatniť právo na výmaz nad rámec zákonnej retencie?”

Šablóny žiadostí pre klienta

Dotaz na minimalizáciu: „Prosím o potvrdenie, ktoré polia a dokumenty sú nevyhnutné pre KYC v mojom prípade (segment/limit XY). Chcem poskytnúť iba údaje potrebné na splnenie zákonných povinností.”

Žiadosť o prístup a retenciu: „Žiadam zoznam kategórií mojich osobných údajov spracúvaných v KYC procese, účely, právne základy, príjemcov, retenčné lehoty a informáciu o prenose do tretích krajín.”

Žiadosť o výmaz po skončení vzťahu: „Po ukončení zmluvy žiadam o výmaz všetkých KYC dokumentov a súborov, ktoré už nie je potrebné uchovávať na splnenie zákonných povinností, a o potvrdenie výmazu.”

Firemná prax: čo sledovať u poskytovateľa

  • Certifikácie a audity (napr. ISO 27001): indikujú procesnú vyspelosť pri práci s dokladmi.
  • Oddelenie rolí: KYC tím vidí iba to, čo potrebuje; marketing nemá prístup k dokladom.
  • Automatizované vymazávanie: po uplynutí retencie sa údaje mažú bez žiadosti.
  • Vendor lock-in: pri outsourcovanom KYC má poskytovateľ zmluvne viazané okamžité mazanie a zákaz použitia dát na tréning modelov bez vášho výslovného súhlasu.

Špecifiká mobilných KYC SDK

  • Povolenia aplikácie: kamera a úložisko sú pochopiteľné; prístup k polohe alebo kontaktom nie – žiadajte vysvetlenie.
  • Ukladanie do galérie: vypnite ukladanie snímok dokladov do galérie; nech fotky ostanú v sandboxe aplikácie.
  • Offline režim: ak je dostupný, umožní spracovať citlivé dáta lokálne a uploadnúť iba extrahované minimum.

Príklady „minimum potrebného” podľa cieľa

  • Veková brána (18+): atribút „18+” z eID/digitálnej peňaženky; bez dátumu narodenia.
  • Onboarding do krypto-burzy s nízkymi limitmi: doklad totožnosti + sankčný skríning; bez výpisu transakcií.
  • Investičná služba s vyššími limitmi: doklad totožnosti + zdroj príjmu; vyhnúť sa plným výpisom, ak stačí potvrdenie zamestnávateľa.
  • Overenie rezidencie pre daňové účely: potvrdenie adresy; bez zdieľania výplatných pások.

Najčastejšie omyly

  • „Radšej pošlem všetko, urýchlim proces.” Opak môže byť pravdou: nadbytočné údaje vyvolajú ďalšie otázky a riziká.
  • „Prekrytie v PDF stačí.” Nie – text sa dá často obnoviť. Používajte nástroje, ktoré odstránia obsah.
  • „KYC = biometria navždy v cloude.” Nie vždy. Dá sa vyžadovať dočasné spracovanie a následný výmaz.
  • „Bez eID musím posielať celé výpisy.” Často existujú alternatívy: potvrdenie IBAN, zamestnávateľské potvrdenie, výpis s redakciou.

Kontrolný zoznam pred odoslaním KYC

  1. Je jasný účel a právny základ pre každý údaj?
  2. Posielam len nevyhnutné polia, ostatné som ponechal prázdne?
  3. Sú dokumenty redigované (nie len prekryté) a bez metadát?
  4. Zdieľam cez bezpečný kanál s expiráciou a chráneným odkazom?
  5. Mám potvrdenú retenčnú politiku a spôsob výmazu?
  6. Uložil som si log a kópie komunikácie pre prípad sporov?

Postup pri podozrení na nadmerný zber

  1. Požiadajte o odôvodnenie požadovaných polí; navrhnite alternatívne dôkazy s menším rozsahom.
  2. Zdokumentujte si snímky obrazovky a požiadavky polí.
  3. Uveďte, že poskytnete údaje až po vysvetlení nevyhnutnosti a spôsobe spracovania.
  4. Ak odpoveď nepostačuje, zvažujte eskaláciu na zodpovednú osobu pre ochranu údajov.

KYC, ale nie za cenu preexponovanej identity

KYC je legitímny bezpečnostný nástroj, no jeho realizácia má zásadne rešpektovať minimalizáciu a proporcionalitu. Vyžadujte jasný účel, používajte selektívne dôkazy, maskujte nepodstatné údaje a trvajte na bezpečnom kanáli so zmysluplnou retenciou. Tak dosiahnete rovnováhu: splníte reguláciu a ochránite vlastnú digitálnu identitu.

Related Posts

Kapitál

Kapitál vo svete ekonomiky Kapitál je kľúčovým pojmom v oblasti ekonomiky a podnikania. Označuje umelo vytvorené aktíva, ktoré sú schopné generovať ďalšie hodnoty. Kapitál je […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *