Mohou banky sledovat uhlíkovou stopu klientů na základě platebních transakcí?
V reakci na rostoucí důraz na udržitelnost zavádějí banky nové iniciativy zaměřené na ESG, včetně sledování uhlíkové stopy klientů na základě platebních transakcí. Tato aktivita, ač nad rámec regulatorních povinností, vyvolává otázky ohledně souladu s ochranou osobních údajů dle obecného nařízení o ochraně osobních údajů (GDPR). Klíčovou roli hraje posouzení, zda je takové zpracování dat oprávněné a odpovídá původním účelům. Je sledování uhlíkové stopy skutečně legitimní, nebo by měly banky získat výslovný souhlas klientů?
V kontextu rostoucího důrazu na udržitelnost a odpovědné podnikání nabývají povinnosti v oblasti ESG na významu. Bankovní sektor se stává jedním z klíčových hráčů této transformace a nové regulatorní požadavky[1] ovlivňují jeho činnost.
Možná právě s ohledem na nové povinnosti v oblasti ESG se lze na trhu bankovních služeb setkat i s aktivitou bank zaměřenou na informování klientů o společenské odpovědnosti a dlouhodobou udržitelnost. Zmíněnou aktivitou může být například sledování uhlíkové stopy uživatelů platebních služeb v jejich mobilním bankovnictví na základě informací o provedených platebních transakcí. Taková činnost nevyplývá z regulatorních požadavků, a jde tedy nad rámec stanovených povinností. Může být ale naopak takové aktivní jednání banky v rozporu s jinými regulatorními pravidly?
Banky jako klíčové instituce finančního sektoru zpracovávají širokou řadu osobních údajů svých klientů. Není se čemu divit, život bez bankovního účtu musí v být v dnění době značně komplikovaný. Největší bankovní skupiny v ČR reportovaly za rok 2023 přes 4 miliony klientů[2]. V této souvislosti by tedy na banky měly být kladeny ty nejvyšší nároky ohledně ochrany osobních údajů a zákonnosti jejich zpracování. Rámcová služba o platebních službách a související smluvní dokumentace (zejména smlouva o elektronickém bankovnictví) představuje spolu regulatorními požadavky nejdůležitější podklad pro zákonné zpracování osobních údajů klientů.
Sledování uhlíkové stopy na základě platebních transakcí klienta mohou banky provádět dvěma způsoby. Na základě dodatečných informací od klientů, pro jejichž zpracování by potřebovaly souhlas, nebo při zpracování údajů, které již zpracovávají za jinými účely, tedy i bez uděleného souhlasu ze strany klienta. V druhém případě si banka určí metodiku, podle které přiřadí jednotlivé platební transakci, ke které dal klient příkaz, množství vypuštěného uhlíku. Banka za tímto účelem může zohlednit místo, čas, kategorii obchodníka, částku a případně další údaje o platební transakci. Klientovi poté v jeho mobilním bankovnictví zobrazí přehled jeho uhlíkové stopy v odhadu množství uvolněného uhlíku do ovzduší podle jeho odchozích platebních transakcí.
Je ale takové jednání v rozporu s legislativou na ochranu a zpracování osobních údajů? Ke zpracovávání údajů o platebních transakcích klienta je banka jistě oprávněna ve smyslu čl. 6 odst. 1 písm. b) a c) GDPR. Bez zpracování těchto údajů by nemohla klientům poskytovat služby ke kterým se zavázala ve smlouvě a současně by nemohla dostát zákonným povinnostem obsaženým zejména v zákoně o platebním styku. Lze ale úspěšně pochybovat, zda zpracování zmíněných údajů za účelem sledování uhlíkové stopy je nezbytné pro plnění povinností ze smlouvy nebo ze zákona.
Dále je vhodné rozebrat, zda se na daný příklad bude aplikovat čl. 6 odst. 1 písm. f) GDPR. Tomuto rozhodnutí by měla předcházet analýza banky, na základě které dojde k závěru, že zpracovávání údajů je nezbytné pro účely jejích oprávněných zájmů. Tuto analýzu má banka povinnost doložit ve smyslu § 5 odst. 2 GDPR. Lze se důvodně domnívat, že zpracování údajů za účelem vybraného vyjádření uhlíkové stopy není zpracováním na základě oprávněných zájmů, když toto rozhodně nesouvisí z obchodní činností banky ve vztahu k dotčeným klientům ani nepředstavuje marketingovou aktivitu propagující služby banky.
Zpracování údajů pro jiný účel, než pro které byly údaje shromážděny, je dle GDPR povolené v případě, že je slučitelné s původními účely[3]. Nařízení dále tuto slučitelnost stanovuje pro vybrané důvody, zejména se jedná o důležité cíle veřejného zájmu[4]. Správce údajů má povinnost za účelem posouzení provést test slučitelnosti, který musí být schopen doložit. V rámci testu je třeba posoudit vazby mezi původním a novým účelem zpracování, okolnosti shromáždění údajů nebo důsledky takového zpracování pro subjekty údajů[5].
Při porovnání zpracování údajů za účelem výpočtu údajné uhlíkové stopy a za původním účelem, tedy zejména poskytování platebních služeb, se přikláníme k názoru, že zde požadavky splněny nejsou a pro nový typ zpracování je nezbytné stanovit nový právní základ. Jednoznačně se nabízí získání souhlasu klienta, které může být technicky řešeno integrováním např. do mobilní aplikace.
Nicméně bude jistě zajímavé sledovat, kam se situace vyvine a zda bude podobných aktivit ze strany bank přibývat.
.jpg)
Jaroslav Tajbr,
partner
Jan Jílek,
koncipient
Eversheds Sutherland, advokátní kancelář, s.r.o.
Oasis Florenc
Pobřežní 394/12
186 00 Praha 8
Tel.: +420 255 706 500
Fax: +420 255 706 550
e-mail: praha@eversheds-sutherland.cz
[1] Non-Financial Reporting Directive (NFRD), Corporate Sustainability Reporting Directive (CSRD), Sustainable Finance Disclosure Regulation (SFDR)
[2] Výroční zpráva 2023 České spořitelny, a.s., Výroční zpráva 2023 Československé obchodní banky a. s.
[3] čl. 6 odst. 4 GDPR, recitál 50 GDPR
[4] čl. 23 odst. 1 GDPR
[5] čl. 6 odst. 4 písm. a), b), d)
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
