V posledních letech se klade stále větší důraz na udržitelnost a odpovědné podnikání. Tento trend se nevyhnul ani bankovnímu sektoru, který začíná přijímat opatření související s environmentální, sociální a správní odpovědností (ESG). Jednou z nových iniciativ je sledování uhlíkové stopy klientů na základě jejich platebních transakcí. Tato praxe překračuje rámec regulatorních požadavků a současně vyvolává otázky o tom, zda je v souladu s obecným nařízením o ochraně osobních údajů (GDPR). Klíčovou otázkou zůstává, zda banky mohou údaje zpracovávat k novému účelu automaticky, nebo by měly požadovat výslovný souhlas klientů.
Banky jakožto největší a nejvýznamnější finanční instituce pracují s obrovským množstvím osobních údajů svých klientů. Tyto údaje zahrnují nejen kontaktní údaje klientů, ale také údaje o platebních transakcích, zůstatcích na účtech a historii finančních operací. Vzhledem k citlivé povaze těchto informací jsou banky povinny chránit osobní údaje svých klientů a dodržovat přísná pravidla stanovená právními předpisy.
GDPR stanovuje základní zásady, které musí banky při zpracování osobních údajů dodržovat. Mezi klíčové patří zásada zákonnosti, která znamená, že banky mohou údaje zpracovávat pouze na základě právního důvodu, například pro plnění smlouvy, zákonných povinností či se souhlasem klienta. Dále musí být dodržena zásada minimalizace údajů, což znamená, že banky mohou shromažďovat jen nezbytné informace. GDPR také vyžaduje, aby byly údaje přesné, uchovávané jen po nezbytnou dobu a chráněné před neoprávněným přístupem. Klienti mají právo na přístup ke svým údajům, jejich opravu, výmaz nebo přenos k jinému poskytovateli. Lze vypíchnout, že v případě, kdy zpracování údajů přesahuje nezbytné účely, je nutné získat k takovému zpracování souhlas subjektu údajů.
Banky zpracovávají osobní údaje svých klientů zejména za účelem poskytování finančních služeb. Banky s klienty uzavírají smlouvy, na základě kterých pro ně vedou platební účty a provádějí platební transakce, tedy svým klientům poskytují platební služby. Tyto smlouvy představují základní zákonný právní titul pro zpracování osobních údajů. Pro banky je naprosto nezbytné, aby zpracovávaly osobní údaje klientů pro zajištění poskytování sjednaných služeb. Takové zpracování je obecně naprosto v souladu s požadavky právních předpisů.
Pravděpodobně s ohledem na nové povinnosti v oblasti ESG, které dopadají také do finančního sektoru, a zvyšujícím se zájmem o životní prostředí se lze na trhu bankovních služeb setkat i s aktivitou bank zaměřenou na informování klientů o společenské odpovědnosti a dlouhodobé udržitelnosti. Zmíněnou aktivitou může být například sledování uhlíkové stopy uživatelů platebních služeb v jejich mobilním bankovnictví na základě informací o provedených platebních transakcí. Taková činnost nevyplývá z regulatorních požadavků, a jde tedy nad rámec stanovených povinností.
Jedná se o službu, která klientům umožňuje vidět, jaký odhadovaný dopad mají jejich nákupy na životní prostředí. Tyto iniciativy jsou prezentovány jako součást snahy o ekologickou udržitelnost a odpovědné spotřebitelské chování. Jak ale takové aktivity souvisejí s poskytováním platebních a případně jiných finančních služeb? Může být takové aktivní jednání banky v rozporu s regulatorními pravidly ohledně zpracování osobních údajů?
Sledování uhlíkové stopy na základě platebních transakcí klienta mohou banky provádět dvěma způsoby. Na základě dodatečných informací od klientů, pro jejichž zpracování by potřebovaly souhlas, nebo při zpracování údajů, které již zpracovávají za jinými účely, tedy i bez uděleného souhlasu ze strany klienta. V druhém případě si banka určí metodiku, podle které přiřadí jednotlivé platební transakci, ke které dal klient příkaz, množství vypuštěného uhlíku. Banka za tímto účelem může zohlednit místo, čas, kategorii obchodníka, částku a případně další údaje o platební transakci. Klientovi poté v jeho mobilním bankovnictví zobrazí přehled jeho uhlíkové stopy v odhadu množství uvolněného uhlíku do ovzduší podle jeho odchozích plateb.
Jak již bylo zmíněno, banky zpracovávají osobní údaje svých klientů v souladu se zásadou zákonnosti, jelikož takové zpracování je nezbytné pro plnění smluvních závazků, ale také pro plnění zákonných povinností vyplývajících zejména ze zákona o platebním styku nebo zákona proti praní peněz. Otázkou však zůstává, zda lze sledování uhlíkové stopy považovat za nezbytné pro plnění těchto povinností. Pokud banka nemůže jednoznačně prokázat, že takové zpracování je pro výkon jejích základních funkcí nezbytné, je třeba hledat jiný právní základ.
Banka by mohla zvažovat možnost opřít zpracování osobních údajů o svůj oprávněný zájem, což je právní důvod, který umožňuje zpracovávání dat bez nutnosti souhlasu subjektů údajů, pokud to vyžadují oprávněné potřeby správce. Tento přístup by však vyžadoval důkladnou analýzu, která by musela jasně prokázat, že zpracování údajů je skutečně nezbytné pro ochranu oprávněných zájmů banky a že tyto zájmy převažují nad právy a zájmy klientů.
Podle GDPR má banka povinnost doložit takovou analýzu a obhájit, proč je zpracování v jejím oprávněném zájmu. To znamená, že by musela provést podrobný test vyvažování zájmů, kde by posoudila nejen své vlastní potřeby, ale také dopady tohoto zpracování na klienty. Musela by se zabývat tím, zda by mohlo mít sledování uhlíkové stopy nějaké negativní důsledky pro subjekty údajů a zda by případná rizika neměla přednost před jejím vlastním zájmem na tomto zpracování.
Otázkou ale je, zda lze sledování uhlíkové stopy považovat za činnost, která skutečně souvisí s hlavními službami banky vůči jejím klientům. Nejde totiž o typickou bankovní operaci ani o marketingovou aktivitu zaměřenou na propagaci jejích produktů a služeb. Kvůli tomu vznikají pochybnosti, zda lze tento účel zpracování považovat za oprávněný zájem banky ve smyslu pravidel ochrany osobních údajů. Pokud by banka chtěla tento právní základ obhájit, musela by velmi pečlivě zdůvodnit, proč je sledování uhlíkové stopy nejen v jejím zájmu, ale zároveň nepředstavuje nepřiměřený zásah do práv a svobod jejích klientů, kteří k takovému zpracování neudělili bance výslovný souhlas.
Další možností je posouzení, zda nový účel zpracování osobních údajů odpovídá původnímu účelu, pro který byly údaje shromážděny. GDPR umožňuje použití osobních údajů k jinému účelu, než jaký byl původně zamýšlen, pouze pokud jsou tyto účely vzájemně slučitelné. Regulace zároveň stanoví určité výjimky, kdy lze slučitelnost automaticky uznat, například pokud se jedná o zpracování pro důležité cíle veřejného zájmu. Ve všech ostatních případech je nutné provést tzv. test slučitelnosti, který posoudí, zda nový účel dostatečně odpovídá tomu původnímu.
Tento test musí zahrnovat posouzení několika klíčových hledisek. Je nutné zhodnotit, jak úzce nový účel souvisí s původním účelem zpracování, za jakých okolností byly údaje shromážděny a zda subjekty údajů mohly rozumně očekávat, že jejich data budou využita i pro daný nový účel. Pokud byl původní účel zpracování jasně vymezen a nový účel s ním přímo nesouvisí, může být složitější prokázat jeho slučitelnost. Naopak v případech, kdy existuje logická návaznost mezi oběma účely a subjekty údajů mohly takové využití předpokládat, může být argumentace jednodušší.
Dalším důležitým faktorem je posouzení dopadů nového zpracování na práva a svobody subjektů údajů. Pokud by zpracování pro nový účel mohlo představovat významné riziko pro soukromí, například vést ke zpracování citlivějších informací nebo přinést neočekávané důsledky pro subjekty údajů, je pravděpodobné, že nebude považováno za slučitelné s původním účelem. V takovém případě by bylo nutné buď získat souhlas subjektů údajů, nebo se opřít o jiný právní základ pro zpracování. Z těchto důvodů je nezbytné provést důkladné posouzení a pečlivě zvážit, zda nový účel splňuje požadavky stanovené v GDPR.
V případě sledování uhlíkové stopy lze důvodně argumentovat, že původní účel zpracování údajů, kterým je poskytování platebních služeb, není dostatečně propojen s novým účelem odhadu uhlíkové stopy. Mezi realizací platebních transakcí a sledováním jejich odhadnutého environmentálního dopadu neexistuje přímá vazba, což znamená, že subjekty údajů nemohou automaticky očekávat, že jejich údaje budou pro tento účel využívány.
Vzhledem k této skutečnosti se jeví spíše jako nepravděpodobné, že by test slučitelnosti mohl být úspěšně splněn. Pokud nový účel nesouvisí dostatečně úzce s původním účelem zpracování a subjekty údajů neměly důvod takové využití předpokládat, nelze data dále zpracovávat pouze na základě původního právního základu. V takovém případě je nezbytné stanovit nový právní základ pro zpracování těchto údajů za daným účelem, přičemž nejpravděpodobnější možností by bylo získání výslovného souhlasu klientů. To by znamenalo, že klienti by museli být jasně informováni o účelu zpracování a mít možnost se rozhodnout, zda budou souhlasit se zpracováním svých údajů pro tento účel.
Bude proto zajímavé sledovat, jak se situace v této oblasti bude v budoucnu vyvíjet a zda se podobné iniciativy stanou běžnou součástí bankovních služeb. Zároveň vyvstává otázka, zda příslušné autority vydají regulatorní pokyny, které by bankám poskytly jasnější rámec a definovaly podmínky, za kterých mohou podobné aktivity realizovat v souladu s právními předpisy. Dokud však takové pokyny nebudou k dispozici, zůstává nejbezpečnějším přístupem získání souhlasu klientů. Tento souhlas by mohl být snadno zajištěn například prostřednictvím digitálních nástrojů, jako je mobilní aplikace, kde by klienti měli možnost aktivně rozhodnout, zda se chtějí do této služby zapojit. Tím by bylo možné nejen minimalizovat právní rizika, ale také zajistit, že zpracování probíhá transparentně a v souladu s očekáváními klientů. •
Jaroslav Tajbr
Partner v advokátní kanceláři Eversheds Sutherland a vedoucí její IP/IT praxe. Dále se specializuje na právo elektronických komunikací, ochranu osobních údajů, kybernetickou bezpečnost, M&A, pracovní právo či litigace. Má odborné znalosti v oblastech jako umělá inteligence (AI), strojové učení, robotická automatizace procesů, autonomní řízení, Edge Computing, rozšířená a virtuální realita, blockchain či Internet of Things (IoT).
Jan Jílek
Advokátní koncipient v advokátní kanceláři Eversheds Sutherland specializující se zejména na finance a řešení sporů.