Jak to celé začalo?
Intesa Sanpaolo (ISP) je jednou z největších italských bank. V roce 2023 se vedení banky rozhodlo, že vyčlení část své klientské základny a převede ji do nově vzniklé dceřiné společnosti Isybank, čistě digitální banky bez fyzických poboček, fungující výhradně přes mobilní aplikaci.
Aby banka věděla, které klienty převést, potřebovala je nejprve vybrat. Stanovila proto sadu kritérií: klient nesmí být starší 65 let, nesmí být nezletilý, v posledních 12 měsících musel využívat téměř výhradně digitální kanály (maximálně 10 transakcí na přepážce), nesmí mít investiční produkty ani pojištění (kromě základních), jeho finanční zůstatky musí být pod 100.000 EUR a nesmí se nacházet v žádné komplikované situaci (např. Exekuce). Celkem takto banka vyprofilovala přibližně 2,4 milionu klientů. Z nich 275.000 bylo převedeno do Isybank v říjnu 2023 a dalších přibližně 2,1 milionu mělo následovat v březnu roku 2024.
Samotný převod proběhl na základě čl. 58 italského zákona o bankách, který podobné operace (přechod celého smluvního vztahu na jinou banku bez souhlasu klienta) výslovně umožňuje. Banka ISP proto souhlas klientů nepožadovala.
Pečlivě ukryté informace o převodu do jiné banky
Informace o chystaném převodu byly klientům doručeny skrytě v archivu sekce internetového bankovnictví nebo mobilní aplikace, bez push notifikace, bez zprávy, bez jakéhokoliv zvláštního upozornění. Klientům byl stanoven termín, do kdy s tím mohou vyjádřit nesouhlas, přičemž byl fakticky uplatněn princip „kdo mlčí, ten souhlasí". Jinými slovy: Pokud si klient oznámení v aplikaci nevšiml nebo ho nepřečetl, bylo to automaticky považováno za souhlas s převodem do dceřiné banky.
Přitom přechod do Isybank pro klienty znamenal zásadní změnu podmínek: Isybank nemá žádné fyzické pobočky, v první fázi provozu nešlo Isybank používat ani přes webový prohlížeč počítače (pouze přes smartphone), klientům byl změněn IBAN (s čímž se obvykle pojí nutnost informovat o této změně zaměstnavatele, pojišťovny, dodavatele energií, úřady atd.) a klienti nemohli využívat některé služby, které v původní bance využívat mohli, například virtuální karty pro platby na internetu nebo šekové knížky.
Zásah antimonopolního úřadu
Mnozí klienti si změny vůbec nevšimli a to, že jsou klienty jiné banky, zjistili až zpětně. Řada z nich se proto obrátila na spotřebitelská sdružení, na úřad pro ochranu osobních údajů i na italský antimonopolní úřad.
Jako první reagoval antimonopolní úřad. Ten dne 28. listopadu 2023 vydal předběžné opatření, jímž bance uložil povinnost kontaktovat klienty z druhého zamýšleného kola a tentokrát si od nich výslovně vyžádat souhlas s přechodem do Isybank. Výsledek byl pro banku velmi nepříznivý: Z původně plánovaných 2,1 milionu klientů souhlas s přechodem do Isybank udělilo pouhých 76.000, tedy zhruba 3,6 %. Tento výsledek “tak trochu” zpochybnil tvrzení banky, že přechod klientů odpovídá jejich rozumným očekáváním a je v jejich nejlepším zájmu.
V čem banka porušila GDPR?
Italský úřad pro ochranu osobních údajů zahájil sankční řízení v lednu 2025 a ukončil ho vydáním rozhodnutí ze dne 12. března 2026. Jaká pochybení na straně banky Intesa Sanpaolo italský úřad shledal?
Protiprávní profilování
Jádrem případu je otázka, zda banka klienty profilovala ve smyslu GDPR. Banka klienty pro migraci vybírala automatizovaně, na základě jejich věku, chování, spotřebitelských zvyků a finanční situace. Připomeňme, že GDPR definuje profilování jako “jakákoliv formu automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu”.
Úřad dospěl k závěru, že banka v první fázi sice stanovila kritéria výběru manuálně, ale v druhé fázi provedla automatizované vyhodnocení svých klientů na základě informací, osobních údajů, které o nich měla k dispozici. Tato operace byla podle závěru dozorového úřadu profilováním podle GDPR a banka k němu potřebovala samostatný právní titul podle čl. 22 GDPR.
Banka argumentovala, že výběr klientů a jejich následný převod pod novou banku tvoří jedinou a nedělitelnou operaci, jejímž právním základem je oprávněný zájem banky podpořený navíc výše zmíněnou zvláštní úpravou v italském bankovním zákoně. Úřad pro ochranu osobních údajů však tuto argumentaci odmítl s tím, že profilování představuje samostatné zpracování, které časově a funkčně předchází přenosu dat k novému správci, a jako takové vyžaduje vlastní právní základ.
Úřad posuzoval i balanční test, který k této operaci banka doložila. Konstatoval, že dané posouzení je dosti obecné, když pouze konstatuje, že zpracování zřejmě nebude mít negativní dopad na dotčené osoby, aniž by toto tvrzení bylo jakkoliv podloženo. Za těchto okolností byl k profilování nezbytný souhlas dotčených klientů, který však banka neměla a nedoložila.
Nedostatečné informace
Oznámení o převodu k dceřiné bance, které banka ISP klientům poskytla obsahovalo pouze obecné zmínky o profilování pro marketingové účely. Chyběly informace o profilování za účelem převodu k jinému poskytovateli služeb i o možných důsledcích pro klienty, subjekty údajů.
Vedle obsahu oznámení byl problematický i způsob jeho doručení. Úřad pro ochranu dat konstatoval, že způsob oznámení neodpovídal závažnosti důsledků změny pro klienty a nebyl v souladu se zásadou transparentnosti. Informace byla zařazena mezi běžná každodenní upozornění, která klienti obvykle moc nečtou, bez notifikace či jiného upozornění, že zrovna tento přípis je důležitý. Proces byl zároveň nastaven tak, že pokud klient na toto oznámení nereagoval a proti přechodu k novému poskytovateli se neohradil, banka to brala jako souhlas.
Pokuta a ponaučení
Italský úřad pro ochranu osobních údajů za tato porušení GDPR uložil bance Intesa Sanpaolo pokutu ve výši 17.628.000 EUR. V přepočtu tedy těch cca 440 milionů korun.
Banka zřejmě chtěla ušetřit: Na komunikaci s klienty, na získávání souhlasů i na vysvětlování a přesvědčování, že je přechod k nové bance pro klienty výhodný. Neušetřila. Na základě zásahu antimonopolního úřadu musela k přechodu vyžadovat souhlas, který jí poskytla jen naprostá menšina klientů. A navíc dostala citelnou pokutu.
Inu, jako v životě, i v ochraně dat platí, že takovéto zkratky neexistují.
