Italský Garante udělil Intesa Sanpaolo pokutu 17,6 milionu eur za neoprávněné profilování zákazníků při přesunu do dceřiné banky
Italský úřad pro ochranu osobních údajů uložil jednu ze svých dosud nejvyšších sankcí: banka Intesa Sanpaolo zaplatí přes 17,6 milionu eur za to, že bez odpovídajícího právního základu profilovala 2,4 milionu zákazníků a jednostranně je přesunula do zcela digitální dceřiné banky Isybank.
Případ sahá do roku 2023, kdy Intesa Sanpaolo oznámila svým klientům, že jejich účty jsou převáděny do nové skupinové banky Isybank – platformy fungující výhradně prostřednictvím mobilní aplikace, s novým číslem IBAN a bez možnosti přístupu přes pobočku či internet banking původní banky. Přesun se neodehrál na základě svobodného rozhodnutí zákazníků, ale jako jednostranná obchodní operace. Zákazníkům nezbývalo než buď přechod akceptovat, nebo banku opustit. Na italského regulátora se obratem obrátily tisíce stěžovatelů.
Garante zahájil šetření a zjistil tři okruhy porušení. Prvním a nejzávažnějším bylo profilování bez právního základu. Banka sestavila cílovou skupinu pro přesun na základě věku (pod 65 let), zvyklostí při používání digitálních kanálů a absence investičních produktů, případně nižší finanční dostupnosti. Tato segmentace proběhla bez odpovídajícího právního titulu podle čl. 6 nařízení GDPR a bez toho, aby zákazníci o profilování věděli nebo s ním souhlasili. Samotný záměr přesunout část zákazníků do dceřiné banky přitom může být legitimní obchodní rozhodnutí – problémem je způsob, jakým banka určila, kdo přesunut bude.
Druhým problémem byla nedostatečná komunikace. Oznámení o přesunu byla zákazníkům zasílána převážně přes archivní sekci aplikace v letních měsících – tedy v době, kdy velká část klientely k aplikaci přistupuje méně pravidelně. Garante konstatoval, že komunikace neměla takovou viditelnost, jakou mimořádná povaha operace vyžadovala. Zákazníci objektivně nedostali dostatek příležitostí pochopit rozsah změn a zvážit své možnosti v přiměřeném čase.
Třetím problémem bylo jednostranné řízení podmínek. Přechodem na Isybank došlo k faktické změně smluvních podmínek ve srovnání s původní smlouvou – nový IBAN, jiné rozhraní, odlišné podmínky přístupu. Tento postup byl proveden bez toho, aby zákazníci dostali skutečnou příležitost vyjádřit nesouhlas ještě před přechodem, nikoli až dodatečně.
Výsledná pokuta 17 628 000 eur je rekordní pro italský Garante. Pro kontext: italský regulátor patří k aktivnějším evropským úřadům – v uplynulých třech letech udělil pokuty mimo jiné Meta, OpenAI nebo Enel, ale tato sankce je pro domácí bankovní sektor bezprecedentní.
Případ přesahuje italský kontext a je důležitý pro každou organizaci, která zvažuje restrukturalizaci zákaznické základny nebo migraci klientů mezi subjekty skupiny. Automatický přesun zákazníků mezi právními entitami – i v rámci jedné skupiny – nemůže probíhat čistě jako interní obchodní rozhodnutí. Každá taková operace zahrnuje zpracování osobních údajů, a to konkrétně profilování zákazníků pro účely segmentace. To vyžaduje buď souhlas, nebo jiný pevný právní základ, transparentní komunikaci o povaze zpracování a reálnou možnost zákazníků operaci odmítnout bez neúměrného zatížení. Komunikace ukrytá v archivní sekci aplikace – zvláště v letním období – tuto laťku nesplňuje.
Pro pověřence pro ochranu osobních údajů a právní týmy tento případ potvrzuje, že GDPR se plně vztahuje i na interní skupinové operace, nejen na obchodní vztahy s třetími stranami.
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 12
Europol a pět zemí zlikvidovali proxy síť SocksEscort: 369 000 kompromitovaných zařízení ve 163 zemích
