Rozhodnutí rakouského soudu: nahrávání všech rozhovorů s bankou není v souladu GDPR.
Rakouský soud rozhodl, že banka, která nahrává všechny hovory s klienty, se nemůže odvolávat na oprávněný zájem podle GDPR. Ani evropské a národní bankovní předpisy neumožňují správcům údajů bez rozdílu nahrávat všechny hovory. Obecné nařízení o ochraně osobních údajů omezuje takové zpracování na nezbytně nutnou míru.
V původním případu u rakouského úřadu pro ochranu údajů podal subjekt údajů stížnost, v níž tvrdil, že správce (banka) nahrával jeho telefonní hovory a že neexistovala možnost se z takového zpracování odhlásit. Klienti byli o nahrávání informováni oznámením na kazetě na začátku hovoru. Správce odůvodnil zpracování jako oprávněný zájem podle čl. 6 odst. 1 písm. f) obecného nařízení o ochraně osobních údajů tím, že nahrávání je nezbytné pro zajištění co nejvyšší kvality služeb pro klienty. Správce se rovněž odvolával na své povinnosti vyplývající z práva EU, zejména ze směrnice 2014/65/EU (MiFID II), a vnitrostátních bankovních zákonů, jako je § 66 odst. 1 zákona o platebních službách (Zahlungsdienstegesetz - ZaDiG) a § 33 odst. 2 a 3 zákona o dohledu nad cennými papíry z roku 2018 (Wertpapieraufsichtsgesetz 2018 - WAG).
Rakouský úřad pro ochranu osobních údajů vyhověl stížnosti subjektu údajů a vydal rozhodnutí proti správci.
Správce údajů se proti tomuto rozhodnutí odvolal k rakouskému Spolkovému správnímu soudu (Bundesverwaltungsgericht - BVwG). K výše uvedeným argumentům správce údajů dodal, že není možné nezaznamenávat všechny příchozí hovory. Kromě toho správce údajů zpochybnil pravomoc orgánu pro ochranu osobních údajů, neboť případ údajně spadal pod WAG, a nikoliv pod GDPR.
Stanovisko
Soud odvolání zamítl.
Soud potvrdil, že úřad byl v tomto případě kompetentní. Stížnost subjektu údajů se týkala jeho práva na důvěrnost osobních údajů. Porušení čl. 6 odst. 1 GDPR mohlo vést k porušení § 1 odst. 1 rakouského zákona o ochraně osobních údajů (Datenschutzgesetz - DSG), který obsahuje základní právo na ochranu údajů. Právo na důvěrnost údajů spadá do působnosti úřadu pro ochranu osobních údajů.
Pokud jde o oprávněný zájem, soud poukázal na to, že zájem správce údajů "zajistit kvalitu" nebyl správcem údajů blíže vysvětlen. Proto nebylo možné použít čl. 6 odst. 1 písm. f) nařízení GDPR jako platný právní základ.
Soud rovněž odmítl argument správce údajů představující obtížnost/nemožnost nahrávání všech hovorů. Ve skutečnosti je odpovědností správce navrhnout interní postupy tak, aby ustanovení vyplývající z bankovních předpisů nebyla v rozporu s ustanoveními o ochraně údajů.
Ustanovení § 33 odst. 2 a 3 WAG vymezuje, které hovory musí určité právnické osoby, včetně bank, zaznamenávat. Toto ustanovení říká, že zaznamenávány musí být pouze hovory týkající se investičních služeb. Soud tedy vycházel z toho, že pokud jde o povinnost nahrávat telefonní hovory, týká se investičních služeb. Soud uvedl, že téma příchozího telefonního hovoru lze vyjasnit na začátku hovoru. Telefonní hovory, které se netýkají investičních služeb, se tak nemusí nahrávat.
V tomto případě chtěl subjekt údajů požádat pouze o obecné informace. Nebyl zde žádný náznak vztahu k investičním službám. Ustanovení § 33 odst. 2 a 3 WAG se tedy neuplatnilo a zpracování bylo protiprávní.