Míg a 2018 májusától életbe lépő Általános Adatvédelmi Rendelet (GDPR) szigorítja az adatkezelést, addig a 2018. januártól alkalmazandó módosított pénzforgalmi irányelv (PSD2) kiszélesíti az ügyféladatokhoz való hozzáférést. Vitathatatlan, a PSD2 megnehezíti a GDPR-nak való megfelelést, ugyanakkor a GDPR megfelelő korlátok közé helyezi a PSD2 által biztosított piaci lehetőségeket. Ha helytelenül jár el a bank, annak súlyos anyagi következményei lehetnek.
GDPR és PSD2: ellentétes hatások
Az Európai Unió új, 2018 májusától alkalmazandó adatvédelmi rendelete (GDPR) szigorúan bünteti az adatvédelmi incidenseket,[1] melyek fizikai, vagyoni és nem vagyoni károkat egyaránt okozhatnak a természetes személyeknek. Egy ilyen incidens eredményeként sérülhet a jóhírnév, pénzügyi veszteség következhet be, engedély nélkül feloldásra kerülhet az álnevesítés vagy akár az érintett személy személyazonossága is ellopható.[2] A GDPR alapján a jövőben a hatóságok 20 millió euróig – vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4 %-áig – terjedő bírsággal büntethetik a felelősöket.[3] A korábbi gyakorlat elemzésén alapuló egyik konzervatív becslés szerint a GDPR bevezetését követő első három évben közel 4,7 milliárd euró összegű bírsággal számolhatnak az európai bankok.[4]
Az új uniós pénzforgalmi rendelet (PSD2) által bevezetett új lehetőségek nem megfelelő alkalmazása miatt a korábbi gyakorlatnál jóval több jogsértésre lehet majd számítani. A PSD2 alapján ugyanis a bankoknak széleskörű hozzáférést kell biztosítaniuk az ügyfeleik adataihoz.
Ha így nézzük, a GDPR és a PSD2 valóban ellentétes irányba hat: a jogalkotó az adatvédelem területén szigorú előírásokat és elrettentő mértékű szankciók lehetőségét vezeti be, míg korábban a bankok számára fenntartott, majd lépésről lépésre liberalizálódó, de továbbra is szabályozott pénzforgalom területén az innovációt és a versenyt kívánja növelni.
Az vitathatatlan, hogy a PSD2 megnehezíti a GDPR-nak való megfelelést, ugyanakkor azt is látni kell, hogy a GDPR megfelelő korlátok közé helyezi a PSD2 által biztosított piaci lehetőségeket.
PSD2 – hozzáférés és adatbiztonság
Ahhoz, hogy külső szolgáltatók fizetési tranzakciót tudjanak kezdeményezni, vagy éppen pénzügyi tanácsot tudjanak adni a bankok ügyfeleinek, számla- és egyéb adatokra van szükségük. A PSD2 alapján a számlavezető bankok kötelesek hozzáférhetővé tenni a szükséges ügyfél-adatokat (számlaegyenleg, tranzakciók stb.) a PSD2 engedéllyel rendelkező külső szolgáltatóknak. Ez technikailag úgy történik, hogy a számlavezető bank nyilvánossá teszi a számlavezető rendszere adatbázisához hozzáférést biztosító nyílt szabványokon alapuló alkalmazásprogramozási felületét (API: Application Programming Interface).
A nyilvános API-n keresztül tehát különböző fintech cégek, de akár konkurens bankok is könnyen hozzáférhetnek az ügyfelek személyes adataihoz. A PSD2 alapján a számlavezető bank úgy köteles hozzáférést biztosítani az ügyfelei adataihoz, hogy az azokat felhasználó külső vállalkozások működésére vagy magatartására nincs befolyása.
Ez valóban növeli a versenyt a pénzügyi piacon, ugyanakkor komoly adatvédelmi kockázattal jár.
A PSD2 szabályoz adatbiztonsági kérdéseket, a liberalizált piac adatvédelmi vonatkozásait azonban nem a PSD2, hanem a GDPR szabályozza.
GDPR – hozzájárulás és adatvédelem
A személyes adatok PSD2 alkalmazásában történő kezelésére a GDPR irányadó. A GDPR szerint az adatkezelés akkor jogszerű, ha:
- az érintett minősített hozzájárulását adta;
- az adatkezelő szerződéses teljesítéséhez szükséges;
- az adatkezelést jogszabály írja elő;
- az adatkezelés természetes személy létfontosságú érdekeinek védelme miatt szükséges;
- az adatkezelés közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.[5]
A PSD2 nem ír elő adatkezelési kötelezettséget, sőt, általános adatvédelmi rendelkezésként azt tartalmazza, hogy a szolgáltatók személyes adatok kezelésére csak a szolgáltatást igénybe vevő GDPR szerinti hozzájárulása esetén jogosultak.[6]
Ügyfél hozzájárulás
A GDPR alatt ún. minősített hozzájárulás kell a személyes adatok kezeléséhez. Ez azt jelenti, hogy az érintett hozzájárulása csak akkor eredményez adatkezelési jogosultságot, ha az előzetes, önkéntes, konkrét, megfelelő tájékoztatáson alapul és egyértelmű. Az adatkezelőt terheli annak bizonyítása, hogy ilyen hozzájárulással rendelkezik az egyes adatok tekintetében.
Az önkéntesség körében vizsgálja a hatóság, hogy a vállalkozás a szerződés teljesítésének feltételéül szabta-e, hogy az ügyfél olyan személyes adatok kezeléséhez is hozzájáruljon, melyek valójában nem szükségesek a szolgáltatás nyújtásához.
A hozzájárulást az egyes ügyekre vonatkozóan, más ügyektől egyértelműen megkülönböztethető módon kell kérnie a vállalkozásnak, világos és egyszerű nyelvezettel. Az érintettet tájékoztatni kell arról, hogy (i) ki, (ii) mennyi ideig és (iii) mire fogja használni a személyes adatot.[7]
A hozzájárulás formai követelményével kapcsolatban a GDPR előírja, hogy annak legalább a megerősítést félreérthetetlenül kifejező cselekedetnek kell lennie. Ebbe a kategóriába tartozik az az eset is, amikor egy internetes honlapon az érintett bejelöl egy erre vonatkozó négyzetet, ugyanakkor a hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak.[8]
A minősített hozzájárulás megadását követően is az érintett rendelkezik a személyes adatai felett elsődlegesen. Ennek megfelelően
- jogosult visszavonni hozzájárulását;
- jogosult korlátozni a személyes adatainak kezelését;
- joga van az adatainak törlését kezdeményezni; és
- az adatkezelő köteles az adatok hordozhatóságát biztosítani.
Ha utóbb meggondolja magát az érintett, bármikor jogosult visszavonni hozzájárulását, és ennek lehetőségéről az adatkezelőnek előzetesen tájékoztatnia kell az ügyfelet.
A törléshez vagy más néven a felejtéshez való jog azt jelenti, hogy az érintett kérelmezheti, hogy az adatkezelő késedelem nélkül törölje az adatait, míg az adatkezelő a törvényi feltételek fennállása esetén köteles ezt megtenni.[9]
Az érintett arra is jogosult, hogy az adatkezelő rendelkezésére bocsátott összes személyes adatát megkapja géppel olvasható formátumban, és továbbítsa egy másik adatkezelőnek. Ennek jelentőségéről lásd Az Európai Bizottság a fintech lehetőségek kihasználásán dolgozik c. korábbi cikket ugyanitt.
GDPR-konform PSD2
Egy GDPR-konform PSD2 tehát azt jelenti, hogy kizárólag az ügyfél ilyen minősített hozzájárulása esetén, akkor azonban köteles a bank hozzáférhetővé tenni az ügyfél személyes adatait a hozzáférésre jogosultak számára.
Ha a bank az előírásoknak megfelelően tette hozzáférhetővé az ügyfél adatait, de a külső szolgáltató megsértette a GDPR-t, utóbbi felel a következményekért. A GDPR-nak köszönhetően tehát a bankok elkerülhetik az adatvédelmi incidensekért a közvetlen gazdasági felelősséget.
Ugyanakkor ezek a szabályok természetesen nem védik meg a bankokat attól, hogy ilyen adatvédelmi incidens esetén őket hibáztassa a közvélemény. Az ügyfelek szemében értelemszerűen az ismert, jóhírű bank lesz a hibás, és nem az a szárnyait próbálgató startup cég, amelyik a GDPR-t megsértve használja fel a személyes adatokat. Az adatvédelmi incidensekért való felelősség – legalább a reputációs kockázat szempontjából – továbbra is (a GDPR ellenére is) a számlavezetőket terheli majd.
Következtetések és záró gondolatok
A PSD2 alatt szabályozott piaci liberalizáció adatvédelmi kockázattal jár. Egy GDPR-konform PSD2 azonban úgy tudja segíteni a technológiai fejlődést a pénzügyi piacon, hogy a személyes adatok lehetőleg ne sérüljenek. Amennyiben a bank a PSD2-nek megfelelően hozzáférést enged az arra jogosult cégeknek, közben azonban a személyes adatok védelméről nem gondoskodik, az súlyos károkat okozhat a bank ügyfeleinek. Azért, hogy ilyen ne fordulhasson elő, a GDPR-on keresztül a jogalkotó szigorú előírásokat alkalmaz az adatvédelmi incidensek megelőzésére, kezelésére, illetve súlyos szankciókat helyez kilátásba.
A banktitok és ügyféladat kezelés a hagyományos megközelítésben ezeknek az érzékeny és értékes információknak a biztonságos megőrzésére és maximális belső használatára fókuszált. Az adatok más részére való átadása eddig jellemzően a pénzügyi szolgáltató csoportján belüli, önálló jogi személy keretében vitt különböző üzletágak (pl. áruhitelezés, biztosítás, befektetési alapkezelés, követelésvásárlás stb.) szolgáltatásainak értékesítését szolgálta. A PSD2 szigorú adatvédelmi korlátok mellett megnyitja a kaput a külső szolgáltatók előtt is.
Izgalmas lesz látni, hogyan alakul majd át a „bezárkózó” adatkezelési és adatvédelmi szemlélet és kihasználják-e a számlavezető pénzügyi szolgáltatók a külső szolgáltatók általi rácsatlakozási lehetőséget a saját üzletük fejlesztésére.
A Gárdos Füredi Mosonyi Tomori Ügyvédi Iroda további írásai a FinTechZone-on:
- A közösségi finanszírozás jogi aspektusai – 2017.06.20.
- Az Európai Bizottság a fintech lehetőségek kihasználásán dolgozik – 2017.06.27.
- Felhőszolgáltatások a pénzügyi közvetítők piacán – 2017.07.04.
Megjegyzések, hivatkozások:
[1] A GDPR értelmében adatvédelmi incidensnek minősül a kezelt vagy továbbított személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés is (lásd GDPR 4. cikk 12. pont.)
[2] GDPR preambulum 85. pont.
[3] GDPR 83. cikk (5) bekezdés.
[4] Consult Hyperion: GDPR: Banks, Breaches and Billion Euro Fines, Are Financial Institutions Ready for the 72-hour Notification Challenge?, 2017. június, http://www.bankingtech.com/872481/gdpr-banks-breaches-and-billion-euro-fines/
[5] GDPR 6. cikk.
[6] PSD2 94. cikk (2) bekezdés
[7] GDPR 7. és 13. cikkek.
[8] GDPR 32. preambulum bekezdése.
[9] GDPR 17. cikk