Az Európai Adatvédelmi Testület megerősítette, a PSD2-t – az új uniós pénzforgalmi rendeletet – a GDPR-nak, az Általános Adatvédelmi Rendeletnek megfelelően kell alkalmazni. Ezen túlmenően a Testület néhány fontos részletkérdésben is kifejtette álláspontját.
A Testület levelében felhívja a figyelmet arra, hogy bár a PSD2 rendelkezése még a korábbi 95/46/EK adatvédelmi irányelvnek („Irányelv”) való megfelelést írja elő [89. preambulumbekezdés, 94. cikk], a GDPR (új uniós adatvédelmi rendelet) alapján minden Irányelvre történő hivatkozást GDPR-ra történő hivatkozásnak kell tekinteni [GDPR 94. cikk].
Az EDPB tehát megerősíti, hogy a PSD2-t a GDPR-nak megfelelően kell alkalmazni.
A Testület továbbá hangsúlyozza, hogy tisztában van a PSD2-vel kapcsolatban eddig felmerült adatvédelmi kérdésekkel és a témát a jövőben is figyelemmel fogja kísérni.
A levél jelentőségét mégis inkább az adja, hogy az EDPB a fenti általános megállapításon felül néhány részletkérdésről is kifejtette az álláspontját.
Kapcsolódó cikkek, kiadványok:
Harmadik személy adatainak kezelése
A PSD2 szerinti fizetéskezdeményezési szolgáltatás (PIS) esetében a szolgáltatást igénybe vevő fél („A”) egy másik személynek („B”) fizetéskezdeményezési szolgáltató közreműködésével utal. Adatvédelmi szempontból tehát felmerül a kérdés, hogy a szolgáltató mi alapján jogosult B adatainak kezelésére. Hasonló problémával találkozunk a számlainformációs szolgáltató (AIS) esetében is, amely szolgáltatása során számos olyan harmadik személy adatait kezeli, akivel nem áll semmilyen kapcsolatban.
Az EDPB elismeri, hogy ilyen esetben az adatkezelésnek megfelelő jogalapja lehet a jogos érdek. A fizetéskezdeményezési és számlainformációs szolgáltatóknak mint adatkezelőknek ugyanis
jogos érdeke fűződik a szolgáltatást igénybe vevő személlyel kötött szerződés teljesítéséhez, ami adott esetben harmadik személyek adatainak kezelését teheti szükségessé.
A Testület hangsúlyozza azonban, hogy véleménye szerint a jogos érdek már nem lesz megfelelő jogalap arra, hogy ezen harmadik személyek adatait a szerződés teljesítésének céljától eltérő célból kezeljék, különös tekintettel a PSD2 megszorító rendelkezéseire [66. cikk (3) bekezdés g) pont és 67. cikk (2) bekezdés f) pont]. Ilyen eltérő cél lehet például az adatok továbbértékesítése.
A jogos érdek tehát nem lesz megfelelő jogalap ahhoz, hogy a PSD2 szerinti fizetési szolgáltató a szolgáltatása teljesítése körében kezelt harmadik személyre vonatkozó személyes adatokat egyéb piaci szereplőknek továbbértékesítse.
Kifejezett hozzájárulás
A PSD2 előírása szerint a pénzforgalmi szolgáltatók csak abban az esetben férhetnek hozzá a pénzforgalmi szolgáltatásaik nyújtásához szükséges személyes adatokhoz, illetve kezelhetnek és őrizhetnek meg ilyen adatokat, ha ehhez a pénzforgalmi szolgáltatást igénybe vevő kifejezett hozzájárulását adta [94. cikk (2) bekezdés]. Felmerül tehát a kérdés, hogy a PSD2 ezen rendelkezése olyan adatvédelmi előírásnak minősül-e, mely szerint a szolgáltató akkor jár el jogszerűen, ha szolgáltatását az ügyfél GDPR szerinti kifejezett hozzájárulása alapján nyújtja [9. cikk (2) bekezdés a) pont].
Ezzel kapcsolatban az EDPB úgy foglalt állást, hogy a PSD2-ben alkalmazott kifejezett hozzájárulás egy szerződéses hozzájárulás. Ez adatvédelmi szempontból azt jelenti, hogy ebben az esetben az adatkezelés jogalapja szerződés teljesítése [GDPR 6. cikk (1) bekezdés b) pont] és nem hozzájárulás [GDPR 6. cikk (1) bekezdés a) pont].
A Testület értelmezése szerint a PSD2 rendelkezése arról szól, hogy amikor valaki igénybe vesz egy PSD2 szerinti fizetési szolgáltatást, teljes egészében tisztában kell lennie azzal, hogy mely személyes adatai milyen célokból lesznek felhasználva, és a vonatkozó rendelkezésekhez kifejezetten hozzá kell járulnia.
Ezeket a szerződéses adatvédelmi rendelkezéseket egyértelműen el kell különíteni a szerződés egyéb rendelkezéseitől, továbbá az érintettnek kifejezetten el kell fogadnia ezeket a rendelkezéseket.
A PSD2 alatt alkalmazott koncepció tehát egy szerződési jogi természetű többletkövetelmény.
A Testület azonban hangsúlyozza, hogy amennyiben a PSD2 szerinti fizetési szolgáltató további célokból is kezelni kívánja a személyes adatokat, ezen további adatkezelés tekintetében megfelelő jogalap lehet a GDPR szerinti (kifejezett) hozzájárulás [6. cikk (1) bekezdés a) pont és 9. cikk (2) bekezdés a) pont].
Elmondható tehát, hogy – amennyiben az EDPB véleménye irányadóvá válik – a PSD2 szerinti szolgáltatónak alaptevékenysége (fizetéskezdeményezéssel, illetve a számlainformációk összegyűjtésével és rendszerezésével) folytatásához nem szükséges beszereznie az ügyfél GDPR szerinti kifejezett hozzájárulását. Abban az esetben viszont, ha a fizetéskezdeményezési vagy számlainformációs szolgáltató a PSD2 szerinti szolgáltatása körében gyűjtött adatokat alaptevékenységén kívüli tevékenység körében kívánja felhasználni (ld. a már fent hozott továbbértékesítés esetét), ahhoz szüksége lehet az érintett hozzájárulására (különleges adatok esetében kifejezett hozzájárulására), mivel a szerződés teljesítése már nem lesz megfelelő jogalap.
Banki interfész
Végül levelében az EDPB kitér arra is, hogy a tagállami adatvédelmi hatóságok jogosultak annak eldöntésére, hogy a bankok által a PSD2 szerinti fizetési szolgáltatók számára hozzáférhetővé tett interfészek megfelelnek-e a GDPR szerinti adatbiztonsági előírásoknak [32. cikk]. Amennyiben a tagállami hatóságoknak bármilyen kételye merülne fel az új interfészek biztonságával kapcsolatban, jogosultak GDPR szerinti megfelelő intézkedések tételére.
Kapcsolódó cikkek, kiadványok:
A Gárdos Mosonyi Tomori Ügyvédi Iroda további cikkei a FinTechZone-on itt.
Fotó: ft.com, Jonathan McHugh
