Az Európai Adatvédelmi Testület megerősítette, a PSD2-t – az új uniós pénzforgalmi rendeletet – a GDPR-nak, az Általános Adatvédelmi Rendeletnek megfelelően kell alkalmazni. Ezen túlmenően a Testület néhány fontos részletkérdésben is kifejtette álláspontját.

Az Európai Adatvédelmi Testület (European Data Protection Board, „EDPB” vagy „Testület”) honlapján közzétette a PSD2-vel (új uniós pénzforgalmi rendelet) kapcsolatban az Európai Parlamentnek küldött levelét.

A Testület levelében felhívja a figyelmet arra, hogy bár a PSD2 rendelkezése még a korábbi 95/46/EK adatvédelmi irányelvnek („Irányelv”) való megfelelést írja elő [89. preambulumbekezdés, 94. cikk], a GDPR (új uniós adatvédelmi rendelet) alapján minden Irányelvre történő hivatkozást GDPR-ra történő hivatkozásnak kell tekinteni [GDPR 94. cikk].

Az EDPB tehát megerősíti, hogy a PSD2-t a GDPR-nak megfelelően kell alkalmazni.

A Testület továbbá hangsúlyozza, hogy tisztában van a PSD2-vel kapcsolatban eddig felmerült adatvédelmi kérdésekkel és a témát a jövőben is figyelemmel fogja kísérni.

A levél jelentőségét mégis inkább az adja, hogy az EDPB a fenti általános megállapításon felül néhány részletkérdésről is kifejtette az álláspontját.

Harmadik személy adatainak kezelése

A PSD2 szerinti fizetéskezdeményezési szolgáltatás (PIS) esetében a szolgáltatást igénybe vevő fél („A”) egy másik személynek („B”) fizetéskezdeményezési szolgáltató közreműködésével utal. Adatvédelmi szempontból tehát felmerül a kérdés, hogy a szolgáltató mi alapján jogosult B adatainak kezelésére. Hasonló problémával találkozunk a számlainformációs szolgáltató (AIS) esetében is, amely szolgáltatása során számos olyan harmadik személy adatait kezeli, akivel nem áll semmilyen kapcsolatban.

Az EDPB elismeri, hogy ilyen esetben az adatkezelésnek megfelelő jogalapja lehet a jogos érdek. A fizetéskezdeményezési és számlainformációs szolgáltatóknak mint adatkezelőknek ugyanis

jogos érdeke fűződik a szolgáltatást igénybe vevő személlyel kötött szerződés teljesítéséhez, ami adott esetben harmadik személyek adatainak kezelését teheti szükségessé.

A Testület hangsúlyozza azonban, hogy véleménye szerint a jogos érdek már nem lesz megfelelő jogalap arra, hogy ezen harmadik személyek adatait a szerződés teljesítésének céljától eltérő célból kezeljék, különös tekintettel a PSD2 megszorító rendelkezéseire [66. cikk (3) bekezdés g) pont és 67. cikk (2) bekezdés f) pont]. Ilyen eltérő cél lehet például az adatok továbbértékesítése.

A jogos érdek tehát nem lesz megfelelő jogalap ahhoz, hogy a PSD2 szerinti fizetési szolgáltató a szolgáltatása teljesítése körében kezelt harmadik személyre vonatkozó személyes adatokat egyéb piaci szereplőknek továbbértékesítse.

Kifejezett hozzájárulás

A PSD2 előírása szerint a pénzforgalmi szolgáltatók csak abban az esetben férhetnek hozzá a pénzforgalmi szolgáltatásaik nyújtásához szükséges személyes adatokhoz, illetve kezelhetnek és őrizhetnek meg ilyen adatokat, ha ehhez a pénzforgalmi szolgáltatást igénybe vevő kifejezett hozzájárulását adta [94. cikk (2) bekezdés]. Felmerül tehát a kérdés, hogy a PSD2 ezen rendelkezése olyan adatvédelmi előírásnak minősül-e, mely szerint a szolgáltató akkor jár el jogszerűen, ha szolgáltatását az ügyfél GDPR szerinti kifejezett hozzájárulása alapján nyújtja [9. cikk (2) bekezdés a) pont].

Ezzel kapcsolatban az EDPB úgy foglalt állást, hogy a PSD2-ben alkalmazott kifejezett hozzájárulás egy szerződéses hozzájárulás. Ez adatvédelmi szempontból azt jelenti, hogy ebben az esetben az adatkezelés jogalapja szerződés teljesítése [GDPR 6. cikk (1) bekezdés b) pont] és nem hozzájárulás [GDPR 6. cikk (1) bekezdés a) pont].

A Testület értelmezése szerint a PSD2 rendelkezése arról szól, hogy amikor valaki igénybe vesz egy PSD2 szerinti fizetési szolgáltatást, teljes egészében tisztában kell lennie azzal, hogy mely személyes adatai milyen célokból lesznek felhasználva, és a vonatkozó rendelkezésekhez kifejezetten hozzá kell járulnia.

Ezeket a szerződéses adatvédelmi rendelkezéseket egyértelműen el kell különíteni a szerződés egyéb rendelkezéseitől, továbbá az érintettnek kifejezetten el kell fogadnia ezeket a rendelkezéseket.

A PSD2 alatt alkalmazott koncepció tehát egy szerződési jogi természetű többletkövetelmény.

A Testület azonban hangsúlyozza, hogy amennyiben a PSD2 szerinti fizetési szolgáltató további célokból is kezelni kívánja a személyes adatokat, ezen további adatkezelés tekintetében megfelelő jogalap lehet a GDPR szerinti (kifejezett) hozzájárulás [6. cikk (1) bekezdés a) pont és 9. cikk (2) bekezdés a) pont].

Elmondható tehát, hogy – amennyiben az EDPB véleménye irányadóvá válik – a PSD2 szerinti szolgáltatónak alaptevékenysége (fizetéskezdeményezéssel, illetve a számlainformációk összegyűjtésével és rendszerezésével) folytatásához nem szükséges beszereznie az ügyfél GDPR szerinti kifejezett hozzájárulását. Abban az esetben viszont, ha a fizetéskezdeményezési vagy számlainformációs szolgáltató a PSD2 szerinti szolgáltatása körében gyűjtött adatokat alaptevékenységén kívüli tevékenység körében kívánja felhasználni (ld. a már fent hozott továbbértékesítés esetét), ahhoz szüksége lehet az érintett hozzájárulására (különleges adatok esetében kifejezett hozzájárulására), mivel a szerződés teljesítése már nem lesz megfelelő jogalap.

Banki interfész

Végül levelében az EDPB kitér arra is, hogy a tagállami adatvédelmi hatóságok jogosultak annak eldöntésére, hogy a bankok által a PSD2 szerinti fizetési szolgáltatók számára hozzáférhetővé tett interfészek megfelelnek-e a GDPR szerinti adatbiztonsági előírásoknak [32. cikk]. Amennyiben a tagállami hatóságoknak bármilyen kételye merülne fel az új interfészek biztonságával kapcsolatban, jogosultak GDPR szerinti megfelelő intézkedések tételére.

A Gárdos Mosonyi Tomori Ügyvédi Iroda további cikkei a FinTechZone-on itt.

Fotó: ft.com, Jonathan McHugh