PSD2 az új Európai Adatvédelmi Testület szerint

írta | 2018.10.09. | Összes hír, PSD2, Szabályozás

BUPA

Az Európai Adatvédelmi Testület megerősítette, a PSD2-t – az új uniós pénzforgalmi rendeletet – a GDPR-nak, az Általános Adatvédelmi Rendeletnek megfelelően kell alkalmazni. Ezen túlmenően a Testület néhány fontos részletkérdésben is kifejtette álláspontját.

Az Európai Adatvédelmi Testület (European Data Protection Board, „EDPB” vagy „Testület”) honlapján közzétette a PSD2-vel (új uniós pénzforgalmi rendelet) kapcsolatban az Európai Parlamentnek küldött levelét.

A Testület levelében felhívja a figyelmet arra, hogy bár a PSD2 rendelkezése még a korábbi 95/46/EK adatvédelmi irányelvnek („Irányelv”) való megfelelést írja elő [89. preambulumbekezdés, 94. cikk], a GDPR (új uniós adatvédelmi rendelet) alapján minden Irányelvre történő hivatkozást GDPR-ra történő hivatkozásnak kell tekinteni [GDPR 94. cikk].

Az EDPB tehát megerősíti, hogy a PSD2-t a GDPR-nak megfelelően kell alkalmazni.

A Testület továbbá hangsúlyozza, hogy tisztában van a PSD2-vel kapcsolatban eddig felmerült adatvédelmi kérdésekkel és a témát a jövőben is figyelemmel fogja kísérni.

A levél jelentőségét mégis inkább az adja, hogy az EDPB a fenti általános megállapításon felül néhány részletkérdésről is kifejtette az álláspontját.

Harmadik személy adatainak kezelése

A PSD2 szerinti fizetéskezdeményezési szolgáltatás (PIS) esetében a szolgáltatást igénybe vevő fél („A”) egy másik személynek („B”) fizetéskezdeményezési szolgáltató közreműködésével utal. Adatvédelmi szempontból tehát felmerül a kérdés, hogy a szolgáltató mi alapján jogosult B adatainak kezelésére. Hasonló problémával találkozunk a számlainformációs szolgáltató (AIS) esetében is, amely szolgáltatása során számos olyan harmadik személy adatait kezeli, akivel nem áll semmilyen kapcsolatban.

Az EDPB elismeri, hogy ilyen esetben az adatkezelésnek megfelelő jogalapja lehet a jogos érdek. A fizetéskezdeményezési és számlainformációs szolgáltatóknak mint adatkezelőknek ugyanis

jogos érdeke fűződik a szolgáltatást igénybe vevő személlyel kötött szerződés teljesítéséhez, ami adott esetben harmadik személyek adatainak kezelését teheti szükségessé.

A Testület hangsúlyozza azonban, hogy véleménye szerint a jogos érdek már nem lesz megfelelő jogalap arra, hogy ezen harmadik személyek adatait a szerződés teljesítésének céljától eltérő célból kezeljék, különös tekintettel a PSD2 megszorító rendelkezéseire [66. cikk (3) bekezdés g) pont és 67. cikk (2) bekezdés f) pont]. Ilyen eltérő cél lehet például az adatok továbbértékesítése.

A jogos érdek tehát nem lesz megfelelő jogalap ahhoz, hogy a PSD2 szerinti fizetési szolgáltató a szolgáltatása teljesítése körében kezelt harmadik személyre vonatkozó személyes adatokat egyéb piaci szereplőknek továbbértékesítse.

Kifejezett hozzájárulás

A PSD2 előírása szerint a pénzforgalmi szolgáltatók csak abban az esetben férhetnek hozzá a pénzforgalmi szolgáltatásaik nyújtásához szükséges személyes adatokhoz, illetve kezelhetnek és őrizhetnek meg ilyen adatokat, ha ehhez a pénzforgalmi szolgáltatást igénybe vevő kifejezett hozzájárulását adta [94. cikk (2) bekezdés]. Felmerül tehát a kérdés, hogy a PSD2 ezen rendelkezése olyan adatvédelmi előírásnak minősül-e, mely szerint a szolgáltató akkor jár el jogszerűen, ha szolgáltatását az ügyfél GDPR szerinti kifejezett hozzájárulása alapján nyújtja [9. cikk (2) bekezdés a) pont].

Ezzel kapcsolatban az EDPB úgy foglalt állást, hogy a PSD2-ben alkalmazott kifejezett hozzájárulás egy szerződéses hozzájárulás. Ez adatvédelmi szempontból azt jelenti, hogy ebben az esetben az adatkezelés jogalapja szerződés teljesítése [GDPR 6. cikk (1) bekezdés b) pont] és nem hozzájárulás [GDPR 6. cikk (1) bekezdés a) pont].

A Testület értelmezése szerint a PSD2 rendelkezése arról szól, hogy amikor valaki igénybe vesz egy PSD2 szerinti fizetési szolgáltatást, teljes egészében tisztában kell lennie azzal, hogy mely személyes adatai milyen célokból lesznek felhasználva, és a vonatkozó rendelkezésekhez kifejezetten hozzá kell járulnia.

Ezeket a szerződéses adatvédelmi rendelkezéseket egyértelműen el kell különíteni a szerződés egyéb rendelkezéseitől, továbbá az érintettnek kifejezetten el kell fogadnia ezeket a rendelkezéseket.

A PSD2 alatt alkalmazott koncepció tehát egy szerződési jogi természetű többletkövetelmény.

A Testület azonban hangsúlyozza, hogy amennyiben a PSD2 szerinti fizetési szolgáltató további célokból is kezelni kívánja a személyes adatokat, ezen további adatkezelés tekintetében megfelelő jogalap lehet a GDPR szerinti (kifejezett) hozzájárulás [6. cikk (1) bekezdés a) pont és 9. cikk (2) bekezdés a) pont].

Elmondható tehát, hogy – amennyiben az EDPB véleménye irányadóvá válik – a PSD2 szerinti szolgáltatónak alaptevékenysége (fizetéskezdeményezéssel, illetve a számlainformációk összegyűjtésével és rendszerezésével) folytatásához nem szükséges beszereznie az ügyfél GDPR szerinti kifejezett hozzájárulását. Abban az esetben viszont, ha a fizetéskezdeményezési vagy számlainformációs szolgáltató a PSD2 szerinti szolgáltatása körében gyűjtött adatokat alaptevékenységén kívüli tevékenység körében kívánja felhasználni (ld. a már fent hozott továbbértékesítés esetét), ahhoz szüksége lehet az érintett hozzájárulására (különleges adatok esetében kifejezett hozzájárulására), mivel a szerződés teljesítése már nem lesz megfelelő jogalap.

Banki interfész

Végül levelében az EDPB kitér arra is, hogy a tagállami adatvédelmi hatóságok jogosultak annak eldöntésére, hogy a bankok által a PSD2 szerinti fizetési szolgáltatók számára hozzáférhetővé tett interfészek megfelelnek-e a GDPR szerinti adatbiztonsági előírásoknak [32. cikk]. Amennyiben a tagállami hatóságoknak bármilyen kételye merülne fel az új interfészek biztonságával kapcsolatban, jogosultak GDPR szerinti megfelelő intézkedések tételére.

A Gárdos Mosonyi Tomori Ügyvédi Iroda további cikkei a FinTechZone-on itt.

Fotó: ft.com, Jonathan McHugh

BUPA
BUPA

Itt követhetsz minket:

Gárdos I Mosonyi I Tomori Ügyvédi Iroda

Gárdos I Mosonyi I Tomori Ügyvédi Iroda

A szerzők a Gárdos Mosonyi Tomori Ügyvédi Iroda partnerei. A Gárdos Mosonyi Tomori Ügyvédi Iroda a gazdasági élet teljes spektrumában nyújt jogi szolgáltatásokat, tevékenységének fókuszában a bankjog, a tőkepiacok joga és a biztosítási jog áll.
A FinTechZone.hu kiadója a FinTech Group Kft.

BUPA: PÉNZÜGYI ASSZISZTENS

BUPA
Ismerd meg vállalkozásod teljes értékű pénzügyi asszisztensét, a BUPA-t.

KIBERBIZTONSÁG

clico paloalto networks it-biztonsag
A FinTechShow résztvevőinek díjmentes fenyegetettségi felmérést ajánlott fel a Palo Alto Networks.

ELEKTRONIKUS FIZETÉSI TÉRKÉP

“elektronikus fizetesi terkep
Betekintést adunk az elektronikus fizetési piac átalakulásába, az új fizetési megoldások világába.

HUNFINTECH 20/20

“HUNFINTECH FINTECH BOOK
A Magyar FinTech Book: A 20 legígéretesebb magyar fintech.

GPE softPOS

softpos gpe bankkartya elfogadas mobilon globalpayments
Androidos mobilod van? Töltsd le a GPE softPOS alkalmazást és fogadj egyszerűen érintés nélküli fizetéseket közvetlenül az okostelefonodon keresztül!

Azonnali Fizetési Megoldások

“simplepay azonnali fizetési kiadvanyok
Új lehetőségek az elektronikus fizetésben. Azonnali fizetési megoldások kereskedőknek, bankoknak, technikai aggregátoroknak.