PSD2 és GDPR: barátok vagy ellenségek?

Az EU tagállamokban 2018 januárjától alkalmazandó PSD2 irányelv (az EU 2015/2366/EU irányelve a pénzforgalmi szolgáltatásokról) adatvédelmi rendelkezéseinek és a 2018. május 25-től alkalmazandó Általános Adatvédelmi Rendelet (2016/679/EU rendelet, GDPR) előírásainak ellentmondásai az elmúlt időszakban jelentős bizonytalanságot okoztak a pénzforgalmi szolgáltatók működésében, adatkezelésében, így például nehézséget okozott az adatkezelés jogalapjának meghatározása, a hozzájáruláson alapuló adatkezelés feltételeinek betartása.

Az Európai Adatvédelmi Testület (Testület) 2018. július 5-i levelében már állást foglalt néhány kérdésben, azonban a piaci szereplők számára ez sem oszlatta el teljesen a kétségeket a két jogszabály együttes értelmezését illetően, így a Testület részletes iránymutatást tett közzé 2020. július 17-én (Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR – nyilvános egyeztetésre előterjesztett szöveg, 2020 szeptemberben várható a végleges változat).

A pénzforgalmi szolgáltatások sokszereplős folyamatok, amelyekben részt vesz a pénzforgalmi szolgáltatást igénybe vevő fél (rövidítve: PSU), egy másik fél, aki például pénzt kap a PSU-tól, de nem veszi igénybe a pénzforgalmi szolgáltatást („csendes fél”), maga a pénzforgalmi szolgáltató (rövidítve: PSP), mint például a PSD2 szerinti számlainformációs szolgáltató (rövidítve: AISP) vagy fizetés kezdeményezési szolgáltató (rövidítve: PISP), valamint a fizető fél fizetési számláját vezető pénzforgalmi szolgáltató (rövidítve: ASPSP). Az adatáramlási, adatkezelési viszonyok ezen személyek között zajlanak, és a Testület iránymutatása ezen adatkezelési folyamatokban nyújt eligazítást az alábbiak szerint:

A pénzforgalmi szolgáltatók adatkezelési jogalapja: csak hozzájárulás vagy más is lehet?

A PSD2 irányelv szerint a pénzforgalmi szolgáltatók, így a PISP-k és AISP-k csak akkor férhetnek hozzá a pénzforgalmi szolgáltatásaik nyújtásához szükséges adatokhoz, illetve kezelhetnek és őrizhetnek meg ilyen adatokat, ha ehhez a PSU kifejezetten hozzájárulását adta.

A GDPR alapján azonban az adatkezelés jogalapja nem csak a hozzájárulás lehet, hanem a 6. cikk további ötféle jogalapot is felsorol (szerződés teljesítése, jogi kötelezettség teljesítése, létfontosságú érdekek védelme, közérdekű feladat végrehajtása, jogos érdek). Ez alapján pedig vitatható volt, hogy a PSP-k csak hozzájárulás alapján kezelhetik a szolgáltatásuk nyújtásához szükséges adatokat, vagy a GDPR szerinti egyéb jogalapokra is támaszkodhatnak-e.

További bizonytalanság volt abban a kérdésben, hogy a PSD2 irányelv által megkövetelt kifejezett hozzájárulásra vajon alkalmazandó-e a GDPR kifejezett hozzájárulásra vonatkozó szabálya. A GDPR alapján a kifejezett hozzájárulást csak a különleges adatok kezeléséhez adott hozzájárulásokra kell alkalmazni. A PSP-k által kezelt adatok zöme azonban nem minősül különleges adatnak, így ezekre a GDPR szerinti kifejezett hozzájárulás szabálya sem alkalmazható.

A Testület iránymutatása szerint a PSD2 szerinti kifejezett hozzájárulás nem a kapcsolódó személyes adatok kezelésének jogalapja, hanem egy külön, transzparenciát biztosító szerződéses jellegű hozzájárulás, amelyből az következik, hogy a PSP-knek választaniuk kell még a GDPR szerinti adatkezelési jogalapok közül is, valamint kimondta azt is, hogy a PSD2 szerinti kifejezett hozzájárulás nem azonos a GDPR szerinti kifejezett hozzájárulással.

Az iránymutatás alapján a pénzforgalmi szolgáltatók a pénzforgalmi szolgáltatásukat a PSU-val létrejövő szerződésük alapján nyújtják, így *a pénzforgalmi szolgáltatásra vonatkozó szerződés teljesítéséhez szükséges adatokat a szolgáltatók a GDPR szerződéses jogalapja alapján kezelhetik. * A Testület kiemeli, hogy ezt a jogalapot azonban szűken kell értelmezni, és csak azok az adatok kezelhetők ez alapján, amelyek ténylegesen szükségesek a szerződés létrehozatalához és/vagy teljesítéséhez. Ebből eredően azok az adatok, amelyek csupán hasznosak, de nem szükségesek, ezen a jogalapon nem kezelhetők.

Használhatják-e a PSP-k az adatokat eltérő célra?

A GDPR szűk körben és meghatározott feltételek teljesülése esetén megengedi, hogy az adatkezelő a személyes adatokat az eredeti adatgyűjtési céltól eltérő célra kezelje. Ilyen esetkör az, ha ahhoz az érintett hozzájárult, vagy azt jogszabály előírja, és enélkül is, ha a további adatkezelés összeegyeztethető az eredeti adatkezelési céllal (GDPR 6. cikk (4) bekezdés).

A PSD2 azonban kimondja, hogy a PISP-k a fizetés kezdeményezési szolgáltatás nyújtásához szükséges adatokon felül nem kérhetnek a PSU-tól más adatokat, és nem kezelhetnek adatokat a fizető fél által kifejezetten igényelt fizetéskezdeményezési szolgáltatás nyújtásának céljától eltérő célból.

Az AISP-k tekintetében a szabály ugyanaz, egy kiegészítéssel: az AISP esetében a PSD2 hozzáteszi, hogy az adatvédelmi szabályokkal összhangban jogosult az AISP az adatkezelésre.

A fenti szabályok alapján kérdés, hogy a PISP/AISP kezelheti-e a pénzforgalmi szolgáltatásra vonatkozó szerződés teljesítésétől eltérő célra, például az érintett külön hozzájárulása alapján a személyes adatokat? A Magyar Nemzeti Bank (MNB) korábbi álláspontja elutasító volt e tekintetben, még hozzájárulás alapján sem engedte az eltérő célra történő adatkezelést.

A Testület a mostani iránymutatásában azonban tisztázza a kérdést és a MNB fenti állásfoglalásától eltérő pozíciót foglal el: a GDPR megengedő szabálya és a PSD2 tiltó szabályai együttes értelmezése alapján *a PISP-k és AISP-k akkor kezelhetik az eredetitől eltérő célra az érintettek adatait, ha ahhoz az érintettek hozzájárultak vagy azt jogszabály előírja (például pénzmosási jogszabályok), a GDPR összeegyeztethetőségen alapuló megengedő szabálya azonban itt nem alkalmazható. *

Mi a számlavezető szolgáltatók hozzáférés biztosításának jogalapja?

A PSD2 alapján a fizető fél számlavezető szolgáltatója (ASPSP, ami tipikusan egy bank) hozzáférést köteles adni a PISP-nek és AISP-nek a fizető fél számlájához és azon adatokhoz, amik szükségesek a PISP/AISP szolgáltatás nyújtásához. Ezen hozzáférés biztosításának jogalapja a GDPR szerinti jogi kötelezettség teljesítése lesz, a jogi kötelezettséget pedig a PSD2-t átültető nemzeti jogszabály tartalmazza.

A csendes fél adatai kezelésének alapja

A fizetési folyamatban vannak „csendes felek” is, amelyek nem állnak a pénzforgalmi szolgáltatóval közvetlenül szerződéses kapcsolatban, mint például azok, akiknek van egy számlájuk, amire a PISP-t igénybe vevő PSU-k pénzt utalnak át. A PSP-k azonban ezen személyek adatait is kezelik és a „csendes felek” számlavezető bankja (ASPSP) jogszabályi előírás alapján kötelezően hozzáférést ad a PSP-knek a pénzforgalmi szolgáltatás nyújtásához szükséges személyes adatokhoz (például bankszámlaszám, név).

A PSP-k azonban nem tudnak hozzájárulást kérni ezen „csendes felektől” az adatkezeléshez, és a GDPR szerinti szerződéses jogalapra sem támaszkodhatnak, mivel nem állnak szerződésben velük, így a GDPR hatféle adatkezelési jogalapja közül csak a jogos érdek jöhet szóba, annak GDPR-ban meghatározott valamennyi előírásával együtt: érdekmérlegelési tesztet kell készíteni, meghatározott biztosítékokat kell nyújtani a „csendes fél” alapvető jogainak védelmére (például titkosítás, adatbiztonsági intézkedések).

A „csendes felek” személyes adatait azonban a PSP-k nem kezelhetik semmilyen egyéb célra, vagyis ezen adatok eltérő célra (például a csendes fél profilozására, direkt marketing üzenet küldésére) történő felhasználása tilos, mivel arra nincs a GDPR szerinti megfelelően alkalmazható jogalap és az érdekmérlegelési teszten nem menne át az adatkezelés.

A pénzforgalmi szolgáltatók különleges adatokat is kezelnek

A pénzforgalmi szolgáltatóknak számolniuk kell azzal, hogy a GDPR szerinti különleges adatokat is kezelnek: politikai pártnak, egyháznak történő adományozással kiderülhet a fizető fél pártállása, vallási hovatartozása, szakszervezeti tagdíj átutalásakor a szakszervezeti tagságra utaló adathoz jut a szolgáltató, egészségügyi szolgáltatás kifizetése esetén egészségügyi adatot kezel, a különböző vásárlásokból pedig következtetést lehet levonni a fizető fél szexuális irányultságára vonatkozóan. Ha pedig különleges adat kezelése valósul meg, akkor a GDPR különleges adatokra vonatkozó feltételei alkalmazandók (9. cikk), amelyek közül a pénzforgalmi szolgáltatók a kifejezett hozzájárulást vagy a jelentős közérdeken alapuló jogszabályi előírást alkalmazhatják. Ezek hiányában pedig a különleges adatokat nem kezelhetik.

A GDPR alapelvek a PSD2 alá tartozó pénzforgalmi szolgáltatókat is kötik

A Testület iránymutatásában végül kitér arra is, hogy a GDPR adatkezelési alapelvei, úgymint az adattakarékosság, célhoz kötöttség, adatbiztonság, átláthatóság, elszámoltathatóság, korlátozott tárolhatóság ugyanúgy alkalmazandók a pénzforgalmi szolgáltatók esetében is a PSD2 előírásai mellett. Az adattakarékosság és célhoz kötöttség alapelve érvényesüléséhez a Testület külön kiemeli, hogy digitális szűrést javasolt alkalmazni az AISP-knek, hogy csak olyan adatokat kezeljenek, amelyek ténylegesen szükségesek a pénzforgalmi szolgáltatás nyújtásához, így például szűrjék ki az IBAN számot, ha annak kezelése a tagállami jog szerint nem kötelező.

A fentiek alapján tehát a pénzforgalmi szolgáltatóknak körültekintően kell eljárniuk adatkezelési jogalapjuk meghatározásánál, a PSD2 és a GDPR előírásainak együttes figyelembe vételével, és kétség esetén javasolt a Magyar Nemzeti Bankhoz, illetve a Nemzeti Adatvédelmi és Információszabadság Hatósághoz vagy hozzáértő szakértőhöz fordulniuk.