Az Európai Adatvédelmi Testület (EDPB) 2020. július 27-én elfogadta a második Pénzforgalmi Szolgáltatásokról szóló irányelv (PSD2) és az általános adatvédelmi rendelet (GDPR) kapcsolatáról szóló iránymutatásait. A PSD2 adatvédelmi vonatkozásaival az EDPB már foglalkozott egy európai parlamenti képviselő kérdéseire adott válaszában. Az iránymutatások ebben a korábbi állásfoglalásban érintett egyes kérdéseket bontja ki és értelmezi részleteiben, így azok értékes útmutatóként szolgálnak a hazai adatkezelők számára is.

A PSD2 a pénzügyi szolgáltatások piacát megújító irányelv, amely a megbízásos online átutalási szolgáltatók (PISP) és a számlainformációkat összesítő szolgáltatók (AISP) tevékenységét szabályozza, amelyek – az érintett felhasználók felhatalmazása alapján – hozzáférést kaphatnak a pénzügyi intézmények által vezetett fizetési számlákhoz. Ezzel kapcsolatban számos adatvédelmi kérdés felmerül, amelyek közül az EDPB négy nagy témakört jár körbe. Ezek a következők:

• az adatkezelések lehetséges jogalapjai;
• a harmadik felek adatainak („silent party data”) kezelése;
• különleges adatok kezelése;
• kiegészítő biztosítékok, különös tekintettel az adattakarékosságra, az adatbiztonságra, az átláthatóságra, illetve a profilalkotásra.

A jogalapok kérdésköre több kontextusban is előkerül az iránymutatásokban. Egyrészt foglalkozik vele a testület a PSD2 keretében nyújtott szolgáltatások vonatkozásában. A dokumentum kiindulópontja, hogy „[a] pénzforgalmi szolgáltatásokat mindig a pénzforgalmi szolgáltatást igénybe vevő és a pénzforgalmi szolgáltató közötti szerződés alapján nyújtják”. Mint ilyen a vonatkozó adatkezelés a GDPR 6. cikk (1) bekezdés b) pont szerinti ún. szerződéses jogalap alapján végezhető. Az említett jogalap alkalmazásának egyes kérdéseit az EDPB a 2/2019. számú iránymutatásaiban már részletesen vizsgálta, a dokumentum így csak a jogalap alkalmazásának bizonyos elemeit emeli ki és részletezi.

A PSD2 alapján a tagállamok kötelesek megfelelő jogszabályi előírásban biztosítani az AISP-k számára a hozzáférést az érintettek fizetési számláihoz. A pénzügyi intézményekre, főleg a bankokra tehát olyan rendelkezések vonatkoznak majd, amelyek megalapozzák majd a személyes adatok kezelésének kötelezettségét (GDPR 6. cikk (1) bekezdés c) pont).

A klinikai vizsgálatokról szóló rendelethez hasonlóan a PSD2 vonatkozásában is felmerül az érintett hozzájárulásának kötelezettsége. Az irányelv 94. cikk (2) bekezdése ugyanis csak akkor teszi lehetővé a pénzforgalmi szolgáltatók számára a személyes adatok kezelését, ha ahhoz „a pénzforgalmi szolgáltatást igénybe vevő kifejezett hozzájárulását adta”. Ebben a vonatkozásban ugyanakkor az EDPB ismét megerősítette, hogy a PSD2-ben említett „hozzájárulás” jogintézménye nem felel meg a GDPR 4. cikk 11. pontjában szereplő „hozzájárulásnak”. Előbbi ugyanis egy járulékos kötelezettség, amely esetében az önkéntesség követelménye nem teljesül. Ha ugyanis az érintett nem járulna hozzá a személyes adatok kezeléséhez, akkor a pénzforgalmi szolgáltató nem tudná teljesíteni a szerződésben vállalt kötelezettségét, a szolgáltatás nyújtása így ellehetetlenülne.

A gyakorlat szempontjából külön érdekes a „harmadik felek adatainak” kezelése. Az EDPB ilyen információnak tekint minden személyes adatot, amely olyan érintettre vonatkozik, aki nem az adott pénzforgalmi szolgáltató ügyfele, de akinek a személyes adatait az adott pénzforgalmi szolgáltató az ügyféllel kötött szerződés teljesítése érdekében kezeli. Ebben a vonatkozásban ugyanakkor sem a jogi kötelezettség, sem a szerződéses jogalap, sem pedig a hozzájárulás nem jöhet szóba az adatkezelés jogalapjaként. Ugyanakkor az EDPB megerősítette azt a korábbi álláspontját, hogy a PISP-k és az AISP-k a harmadik felek személyes adatait a pénzforgalmi szolgáltatás igénybe vevőjével kötött szerződés teljesítéséhez fűződő jogos érdekük (GDPR 6. cikk (1) bekezdés f) pont) alapján is kezelhetik.

A különleges adatok esetében a testület kiemelte, hogy azok kezelése a GDPR-ban foglalt főszabály értelmében tilos. A PSD2 szerinti adatkezelők e tilalom alól csak akkor mentesülnek, amennyiben ahhoz az érintett kifejezett hozzájárulását adta, vagy ha az jelentős közérdek miatt szükséges (GDPR 9. cikk (2) a) és g) pont).

A kiegészítő biztosítékok körében az EDPB elsősorban az adattakarékosság, illetve beépített és az alapértelmezett adatvédelem elveit, valamint a biztonsági követelményeket emelte ki. Ahogy arra a hatásvizsgálatról szóló iránymutatás is utalt, a pénzügyi adatok ún. fokozottan személyes jellegű adatok, amelyek kezelése jelentős hatást gyakorol az érintett mindennapi életére. Ezért minden olyan intézkedést meg kell hozni, amely a kockázatokat minimalizálja és amely biztosítja a kezelt személyes adatok bizalmas jellegét és integritását.

Az EDPB végezetül felhívta a figyelmet az átláthatóság és az elszámoltathatóság elvének fontosságára, illetve röviden megvizsgálja a profilalkotás esetleges alkalmazásának lehetőségét a PSD2 szerinti adatkezelők vonatkozásában.

Forrás: https://edpb.europa.eu