Az Európai Adatvédelmi Testület iránymutatást adott ki, amelyben a PSD2 irányelv hatálya alá tartozó egyes szolgáltatásokhoz kapcsolódó adatvédelmi kérdéseket vizsgál. Az iránymutatás még nem végleges, a Testület várja az ezzel kapcsolatos észrevételeket.
Az iránymutatás fontos kiindulópont lehet azon társaságok számára, amelyek élve a PSD2 irányelv biztosította lehetőségekkel innovatív pénzügyi szolgáltatásokkal kívánnak piacra lépni, így különösen a megbízásos online átutalási (PISP), illetve számlainformációk összesítése szolgáltatásokat (AISP) nyújtóknak.
A PSD2 alapján, a megbízásos online átutalás (payment initiation service) olyan szolgáltatás, amely a pénzforgalmi szolgáltatást igénybe vevő kérésére másik pénzforgalmi szolgáltatónál vezetett fizetési számla vonatkozásában fizetési megbízás indítására szolgál, míg a számlainformációk összesítése (account information service) olyan internetes szolgáltatás, amely összesített információk nyújtására szolgál egy vagy több olyan fizetési számláról, amelyet a pénzforgalmi szolgáltatást igénybe vevő egy másik pénzforgalmi szolgáltatónál vagy több pénzforgalmi szolgáltatónál nyitott.
Magyarországon a PSD2 átültetése nyomán a a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény (Hpt.) határozza meg a fizetés-kezdeményezési szolgáltatás (olyan szolgáltatás, amely a pénzforgalmi szolgáltatást igénybe vevő kérésére másik pénzforgalmi szolgáltatónál vezetett fizetési számla vonatkozásában fizetési megbízás indítására szolgál) és a számlainformációs szolgáltatás (olyan online szolgáltatás, amely összesített információk nyújtására szolgál egy vagy több olyan fizetési számláról, amelyet a pénzforgalmi szolgáltatást igénybe vevő egy másik pénzforgalmi szolgáltatónál vagy több pénzforgalmi szolgáltatónál nyitott) fogalmát. A szolgáltatások részletes feltételeire vonatkozóan pedig a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény (Pft.) ad eligazítást. Ezeken túlmenően is több jogszabály tartalmaz rendelkezéseket ezen szolgáltatások kapcsán (pl. 2013. évi CCXXXV. törvény az egyes fizetési szolgáltatókról, Pénzmosási törvény, stb.).
Az útmutató az alábbi főbb adatvédelmi kérdéseket vizsgálja:
1. Adatkezelés jogalapja, illetve az eredeti céltól eltérő adatkezelés
A PSD2 (illetve annak nemzeti jogokba történő átültetése révén, a vonatkozó tagállami szabályozás) alapján ezen szolgáltatások kapcsán az adatkezelés jogalapja elsődlegesen a szerződés teljesítése (GDPR 6. cikk (1) bek. b) pont: "az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges"). Ehhez kapcsolódóan érdemes figyelembe venni a Testület ezen jogalapra vonatkozó 2/2019. iránymutatását (erről a jogalapról lásd részletesebben ezt a posztot is). Kiemelten fontos annak vizsgálata, hogy mely adatok kezelése valóban szükséges a szerződés teljesítéséhez. A Testület hangsúlyozza azt is, hogy ezen feltétel fennállását az adatkezelőnek képesnek kell lennie bizonyítania, azaz be kell tudnia mutatni, hogy az adatkezelés nélkül nem lehetséges a szerződés teljesítése. Önmagában tehát nem elég, ha az adatkezelésre a szerződés utal vagy az tartalmazza, annak feltétlenül szükségesnek kell lennie a cél elérése érdekében. Ennek megfelelően a célhoz kötöttség és adattakarékosság elveinek ezen kérdés vizsgálatakor kiemelt szerepe lehet.
A további adatkezelések kapcsán az adatkezelőknek viszonylag szűk keretek között kell "lavírozniuk", tekintettel az irányelv 66. cikk (3) bek. g) és 67. cikk (2) bek. f) pontjaira is (vö. Pft. 38/B. § (3) bek. g) pont és 38/C. (3) bek. f) pont). Ezekre is tekintettel, a szolgáltatás nyújtásán túlmenően akkor kerülhet sor további adatkezelésre, ha azt a tagállami jog előírja a szolgáltató részére (pl. pénzmosás megelőzése) vagy ha ahhoz az érintett hozzájárult. Ezeken túlmenően egyéb jogalap mentén nem lehetséges az adatok eredetitől eltérő célra is történő kezelése (azaz a jogos érdek ebben a tekintetben nem kerülhet alkalmazásra az irányelv hivatkozott rendelkezéseire is figyelemmel).
Az iránymutatás röviden kitér arra is, hogy a fizetési számlát vezető pénzforgalmi szolgáltatók az adatokhoz történő hozzáférés biztosítása során jogi kötelezettséget teljesítenek, így ez lesz az adatkezelés jogalapja az esetükben (GDPR 6. cikk (1) bek. c) pont).
2. Kifejezett hozzájárulás a PSD2-ben és a GDPR-ban
Az iránymutatás foglalkozik azzal a kérdéssel is, hogy a PSD2-ben szereplő "kifejezett hozzájárulás" fogalma és a GDPR-ban használt azonos fogalom tartalma miként viszonyul egymáshoz.
A PSD2 94. cikk (2) bekezdése ugyanis azt mondja ki, hogy "[a] pénzforgalmi szolgáltatók csak abban az esetben férhetnek hozzá a pénzforgalmi szolgáltatásaik nyújtásához szükséges személyes adatokhoz, illetve kezelhetnek és őrizhetnek meg ilyen adatokat, ha ehhez a pénzforgalmi szolgáltatást igénybe vevő kifejezett hozzájárulását adta."
A kifejezett hozzájárulás a GDPR-ban ugyanakkor a hozzájárulás olyan "minősített esete", amelynek meglétét különleges személyes adatok kezelése esetén várja el a jogszabály. (Ehhez kapcsolódóan fontos kiemelni, hogy a PSD2-ben meghatározott, és a Pft. 2. § 5a. pontjával átültetett "érzékeny fizetési adatok" fogalma alá tartozó adatok nem minősülnek különleges adatnak a GDPR 9. cikkének alkalmazása kapcsán.)
A PSD2 szerinti kifejezett hozzájárulás kapcsán az iránymutatás azt állapítja meg, hogy ez különbözik a GDPR 9. cikk (2) bekezdés a) pontja szerinti kifejezett hozzájárulástól és egy szerződéses hozzájárulásról van szó, amely azt az elvárást támasztja, hogy az érintettek számára a szerződés megkötésekor egyértelműen és világosan derüljön ki, milyen célból, pontosan mely adataik kezelésére kerül sor a szolgáltatás nyújtásával összefüggésben. Ezen rendelkezéseknek a szerződésen belül megfelelően el kell különülniük az egyéb rendelkezésektől.
3. A harmadik felek adatainak a kezelése
Az érintett szolgáltatások (fizetés-kezdeményezési szolgáltatás, számlainformációs szolgáltatás) nyújtása során elkerülhetetlen, hogy a szolgáltatást igénybe vevő személyen kívüli harmadik felek adatainak is a kezelésére sor kerüljön (pl. akitől átutalás érkezik egy számlára vagy akinek a javára átutalást kezdeményezett a szolgáltatást igénybe vevő érintett). Ezen személyek ("silent party") adatai kezelhetők a GDPR alapján, jogos érdekre alapítottan. Ugyanakkor ennek az adatkezelésnek a szolgáltatáshoz elengedhetetlenül szükséges mértékre kell korlátozódnia. Ennek kapcsán vizsgálni kell azt is, hogy milyen technikai megoldásokkal biztosítható, hogy az eredeti céltól eltérő adatkezelésre ne kerüljön sor. Az adatbiztonság és adattakarékosság érdekében az olyan eszközök, mint pl. titkosítás alkalmazhatóságát is vizsgálni kell.
Az eredetitől eltérő célra pedig lényegében csak az alkalmazandó tagállami jog erre vonatkozó felhatalmazása alapján lehet kezelni a harmadik felek adatait.
4. Különleges adatok kezelése
A szolgáltatások nyújtása kapcsán szükségképpen előfordulhat különleges adatok kezelése (pl. politikai célra történő utalás adatainak kezelése, szakszervezeti tagdíj levonására vonatkozó információk, stb.).
Ahogy fent említettük az érzékeny fizetési adatok (olyan adatok, amelyek csalás elkövetésére alkalmazhatók, ideértve a személyes hitelesítési adatokat is azzal, hogy a fizetés-kezdeményezési szolgáltatás vagy számlainformációs szolgáltatás tekintetében nem érzékeny fizetési adat a számlatulajdonos neve és a fizetési számlájának száma) automatikusan nem minősülnek különleges adatnak.
Az iránymutatás alapján feltétlenül szükséges a kezelendő adatok pontos feltérképezése, hogy a kezelendő adatok megfelelő kategóriába történő besorolása megtörténjen és ez alapján alakítsa az adatkezelő a tervezett adatkezelés részleteit. Ehhez erősen ajánlott lehet adatvédelmi hatásvizsgálat elvégzése is.
A különleges adatok kezelése kapcsán a Testület véleménye szerint - a GDPR 6. cikk szerinti jogalap megléte mellett - elsősorban a GDPR 9. cikk (2) bekezdése alapján a (g) pontban meghatározott kivételszabály alkalmazhatósága jöhet szóba ("az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő"). Ha ennek feltételei nem teljesülnek, akkor pedig marad a GDPR 9. cikk (2) bekezdés a) pontja alapján, a kifejezett hozzájárulás beszerzésének lehetősége (fontos, hogy itt nem a PSD2 94. cikk (2) bek. szerinti kifejezett hozzájárulásról van szó, lásd fenti 2. pont).
5. Egyéb fontos szempontok: adattakarékosság, átláthatóság, biztonság, elszámoltathatóság, profilalkotás
Végezetül az iránymutatás több, az adatvédelmi megfelelés szempontjából alapvető jelentőségű kérdést tekint át. Az ezeknek történő megfeleléshez a beépített és alapértelmezett adatvédelem elveinek alkalmazása nyújt erős alapot. Ezen témák kapcsán a Testület (illetve a 29-es Cikk szerinti Munkacsoport) korábbi iránymutatásai és véleményei is hasznos segédletet jelenthetnek (pl. Iránymutatás az (EU) 2016/679 rendelet szerinti átláthatóságról; Iránymutatás az automatizált döntéshozatallal és a profilalkotással kapcsolatban; Iránymutatás az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés az (EU) 2016/679 rendelet alkalmazásában „valószínűsíthetően magas kockázattal jár”-e).