A GDPR , ahogy minden más szektornak, úgy a bankszektornak is kihívást jelentett, amelyen nem segített az sem, hogy azzal majdnem egyidőben érkezett a PSD2 irányelv is. A pénzügyi intézményekkel az adatvédelmi hatóságok sem bánnak kesztyűs kézzel, ha bírságolásról van szó.
GDPR bizonytalanságok és kihívások
A bankszektor számos kihívással és bizonytalansággal szembesül a GDPR megfelelés teljesítése során:
PSD2 és GDPR: a PSD2 irányelv több ponton is ellentmondásban áll a GDPR előírásaival, amelyeket csak részben sikerült feloldania az Európai Adatvédelmi Testületnek (EDPB) a 06/2020 számú iránymutatásában.
Erős ügyfélhitelesítés, KYC, AML és csalásmegelőzés: A PSD2 és az SCA rendelet által előírt erős ügyfélhitelesítés, és vele együtt a csalás megelőzési, KYC és pénzmosás megelőzési célú adatkezelés során a bankoknak, pénzforgalmi szolgáltatóknak egyensúlyozniuk kell a hatékonyság és a GDPR adattakarékossági előírása között: meg kell találni azt az adatkört, amellyel a jogszabályi kötelezettségeknek, a hatékonyságnak is eleget lehet tenni, de igazolható az is, hogy valamennyi kezelt és e célra gyűjtött adat szükséges az adatkezeléshez, amely nélkül az adatkezelési cél nem érhető el. A jogszabályi előírásokon felül végzett KYC, pénzmosási, csalás megelőzési célú adatkezelés esetén pedig figyelembe kell azt is venni, hogy nem lehet az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettség teljesítése, hanem helyette a jogos érdek alkalmazandó – annak minden plusz kötelezettségével együtt. Ezen túlmenően a GDPR-nak és a pénzmosási szabályoknak való együttes megfelelést is biztosítani kell.
Outsourcing: Kiszervezés esetén a pénzügyi intézmény feladata a szolgáltatás jellege alapján meghatározni, hogy a kiszervezett tevékenységet végzőnek mi az adatkezelési pozíciója: önálló adatkezelő, aki csak hozzáfér az adatokhoz, adatfeldolgozó vagy esetleg a pénzügyi intézménnyel közös adatkezelő – ennek megítélése gondos elemzést igényel, a választott pozícióhoz pedig a megfelelő tartalmú adatkezelési szerződést kell megkötni. A kiszervezés szoros összefüggésben van a banktitok szabályaival is, vagyis az adatvédelmi, a banktitok és a kiszervezési szabályok együtt kell, hogy érvényesüljenek.
Data lakes: A pénzügyi szektor is elmozdult a bankcsoporton belül létrehozott közös csoportszintű adatbázisok (data lake) irányába a hatékonyabb célzott marketing, elemzések, statisztikák, keresztértékesítési lehetőségek növelése érdekében. Ezekbe a közös adatbázisokba a bankcsoportba tartozó entitások különféle titokkörbe tartozó adatokat és egyéb személyes adatokat is öntenek, amelyeket a csoporttagok közös vagy saját céljaikra használnak fel. A GDPR szempontjából a csoporttagok adatkezelési pozíciója igényel itt is gondos mérlegelést: önálló vagy közös adatkezelők? Az EDPB 07/2020 számú, 2020. szeptemberi iránymutatása alapján ugyanis önmagában az a tény, hogy közös adatbázisból származnak az adatkezeléshez használt adatok, még nem teszi a csoporttagokat közös adatkezelővé, ahhoz a közös adatkezelés többi feltételének is teljesülnie kell – vagyis szükséges, hogy az adatkezelés célját és módjának lényeges kérdéseit is közösen határozzák meg a csoporttagok. A GDPR által előírt pszeudonimizálás, titkosítás, adott esetben pedig anonimizálás is fokozottan alkalmazandó például a statisztikai célú adatkezelés esetén.
E-banking: A digitális bankolás, mobil és internetbanki szolgáltatások további adatvédelmi kihívások elé állították a pénzügyi szektort, ahol a felhőszolgáltatásokkal kapcsolatos adatkezelési pozíciók (a felhőszolgáltató adatfeldolgozó vagy önálló adatkezelő), az online hozzájárulás kérés és a többrétegű adatkezelési tájékoztatás váltak a fő adatkezelési témákká.
Profilalkotás: A GDPR megfelelés során a bankoknak külön figyelmet kellett szentelniük a hitel scoring rendszerek, online kölcsön igénylés során történő automatizált döntéshozatal, profilalkotás GDPR szerinti új szabályainak is , amely adatvédelmi hatásvizsgálat lefolytatását, külön tájékoztatást tesz szükségessé.
NAIH bírságok – követeléskezelők, bankok a célkeresztben
2018. május 25. óta a NAIH számos esetben bírságolt pénzügyi intézményt vagy pénzügyi vállalkozást. Ugyan a NAIH bankszektoros bírságolási gyakorlata alapján azt mondhatjuk, hogy ezen átlagos bírságösszegek szerények maradtak (500.000 és 2 millió forint között mozogtak), azonban a NAIH 25 milliós bírságot is kiszabott a Raiffeisen Bankkal szemben, ahol plusz szankcióként a bank neve is nyilvánosságra hozatalra került a határozatban, míg más esetben a szerénynek mondható 1 milliós bírságtétel mellett elrendelte a jogellenes kezelt adatok teljeskörű törlését is, amely sokkal hátrányosabban érintette a pénzügyi intézményt, mint a bírság kifizetése.
A NAIH marasztalással végződő banki ügyek egy része téves, rossz telefonszámra, e-mail címre történő információ, felszólítás küldéssel kapcsolatos. Az egyik ilyen ügyben jelzálog szerződésekkel kapcsolatban küldött a pénzügyi intézmény téves e-mail címre felszólító levelet, amely ügyet a NAIH a jogszabálysértés megállapítása mellett bírság kiszabása nélkül zárt le. Egy másik hasonló ügyben a NAIH 500.000,- Ft-os bírsággal sújtotta a hitelintézetet, amely hitelkártya szerződéssel kapcsolatban küldött téves telefonszámra fizetésre felszólító SMS üzenetet.
A NAIH fókuszába került bankszektoros GDPR ügyek másik csoportjába a követeléskezeléskezelő cégek adós e-mail címek és telefonszámok kezelésével kapcsolatos esetei tartoznak, amelyeket követelésbehajtási, igényérvényesítési célokra használnak. A NAIH több határozatában is kimondta, hogy ezen adatok kezelése aránytalan és szükségtelen az igényérvényesítési célhoz, hiszen postai úton éppúgy elérhető az érintett ilyen célból, telefonon és e-mailen történő zaklatása ezért szükségtelen és aránytalan. A NAIH 1 – 2 millió forintos bírságokat szabott ki ezekben az ügyekben.
A bankszektoros adatkezelési ügyek harmadik csoportjába a jogos érdekkel kapcsolatos adatkezelések és az alapjául szolgáló érdekmérlegelési tesztek tartoznak, amelyek rendre elbuknak a hatóság vizsgálatán: általában túl általánosak, kényelmi és üzleti indokokat tüntetnek fel jogos érdekként, amely azonban nem elfogadható, nem mérik össze megfelelően az adatkezelő érdekeit az érintettek alapvető jogaival és érdekeivel, nem elég részletesek és sokszor ellentmondásosak. A NAIH az érdekmérlegelési tesztekkel kapcsolatos banki ügyben 1 millió forintos bírságot szabott ki.
A NAIH szintén 1 millió forint megfizetésére kötelezte a pénzügyi intézményt a KHR-ben történő téves adatrögzítés miatt (anélkül, hogy az illetőnek bármilyen kölcsön vagy hitelszerződése lett volna), és ugyanennyire bírságolta azt a bankot is, amely nem adott az adósról kezelt adatokról teljeskörű tájékoztatást az érintett kérelmére. Ugyanekkora bírságot kapott az elszámoltathatóság alapelvének megsértéséért az a bank is, amely megfelelő jogalap nélkül kezelte a pénzmosási jogszabályok alapján nem kötelező pénzmosás megelőzési célra a személyes adatokat és azokat jogellenesen továbbította.
Az adatvédelmi hatóság a fenti immár szokásosnak mondható 1 millió forintos bírságtételt 2 millió forintra emelte, amikor egy banki szereplő megtagadta egyik ügyfele kérelmének teljesítését, amely a banki ügyféltérben készített CCTV felvételek kiadására irányult.
A legnagyobb bankszektoros bírság pedig eddig a Raiffeisen Bank ellen kiszabott 25 millió forint volt, amelyet a bank azért kapott, mert jogalap nélkül kezelte a kizárólag non-advisory szolgáltatást igénybe vevő prémium és private ügyfelek által az alkalmassági tesztben megadott személyes adatokat, és nem nyújtott megfelelő tájékoztatást a MiFID kérdőívekben felvett személyes adatok kezeléséről. A NAIH elrendelte a jogalap nélkül kezelt adatok törlését és a jogsértő nevének a nyilvánosságra hozatalát is. A 2020. júniusában hozott ítéletével a Fővárosi Ítélőtábla a NAIH döntését helybehagyta és a megtámadására indított keresetet elutasította. Ki kell emelni, hogy habár a Raiffeisen bírság dobogós helyen áll a kiszabott GDPR bírságok között, mégsem ez a legmagasabb bírság összeg: a Sziget Zrt.-t 30 millió forintra, míg a Digit 100 millió forintra bírságolta az adatvédelmi hatóság, amelyekhez képest a fenti 25 millió forintos bírság nem is tűnik annyira kirívónak.
Többi EU ország: adatbiztonság, hozzáférési jog, magasabb bírságok
Más EU-s adatvédelmi hatóságok egyéb jogsértéseket is vizsgáltak a bankok adatkezelési gyakorlatában: a bírságokat jellemzően az érintettek hozzáférési jogának akadályozása, valamint a megfelelő adatbiztonsági intézkedések elmulasztása miatt szabták ki.
A spanyol adatvédelmi hatóság (Agencia Española de Protección de Datos – AEPD) egy érintett panaszára 50.000 EUR összegű bírságot szabott ki a Bankia S.A.-ra, mert az ügyfélkapcsolat megszűnését követően több, mint 16 évig megőrizte egy ügyfele személyes adatait, és az adatokat kezelő munkatársak hozzáférési jogait sem korlátozta megfelelően. Az AEPD megállapította, hogy a bank ezzel megsértette a GDPR „célhoz kötöttség” alapelvét, miszerint a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem lehet kezelni ezekkel a célokkal össze nem egyeztethető módon.
Egy horvát bank a 2018. májusa és 2019. áprilisa közötti időszakban körülbelül 2.500 ügyfelének nem adta át devizahitel-dokumentációja másolatát (például: visszafizetési terv, hitelmegállapodás melléklete, kamatláb-változások áttekintése stb.), arra hivatkozással, hogy a dokumentáció a már visszafizetett kölcsönökhöz kapcsolódik, és nem terjed rá ki az ügyfelek GDPR szerinti hozzáférési joga. A horvát adatvédelmi hatóság (Agencija za zaštitu osobnih podataka) kötelezte a bankot, hogy tegye hozzáférhetővé a hiteldokumentációt, és emellett (nem nyilvános összegű) bírságot is kiszabott.
A román adatvédelmi hatóság (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) 80.000 EUR összegű bírságot szabott ki a holland ING Bank NV bukaresti fióktelepére. Az ANSPDCP megállapította, hogy a bank megszegte a GDPR adatvédelmi alapelveit: az „integritás és bizalmas jellegének” és a „beépített és alapértelmezett adatvédelem” alapelvét, és nem tette meg a GDPR 32. cikke szerinti adatbiztonsági intézkedéseket. A 225.525 ügyfelet érintő jogsértés konkrét oka az volt, hogy a kártyaműveletek elszámolási folyamata során alkalmazott automatizált adatfeldolgozó rendszer használata során a bank nem alkalmazott megfelelő technikai és szervezési intézkedéseket, a meglévő intézkedések tekintetében pedig nem szervezett időszakos teszteléseket és értékeléseket https://azop.hr/…avno-novcana.
Szintén az ANSPDCP szabott ki 15.000 EUR összegű bírságot a román Raiffeisen Bank S.A.-ra. A Raiffeisen Bank S.A. két alkalmazottja természetes személyek személyazonosító okmányaiból származó, a Vreau Credit S.R.L. nevű cég munkatársai által a bank számára továbbított személyes adatok segítségével 1.177 természetes személy hitelképessége megállapítása érdekében előzetes (a Raiffeisen Bank SA által a hitelezési tevékenysége során használt számítógépes alkalmazáson keresztül elvégzett) szimulációk segítségével információkat kért le a helyi hitelinformációs rendszerből. A hitelfelvétellel kapcsolatos elutasító döntéseket a Raiffeisen Bank SA munkatársai követlenül a Vreau Credit SRL munkatársaival közölték, a vonatkozó belső eljárásaik megsértésével. A Raiffeisen és a Vreau Credit között nem volt hivatalos kapcsolat – munkavállalóik önállóan, munkáltatóik tudomása nélkül működtek együtt a jogosulatlan adatfelhasználásban és osztották meg az adatokat egymás között, de az adatkezelői felelősség a GDPR alapján munkáltatóikat terhelte. A hatósági vizsgálat azt követően indult, hogy a Raiffeisen Bank SA az adatvédelmi incidensről értesítette az ANSPDCP-t. A hatóság megállapította, hogy a bank nem tette meg a GDPR 32. cikkében előírt adatbiztonsági intézkedéseket, mert nem biztosította megfelelően, hogy az alkalmazottjai kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, valamint nem értékelte megfelelően az adatkezelés kockázatait. Az ANSPDCP a Vreau Credit S.R.L.-re az ügyben 20.000 EUR összegű bírságot szabott ki az adatbiztonsági követelmények megsértése miatt, valamint azért, mert nem értesítette a hatóságot az ő oldalán bekövetkezett adatvédelmi incidensről (https://www.dataprotection.ro/?…).
A román Unicredit Bank S.A.-ra pedig 130.000 EUR összegű bírságot szabott ki az ANSPDCP, szintén az adatbiztonsági kötelezettséget megsértéséért. A biztonsági hiányosságok miatt a bankon keresztül online fizetéseket teljesítő 337.042 személy személyi azonosító száma és címe vált elérhetővé a fizetés címzettje számára https://www.dataprotec…enda_Unicredit&lang=ro.
2019. július 15-én egy hacker feltörte a bolgár adóhatóság biztonsági rendszereit, és több mint 5 millió állampolgár személyes adatait töltötte le. A feltört információk egy része (kb. 11 GB) nyilvánosságra is került. Az adatvédelmi hatóság 2.500.000 EUR összegű bírságot szabott ki a szervezettel szemben, mert nem alkalmazott megfelelő adatbiztonsági intézkedéseket az adatvédelmi incidens megelőzésére https://www.cpdp.bg/index.php?….
Szintén Bulgáriában az adatvédelmi hatóság 500.000 EUR összegű bírságot szabott ki a DSK Bank-ra, mert harmadik felek jogosulatlanul hozzáfértek több mint 30 000 ügyfél azonosító adataihoz (név és PIN-kód), valamint egyéb személyes adataihoz (címek, személyi igazolványok másolata, társadalombiztosítási és adózással kapcsolatos adatok, bankszámlák, házastársak és kezesek adatai stb.), és ez a megfelelő adatbiztonsági intézkedésekkel megelőzhető lett volna https://www.cpdp.bg/index.php?….
A bankszektor szereplőinek javasolt és érdemes nyomon követniük a NAIH és az egyéb EU-s adatvédelmi hatóságok gyakorlatát és folyamatosan ellenőrizniük adatkezeléseiket, és ha szükséges, akkor módosítani azokat a jövőbeli bírságok elkerülése érdekében.