Az innovátoroknak garantálniuk kell az ügyfelek biztonságát

A GDPR szabályozás alapján többes adatkezelés valósul majd meg a banki területen, ha az ügyfelek külső szolgáltatókat jogosítanak fel pénzügyi adataik kezelésére – a felelősség így az innovátor cégeket is terheli.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az új, májusban hatályba lépő európai adatvédelmi rendelet (GDPR) szabályai szerint határozza majd meg, hogy kit tekint adatkezelőnek, ha az ügyfelek adataival visszaélés történik olyan esetekben, amikor az ügyfél pénzügyi adatait a pénzforgalmi irányelv (PSD2) szabályozása alapján adják ki – mondta a Világgazdaságnak Péterfalvi Attila NAIH-elnök. A PSD2-szabályozás külső szolgáltatókat jogosít fel arra, hogy azokban a helyzetekben, amelyekben az ügyfél erre felhatalmazást ad, az ügyfél pénzügyi adatait lekérhessék a pénzintézetektől. Az EU reméli, hogy ezzel érvényesül a pénzügyi szolgáltatások pluralizációja, növekszik az ügyfélélmény, hiszen innovatív megoldásokat kínáló szervezetek jelenhetnek meg a pénzügyi közvetítő piacon.

A PSD2 a jelenlegi állás szerint úgy rendelkezik majd, hogy az átadott adatért a pénzintézet a felelős, függetlenül attól, hogy a visszaélés már a külső szolgáltató rendszerében vagy rendszerének hibájából történt-e. A szabályozás ezen részét még nem fogadták el, az erről rendelkező szabályozási standard (RTS) átültetésére a tagállamoknak 18 hónapjuk lenne. Magyarországon azonban a pénzforgalmi törvény tavaly őszi módosítása – ha nem változik a határidő – 2019. január 1-jétől a pénzintézetek teljes felelősségét mondja ki. (Természetesen a banki szolgáltató a későbbiekben érvényesítheti jogát a külső szolgáltatóval szemben.) Fontos tudni, hogy a jogszabály az említett időpontig az ügyfélhez rendeli a teljes felelősséget.

E tekintetben fontos tehát a NAIH elnökének véleménye. A bécsi városi önkormányzat által szervezett adatvédelmi konferencián lapunknak nyilatkozó Péterfalvi Attila emlékeztetett: a GDPR szabályozása az eddigieknél alaposabban foglalkozik olyan esetekkel, amikor egyszerre több szervezet vagy intézmény minősül adatkezelőnek. Ilyenkor mindegyik adatkezelőnek a felelőssége fennáll. A bank – mint az ügyfelek pénzügyi adatainak elsődleges adatkezelője – köteles meggyőződni arról, hogy a külső szolgáltatót valóban feljogosította-e az ügyfél az adatok kezelésére. Ugyanakkor – miután a PSD2 egyéb mérlegelési jogot nem ad, ha az ügyfélengedély megvan – arról semmilyen módon nem győződhet meg, hogy a fogadó szervezet megfelel-e az adatkezelési előírásoknak. A pénzügyi adatok jogszerű átadása után azonban az adatokkal való visszaélés esetén a külső szolgáltató felelőssége is fennáll – onnan már ő köteles megfelelni a GDPR előírásainak, és ő szankcionálható a visszaélés miatt.

Mindenesetre – derült ki a konferencián – a magyar adatvédelmi szabályozás sok tekintetben megelőzi régiónk országainak szabályozását. Ennek ellenére rendkívül komoly munka vár a szervezetekre és a vállalatokra is. Péterfalvi Attila példaként említette, hogy az adatvédelmi incidensekről a hazai szabályozás szerint elvben maguknak az adatkezelőknek kellett nyilvántartást vezetniük (ez nem lesz másképp a GDPR esetében sem), ám a NAIH eddigi vizsgálatai egyetlen esetben sem találtak ilyen nyilvántartást. Más kérdés, hogy a GDPR ehhez majd súlyosabb szankciókat is fűz.