25 milliós adatvédelmi bírságot kapott a Raiffeisen

2020. szeptember 15. 10:50
A Nemzeti Adatvédelmi és Információszabadság Hatóság 25.000.000,-Ft adatvédelmi bírságot szabott ki a Raiffeisen Bank Zrt-re jogalap nélküli adatkezelés, illetve a megfelelő tájékoztatás hiánya okán. Az ügy tanulságait az alábbiakban foglaljuk össze:
25 milliós adatvédelmi bírságot kapott a Raiffeisen

Alkalmassági teszt kitöltéséből indult a vizsgálat

A hatályos jogszabályok alapján a befektetési vállalkozás köteles alkalmassági tesztet kitöltetni az ügyfelével, amennyiben részére befektetési tanácsadást nyújt vagy portfoliókezelést végez. Ennek az adatkezelésnek a jogalapja tehát a GDPR 6. cikk (1) bekezdés (c) pontjában nevesített jogi kötelezettség teljesítése. Nevezett bank azonban prémium és private kategóriákba tartozó ügyfeleivel abban az esetben is kitöltette a tesztet, amennyiben azok ilyen szolgáltatást nem vettek igénybe. Ennek indokaként arra hivatkozott, hogy ezen ügyfélcsoportokkal kötött szerződés alapján a szerződéscsomag részét képezik a kérdéses szolgáltatások, mely lehetőséggel az ügyfél bármikor élhet. Erre tekintettel célszerű már a szerződéses kapcsolat elején elvégezni azt a kötelezettséget, melyre valószínűleg sor is fog a későbbiek folyamán kerülni. Arra is hivatkozott a bank, hogy az adatkezelés az ügyfelek érdekét is szolgálja, hiszen annak kockázatviselő, teherbíró képességét értékeli. Úgy értékelte ennek következtében, hogy az adatkezelés jogalapja a jogi kötelezettségen túlmenően részben a bank jogos érdeke, részben pedig szerződés teljesítése is.

 

NAIH: A jogalapokat szét kell választani

A felügyeleti szerv először is azt emelte ki, hogy jogi kötelezettség teljesítésére kizárólag konkrét jogszabályi előírás esetében lehet hivatkozni. Ebből következik, hogy a PSZÁF, MNB, valamint az Európai Értékpapír-piaci Hatóság ajánlásai nem minősülnek jogi kötelezettségnek. Arra is rámutatott, hogy ugyanazon adatkezelésnek jogi kötelezettség teljesítése, illetve jogos érdek nem lehet a jogalapja. A jogos érdek ugyanis kizárólag olyan érdek lehet, amely nem jogszabályi vagy szerződéses kötelezettségből ered.

 

Következő lépésben a hatóság a befektetők védelmét, mint jogos érdeket értékelte. Az adatkezelő bank arra hivatkozott, hogy az alkalmassági tesztben kezelt adatok azt a célt szolgálják, hogy az egyes ügyfelek számára kizárólag olyan szolgáltatásokat nyújtson, amelyek összhangban vannak az ügyfél speciális igényeivel, teherbíróképességével, ezáltal pedig növekedik az átláthatóság, illetve erősödik a befektetésekbe vetett bizalom. Arra is hivatkozott, hogy a teszt kitöltése hiányában az ügyfél sem rendelkezne kellő mennyiségű információval. A hatóság nem vitatta, hogy a pótlólagos adatszolgáltatással a bank számára több információ áll rendelkezésére az egyes ügyfelek pénzügyi helyzetére, veszteségviselő képességére, befektetési céljaikra vonatkozóan. Az azonban szerinte nem helytálló érvelés, hogy ezen információk hiányában az ügyfél megfelelő tájékoztatása nem valósulna meg. Ezen túlmenően önmagában az a körülmény, hogy az adatkezelés az ügyfél számára előnyös, nem teszi jogszerűvé az adatkezelést. Rámutatott arra, hogy a többletinformáció szolgáltatását az ügyfelek belátására kell bízni, így azt is meg kellett volna vizsgálni, hogy más jogalap (pl. hozzájárulás) nem lett volna megfelelőbb. Kiemelte, hogy a hozzájárulás a jogos érdeknél kevésbé intruzív azaz, jobban használható jogalap. Amennyiben pedig az adatkezelő a jogos érdek jogalapot választja, abban az esetben azt is vizsgálnia kellett volna példákon keresztül, hogy az adatkezelés milyen kockázatokat hordoz magában.

 

A bank prudens működésével, mint jogos érdekkel összefüggésben a hatóság úgy vélte, hogy az elvont és pontatlanul meghatározott érdeknek minősül. Az érdekmérlegelési tesztben ezen fogalmak tartalmát ki kell fejteni, ennek hiányában az érintettektől sem várható el a tájékoztatás megértése. Hasonlóképpen tág fogalmaknak találta a pénzpiacok szereplőinek és a nyilvánosságnak az érdekét is.

 

Végezetül tévesnek értékelte az adatkezelő szerződés teljesítésére történő hivatkozását arra tekintettel, hogy erre a jogalapra kizárólag olyan személyes adatok tekintetében lehet jogszerűen hivatkozni, melyek elengedhetetlenek a szerződés teljesítéséhez. A hasznosság ezen jogalap vonatkozásában nem rendelkezik relevanciával.

 

Az adatkezelési tájékoztatás sem volt megfelelő

A GDPR 13-14. cikkei meghatározzák az adatkezelésről adott tájékoztatás módját és terjedelmét. A bank adatkezelési tájékoztatójával összefüggésben a hatóság kiemelte, hogy nem szerencsés, ha a tájékoztatás több dokumentum részét képezi (üzletszabályzat, adatkezelési szabályzat, egyéb dokumentumokon található adatkezelési tájékoztató). Rámutatott arra, hogy a bank adatkezelési tájékoztatójából nem derül ki, hogy az adatkezelésnek jogos érdek jogalapja is van. Hasonlóképpen nem derül ki belőle az sem, hogy az érintett az adatkezeléssel szemben tiltakozhat. Az adatkezeléssel kapcsolatban nyújtott tájékoztatás így nem átlátható, nem érthető és nem tömör.

 

Dr. Kéri Ádám

ügyvéd

Kapcsolódó cikkek

Megállíthatatlan a kór? - Hatalmas pusztítást végez a sárgasárkány

2016. április 18. 11:02
Elkeseredett küzdelmet folytatnak az Egyesült Államokban a floridai farmerek az úgynevezett sárgasárkány-kór ellen, amely tönkreteszi a citrusfélék terméseit. A járványt okozó betegséget levélbolhák terjesztik. Az amerikai mezőgazdasági minisztérium válsághelyzetet hirdetett, mert ez a növénybetegség gyógyíthatatlan.

A XXI. század kihívásaira keresi a válaszokat az integrált Szent István Egyetem

2020. július 31. 07:26
Az agrár-felsőoktatás integrációval a XXI. század kihívásaira keresi a válaszokat a megújuló Szent István Egyetem - közölte az agrárminiszter csütörtökön Gödöllőn.