Adatkezelők és ügyfeleik széles körét érintő döntést hozott a Kúria.
A pert a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eljárása előzte meg, amelynek eredményeképpen a hatóság elmarasztalt egy pénzügyi szolgáltatót, amiért az a célhoz kötöttség elvébe ütköző adatkezelést folytatott. A konkrét esetben a pénzügyi szolgáltató ügyfélazonosítási kötelezettségeinek teljesítése érdekében másolatot készített ügyfelei okmányairól. Ehhez az adatkezelési művelethez az ügyfelek kifejezett hozzájárulását kérte, ugyanakkor a NAIH álláspontja szerint nem volt jogszabályi felhatalmazása az adatkezelésre, mert nem volt olyan jogszabályi rendelkezés, amely azt kifejezetten lehetővé tenné. A NAIH emellett azt is kiemelte, hogy a kérdéses adatkezelés „készletező jellegű”, azaz a kezelt adatok nem elengedhetetlenül szükségesek az adatkezelés céljához (jelen esetben az ügyfél azonosításához).Egyúttal kötelezte a szolgáltatót többek között arra, hogy ügyfeleinek nyújtson átlátható tájékoztatást arra vonatkozóan, hogy mely adatkezelései alapulnak hozzájáruláson és melyek kötelezőek.
A pénzügyi szolgáltató bíróság előtt támadta meg a NAIH határozatát, többek között arra hivatkozva, hogy a régi Pmt. (2007. évi CXXXVI törvény a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról) alapján az okmányok másolása jogszabályon alapuló kötelező adatkezelés. Rámutatott arra a praktikus szempontra is, hogy ez a piacon teljes mértékben bevett gyakorlat.
A bíróság ezzel szemben arra az álláspontra helyezkedett, hogy a régi Pmt-ből nem vezethető le az okmánymásolási kötelezettség, az ugyanis kizárólag az adatok rögzítéséről és az okiratok bemutatásáról rendelkezik, magáról a másolatkészítésről nem. Nem mellesleg kifejtette azt is, hogy az új Pmt. (2017. évi LIII. törvény a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról) pedig nem hatalmazza fel a szolgáltatókat okmánymásolatok megőrzésére, mert a jogalkotó nem úgy fogalmazta meg a jogszabályt, hogy az alapján a már elkészült másolatok őrizhetők volnának.
Ezt az álláspontot lényegében a Kúria is osztotta, ezért a pénzügyi szolgáltató felülvizsgálati kérelmét elutasította.
Bár a döntés az Általános Adatvédelmi Rendelet (GDPR) kötelező alkalmazását megelőző időszakra vonatkozik, abból több, a GDPR szempontjából is fontos tanulság vonható le.
- Egyrészt, önmagában attól, hogy egy adatkezelésnek az adatkezelő szerint megfelelő jogalapja van a GDPR szabályai szerint (pl. az ügyfél hozzájárulása), még egyáltalán nem biztos, hogy jogszerű az adatkezelés, hiszen ettől még ütközhet pl. a célhoz kötöttségbe vagy más adatkezelési elvbe.
- Másrészt, részben az előzőből fakadóan könnyen lehet, hogy egy évek óta adott jogalapon folytatott adatkezelést felül kell vizsgálni mind a jogalap, mind pedig a gyűjtött adatok köre szempontjából, hiszen a GDPR és az ahhoz kapcsolódó, még erősen képlékeny jogértelmezés sok eddig működő folyamatot felborít. Az adatkezelési jogi szakértelem tehát nem nélkülözhető.
- Harmadrészt látható, hogy a hatályos magyar jogszabályok több esetben olyan megfogalmazásokat, részletszabályokat tartalmaznak, amelyek nem állnak teljes összhangban a GDPR logikájával és többféle jogértelmezésre adnak lehetőséget, ezért az adatkezelőknek -és esetenként még a szakjogászoknak is – komoly fejtörést okoznak.
dr. Csenterics András LL.M, ügyvéd
TechRelated
a Réti, Várszegi és Társai
Ügyvédi Iroda PwC Legal technológiai jogi blogja