Nemcsak a csalók, de a bankok is visszaélnek az ügyfelek adataival?

Nagy hír volt pár éve, hogy az EU új, személyes adatok védelmére vonatkozó szabályozást alkotott meg a GDPR-ral, amely sokat szigorított az adatkezelés szabályain, illetve megemelte a bírság összegét, ezzel védve az emberek személyes adatait, meghatározva, hogy mire és hogyan használhatók fel, illetve milyen jogok illetik meg az embereket az adatkezelőikkel szemben. Felcsillant a remény, hogy a bankok tesznek valamit annak érdekében, hogy az adatkezelésük megfeleljen a jogszabályoknak, de a magyar realitások még ma is teljesen mást mutatnak: azóta sem tartják be a szabályokat, és sorra marasztalja el az adatvédelmi hatóság a bankokat.

Azt hihetnénk, hogy a sok elmarasztaló határozat nyomán – ha mások nem is, de legalább – a bankok gondosabban járnak el és jobban odafigyelnek arra, hogy betartsák a szabályokat és tiszteletben tartsák az ügyfeleik jogait. De úgy tűnik, ez még sincs így. Az adatvédelmi hatóság legutóbb február végén marasztalt el egy nagybankot.

Miért fontos ez? A bankok Magyarországon mintegy 8 millió ember bankszámláit vezetik, ezeken 11 ezer milliárd forint lakossági betétet és 9 ezer milliárd forint lakossági hitelt tartanak nyilván, és évi kétmilliárd tranzakció eredményét számítják ki, beleértve a kamatokat. Emellett számtalan más adatot, például szenzitív vásárlásainkról, igénybe vett egészségügyi szolgáltatásokról szóló információkat és videófelvételeket tárolnak rólunk, az ügyfélszolgálatot felhíva pedig több bank esetében is arról kapunk tájékoztatást, hogy a beszélgetés hangfelvételét a bank elemzi. Nem mindegy tehát, hogy a bankok mit tehetnek meg és mit nem ezekkel az adatokkal.

A seriff félelmetes puskát kapott, de csak vízipisztolyt használ

A GDPR 2018-tól magas, az éves forgalom 4 százalékát kitevő bírság kiszabását is lehetővé teszi az adatvédelmi szabályok megszegőivel szemben, így a bankok esetén sok esetben ezermilliárdokban mérhető forgalom alapján lenne számítandó a bírság az adatkezelési szabályok megsértések miatt.

A bírságok célja a generál- és speciálprevenció kellene hogy legyen, vagyis a bankok visszatartása a további jogsértésektől. Csakhogy a magyar adatvédelmi hatósági gyakorlat a GDPR által lehetővé tett bírságösszeg töredékét sem használja ki. A bírságok a bankok esetében relatíve alacsonyak, így nem csoda, hogy sokszor azt érezheti az ember, hogy nulla visszatartó erejük van, hiszen a kiszabott bírságok nem sarkallják a bankokat önkéntes jogkövető magatartásra. Pedig ez lenne az igazi cél.

A bankok számára úgy tűnik, matematikai-pénzügyi kérdés: érdemes-e elkölteni évi 100 forintot arra, hogy az adatvédelmi szabályokat betartsák, miközben ha nem tartják be, akkor legfeljebb 5 forintot kell bírságra kifizetniük az ügyfelek után. Erre a pénzügyileg helyes, de etikailag kifogásolható válasz az, hogy nem érdemes 100 forintot költeni az adatvédelemre. Inkább érdemes vállalniuk az ügyfeleik jogainak megsértését, kifizetni a csekély, 5 forintnyi bírságot, és eltitkolni a jogsértéseket. Ha a bankok többet költenének arra, hogy betartsák az adatvédelmi jogi szabályokat, nem lenne ennyi adatvédelmi jogi jogsértés.

A seriff nem is szeret lövöldözni

A nemzeti bank a pénzügyi szervezeteket felügyelő szervként semmit nem tesz adatvédelmi kérdésekben. Ismert olyan eset, amikor kifejezett, egyértelmű jelzést kapott azzal kapcsolatban, hogy beazonosíthatatlan személy hívogatja telefonon az állampolgárokat pénzügyi szolgáltatásokat kínálva, a telefonáló pedig nem hajlandó elárulni, honnan szerezte meg a hívott fél telefonszámát. Arra a kérdésre pedig, hogy milyen cég megbízásából telefonálnak, gyakran hamis, nem létező cégnevet mondanak a telefonban. Ez adatkezelési szempontból egyértelműen szabálytalan, és legalábbis gyanús, hogy valaki esetleg engedély nélkül végez pénzügyi tevékenységet – a jegybank ennek ellenére mégsem reagál érdemben ilyen bejelentésre. Szintén mellőzte a NAIH a vizsgálat megindítását, annak ellenére, hogy minden releváns információ a birtokába került az esettel kapcsolatban. Mégis csak egy általános tájékoztatóra futotta válaszlevelükben.

A jogaiban megsértett bejelentő már-már úgy érezheti, mintha a hatóságok kifejezetten akadályokat gördítenének elé, hogy eljárást kezdeményezzen a jogsértők ellen.

Bár ez az eset meghaladja a jelen cikk kereteit, de előfordult olyan is, amikor az egyik bank megterhelte az ügyfélszámlát, és többszöri kifejezett kérés ellenére sem mutatott semmilyen bizonyítékot az ügyfélnek arra vonatkozóan, hogy ezt mire alapozza, miközben az adatkezelési és más szabályok alapján erre köteles lett volna. Az sem győzte meg a bankot – pontosabban a tulajdonában lévő faktorcéget –, hogy erre később bírósági végzés kötelezte (erről az ügyről részletesen egy másik alkalommal).

Jobb, ha nem tudod. Elég, ha mi tudjuk

A NAIH több alkalommal marasztalt el bankokat, e marasztaló határozatok üdvözlendően nyilvánosak, a NAIH honlapján megtalálhatók. A kiszabott bírságok mellett a „nyilvánosság ereje” – lehetne – az a visszatartó erő, amely garantálja, hogy a bankok betartsák a személyes adatok kezelésére vonatkozó szabályokat.

Azonban hiába gondolná bárki azt, hogy a NAIH határozatait böngészve talán fogódzót talál ahhoz, hogy olyan bankot választhasson, amely nem sérti az adatkezeléshez fűződő jogait. A banki adatkezeléssel kapcsolatos határozatok publikált változatának nagy részében az adatkezelési szabályokat megsértő bankok neve nem ismerhető meg. Annak ellenére van ez így, hogy a nem banki tevékenységet végző cégekre vonatkozó sok határozatban szerepelnek a jogsértő cégek nevei. Ismereteim szerint az EU-tagállamok közül egyedül Bulgáriában ismerhető fel hasonló gyakorlat.

Olyan akkurátusan figyelnek erre az érintett bankok és/vagy a NAIH (?), hogy a határozatban nemhogy a cégnév nem szerepel, de még azok az adatok sem, amelyekből ki lehetne következtetni, hogy melyik bankról szól az adott végzés. Például a NAIH üzleti titokká minősíti a bírságösszeg meghatározásának alapjául szolgáló éves bevételi adatokat, és ezért nem szerepelnek a marasztaló határozatban. Miközben ezek az adatok nyilvánosak, ingyen letölthetők az Igazságügyi Minisztérium honlapjáról, hiszen a cégek éves pénzügyi beszámolóit kötelező nyilvánosságra hozni. Nehezen elképzelhető olyan helytálló jogi érvelés, amely alapján egy kötelezően nyilvános adat egyben üzleti titoknak is minősülhetne – márpedig a NAIH határozatainak indokolásai pontosan erre alapozva tartják titokban a jogsértő bankok „kilétét”.

Nem, és kész. Hogy miért? Az a mi dolgunk

A lakosság hitelhez jutása makroszinten fontos tényező a gazdaság működése szempontjából, a hitelfelvevők, családok szempontjából pedig a legtöbb esetben mindennapi szükségleteik, sok esetben lakhatásuk biztosítása szempontjából nagyon fontos. A hitelezés egy olyan, rossz szóhasználattal, „alap” szolgáltatás, amelyhez való hozzáférés a normál, mindennapi életvitelhez szükséges a lakosság számára, az áramellátáshoz, a telefonszolgáltatáshoz és internethez hasonlóan. A bankoknak a hitelkérelmek elbírálásnál balanszírozniuk kell – egyebek mellett – a kihelyezett kölcsönök biztonsága és az ügyfeleik szükségletei között. Előfordult olyan eset, amikor a bank indokolás nélkül utasított el hitelfolyamodványt, és az ügyfél kérése ellenére sem közölte a hitelbírálat szempontjait, az egyes vizsgálati szempontok eredményeit. Végső soron az elutasítás indokairól a hitelért folyamodó semmilyen információt nem kapott, mert egy rendelet szerint a bank ezt nem köteles közölni – így téve kivételt a GDPR személyes adatokhoz való hozzáférési szabálya alól. Ennek eredményeképp a kölcsönért folyamodó nem tudja, hogy mit kellene másképp tennie ahhoz, hogy kölcsönt kaphasson, miközben jövedelme bőségesen megfelel az általa felvenni kívánt kölcsönhöz.

A GDPR megalkotásának egyik fontos célja volt a harmadik országbeli giga-adatkezelők EU-polgárokkal kapcsolatos adatkezelésének „megregulázása”, ezen keresztül pedig az EU-s digitális szolgáltatási piacon egyenlő versenyfeltételek megteremtése az EU-s és a harmadik országbeli, sok esetben gigantikus méretű adatkezelők számára. Sok EU-n kívüli adatkezelő esetében látványos – bár sok esetben nem gyors – változást indukált a GDPR, amelynek alapján a felhasználó úgy érezheti, hogy nagyobb kontrollt kapott az adatai felett. Ennek valószínű előzménye, hogy a nyugati-európai adatvédelmi hatóságok euró-százmilliós – és egy esetben egymilliárd eurónál is nagyobb – bírságokkal sújtottak némely adatkezelő kolosszust, és ezek megfelelő nyilvánosságot kaptak.

A fenti esetek alapján azonban úgy tűnhet, hogy a GDPR-nak „beletört a bicskája” a magyar banki adatkezelésbe, szabályozási szinten nem is annyira, sokkal inkább jogalkalmazási szinten.

Nehéz elképzelni, hogy valakit, aki a fenti eseteket olvassa, némelyikét átéli, az az érzés öntené el, hogy „lám, milyen jól működik a GDPR és a hatósági jogalkalmazás”.

Azt könnyebb elképzelni, hogy a „Ja, persze, Magyarországon vagyok. Ez is ilyen” és a „Persze, megint az erősebb kutya barkázik” gondolat kezd megfogalmazódni az ember fejében némi igazságtalanság- és tehetetlen bosszúságérzettel vegyülve.

Felmerül az emberben, érdemes lenne-e megpróbálkozni azzal, ami Nyugat-Európában gyaníthatóan változást hozott: érdemi, visszatartó erejű bírságok, és a jogsértések nyilvánosságra hozatala.