A Citibank Rt. adatkezeléséről
2003.08.08. 18:23
A Citibank Rt. adatkezelésével kapcsolatos vizsgálat megállapításait összegző adatvédelmi biztosi
ajánlás
I.
Az elmúlt hónapokban több állampolgári beadvány is érkezett hivatalomhoz, mely a Citibank Rt. adatkezelését kifogásolta. Az Adatvédelmi Biztos Irodája a Citibank Rt. Lakossági Üzletágának személyi kölcsön (PIL) szolgáltatása, valamint a Westel 900-Citibank hitelkártya igénylés során felmerült adatvédelmi problémákat vizsgálta.
Az indítványok egy részében az állampolgárok azt sérelmezték, hogy a hitelkérelemhez mellékelniük kellett a személyazonosító igazolvány fénymásolatát, a tb-kártya valamint az adóazonosító jelről kiállított hatósági igazolvány másolatát, az utolsó három havi telefonszámla és bankszámlakivonat másolatát. Az egyik beadványozó állítása szerint hitelkérelmét a Citibank azért utasította el, mert nem volt hajlandó fenti iratairól a fénymásolatokat a bankhoz benyújtani. A beadványozók a bank azon eljárásával sem értettek egyet, mely szerint a bank a kérelmeket és az egyéb becsatolt dokumentumokat az elutasítást követően is nyilvántartja. Hasonló jellegű problémát írt le az egyik beadványozó, amikor hitelkérelmének elutasítása után telefonon kérte a bank ügyintézőjétől adatai törlését. A bank munkatársa ígéretet tett a személyes adatok törlésére, azonban ennek megtörténtéről az elutasított ügyfél – állítása szerint – tájékoztatást nem kapott.
Ugyancsak az elutasított hitelkérelmekhez kapcsolódik az a panasz is, mely szerint az elutasított ügyfelek nem kapnak megfelelő tájékoztatást arról, hogy hitelkérelmüket miért utasították el. A hitelintézet formalevelében ugyanis csak annyi szerepel: “jelenleg nem áll módunkban jelentkezését elfogadni”. A panaszos érdeklődésére elmondása szerint azt a választ kapta, hogy a hitelkérelem elbírálásának bonyolult folyamata miatt a bank beosztottai sem ismerik azt a feltételt, melynek nem tett eleget.
Két beadványozó a Citibank Rt. által alkalmazott adatvédelmi nyilatkozatot sérelmezte. A teljes bizonyító erejű okiratban a bank leendő ügyfelei felhatalmazzák a bankot, hogy személyes adataikat az alábbi országok bármelyikében kezelje: Németország, Szingapúr, Lengyelország, Görögország, Amerikai Egyesült Államok, Nagy-Britannia, India. Az említett nyilatkozatban a leendő ügyfelek “visszavonhatatlanul” hozzájárulnak ahhoz, hogy a bank a rájuk vonatkozó adatokat postai csekk, bankkártya nyomtatása, a Citibank Rt. megbízásából végzett fogyasztói kutatás és az előzőekhez tartozó adatkezelés, feldolgozás céljából harmadik személyek részére kiadja, kivéve a pénzügyi információt.
Egy másik panaszos a Westel 900-Citibank hitelkártya jelentkezési lapjával kapcsolatban nyújtott be hivatalomhoz indítványt. A kifogásolt jelentkezési lapon a leendő ügyfeleknek a társadalombiztosítási azonosító jelüket (továbbiakban taj-szám) is fel kell tüntetniük. A kártyaigénylés további feltétele, hogy az ügyfél mellékelten megküldje a banknak személyazonosító igazolványának másolatát a fénykép és aláírás oldalakról, az érvényesség, és az állandó, illetve ideiglenes lakcím oldalakról.
II.
A vizsgálat során megkerestem a Citibank Rt. elnök-vezérigazgatóját Richard D. Jackson urat, aki a személyi kölcsön (PIL) szolgáltatásukkal kapcsolatban arról tájékoztatott, hogy a kifogásolt esetekben cége fedezet nélküli hitelt nyújt, melynek rendkívül magas a hitelkockázata. Ennek mérséklése érdekében a banknak hitelt érdemlően meg kell győződnie arról, hogy a hitelt igénylő személy valóban létezik, állandó munkahelye, lakóhelye van, és a hitel visszafizetéséhez megfelelő jövedelemmel rendelkezik. A hiteligényléssel kapcsolatos bűncselekmények gyakori előfordulása miatt (például okirathamisítás) a hitelintézet a hitelelbírálás során fokozott körültekintéssel jár el. A hitel elbíráláshoz kért dokumentumok, illetve ezek fénymásolatai a kölcsönt igénylők azonosítását, illetve a hamis vagy hamisított személyi adatokkal jelentkezők kiszűrését szolgálják. Amennyiben az ügyfél a kívánt fénymásolatokat nem csatolja, a hitelintézet a szerződés megkötésétől elzárkózik. Válaszában a vezérigazgató utalt arra is, hogy az említett ellenőrzések elmulasztása olyan mértékű kockázatot jelentene, mely lehetetlenné tenné számukra a hitelkockázat felmérését és a fenti hitelkonstrukció nyújtását. E helyzet – állítása szerint – a fogyasztókat is kedvezőtlenül érintené, hiszen nem vehetnének igénybe egy olyan szolgáltatást, mely sokkal kedvezőbb feltételeket biztosít számukra a pénzpiacon jelenleg elérhető kölcsönöknél. A fentiekhez kapcsolódóan a taj-szám rögzítést azzal indokolta, hogy “jelen pillanatban ez az egyetlen olyan személyi azonosító, amely az adott személy egész életében változatlan, és egy esetleges személyi igazolvány csere esetén változatlanul fennmarad.”
Az adatvédelmi nyilatkozatra vonatkozóan az igazgató közölte, annak elkészítését közvetlenül az tette szükségessé, hogy számítástechnikai rendszereik számos kulcsfontosságú eleme több más országban található. A külföldön található számítástechnikai berendezések közül néhány valóban tárolja magyarországi ügyfelek adatait is. Ezen berendezések Magyarországra telepítése (például költség, hatékonyság, a rendszerek bonyolultsága) kivitelezhetetlen, ezért nélkülözhetetlen az ügyfelek beleegyezése az adatok külföldön történő kezeléséhez. Az adatvédelmi nyilatkozat 1999 márciusától a banki kapcsolatfelvétel kötelező dokumentuma, ennek hiányában a bank számla-, illetve hitelkapcsolatot nem létesít.
A hitelkérelmek elutasításával összefüggésben a bank vezetője arról tájékoztatott, hogy az erről szóló értesítésben a bank valóban nem jelöli meg az elutasítás pontos okát. Ekkor ugyanis fennáll annak a veszélye, hogy a rosszhiszemű hitelt igénylő – tudva a kérelem elutasításának pontos okát – rövid időn belül valótlan adatokat tartalmazó, vagy hamis dokumentumokra épülő újabb hitelkérelmet nyújt be. A bank a hitelkérelem elutasítását követően a kérelmezők adatait legfeljebb hat hónapig tartja nyilván. Ennek magyarázata, hogy a hitelintézet “számos olyan belső felhasználásra kerülő, személyi azonosításra nem alkalmas statisztikát készít, amely a termék fejlesztését segíti elő, és így egyben az ügyfelek érdekét is szolgálja.” Az igazgató levelében kitért arra is, hogy amennyiben az ügyfél külön kéréssel fordul a Citibankhoz, lehetőség van a dokumentumok azonnali visszaküldésére, illetve a bank általi megsemmisítésére, ez utóbbi megtörténtéről az ügyfeleket levélben értesítik.
A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban Avtv.) 26. §-a szerint az Országgyűlés adatvédelmi biztosa feladatai ellátása során az adatkezelőtől minden olyan kérdésben felvilágosítást kérhet, és az összes olyan iratba betekinthet, adatkezelést megismerhet, amely személyes vagy közérdekű adatokkal összefügghet. A Citibank Rt.-hez írt levelemben kértem a bank vezetését, hogy a vizsgálat eredményes befejezése érdekében tegye lehetővé számomra adósminősítési szabályzatuk megismerését. A bank vezetése – megsértve az Avtv. fent idézett §-át – üzleti titokra hivatkozással a kérés teljesítésétől elzárkózott.
III.
1. Az Avtv. 2. §-a értelmében személyes adatnak minősül a meghatározott természetes személlyel kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. Az Avtv. 3. §-a szerint személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény vagy – törvény felhatalmazása alapján az abban meghatározott körben – helyi önkormányzat rendelete elrendeli.
A képmás is személyes adat, hiszen meghatározott természetes személlyel kapcsolatba hozható. A hitelintézetekről és pénzügyi vállalkozásokról szóló 1996. CXII. törvény (a továbbiakban Hpt.) 3. számú melléklete tartalmazza azokat az azonosító adatokat [név, leánykori név, anyja neve, születési hely, idő, állampolgárság, lakcím, postacím, személyazonosító igazolvány (útlevél) száma], amelyet a hitelintézet ügyfeleiről törvény felhatalmazása alapján tarthat nyilván. Tekintettel arra, hogy a személyazonosító igazolványban szereplő képmás nem szerepel a fenti felsorolásban, így az csak az érintett beleegyezésével kezelhető. Bár az Avtv. a hozzájárulás fogalmát nem részletezi, a magyar adatvédelmi gyakorlatban ennek elemei az Európai Parlament és Tanács az Egyénnek a személyes adatok feldolgozásával kapcsolatos védelméről és ezeknek az adatoknak a szabad áramlásáról szóló 95/46/EC irányelve 2. cikk (h) pontjában foglaltakkal egyezően érvényesülnek. Eszerint “az adatalany hozzájárulása az adatalany kívánságának önkéntes, határozott és tájékozott kinyilvánítása, mellyel beleegyezését fejezi ki az őt érintő személyes adatok feldolgozásába.”
A hozzájárulás ezért akkor minősíthető jogszerűnek, ha az adatszolgáltatás az érintettek részéről önkéntesen történt. Az önkéntesség megállapításának feltétele viszont az, hogy az adatkezelő az adatkezelés célját, és a szolgáltatandó adatok körét pontosan meghatározva oly módon tájékoztassa az érintetteket, hogy azok szabadon mérlegelhessék, rendelkezésre bocsátják-e a kért adatokat vagy sem.
A különböző iratokról fénymásolat készítését, illetve tárolását egyébként sem tartom indokoltnak, az így készült másolatok nem rendelkeznek bizonyító erővel, ha nem hitelesített másolatokról van szó. A polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény (továbbiakban Nytv.)5. § (8) bekezdése megállapítja, hogy a személyazonosító igazolvány olyan hatósági igazolvány, amely a polgár személyazonosságát és az e törvényben meghatározott adatait közhitelűen igazolja. Magánszemély ügyfelek személyazonosító igazolványáról, és más okmányairól csak abban az esetben készíthető és tárolható fénymásolat, ha ahhoz az érintett hozzájárult. Az ügyfél a személyazonosító igazolványán túl a személyazonosságának igazolására egyéb okmányok bemutatására sem kötelezhető, hiszen a személyazonosító igazolvány a személyazonosság hitelt érdemlő igazolására önmagában alkalmas.
Az új okmánycsalád bevezetését követően megszűnik a személyazonosító igazolvány kiváltás általános kötelezettsége. A polgár csak akkor lesz köteles a személyazonosító igazolvány kiváltására, ha nem rendelkezik más érvényes, a személyazonosságát igazoló hatósági igazolvánnyal. A 2000. január 1-jén hatályba lépő szabályozás szerint a polgár személyazonosságát nem csak a személyazonosító igazolvánnyal, hanem minden egyéb olyan hatósági igazolvánnyal is igazolhatja, amely tartalmazza a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvényben meghatározott adatokat (név, születési hely, idő, állampolgárság, arckép, saját kezű aláírás). A módosított Nytv. arról is rendelkezik, hogy az előzőeknek megfelelő adattartalmú érvényes hatósági igazolvány bemutatása esetében személyazonosítás céljából – jogszabályban meghatározott kivételekkel – a polgár nem kötelezhető más okmány bemutatására.
Az Nytv. IV. fejezete alapján a polgárok név- és lakcímnyilvántartásából a törvényben meghatározott feltételek szerint és adattartalommal adatszolgáltatás teljesíthető. A törvény 17. §-ának (4) bekezdése értelmében a személyazonosító igazolvány száma alapján bármely polgár, jogi személy és jogi személyiséggel nem rendelkező szervezet írásba foglalt kérelmére, a felhasználás céljának és jogalapjának igazolása esetén a személyazonosító igazolvány érvényességének, elvesztésének, ellopásának, megsemmisülésének, találásának, megkerülésének tényéről a nyilvántartás szervei adatot szolgáltathatnak. A személyazonosító igazolványok kezelése során tehát megfelelő ellenőrzés gyakorolható, megakadályozva ezzel a különböző visszaéléseket.
A személyazonosító igazolvány adattartalmán túlmutató adatgyűjtést a pénzmosás megelőzéséről és megakadályozásáról szóló 1994. évi XXIV. törvény végrehajtásáról kiadott 74/1994. (V. 10.) Korm. rendelet rendelkezései sem támasztják alá. E rendelet szerint az ügyfél azonosítása során a pénzügyi szolgáltató szervezet természetes személy esetén az ügyfél személyi igazolványának, útlevelének, vagy a Magyar Köztársaság rendészeti szerve által kiállított tartózkodási engedélyének bemutatását köteles megkövetelni. A pénzügyi szolgáltató a természetes személy családi és utónevét (nők esetében leánykori családi és utónevét is), lakcímét, születési helyét, idejét, anyja leánykori családi és utónevét, az azonosító okmány számát, a kiállító hatóság megnevezését, betűjelét, külföldi természetes személy útlevelében szereplő személyazonosító adatokat, valamint a pénzügyi műveletre vonatkozó és ahhoz kapcsolódó legfontosabb adatokat köteles rögzíteni.
A taj-szám alkalmazása a bank ügyfél-azonosítási rendszerében sérti az állampolgárok alkotmányban biztosított információs önrendelkezési jogát. A személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvény alapján az azonosító kód is személyes adat, ezért azt kezelni és továbbítani csak törvényben meghatározott szabályok szerint lehet. A törvény úgy rendelkezik, hogy a taj-szám az egészségügyi, a szociális, a társadalombiztosítási és a magánnyugdíj rendszerrel kapcsolatos nyilvántartások azonosító kódja. Az 1996. évi XX. törvény 7. §-a szerint az adatkezelő az érintettel, illetve más adatkezelővel való, meghatározott célú kapcsolattartása során csak azt az azonosító kódot használhatja, amelyre a feladatot meghatározó törvény őt felhatalmazza. Az adatkezelő a taj-számot a polgártól a célhoz kötött adatkezelés elvéből következően nem kérheti, hiszen annak segítségével a polgár személyazonosságát a taj-számot törvény alapján kezelő szervek nyilvántartásaiban nem ellenőriztetheti. Az ügyfelek ilyen nyilvántartása ezért a bank üzleti érdekeit sem szolgálja. Nem felel meg egyébként a valóságnak az elnök-vezérigazgató érve miszerint “jelen pillanatban ez az egyetlen olyan azonosító, mely az adott személy egész életében változatlan”. A jogalkotói szándék arra irányul, hogy az azonosító kód használatára törvényi felhatalmazással nem rendelkező adatkezelők adatkezeléseik során a polgárokat elsősorban természetes személyazonosító adatok segítségével tartsák nyilván.
2. A Hpt. 50. §-a a banktitok fogalmát a következőképpen határozza meg.
“Banktitok minden olyan, az egyes ügyfelekről a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerződéseire vonatkozik.”
A hitelintézeti törvény úgy rendelkezik, hogy a banktitokra vonatkozó rendelkezések szempontjából “a pénzügyi intézmény ügyfelének kell tekinteni mindenkit, aki a pénzügyi intézménytől pénzügyi szolgáltatást vesz igénybe.” Azon magánszemélyek, akiknek kölcsönkérelmét (szerződési ajánlatát) a hitelintézet a hitelképesség hiánya miatt nem fogadta el, a fenti törvényi definíció szerint nem minősülnek a bank ügyfelének. A felek között nem jött létre polgári jogi szerződés, ebből következően a bank a továbbiakban nem kezelheti a másik fél ajánlatában szereplő személyes adatokat, hiszen erre törvény nem hatalmazza fel.
Az Avtv. szerint az információs önrendelkezési jog gyakorlásának feltétele és egyben legfontosabb garanciája a célhoz kötöttség. Az Avtv. 5. §-a alapján személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.
Az Alkotmánybíróság 15/1991. (IV. 13.) AB határozatában leszögezte, hogy személyes adatot feldolgozni csak pontosan meghatározott és jogszerű célra szabad. Az adatfeldolgozásnak minden szakaszában meg kell felelnie az adatalanyokkal előzetesen közölt céllal. Az adatfeldolgozás célját úgy kell az érintettel közölni, hogy az megítélhesse az adatfeldolgozás hatását jogaira, és megalapozottan dönthessen az adat kiadásáról; továbbá, hogy a céltól eltérő felhasználás esetén élhessen jogaival. Ugyanezért az adatfeldolgozás céljának megváltozásáról is értesíteni kell az érintettet. Az érintett beleegyezése nélkül az új célú feldolgozás csak akkor jogszerű, ha azt meghatározott adatra és feldolgozóra nézve törvény kifejezetten megengedi. A célhoz kötöttségből következik, hogy a meghatározott cél nélküli, “készletre”, előre nem meghatározott jövőbeni felhasználásra való adatgyűjtés és tárolás alkotmányellenes. A célhoz kötöttség mellett az Alkotmánybíróság követelményként fogalmazta meg, hogy az érintett személy adatai útját a feldolgozás során követni, és jogait érvényesíteni tudja.
A fentiekből következően a Citibank Rt. a kérelem elutasítását követően az ügyfél hozzájárulására – mint az adatkezelés jogalapjára – nem hivatkozhat, ugyanis a polgár személyes adatait a hitelkérelem elbírálása céljából bocsátotta a bank rendelkezésére. A bank által nevesített tevékenység – a termék fejlesztését elősegítő statisztikák készítése – új célú feldolgozásnak minősül, melynek jogszerűségéhez az érintettek kifejezett hozzájárulására van szükség. E hozzájárulás hiányában a bank köteles – az ügyfél külön erre irányuló kérelmének bevárása nélkül – a csatolt dokumentumokat haladéktalanul visszaküldeni, és az ügyfelet a bank nyilvántartásából törölni. Az Avtv. 15. §-a értelmében a törlésről az érintettet értesíteni kell. A bank által megjelölt cél álláspontom szerint egyébként sem elfogadható, hiszen különböző statisztikák a személyes adatok anonimizálása után is készíthetők.
3. A kintlevőségek, befektetések, mérlegen kívüli tételek és a fedezetek minősítésének és értékelésének szempontjairól szóló 27/1998. (X. 21.) PM rendelet 4. §-a értelmében a hitelintézetek adósminősítési szabályzatot kötelesek készíteni. A pénzügyminiszter e rendeletében felhatalmazta a hitelintézeteket, hogy lakossági ügyfeleik esetében a rendeletben foglaltaktól eltérő szempontokat vizsgáló adósminősítési rendszert is kialakíthatnak, illetve gyakorlatot követhetnek. Kiemelte azonban, hogy ezen rendelet mellékletében szereplő szabályoktól eltérni csak az adatvédelemmel kapcsolatos jogszabályi előírások figyelembevétele mellett lehet.
Az Avtv. értelmező szakaszai szerint személyes adatnak minősül az adatokból levonható, az érintettre vonatkozó következtetés is. Természetes személyek esetében az adósminősítési eljárás során nyert megállapítások személyes adatok. A hitelintézet ezen megállapítások felhasználásának módját adósminősítési szabályzatában rögzíti. Az Avtv. 12. §-a szerint az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt adatairól.
Az adatkezelő a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül köteles írásban, közérthető formában megadni a tájékoztatást.
A Hpt. a hitelintézetek tájékoztatási kötelezettségét a következőképpen szabályozza:
“203. §. (1) A pénzügyi intézmény egyértelműen és közérthetően köteles ügyfeleit, illetve jövőbeni ügyfeleit a pénzügyi intézmény által nyújtott szolgáltatások igénybevételének feltételeiről, valamint e feltételek módosulásáról tájékoztatni.
(2) Az (1) bekezdésben meghatározott tájékoztatást a pénzügyi intézmény köteles az ügyfélfogadásra nyitva álló helyiségeiben könnyen hozzáférhető helyen kifüggeszteni, valamint az ügyfél kívánságára azt ingyenesen az ügyfél rendelkezésére bocsátani.”
A fentiek alapján az ügyfélnek joga van megismerni a személyes adataiból levont hitelbírálati eredményt, azonban ez nem érinti a bank szerződéskötési szabadságát. A hitelintézet természetesen pozitív eredményű hitelelbírálás esetén is elzárkózhat a szerződés megkötésétől.
4. A Hpt. 51. § (1) bekezdésnek a) pontja alapján “banktitok csak akkor adható ki harmadik személynek, ha a pénzügyi intézmény ügyfele, annak törvényes képviselője a rá vonatkozó kiszolgáltatható banktitokkört pontosan megjelölve közokiratba vagy teljes bizonyító erejű magánokiratba foglaltan kéri, vagy erre felhatalmazást ad.”
A Citibank Rt. által 1999 márciusában bevezetett adatvédelmi nyilatkozat formailag eleget tesz a hitelintézeti törvény idézett rendelkezésének, azonban tartalmát tekintve sérti az adatalanyok információs önrendelkezési jogát.
A nyilatkozat c) pontjában az ügyfél felhatalmazza a bankot, hogy a rá vonatkozó adatokat, kivéve a pénzügyi információt, az ott meghatározott célok érdekében harmadik személyek részére kiadhassa. A harmadik személyek számára kiszolgáltatható banktitokkör azonban nincs pontosan megjelölve.
A bank által nevesített célok között szerepel a Citibank Rt. megbízásából végzett “fogyasztói kutatás”, ami valószínűsíthető, hogy pontatlanul, de a piackutatás – az érintettek fogyasztói szokásának vizsgálata – fogalmával egyezik meg. A banktitoknak minősülő adatok piackutató szervnek történő továbbításhoz az ügyfelek közokiratba vagy teljes bizonyító erejű magánokiratba foglalt hozzájárulása szükséges, melynek pontosan meg kell jelölnie a piackutató szerv számára kiszolgáltatható banktitokkört. Álláspontom szerint az erre vonatkozó felhatalmazást az adatvédelmi nyilatkozat egyéb részeitől elkülönítetten kell kezelni, tekintve, hogy a bank által nyújtott szolgáltatásokhoz nélkülözhetetlen adatkezelésektől jellegében eltér. Ha az ügyfél elzárkózik a piackutatásra vonatkozó nyilatkozat megtételétől, emiatt hátrány nem érheti.
A nyilatkozat ugyanezen c) pontja lehetővé teszi személyes adatok átadását olyan harmadik személyeknek, akik a bank által vállalt szolgáltatás (postai csekk, bankkártya nyomtatása) teljesítése érdekében működnek közre.
1999 júniusában az Országgyűlés módosította az adatvédelmi törvényt, beiktatva a törvénybe az adatfeldolgozó kategóriáját. A jelenleg hatályos adatvédelmi törvény alapján adatfeldolgozó az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából személyes adatok feldolgozását végzi. Adatkezelő pedig az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetőleg a végrehajtással adatfeldolgozót bízhat meg. Az Avtv. 6. § (2) bekezdése szerint az érintettet tájékoztatni kell az adatkezelés céljáról és arról, hogy az adatokat kik fogják kezelni, illetve feldolgozni.
1999. július 13-ától az adatkezelő törvényi felhatalmazás alapján adatfeldolgozót vehet igénybe. Külföldi adatfeldolgozó igénybevétele esetén különbséget kell azonban tenni aszerint, hogy a feldolgozó tevékenységét mely ország szabályai szerint folytatja. Abban az esetben, ha a szabályok a magyar adatvédelmi követelményeknek megfelelnek (ebbe a körbe tartoznak az EU-tagországokon kívül az Európa Tanács adatvédelmi egyezményét kihirdető országok), az ügyfelet elegendő a külföldi adatfeldolgozásról és az adatfeldolgozó személyéről tájékoztatni. Más országokban a magyar jog szerinti védelemért az adatkezelő felelős. Ilyenkor a tájékoztatásnak legalább arra ki kell terjednie, hogy a feldolgozást az adatvédelmi nyilvántartásba bejelentett mely adatfeldolgozó végzi.
Az általam megvizsgált iratok alapján megállapítható, hogy az érintetteket a Citibank Rt. nem látja el megfelelő tájékoztatással. A bank tájékoztatása akkor tekinthető megfelelőnek, ha az adatfeldolgozásról szóló információkat az üzletszabályzat külön tartalmazza, és emellett az érintettek más módon is tudomást szerezhetnek erről. Alkalmas lehet pl. a bankfiókokban jól látható helyen erre vonatkozó hirdetmény elhelyezése.
Az adatvédelmi nyilatkozatban az ügyfelek hozzájárulásukat adják ahhoz is, hogy a bank személyes adataikat a nyilatkozatban szereplő országok bármelyikében kezelheti. A hitelintézet nem látja el az ügyfeleket a tájékozott belegyezéshez szükséges információval, így személyes adataik sorsáról felelősen nem tudnak dönteni. A már idézett 15/1991. (IV. 13.) AB határozatában az Alkotmánybíróság megállapította, hogy az érintett számára követhetővé és ellenőrizhetővé kell tenni az adatfeldolgozás egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát.
Tekintettel arra, hogy az adatkezelés pontos helyét az ügyfelek nem ismerik, nem élhetnek az Avtv.-ben garantált betekintési jogukkal. A fentiekből következik, hogy a bank kötelezettségvállalása – mely szerint a személyes adatokkal kapcsolatos jogokat külföldi adatkezelés esetén is biztosítja – puszta ígéret marad.
Ehhez hasonló jogi problémát oldott meg a berlini adatvédelmi biztos. Az ügy lényege az alábbiakban foglalható össze:
A német vasúttársaság és a Citibank német leányvállalata között létrejött megállapodás szerint a Railway card tulajdonosai bankkártyájukat VISA hitelkártyaként használhatták, de emellett németországi útjaik során vasúti kedvezményeket is igénybe vehettek. A kombinált funkciójú kártyát a Citibank nevadai leányvállalata állította elő.
A német adatvédelmi hatóságok határozott fellépésének köszönhetően a Citibank Rt. német és amerikai leányvállalatai között létrejött egy egyezség, mely a következő főbb elemeket tartalmazta:
1. Mindkét fél elfogadta a német adatvédelmi törvény rendelkezéseit.
2. Az ügyfelek adatait csak a kártya előállítása céljából kezelik az USA-ban.
3. Az egyezség az adatkezelés technikai követelményeit a német adatvédelmi törvény alapján határozta meg.
4. Az amerikai részleg köteles adatvédelmi felelősöket kinevezni a német adatvédelmi törvény szabályai betartásának ellenőrzésére.
5. Az ügyfelet megilletik mindazon jogok a Citibank amerikai leányvállalatával szemben, melyeket a német adatvédelmi törvény deklarál.
6. Az amerikai leányvállalat elfogadta a német adatvédelmi hatóságok ellenőrzési jogosultságát. A berlini adatvédelmi biztos által indított vizsgálatot követően létrejött egyezségnek a külföldi adatkezelés feltételeivel kapcsolatos pontjai irányadóak a jelen ügyre is.
Az Avtv. 9. §-a szerint személyes adat az országból külföldi adatkezelő részére csak akkor továbbítható, ha az érintett ahhoz hozzájárult, vagy törvény azt lehetővé teszi, feltéve hogy az adatkezelés feltételei a külföldi adatkezelőnél minden egyes adatra nézve teljesülnek. Ezen feltétel csak abban az esetben érvényesülhet, ha a magyarországival azonos védelem feltételeit a célország törvényes rendelkezései tartalmazzák. Ilyen rendelkezések hiányában a külföldi adatkezelő ezeket az adatkezelésre vonatkozó előírásokat szerződésben köteles vállalni. A bank által megjelölt országok között vannak olyanok, melyekben a magyarországihoz hasonló adatvédelmi intézmények működnek és olyanok, ahol megfelelő védelemről nem beszélhetünk.
A jogállam alapvető alkotmányos értékként ismeri el a magánszféra – így a személyes adatok – védelmét. A pénzügyi szolgáltató és ügyfelei érdekének összevetése során az információs önrendelkezési jog állhat szemben az adatkezelő gazdasági érdekével. Az Avtv. – néhány kivételtől eltekintve – az érintett érdekének elsőbbségét engedi érvényesülni. A gazdaság szereplőinek is tiszteletben kell tartaniuk az alkotmányos alapjogokat.
IV.
Az állampolgári jogok országgyűlési biztosáról szóló 1993. évi LIX. törvény 25. §-a, valamint a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 23. § (2) bekezdése alapján az információs önrendelkezési jog érvényesülésének elősegítése érdekében az alábbi ajánlást teszem:
l A hitelintézet csak az érintett hozzájárulásával készíthet és/vagy tárolhat a személyazonosító igazolványról fénymásolatot. Az ügyfél hozzájárulása nem lehet a szerződéskötés feltétele.
l A bank ügyfele személyazonosító igazolványán túl a személyazonosságának igazolására egyéb okmányok bemutatására nem kötelezhető.
l A bank a taj-számot a polgártól a célhoz kötött adatkezelés elvéből következően nem kérheti, és nem tarthatja nyilván.
l A hitelkérelem elutasítását követően a bank köteles – az ügyfél külön erre irányuló kérelmének bevárása nélkül – a csatolt dokumentumokat haladéktalanul visszaküldeni és az ügyfelet a bank nyilvántartásából törölni.
l A bank a kérelmező számára tegye lehetővé, hogy megismerhesse a hitelelbírálás eredményét.
l Az adatvédelmi nyilatkozatot a hitelintézet úgy köteles módosítani, hogy az alkalmas legyen az információs önrendelkezési jog gyakorlására.
l A hitelintézeteknek nincs törvényes felhatalmazásuk arra, hogy ügyfeleik személyes adatait Magyarországról külföldre továbbítsák. A meghatározott adatok meghatározott célból, meghatározott országba továbbításának az érintett hozzájárulásán túl az is feltétele, hogy az adatkezelés feltételei a külföldi adatkezelőnél minden egyes adatra nézve teljesüljenek: a magyarországival azonos védelem feltételeit a célország törvényes rendelkezéseinek tartalmazniuk kell, ellenkező esetben az ügyfél számára biztosítani kell a magyar jog szerinti védelmet. l A banktitoknak minősülő adatok piackutató szervnek történő továbbításához az ügyfelek közokiratba vagy teljes bizonyító erejű magánokiratba foglalt hozzájárulása szükséges. Az erre vonatkozó felhatalmazást az adatvédelmi nyilatkozat egyéb részeitől elkülönítetten kell kezelni.
Budapest, 1999. december 22.
Dr. Majtényi László
(352/A/1999)
|