::ajánlások:: : Betéti kártyák természetes személy részére történő kibocsátása során a kibocsátó hitelintézet által kezelhető személyes adatokró |
Betéti kártyák természetes személy részére történő kibocsátása során a kibocsátó hitelintézet által kezelhető személyes adatokró
2003.08.08. 18:31
Betéti kártyák természetes személy részére történő kibocsátása során a kibocsátó hitelintézet által kezelhető személyes adatokról szóló adatvédelmi biztosi ajánlás
I.
Az elmúlt évben beadvánnyal fordult hozzám egy panaszos, aki azt kifogásolta, hogy az egyik kereskedelmi bank betéti kártya kibocsátásakor munkahelyének adatait, illetve más hitelintézeteknél vezetett számláira vonatkozó adatait igényelte. A panasz nyomán indított vizsgálatot lezáró állásfoglalásomban kifejtettem, hogy a bank ezen adatok kezelésére a szóban forgó esetben nem volt jogosult (742/A/1997). Az állásfoglalást a Magyar Bankszövetség is köröztette tagbankjai között. Mindennek ellenére az elmúlt hónapokban újabb polgárok fordultak hozzám más hitelintézeteket illető hasonló panaszokkal, ezért az új tényállás alapján – a panaszok nyomán – vizsgálatot kellett indítanom.
II.
A szóban forgó esetekben a polgárok betéti (debit) kártyára vonatkozó bankkártya-igénylőlapot töltöttek ki. A betéti kártyák sajátossága az, hogy – a hitelkártyákkal ellentétben – a kártya birtokosa nem végezhet a kártyához tartozó folyószámla egyenlegét meghaladó műveleteket, vagyis a kártya rendeltetésszerű használata során az ügyfél általában nem kerül adósi pozícióba, s ha igen, adóssága akkor sem haladhatja meg a bank részéről a folyószámla és a betéti kártya használatának ellenértékeként felszámolt díjakat.
A panaszosok két igénylőlapot kifogásoltak. Az egyik az ügyfél egyéb (a kártya kibocsátóján kívüli) bankoknál vezetett számláira és munkahelyére irányuló kérdéseket tartalmaz. A másik űrlap kitöltése során az egyéb bankoknál vezetett számlák és a munkahely neve mellett alkalmazottak esetében az éves bruttó és nettó jövedelem összegére, vállalkozók esetében a vállalkozás tevékenységi körére, nevére vonatkozó adatokat kell megadni, s az ügyfélnek válaszolnia kell arra is, van-e saját tulajdonú háza/lakása, nyaralója, telke, gépkocsija, mennyi kölcsöntartozásának havi összege, mennyi a lakással kapcsolatos kiadások havi összege, illetve mennyi a család egy főre jutó havi jövedelme, van-e bankkártyája, s ha igen, azt melyik bank bocsátotta ki, volt-e már elutasított kártyakérelme, illetve visszavont kártyája. Mindkét igénylőlapon szerepel a figyelmeztetés, mely szerint az ügyfél a közölt adatok valódiságáért felelősséggel tartozik; az egyik igénylőlap szerint "az ügyfél hozzájárulását adja ahhoz, hogy a közölt adatokat a Bank szükség esetén ellenőrizze".
Mindkét igénylőlap kapcsán tájékoztatást kértem a kibocsátó hitelintézetek vezetésétől arról, mi indokolja a széles adatkör kezelését. Az első esetben a cégvezetés arra hivatkozott, hogy a bank az úgynevezett középbankok sorába tartozik, s fiókhálózata a hagyományosan lakossági szolgáltatásokat nyújtó bankokénál kisebb, "ezért kénytelenek vagyunk különféle eszközökkel behatároltan tartani az ügyfélkör létszámát". Ilyen körülmények között a bank célja az, hogy egy ügyfél minél szélesebb szolgáltatási kört vegyen igénybe, s "ehhez jó, ha tudjuk, hogy van-e munkahelye a jelentkező ügyfélnek, továbbá mivel a kártya manipulálásra is felhasználható, a nem munkakeresményből élőket sem szeretnénk ügyfeleink között tudni".
A bank ebben az esetben hivatkozott arra is, hogy a kérdéses adatok megadása nem kötelező; erről azonban az igénylőlap nem tájékoztatja az ügyfeleket, sőt az adatszolgáltatás önkéntességének ellentmondani látszik az igénylőlapon szereplő figyelmeztetés, amely szerint az ügyfél a feltüntetett adatok valódiságáért büntetőjogi felelősséggel tartozik. A másik bank vezetősége szerint "előfordulhat, hogy akár az ügyfél, a (társ)bank vagy a kereskedő hibájából a bankkártyaszámla egyenlege negatív lesz, ilyen esetekben a bank a hitelkártyákhoz hasonló kockázatot vállal".
III.
A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. tv. (Avtv.) 3. § (1) bekezdése alapján személyes adat – más esetek mellett – az érintett hozzájárulása esetén is kezelhető. A hazai joggyakorlat az érintett hozzájárulásának fogalmát egyre következetesebben az Európai Parlament és Tanács az egyénnek a személyes adatok feldolgozásával kapcsolatos védelméről és ezeknek az adatoknak a szabad áramlásáról szóló 95/46/EC sz. irányelve alapján értelmezi, amely szerint az adatalany hozzájárulása alatt kívánságának önkéntes, határozott és tájékozott kinyilvánítását kell értenünk (2. cikk (h) pont).
A hitelintézet által kidolgozott igénylőlap kitöltésével a polgár ajánlatot tesz a bank számára, amelynek elfogadásával az igénylőlapon megjelölt dokumentumokban foglalt általános szerződési feltételek által meghatározott tartalmú polgári jogi szerződés jön létre.
A szerződési ajánlatot tevő polgárnak természetesen hozzá kell járulnia ahhoz, hogy a bank – mint másik szerződő fél – személyes adatainak bizonyos körét megismerhesse, hiszen az ügylet csak így jöhet létre, ám ez az adatkör – az Avtv. alább idézett rendelkezéseire tekintettel – csak korlátozott lehet. Az Avtv. 3. § (1) bekezdése nem értelmezhető úgy, hogy az ügyfél beleegyezése bármely személyes adatának kezelésére jogalapot ad, függetlenül az adatkezelés céljától, a szóban forgó ügylet jellegétől.
Az Avtv. 5. § (1) bekezdése szerint személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Az 5. § (2) bekezdése szerint csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.
Adatkezelés – az adatalany hozzájárulásával végzett adatkezelés is – csak akkor lehet törvényes, ha a célhozkötöttség követelménye érvényesül.
Betéti (debit) kártyával rendeltetésszerű használat esetén nem végezhetők a folyószámla-egyenleget meghaladó műveletek, ezért nem indokolt és a célhozkötöttség elvét sérti, ha az ügyfél természetes azonosító adatain és személyi igazolványának számán túl a hitelintézet ilyen kártyák kibocsátását megalapozó szerződések megkötése kapcsán ügyfelei magánszféráját sértve ennél jóval tágabb adatkört kezel. Alkotmányos jog aránytalan korlátozásához nem lehet indok, hogy rendeltetésellenes használat esetén a bank kockázatot vállal: az ilyen használat lehetőségét magának az elvárható gondossággal eljáró banknak kell kizárnia. Az ilyen módon keletkezett tartozás valamint a díjigények érvényesítéséhez az ügyfél azonosító adatainak ismerete is elegendő.
Nem lehet eltekinteni attól, hogy a szóban forgó esetekben a polgár csak a bank által előírt feltételekkel, a bank által kért adatok rendelkezésre bocsátásával tehet ajánlatot (adhéziós szerződés). Ilyen szerződések esetén hiányzik az az alkufolyamat, amelynek során a ügyfél mérlegelheti, hogy a másik szerződő fél érdekeit szem előtt tartva a személyes adatokhoz fűződő alkotmányos jogának korlátozásához milyen mértékben járul hozzá.
A blankettaszerződést kidolgozó félnek tehát fokozottan ügyelnie kell arra, hogy a szerződés a másik felet csak azon adatainak kiszolgálására kötelezze, amelyek indokoltak a szerződés célját tekintve, s a többi, a szerződés által előírt adatkezelés (pl. bizonyos feltétel bekövetkezése esetén a szerződő fél adatainak továbbítása harmadik személy részére) is az ügylet céljához igazodjon. A szerződési tartalom meghatározásából kizárt polgár jogait aránytalanul korlátozó szerződési feltétel ugyanis sérti az Avtv. 7. § (1) bekezdésének a) pontját, amely szerint a kezelt személyes adatok felvételének tisztességesnek és törvényesnek kell lennie.
Ez az ajánlás csak a betéti kártya igénylésekor kezelhető adatkörre vonatkozik. Amennyiben az ügylet a bank részéről történő hitelnyújtást is magában foglal, illetve egyéb, a betéti kártyák használatával általában együttjárót meghaladó kockázatvállalással jár, akkor az ügyfél további adatainak kezelése is indokolt lehet.
IV.
Az üggyel kapcsolatban az alábbi ajánlást teszem:
Betéti kártya természetes személy számára történő kibocsátása során a kibocsátó kizárólag az ügyfél azonosításához szükséges adatokat igényelheti. Budapest, 1998. augusztus 19.
Dr. Majtényi László
(303/A/1998)
|