Több állampolgár beadványában adatvédelmi biztosi vizsgálatot kezdeményezett, kifogásolva, hogy személyes adataikat a Dunabank Rt. jogtalanul adta át az ING Bank Rt. részére.

A Dunabank Rt. 1996. február 29-én szerzõdést kötött az ING Bank Rt.-vel, melynek értelmében a Dunabank egyes szolgáltatásait a továbbiakban az ING Bank végzi. Ennek keretében az ING Bank Rt. átvette a bankszámlavezetéssel, a bankszámlaügyletekkel, valamint a készpénzt helyettesítõ fizetési eszközökkel kapcsolatos banki tevékenységet a Dunabanktól.

Az ING Bank Rt. 1996. március 1-jén értesítette az érintett bankszámla-tulajdonosokat, hogy 1996. március 1-jei hatállyal a Dunabank Rt. felsorolt üzletágait átvette. Ezt követôen az indítványozók írásban nyilatkozatot juttattak el a hitelkártya számlájukat vezetô Dunabank Rt.-hez, melyben közölték, hogy nem járulnak hozzá hitelkártya számlájuknak más bank javára történô átadásához. A panaszosok mind a Dunabanktól, mind az ING Banktól tájékoztatást kértek arról, hogy az ING Bank milyen módon került személyes adataik birtokába.

A Dunabank Rt. válaszában kifejtette: az Állami Bankfelügyelettôl engedélyt kapott, hogy meghatározott pénzintézeti tevékenységeket - az ING Bankkal kötött megbízási szerzôdés alapján - az ING Bank Rt. útján gyakoroljon. E megbízás teljesítéseként került sor a bankszámla-tulajdonosok személyes adatainak - bankszámlájuk forgalmára, egyenlegére vonatkozó adatoknak és a Dunabankkal kötött szerzôdésben szereplô egyéb adatoknak - az átadására.

Az ING Bank az ügyfeleknek írt levelében vállalta, hogy az említett adatokra vonatkozó - jogszabályokban, hatósági engedélyben, valamint a két bank között létrejött megállapodásban megkövetelt - titoktartási rendelkezéseket betartja. Az ING Bank hivatkozott arra, hogy a Dunabank Rt.-vel kötött megállapodás alapján látja el a kérdéses bankszámlák vezetését. E szerzôdéshez az Állami Bankfelügyelet is jóváhagyását adta, és ezáltal a Dunabank Rt.-tôl jogszerûen szerezte meg az ügyfelek bankszámlájával kapcsolatos adatokat.

Az indítványozók mindkét érintett bank eljárását kifogásolták. Álláspontjuk szerint személyes adataik átadásakor - mivel a Dunabank Rt. nem rendelkezett az ügyfelek megfelelô alakiságú hozzájáruló nyilatkozatával -megsértették a személyes adatok védelmérôl és a közérdekû adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (adatvédelmi törvény, a továbbiakban: Avtv.) 8. §-át, valamint a pénzintézetekrôl szóló 1991. évi LXIX. törvény (pénzintézeti törvény, a továbbiakban: Pit.) banktitokra vonatkozó rendelkezéseit.

Az indítványozók kérték, hogy - amennyiben a vizsgálat ezt igazolja - az adatvédelmi biztos állapítsa meg a jogsértés megtörténtét és szólítsa fel az adatkezelôt a jogellenes adatkezelés megszüntetésére.

1. Az üggyel kapcsolatban álláspontjának kifejtésére kértem a két pénzintézet vezérigazgatóját, valamint az Állami Bankfelügyelet elnökét.

A Dunabank Rt. vezérigazgatója válaszában a Pit. 9. § (7) bekezdésére hivatkozott, mely lehetôséget ad arra, hogy a pénzintézet a pénzintézeti tevékenységre vonatkozó jogosultságát, vagy annak meghatározott körét az Állami Bankfelügyelet engedélyével írásbeli szerzôdés alapján más pénzintézet útján is gyakorolja. Eljárását ennek alapján jogszerûnek ítélte. Tájékoztatott továbbá arról, hogy az ING Bank Rt. kötelezettséget vállalt, hogy a megbízás kapcsán az ügyfelek védett adataival kapcsolatban tudomására jutott mindennemû információt banktitokként kezeli, és csak a megbízás teljesítéséhez használja fel, illetve a megbízás teljesítése után azokat nyilvántartásából haladéktalanul törli. A Dunabank Rt. vezérigazgatója válaszában utalt arra is, hogy üzletszabályzatuk - melyben foglaltakat az ügyfelek a bankkal történô szerzôdéskötéskor magukra nézve kötelezônek fogadtak el - tartalmazza a megbízott esetleges igénybevételére vonatkozó kitételt. Álláspontja szerint az üzletszabályzat elfogadásával az ügyfelek hozzájárultak a megbízott eljárásához. Az ING Bank Rt. megbízása az ügyfelek érdekeit szolgálta, ugyanis a Dunabank Rt. 1995. év végére kialakult pénzügyi-gazdasági helyzete nem tette lehetôvé, hogy pénzintézeti tevékenységét az ügyfelek részére kellô biztonsággal végezhesse.

A beadvány eredményes kivizsgálása érdekében kértem a Dunabank vezérigazgatóját, hogy a két bank által kötött szerzôdést bocsássa rendelkezésemre. A kérésemet a pénzintézeti és az új hitelintézeti törvény rendelkezéseire hivatkozással nem teljesítette, valamint utalt arra, hogy a megállapodás részleteinek ismerete az ügy megítélése szempontjából hasznos információval nem szolgál. A Dunabank Rt. ezzel megsértette az adatvédelmi törvény 26. §(1) bekezdését, mely kimondja, hogy az adatvédelmi biztos a feladatai ellátása során az adatkezelôtôl minden olyan kérdésben felvilágosítást kérhet, és az összes olyan iratba betekinthet, adatkezelést megismerhet, amely személyes vagy közérdekû adatokkal összefügghet.

Az ING Bank Rt. vezérigazgatója hasonlóképpen úgy ítélte meg, hogy a számlatulajdonosok személyes adatainak az ING Bank általi kezelésére törvényi felhatalmazás alapján került sor. Ebbôl következôen nem sérültek a személyes adatok védelmére vonatkozó törvényi elôírások. Álláspontja szerint az adatvédelmi törvény szerint az adatkezelô fogalma az ING Bank Rt.-re is kiterjed, ebbôl következôen nem történt adatátadás, az adatkezelés abban a körben maradt, amelyet a panaszosok az eredeti számlaszerzôdés aláírásával jóváhagytak.

Dr. Tarafás Imre, az Állami Bankfelügyelet elnöke megkeresésemre írt levelében kifejtette, hogy a Dunabank Rt. kérelme alapján indult eljárásban, a Bankfelügyelet 71/1996. számú határozatában engedélyt adott arra, hogy a Dunabank az engedélyben szereplô pénzintézeti tevékenységeket az ING Bank Rt. útján is gyakorolja. A pénzintézeti tevékenység más útján történô gyakorlására vonatkozó szerzôdések megkötésének célja a pénzintézetek részérôl általában új üzletág beindítása vagy új ügyfélkör megszerzése. Ehhez képest speciálisnak tekinthetô a Dunabank Rt. eljárása, amennyiben az - a bank üzletágainak leépítése miatt - már meglévô ügyfeleket is érintett. A Bankfelügyelet elnöke hangsúlyozta, hogy az általa kiadott engedély a Dunabank számára a tevékenységnek más útján történô gyakorlására vonatkozó jogosultságot jelenti, és nem annak kötelezettségét. Kiemelte továbbá azt a tényt is, hogy az ING Bank megbízotti eljárását a Dunabank ügyfeleinek védelme indokolta. Hasonlóan a Dunabank vezérigazgatójának véleményéhez, a Bankfelügyelet elnöke is azon az állásponton volt, hogy az üzletszabályzat elfogadásával - mely szerint "a Bank az elvállalt megbízás teljesítése érdekében jogosult közremûködôt igénybe venni" - az ügyfelek hozzájárultak a megbízott eljárásához.

2. A vizsgálat során bankjogász szakértôt kértem fel, aki szakértôi véleményében kifejtette, hogy a pénzintézeti törvény egymástól elkülönítetten és önállóan szabályozza a pénzintézeti tevékenység megbízás útján történô gyakorlását és a banktitok intézményét. A megbízásos tevékenység ellátása a megbízó és a megbízott közötti jogviszonyt jelent. A banktitok megtartásának kötelezettsége a pénzintézet és ügyfelének szerzôdéses kapcsolatán alapul, melyben a megbízott harmadik személynek tekintendô. A pénzintézeti törvény értelmében harmadik személynek a bank ügyfelét érintô bármely banktitkot képezô adat akkor szolgáltatható ki, ha a Pit. felmentést ad a banktitok megtartásának kötelezettsége alól, vagy - összhangban az adatvédelmi törvénnyel - ahhoz az ügyfél, ill. törvényes képviselôje a törvényben meghatározott módon hozzájárul. Az 1991. évi LXIX. törvény 46/A. és 47. §-ában felsorolt törvényi felmentések között nem szerepel az az eset, amikor a pénzintézet a pénzintézeti tevékenységre való jogosultságát írásbeli szerzôdés alapján más jogi személy útján gyakorolja.

Nem helytálló az érintett bankok vezetôinek azon állítása, mely szerint az ügyfelek a Dunabank Rt. üzletszabályzatának elfogadásával hozzájárulásukat adták a pénzintézetek közötti adatátadáshoz. Az üzletszabályzat elfogadásával az ügyfelek nem adtak a Dunabank Rt. részére olyan felhatalmazást, mely alapot szolgáltatna a megbízással összefüggésben történt adatszolgáltatásra. A pénzintézeti törvény szerint banktitok akkor adható ki harmadik személynek, ha az ügyfél hozzájáruló nyilatkozata pontosan megjelöli a kiszolgáltatható banktitok-kört és azt közokiratba vagy teljes bizonyító erejû magánokiratba foglalták. A fenti tartalmi és formai követelményeknek megfelelô hozzájárulás jelen esetben azonban a bank és az ügyfelek között nem jött létre.

A szakértô a két pénzintézet által kötött megállapodást, valamint a Bankfelügyelet határozatát jogszerûnek találta. Megállapította ugyanakkor, hogy a Dunabank Rt. akkor járt volna el a Pit. banktitokra vonatkozó rendelkezéseinek megfelelôen, ha a megbízási szerzôdés bankfelügyeleti engedélyezését követôen errôl nemcsak értesítette volna ügyfeleit, hanem elôzetes hozzájárulásukat is kérte volna a bankok közötti adattovábbításhoz. A szakértô álláspontja szerint a mulasztás döntô részben a Dunabank Rt.-vel szemben állapítható meg, azzal a kiegészítéssel, hogy az ING Bank Rt.-nek is meg kellett volna gyôzôdnie arról, hogy fennálltak-e az adatátadás törvényi feltételei.

Az Alkotmány 59. §-a alapján a Magyar Köztársaságban mindenkit megillet a magántitok és a személyes adatok védelméhez való jog. Az Alkotmánybíróság több határozata és az Adatvédelmi Biztos Irodájának joggyakorlata a személyes adatok védelméhez való jogot - e jog aktív oldalát is figyelembe véve - információs önrendelkezési jogként határozza meg. Ennek megfelelôen mindenki maga rendelkezik magántitkainak és személyes adatainak feltárásáról és felhasználásáról. Személyes adatot tehát fôszabályként csak az érintett beleegyezésével lehet felhasználni. A magántitok és a személyes adatok védelméhez való jog azonban nem abszolút jog, azt kivételesen az Alkotmány 8. § (2) bekezdésének megfelelôen törvény korlátozhatja. Ezt az elvet fejezi ki a személyes adatok védelmérôl és a közérdekû adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 8. § (1) bekezdése is, mely szerint személyes adatok akkor továbbíthatók, valamint a különbözô adatkezelések akkor kapcsolhatók össze, ha ahhoz az érintett hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes adatra nézve teljesülnek.

A vagyonra vonatkozó adatok - így a banktitok is - az állampolgár magántitkát képezik és személyes adatnak minôsülnek. A banktitok fogalmát a pénzintézetek közötti megállapodás megkötésekor, ill. a Bankfelügyelet engedélyének megadásakor hatályos törvény, a pénzintézetekrôl és a pénzintézeti tevékenységrôl szóló 1991. évi LXIX. törvény a következôképpen határozta meg: "banktitok minden olyan, az egyes ügyfelekrôl a pénzintézet rendelkezésére álló adat, amely az ügyfél személyére, adataira, vagyoni helyzetére, gazdálkodására, valamint a pénzintézet által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzintézettel kötött szerzôdéseire vonatkozik." A rendelkezésre álló dokumentumok alapján egyértelmûen megállapítható, hogy az ING Bank Rt. a megbízotti tevékenység ellátása során banktitoknak minôsülô adatokhoz jutott, és azokat a megbízás teljesítése érdekében fel is használta. E tényt a két érintett bank egyike sem vitatta.

Az Avtv. 2. § 4. pontja szerint adatkezelésnek minôsül az alkalmazott eljárástól függetlenül a személyes adatok felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) is. Adattovábbítás az, ha az adatot meghatározott harmadik személy számára teszik hozzáférhetôvé. Az Avtv. adattovábbításra vonatkozó szabályainak megfelelôen rendelkezik a Pit. 46/A. §-a is a banktitok átadásáról. Ennek megfelelôen a banktitkot kiszolgáltató bank adatkezelônek minôsül. Az Avtv. szerint adatkezelô az, aki adatkezelést végez vagy mással végeztet. A vizsgált esetben mind a megbízott, mind pedig a megbízó adatkezelônek minôsül. A helyes értelmezés szerint a két adatkezelô tevékenysége nem tekinthetô egy adatkezelésnek.

A pénzintézeti törvény szerint a banktitok csak akkor adható ki harmadik személynek, ha a pénzintézet ügyfele vagy annak törvényes képviselôje ezt kéri vagy erre felhatalmazást ad. A felhatalmazó nyilatkozat érvényességi kelléke, hogy a kiszolgáltatható banktitok-kört pontosan megjelölve, közokiratba vagy teljes bizonyító erejû magánokiratba foglalják. A Dunabank Rt. üzletszabályzata tartalmaz egy olyan rendelkezést, mely szerint a bank az elvállalt megbízás teljesítése érdekében jogosult közremûködôt igénybe venni. Az üzletszabályzat 1. pontja értelmében az üzletszabályzat rendelkezései a szerzôdô felekre külön kikötés nélkül is kötelezôek, de azoktól az egyes szerzôdésekben a felek közös megegyezéssel el is térhetnek.

Az üzletszabályzat - mint általános szerzôdési feltételek összessége - a bank és az ügyfelek között létrejött szerzôdés részét képezi, azonban nem rendelkezik a közokirat, illetve a teljes bizonyító erejû magánokirat törvény által megkívánt kellékeivel. Az üzletszabályzat elfogadásával a bankszámla-tulajdonosok hozzájárulását tehát nem lehet megadottnak tekinteni. A hozzájárulást nem csupán alakszerûségi hiba alapján tekintjük nem létezônek, hanem azért is, mert "a Bank az elvállalt megbízás teljesítése érdekében jogosult közremûködôt igénybe venni" nyilatkozat sem jogosítaná fel a bankot arra, hogy magát a számlavezetést átadja egy másik banknak.

Az információs önrendelkezési jog gyakorlásának feltétele és egyik legfontosabb garanciája a célhozkötöttség elve. Az Avtv. 8. §-a értelmében személyes adatot az érintetten és az eredeti adatkezelôn kívüli harmadik személy számára hozzáférhetôvé tenni csak akkor szabad, ha minden egyes adat vonatkozásában az adattovábbítást megengedô összes feltétel érvényesül, így a célhozkötöttség elve is. Az adatfeldolgozás célját az adat felvétele elôtt az érintettel közölni kell, hogy megalapozottan dönthessen az adat kiadásáról. Az adatkezelés céljának megváltoztatásához az érintett hozzájárulása szükséges. Törvény kifejezett engedélye nélkül az új célú adatfeldolgozás csak akkor jogszerû, ha ahhoz - meghatározott adatra és adatkezelôre nézve - az érintett hozzájárul, ellenkezô esetben sérül az információs önrendelkezés alkotmányos alapelve. A célhozkötöttség elvébôl is az következik, hogy a banktitoknak minôsülô adatok átadásához a Dunabank Rt.-nek az ügyfelek beleegyezését kellett volna kérnie.

Az érintett hozzájárulásának hiányában személyes adat akkor továbbítható, ha törvény azt megengedi. A pénzintézetek közötti megállapodás megkötésekor hatályos törvényhely, az 1991. évi LXIX. törvény 9. § (7) bekezdése kimondta, hogy a pénzintézet a pénzintézeti tevékenységre való jogosultságát a Bankfelügyelet engedélyével írásbeli szerzôdés alapján más jogi személy útján is gyakorolhatja. Ez azonban nem tekinthetô az adatvédelmi törvényben az adattovábbítás feltételeként meghatározott törvényi felhatalmazásnak. A személyes adatok védelméhez való jogot ugyan törvény korlátozhatja, azonban e korlátozást mindig megszorítóan kell értelmezni. A Pit. 9. § (7) bekezdésének helyes értelmezése szerint, e szakasz nem ad felmentést a banktitok megtartásának kötelezettsége alól. A pénzintézeti törvény 46/A. és 47. §-a taxatíve sorolja fel azokat az eseteket, amelyekre a banktitok megtartásának kötelezettsége nem vonatkozik, ill. amelyek nem jelentik a banktitok megsértését. A vizsgált eset nem tartozik ebbe a körbe.

A pénzintézeti törvényt 1997. január 1-jétôl hatályon kívül helyezte a hitelintézetekrôl és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény. Az új törvény 232. § (6) bekezdése szerint: ha a hatálybalépéskor a hitelintézet a Felügyelet engedélyével írásbeli szerzôdés alapján pénzügyi szolgáltatási tevékenységek végzésére vonatkozó jogosultságát más pénzügyi intézmény útján gyakorolja, e jogosultságát 1997. december 31. után csak abban az esetben gyakorolhatja, ha a megbízott (bizományos) mint pénzintézet eleget tett az e törvényben meghatározott követelményeknek.

Az 1996. CXII. törvény a banktitok fogalmát a következôk szerint határozza meg: "Banktitok minden olyan, az egyes ügyfelekrôl a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerzôdéseire vonatkozik." A hitelintézeti törvény banktitokra vonatkozó rendelkezései elôírják a banktitok megôrzésének kötelezettségét, és felsorolják azokat az adatszolgáltatásokat, melyek nem jelentik a banktitok sérelmét.

A hitelintézetekrôl és a pénzügyi vállalkozásokról szóló törvény 14. § h) pontja szerint a Felügyelet engedélyével a hitelintézet pénzügyi szolgáltatási tevékenység ellátásához ügynököt vehet igénybe. Az ügynöki tevékenység során - amely egy vagy több meghatározott pénzügyi intézmény vagy bankcsoport javára folytatott tevékenység, és melynek célja a hitelintézet betétszerzési, illetôleg pénzkölcsönzô és egyéb szolgáltató tevékenységének elôsegítése - nem szenvedhetnek sérelmet az ügyfelek személyes adatai. A törvény banktitokra vonatkozó szabályai a hitelintézetek számára természetesen ekkor is irányadóak.

Az ügyben lefolytatott adatvédelmi biztosi vizsgálat tehát megállapította: azzal, hogy a Dunabank Rt. az ügyfelek banktitoknak minôsülô adatait az ING Bank Rt.-nek átadta, mindkét pénzintézet megsértette az adatvédelmi törvény valamint a pénzintézetekrôl és a pénzintézeti tevékenységrôl szóló 1991. évi LXIX. törvény elôírásait.

• Bankszámla vezetését bank egy másik banknak akkor engedheti át, ha - tekintettel a jogviszony bizalmi jellegére is - az ügyfél jogait biztosítja. Magánszemély ügyfél esetén az ilyen megállapodás akkor jogszerû, ha a személyes adatok védelmének alkotmányos és törvényi, valamint a banktitok törvényi szabályainak megfelel. Az ügyfél információs önrendelkezési jogát a banknak tiszteletben kell tartania.
• Az ING Bank Rt.-nek az ügyben érintett valamennyi ügyféltôl nyilatkozatot kell kérnie arra vonatkozóan, hogy hozzájárulnak-e személyes adataik kezeléséhez, illetve bankszámlájuknak, hitelkártya számlájuknak az ING Bank által történô további vezetéséhez. Nemleges válasz esetén az ING Bank Rt.. köteles az ügyfelek személyes adatait nyilvántartásából haladéktalanul törölni. Az ügyfeleket a bankszámla megszüntetésébôl kifolyólag a bank többi ügyfeléhez képest nem érheti kamat- és egyéb prémium veszteség.
• Az a pénzintézet, amely 1997. január 1-je elôtt ilyen megbízási szerzôdést kötött, az ügyfelei banktitoknak minôsülô adatait csak abban az esetben adhatja át a megbízott pénzintézetnek, ha ahhoz az ügyfél vagy törvényes képviselôje a banktitok-kört pontosan megjelölve közokiratba vagy teljes bizonyító erejû magánokiratba foglaltan hozzájárulását adja.

Budapest, 1997. július 1.

Dr. Majtényi László

(439/A/1996)