A Gárdos Mosonyi Tomori ügyvédi iroda szakemberei következő cikkükben a PSD2 és a GDPR viszonyát vizsgálják. Érdekes helyzetet teremt az adatáramlási normákal felforgató GDPR és az adatátadást elősegítő, sőt sürgető PSD2 együttélése.
A PSD2 alapján a számlavezető bankok kötelesek hozzáférhetővé tenni a szükséges ügyfél-adatokat (számlaegyenleg, tranzakciók stb.) a fizetéskezdeményezési és számlainformációs szolgáltatóknak (ezek az ún. „PISP” illetve „AISP” szolgáltatók, együtt a „PSD2 szolgáltatók”). A PSD2 tehát látszólag óriási adatvagyont biztosít a PSD2 szolgáltatóknak. Mennyiben korlátozzák a személyes adatok kezelésére vonatkozó előírások („GDPR”) ennek az adatvagyonnak a felhasználhatóságát?
Az Európai Adatvédelmi Testület („EDPB”) szerint a PSD2 szolgáltatók csak a GDPR-nak megfelelően juthatnak banki adatokhoz. A GDPR-nak való megfelelés szempontjából két dolognak van kiemelkedő jelentősége: a tranzakciós adatok harmadik személyekre vonatkozó adatokat is tartalmaznak (például annak a magánszemélynek az adatait, akinek a fizető fél pénzt utalt át), illetve hogy az adatok felhasználására PSD2 szerinti szolgáltatás teljesítéséhez vagy azon kívül kerül sor.
A GDPR értelmében a PSD2 szolgáltató adatkezelése akkor jogszerű, ha arra jogszabály kötelezi, az az érintettel kötött szerződés teljesítése miatt szükséges, vagy ahhoz az érintett megfelelő hozzájárulását adta (ha különösen érzékeny adatokról van szó, akkor kifejezett hozzájárulásra van szükség), de az is előfordulhat, hogy valakinek a jogos érdeke indokolja az adatkezelést.
Az EDPB úgy foglalt állást, hogy az ügyfél és a PSD2 szolgáltató között létrejövő szerződés jogszerűvé teszi az ügyfélre vonatkozó személyes adatok kezelését. A harmadik személyekre vonatkozó adatok tekintetében már a PSD2 szolgáltatók jogos érdeke igazolhatja az adatkezelést. Az EDPB szerint a PSD2 szolgáltatóknak ugyanis jogos érdeke fűződik az ügyfeleikkel kötött szerződések teljesítéséhez, ami adott esetben harmadik személyek adatainak kezelését teheti szükségessé.
Ha azonban a PSD2 szolgáltató nemcsak PSD2 szerinti szolgáltatás teljesítéséhez szeretné felhasználni a rendelkezésére álló személyes adatokat, hanem például azokat tovább szeretné értékesíteni, vagy más, a PSD2 szolgáltatások körén kívüli szolgáltatásához szeretné azokat felhasználni, akkor sem a szerződés, sem a jogos érdek nem fog már működni. Ebben az esetben az érintettek hozzájárulására lehet szükség.
A témában Suppan Márton korábban beszélgetett már Gárdos Péterrel a Fintech Világa rádióműsorban.
