PSD2 vs GDPR, avagy Schrödinger macskája a perselyben

Vendégszerzőnk cikke következik:

Varga-Tarr Sándor / marketingvezető / Számlázz.hu

Hogyan lehet valami egyszerre zárva és nyitva is? A Schrödinger macskájának is beillő felvetés arra utal esetünkben, hogy a PSD2 és a GDPR alapvető filozófiai ellentétben állnak egymással, hiszen míg az egyik arról szól, hogy a személyes adatok váljanak hozzáférhetőbbé, addig a másik az adatokhoz való hozzáférés zártabbá válására irányul. De vajon a GDPR és a PSD2 valóban összeegyeztethetetlenek? Erre keressük a választ cikkünkben.

Ahogy Edgar Allan Poe írta 1841-ben: “Kijelenthető, hogy az emberi elme nem képes olyan titkosítást kialakítani, amelyet az emberi leleményesség ne tudna megoldani.” Ez metaforaként használva egyfelől utalhat arra is, hogy az adatbiztonsági törekvések örök kihívást jelentenek minden szervezet életében, hiszen a folyamatosan fejlődő technológia újabb kihívások elé állítja a szolgáltatókat. Másfelől pedig metaforája lehet annak az ellentmondásnak, amelyet a PSD2 és a GDPRszabályozások alapelvei tartalmaznak, és amelyek ellentmondásainak feloldása jelenleg a pénzügyi és e-kereskedelmi szektor egyik fő feladata. A nyitott banki világ és az adatok még határozottabb elzárásának ütközése remélhetőleg nem okoz kvantumfizikai feloldhatatlanságot a pénzügyi szektorban, és Schrödinger macskája élve kerül ki a malacperselyből.

Mitől nyitott a PSD2?

A PSD2 által fémjelzett új, “nyitott banki” modell szerint a pénzügyi szolgáltatási szervezeteknek meg kell nyitniuk informatikai rendszereiket harmadik felek számára, hogy az új szolgáltató is innovatív fizetési és számlavezetési szolgáltatásokat nyújtson.

A hagyományos pénzügyi szolgáltatásokkal foglalkozó szervezetek számára, amelyek az elöregedő technológiai környezetben a megfelelés kihívásaival küzdenek, mindkét szabályozás következményei hihetetlenül fontosak: a PSD2 pedig példátlan verseny bevezetését tűzte ki célul. Ugyanakkor ezáltal aggályokat vet fel az ügyféladatok biztonságával kapcsolatban.

Mitől zárt a GDPR?

Míg a PSD2 a bankok megnyitásáról szól, és lehetővé teszi az új, innovatív fintech vállalatok számára, hogy a fogyasztók részére komoly szolgáltatásokat nyújtsanak, a GDPR arról szól, hogy a fogyasztók jobban irányíthassák adataik kezelését. Ez magában foglalja a jogot arra, hogy a felhasználó tájékoztatást kapjon arról, hogy az adott vállalat miként használja személyes adatait, valamint a személyes adatok törléséről vagy eltávolításáról szóló jogot, ha nincs olyan ok, ami miatt a szervezet tovább folytathatja annak tárolását és feldolgozását. Ráadásul a GDPR bevezeti az adatátviteli jogot: a fogyasztó azon jogát, hogy személyes adatait kicserélje két szolgáltató között. A két szabály filozófiai ellentétben áll egymással.

A feledés joga

Fontos ellentét továbbá a “feledés joga”, azaz a jogosultság az adat elfelejtéséhez, amikor egy magánszemély többé nem akar hozzájárulni adatai feldolgozásához, és feltéve, hogy nincs megalapozott indok annak megőrzésére, az adatokat törölni kell. Ez az egyének magánéletének védelmét kell szolgálja, ugyanakkor első olvasatra szembe megy a PSD2 irányelveivel. A 2018. május 25-én életbe lépő GDPR rendelet nem tartalmaz egyértelmű meghatározást arra vonatkozóan, hogy az adat törlése mit jelent pontosan, mikor számít egy adat töröltnek.

GDPR vs PSD2

Nyitott bankok

A PSD2 kapcsán a 2018 januárjában bevezetett nyitott banki tevékenységet a bankok 2019 októberéig kötelesek bevezetni, amely kockázatot jelent a jogszabályi megfelelés és a felhasználói kételyek eloszlatása közötti egyensúlyozásban.

Kié a felelősség?

A PSD2 során a bankok nem feltétlenül kötnek majd szerződéseket az új pénzügyi szolgáltatókkal, annak ellenére, hogy ez az új fintech cég majd kérheti, hogy a bank ossza meg vele a felhasználók bizonyos adatait. Azonban ha ezt követően a bank azt kéri, hogy a fintech vállalkozás törölje a személyes adatokat, a GDPR megköveteli, hogy dokumentálva, bizonyíthatóan törölje azokat. Kérdés, hogy ebben az esetben a bank kérheti-e a harmadik félnek számító fintech cégtől, hogy ő is törölje az adatokat, és hogyan biztosíthatja annak törlését? A PSD2 jelenleg nem tartalmaz az adatvédelemre vonatkozó rendelkezéseket viszont természetesen vontakoznak rá az uniós adatvédelmi szabályok. Ebbe tartozik az is, hogy az új pénzforgalmi szolgáltatók csak abban az esetben férhetnek hozzá a szolgáltatásaik nyújtásához szükséges személyes adatokhoz, amennyiben az ügyfelek ehhez kifejezett hozzájárulnak.

Tehát a PSD2 miatt a bankoknak nem szükséges az ügyfelek beleegyezése adataik megosztásához, viszont a GDPR esetében a harmadik fél általi adatfeldolgozáshoz szükség lesz explicit vásárlói beleegyezésre.

És ha bekövetkezik az adatszivárgás?

A PSD2-ben nincs megállapítva büntetés működési hiba esetén, hanem a felügyeleti szerveknél lehet majd panaszt tenni, amelyek jogsértés esetén szankcionálják az adott szolgáltatót. Amennyiben a szolgáltató kifejezetten a PSD2 szabályait sérti meg, akkor az Európai Bankhatóság (EBA) felé lehet jelezni a szabálysértést, és az is előfordulhat, hogy betiltják a szolgáltató működését.

A GDPR megsértése ugyanakkor a globális forgalom  4%-ának megfelelő bírságot eredményezhet (maximum 20 millió euró). És azt ismervén, hogy a bankok milyen körültekintően foglalkoznak a jogszabályi megfeleléssel, valószínűleg ez jobban fogja őket érdekelni, mint a PSD2 miatt kötelezővé váló harmadik feles együttműködések kialakítása.

Konklúzió

A PSD2 és a GDPR tehát lehetőséget teremt új adatkezelési paradigmák megalkotására. A bankoknak egy időben kell majd megfelelniük a GDPR-nak a súlyos pénzbírságok elkerülése érdekében, valamint a PSD2-nek, amely képes új banki és fintech szolgáltatások lehetőségének megteremtésére. Amennyiben sikerül ezeket a követelményeket egy olyan rendszerrel kombinálni, amely mind az adatbiztonságot, mind az ellenőrzött nyílt hozzáférést biztosítja, az győzelmet fog jelenteni a fogyasztók, a szabályozók és a vállalkozások számára egyaránt.

A cikk elkészítéséhez a törvényi szabályozások szövegei mellett forrásként használtam fel a Gárdos Mosonyi Tomori Ügyvédi Iroda (2017) által kiadott “Az átalakuló pénzforgalom és a fintech” c. kiadványt