Elképesztő dolog derült ki a bankokról: súlyos visszaéléseket titkolhattak eddig?

A sok elmarasztaló határozat ellenére sem tűnik úgy, hogy a bankok gondosabban járnának el vagy jobban odafigyelnének arra, hogy betartsák a szabályokat és tiszteletben tartsák ügyfeleik jogait. Az adatvédelmi hatóság legutóbb 2024 február végén marasztalt el egy nagybankot.

Ez különösen fontos kérdés, mivel Magyarországon mintegy 8 millió ember bankszámláit vezetik a bankok. Ezeken 11 ezer milliárd forint lakossági betétet és 9 ezer milliárd forint lakossági hitelt tartanak nyilván, évi kétmilliárd tranzakció eredményét számítják ki. Emellett számos más adatot is tárolnak rólunk, például szenzitív vásárlásainkról és igénybe vett egészségügyi szolgáltatásokról szóló információkat. Az ügyfélszolgálatot felhíva több bank esetében is arról kapunk tájékoztatást, hogy a beszélgetés hangfelvételét elemzik. Nem mindegy tehát, hogy mit tehetnek meg ezekkel az adatokkal.

A GDPR 2018-tól lehetővé teszi akár az éves forgalom 4 százalékát kitevő bírság kiszabását is az adatvédelmi szabályok megszegőivel szemben. A bankok esetében ezermilliárdokban mérhető forgalom alapján lenne számítandó a bírság az adatkezelési szabály-sértések miatt.

A bírságok célja elsősorban generál- és speciálprevenció lenne: visszatartani a bankokat további jogsértésektől. Azonban Magyarországon az adatvédelmi hatósági gyakorlat nem használja ki teljes mértékben ezt a lehetőséget. A kiszabott bírságok relatíve alacsonyak maradnak, így nem csoda, ha sokszor azt érezheti az ember, hogy nincs visszatartó erejük.

A bankok számára úgy tűnik, matematikai-pénzügyi kérdésként merül fel: érdemes-e elkölteni évi 100 forintot arra, hogy betartsák az adatvédelmi szabályokat? Ha nem tartják be őket, akkor legfeljebb 5 forintot kell bírságra kifizetniük. Erre pénzügyileg helyes – de etikailag kifogásolható – válaszuk gyakran az: nem érdemes költeniük többet.

A Nemzeti Bank mint pénzügyi szervezeteket felügyelő szerv semmit nem tesz adatvédelmi kérdésekben. Ismert olyan eset is, amikor beazonosíthatatlan személy hívogatja telefonon állampolgárokat pénzügyi szolgáltatásokat kínálva anélkül, hogy elárulná honnan szerezte meg telefonszámukat vagy milyen cég megbízásából telefonálnak.

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) több alkalommal marasztalt el bankokat; ezek a határozatok nyilvánosak és megtalálhatók honlapjukon. A „nyilvánosság ereje” lehetne egy visszatartó erő is arra nézve, hogy garantálja: betartsák a személyes adatok kezelésére vonatkozó szabályokat.

Azonban hiába böngészné bárki ezeket a határozatokat abban bízva, hogy talál fogódzót ahhoz melyik bankot válassza – sok esetben ugyanis nem derül ki melyik bankról van szó. Ez azért van így mert üzleti titokká minősítik azon adatokat amelyekből következtetni lehetne rájuk – miközben ezek nyilvánosan hozzáférhetők más forrásból.

A lakossági hitelfelvétel makroszinten fontos tényező gazdasági működés szempontjából; családok számára pedig mindennapi szükségletek biztosítása érdekében lényegesek – hasonlóan áramellátáshoz vagy internethez való hozzáféréshez. Előfordult olyan eset amikor indokolás nélkül utasítottak el hitelfolyamodványt; ügyfél kérése ellenére sem közölték hitelbírálati szempontokat vagy vizsgálati eredményeket – rendelet szerint erre nincs kötelezettségük így kivételt képezve GDPR személyes adatokhoz való hozzáférési szabálya alól.

GDPR egyik fontos célkitűzés volt harmadik országbeli giga-adatkezelők EU-polgárokkal kapcsolatos adatkezelésének „megregulázása” ezen keresztül pedig EU-s digitális szolgáltatási piacon egyenlő versenyfeltételek megteremtése EU-s illetve harmadik országbeli gigantikus méretű adatkezelők számára.

Nyugati-európai országokban látványos változásokat hozott GDPR; ottani hatóságok euró-százmilliós illetve egymilliárd eurónál nagyobb bírságokat róttak ki némely kolosszális méretű adatkezelőkre megfelelő nyilvánossággal párosulva. Magyarországi helyzet alapján azonban úgy tűnhet mintha GDPR „beletört volna bicskája” hazai banki adatkezelésbe inkább jogalkalmazási mintsem szabályozási szinten.

Nehéz elképzelni valakit aki fentiek olvasása után azt gondolná „milyen jól működik GDPR”. Könnyebb elképzelni viszont azt aki bosszantónak találja helyzetet mondván „Ja persze Magyarország”. Felmerül kérdés vajon érdemes lenne-e próbálkozni Nyugat-Európában bevált módszerekkel: visszatartó erejű bírságokkal valamint jogsértések nyilvánosságra hozatalával?