Lesznek olyan banki konstrukciók, melyeket akadályoz a GDPR
2018.04.26. 08:00 | Hírek |
  
|
Ez egy négy részes cikksorozat második része. Az előző rész itt olvasható.
A profilalkotás és az automatikus döntéshozatal alól kivonhatja majd magát az ügyfél az új GDPR rendelet érvénybe lépésével. Ez viszont megakadályozhatja, hogy bizonyos banki szolgáltatásokat igénybe vehessen. Cikksorozatunk első részében általánosan beszélgettünk a GDPR-ról, most pedig bemutatjuk a részleteket Tóth-Haász Gabriella, a Bancard Kft. szakértőjének közreműködésével.
Homa Péter, Bankkártya.hu (BKHU): - A cikksorozat előző részében eljutottunk odáig, hogy az ügyfél kérheti, hogy rá ne vonatkozzon a profilozás vagy az automatikus döntéshozatal. Ezzel valóban kizárhatja magát egyes banki termékekből és szolgáltatásokból is?
Tóth-Haász Gabriella, Bancard Kft. (H.G.): - Egy webáruházban el lehet dönteni, hogy egy gombbal ki- vagy bekapcsoljam azt a funkciót, hogy ne ajánljon fel terméket, inkább majd én kiválasztom és megveszem, amire szükségem van. A GDPR rendelet szerint az ügyfélnek joga van előzetesen megtudni azt, hogy rá a profilozás vagy a profilozás kikapcsolása milyen jogkövetkezményekkel jár. Ilyenkor egy webáruháznál ki lehet írni, hogy mivel kikapcsolta a vásárló a profilozást, ezért számára nem tud személyre szabott termékeket ajánlani, de továbbra is igénybe veheti a webáruház szolgáltatásait a menüből.
Amennyiben azonban egy bank terméke kifejezetten a profilozásra épül, mert mondjuk egy olyan bonyolult kockázatkezelési algoritmus működik mögötte, amit ha kikapcsolunk, kockázati szempontból nem használható a termék, akkor egy bank bizony mondhatja azt, hogy ha az ügyfél a profilozáshoz nem járul hozzá, akkor nem tudja számára nyújtani ezt a szolgáltatást.
BKHU: - Honnan fogja tudni az ügyfél, hogy ezzel mely banki konstrukciókból zárja ki magát?
H.G.: - A kizárás egy olyan jogkövetkezmény, amelyre előzetes tájékoztatásban kell felhívni az ügyfél figyelmét. Azért lehet sejteni, hogy ezzel a jogával valószínűleg nagyon kevés ügyfél fog élni ha valóban igénybe szeretné venni a banki szolgáltatásokat, ráadásul ezt minden bank nagyjából egységesen fogja kezelni, hiszen a bankok kockázatkezelési gyakorlatában alapvető eltérések nincsenek. Tehát ha egy bizonyos típusú szolgáltatást - amihez profilozni kéne, - az adatkezelés megtagadása miatt nem vehetek igénybe az egyik bankban, akkor valószínűleg öt másik bank is ugyanezt fogja válaszolni. Így ha mégis igénybe akarom venni azt a szolgáltatást, akkor valamelyik banknál előbb-utóbb hozzá kell majd járulnom a profilalkotáshoz.
BKHU: - Mire kell egy banknak vagy pénzügyi szolgáltatónak figyelnie még a GDPR kapcsán?
H.G.: - Amiről még fontos beszélni, és ami talán markánsabban az IT rendszereket fogja érinteni, az az ügyfél joga az adatai törléséhez, illetve ahogy a rendelet fogalmaz, az „elfeledtetéshez való jog”. Eddig ez úgy működött a bankok esetében, hogy az ügyféladatot archiválták, de nem törölték, legalábbis adatbázisból fizikailag, visszaállíthatatlanul biztosan nem.
Márpedig mostantól ehhez joga lesz az ügyfélnek, így itt egy olyan felkészülésre van szükség, ami a banki IT rendszereket érintő folyamatokra eddig nem volt jellemző. Itt valóban visszaállíthatatlan törlési folyamatról van szó, tehát ha valaki megnyomja azt a bizonyos gombot, akkor az ügyféladatok valóban törlődnek majd. Ezt követően sehogy máshogy nem lesznek visszaállíthatóak, sem archiválva, sem elmentve bármilyen adathordozón – beazonosíthatatlanul, egy adatvédelmi azonosítóval ellátva tarthatóak meg a továbbiakban pl. statisztikai célokra. Ez egy olyan szabály, amivel tudomásunk szerint sok bank küzd még, de a fejlesztés már a tesztelés fázisában jár több helyen ezzel kapcsolatban. A cél egy olyan megoldás kialakítása, amellyel a prudens banki működés nem sérül, de az adatvédelmi rendeletnek is megfelel.