Tényleg egy gombnyomásra törlik majd adatainkat a bankok, ha eljön a GDPR kora?

2018.05.03. 08:00 | Hírek

English version is here.

Ez egy négy részes cikksorozat harmadik része. A második cikk itt olvasható, az első pedig itt.

4 részes cikksorozatunk első részében általánosságban, második részében pedig konkrétumokkal is bemutattuk, milyen változásokat hoz a pénzügyi életünkben a GDPR. Eddig a profilozásról és az automatikus döntéshozatalról volt szó, de mi a helyzet akkor, ha otthagyjuk a bankot vagy csak az adataink törlését kérjük? Tóth-Haász Gabriella, a Bancard Kft. szakértője válaszol a Bankkártya.hu kérdéseire.

Homa Péter, Bankkártya.hu (BKHU): - Én egy pár éve megszüntettem az egyik banknál a számlámat, ami akkor talán már 17 éve működött, majd két év elteltével egy új termék miatt ismét bementem ugyanabba a bankba és a legnagyobb megdöbbenésemre az összes korábbi adatomat felajánlották a rendszerből. Biztos hogy nem a lakcímnyilvántartóból származtak az adatok, mert olyan egyedi címadatom, mint egy magán postafiók cím is szerepelt köztük. Meglepődtem, hogy miután megszakítottam a kapcsolatom a bankkal, az adataimat mégis évekig tárolták, sőt újraszerződéskor fel is kínálták. Akkor azt hittem, hogy ez szabálytalan, de ezek szerint az Infotörvény eddig ezt megengedte?

Tóth-Haász Gabriella (H.G.): - Az Infotörvény az egyik legszigorúbb adatvédelmi törvény Európában, eddig is szerepelt benne a törlésre vonatkozó előírás, inkább úgy fogalmaznék, hogy nem ebben a formában szabályozta. Ez a bizonyos végleges törlés, illetve az ügyfél joga az adatai „elfeledtetéséhez”deklaráltan eddig nem jelent meg. Tesztrendszerekben eddig is dolgoztak a bankok deperszonalizált, anonimizált adatokkal, melyek régi ügyféladatokból származtak, tehát ezek a legtöbb esetben valamilyen módon hozzáférhetőek voltak. Vagyis a bankok megtartották ezeket az adatokat és amikor arra szükség volt, akkor valamilyen inaktív állományból vissza tudták tölteni, fel tudták használni. 2018. május 25-től ezt elvileg nem tehetik meg, amennyiben az ügyfél megszakítja a kapcsolatot a bankkal és nem járul hozzá adatai további kezeléséhez. Ilyen esetben a további adatkezelésre nehéz lenne olyan jogalapot találni, aminek mentén egy inaktív ügyfél adatait mégis kezelheti egy bank (hacsak pl. a számviteli törvény nem írja elő), de ehhez kapcsolódóan még érdekesebb lesz például az ügyfelek adathordozhatósághoz való jogának gyakorlása, amely azt mondja ki, hogy az érintettnek joga van „széles körben használt, géppel olvasható formátumban” megkapnia a róla gyűjtött adatokat és azokat egy másik adatkezelőnek továbbítani. Az, hogy ezt egy bank hogy fogja megvalósítani, sokakat érdekel. Statisztikai célra persze továbbra is megtarthatja az adatokat  egy adatvédelmi azonosítóval ellátva.

BKHU: - Ezekből biztosan nem követhető majd vissza egy ügyfél?

H.G.: - Az új szabályoknak pont az a lényege, hogy az ügyfél ne legyen beazonosítható. Az előző példával élve, nem fordulhat majd elő, hogy egy évek óta szerződést bontott ügyfél, aki már nem a bank ügyfele, belép a bankfiókba és felajánlják neki a régi adatait. Egy teljesen új ügyfélként kell őt felépíteni a banki rendszerekben.

BKHU: - Ezek a bonyolult banki rendszerek, amelyek néha több alrendszerből is állnak, valóban képesek lesznek arra, hogy 2018. május 25-től ezt így megvalósítsák, ahogy beszéltünk róla? Nem utópia ez?

H.G.: - A bankok már túl kell, hogy legyenek  a felkészülési folyamat ezen részén. Ez a felkészülés jó esetben az adatkezelési folyamatok feltérképezésével kezdődött. Ennek eredményeképpen egy olyan adattérkép született, amelyből kiderül, hogy az egyes ügyféladatokat hol és hány helyen kezelik az architektúrában. Erre éppen azért volt szükség, hogy ha az adatokat törölni kell, akkor azok valóban mindenhonnan törlődjenek. Valóban  nem olyan egyszerű, hogy azt a bizonyos törlés gombot megnyomva minden rendszerből  kitörlődjön az adat

Első körben azt kell tudni, hogy az a bizonyos adat hány helyen szerepel, milyen célok mentén és milyen jogalapon  van kezelve. Ugyanis előfordulhat, hogy az egyik adatkezelési célhoz kötötten egy bizonyos rendszerben már megszűnt az adatkezelés jogalapja, egy másik rendszerben pedig még jogosan kezelik azt. Az adattérkép alapján lehet meghatározni, hogy mely adatot kell törölni és mely adatot nem. Amit viszont törölni kell, azt valóban ki kell törölni.

 

Vissza a cikkekhez

Keresés

Bank szerinti cikk szűrés

Bankkártya klub

 Email:
 Jelszó:
Elfelejtett jelszó