Adatkezelési kihívások a követeléskezelési tevékenység során


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Napjainkban a gazdasági szereplőknek sok adatvédelemmel kapcsolatos kihívással kell megküzdenie. Az egyik komoly kihívás, hogy a gazdasági szereplők a követeléskezelés során is megfeleljenek minden adatvédelemmel kapcsolatos követelménynek.


Az elmúlt években a NAIH komoly figyelmet szentelt a tömeges követeléskezeléssel kapcsolatban kialakult adatkezelési gyakorlatoknak, több iránymutató határozatot is kiadva a témával kapcsolatban.

A követeléskezelési tevékenység adatkezelése azért is kaphatott ilyen nagy figyelmet a NAIH részéről, mivel alapvetően a gazdasági szereplők és az ügyfelek pénzügyi érdekeit is komolyan érinti a tevékenység, a gazdasági szereplők oldaláról nagy a nyomás, hogy gazdaságos és hatékony megoldást találjanak a kintlévőségeik kezelésére, az ügyfelek oldaláról pedig érthető az elvárás, hogy még esetleges tartozásaik esetén is a követelések kezelésére magánéletük tiszteletben tartásával kerüljön sor.

Ami pedig az adatkezelést a követeléskezelés egyik központi kérdésévé teszi, az a körülmény, hogy személyes adatok felhasználása nélkül szinte lehetetlen a követeléskezelési tevékenység megvalósítása, így az adatkezelés jogszerűségének biztosításán keresztül a követeléskezelési tevékenység számos részének jogszerűsége is meghatározható.

Jelen cikk a NAIH gyakorlatán keresztül a tömeges követeléskezelés személyes adatok kezelésével kapcsolatos kihívásait mutatja be általánosan, eligazítást nyújtva a gazdasági szereplőknek, hogy milyen szempontokra kell figyelemmel lenniük a követeléskezelési tevékenységük tervezése során.

A cikkben ugyanakkor nem szempont az egyedi követeléskezelési tevékenység vizsgálata. Nem vitás, hogy ezen a területen is érdekes esetekkel lehet találkozni, azonban a NAIH vizsgálatai alapján is a személyes adatok kezelésével kapcsolatos jogszerűtlenségek elsősorban a tömeges követeléskezelés, tipikusan a szolgáltatói szektor tevékenysége során merül fel, több és nagyobb a hibázási lehetőség a követelések nagy számának kezelése esetén.

 

Adatkezeléssel kapcsolatos kihívások

1. Követeléskezelés formája

A követelések kezelésére több lehetséges megoldás is rendelkezésre áll. Mindig fennáll a lehetősége annak, hogy a gazdasági szereplő saját maga, saját szervezetén belül megoldja a követelések kezelését. Saját követeléskezelés során az adatvédelmi kihívások is minimalizálhatóak, nincs külső szereplő, vagy csak ügyvéd működik közre, így az adattovábbítások lehetőségét sem kell vizsgálni. Ez esetben csak a tisztességes adatkezelés követelményére kell figyelni és arra, hogy a felvett adatok valósak legyenek (adatminőség elvének érvényesítése).

Sok esetben azonban a követeléskezelés nem biztosítható saját szervezrendszeren belül hatékonyan, külső követeléskezelő cég lesz az a személy, aki eljár a követelés behajtása érdekében, ennek több formája is lehet azonban, eltérő adatvédelmi kockázatokkal.

Bevett megoldás, hogy a követelést faktorálja, vagy engedményezi a jogosult a követeléskezelő cégre. Ezek a megoldások bizonyos szinten könnyebbséget jelentenek adatkezelési szempontból, mivel a követelés jogosultja a követeléskezelő cég lesz, a gazdasági társaság kilép a követelésből és a követeléskezelő cég saját nevében lép fel, amelyre a polgári jogi szabályozás lehetőséget ad és bár átkerülnek adatok az egyik személytől a másikhoz, az adattovábbítás alapja a Ptk. lesz, ehhez nem kell az érintett külön hozzájárulása és a követeléskezelő teljes jogú adatkezelő lesz.

Sok esetben lehet viszont olyan megoldással is találkozni, amikor megbízási szerződés keretében a követeléskezelő cég a megbízó nevében eljárva arra kap felhatalmazást, hogy intézkedjen a követelés érvényesítése érdekében. Ezek a megoldások jelentik adatvédelmi szempontból a legtöbb nehézséget, a megoldások sokrétűek, de adatkezelési szempontból szűk a gazdasági társaságok és a követeléskezelők mozgástere.

A továbbiakban is a megbízási szerződésen alapuló követeléskezelést vizsgáljuk.

2. Adatkezelés, vagy adatfeldolgozás

Fontos kérdés, amelyből sok probléma is származhat, hogy adatkezelő, vagy adatfeldolgozó lesz-e a gazdasági társaság nevében eljáró követeléskezelő.

Az adat továbbításához az érintett előzetes hozzájárulása szükséges, az adat feldolgozásához a követelés jogosultjának adott adatkezelési hozzájárulás keretében dolgozza fel a követeléskezelő az adatokat. További elhatárolási szempont, hogy az adatkezelés önálló döntési jogot jelent az adatokkal kapcsolatban, az adatfeldolgozás pedig nem, az adatfeldolgozó csak az adatkezelő döntéseit hajthatja végre. A követeléskezelésre fordítva mindezt: aki meghozza a döntést, hogy sms-t, vagy levelet kell küldeni az érintettnek, az lesz az adatkezelő, aki pedig a döntés alapján kiküldi az sms-t, az adatfeldolgozó lesz.

Ez egyszerűnek is tűnhet első vizsgálatra, azonban ami problémát szül, hogy:

  • a követeléskezelés tipikusan adatkezelési tevékenységnek fog minősülni, sajátosságából fakad, hogy adatfeldolgozóként egyes tevékenységek elvégzése nem lehetséges,
  • az adatkezelési hozzájárulások megszerzésekor azonban az érintettek tipikusan nem adtak felhatalmazást az adatok továbbításához,
  • utólag ezeket a felhatalmazásokat szinte lehetetlen beszerezni,
  • ezért sok esetben adatfeldolgozás keretiben próbálják a felek az adatkezeléssel járó követeléskezelést is rendezni, ami nyilvánvalóan jogszabálysértő gyakorlatot okoz.

Sokszor tehát a felek nem megfelelően határolják el az adatfeldolgozási feladatokat az adatkezelési feladatoktól, illetve nem építenek megfelelő szerződéses követelményeket az adatfeldolgozási feladatok mellé sem. Ilyenkor a NAIH vizsgálatok is mindig rámutatnak, hogy bár a szerződés adatfeldolgozásként azonosít egy tevékenységet a szerződés egyéb részeiből egyértelműen kitűnik, hogy a megbízott jogosult döntéseket hozni a tevékenysége során (pl.: adhat fizetési kedvezményt), ezért a tevékenység adatkezelés lesz. Általános érvénnyel segíthet az eligazodásban, hogy a korai követeléskezelési tevékenység általában megfelelően részletes utasításokkal megvalósítható adatfeldolgozás keretében, a késői követeléskezelés azonban tipikusan olyan feladatokkal jár, amit adatkezelői minőséget követel meg.

Egyes területeken, mint pl.: a közüzemi szolgáltatások, pénzügyi terület jogszabályi felhatalmazás van a személyes adatok követeléskezelési célú továbbítására, ami az ügyfelek előzetes hozzájárulását kiváltja, ugyanakkor sok esetben az a probléma merül fel, hogy a jogi szabályozás hiányossága miatt az átadható adatok köre kevesebb, mint ami a teljes követeléskezelési tevékenység ellátásához szükséges lenne.

3. Adatminőség elve

Az adatminőség elve abból a szempontból érdemes külön figyelmet, hogy a követeléskezelési tevékenység nem végezhető el személyes adatok nélkül, naprakész adatok nélkül az adós nem érhető el. Régi szerződésállományok esetében viszont a gazdasági társaságok általában nem rendelkeznek olyan adatbázissal, ami pontosan tartalmazná az adósok adatait, megváltozhat az adós neve, címe, telefonszáma, email címe, a hosszú ügyintézés, a feledékenység miatt azonban ezeket a megváltozott adatokat legtöbbször nem jelentik be az ügyfelek bankjaik, közüzemi szolgáltatóik felé, és mivel a társaságok más úton az adatok változásáról nem szerezhetnek tudomást, ezért a követeléskezelésre is elavult adatokat tudnak csak átadni.

Az adatfrissítési tevékenység ezért egyre inkább a követeléskezelési tevékenység előzménye, a követeléskezelést megelőzően külső megbízott személy felkeresi az adósokat, akár személyes megkeresés útján, de megkísérli frissíteni az adatbázisokat.

Ezzel kapcsolatban arra kell külön figyelmet fordítani, hogy elterjed csalási gyakorlat az adatfrissítésnek álcázott adatlopás, így garanciális elemeket kell beépíteni az adatfrissítési tevékenységbe is. Ez a tevékenység azonban szerencsére jól körülhatárolható és megfelelő szerződés megkötésével adatfeldolgozónak is kiadható, ügyelni kell viszont a megfelelő adatkezelési tájékoztatás megtételére is, amely már tartalmazza a követeléskezelési célú adattovábbítást is.

4. Adatkezelés célhoz kötöttsége

A NAIH vizsgálatai mutattak rá, hogy még jogszerű adatátadás esetén is biztosítani kell, hogy az adatok kezelése végig tisztességes és célhoz kötött legyen. Követeléskezelés esetén ez hangsúlyosan a követeléskezelő díjával kapcsolatban merült fel, azaz megállapítást nyert, hogy a követeléskezelő a követeléskezeléssel kapcsolatos díja megfizetését nem kérheti az ügyféltől.

A NAIH ezt az alapján vezette le, hogy az ügyfél a követelés jogosultjának tartozik, így az adat is csak arra a célra adható át, hogy a jogosult követelését behajtsák, arra a célra nem használhatja fel a követeléskezelő az adatot, hogy saját költségeit is az ügyfélre hárítsa.

5. Adatkezelés tisztességessége

Az adatkezelés tisztessége is adatvédelmi követelmény, ami a követeléskezelés során annak tényleges végrehajtására ró kézzelfogható kötelezettségeket.

A tisztességes adatkezelés elve alapján a követeléskezelő nem alkalmazhat olyan eszközt, ami személyes adat felhasználásával jár, de indokolatlan beavatkozást jelent az érintett magánéletébe, nem keresheti például éjszaka az adóst.

6. Új utak, új lehetőségek a követeléskezeléssel kapcsolatban

Ha a kihívásokat a lehetőségekkel összeegyeztetjük, akkor egy meglehetősen szűk metszete alakul ki a jogszerű adatkezelésnek a követeléskezelési tevékenység során. Értelemszerűen ilyenkor felmerül az is, hogy milyen egyéb lehetőségei vannak a követelések jogosultjainak, hogy az egyes problémákat megoldják?

Az adatvédelmi rendelet miatt mindenképpen vizsgálandó, hogy az adatvédelmi rendelet szerinti jogos érdek, mint adatkezelési jogalap kiválthatja-e az érintett hozzájárulásán alapuló adattovábbítást, illetve, ha ki is váltja, a jogos érdekre alapozva pontosan milyen adatok és milyen célra adhatóak át a követeléskezelőnek?

Megfigyelhető az is, hogy pl. a közüzemi szolgáltatók, bankok elektronikus ügyintézési rendszereket fejlesztenek, aminek az is következménye, hogy a regisztrációt követően valid adatokkal rendelkeznek, és megkönnyítik az adatok frissítésének lehetőségét is.

Érdekes vetülete lesz ezzel kapcsolatban az elektronikus ügyintézésről szóló törvénynek, mivel egyes közüzemi szolgáltatók részére kötelező lesz az alkalmazása, de a pénzügyi szolgáltatók is vállalhatják a törvény alkalmazását. A gyakorlatban a törvény alkalmazása kötelezettségekkel is együtt jár, ugyanakkor nagy előny, hogy a törvény hatálya alá tartozók ügyeik intézéséhez központi azonosítási ügynök azonosítást használhatnak és elérhetik az ügyfeleik központi ügyfélregisztrációs nyilvántartásában található hivatalos kézbesítési tárhelyét, vagy egyéb, a rendelkezési nyilvántartásban megadott hivatalos elektronikus elérhetőségét (amely tértivevény szintű kézbesítést tesz lehetővé).

Nyilván ezeknek a szolgáltatásoknak a használata sem korlátoktól mentes, felveti viszont azt a kérdést, hogy használhatja-e a közüzemi szolgáltató az ügyfél hivatalos elérhetőségét követeléskezelési tevékenység céljából? Ha igen, akkor azzal az ügyfelek elérése könnyebb lehet, bár felmerülnek további kérdések is, például, hogy mennyiben férhet hozzá ezekhez az adatokhoz egy külsős követeléskezelő vállalkozás?

Külön figyelmet érdemelnek azok a piaci megoldások is, amelyek az adatbejelentések intézését könnyítik meg, ezzel is megfelelő és valid adatokat szolgáltatva a szolgáltatói szektor számára a hatékony követeléskezelési tevékenységhez.

 

A felvetett kérdésekre választ kaphat adatvédelmi rendezvényünkön, melynek során nem csak a problémák megoldásában nyújt segítséget Szerzőnk, hanem gyakorlati tippekkel is szolgál a jogszerű adatkezeléshez.


Kapcsolódó cikkek

2024. november 19.

Több mint sportjog

A legendás professzorra emlékeztek a VI. Sárközy Tamás Sportjogi Konferencián.