Nem volt megfelelő a Raiffeisen adatkezelése

A NAIH 25.000.000,- Ft bírságot szabott ki a Raiffeisen Bankra és hangsúlyozta, hogy pusztán az, hogy egy adatkezelés az érintett számára előnyös vagy előnyökkel járhat, még nem teszi jogszerűvé az adatkezelést.


Az alapügy

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2018. november 28-án hivatalból vizsgálatot indított a Raiffeisen Bank MiFID-kérdőívekkel
kapcsolatos általános adatkezelési gyakorlatának vizsgálatára.  A hivatalból indított vizsgálati eljárást 2019. március 26-án zárult le és ezzel egyidejűleg hivatalból adatvédelmi hatósági eljárást indult a Raiffeisen Bank befektetési szolgáltatási tevékenysége során alkalmazott megfelelési és alkalmassági tesztekkel (a
továbbiakban együttesen: MiFID-teszt vagy MiFID-kérdőív) összefüggésben végzett adatkezelésének az általános adatvédelmi rendeletben (a továbbiakban: GDPR) foglalt előírásoknak való megfelelésének vizsgálatára.

A megfelelési tesztben a Raiffeisen Bank felméri az ügyfél által ismert szolgáltatásokat, ügyeleteket és pénzügyi eszközöket, vizsgálja az ügyfél által korábban végrehajtott ügyletek jellemzőit, megvizsgálja, hogy az ügyfél rendelkezik-e releváns pénzügyi ismerettel vagy szakmai tapasztalattal, annak érdekében, hogy valóban a számára megfelelő ügylettel vagy pénzügyi eszközzel kapcsolatos szolgáltatást nyújtson.

Az alkalmassági teszt célja az ügyfél befektetési céljainak, kockázatviselési hajlandóságának, pénzügyi helyzetének, veszteségviselő képességének, valamint tapasztalatainak és ismereteinek felmérése, illetve a szolgáltatásokhoz és a termékek természetéhez kapcsolódó kockázatok megértésének és azok értékelésére való képességének vizsgálata. A felvett személyes adatok kezelésének célja, hogy a Raiffeisen Bank a befektetők védelme érdekében képes legyen az ügyleti megbízások alkalmával tájékoztatást, visszajelzést adni az ügyfélnek arról, hogy az adott ügylet mennyire illeszkedik a kockázatviselő, teherviselő képességébe, illetve a termékkel kapcsolatos ismeretei mennyire elegendők az ügylet lebonyolításához. További cél, hogy a Raiffeisen Bank a jogi kötelezettségeinek, köztük célpiac vizsgálati kötelezettségének és a felügyeleti elvárásoknak – MNB, ESMA ajánlások, amelyek a befektetők védelmét, a pénzintézetek prudens
működését írják elő – és a cégcsoportja előírásainak meg tudjon felelni.

Az adatkezelés jogalapja részben a Raiffeisen Bank jogi kötelezettségének teljesítése, részben jogos érdekének érvényesítése, részben az ügyfelekkel kötött
szerződés teljesítése. A jogos érdek igazolására szolgáló érdekmérlegelési tesztet a Raiffeisen Bank benyújtotta a NAIH-nak

A Raiffeisen Bank referense a MiFID-teszt személyes kitöltésekor szóban tájékoztatja az ügyfelet a MiFID-teszt lényegéről és céljáról, illetve magán a nyomtatványon is található egy rövid tájékoztató. A MiFID-teszt honlapon való kitöltésekor a honlapon található meg a tájékoztatás. A MiFID-tesztekben felvett személyes adatok kezelésével kapcsolatban a honlapon található Adatvédelmi és adatkezelési tájékoztató ad iránymutatást, valamint a nem
kifejezetten adatvédelmi szempontú MiFID Ügyféltájékoztató is tartalmaz adatkezelési szabályokat.

Kifejezetten a MiFID tesztekben megadott személyes adatok kezelésével kapcsolatban önálló tájékoztató nem készült, mivel a Raiffeisen Bank álláspontja szerint nincs erre vonatkozó jogszabályi kötelezettsége.

A Raiffeisen Bank a befektetési szolgáltatást igénybe vevő lakossági ügyfeleit három csoportba sorolja: mass, premium és private kategóriába. Az ügyfélkategória megváltoztatására az ügyfél választása szerint – és bizonyos vagyoni, jövedelmi feltételek fennállása mellett – bármikor sor kerülhet a meglévő jogviszony megszüntetésével és az új jogviszonyra vonatkozó szerződés megkötésével.

A Raiffeisen Bank a mass ügyfélcsoport részére nem nyújt sem befektetési tanácsadási, sem portfóliókezelési szolgáltatást, így az ezen ügyfélcsoportba tartozó ügyfelekkel nem tölteti ki az alkalmassági, csak a megfelelési tesztet.

Bizonyos jövedelmi vagy vagyoni feltételek fennállása esetén az ügyfél választása szerint szerződhet a premium vagy private banking ügyfélkiszolgálást tartalmazó
szolgáltatásra. Az ezen kategóriákba tartozó ügyfelek előnyökben részesülnek a mass kategóriához képest, különböző kedvezményeket kapnak, például személyesebb kiszolgálást – saját kapcsolatartójuk van –, tanácsadást is igénybe vehetnek.

A NAIH döntése

Az adatkezelés jogalapja

1. Jogi kötelezettség teljesítése

A MiFID-tesztek alkalmazásának kötelezettségét a Bszt. ültette át a magyar jogba. A jogszabály úgy rendelkezik, hogy a befektetési vállalkozás köteles kitöltetni az alkalmassági tesztet az ügyfelével, amennyiben a részére befektetési tanácsadást nyújt vagy portfóliókezelést végez. A befektetési vállalkozásnak akkor is ki kell
töltetnie az ügyfeleivel a megfelelési tesztet, ha bármilyen, a befektetési tanácsadástól és portfóliókezeléstől különböző szolgáltatást nyújt az ügyfeleinek, azonban vannak kivételek.

Az alkalmassági tesztben megadott személyes adatok kezelése a Raiffeisen Bank jogi kötelezettsége a Bszt. 44. § (1) bekezdése alapján, ha befektetési tanácsadási vagy portfóliókezelési szolgáltatást nyújt az ügyfelének. Befektetési tanácsadás nyújtása vagy portfóliókezelés hiányában azonban az alkalmassági tesztben megadott személyes adatok kezelése már nem a Raiffeisen Bank jogi kötelezettsége, így a premium és private ügyfelei alkalmassági tesztben megadott adatait a jogos érdeke alapján kezeli.

2. Jogos érdek

A Bank jogos érdekén alapuló adatkezelésének célja az érdekmérlegelési teszt szerint a jogszabályoknak, PSZÁF, MNB és ESMA ajánlásoknak való megfelelés, a befektetők/ügyfelek védelme, valamint a prudens működés biztosítása.

Az állásfoglalásoknak való megfelelés alatt a Bank az MNB és az Európai Értékpapír-piaci Hatóság (a továbbiakban: ESMA) ajánlásainak való megfelelést érti. A NAIH rögzítette, hogy az ajánlások nem minősülnek jogszabálynak, azok jogi kötelezettséget nem keletkeztethetnek.

A Bszt. 44-46. §-ai nem írják elő a Bank számára, hogy abban az esetben is töltesse ki az ügyfelével az alkalmassági tesztet, ha az ügyfél nem vesz igénybe olyan szolgáltatást, amelynek nyújtásához az alkalmassági tesztben foglalt adatok szükségesek.

A Bszt. 45. §-a a megfelelési tesztre vonatkozik, amelyet a Raiffeisen Bank jogi kötelezettsége alapján valamennyi ügyfelével kitöltet, míg a Bszt. 46. §-a azt szabályozza, hogy milyen eljárást kell követnie a Raiffeisen Banknak, ha a megfelelési teszt alapján a szerződésben foglalt pénzügyi eszköz vagy ügylet nem megfelelő az ügyfél számára, vagy az ügyfél nem tölti ki vagy elégtelenül tölti ki a megfelelési tesztet.

Ezen jogszabályi rendelkezésekből azonban nem következik olyan kötelezettség, amely szerint a Raiffeisen Banknak az advisory szolgáltatást igénybe nem vevő ügyfeleivel is ki kellene töltetnie az alkalmassági tesztet, amit maga a Raiffeisen Bank is elismert az érdekmérlegelési teszt bevezetőjében, miszerint „explicit jogszabályi kötelezettség nélkül is kitölteti az Ügyfeleivel a megfelelési tesztet és az alkalmassági tesztet”.

A Raiffeisen Bank az érdekmérlegelési teszt II.1. pontjában rögzíti, hogy a premium és private ügyfelektől az alkalmassági tesztben felvett személyes adatok kezelése szükséges ahhoz, hogy a célpiac vizsgálat elvégzési kötelezettségének eleget tegyen. Álláspontja szerint, ha az adatkezelés elmaradna, úgy nem tudna eleget tenni a jogszabályi kötelezettségének.

A NAIH hangsúlyozta, hogy amennyiben egy adatkezelés ahhoz szükséges, hogy az adatkezelő a jogszabályi kötelezettségeinek eleget tegyen, a rá vonatkozó jogszabályi előírásoknak megfeleljen, úgy az adatkezelésének a jogalapja a GDPR 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettsége. Az adatkezelő jogos érdeke kizárólag olyan érdek lehet, amely nem jogszabályi vagy szerződéses kötelezettségből ered, mivel ezekben az esetekben az adatkezelés nem a jogos érdek érvényesítését, hanem a jogi kötelezettség vagy a szerződés teljesítését szolgálja.

A Raiffeisen Bank nem definiálta, hogy mit ért célpiac vizsgálat alatt: azt a termék-jóváhagyási folyamatot, melynek eredményeként meghatározza a termék célpiacát, vagy a célpiac ellenőrzését, vagyis annak vizsgálatát, hogy az ügyfél beleesik-e annak a terméknek a negatív vagy pozitív célpiacába, amelyre megbízást kíván adni. A termékirányítás alapelveiről szóló V-6/2018. számú vezérigazgatói utasítás sem használja a célpiac vizsgálat fogalmát, ehelyett célpiac meghatározásról és célpiac ellenőrzésről beszél. Ebből kifolyólag az sem azonosítható, hogy a Raiffeisen Bank pontosan mely kötelezettségének nem tudna eleget tenni az adatkezelés hiányában. Ezen felül azt sem fejtette ki és nem indokolta meg, hogy miért nem tudna eleget tenni a célpiac vizsgálati kötelezettségének, miért nem tudná meghatározni az általa előállított és forgalmazott termékek célpiacát vagy a célpiac ellenőrzését elvégezni, ha a premium vagy private
kategóriába tartozó, advisory szolgáltatást igénybe nem vevő ügyfelekkel nem töltetné ki az alkalmassági tesztet.

A Raiffeisen Bank bizonyos termékek kapcsán csak forgalmazó, míg más termékek esetében előállító és forgalmazó. Mindkét esetben fennáll a célpiac meghatározási kötelezettsége. Az ESMA35-43-620 ajánlás 34-37. pontjai szerint forgalmazóként a tényleges célpiacot kell meghatározni, és a célpiac meghatározásakor figyelembe kell venni, hogy a forgalmazó milyen ügyféltípusnak nyújt befektetési szolgáltatásokat, tehát a döntését többek között a saját ügyfélbázisára vonatkozó meglévő információkra és ismeretekre kell alapoznia. Ehhez fel kell használnia minden észszerűen hasznos és elérhető információt és adatot, amely a rendelkezésére áll, illetve amely befektetési és kiegészítő szolgáltatások révén összegyűjthető.

A NAIH szerint az ESMA35-43-620 ajánlás fenti pontjaiban foglaltakból azonban nem következik olyan adatok felvétele az ügyfelektől, amelyek kifejezetten nem
szükségesek az ügyfél által választott szolgáltatás nyújtásához, valamint az ezen szolgáltatáshoz kapcsolódóan előírt jogi kötelezettségek teljesítéséhez. Fontos, hogy az ajánlások semmilyen esetben nem írhatják felül a jogszabályi rendelkezéseket, és azok értelmezése nem vezethet olyan eredményre, amely jogszabállyal ellentétes vagy jogszabályból nem vezethető le.

A NAIH a Raiffeisen Bank vezérigazgatói utasítása alapján azt állapította meg, hogy a célpiac ellenőrzésének elvégzését nem akadályozza, ha a premium vagy private kategóriába tartozó ügyfél nem tölti ki az alkalmassági tesztet, mivel az korlátozottan, de elvégezhető, ahogyan arra a mass ügyfélkategóriába tartozó ügyfelek vonatkozásában, a megfelelési teszt kitöltésekor sor kerül.

A befektetők, ügyfelek védelme mint jogos érdek

A Raiffeisen Bank álláspontja szerint az, hogy az advisory szolgáltatást igénybe nem vevő premium és private ügyfelek által az alkalmassági tesztben megadott személyes adatokat kezeli, azt a célt is szolgálja, hogy „az egyes ügyfeleinek csak és kizárólag olyan szolgáltatásokat nyújtson, amelyek összhangban vannak az adott ügyfél speciális igényeivel és esetleges teherbíró képességével, ezáltal pedig megnövekedjen az átláthatóság, erősödjön a bizalom a befektetési szolgáltatásokban és a Bankban.

A Raiffeisen Bank álláspontja szerint az érintettekre nézve „nagyon komoly hátrányokkal járna” az adatkezelés elmaradása, mivel az alkalmassági tesztekben megadott adatok hiányában az ügyfelek nem rendelkeznének információval az egyes megkötni tervezett ügyletekről, így pedig az ügyfelek bizonyos szegmense sokkal kitettebb lenne az egyes befektetési kockázatoknak.

A NAIH nem fogadta el a fenti érvelést, mivel a Raiffeisen Bank nyilatkozata szerint a non-advisory ügyletek esetén is nyújt általános tájékoztatást az ügyfeleknek az általuk választott ügyletekről, valamint azoknak a lehetséges alternatíváiról, amely információszolgáltatás független attól, hogy az ügyfél kitöltötte-e az alkalmassági tesztet, mivel a mass ügyfélcsoportnak kizárólag ilyen szolgáltatást nyújt.

A Raiffeisen Bank termékirányítás alapelveiről szóló […] vezérigazgatói utasítás B.4. pontja szerint a célpiac ellenőrzése során nem csak az ügyfélre vonatkozó adatokat kell figyelembe vennie, hanem a termék vonatkozásában meghatározott célpiaci és forgalmazási stratégiát is, amelyben rögzítésre kerül, hogy a termék milyen ügyféltípus számára (lakossági, szakmai ügyfél vagy elfogadható partner), milyen forgalmazási csatornán (execution only, nonadvisory, advisory), mely kategóriába tartozó ügyfelek részére értékesíthető.

Tekintve, hogy a befektetővédelmi intézkedések célja az ügyfelek védelme a számukra nem megfelelő ügyletek megkötésétől, ezért az elsősorban nem a Raiffeisen Bank, hanem az ügyfelek érdekeit szolgálja.

A NAIH értékelése szerint a Raiffeisen Bank részéről túlterjeszkedő, paternalista döntés, hogy a jogszabályok által megkövetelt védelmi szintnél kötelezően magasabb védelmi szintet biztosít a kizárólag non-advisory szolgáltatást igénybe vevő premium vagy private ügyfelei részére. Az érdekmérlegelési teszt, és a Raiffeisen Bank nyilatkozatai sem mutatták be, hogy miért tesznek különbséget az ugyanolyan szolgáltatásokat igénybe vevő mass, premium és private ügyfelek között, mi indokolja az utóbbi két kategóriába tartozó ügyfelek fokozottabb védelmének – és alkalmassági tesztben megadandó személyes adataik kezelésének – szükségességét.

A NAIH leszögezte, hogy a jogszabályok által meghatározott védelmi szintnél fokozottabb védelem jogszerűen biztosítható, de önmagában az, hogy egy adatkezelés az érintett számára előnyös vagy előnyökkel járhat, még nem teszi jogszerűvé az adatkezelést. A NAIH ezért arra az álláspontra helyezkedett, hogy az ügyfelek szabad belátására kell bízni, hogy kívánnak-e a jogszabályban meghatározottnál magasabb szintű védelemben – előnyben – részesülni, vagy nem. Amennyiben igen, úgy a premium és private ügyfelek dönthetnek úgy, hogy kitöltik az alkalmassági tesztet akkor is, ha egyébként nem vesznek igénybe olyan szolgáltatást, amely miatt az szükséges lenne, így biztosítva az információs önrendelkezési joguk érvényesülését.

A prudens működés, mint jogos érdek

Az érdekmérlegelési tesztben foglaltak szerint a Raiffeisen Bank „igyekszik különös figyelmet fordítani arra is, hogy minden esetben a lehető legteljesebb mértékben megfeleljen a jogszabályoknak, illetve az azok mögött megbúvó jogalkotói szándék elvárásainak is. Ennek keretein belül pedig bizonyos esetekben explicit jogszabályi kötelezettség nélkül is, a befektetők érdekeit szem előtt tartva igyekszik olyan védelmi mechanizmusokat beépíteni a működésébe, amely
elősegíti a felelős, prudens operációt.

A Raiffeisen Bank nyilatkozata szerint az adatkezelés hiányában nem tudna megfelelni a cégcsoportja által meghatározott belső prudencia követelményeknek, továbbá nem tudná a saját befektetési szolgáltatásait olyan módon nyújtani, amely megfelelne a saját biztonsággal kapcsolatos elvárásainak, illetve kevésbé védené a saját ügyfelei érdekeit, ezáltal pedig a belévetett közbizalom is nagyban csökkenne.

A NAIH álláspontja szerint, ha a Raiffeisen Bank a Bszt.-ben támasztott befektetővédelmi követelményeknél magasabb szinten kívánja biztosítani az ügyfelei védelmét, az méltányolható érdek lehet, azonban ahhoz pontosan meg kell határoznia a nyújtani kívánt biztonság szintjét, azt, hogy az hogyan és milyen módon érhető el, és bizonyítania kell, hogy ezen érdek érvényesülését hogyan és milyen módon szolgálja az adatkezelés. Az érdekmérlegelési teszt szükségességi részében nem került alátámasztásra, hogy az adatkezelés a prudens működése érdekében szükséges-e, illetve, hogy miért biztosítható az adatkezelés folytatásával jobban a prudens működés, mint az adatkezelés hiányában.

Az, hogy a Raiffeisen Bankba vetett közbizalom csökkenne, amennyiben nem kezelnék a kizárólag advisory szolgáltatást igénybe vevő premium és private besorolású ügyfelei alkalmassági tesztben megadott személyes adatait, távoli és eshetőleges veszély, amelynek elkerülésére való törekvés nem teszi szükségessé a személyes adatok kezelését.

Az érdekmérlegelési teszt III.3. pontja szerint a kizárólag non-advisory szolgáltatást igénybe vevő premium és private ügyfelek alkalmassági tesztben megadott személyes adatinak kezelése az ügyfelekre nézve közepes kockázattal jár. Ennek kapcsán a Raiffeisen Bank nem határozta meg a skálát, amelyen közepes kockázatúként azonosította az adatkezelést, nem hozott példákat arra, hogy milyen adatkezelést tekint alacsony vagy magas kockázatúnak, ezek hiányában pedig az adatkezelés kockázati besorolása nem megalapozott, így a kockázati besorolás megfelelősége nem ítélhető meg.

A NAIH megállapította, hogy a Raiffeisen Bank sehol nem nyújtott tájékoztatást a kizárólag non-advisory szolgáltatást igénybe vevő ügyfeleinek arról, hogy az általuk az alkalmassági tesztben megadott személyes adataikat a jogos érdeke alapján kezeli, így azzal sem lehetnek tisztában, hogy tiltakozhatnak az adatkezelés ellen, így pedig az adatkezelés arányosságának vizsgálatakor figyelembe vett egyik szempont nem teljesül.

A fentieken túlmenően a Raiffeisen Bank az eljárás során tett nyilatkozataiban arra is hivatkozott, hogy életszerűtlen lenne, ha a premium és private ügyfeleivel a keretszerződés megkötésekor csak az alkalmassági tesztet töltetné ki, mivel a részükre való befektetési tanácsadás nyújtása a mindennapi ügyvitel részét képezi. A Raiffeisen Bank ezen érvelése magában az érdekmérlegelési tesztben nem jelent meg, de a NAIH hangsúlyozza, hogy kényelmi szempontok önmagukban nem tesznek jogszerűvé egy adatkezelést, ha a nyújtott szolgáltatás igénybevételéhez nincs szükség a kezelt személyes adatokra.

Az érintett szerződés teljesítése, mint jogalap

A NAIH álláspontja szerint kizárólag azok a személyes adatok kezelhetők szerződéses jogalapra hivatkozással, amelyek elengedhetetlenek a szerződés teljesítéséhez, azaz az adatok kezelése és a szerződés teljesítésének célja között közvetlen és objektív kapcsolatnak kell lennie. Az ügyfelek által a befektetési szolgáltatások igénybevételére irányuló keretszerződés keretein belül adott megbízások végrehajtásához – a Bszt.-ben foglalt befektetővédelmi szabályok hiányában – nem lennének szükségesek a megfelelési és alkalmassági tesztben foglalt adatok, mivel például ahhoz, hogy az ügyfél számára megvegyenek egy értékpapírt, ahhoz nem szükséges a legmagasabb iskolai végzettség, mint személyes adat kezelése.

A szerződés jogalapja nem alkalmazható olyan esetekben, amikor az adatkezelésre valójában nem a szerződés, hanem az adatkezelőt terhelő jogi kötelezettség teljesítése miatt van szükség.

A fentiekből kifolyólag a megfelelési és alkalmassági tesztekben felvett személyes adatok nem a Raiffeisen Bank és az ügyfél közötti szerződés alapján, annak teljesítése érdekében kezelhetők, hanem a GDPR 6. cikk (1) bekezdés c) pontja, valamint a Bszt. 44. § (1) bekezdése és 45. § (1) bekezdésén alapuló jogi kötelezettség miatt kezelendők.

A NAIH a fenti megállapításokból arra a következtetésre jutott, hogy a Raiffeisen Bank nem rendelkezik jogalappal a kizárólag non-advisory szolgáltatást igénybe vevő ügyfelek által az alkalmassági tesztben megadott személyes adatok kezelésére, ezzel pedig megsértette a GDPR 6. cikk (1) bekezdését.

A MiFID kérdőívekben felvett személyes adatok kezeléséről nyújtott tájékoztatás

A Raiffeisen Bank több dokumentumban, széttagolva, nem azonos – de részben átfedő – tartalommal nyújt tájékoztatást a MiFID-kérdőívekben felvett személyes adatok kezeléséről, tehát a különböző dokumentumokban található információk mind relevánsak.

Az Adatvédelmi tájékoztatóból egyáltalán nem derül ki, hogy konkrétan a MiFID-tesztekben nmegadott személyes adatok kezelésének mi a jogalapja, holott elnevezése alapján az érintettek elsősorban ezen dokumentumot olvassák el, ha tájékozódni szeretnének a Raiffeisen Bank által végzett adatkezelésről. Az Üzletszabályzat már tartalmazza, hogy a megfelelési tesztben megadott adatokat a Raiffeisen Bank jogszabályi kötelezettsége alapján kezeli, és ugyanezt rögzíti az
alkalmassági és megfelelési teszt vonatkozásában az Ügyféltájékoztató az advisory szolgáltatások (befektetési tanácsadás és portfóliókezelés) vonatkozásában.

Egyik dokumentum sem tartalmaz azonban olyan tájékoztatást, miszerint a premium vagy private ügyfélkategóriába tartozó, kizárólag non-advisory szolgáltatást igénybe vevő ügyfeleknek az alkalmassági tesztben megadott személyes adatait a Raiffeisen Bank jogos érdeke alapján kezeli, illetve nem kerül megnevezésre, hogy mi ez a jogos érdek.

A NAIH a fentiek alapján megállapította, hogy a Raiffeisen Bank megsértette a GDPR 13. cikk (1) bekezdés c) és d) pontját, mivel nem adott tájékoztatást arról, hogy az adatkezelés bizonyos esetekben a jogos érdeke érvényesítéséhez szükséges és nem nevezte meg, hogy mi ez a jogos érdek.

A GDPR 12. cikke alapján az adatkezelőknek a személyes adatok kezelésére vonatkozó valamennyi információt tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően kell nyújtaniuk.

A MiFID-kérdőívekben felvett személyes adatok kezeléséről a Raiffeisen Bank nem átlátható módon nyújt tájékoztatást, mivel az Adatvédelmi tájékoztató, amelynek elnevezése alapján elsődlegesen tartalmaznia kellene a személyes adatok kezelésével összefüggő információkat, túlságosan általános, abból nem ismerhetők meg a konkrét adatkezelés körülményei. Pontosabb információkat az Üzletszabályzat és az Ügyféltájékoztató tartalmaznak, holott az Ügyféltájékoztató célja, hogy a Raiffeisen Bank egy általános, rövid, könnyen érthető tájékoztatás adjon az ügyfeleinek az általa nyújtott befektetési szolgáltatásokkal kapcsolatos egyes ügyféli jogokról, illetve a Raiffeisen Bankot terhelő kötelezettségekről. Az Üzletszabályzat pedig az általános szolgáltatási és szerződési feltételeket tartalmazza, amelyektől nem különülnek el az adatvédelmi tárgyú információk.

A fentiekből kifolyólag a Raiffeisen Bank a MiFID-kérdőívekben felvett személyes adatok kezeléséről nyújtott tájékoztatás során megsértette a GDPR 12. cikk (1) bekezdését, mivel az általa nyújtott tájékoztatás nem felel meg az átláthatóság követelményének.

Jogkövetkezmények

A NAIH a GDPR 58. cikk (2) bekezdés d) pontja alapján utasította a Raiffeisen Bankot, hogy törölje azon premium és private ügyfelek alkalmassági tesztben megadott személyes adatait, akik nem vesznek igénybe befektetési tanácsadási vagy portfóliókezelési szolgáltatást és alakítsa át a tájékoztatási gyakorlatát olyan módon, hogy az megfeleljen a GDPR 13. cikkében foglalt követelményeknek.

A Raiffeisen Bank 2018. évi konszolidált beszámolója szerinti az adózás előtti nyeresége 27.598 millió forint, adózás utáni nyeresége pedig 24.056 millió forint volt, azaz a bírság összege nem éri el a Raiffeisen Bank adózás előtti nyereségének egy ezrelékét. A kiszabott adatvédelmi bírság összege nem lépi túl a kiszabható bírság maximumát.

(naih.hu)



Kapcsolódó cikkek:


Home office: nehezített pályán az adatvédelem
2020. november 25.

A cégek még alig ocsúdtak fel a GDPR okozta „traumából”, máris azzal kellett szembenézniük, hogy a járvány miatt elterjedt távmunka miatt bizalmas céges iratok kerültek a munkavállalók háztartásába.