Az információs rendszereket használó vállalatoknál, intézményeknél hatalmas mennyiségű céges és személyes adat fordul meg, amelyek védelme és helyes kezelése egyre nagyobb feladatot jelent. Ez különösen komoly felelősséget ró azokra a szervezetekre, ahol nagyszámú ügyfél legbizalmasabb pénzügyi vagy személyes adatai forognak a rendszerekben. Paulinszky Károly, az OTP Bank ügyvezetője e mind több figyelmet kívánó terület legfontosabb jellegzetességeiről adott képet.
Az adatkezelés akkor került a középpontba, amikor a Büntető Törvénykönyvbe bekerült a jogosulatlan adatkezelés mint bűncselekmény. Még nyilván mindenki jól emlékszik a csomagküldő szolgálatok botrányaira, amelyek részben abból származtak, hogy különböző nem nyilvános adatbázisokból kicsempészett adatok segítségével ajánlgatták szánalmasan silány termékeiket levélben boldog-boldogtalannak. Akkoriban nem volt törvényes szabályozása az adatkezelésnek, nem volt adatvédelmi ombudsman, egyáltalán a polgárok és cégek teljesen ki voltak szolgáltatva az adatkalózok tevékenységének. Ugyanakkor a különféle kereskedőcégek, DM-vállalkozások teljesen jogos igénye és érdeke, hogy megfelelő minőségű adatbázisokhoz juthassanak tevékenységük folytatásához. A Ptk. módosítása szerint az a személy, aki hivatali munkája során hozzáfér az adatokhoz, de nem arra a célra használja fel ezeket, amire rendelték, a jogosulatlan adatkezelés bűncselekményét követi el.
Azok a cégek, amelyek jelentős adatbázisokat kezelnek, ezt követően kétféleképpen kezelték a szabályok és a piac változásait. Egy részük az adatokat (különösen a személyi adatokat) szigorú üzleti titokként kezelte, és hallani sem akart arról, hogy ezeket bárkivel, bármilyen módon megossza. Egy másik részük viszont üzletet látott benne, s egy szolgáltatási szerződés apró betűs záradékában kérték az ügyfél engedélyét adatainak kereskedelmi célú felhasználására. Voltak, akik odáig mentek, hogy a záradékban arra is engedélyt kértek, hogy partnereiknek is kiadhassák az adatokat.
A bankok
A bankoknál szigorúan szabályozzák az adatvagyon védelmét. Az adatvagyont alapvetően két fő csoport adja. A statikus adattörzsben az ügyfelek pontos neve, címe, telefonszáma, családi állapota stb. található. A dinamikus adattörzsben viszont még értékesebb információk foglalnak helyet: forgalmi műveletek, hitelek, a mulasztott törlesztés, kártyaforgalom, a vásárlás helyszínei stb. "Ez a szegmentációs lehetőség a bank számára óriási kincs. A fejlett piacgazdaságokban ezeket az információkat – már adatbányászati módszerekkel tovább bővítve – az ügyfélszolgálatokon, call centerekben arra használják, hogy az ügyfélnek azonnal további testreszabott szolgáltatásokat kínáljanak, amelyek megfelelnek a vagyoni helyzetének, fogyasztási szokásainak, élethelyzetének. Ha az ajánlatot elutasítja, az ügyfél neve mellé az is odakerülhet, hogy nem kooperatív, nem szabad ajánlatokkal macerálni. Ha egy bankhoz különböző pénzügyi szolgáltatást nyújtó cégek (pl. biztosítók, brókerek stb.) kapcsolódnak, akkor azonnal lehetőség nyílik a kereszteladásokra is. Az adatok cégcsoporton belüli felhasználását a világon mindenütt jogosnak tekintik" – fejtette ki az OTP Bank ügyvezető igazgatója.
A bankoknak az adatvagyon védelmét jogszabályok is előírják. Erre készteti őket a számviteli törvény, valamint a hitel- és pénzintézeti törvény is. A szabályozás szigorúságára csak egy példa: hogy egy adott banknak egy településen hány ügyfele van, az nem banktitok, de hogy Kovács János ottani lakos egyáltalán ügyfele-e a banknak, az már banktitok, és nem adható ki. A törvény természetesen meghatározza a mentesítéseket is. Megfelelő feltételek között kérhetnek információkat a bíróságok, a nyomozati szervek ügyészi ellenjegyzéssel, a közjegyzők stb. Közülük érthetően a rendőrség a legkíváncsibb, de csak hivatalosan megkezdett nyomozáshoz és ügyészi ellenjegyzéssel kaphatnak információkat, még akkor is, ha a bank saját üzleti érdekétől vezérelve, kára enyhítése érdekében a kértnél még szélesebb tájékoztatást is megadna.
A személyiségi jogok védelme az adatkezelés talán legérzékenyebb része a bankok számára is. Ugyanakkor a pénzintézetek e kérdéskörrel külön nem foglalkoznak, ugyanis a banktitkot szélesebb körűnek tekintik, mint a személyes adatok védelmét. Sokkal fontosabb volna annak megoldása, hogy a cégcsoporton belüli különböző rendszerekben egy-egy ügyfelet valamilyen és egyetlen azonosító alapján tudjanak nyilvántartani. Ez mindkét félnek előnyös volna.
Személyiségi jogok
A személyi adatok védelme azonban olyan szigorú, hogy jelentős mértékben megnehezíti az ilyen irányú fejlesztéseket. A személyi szám felhasználása ma már gyakorlatilag lehetetlen. Az adószám szintén jó megoldás lehetne, de egy adatvédelmi biztosi állásfoglalás szerint ez még akkor sem használható fel üzleti nyilvántartási célokra, ha arra az állampolgár egyébként írásban engedélyt ad. Így aztán a bankok számára nehéz feladat lesz olyan integrált rendszereket létrehozni, ahol a jelenleg különféle részrendszerekben nyilvántartott ügyfelek egyetlen ügyfélként jelenhetnek meg a cégcsoport valamenynyi felhasználója számára. A nehézséget az adja, hogy a jelenlegi szabályozás szerint a név és lakcím mellett további azonosítók (például születési dátum, anyja neve stb.) beiktatására van szükség, ami bonyolultabbá és drágábbá teszi az integrációt. Az ügyfélazonosító számok persze egy idő után megoldhatják ezt a problémát, de nem automatikusan, hiszen a nagy rendszerek esetenként több százezer vagy több millió ügyfél adatait tartalmazzák.
További gondot jelent, hogy a jelenlegi szabályok szerint cégcsoporton belülinek az a cég számít, amelyben az anyavállalatnak legalább 51 százalékos tulajdoni hányada van. Ez nagyon megnehezíti bizonyos tevékenységek kihelyezését a vállalaton kívülre. Tipikusan ilyen a bankok ügyfelekkel folytatott levelezésének technikai lebonyolítása, azaz a levelek kinyomtatása, borítékolása, postázása. Az OTP például 3-4 millió lakossági folyószámla-értesítőt küld ki havonta. A bank erre egy speciális vegyes tulajdonú céget hozott létre, amelyet azonban – mindenféle módon – joga van ellenőrizni, sőt ugyanezt megteheti a PSZÁF is. A szigorú ellenőrzésre szükség is van, hiszen el kell kerülni, hogy a folyószámla kiküldését követően valaki felhívja az ügyfelet, hogy a befektetett pénzének jobb helyet is tudna, mint ahol most van. És hiába is bizonygatná az OTP, hogy képes az on-line adattár esetében mind a hatezer ügyintézőjénél ellenőrizni, hogy egy adott számla forgalmát – akár csak passzívan is – ki nézte meg. A "kukkolókat" azonnal eltávolítják a cégtől. Ezért az adatok védelméről még a kerítésen túl is gondoskodnia kell"...
Kíváncsiskodók
A banki adattárak tartalma iránt hatalmas az érdeklődés. Kezdve onnan, hogy van, aki csak híres emberek lakcímét vagy életkorát szeretné megtudni, egészen odáig, hogy adott személy vagy cég esetében milyen pénzforgalom zajlott. Gyakran magukat jogosultnak feltüntető emberek jelentkeznek ilyen adatokért: nyomozók, ügyvédek, a kedves, segítőkész szomszéd stb. Persze egyikükkel sem állnak szóba törvényes meghatalmazás hiányában. A kíváncsiskodó tendencia felerősödött a pénzmosás és a terrorizmus üldözésével. A bank ugyanakkor nem nyomozó szerv, s ha nincs különös oka az elutasításnak, bármiféle betétet szó nélkül be kell fogadnia, és a kért műveleteket az adott számlán el kell végeznie. A 2 millió forintnál nagyobb pénzmozgásokat hivatalból jelentik, de arról, hogy melyik számlatulajdonos miért pihentet nagyobb összeget a számláján, vagy miért intéz gyors és nagy összegű átutalásokat, semmiféle véleményt nem alakítanak ki. A pénzmosás esetében a követhető szál többnyire valamelyik adóparadicsom nevenincs bankjában szakad meg. "Magyarországon tudtommal azóta, hogy bevezették a pénzmozgásokra vonatkozó jelentési kötelezettséget, mindössze négy eset jutott el nyomozati szakaszba, és egy esetben volt ítélet. A bankok ezért azon az állásponton vannak, és ez az ügyfélkultúra része, hogy nem érdemes arról kérdezni, amit nem lehet ellenőrizni. Ugyanakkor a pénzintézetek szívesen szolgáltatnának a törvényes keretek között információkat, de egyelőre a nyomozó hatóságok elég csekély aktivitást mutatnak e területen" – vélekedett Paulinszky Károly.
Internetes megoldások
Az OTP Banknak az interneten több mint százezer ügyféllel van kapcsolata. Mivel a bank honlapján aktív pénzügyi műveletek végezhetők, nyilvánvalóan szükség van az ottani adatforgalom védelmére. Az alkalmazott – a Verisign szolgáltatásait igénybe vevő – rendszer kétirányú azonosítást tesz lehetővé. Egyrészt meggyőződik róla, hogy a belépő ügyfél valóban az-e, akinek kiadja magát. Másrészt az ügyfél is meggyőződhet róla különböző kódolási algoritmusokon keresztül (amelyeket természetesen a rendszer végez), hogy a képernyőn látható portál valóban az OTP Bank webhelye és nem egy klón. Az ügyfelek vannak nagyobb biztonságban, mert őket csak PIN-kód szinten ellenőrzik, ami a bankkártyák általános biztonsági szintjének felel meg. A portál azonosságát biztosító rendszer ennél lényegesen magasabb szintű védelmet alkalmaz. Ezzel gyakorlatilag megakadályozható az adatok illetéktelen kiszivárgása. Mivel pedig az elektronikus aláírásról szóló törvény hatályba lépése és az internetfelhasználás további rohamos fejlődése miatt valószínűleg egyre több, aktív műveleteket lehetővé tévő banki honlap és ezeken mind számosabb ügyfél jelenik meg, e biztonsági szint fenntartása a jövőben még inkább indokolt lesz. Az információs társadalom fejlődésével az adatok, információk (amelyekből manapság az új érték java származik) helyes kezelése mindannyiunkra egyre nagyobb feladatokat ró.
Meixner Zoltán