Adatbiztonság és kiszervezés

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2005. október 1.) vegye figyelembe!

Megjelent a Cégvezetés (archív) 90. számában (2005. október 1.)
Manapság gyakran alkalmazott költségcsökkentő megoldás a vállalkozások körében az, hogy tevékenységük egy részét "kiszervezik", azaz bizonyos tevékenységeket tőlük jogi értelemben független szervezetekkel végeztetik el, vagyis saját tevékenységük egy részének elvégzésétől "szabadítják meg magukat", minthogy annak elvégzését nem ítélik kellően hatékonynak a saját szervezeten belül. A kiszervezés általában a kiegészítő jellegűnek ítélt tevékenységeket érinti.

Vannak olyan viszonylag könnyen kiszervezhető tevékenységek, amelyek általános jellegűek, azaz a vállalkozások mindegyike kénytelen elvégezni vagy elvégeztetni. Ilyen tipikusan a könyvelés, a bérszámfejtés, a postázás. Léteznek továbbá olyan "ágazatspecifikus" feladatok, amelyek ugyancsak gazdaságosan kiszervezhetők, pl. a bankkártyagyártás, a call center tevékenység stb.

A kiszervezhető tevékenységek köre

A kiszervezésbe bevonható tevékenységek körét alapvetően az határozza meg, hogy tartalmaznak-e a jogszabályok rendelkezést arról, hogy az adott ágazatban mely feladatok végeztethetők el "külsősökkel". A legfontosabb annak tisztázása, hogy megvan-e a kiszervezés lehetősége arra a tevékenységre, amelytől "meg akar szabadulni" a vállalkozás. Ha igen, akkor vizsgálni kell, hogy milyen mélységig rendezi a feltételeket, a kiszervezés mértékét és módját a jogszabály.

A kiszervezés szabályai

A kiszervezés szabályainak megismerése akkor és azért fontos, ha és amennyiben az adatainkat érinti. Nyilvánvalóan közömbös számunkra, ha bármely szolgáltató kiszervezi a takarítást, a portaszolgálatot, a büfé működtetését, a saját irodaszer-ellátását, a fénymásolói, faxgépei karbantartásának megszervezését stb. Merőben más azonban a helyzet, ha a bankszámlakivonatunkat nem a bankunk, hanem egy számunkra ismeretlen kft. nyomtatja. Az is elgondolkoztat, ha a számunkra kibocsátott bankkártyát nem a bankunk, hanem egy ismeretlen cég "személyesíti meg", vagyis a nyers plasztiklapra e "külső" vállalkozásnál írják rá a nevünket, kártyaszámunkat.

Igaz, hogy a kiszervezés ténye ellen nem tiltakozhatunk, de az esetleges hibáit saját érdekünkben észre kell vennünk. Ha pedig kár ér bennünket, nem árt tudni, hogy esetleg abból is adódhat, hogy nem a bank, hanem a kiszervezett tevékenységet végző volt a hibás.

Adataink és a kiszervezés

Ha a kiszervezés olyan feladatok elvégzését foglalja magában, vagy legalábbis érinti, amelyhez személyes adatokat használnak, a legfontosabb követelmény az adatvédelmi törvény rendelkezéseinek megtartása, az ügyfelek részéről pedig megtartatása. Ugyanez vonatkozik a banktitokra, értékpapírtitokra, biztosítási titokra, pénztártitokra is. Akár végeztetjük, akár élvezzük, akár pedig "elszenvedjük" tehát a kiszervezést, központi eleme mindenképpen az adatbiztonság.

A bankok, a tőzsde és a kiszervezés

A kiszervezéssel érintett, erősen reflektorfényben levő terület a banki szolgáltatások és a tőkepiaci szolgáltatások köre. Az elmúlt években szembesültek az ügyfelek azzal, hogy az addig bankjuktól "kapott" szolgáltatást más szervezet nyújtja. Tipikusan a postázást, a bankszámlakivonat nyomtatását, a bankkártya-megszemélyesítést végzik a bankok "megbízottjai".

Teljesen megalapozott volt az ügyfelek kérdése, sokszor reklamációja, amikor azt igényelték, hogy a bankok bizonyítsák számukra azt, hogy jogszerűen adtak át ügyféladatokat külsősöknek.

A kiszervezés is olyan folyamat, amelyről ugyan tájékoztatják a bankok az ügyfeleket, de tapasztalatok szerint nagyon kicsi hatékonysággal. Vagyis küldenek levelet arról, hogy bizonyos tevékenységeket kiszerveznek, beépítik az üzletszabályzatukba a kiszervezésről szóló alapvető információkat, olvashat róla az ügyfél a honlapon is. Általában az a jellemző azonban, hogy csak akkor figyel oda az ügyfél, amikor személyesen tapasztalja, hogy az adatai máshoz kerültek. És akkor már gyakran a "zsigeri elutasítás" érzése uralkodik el. Célszerű tehát jó előre felkészülni az outsourcingra ("magyarul" sokszor úgy mondják: "kiszortolásra").

A banki "kiszortolás" szabályai

A bankok számára a kiszervezés fogalmát és szabályait törvény foglalja össze, amelyet 2000-ben fogadtak el és 2001. január 1-jétől kell alkalmazni. A gyakorlati tapasztalatok alapján a rendelkezéseket 2002-ben módosították, 2003. január 1-jei hatállyal.

A szabályozás célja és lényege: az adatvédelem biztosítása az ügyfelek számára. Éppen ezért szigorú és részletes előírások határozzák meg, hogy mit szervezhetnek ki, és mit kell tenniük a bankoknak, ha valamely tevékenységüket kiszervezik.

Kiszervezhető szolgáltatások

A bankok működése körében az minősül kiszervezésnek, ha a saját pénzügyi szolgáltatási, illetve kiegészítő pénzügyi szolgáltatási tevékenységükhöz kapcsolódó feladatokat nem önállóan végzik, feltéve, hogy a feladat elvégzése során adatfeldolgozás, adatkezelés vagy adattárolás valósul meg. A kiszervezés lehet folyamatos vagy "csak" rendszeres. A kiszervezett tevékenységet ellátónak viszont a kiszervező banktól szervezetileg független személynek vagy szervezetnek kell lennie. A feladat teljesítését vállaló szervezettel kötelező a szerződéskötés, mégpedig a kizárólagosság elvét betartva. Ez azt jelenti, hogy valamely feladat kiszervezett elvégzésére csak egy szervezettel állapodhat meg a bank. Ha tehát pl. az értesítések postázása a kiszervezett munka, azt nem bízhatja több szervezetre.

Adatvédelem a kiszervezés során és után

Adataink védelme szempontjából viszonylag kicsi a veszélye annak, hogy az adatátadás során illetéktelen kezekbe kerülhetnek adataink. Ennek oka az, hogy megfelelően titkosított módon lehet és kell átadni az adatokat, amihez a technikai feltételek adottak, vagy legalábbis megteremthetők.

Az adatok kezelése, vagy pláne feldolgozása már összetettebb probléma, bár ebben a körben is érvényes, hogy a technikai feltételeket meglehetősen hatékonyan lehet biztosítani. Amire különösen ügyelni kell, az az "emberi tényező". A bankoknak azonban elemi érdekük, hogy az általuk kiszervezett munkát ellátó szervezet tárgyi és személyi feltételeiben egyaránt megfelelő legyen, hiszen az ügyfeleik felé természetesen a bankok felelnek. Ha tehát bármiféle adatvédelmi probléma felmerül, netán kártérítési igénnyel jelentkezik valamelyik ügyfél, akkor a banknak kell eljárnia, adott esetben helytállnia, azaz fizetni az ügyfelének.

A bank felelőssége

A bank felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet megfelelőn lássa el. Ez mindenekelőtt azt jelenti, hogy tartsa be a jogszabályi előírásokat, ugyanakkor "a tőle elvárható gondossággal működjék".

A kiszervezett tevékenységet végzőnek magának rendelkeznie kell mindazokkal a személyi, tárgyi és biztonsági feltételekkel, amelyek a kiszervező bank számára kötelezőek. A követelmények alapjául az informatikai rendszerrel kapcsolatos biztonsági követelmények szolgálnak.

Külön is kiemeli a törvény azt a követelményt, hogy a kiszervezett tevékenységet végző – ha több bank számára is végez kiszervezett tevékenységet – a tudomására jutott tényt, adatot, információt elkülönítetten, az adatvédelmi előírások betartásával kezelje. Ebből viszont következik, hogy ugyanaz a személy vagy szervezet egyidejűleg több bank számára is végezhet kiszervezett tevékenységet, vagyis a kiszervezett tevékenységet végző vonatkozásában nem érvényesül kizárólagosság.

A kiszervezésről szóló szerződés tartalma

A törvény pontosan felsorolja, hogy miről kell mindenképpen rendelkezni a kiszervezésről szóló szerződésben. Kötelező az adatvédelemre vonatkozó előírások érvényesülésének bemutatása. Akiszervezett tevékenységet végzőnek felelősséget kell vállalnia a tevékenység megfelelő színvonalú végzéséért. Biztosítani kell, hogy a bank azonnali hatállyal felmondhassa a szerződést, ha valamely rendelkezését a kiszervezést végző ismételten vagy súlyosan megszegi. Részletesen szabályozni kell a tevékenység végzésére vonatkozó, a kiszervezést végzőtől elvárt minőségi követelményeket. Ezenkívül meg kell határozni a kiszervezett tevékenységet végző részéről a bennfentes kereskedelem elkerülése érdekében alkalmazandó szabályokat is.

Látható, hogy a legutolsó, speciális követelmény kivételével a többi alkalmazható minden olyan esetben, ha valamely szervezet valamely tevékenység kiszervezéséről akar megállapodni.

Bennfentes kereskedelem tilalma

A bennfentes kereskedelem elleni védekezés külön kiemelése azt a célt szolgálja, hogy a kiszervezett tevékenységet végzőnél dolgozók ebben a körben is "megfoghatók" legyenek, vagyis ne használhassák fel az esetleg tudomásukra jutott információkat.

Összeférhetetlenség

Figyelmet érdemelnek az összeférhetetlenségi szabályok is. A kiszervezésre vonatkozó rendelkezések közé beillesztették azt a tilalmat, hogy a bank vezető tisztségviselője vagy annak közeli hozzátartozója nem állhat tulajdonosi viszonyban a kiszervezett tevékenységet végzővel, illetve a bank vezető tisztségviselője vagy közeli hozzátartozója nem bízható meg a kiszervezett tevékenység végzésével.

Garanciális szabályok a kiszervezéssel érintettek védelmében

Az ellenőrzésre vonatkozó rendelkezések, az összeférhetetlenségi szabályok és a kötelező szerződéses kikötések mellett további előírások szolgálják a kiszervezéssel érintettek védelmét:

– a bank nem hallgathatja el, hogy valamely tevékenységet nem maga végez, köteles az üzletszabályzatában feltüntetni a kiszervezett tevékenységek körét és a kiszervezett tevékenységek végzőit,

– a kiszervezés nyilvánosságát biztosítja, hogy a bank köteles bejelenteni a Felügyeletnek a kiszervezést, mégpedig az erről szóló szerződés aláírását követő 2 napon belül, tehát nagyon rövid határidővel a kiszervezett tevékenységet végző nevét, címét, valamint a kiszervezés időtartamát,

– jelentési kötelezettség terheli a bankot abban a körben is, hogy haladéktalanul jeleznie kell a PSZÁF-nak, ha a kiszervezett tevékenység végzése jogszabályba vagy a kiszervezésről szóló szerződésbe ütközik (egyébként a kiszervezés engedélyhez nem kötött),

– a banknak rendelkeznie kell a rendkívüli helyzetek kezelésére kidolgozott intézkedési tervvel arra az esetre, ha a kiszervezett tevékenységet nem a szerződésben meghatározottak szerint végzik,

– a PSZÁF megtilthatja a kiszervezést, ha a bank bejelentése vagy saját ellenőrzési tevékenysége során hiányosságot tár fel.

Kiszervezett tevékenységet végző szervezetek, személyek

A törvény lehetővé teszi, hogy akár szervezetek, akár személyek kaphassanak megbízást kiszervezett tevékenység végzésére – természetesen a törvényi feltételek betartásával.

Figyelmet érdemel azonban, hogy külföldiekkel is szerződhet-e a bank kiszervezett tevékenység ellátására. Ebben a körben az adatvédelmi szabályok speciálisak, mivel a törvény tételes felsorolást tartalmaz arról, hogy mely öt esetben van mód banktitok továbbítására külföldre – az ügyfél írásbeli hozzájárulása nélkül. A külföldre történő kiszervezés nem szerepel a törvényi felsorolásban, arra tehát kizárólag akkor van mód, ha az ügyfél vagy a törvényes képviselője írásban kifejezetten hozzájárul.

Ellenőrizhető a kiszervezést végző

Amikor értesülünk arról, hogy nem a bankunk, hanem más szervezet végez olyan feladatot, amely a banki szolgáltatásokat érinti, szánjunk időt arra, hogy ellenőrizzük, szabályos-e a feladatvégzés, tényleg megkaphatta-e a szervezet azt a feladatot, amelyet ellát. Látszólag furcsa a felvetés, de gondoljunk abba bele, hogy a bankunktól független cég más bankoknak, egyéb szervezeteknek is végez pl. borítékolást, postázást. Elvileg nincsen tehát akadálya annak, hogy más szervezet reklámanyagát stb. beletegye a banki borítékba. Érdemes tehát utánajárni, hogy a mi bankunk mire is adott megbízást a "borítékoló" cégnek. Könnyen kaphatunk választ a kérdésünkre, hiszen a bank köteles az üzletszabályzatában feltüntetni az általa kiszervezett tevékenységek teljes körét, valamint a kiszervezett tevékenység végzőjét is. Az üzletszabályzat pedig általában egyszerűen megismerhető, hiszen elolvasható a banki honlapon vagy bármely bankfiókban.

Tájékoztassuk bankunkat kétségeinkről!

Ha nem találjuk meg az információt, akkor mindenképpen keressük meg a bankunkat telefonon vagy levélben. Azért nagyon fontos az utánajárás, mert lehet, hogy a banknak nincs is tudomása arról, hogy az általa megbízott szervezet nem megfelelően végzi a munkát. Nézzük át figyelmesen a banki postát. Ha a legkisebb gyanúnk merül fel arról, hogy illetéktelenek kezében volt, azonnal jelezzük a banknak!

Ha küldeményt várunk a banktól, és nem érkezik meg ésszerű határidőben, ne késlekedjünk, keressük meg a bankot. Különösen fontos a gyors intézkedés akkor, ha tudjuk, nem a bankban végzik a nyomtatást, borítékolást, postázást.

Gondoljuk végig, keletkezett-e kárunk a késedelmes postázásból vagy abból, hogy általunk illetéktelennek minősített szervezettől is kaptunk információkat a banki postában. Ha a válaszunk igen, akkor pontosan határozzuk meg a kárigényünket, és úgy jelentsük be, hogy felkészülünk: adott esetben bizonyítékokat is csatolnunk kell a kár mibenlétére és összegére vonatkozóan. Általában érdemes ügyelni arra, hogy mikor és mit minősítünk kárnak, és az valóban érvényesíthető-e a bankkal szemben, vagy sajnos magunknak kell viselnünk. Nem azt jelenti mindez, hogy esélytelenek vagyunk, hanem arra ösztönöz, hogy ismerjük fel, kivel szemben kell fellépnünk, ha kárunk keletkezett. Ha viszont döntöttünk, haladéktalanul kezdjük az eljárást.

Kiszervezés a bank- és biztosítási szférán kívül

A banki tevékenység, a tőkepiaci műveletek és a biztosítási tevékenység körében lényegében azonos szabályok érvényesülnek a kiszervezés vonatkozásában. Adódik ez mindenekelőtt abból, hogy az adatvédelmi követelmények azonosak, a háromféle titok (a banktitok, az értékpapírtitok és a biztosítási titok) védelme nagyon hasonló. Ezenkívül az ellenőrzés is hasonló, az azt végző külső szervezet, a PSZÁF pedig azonos.

Semmiféle általános tilalom nincsen arra vonatkozóan, hogy bármely szervezet kiszervezze valamely tevékenységét. Erre tekintettel viszont érdemes elemezni, gazdaságos lehet-e, ha külsős végez el valamilyen munkát "helyettünk". Természetesen a kiszervezés olyan körben értelmezhető, ahol az adott munka eredménye harmadik személyeket is érint, és feléjük rendezni kell a felelősséget a munka minőségéért.

Ha viszont úgy döntünk, hogy a szervezet valamely feladatát kiszervezés keretében akarjuk megoldani, érdemes végiggondolni azokat a rendelkezéseket, amelyeket a bankok, biztosítók vonatkozásában a törvények tartalmaznak. Megfontolandó – különösen az adatvédelmi vonatkozásokban – a szabályozás, hiszen jó szempontokat adhat ahhoz, mire kell ügyelnünk.

Választás a kiszervezett szolgáltatást végzők között

Amikor választunk azon cégek, személyek közül, amelyek és akik számításba jöhetnek az általunk kiszervezni tervezett tevékenység elvégzésére, nagyon alaposan vizsgáljuk meg, mit tudnak nyújtani. Ma már Magyarországon is működnek olyan cégek, amelyeknek az alaptevékenysége az, hogy a legkülönbözőbb olyan tevékenységek elvégzését vállalják, amelyeket mások kiszerveznek (pl. könyvelnek, call centert üzemeltetnek, nyomtatnak, postáznak stb.) Győződjünk meg arról, hogy valóban képesek-e elvégezni azt, amire vállalkoznak.

Az adatvédelem elsődleges szempont

Nem lehet eléggé hangsúlyozni, hogy a kiszervezéssel kapcsolatos kulcsszó az adatvédelem. Manapság – szerencsére – nagyon divatos, sokszor hivatkoznak az adatvédelem jelentőségére, nem ritka azonban a félreértés, a téves ismeret. Ahhoz, hogy ne kerüljünk kellemetlen helyzetbe, vagy ne érezzük úgy, hogy rosszul használják fel az adatainkat, pontosan ismernünk kell a gyakran hangoztatott adatvédelmi kulcsszavakat.

Adattovábbítás külföldre

Személyes adat az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – külföldi adatkezelő részére csak akkor továbbítható, ha az érintett ahhoz hozzájárult vagy törvény azt lehetővé teszi, feltéve, hogy az adatkezelés feltételei a külföldi adatkezelőnél minden egyes adatra nézve teljesülnek (Adatvédelmi tv. 9. §).

A külföldre történő adattovábbításnak az adatkezelésekre vonatkozó előírásokon túl egy további garanciális jellegű feltétele is van, amely azt hivatott biztosítani, hogy személyes adatok kizárólag olyan országba kerülhessenek továbbításra, ahol az adatkezelés feltételei – minden egyes adat vonatkozásában – megfelelnek a belföldi követelményeknek. Az érintett hozzájárulása, illetve a törvényi felhatalmazás ebben az esetben is követelmény, de önkormányzati rendelet nem teheti lehetővé, hogy az adatok külföldi adatkezelőhöz kerüljenek. Az Adatvédelmi tv. struktúrájából arra lehet következtetni – mivel a jogalkotó az adatkezelésre és a külföldi adattovábbításra vonatkozó rendelkezéseket külön címben szabályozta –, hogy a 9. §-ban megkövetelt törvényi felhatalmazás nem azonos a 3. §-ban előírt törvényi felhatalmazással. A törvényi felhatalmazásnak tehát kimondottan a külföldre történő adattovábbításra kell kiterjednie, nem elégséges egy általános adatkezelést lehetővé tévő rendelkezés. Az adatkezelés és a külföldre történő adattovábbítás esetében két önálló jogintézményről van szó tehát, melyekre természetesen különböző előírások az irányadók.

A külföldre történő adattovábbítás jogszabályi háttere

A külföldre történő adattovábbítást a Hpt. 51. §-ának (3) és (7) bekezdése, 54. §-a (1) bekezdésének h), i) és m) pontjai, a Tpt. 370. §-ának (3) és (10) bekezdése, 374. §-ának f), g) pontjai, illetve a Bit. 97/A §-a, 98. §-a (1) bekezdésének d) és e) pontjai teszik lehetővé.

A banktitok feloldása

A Hpt. 51. §-ának (3) bekezdése alapján a banktitok megtartásának kötelezettsége nem áll fenn abban az esetben sem, ha az adóhatóság nemzetközi szerződés alapján, külföldi hatóság írásbeli megkeresésének teljesítése érdekében írásban kér adatot a pénzügyi intézménytől, amennyiben a megkeresés tartalmazza a külföldi hatóság által aláírt titoktartási záradékot.

A banktitok megtartásának kötelezettsége nem áll fenn abban az esetben sem, ha a magyar bűnüldöző szerv nemzetközi szerződés alapján, külföldi bűnüldöző szerv írásbeli megkeresésének teljesítése érdekében írásban kér adatot a pénzügyi intézménytől, amennyiben a megkeresés tartalmazza a külföldi bűnüldöző szerv által aláírt titoktartási záradékot.

Nem jelenti a banktitok sérelmét:

– a pénzügyi intézmény által a külföldi pénzügyi intézmény számára történő adattovábbítás abban az esetben, ha a pénzügyi intézmény ügyfele (adatalany) ahhoz írásban hozzájárult, és a külföldi pénzügyi intézménynél (adatkezelőnél) a magyar jogszabályok által támasztott követelményeket kielégítő adatkezelés feltételei minden egyes adatra nézve teljesülnek, valamint a külföldi pénzügyi intézmény székhelye szerinti állam rendelkezik a magyar jogszabályok által támasztott követelményeket kielégítő adatvédelmi jogszabállyal,

– a külföldi pénzügyi intézmény székhelye szerinti felügyeleti hatóság számára a felügyeleti tevékenységéhez szükséges, és a külföldi felügyeleti hatóság és a Felügyelet között együttműködési megállapodásban rögzített módon történő adattovábbítás, amennyiben a megállapodás tartalmazza az adatok bizalmas kezelésére, illetőleg felhasználására vonatkozó rendelkezést, továbbá a Felügyelet hozzájárulását a külföldi felügyeleti hatóságnak átadott adatok külföldi illetékes bűnüldöző szervnek történő továbbításához,

– az Országos Betétbiztosítási Alap által külföldi betétbiztosítási rendszerek, valamint külföldi felügyeleti hatóságok részére együttműködési megállapodásban rögzített módon történő adattovábbítás, ha az adatok kezelésére, illetve felhasználására vonatkozóan a magyar szabályozással legalább egyenrangú védelem biztosított.

Az értékpapírtitok feloldása

Az értékpapírtitok megtartásának kötelezettsége – Tpt. 370. § (3) bek. – nem áll fenn továbbá abban az esetben sem, ha az állami adóhatóság és a Felügyelet nemzetközi szerződés alapján, külföldi állami adóhatóság és tőkepiaci felügyeleti tevékenységet ellátó szervezet írásbeli megkeresésének teljesítése érdekében írásban kér adatot a befektetési szolgáltatótól, az árutőzsdei szolgáltatótól, a befektetésialap-kezelőtől, a tőzsdétől, az elszámolóházi tevékenységet végző szervezettől, amennyiben a megkeresés tartalmazza a külföldi hatóság által aláírt titoktartási nyilatkozatot.

Az értékpapírtitok megtartásának kötelezettsége nem áll fenn a Befektetővédelmi Alap által külföldi befektetővédelmi rendszerek, valamint külföldi felügyeleti hatóságok részére együttműködési megállapodásban rögzített módon történő adattovábbítás esetén, ha az adatok kezelésére, illetve felhasználására vonatkozóan a magyar szabályozással legalább egyenrangú védelem biztosított.

Nem jelenti az értékpapírtitok sérelmét

– a befektetési szolgáltató, az árutőzsdei szolgáltató, a befektetésialap-kezelő által a külföldi befektetési szolgáltató, árutőzsdei szolgáltató, befektetésialap-kezelő számára történő adattovábbítás abban az esetben, ha az ügyfél (adatalany) ahhoz írásban hozzájárult, és a magyar jogszabályok által támasztott követelményeket kielégítő adatkezelés feltételei minden egyes adatra nézve biztosítottak a külföldi félnél, valamint az annak székhelye szerinti állam rendelkezik a magyar jogszabályok által támasztott követelményeket kielégítő adatvédelmi jogszabállyal,

– a külföldi befektetési szolgáltató, árutőzsdei szolgáltató, befektetésialap-kezelő székhelye szerinti felügyeleti hatóság számára a felügyeleti tevékenységéhez szükséges és a külföldi felügyeleti hatóság és a Felügyelet között együttműködési megállapodásban rögzített módon történő adattovábbítás, amennyiben a megállapodás tartalmazza a külföldi felügyeleti hatóság által aláírt titoktartási záradék szükségességét.

A biztosítási titok feloldása

Nem jelenti a biztosítási titok – Bit. 97/A § – sérelmét a biztosító által a külföldi biztosítóhoz vagy külföldi adatfeldolgozó szervezethez (külföldi adatkezelő) történő adattovábbítás abban az esetben, ha a biztosító ügyfele (adatalany) ahhoz írásban hozzájárult, és a külföldi adatkezelőnél a magyar jogszabályok által támasztott követelményeket kielégítő adatkezelés feltételei minden egyes adatra nézve teljesülnek, valamint a külföldi adatkezelő székhelye szerinti állam rendelkezik a magyar jogszabályok által támasztott követelményeket kielégítő adatvédelmi jogszabállyal.

Nem jelenti a biztosítási titok sérelmét:

– fióktelep esetében a külföldi székhelyű biztosító, biztosítási alkusz, biztosítási szaktanácsadó számára történő adattovábbítás, ha ezek magyarországi fióktelepének ügyfele ahhoz írásban hozzájárult, és a magyar jogszabályok által támasztott követelményeket kielégítő adatkezelés feltételei minden egyes adatra nézve teljesülnek,

– fióktelep esetében a külföldi székhelyű vállalkozás székhelye (főirodája szerinti felügyeleti hatóság számára a felügyeleti tevékenységhez szükséges adattovábbítás, ha az megfelel a külföldi és a magyar felügyeleti hatóság közötti megállapodásban foglaltaknak.

A kiszervezéshez továbbított adatok nem sértik a banktitkot

A Hpt. 54. §-a (1) bekezdésének j), a Tpt. 374. §-ának k), illetve a Bit. 98. §-a (1) bekezdésének h) pontja értelmében nincs szükség az ügyfél vagy törvényes képviselője írásbeli hozzájárulására a kiszervezett tevékenység végzéséhez szükséges adatoknak a kiszervezett tevékenység végzőjéhez való továbbításához:

Nem jelenti a banktitok sérelmét.

– a hitelintézet által kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végző részére.

Nem jelenti az értékpapírtitok – Tpt. 374. § – sérelmét:

– a kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végző gazdasági társaság részére.

Nem jelenti a biztosítási titok – Bit. 98. § (1) bek. – sérelmét:

– a biztosító által kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végző részére.

Az ellenőrzés törvényi szabályai

* A bank belső ellenőrzése köteles legalább évente megvizsgálni, hogy a kiszervezett tevékenységet a kiszervezésről kötött szerződésben foglaltak szerint végzik-e. Ezenkívül biztosítani kell, hogy az MNB, illetve a PSZÁF helyszíni, illetve helyszínen kívüli ellenőrzést végezhessen a kiszervezett tevékenység körében a kiszervezést végzőnél is. * További követelmény, hogy a kiszervezett tevékenységet végző csak abban az esetben alkalmazhat közreműködőt, ha azzal olyan szerződést köt, amelynek értelmében biztosítja, hogy a PSZÁF, az MKNB és a kiszervező bank belső ellenőrzése ellenőrizze a kiszervezett tevékenységet. Ráadásul a szerződést a kiszervező banknak jóvá kell hagynia. * Ellenőriz a bank és a PSZÁF * A kiszervezésbe bevont tevékenységekkel kapcsolatos ellenőrzésre egyrészt köteles maga a kiszervező bank, másrészt jogosult a PSZÁF.

Fogalomtár

* A következő fogalmakat célszerű megjegyezni (a pontosság érdekében feltüntetjük azt a törvényhelyet, ahol ellenőrizni tudjuk, hogy megfelelően alkalmazzák-e a jogszabályt a kiszervezők, illetve a kiszervezést végző szervezetek). * Adatvédelmi törvény * A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény. * Személyes adat * A személyes adat a meghatározott természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható (Adatvédelmi tv. 2. §). * A személyes adat fogalommeghatározásából következik, hogy a mindennapi életben egyre többször hivatkozott banktitok, értékpapírtitok, valamint biztosítási titok egyben személyes adat (is), amennyiben az természetes személlyel áll összefüggésben. Amiből viszont az következik, hogy kezelésükre az Adatvédelmi tv. rendelkezéseit is alkalmazni kell. * Banktitok * Banktitok minden olyan, az egyes ügyfelekről a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerződéseire vonatkozik [a hitelintézetekről és pénzügyi vállalkozásokról szóló 1996. évi XCVI. törvény – Hpt. 50. § (1) bekezdése]. * Értékpapírtitok * Értékpapírtitok minden olyan, az egyes ügyfélről a befektetési szolgáltató, az árutőzsdei szolgáltató, a befektetésialap-kezelő, a tőzsde és az elszámolóházi tevékenységet végző szervezet rendelkezésére álló adat, amely az ügyfél személyére, adataira, vagyoni helyzetére, üzleti befektetési tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, illetve a befektetési szolgáltatóval, árutőzsdei szolgáltatóval, befektetésialap-kezelővel kötött szerződéseire, számlájának egyenlegére és forgalmára vonatkozik (a tőkepiacról szóló 2001. évi CXX. törvény – Tpt.). * Biztosítási titok * Biztosítási titok minden olyan – államtitoknak nem minősülő –, a biztosító, a biztosítási alkusz, a többes biztosítási ügynök, a biztosítási szaktanácsadó rendelkezésére álló adat, amely a biztosító, a biztosítási alkusz, a biztosítási szaktanácsadó egyes ügyfeleinek (ideértve a károsultat is) személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval kötött szerződéseire vonatkozik. Ha a biztosítási szerződés bármilyen okból nem jött létre, a biztosítónak az ezzel kapcsolatosan rendelkezésére álló valamennyi adatot törölnie kell [a biztosítási tevékenységről szóló 1995. évi XCVI. törvény – Bit. 96. § (1) bekezdése]. * Adatkezelés * Adatkezelés az alkalmazott eljárástól függetlenül a személyes adatok gyűjtése, felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése. Adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása is [Adatvédelmi tv. 1. §-ának 4. a) pontja]. * Az Adatvédelmi tv. 3. § (1) bekezdése alapján személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárult, illetve ha azt törvény vagy – törvény felhatalmazása alapján az abban meghatározott körben – helyi önkormányzat rendelete elrendeli. * A banktitok, az értékpapírtitok és a biztosítási titok vonatkozásában a Hpt. 55-55/A §-ai, a Tpt. 371. §-a és a Bit. 97-101. §-ai jelentik a törvényi felhatalmazást az adatkezeléshez, pontosabban felmentést adnak a banktitok, illetve értékpapírtitok megtartásának kötelezettsége alól. A Hpt. 13/A §-a pedig lehetővé teszi a jogszerű kiszervezést a banktitkot is érintő adatok körében

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2005. október 1.) vegye figyelembe!