A MiFID teszttel kapcsolatos adatkezelés követelményei a NAIH gyakorlata alapján

Adatvédelem GDPR, Bírság, Befektetés 2020. szeptember 23.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) hivatalból adatvédelmi hatósági eljárást indított az egyik pénzügyi szervezet (a továbbiakban: Szolgáltató) befektetési szolgáltatás nyújtása során, a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény (a továbbiakban: Bszt.) alapján alkalmazott megfelelési és alkalmassági tesztekkel (a továbbiakban együttesen: MiFID-teszt) összefüggésben végzett adatkezelés általános adatvédelmi rendeletben (a továbbiakban: GDPR) foglalt előírásoknak való megfelelésének vizsgálatára. Az ügy kapcsán a MiFID-tesztekben megadott személyes adatok kezelésével kapcsolatos elvárt gyakorlat megfogalmazására is sor került.

A MiFID teszttel kapcsolatos előírások

A MiFID-teszt kötelezettsége a befektetési szolgáltatást nyújtók cégek (hitelintézetek, befektetési vállalkozások, befektetési szolgáltatást nyújtó alapkezelők) számára a szolgáltatásaikat igénybe venni kívánó ügyfelekkel való szerződés megkötése előtt jelentkezik: portfóliókezelési vagy befektetési tanácsadási szolgáltatást igénybe venni kívánó ügyfeleknél alkalmassági tesztet, egyéb befektetési szolgáltatást vagy kiegészítő tevékenységet igénybe venni kívánó ügyfeleknél pedig megfelelési tesztet kell felvenni. A MiFID-teszt – attól függően, hogy alkalmassági vagy megfelelési tesztről beszélünk – némileg eltérő körben méri fel az ügyfél vagyoni lehetőségeit, befektetési ismereteit, tapasztalatait, és befektetési céljait. A MiFID-teszt célja, hogy az ügyfél számára lehetőleg a legmegfelelőbb befektetési termék kerüljön értékesítésre, az ügyfél által megértett kockázatok vállalása mellett.

A befektetési szolgáltatást nyújtók a Bszt. által meghatározott keretek között, a kötelezően felmérésre kerülő témakörök figyelembevételével szabadon állítják össze a MiFID-teszt konkrét tartalmát. Annak érdekében, hogy az ügyfél számára megfelelő befektetési terméket értékesítsenek, és utóbb az ügyfél lehetőleg ne kifogásolja a részére nyújtott szolgáltatást az általa eszközölt befektetést (például annak veszteségessége miatt), a szolgáltatók törekvése az, hogy már a befektetési szolgáltatási szerződés megkötése előtt, lehetőleg a szolgáltatások igénybevételét biztosító keretszerződés aláírásával egyidőben, kellő mélységben beszerezzék az ügyfél szükséges adatait.

A Szolgáltató MiFID teszttel kapcsolatos adatkezelési gyakorlata

A Szolgáltató a befektetési szolgáltatások nyújtására a tőkepiacon általánosan elterjedt gyakorlattal egyezően keretszerződést köt az ügyfeleivel. A Szolgáltató a keretszerződés megkötésekor valamennyi ügyfele esetén megfelelési teszt kitöltését írta elő a Bszt. 45. § (1) bekezdése alapján.

Bizonyos jövedelmi vagy vagyoni feltételeknek megfelelő ügyfelek a keretszerződés alapján választásuk szerint tanácsadási szolgáltatásokat is igénybe vehettek, ezért a Szolgáltató az ilyen kiemelt ügyfélkör esetében általánosan kötelezővé tette a Bszt. 44. § (1) bekezdése szerinti alkalmassági teszt kitöltését.

A NAIH megállapításai

A NAIH az adatvédelmi hatósági eljárás eredményeként bírsággal sújtotta a Szolgáltatót. A NAIH a határozatában több megállapítást is tett, többek között: (i) általában – és különös tekintettel a jogalap vonatkozásában – nem tartotta megfelelőnek a Szolgáltatónak a MiFID-teszttel összefüggésben történő adatkezelésével kapcsolatos tájékoztatását, (ii) másrészt kifogásolta, hogy a Szolgáltató megfelelő jogalap nélkül valamennyi kiemelt ügyfele számára kötelezővé tette az alkalmassági teszt kitöltését, és ebből következően az azokkal kapcsolatos személyes adatokat kezelte.

A NAIH álláspontja szerint az alkalmassági tesztben megadott személyes adatok kezelése a Szolgáltató jogi kötelezettsége a Bszt. 44. § (1) bekezdése alapján, ha befektetési tanácsadási vagy portfóliókezelési szolgáltatást nyújt az ügyfelének.

A Bszt. 44-46. §-ai azonban nem írják elő a Szolgáltató számára az alkalmassági teszt készítését, ha az ügyfél nem vesz igénybe olyan szolgáltatást, amelynek nyújtásához az alkalmassági tesztben foglalt adatok szükségesek. Befektetési tanácsadás tényleges nyújtása vagy portfóliókezelés tényleges igénybevétele hiányában tehát az alkalmassági tesztben megadott személyes adatok kezelése már nem lehet a Szolgáltató jogi kötelezettsége. Ahhoz tehát, hogy a Szolgáltatónak a Bszt. 44. § (1) bekezdése szerinti, alkalmassági teszttel összefüggő adatkezelési kötelezettsége fennálljon, az alkalmassági teszt kitöltését megelőzően az ügyfélnek kezdeményeznie kell, hogy a Szolgáltató nyújtson részére befektetési tanácsadást vagy végezzen számára portfóliókezelést.

A Szolgáltató hivatkozott arra, hogy ebben a körben az ügyfelek által az alkalmassági tesztben megadott személyes adatokat a jogos érdeke alapján kezeli, az Európai Értékpapír-piaci Hatóság ESMA35-43-620 és ESMA35-43-1163 ajánlásainak, illetve, az azokhoz kapcsolódó 25/2018. (VII.5.) és 10/2019, (IV. 15.) MNB ajánlásoknak (a továbbiakban együttesen: ajánlások) megfelelően, az ajánlásokkal összefüggésben a Bszt. 17/A. §-a szerinti célpiaci vizsgálat elvégzésére vonatkozó jogszabályi kötelezettsége teljesítése céljából.

A NAIH a Szolgáltató álláspontjával nem értett egyet. A NAIH szerint ugyanis, amennyiben egy adatkezelés ahhoz szükséges, hogy az adatkezelő a jogszabályi kötelezettségeinek (jelen esetben a Szolgáltató a Bszt. általa hivatkozott 17/A. §-ának) eleget tegyen, akkor az adatkezelésének a jogalapja a GDPR 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettsége. Az adatkezelő jogos érdeke kizárólag olyan érdek lehet, amely nem jogszabályi vagy szerződéses kötelezettségből ered, mivel az utóbbi esetekben az adatkezelés nem a jogos érdek érvényesítését, hanem a jogi kötelezettség, vagy a szerződés teljesítését szolgálja.

A NAIH határozata hangsúlyozza továbbá, hogy az ajánlások alapján a Szolgáltatónak a célpiac meghatározásához szükséges döntését többek között a saját ügyfélbázisára vonatkozó meglévő információkra és ismeretekre kell alapoznia, ahhoz észszerűen szükséges és elérhető adatokat kell felhasználnia, amelyek befektetési és kiegészítő szolgáltatások révén összegyűjthetőek. Vagyis, a célpiac ellenőrzése elvégezhető akkor is, ha a kiemelt, az alkalmassági teszt kitöltésére kötelezett ügyfél nem tölti ki az alkalmassági tesztet. Ugyanakkor az ajánlások nem jogszabályok, a Bszt. 17/A. §-a pedig nem ír elő adatkezelési kötelezettséget, az ott előírtak teljesítéséhez nem szükséges az alkalmassági tesztekkel gyűjtött személyes adatok kezelése. Ezért ezen rendelkezések a tárgybani adatkezelést sem a jogos érdek, sem a jogszabályi kötelezettség teljesítése jogcímére tekintettel nem alapozzák meg.

A fentiek alapján a NAIH határozatában többek közt azt is megállapította, hogy a Szolgáltató megfelelő jogalap hiányában kezeli a tanácsadási szolgáltatást igénybe nem vevő ügyfelek alkalmassági tesztben megadott személyes adatait.

A Szolgáltató a NAIH határozatával szemben a bírósághoz fordult, annak jogszabálysértő volta megállapítását és elsődlegesen annak megváltoztatását, másodlagosan annak megsemmisítését és a kereseti kérelemben foglaltak előírásával új eljárásra való kötelezését kérte.

A bíróság álláspontja

A bíróság az ítéletében a Szolgáltató kereseti kérelmeit elutasította és indoklásával megerősítette a NAIH álláspontját. A Szolgáltató jogos érdekre alapított adatkezelése kapcsán a bíróság az eljárása során megvizsgálta az ajánlásokat, és a Bszt. 17/A. §-ában foglaltakat. Ennek alapján az ítéletében arra az álláspontra helyezkedett, hogy egy adott termék célpiaca, azaz a termék által célzott ügyfelek köre anélkül meghatározható, hogy a Szolgáltató a konkrét ügyfeleinek konkrét adatait kezelné, hiszen a célpiac meghatározásához nem konkrét ügyfelek egyedi adatai szükségesek, hanem a termék sajátosságaiból kiindulva, a termék oldaláról kell meghatározni azon ügyfelek csoportját, általános jellemzőit, akiknek az adott termék a lehető leginkább megfelel. Erre tekintettel nem látott különbséget az egyes ügyfélcsoportok vonatkozásában, azaz, hogy a kiemelt szolgáltatói ügyfelek esetén a tanácsadási szolgáltatást igénybe nem vevő ügyfelektől eltérően az alkalmassági teszt adataira is szükség lenne ezen okból.

A bíróság e körben arra jutott, hogy a célpiac vizsgálati kötelezettség teljesítése sem jogi kötelezettség teljesítéseként, sem ügyfélvédelem, vagy prudens eljárás címen nem alapozza meg a felperes jogos érdekére alapított adatkezelést. Ez a megállapítás a tőkepiaci jogszabályok (az ún. MiFID) oldaláról szemlélve másként van: a befektetési termékek, pénzügyi eszközök forgalmazója az eszközök kibocsátóitól eltérő célpiaci értékesítési gyakorlatot is kialakíthat például konkrét ügyféligény esetén vagy akkor, ha több pénzügyi eszközből összeállított csomagterméket értékesít, és fedezeti, kockázatcsökkentési céllal ajánl olyan eszközt az ügyfélnek, aki egyébként nem tartozik a termék kibocsátó által meghatározott célpiacába.

A bíróság a Bszt. 44. §-a alapján vizsgálta azt is, hogy az alkalmassági teszt kitöltésére mikor kerülhet sor. A bíróság nem fogadta el a Szolgáltató azon hivatkozását, hogy mivel a keretszerződés megkötésétől kezdve a tanácsadási szolgáltatást igénybe nem vevő kiemelt ügyfelek számára is bármikor elérhetőek a tanácsadási szolgáltatások, ezért a Szolgáltató törvényi kötelezettsége minden ilyen ügyfélnél szükséges az alkalmassági teszt elvégzése, függetlenül attól, hogy a kiemelt ügyfél a keretszerződés aláírását követően bizonyos ideig nem vesz igénybe tanácsadási szolgáltatást, mivel a keretszerződésben biztosított lehetőség alapján ez nem jelenti azt, hogy a jövőben sem kíván ilyet igénybe venni.

Fontos megállapítása a bíróságnak, hogy a bizonytalan jövőbeni eseményre alapított adatkezelés célszerűsége nem nyerhet igazolást, különös tekintettel arra, hogy a Bszt. 44. § (1) bekezdése kifejezetten úgy rendelkezik, hogy a befektetési vállalkozás keretszerződés esetében a megbízás végrehajtását megelőzően teljesíti az ügyfélre vonatkozó tájékozódási kötelezettségét, azaz az alkalmassági tesztet ekkor kell felvennie. A bíróság értelmezése szerint ugyanis a fenti jogszabályi rendelkezésből egyértelműen következik, hogy az alkalmassági teszt kitöltetésére csak akkor kerülhet sor, ha az ügyfél a megbízási keretszerződés megkötését követően a tanácsadási ügylet végrehajtására irányuló konkrét megbízást ad. Ez az értelmezés a Bszt. szó szerinti értelmezésének megfelel ugyan, a befektetési tanácsadási és a portfóliókezelési tevékenység végzésének kereteit és a tőkepiaci gyakorlatot azonban nem veszi figyelembe. A befektetési tanácsadási és a portfóliókezelési tevékenységek meghatározó jellemzője, hogy a szolgáltatók keretszerződést kötnek ezeknek a szolgáltatásoknak az igénybevételére. A keretszerződés biztosítja az ügyfél számára a konkrét befektetési tanács kérésének lehetőségét, a portfóliókezelés esetén pedig az ügyfél vagyonának a szolgáltató egyedi feltételek szerinti vagyonkezelésbe adását. A befektetési tanácsadásnál még elképzelhető a konkrét befektetési tanács igénybevételét megelőző alkalmassági tesztelés (bár a felügyeleti elvárások a 3 évenkénti teszt ismétlést írják elő), a portfóliókezelésnél azonban a kezelésbe adott vagyonnal kapcsolatos konkrét befektetési döntések előtt az ügyféllel jellemzően nem történik kapcsolatfelvétel, a szolgáltató a portfóliókezelési szerződésben az ügyfél által rögzített keretek között, diszkrecionális vagyonkezelést végez.

A bíróság egyetértett a NAIH-hal abban, hogy a jogszabályi előírások és a felügyeleti hatósági elvárások, ajánlások csak abban az esetben alkalmazandóak a Szolgáltató részéről, ha egy ügyfél ténylegesen olyan szolgáltatást vesz igénybe, olyan ügyletet köt, olyan terméket vásárol, amelynek kapcsán a befektetési szolgáltató számára a fenti védelmi funkcióját be tudja tölteni. Így mindazok az ügyfelek, akik keretszerződést kötnek ugyan a Szolgáltatóval, de annak alapján később tanácsadási szolgáltatást nem vesznek igénybe tőle, nem szorulnak arra a fokozott védelemre, amelynek biztosításához a Szolgáltatónak az alkalmassági tesztben felvett adatokra lenne szüksége, vagyis az ilyen típusú ügylet megkötésének elméleti lehetősége nem alkalmas a magánszemélyek személyes adatainak kezeléséhez fűződő jogos érdek alátámasztására, sem a befektetők védelme, sem a jogi kötelezettségek teljesítése szempontjából.

Az ítélet indoklásában – mintha „tanácsot adna” – a bíróság megfogalmazza azt is, hogy az alkalmassági tesztek kezelésével kapcsolatosan milyen esetben látja lehetőségét az adatkezelésnek a konkrét megbízás adását közvetlenül megelőző időpont előtt.

A bíróság álláspontja szerint jogszerű magatartás az lenne, ha a Szolgáltató a keretszerződés megkötésekor választási lehetőséget biztosítana az érintett kiemelt ügyfélkategóriába sorolt ügyfeleinek arra vonatkozóan, hogy a tanácsadási ügyletek jövőbeni, esetleges megkötése esetére kívánják-e előre kitölteni az alkalmassági tesztet annak ismeretében, hogy az milyen előnyökkel járhat számukra.

Így a Szolgáltató az ügyfelek választása alapján az alkalmassági teszt kitöltését kérő és az azzal kapcsolatos adatkezeléshez hozzájárulást adó ügyfelek személyes adatait már azelőtt kezelné a GDPR 6. cikk (1) bekezdés a) pontja alapján, hogy a Bszt. 44. § (1) bekezdése szerinti jogszabályi kötelezettsége alapján az adatkezelése időszerűvé válna.

Megfelelő hozzájárulás hiányában azonban a Szolgáltató a tanácsadási szolgáltatást igénybe nem vevő ügyfelek alkalmassági tesztben megadott személyes adatait jogos érdeke alapján jogszerűen nem kezelheti.

Következtetések

Álláspontunk szerint kérdéses, hogy vajon a Bszt. 44. § (1) bekezdése adatkezelési szempontból (i) egyfajta időbeli korlátot támaszt-e a befektetési szolgáltatást nyújtó adatkezelő felé, azaz, a keretszerződés esetén a konkrét megbízás megadását közvetlenül megelőző időpontot megelőzően nem végezhető el az alkalmassági teszt, vagy (ii) szükségességi kritériumot fogalmaz meg, azaz a szerződéses kapcsolat létrejöttekor még nem kívánja meg az alkalmassági teszt elvégzését és lehetővé teszi, hogy arra később kerüljön sor, azzal, hogy legkésőbb a konkrét megbízás adása előtt a teszt felvételének meg kell történnie.

Az utóbbi esetben ugyanis az alkalmassági teszt felvételére nem csak a konkrét ügylet megkötése előtt kerülhetne sor, vagy akkor, ha az ügyfél a befektetési tanácsadási vagy portfóliókezelési szolgáltatás végrehajtására konkrét megbízást adna, hanem a szükségtelen adatkezelést kizárva már akkor is, ha az ügyfél kinyilvánítja, hogy szándékában áll az említett szolgáltatásokat vagy azok valamelyikét igénybe venni. Ez utóbbi esetben kérdéses, hogy szükséges-e és lehetséges-e a hozzájárulást, mint adatkezelés jogalapot megjelölni ebben az esetben a törvényi kötelezettség helyett.

Vissza a hírekhez