(+36)-1-212-8731 szerkesztoseg@kbj.hu

VII. évfolyam 3. szám

 

Tanulmányok

Gyenes-Kovács Zoltán
ügyvéd

Néhány adatkezelési kérdés a biztosításközvetítői szektorban

 

1. Bevezetés

 

[1] A jelen tanulmány a Magyar Jogász Egylet Biztosítási Jogi Szakága és az AIDA Biztosítási Jogi Egyesület „Titkaink – adatvédelmi kihívások a biztosításban” címmel rendezett konferenciáján elhangzott előadás alapján készült, attól némileg eltérő szerkesztéssel, de azzal lényegileg azonos tartalommal.

 

[2] Az alábbiakban a biztosításközvetítői tevékenységhez közvetlenül kapcsolódó adatkezelések néhány egyedi, vagy „problémás” részletét igyekszem bemutatni. A tanulmány spektrumán kívül maradnak azok az adatkezelések, melyeket a biztosításközvetítők egyéb minőségükben végeznek (figyelemmel arra, hogy a közvetítők sok esetben – magukat inkább „pénzügyi tanácsadóként” definiálva – , a biztosításközvetítés mellett a Hpt.[1] szerinti hitelközvetítésben, illetve a Bszt.[2] szerinti befektetési szolgáltatások közvetítésében is részt vesznek).  Hasonló sorsra jutott az online biztosításközvetítések, valamint a manapság egyre jobban terjedő vegyes (személyes és online elemeket együtt alkalmazó) modellek témája, amely olyan, eltérő aspektusú megközelítést igényel, hogy értelmetlennek ítéltem ennek rövid érintését.

 

2. A biztosításközvetítői tevékenység rövid bemutatása

 

2.1. A biztosításközvetítők tevékenységéről általában

 

[3] A biztosításközvetítés modern jogi kereteinek alapjait huszonhat évvel ezelőtt fektette le a biztosítóintézetekről és a biztosítási tevékenységről szóló 1995. évi XCVI. törvény. Azóta természetesen sok és jelentős változás történt a szabályozásban – a biztosításközvetítés két meghatározóan elkülönülő modelljének (mai kifejezéssel: a függő és a független biztosításközvetítés rendszerének) alapjait már ez a törvény létrehozta.

 

[4] A közvetítés – általánosabb megközelítéssel – alapvetően három modellen alapulhat: a bizományosi, az ügynöki és az alkuszi típusú jogi konstrukción. Fontos felhívni a figyelmet arra, hogy biztosítási közjog (és gyakorlat) fogalomrendszere némiképpen eltér a kereskedelmi jogban egyébként elfogadott fogalom-használattól: a kereskedelmi jogban az alkuszi ügylet fogalma alatt a kereskedelmi törvénykönyvről szóló 1875. évi XXXVII. törvénycikk óta hagyományosan azt megoldást értjük, amelyben az alkusz a termék eladója, vagy szolgáltatást nyújtó szervezet nevében, megbízásából jár el. Az alábbiakban kifejtettek szerint a biztosításközvetítés mai rendszerében ez a megoldás viszont éppen az ügynök vagy a többes ügynök által végzett tevékenységre igaz.

 

2.2. A két meghatározó biztosításközvetítői modell: függő és független közvetítők

 

[5] A fent hivatkozott 1995-ös törvényt váltó 2003. évi LX. törvény, majd hatályos közjogi kódex, a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény (a továbbiakban erre hivatkozom Bit-ként) – a fent írtak szerint – fenntartotta azt a kettősséget, mely a biztosításközvetítés adatvédelmi szempontú megközelítése szempontjából is nagy jelentőségű. A függő közvetítő – bár a jogviszonyt részletesebb elemzéssel vegyes szerződésként határozhatjuk meg – meghatározóan a megbízás elemeit hordozó szerződéses viszonyban áll a biztosítási fedezetet nyújtó biztosítóval. A szakmai szlengben csak „egyes ügynökként” ismert ügynök jellemzően egy biztosító megbízottja, míg a szintén függő közvetítést végző többes ügynök több biztosító megbízása alapján végzi a közvetítői tevékenységet. Ezektől eltérően a – hatályos jogunkban – egyetlen független közvetítő, az alkusz alapvető jogi pozícióját a biztosítóval szerződést kötni kívánó féllel (biztosítottal, illetve – amennyiben adott esetben e két személy nem azonos – szerződővel) létrejövő megbízási jogviszony határozza meg. Első megközelítésben, némileg leegyszerűsítve tehát azt állapíthatjuk meg, hogy az ügynök és a többes ügynök a biztosító, vagy biztosítók képviseletében végzi a tevékenységét, míg az alkusz – megbízási jogviszonya alapján – a biztosítottat képviseli a biztosítási szerződés megkötésének előkészítése és megkötése, valamint annak fennállása során.

 

2.3. A közvetítői modellek működését befolyásoló néhány jelentős körülmény

 

[6] Az előző bekezdésben leírt jogi struktúrát több körülmény is bonyolítja, s ezeket a később kifejtendő adatvédelmi szempontok miatt sem lehet megkerülni. Az első ilyen körülmény a függő közvetítők körébe tartozó többes ügynök tevékenységével kapcsolatos.

 

[7] Amennyiben a biztosítási fedezetet kereső ügyfél egy többes ügynök „biztosítói palettájáról” kívánja kiválasztani a számára legmegfelelőbb terméket, akkor ennek megtörténtéig számos jogi relevanciájú lépés történik. A többes ügynök felméri az ügyfél igényeit és szükségleteit, ezek alapján biztosítási szakmai elemzést végez, melynek eredményeképpen bemutatja az ügyfél részére, hogy mely termékeket találta az ügyfél igényeinek megfelelőnek. Míg a többes ügynök e tevékenységeit végzi az ügyfél részére (míg az ügyfél nem választott ki egy konkrét biztosítási terméket), addig értelemszerűen egyik konkrét biztosító képviselőjének sem tekinthető, tehát szükségszerűen létrejön egy önálló jogviszony közte és az ügyfél között. Ezt a körülményt a Bit. közjogi normarendszere gyakorlatilag figyelmen kívül hagyja, kizárólag a hibás teljesítésből fakadó felelősség irányából szabályozza a 391. § (5) bekezdéssel: „ha vitás, vagy nem állapítható meg, hogy mely biztosító termékének a közvetítése során okozta a többes ügynök a kárt vagy a sérelemdíj iránti igényt, a többes ügynök köteles a kárt megtéríteni, illetve a felmerült sérelemdíjat megfizetni„.  Ez a szabály egy önálló és nyilvánvalóan kontraktuális típusú felelősségi alakzatot hoz létre, amely értelemszerűen nem képzelhető el kontraktus (tehát az ügyfél és a többes ügynök közötti jogviszony, szerződés) nélkül.

 

[8] A következő, írásom témája szempontjából szintén releváns körülmény az alkusz működéséhez kötődik. Az alkusz tehát a biztosított képviselője, a kettejük között a biztosítótól függetlenül fennálló („alkuszi”) megbízási jogviszony alapján. Szokás azonban az alkusz jogi pozícióját „Janus-arcúnak” nevezni, figyelemmel arra, hogy az alkuszok a díjazását a biztosítók fizetik az azokhoz közvetített biztosítási szerződések alapján. A biztosítók és az alkuszok között terjedelmes szerződések szabályozzák mind a díjazást, mind pedig a biztosítási ajánlatok benyújtásának, valamint a létrejött szerződések hatálya alatt felmerülő feladatoknak egy részét. A Bit. kógens szabályai alapján tehát nem jöhet létre megbízásnak tekinthető jogviszony az alkusz és a biztosító között, mindeközben azonban akár „több tízoldalnyi” terjedelmű szerződések szabályozzák a biztosítások megkötéséhez és fenntartásához kapcsolódó együttműködésüket.

 

3. A biztosításközvetítők adatkezeléseinek „szereplői”

 

3.1. Az érintett

 

[9] A feladatunk tehát e tárgyban az, hogy azonosítsuk „a személyes adatok védelméhez fűződő jog alanyát”[3] a biztosításközvetítési ügyletek során. Nem igényel különösebb magyarázatot, hogy a legtipikusabb adatalany a Ptk. 6:439. § (1) bekezdésében szereplő szerződő fél (a biztosítási szakmai szereplők általában csak röviden „szerződőként” hivatkoznak rá), aki a biztosítóval a biztosítási szerződést megköti. A biztosításközvetítést végző szervezetnek azonban az érintettek további kategóriáival is számolnia kell. A biztosítási szerződések jelentős része esetében eltérhet a szerződő fél és a biztosított személye, és szintén érintettként kell azonosítanunk a biztosítási szolgáltatás jogosultját, összegbiztosítások esetén a kedvezményezettet. Kárbiztosítások esetén is előfordulhat, hogy a jogosult nem azonos a biztosítottal, legegyszerűbb példa erre a felelősségbiztosítás, ahol a szolgáltatás jogosultja a biztosítási szerződésen kívül álló károsult.

 

[10] Bizonyos megközelítés szerint további sajátos jogi jellegzetességeket hordozó érintetti csoportba sorolhatók a csoportos biztosítási szerződések biztosítottjai. Ők – legalábbis a Ptk. 6:442. § (1) bekezdésben meghatározottaknak megfelelő szerződéses konstrukció esetén – személy szerint meg sem jelennek a szerződésben, meghatározásuk valamely szervezethez való tartozásuk, a biztosítottak és a szerződő fél között fennálló jogviszony vagy egyéb kapcsolat alapján történik. A biztosítási esemény bekövetkezésekor „jelennek meg” személyükben, s ekkor természetesen személyes adataik kezelésére is sor kerül.

 

[11] Végül utalni kell arra is, hogy egyes biztosítási termékek – például kockázati életbiztosítások – esetén a biztosítottak hozzátartozóinak személyes adatai is kezelendők, anélkül, hogy e személyek a fent felsorolt érintetti csoport bármelyikébe besorolhatók lennének. Szintén e biztosítási termékcsoport sajátossága, hogy a biztosítási esemény (a biztosított személy halála) bekövetkezését követően már az elhunyt személy adatainak kezelésére kerül sor, így ebben az esetben a biztosításközvetítőnek a GDPR szabályai mellett az Infotv. 25. §-ának előírásaira is figyelemmel kell lennie.

 

[12] A fentiekből is láthatóan a lehetséges érintettek számos – egymástól jelentősen elkülönülő jogosultságokkal és kötelezettségekkel rendelkező – csoportba sorolhatók. A különböző érintetti csoportokba tartozó személyek esetében a kezelt személyes adatok kategóriái és száma is jelentősen eltér, illetve az adatkezelési célokban is markáns eltérések mutatkoznak. Ebből adódóan a biztosításközvetítőknek rendkívül gondosan kell megtervezniük az adatkezeléseiket az elszámoltathatóság elvének való megfelelés (alapelvi megfelelés, kockázatalapú technikai, műszaki, szervezési intézkedések stb.) érdekében.

 

3.2. Adatkezelők, közös adatkezelők, adatfeldolgozók

 

3.2.1. Az alkusz, mint adatkezelő

 

[13] Már a 29. cikk alapján létrehozott adatvédelmi munkacsoport[4] is megfogalmazta a 1/2010. számú véleményében[5], hogy az adatkezelésben részt vevő személyek fogalmainak meghatározását „nehéz egy olyan összetett környezetben alkalmazni, ahol sokféle forgatókönyv elképzelhető, különböző mértékű autonómiával és felelősséggel rendelkező, önállóan vagy együttesen eljáró adatkezelőkkel és adatfeldolgozókkal”. A biztosítási szolgáltatások nyújtására, ennek közvetítésére, az ebben közreműködő összetett szervezetrendszerre a jelen tanulmány írója szerint ez az állítás különösen igaz. Ma a legegyszerűbb biztosítási szerződés megkötésében is számos szervezet és személy vesz részt. Vizsgálódásunk során kiindulópontnak tekinthetjük, hogy a biztosítási fedezetet kereső ügyfél az esetek jelentős részében már eleve egy biztosításközvetítő közreműködésével lép kapcsolatba a biztosítóval[6].

 

[14] A biztosítók és a biztosításközvetítők egymással többféle, és egyenként is összetett kapcsolatban állnak. A biztosításközvetítők további szervezetekkel történő gazdasági és jogi együttműködéseken keresztül végzik a feladataikat: közvetítői alvállalkozók (egyik tipikus példája ennek a gépjármű-biztosítások megkötése során az alkusz nevében eljáró gépjármű-kereskedő), a szerződéseket létrehozó és a nyilvántartásokat kezelő számítógépes programokat szolgáltató informatikai vállalkozások, tárhely-szolgáltatók (mindkét esetben beleértve a felhő-alapú szolgáltatásokat nyújtó szervezeteket) stb.

 

[15] A fentiekben vázolt, összetett rendszerben nem mindig könnyű meghatározni még az adatkezelés legalapvetőbb strukturális elemeit sem. Jól mutatja ezt, hogy a GDPR alkalmazandóvá válását követően zavaros viszonyok alakultak ki a biztosításközvetítők adatkezelési jogi státusza kapcsán, és relatíve hosszú időszaknak kellett eltelnie a konszenzus kialakulásig. Az első időszakban a biztosítók jelentős része – leginkább praktikus okokból – egységesen akarta kezelni a vele kapcsolatban álló biztosításközvetítőket, ebből fakadóan ugyanazt a – blanketta – adatfeldolgozói megállapodást akarták megkötni az alkuszokkal, mint az ügynökökkel és a többes ügynökökkel. Más biztosítók ezzel szemben – a felelősség szempontjait előtérbe helyezve – az alkuszokat adatkezelőként azonosították. Mindkét megközelítésre vonatkozik azonban, hogy  ebben a kezdeti időszakban csak elvétve bukkantak fel mélyebb adatvédelmi jogi elemzésen alapuló érvek az alkusz státuszának meghatározására (bár azt meg kell említeni, hogy a szakmai szövetségek – MABISZ, FBAMSZ, MABIASZ – tettek lépéseket az egységes gyakorlat kialakulása érdekében). Jelenleg azt állapíthatjuk meg, hogy a szakmai szereplők meghatározó többsége az alkusz önálló adatkezelői státusza mellett foglal állást.

 

[16] A GDPR 4. cikk 7. pontja szerint  „adatkezelő” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. A biztosítási alkusz – legalábbis tevékenysége meghatározó részében – megfelel ennek a definíciónak. Az ügyféllel létrejövő megbízás jogviszonyban önállóan határozza meg az adatkezelés céljait és eszközeit, a saját nevében kezeli ügyfelei személyes adatait. Jogelméleti szempontból lehet arról gondolkodni, hogy az adatkezelői pozíció meghatározásában a jogi rendelkezéseknek („control stemming from legal provisons”[7]), vagy a tényleges befolyásnak („control stemming from factual influence”) van jelentősebb szerepe, de megítélésem szerint az nem vitatható, hogy a biztosítási alkusz a Bit-ben meghatározott tartalmú biztosításközvetítői feladatainak meghatározó részében önálló adatkezelőként kell, hogy az irányadó jogi előírásoknak megfeleljen.

 

3.2.2. A közös adatkezelés

 

[17] Még a kérdés részleteinek kibontását megelőzően fontos előre leszögezni, hogy az itt írtak kizárólag a jelen tanulmány írójának saját véleményét tükrözik, az érintett szakmai szereplők (alkuszok és biztosítók) részéről eddig nem jelentek meg ezzel egybehangzó álláspontok (igaz, ezzel ellenkezők sem).

 

[18] A 3.2.1. pontban úgy fogalmaztam, hogy „a biztosítási alkusz a Bit-ben meghatározott tartalmú biztosításközvetítői feladatainak meghatározó részében” önálló adatkezelő. Ezzel kapcsolatban szeretnék visszautalni a 2.3. pontban írtakra, azon belül az alkuszok és a biztosítók polgári jogi szempontból leginkább innominátként meghatározható szerződéses viszonyára. A biztosítók és alkuszok ezen együttműködési megállapodásai meghatározóan két nagy területet szabályoznak: a díjazást (ld. ezzel kapcsolatban a 2.3. pontban írtakat), valamint annak az adminisztratív kereteit, hogy az alkusz milyen csatornákon, milyen formában, milyen adattartalommal stb. kell, hogy benyújtsa – az ügyféltől kapott megbízása alapján elkészített – biztosítási ajánlatot, valamint az ahhoz kapcsolódó, esetenként nagyon terjedelmes, kiegészítő dokumentációt. Számos ilyen megállapodás tartalmának ismeretében meggyőződésem, hogy ezek érintik a szerződők (és esetlegesen a 3.1. pontban említett további érintettek) személyes adatait. Abból a tényből fakadóan, hogy ezek szabályok a biztosító és az alkusz közös, szerződéses akaratát rögzítik, következik, hogy megvalósul a GDPR 26. cikkének (1) bekezdésében meghatározott feltétel, mely szerint az adatkezelés céljait és eszközeit két adatkezelő közösen határozza meg.

 

[19] A fentiek szerint tehát az a véleményem, hogy az alkuszok és biztosítók együttműködését szabályzó megállapodások tárgyi hatálya alá tartozó tevékenységek az ügyfelek személyes adatait érintő részleteikben közös adatkezelések.

 

3.2.3. Az alkusz, mint adatfeldolgozó

 

[20] Az előző pontban írtak mellett további jogi és ténybeli körülmények teszik még differenciáltabbá a biztosítási alkusz adatkezelésekben történő részvételét. A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (Pmt.) személyi hatálya – a Pmt. 1. § (1) bek. b) és 3. § 28. pont g) alpontja alapján – a  biztosítóra is kiterjed életbiztosítási ágba tartozó tevékenységéhez kapcsolódóan. A Pmt. szabályainak megfelelően a biztosító az üzleti kapcsolat létesítésekor ügyfél-átvilágítást végezni, mely természetesen személyes adatok kezelésével jár együtt. Említés szintjén érdemes itt utalni arra is, hogy a Pmt. maga is rögzít személyes adatok kezelésére vonatkozó szabályokat (56-59/A. §§-ok), melyekre értelemszerűen szintén figyelemmel kell az adatkezelések megtervezése, végrehajtása során.

 

[21] A Pmt. szabályaihoz kapcsolódó adatkezelések számos szempontból kerülhetnek az adatvédelmi jogi elemzések „nagyítója alá” (személyazonosító igazolványokról történő másolatkészítés kötelezettsége, tényleges tulajdonosi megnevezése, kiemelt közszereplőkre vonatkozó adatkezelések stb.), a jelen tanulmány tárgyának szempontjából azonban egy ezektől eltérő körülmény bír relevanciával, mégpedig az, hogy biztosításközvetítő közreműködése esetén az üzleti kapcsolat létesítése során a biztosító nem találkozik személyesen az ügyféllel (kevés kivételtől eltekintve az ügyfél-átvilágítást személyesen kell elvégezni). Gyakorlatilag tehát egyetlen megoldásként az marad, hogy az ügyfél-átvilágítási intézkedéseket az alkusz végzi el. A helyzetet az teszi még összetettebbé, hogy az alkusz a Pmt. fent már hivatkozott 3. § 28. pontjának h) alpontja alapján saját kötelezettségként is köteles – gyakorlatilag pontosan ugyanazokat – az ügyfél-átvilágítási intézkedéseket elvégezni. Ez azonban független a biztosító kötelezettségétől, melyet tehát az alkusz közreműködésével teljesít. A Pmt. szabályozásából fakadóan ezt a tevékenységet az alkusz a biztosító nevében végzi, ezért véleményem szerint az sem kétséges, hogy ennek során az alkuszt a biztosító adatfeldolgozójának kell tekintenünk.

 

[22] A Pmt. alapján az előző bekezdésben írt, a biztosító nevében végzett adatkezelés természetesen csak egy példa arra, hogy az alkusz adatkezelőként teljesítendő kötelezettségei mellett, azokkal párhuzamosan, adatfeldolgozói státuszba is kerülhet, melyből természetesen eltérő kötelmek fakadnak a számára. Véleményem szerint egy általánosabb megközelítéssel úgy fogalmazhatjuk ezt meg, hogy az alkusz adatkezelő mindazon esetekben, amelyekben az érintett (ügyfél) személyes adatainak kezelésére az alkuszi megbízási jogviszonnyal kapcsolatos adatkezelési célok kapcsán kerül sor, és adatfeldolgozó lesz akkor, ha az adatkezelést a biztosítási jogviszonyhoz kapcsolódó adatkezelési célok valamelyikéhez kötődően végzi.

 

3.2.4. Néhány következtetés az alkusz lehetséges adatkezelési státuszaira vonatkozóan

 

[23] A 3.2.1. – 3.2.3. pontokban írtakból véleményem szerint egy meglehetősen összetett kép rajzolódik a biztosítási alkuszról, amely mindennapi működése során egyidejűleg végzi személyes adatok kezelését önálló adatkezelőként, bizony adatkezelések tekintetében közös adatkezelés keretében, megint más esetben pedig a biztosító adatfeldolgozójaként (arról nem is beszélve – mivel a jelen tanulmány témájához ez nem kapcsolódik –, hogy a biztosítási alkusz nem kizárólagosan végzi a biztosításközvetítést, a cégek nagy része, mint „általános pénzügyi tanácsadó”, jellemzően hitelközvetítést, befektetési szolgáltatások közvetítését, továbbá nyugdíj- és egészégpénztári tagszervezést is végez). Megítélésem szerint ebből következően nagy gondot kell fordítani arra, hogy a többféle státuszban végzett, egyébként is összetett, esetenként személyes adatok jelentős számára, és nagyszámú érintettre kiterjedő  adatkezelések egy elvárható, mindezen körülményekkel arányos belső szabályozás mentén valósuljanak meg (ld. GDPR 24. cikk (2) bekezdés). Hasonló gondossággal kell megtenni a szükséges intézkedéseket annak érdekében, hogy a közös adatkezeléseket megfelelő megállapodások rendezzék (GDPR 26. cikk (1) bekezdés),  végül pedig – bár ezt nagyobbrészt a biztosítók feladatként határozhatjuk meg – gondoskodni kell az adatfeldolgozói tevékenység jogszerűségéhez szükséges követelmények biztosításáról is (GDPR 28. cikk).

 

3.2.5. A többes ügynök, mint adatkezelő, és mint adatfeldolgozó

 

[24] Az alkusz adatvédelmi jogi státuszának meghatározásánál is több problémát okozott, és okoz ma is a többes ügynök helyzetének, szerepének meghatározása. Ahogy a 2.2. és 2.3. pontokban már utaltam rá, Bit. mind az ügynököt (4. § (1) bek. 34. pont a) alpont), mind a többes ügynököt (4. § (1) bek. 34. pont b) alpont) a függő közvetítők közé sorolja. Noha a Bit. szabályai alapján elvben az ügynök is jogosult több biztosító ún. nem versengő termékeit értékesíteni, az ügynökök a gyakorlatban szinte kizárólag egy biztosítóval állnak jogviszonyban, egy biztosító termékeit értékesítik. A többes ügynök ezzel szemben több biztosító versengő termékeit is értékesítheti, a gyakorlat felől nézve szinte pontosan azt teszi, amit egy alkusz, de azt – a Bit. definíciójában meghatározottak szerint – a biztosítókkal fennálló jogviszonya alapján.

 

[25] A Bit. idézett szabálya alapján a „piac” azt a megoldást választotta, hogy az ügynököket és a többes ügynököket a biztosítók (és maguk a közvetítők is) adatfeldolgozóként határozták meg, és a GDPR alkalmazandóvá válását követően viszonylag rövid idő alatt sor került a – jellemzően a biztosítók által blanketta-szerződésként kidolgozott – adatfeldolgozói megállapodások megkötésére. Az ügynök esetében ez megfelelő megoldás. Az egyetlen biztosító számára közvetítő biztosítási ügynök a biztosítási szerződést a biztosítóval fennálló munkaviszonya keretében vagy a biztosító megbízása alapján közvetíti. A szerződő féllel történő kapcsolatfelvétel során az érintett személyes adatainak gyűjtésére, illetve a gyűjtött adatokkal egyéb adatkezelési műveletekre kizárólagosan a biztosítási szerződés megkötésének előkészítése érdekében kerül sor, melyet az ügynök – mint adatfeldolgozó – egyértelműen a képviselt biztosító – mint adatkezelő – nevében végez.

 

[26] Többes ügynök esetén azonban bonyolultabb a helyzet. Ahogy arra a 2.3. pontban röviden már utaltam, a többes ügynök tevékenységének első lépései során gyakorlatilag ugyanaz történik, mint az alkuszi közvetítés esetén: a biztosítási fedezetet kereső ügyfél az igényével a többes ügynökhöz fordul, aki köteles pontosan felmérni ezt az igényt. Ez az első feladat már elképzelhetetlen személyes adatok kezelése nélkül. Az ennek során kezelt személyes adatok ráadásul akár jelentős számúak is lehetnek, továbbá sokféle adat-kategóriába tartozhatnak. Kiemelést érdemel, hogy életbiztosítási szerződések közvetítése esetén a biztosított természetes személyre vonatkozó egészségügyi adatok kezelésére is sor kerülhet.

 

[27] A biztosítási igények felmérését a biztosítási elemzés fázisa követi, ennek során a többes ügynök a biztosított igényei alapján szakmai szempontok szerint mérlegeli (elemzi), hogy a vele megbízási szerződést kötött biztosítók termékei közül melyek felelnek meg az igényeknek. A többes ügynök közvetítési tevékenységének ezen fázisa értelemszerűen szintén együtt jár a – jellemzően az érintettől gyűjtött – személyes adatok kezelésével.

 

[28] Összefoglalóan megállapíthatjuk, hogy a többes ügynök jelentős, akár az adatok különleges kategóriáira is kiterjedő adatkezelést folytat azt megelőzően, hogy az ügyfél terméket és biztosítót választott volna. Jelenleg ez a tevékenység a piac jelentős szegmensében egyfajta adatvédelmi „fekete lyukban” zajlik.

 

[29] Véleményem szerint az az alternatíva különösebb elemzést sem érdemel, hogy hogy a többes ügynök ebben az időszakban az összes olyan biztosító nevében járna el, amellyel megbízási jogviszonyban áll. Ezt sem elméleti, sem gyakorlati szempontból nem lehet elfogadni. Az sem jelenthetne megoldást – jogelméleti megalapozatlansága mellett –, ha azt a biztosítót tekintenénk adatkezelőnek, akinek a termékét a szerződő majd kiválasztja;  számos közvetítési folyamat akad el ugyanis ebben a kezdeti fázisban, tehát számos adatkezelésre úgy kerül sor, hogy végül egyetlen biztosító, illetve egyetlen biztosítási termék ügyfél általi kiválasztására, illetve közvetítő általi értékesítésére sem kerül sor. Elméleti oldalról nézve is helytelen ez a lehetőség: a GDPR 4. cikk 7. pontja értelmében a személyes adatok kezelésnek célját és eszközeit önállóan vagy másokkal együtt az adatkezelő határozza meg. A jelen esetben a biztosítók közös adatkezelésének a lehetősége („másokkal együtt”) teljességgel kizárt, a definíció első fordulata („önállóan”) pedig szintén nem valósulhat meg, hiszen egyetlen biztosító sem határozhatja meg az összes szóba jöhető biztosítót és biztosítási terméket érintően az adatkezelés célját és eszközeit. A fentiekből álláspontom szerint az következik, hogy a probléma egyetlen megoldása az, ha a többes ügynököt önálló adatkezelőként azonosítjuk a biztosításközvetítési tevékenysége első szakaszában. Mivel a fentiek szerint ebben az szakaszban egyetlen biztosító sem lehet abban a helyzetben, hogy érdemben befolyásolja az adatkezelés körülményeit, ezért csak ezzel a megoldással valósulhat meg az adatvédelmi szabályozás azon célja, hogy a felelősséget oda helyezze, ahol a tényleges befolyás található („…to allocate responsibilities according to the actual roles of the parties…”[8])

 

[30] A többes ügynök biztosításközvetítésének ez a szakasza mind elméleti, mind gyakorlati szempontból elhatárolható az ezt követő tevékenységektől. Ha az ügyfél – bármilyen, az irányadó jogi szabályoknak megfelelő formában – megteszi azt a nyilatkozatát, amivel a biztosításközvetítői elemzés alapján elé tárt biztosítók, illetve termékek közül kiválasztja a számára megfelelőt, akkor ezt követően a többes ügynök már a kiválasztott biztosító nevében, annak adatfeldolgozójaként folytatja az érintett, vagy érintettek személyes adatainak kezelését. Ezt megelőzően viszont az adatkezelőre vonatkozó szabályok szerint, azoknak megfelelve kell, hogy végezze feladatait. Még formális értelemben sem elegendő tehát, ha a többes ügynök a jogi megfelelést kizárólag a biztosítókkal megkötött adatfeldolgozói megállapodásoknak és általában az adatfeldolgozókkal szemben támasztott jogi követelményeknek megfelelve kívánja biztosítani. Működésének első – a fent írt elhatárolási pontig tartó – szakaszában valamennyi, az adatkezelő számára előírt normának meg kell felelnie, sőt, még egy további követelmény is elvárhatónak látok a GDPR tisztességes eljárásra, valamint átláthatóságra vonatkozó alapelvei alapján: úgy gondolom ugyanis, hogy erre a speciális, az érintettek számára nyilvánvalóan nem megszokott helyzetre külön is fel kell hívni a figyelmet. Csak ilyen figyelemfelhívó tájékoztatás mellett lehet tisztában az érintett azzal, hogy a biztosítási szerződésének megkötését megelőzően, illetve annak során, és végül a szerződés hatálya alatt az őt személyes adatai kezelése kapcsán megillető jogokat hogyan (ebből szempontból főként: kivel szemben) tudja érvényesíteni, márpedig „a hatékony és teljes körű tájékoztatás az átláthatóság elengedhetetlen eleme és küszöbfeltétele az érintett jogérvényesítésének”[9].

 

3.2.6. Adatfeldolgozók, további adatfeldolgozók

 

[31] A tanulmány korábbi részében már érintettem az adatfeldolgozók témáját, de csak az adatkezelői és az adatfeldolgozói státuszok elhatárolásának problematikája szempontjából. A jelen fejezetben általánosan igyekszem bemutatni, hogy a függő és független biztosításközvetítők adatkezeléseiben miként jelennek meg az adatfeldolgozók, illetve további adatfeldolgozók.

 

[32] A téma bemutatásához figyelembe kell vennünk egy speciális közjogi szabályozást, a közvetítői lánc (horizontális és vertikális) zártságának elvét megvalósító normákat, melyeknek a jelen fejezet tárgyának szempontjából is relevanciájuk van. A Bit. 373. § szabályai szerint ennek lényege, hogy egyrészt a közvetítő alvállalkozója további alvállalkozót már nem vehet igénybe (a részéről már kizárólag munkaviszonyban foglalkoztatott természetes személyek vehetnek részt a biztosításközvetítési tevékenységben), másrészt egy közvetítői alvállalkozó kizárólag egy biztosításközvetítő (alkusz, többes ügynök) részére végezhet ilyen közreműködést.

 

[33] A fentiekből adatvédelmi jogi szempontból az következik, hogy ha az alkusz – mint adatkezelő – szerződést köt egy másik gazdálkodó szervezettel arra, hogy az közreműködjön a tevékenységében, és e gazdálkodó szervezet az alkusz adatfeldolgozója lesz, akkor a GDPR ugyan lehetővé tenné további adatfeldolgozó igénybe vételét a 28. cikk (2) és (4) bekezdéseinek  figyelembe vételével, ám az alkusz tevékenységében részt vevő alvállalkozó számára ez – további, eltérést nem engedő szabály miatt – kizárt.

 

[34] A többes ügynök esetében viszont – tevékenységének azon szakaszában, ahol már maga is adatfeldolgozóként, egy konkrét biztosító nevében végzi feladatait – sor kerülhet (és az esetek legnagyobb részében sor is kerül) további adatfeldolgozó igénybe vételére, hiszen az ő közvetítői alvállalkozója adatvédelmi jogi státuszát tekintve értelemszerűen már csak további adatfeldolgozóként vehet részt a személyes adatok kezelésében.

 

[35] A fentiek jelentősége abban áll, hogy a – különösen a gépjármű biztosítások terén jelentős portfólióval rendelkező – közvetítők esetenként több száz gazdálkodó szervezetből álló alvállalkozói hálózatokkal rendelkeznek, és adatkezelési tevékenységük jogi megfelelésének biztosítása során figyelemmel kell lenni arra a distinkcióra (és a további adatfeldolgozó igénybe vételére vonatkozó többlet követelményekre), hogy „ugyanaz” a közvetítői közreműködő (alvállalkozó) adatfeldolgozó, ha alkusszal működik együtt, de további adatfeldolgozó, ha többes ügynökkel.

 

[36] Az adatfeldolgozók, illetve további adatfeldolgozók működése a biztosításközvetítők működése során véleményem szerint – a fentiek kivételével – különösebb speciális vonásokat nem mutat. A biztosításközvetítők számára e téren inkább kvantitatív értelemben jelentős a feladat: a fentebb írtak szerint a gépjármű-biztosítási piacon jelentős közvetítő cégek több száz adatfeldolgozó, vagy további adatfeldolgozó adatkezelését kell, hogy irányítsák és ellenőrizzék legalább a GDPR 28. cikk (3) bekezdésében elvárt tartalommal. Megítélésem szerint ez olyan összetett technikai és szervezési feladatot jelent, továbbá az adatkezelés egyébként is olyan nagyszámú érintettre terjed ki, hogy az adatkezelőnek legalább mérlegelnie kell, hogy a 24. cikk (2) bekezdése alapján belső adatvédelmi szabályzatot is létrehoz a kockázatokhoz igazodó technikai, műszaki, szervezési intézkedések megfelelőségének biztosítása érdekében.

 

4. Összefoglaló

 

[37] Noha a tanulmány – a bevezetőben írtak szerint – közel sem fogja át a biztosításközvetítők adatkezelésének valamennyi területét és aspektusát, ám – a gyakorlat bizonyos mértékű ismeretében – megkockáztatok néhány általános érvényűnek gondolt következtetést a közvetítők adatkezeléseinek egészére vonatkozóan. Megítélésem szerint jelenleg egyfajta nyugvóponton áll a biztosításközvetítői adatkezelések területe. A GDPR alkalmazandóvá válását közvetlenül megelőző, illetve azt követő időszakban a „rendszer” mozgásba jött; a közvetítők több-kevesebb elszántsággal nekiláttak a GDPR által felállított régi-új követelményrendszernek történő megfelelés biztosításának.

 

[38] A szektor számos szereplője a feladatot sajnos meglehetősen formálisan kezelte, a megfelelés helyenként nem jelentett többet, mint egy „dobozos” GDPR tájékoztató, esetleg szabályzat beszerzését. Természetesen jócskán vannak olyan vállalkozások (főként a jelentősebb piaci szereplőnek számító közvetítők körében), amelyek megfelelő hozzáállást mutattak, adatvédelmi szakértő bevonásával átvilágították az adatkezeléseiket, az átvilágítás eredményéhez igazodó, egyedi adatvédelmi szabályozást alkottak, és szükség szerint változtattak a szabályoknak meg nem felelő gyakorlataikon ( az természetesen más kérdés, hogy ezek a gyakorlatok javarészt már a „GDPR előtti” tartalmú Infotv. kritériumainak sem feleltek meg). A GDPR által beindított folyamatok viszont mára nagyon lelassultak, személyes véleményem szerint a kelleténél kicsit korábban. Számos területen helytelenül rögzült gyakorlatok láthatók jelenleg, illetve azt is problémásnak látom, hogy a piaci szereplők nem minden esetben fordítanak figyelmet arra, hogy a GDPR alkalmazandóvá válását követően, az elmúlt néhány év során alakuló joggyakorlat számos kérdésben finomította, egyes esetekben kisebb-nagyobb mértékben akár módosította is az adatvédelmi szabályok értelmezését, s ezek a változások a helyenként a gyakorlati intézkedések változtatásait is igényelnék. Pozitív fejleménynek tartom ugyanakkor, hogy az ügyfelek körében megjelent egyfajta adatvédelmi tudatosság. Az elmúlt időszakban az ügyfélkörömbe tartozó adatkezelők egyre több ügyfele, egyre több alkalommal él a GDPR-ban meghatározott érintetti jogaival, s ez feltétlenül a hibák javításának, hiányosságok pótlásának irányába hat.

___________________________

[1] 2013. évi CCXXXVII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról

[2]2007. évi CXXXVIII. törvény a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól

[3] Osztopáni Krisztián: Alapfogalmak, In Péterfalvi Attila-Révész Balázs-Buzás Péter (szerk.): Magyarázat a GDPR-ról. Wolters Kluwer Hungary, Budapest, 2018. 66. o.

[4] A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK európai parlamenti és tanácsi irányelv (1995. október 24.) 29. cikke alapján létrehozott munkacsoport.

[5] A 29. cikk alapján létrehozott adatvédelmi munkacsoport 1/2010. számú véleménye az „adatkezelő” és az „adatfeldolgozó” fogalmáról (00264/10/HU WP 169) 1. o.  Letölthető: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_hu.pdf

[6] Az MNB 2024. december 31-i adatai szerint a biztosításközvetítők által kezelt biztosítási szerződések száma megközelíti a 7 milliót.

[7] European Data Protection Board  Guidelines 07/2020 on the concepts of controller and processor in the GDPR. 11. o. Letölthető: https://www.edpb.europa.eu/system/files_en?file=2023-10/EDPB_guidelines_202007_controllerprocessor_final_en.pdf

[8] European Data Protection Board Guidelines 07/2020 on the concepts of controller and processor in the GDPR. 3-4. o. Letölthető: https://www.edpb.europa.eu/system/files_en?file=2023-10/EDPB_guidelines_202007_controllerprocessor_final_en.pdf

[9] Révész Balázs: Az adatkezelés alapelvei, In Péterfalvi Attila-Révész Balázs-Buzás Péter (szerk.): Magyarázat a GDPR-ról. Wolters Kluver Hungary, 2018. 96. o.

Kedves Olvasónk! Tájékoztatjuk, hogy ez a webhely a böngészés tökéletesítése érdekében cookie-kat (sütiket) használ. További információ

E honlap megfelelő működéséhez néha „sütiknek” nevezett adatfájlokat (angolul: cookie) kell elhelyeznünk számítógépén, ahogy azt más nagy webhelyek és internetszolgáltatók is teszik. A sütik kis szövegfájlok, melyeket a webhely az oldalaira látogató felhasználó számítógépén, illetve mobilkészülékén tárol el. Ezeket a sütiket nem kell feltétlenül engedélyeznie ahhoz, hogy a weboldal működjön, azonban lényegesen javítják a felhasználói élményt. Belátása szerint engedélyezheti a sütiket, de, ha nem teszi, lehetséges, hogy a weboldal egyes elemei nem fognak megfelelően működni. A sütiket letilthatja a böngészője beállításaiban is. Amennyiben ezt nem teszi meg, illetve ha a "Rendben" feliratú gombra kattint, azzal elfogadja a sütik használatát. A honlap bezárása után törölheti a sütiket.

Bezárás