Az Európai Unió általános adatvédelmi rendelete (GDPR) a személyes adatok, s ezen belül is a különleges adatok magas szintű védelmét biztosítja. A biztosítási tevékenység keretében a kezdetektől meghatározó szerepet töltenek be a statisztikai adatok, amelyek alapján a biztosítók kialakítják a kockázatkezelési mechanizmusukat. A tanulmány célja, hogy megvizsgálja a biztosítók által az egészségügyi adatok tekintetében végzett profilalkotáson alapuló automatizált döntéshozatal szabályait és rávilágítson az ezzel összefüggésben felmerülő vitás kérdésekre, valamint a polémia feloldására alkalmas megoldási javaslatokat fogalmazzon meg. Mindemellett a tanulmány gondolatvezetését áthatja annak a kérdése, hogy az adatvédelmi követelmények milyen kölcsönhatásban vannak a magánjog szellemiségével.
Kulcsszavak: biztosítás, egészségügyi adatok a biztosításban, GDPR, adatkezelés és biztosítás
The European Union's general data protection regulation ensures a high level of protection of personal data, including a special category of personal data. From the origin, statistics have played a key role in the insurance business, based on which insurers develop their risk management mechanisms. The study aims to examine the rules on automated decision-making based on profiling concerning health data by insurers and to highlight the controversial issues that arise in this context, as well as to suggest solutions to the polemic. Nevertheless, the study's thought is permeated by the question of how data protection requirements interact with the spirit of private law.
Keywords: insurance, health data in insurance, GDPR, data processing and insurance
A technológiai fejlődés elmúlt évtizedekben végbemenő és folyamatosan zajló fejlődésének köszönhetően az információs társadalomban komoly változások következtek be,[1] amelynek eredményeként az adatalapú gondolkodásmód az egyes gazdasági szereplők körében felerősödött. A biztosítók által végzett tevékenység körében az adatkezelés, az adatlapú gondolkodás a kezdetektől meghatározó tényező, hiszen a biztosítók kockázatkezelési mechanizmusai a biztosítási szerződés megkötése és a jogviszony fennállása során a biztosítottra vonatkozó adatok
- 64/65 -
elemzésével - elsősorban matematikai és statisztikai módszerek tükrében - történik. A téma érzékenysége és fontossága tekintetében kiemelhető, hogy - a szerződések körében általános jelleggel történő adatkezelésen túl - a biztosítási szerződés körében különösen nagy hangsúlyt kap az információ, az adat "jelenléte", mivel a szerződés egyik mozgatórugóját képezik, hiszen a biztosítás közvetett tárgyát képező biztosítási érdek - amelynek a védelmét hivatott szolgálni a biztosítás - tartalmát a biztosítottra vonatkozó adatok halmaza tölti ki. Tekintettel arra, hogy a terjedelmi korlátok miatt nincs lehetőségem vizsgálni a biztosítási jogviszonnyal összefüggésben végzett adatkezelésekkel kapcsolatosan felmerülő valamennyi problémát, ezért a témát kizárólag a személyes adatok különleges kategóriájába tartozó egészségügyi adatokon végzett adatkezelésekre szűkítem, amely számos szerződés kapcsán felmerülhet, így elsősorban az összegbiztosítás és egészségbiztosítás körébe tartozó biztosítási szerződések, de gyakran fordul elő az egyes felelősségbiztosítási, s ritkábban a kárbiztosítási szerződések körében. A téma szenzitivitását tovább bonyolítja az utóbbi időben előtérbe kerülő, a biztosítók kockázatkezelési módszereit alapjaiban megváltoztató egyes innovációk,[2] amelyek legfőbb jellemzője a valós időben történő adatgyűjtés és ezek elemzése, amelyekkel használatalapú kockázatkezelést végezhet a biztosító, ezzel optimalizálva a szolgáltatását.[3] Ilyen innovatív megoldásokkal egészségügyi adatok gyűjtésére, elemzésére is sor kerülhet, különösen az egyes "okosmérők" és "okoseszközök" alkalmazásával. Ennek a részletes vizsgálatára szintén nincs lehetőségem kitérni, azonban hangsúlyozni kell, hogy a különleges adatokon végzett automatizált döntéshozatal olyan adatkezelési problémákat vethet fel, amelyek az ilyen innovációk alkalmazását ellehetetlenítik.
A biztosítóknak a személyes adatok kezelésére vonatkozó szabályokat maradéktalanul be kell tartaniuk, amelyek köre komplex. Egyrészről a személyes adatok védelmének kereteit meghatározó közjogi normákra kell figyelemmel lenni, amelyek közül az Európai Unió általános adatvédelmi rendelete[4] (a továbbiakban az angol elnevezésének[5] megfelelően: GDPR vagy adatvédelmi rendelet, illetve rendelet) élvez elsőbbséget. E mellett speciális normaként alkalmazni kell az információs önrendelkezési jogról szóló 2011. évi CXII. törvény (a továbbiakban:
- 65/66 -
Infotv.), valamint a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény (a továbbiakban: Bit.). Nem hagyható figyelmen kívül azonban annak a ténye, hogy a biztosítási tevékenységgel összefüggésben végzett adatkezelést egy kötelmi jogviszony, a biztosítási szerződés alapozza meg, így az adatkezelési szabályokat a magánjogi rendelkezések, így a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.) tükrében is vizsgálni kell. Bár a tanulmánynak nem kifejezett célja vizsgálni, hogy e normák jogforrási szempontból milyen viszonyban vannak egymással, azonban a tanulmány gondolatvezetése mögött ott rejlik annak a kérdése, hogy vajon az adatvédelmi, adatkezelési rendelkezések azáltal, hogy a magánjogot is érintő szabályokat is meghatároznak beavatkozhat-e a felek autonómiájába, s ha igen, akkor milyen mélységben? Ennek a kérdésnek a vizsgálata különösen azon adatkezelések tekintetében releváns, amelyek kifejezetten a biztosítási szerződésen alapulnak.
A tanulmány első részében a biztosítási tevékenységgel összefüggésben végzett adatkezelés egyik alanyát az érintett személyét vizsgálom meg. Az érintett személyének vizsgálata során a biztosítás speciális jellegére tekintettel meghatározom a személyes adat fogalmát, valamint az érintetti minőségben potenciálisan felmerülő személyeket. Az adatkezelő személyét érintően, különösen az adatkezelői - adatfeldolgozói minőség kapcsán felmerülő elhatárolási kérdéseket - így a biztosító, biztosításközvetítő, és a biztosítási tevékenység során a biztosító oldalán potenciálisan felmerülő egyéb személyek adatkezelési szempontú minősítését - terjedelmi korlátok miatt nincs lehetőségem vizsgálni, ezért a tanulmányban adatkezelő alatt kizárólag a biztosítót értem. Mindazonáltal megállapítható, hogy az ügyfél személyes adataival a biztosítón kívül számos személyes kapcsolatba kerülhet.[6]
A tanulmány második részében a biztosító által az egészségügyi adatokon végzett adatkezelés jogalapjával kapcsolatos kérdéseket vizsgálom meg a Bit. és a GDPR szabályainak összevetésével. Ennek során rávilágítok e két norma szabályainak kollíziójára és emiatt felmerülő polémiákra, s ezek megoldására irányuló de lege ferenda javaslatokat is teszek.
A konkrét téma tekintetében széles körű szakirodalom nem áll rendelkezésre, így alapvetően jogszabályelemző, deskriptív módszer alkalmazásával történik a probléma feltárása és megoldási javaslat tétele. Természetesen a téma vezérfonalának felfűzéséhez szükséges egyes szálak - magyar és idegen nyelvű - szakirodalmát, valamint a Nemzeti Adatvédelmi és Információszabadság (a továbbiakban: NAIH) véleményeit és döntéseit, továbbá az ún. 29. cikk szerinti adatvédelmi munkacsoportnak a GDPR hatálya alatt is fenntartott iránymutatásait, továbbá a GDPR alapján létrehozott Európai Adatvédelmi Testület (European Data Protection Board, a továbbiakban: EDPB) iránymutatásait a kellő mélységben és a szükséges mennyiségben igyekszem feldolgozni.
- 66/67 -
A biztosítási jogviszony komplexitását adatkezelési szempontból elsősorban az adja, hogy érintettként több személy is megjelenhet. A Bit. a biztosítóval jogviszonyba kerülő személyek körét összefoglaló elnevezéssel ügyfélnek nevezi. A Bit. 4. § (1) bekezdés 101. pontja alapján "ügyfélnek minősül a szerződő,[7] a biztosított,[8] a kedvezményezett,[9] a károsult,[10] a biztosító számára szerződéses ajánlatot tett[11] és a biztosító szolgáltatására jogosult más személy,[12] továbbá a független biztosításközvetítő esetében az a személy is, aki a független biztosításközvetítővel alkuszi megbízási szerződést kötött." A GDPR az érintett fogalmát nem határozza meg explicit módon, hanem e személyi kör a személyes adat fogalmából határozható meg, amely szerint személyes adatnak minősül "az azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; (...).[13] A Bit. "ügyfél" fogalmának és a GDPR "érintett" fogalmának összevetése alapján megállapítható, hogy érintettnek a biztosító azon ügyfelei minősülnek, akik természetes személynek minősülnek. Nem minősülnek tehát érintettnek a biztosítóval szerződést kötő vagy szerződéskötésre ajánlatot tevő jogi személyek.[14]
- 67/68 -
A biztosítási jogviszonnyal összefüggésben végzett adatkezelés az érintett személyes adataira terjed ki. A GDPR 4. cikk 1. pontjában rögzített fogalomból láthatjuk, hogy minden információ, amely az érintettre vonatkozik személyes adatnak minősül. A biztosítási jogviszony tekintetében sajátosság továbbá, hogy ezen információk nem csak személyes adatnak, de egyúttal biztosítási titoknak[15] is minősülnek. Erre tekintettel a Bit. alapvetően a biztosítási titok mint adat kezelésére vonatkozó szabályokat állapítja meg, amelyekbe nyilvánvalóan a személyes adatok is beletartoznak.
A személyes adatok körében különleges megítélés alá esnek a szenzitív adatok.[16] A különleges adatok közül a biztosítási jogviszonnyal összefüggésben elsősorban az érintett egészségügyi adatainak kezelése merülhet fel, amelynek fogalmát a GDPR 4. cikk 15. pontja úgy határozza meg, hogy az "egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról." Az egészségügyi adatok kezelése számos biztosítási szerződés esetében felmerülhet, de elsősorban az összegbiztosítások körében, az élet- és balesetbiztosítási szerződés esetén a biztosított, valamint a felelősségbiztosítási szerződés esetén a kárkötelem károsultja mint ügyfelek, s adatkezelési szempontból mint érintettek tekintetében.
3.1. A biztosítási szerződés mint az adatkezelés jogalapja. A biztosítási szerződéssel összefüggésben végzet adatkezelés elsődleges jogalapjaként a GDPR 6. cikk (1) bekezdés b) pontjának alkalmazása merül fel, amely szerint "az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges." E jogalapra hivatkozással válik jogszerűvé tehát a biztosítási szerződés megkötésére irányuló ajánlatot követően a szerződés megkötéséig tartó szerződéskötési eljárás során végzett adatkezelés, amelynek célja - összhangban a Bit. 135. §-ban foglaltakkal - a biztosítási szerződés megkötése. Abban az esetben is e jogalap teszi jogszerűvé az adatkezelést, ha a biztosítási szerződés megkötése során automatizált döntéshozatalra kerül sor (erről részletesebben később). Fontos kiemelni, hogy a GDPR rendelkezése a szerződés
- 68/69 -
létrejöttét követően végzett adatkezelések tekintetében egyértelmű, annak a szerződés teljesítéséhez szükségesnek kell lennie. Az EDPB által kiadott 2/2019. számú iránymutatás és a NAIH által kialakított gyakorlat alapján megállapítható, hogy ezt rendkívül szűken kell értelmezni, így pl. nem a szerződésen alapul az az adatkezelés, amelyet a szerződés megszűnését követő igényérvényesítéssel összefüggésben végez az adatkezelő.[17] A probléma így azzal összefüggésben merül fel, hogy mely adatok minősülnek a "teljesítéshez szükséges" adatoknak. E kérdés vizsgálatánál érzékelhető a legjobban az adatkezelési szabályok szerződéses autonómiába történő "beavatkozása", hiszen a felek személyes adatokon végzett adatkezelését a szerződés csak annyiban teszi jogszerűvé amennyiben az a szerződés teljesítéséhez szükséges, ezen felüli adatkezeléshez más jogalapra van szükség.
3.2. Az érintett hozzájárulása. A biztosítási szerződéssel összefüggésben az egészségügyi adatok kezelésének jogalapját a Bit. 136. § kifejezetten rögzíti, miszerint a biztosító "az ügyfél egészségi állapotával összefüggő [a vonatkozó[18] - a szerző] (...) törvényben meghatározott egészségügyi adatokat a biztosító a 135. § (1) bekezdésében meghatározott célokból, az Eüak. rendelkezései szerint, kizárólag az érintett kifejezett hozzájárulásával kezelheti." E rendelkezés alapján tehát a biztosító bármely ügyfelére vonatkozó egészségügyi adatot csak a kifejezett hozzájárulásával kezelhet. A hozzájáruláson alapuló adatkezeléssel kapcsolatosan azonban számos probléma felmerül, amelyeket a szerződéses jogalappal való összevetése tükrében vizsgálhatunk. Elsősorban azonban rögzíteni szeretném, hogy valamennyi probléma primer forrása álláspontom szerint az, hogy a Bit. rendelkezéseit nem igazították megfelelően a GDPR-hoz, hanem az Infotv. régi (értsd: GDPR előtti) felfogását[19] követve hagyta meg a hozzájárulást az egészségügyi adatok kezelésének jogalapjaként.
A különleges adatok jogszerű kezeléséhez a GDPR 6. cikk (1) bekezdésében foglalt valamely jogalap fennállásának - amely jelen esetben a b) pont lesz -, valamint a 9. cikk (2) bekezdésében foglalt valamely feltétel fennállására van szükség.[20] A 9. cikk (2) bekezdés tíz feltételt határoz meg, köztük elsőként az érintett kifejezett hozzájárulását.[21]
- 69/70 -
A hozzájáruláson alapuló adatkezelés feltétele, hogy az érintett hozzájáruló nyilatkozata érvényesen legyen, amelynek több konjunktív feltétele van. Az alábbiakban az egészségügyi adatok biztosítási jogviszony keretében történő kezelését a GDPR mikroszkópjának tárgyasztalára helyezem és a hozzájárulás fogalmának[22] lencséjén keresztül megvizsgálom, hogy az megadható-e érvényesen.[23]
A hozzájárulás érvényességének első feltétele az önkéntesség, amely abban az esetben teljesül, ha az érintett valós, szabad akarattal rendelkezik a hozzájáruló nyilatkozat megtételéhez.[24] A döntési szabadság nem állapítható meg abban az esetben, ha az érintettet negatív következmény, hátrány éri, ha nem adja meg a hozzájárulását, valamint akkor, ha a megadott hozzájárulást nem vonhatja vissza a nélkül, hogy őt hátrány érné.[25] Az önkéntesség megítélése körében, különösen a szerződéses jogalappal összefüggésben a GDPR 7. cikk (4) bekezdése is segítséget nyújt, miszerint "a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének - beleértve a szolgáltatások nyújtását is - feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez." Összességében tehát amennyiben bármely olyan körülmény fennáll, amely az érintett akaratát befolyásolja, nem állapítható meg az önkéntesség, így a hozzájáruló nyilatkozat nem érvényes. Mindezek fényében a biztosítási szerződéssel összefüggésben kezelt egészségügyi adatok kezeléséhez történő hozzájárulás tekintetében a következőket rögzíthetjük.
Amennyiben az érintett olyan biztosítási szerződést kíván kötni, amelyben a biztosítónak szükségszerűen egészségügyi adatokat kell kezelnie, úgy a Bit. 136. §-ban foglalt kötelező rendelkezés alapján ezt csak akkor teheti meg, ha ahhoz az érintett kifejezetten hozzájárult. Nos, ez két eredményhez vezethet: i) az érintett nem ad hozzájárulást, ezért a biztosító nem tud vele szerződést kötni, mivel ez az adatkezelés feltétele.[26] Ez esetben a szerződés megkötésének elmaradása az érintett oldalán hátrányként jelenik meg, így e miatt a hozzájárulás nem tekinthető önkéntesnek; ii) az érintett, ha ilyen szerződést szeretne kötni, meg kell adnia a hozzájárulását; nem rendelkezik valós döntési szabadsággal a tekintetben, hogy megadja-e a hozzájárulását, továbbá, hogy mely személyes adatainak a kezeléséhez járul hozzá. Ez alapján a hozzájárulás érvénytelen lesz, s az ilyen hozzájáruláson
- 70/71 -
alapuló adatkezelés jogszerűtlennek minősül. A szerződéskötési akarat tehát nem azonos az adatkezelési értelemben vett hozzájárulással.
Az önkéntességgel összefüggésben további problémaként merül fel annak vizsgálata során, hogy az adatkezelőnek lehetőséget kell biztosítani az érintett részére, hogy azt bármikor, korlátozás nélkül visszavonhassa a nélkül, hogy őt hátrány érné.[27] Kérdés e körben, hogy fennáll-e a lehetőség arra, hogy a biztosító ügyfele visszavonja a hozzájárulását a nélkül, hogy őt negatív következmény érné? Tekintettel arra, hogy a GDPR 7. cikk (3) bekezdése rögzíti, hogy az érvényesen megadott hozzájárulás visszavonása nem érinti a visszavonást megelőzően végzett adatkezelés jogszerűségét, így amennyiben az érintett a hozzájárulását visszavonja, de a biztosító a megadott hozzájárulás alapján már elvégezte az egészségügyi kockázat mérlegelését és a szerződés létre is jött, úgy a szerződést még adott időszakban teljesíteni tudja. A hozzájárulás visszavonásának szerződésre gyakorolt jogkövetkezményeit azonban a feleknek a szerződésükben kell rögzíteniük. Álláspontom szerint ez elsősorban a szerződés megszűnéséhez vezető körülmény lehet, amely azonban az érintettre nézve negatív jogkövetkezményként értékelhető.[28]
További kérdés, hogy a szerződés megkötését követően negatív következményként értékelhető-e a biztosítottat terhelő változás bejelentési kötelezettség,[29] mint adatközlési kötelezettség elmulasztásának jogkövetkezménye (t.i. ekkor a biztosító kötelezettsége nem áll be), amely a biztosító mentesülését eredményezi. Azt kell vizsgálni e körben, hogy az érintettnek fennáll-e a valós döntési szabadsága a tekintetben, hogy nem teljesíti e kötelezettségét azért, mert nem szeretné a hozzájárulását adni a változással érintett egészségügyi adatok kezeléséhez. Az elvi lehetősége fennáll ennek, azonban ez az érintettre nézve negatív következménnyel jár, mivel, ha nem tesz eleget a bejelentési kötelezettségének, akkor vállalja annak a kockázatát, hogy a biztosító mentesül a szolgáltatási kötelezettsége alól. Felmerül annak a kérdése, hogy a jogszabály által előírt jogkövetkezményt tekinthetjük-e önmagában a kötelezettre nézve negatív következménynek? Álláspontom szerint adatkezelési szempontból mindenképpen,
- 71/72 -
amely kiküszöbölhető volna azzal, hogy az ilyen adatkezelést eltérő jogalapra helyezzük.
b) Az érintett hozzájárulásának "konkrétnak" kell lennie, amely azt jelenti, hogy pontosan meg kell határoznia azt a célt, amely miatt a hozzájárulását adja az adatainak kezeléséhez. E tekintetben ez a cél a Bit. 135. § (1) bekezdés alapján nem lehet más, mint a biztosítási szerződés megkötése, módosítása stb., összességében csak a biztosítási szerződéssel összefüggő cselekmények elvégzése.
c) a hozzájárulástól elvárt követelmény, hogy annak "megfelelő tájékoztatáson kell alapulnia", amely kötelezettség teljesítésének alapvetően nincs akadálya. Ezzel összefüggésben csupán a tájékoztatás terjedelmével összefüggésben merülnek fel kérdések, amelyek részletes vizsgálata meghaladná a kitűzött témát.
d) További követelmény, hogy a hozzájárulásnak "egyértelműnek" kell lennie. Ez egyúttal feltételezi azt is, hogy a hozzájárulás az érintett aktív magatartása alapján kerüljön beszerzésre és nem lehet kétséges, hogy az érintett a szóban forgó adatkezeléshez járult hozzá. Álláspontom szerint e feltétel fennállásának sincs akadálya a vizsgált téma körében.
Meg kell jegyezni, hogy a Bit. 136. §-ban foglalt rendelkezésére úgy is tekinthetünk, mint a GDPR 9. cikk (4) bekezdésének[30] felhatalmazása alapján hozott korlátozó feltétel, de tekintettel a hozzájárulás érvényességét övező fentiekben kifejtett aggályokra e korlátozással a jogalkotó ellehetetlenítené az egészségügyi adatok biztosítási jogviszony keretében történő jogszerű kezelését. Mindazonáltal nem hagyhatjuk figyelmen kívül azt a tényt, hogy azok a biztosítási szerződések, amelyek keretében a biztosító különleges adatot kezel, kifejezetten olyan szerződések, amelyek teljesítéséhez a különleges adatok kezelése szükséges. A GDPR 9. cikk (2) bekezdésében azonban nem találunk olyan feltételt, amely a különleges adatok szerződéses alapuló adatkezelését lehetővé tenné, s az adat jellegére tekintettel nem elegendő a 6. cikk (1) bekezdés b) pontjára hivatkozással adatkezelést végezni, hanem a különleges adatok kezelésének jogszerűséget megalapozó 9. cikk (2) bekezdés valamely pontjában foglalt feltételnek is fenn kell állnia. Ahogy azt a fentiekben is kifejtettem, a Bit. hatályos rendelkezése alapján a biztosító a biztosítási szerződéssel összefüggésben egészségügyi adatot kizárólag az érintett hozzájárulása alapján kezelhet. Kérdésként merül fel, hogy a szerződés létrejöttéhez szükséges akarat kifejezése nem testesítheti-e meg az érintett hozzájárulását? A fent kifejtett szabályok alapján egyértelműen nemleges választ kell adnunk, azonban ez az álláspont - az EDPB által a belső piaci pénzforgalmi szolgáltatásokról szóló 2015/2366 irányelv (a továbbiakban: PSD2) szerint nyújtott pénzforgalmi szolgáltatások keretében végzett adatkezelés tekintetében meghozott 6/2020. számú iránymutatásában[31] foglaltak szerint - remélhetőleg változni fog. Az iránymutatás a PSD2 irányelv 94. cikk (2) bekezdésében foglalt kifejezett
- 72/73 -
hozzájárulás[32] követelménye tekintetében ugyanis kifejtette, hogy az nem azonos a GDPR 6. cikk (1) bekezdés a) pontjában foglalt kifejezett hozzájárulással, hanem -tekintettel arra, hogy e szolgáltatás nyújtásának elengedhetetlen feltétele a személyes adatok kezelése, s különösen azért, mert a szolgáltatást igénybe vevő személy személyes adatainak kezelése minden esetben a szerződés teljesítésének céljából történik, e hozzájárulásnak szerződéses természete van - szerződéses hozzájárulásnak ("contractual consent") kell tekinteni, azaz olyan hozzájárulásnak, amelyet a szerződés létrejöttéhez szükséges akarat testesít meg.[33] Mivel a PSD2 irányelv alapján nyújtott szolgáltatások körében a különleges adatok kezelése nem elsődleges, ezért a "contractual consent" tartalma ezen adatokra nem terjed ki. Így tehát felmerül a kérdés, hogy amennyiben a szerződés teljesítésének feltétele a különleges adatok kezelése, a GDPR 9. cikk (2) bekezdés a) pontjában foglalt hozzájárulásnak tekinthető-e a "szerződéses hozzájárulás"? Amennyiben a Bit. 136. §-ban előírt kifejezett hozzájárulást a szerződés létrejöttével megadottnak tekinthetnénk, úgy a fentekben a hozzájárulás kapcsán kifejtett problémára megoldást találnánk.
A hozzájárulás problémája még hangsúlyosabban jelentkezik az olyan biztosítási szerződéseknél, amelynek keretében a biztosítási kockázat mérése valós idejű adatok alapján történik azáltal, hogy a biztosító a biztosított személyét profilozza, s az így gyűjtött egészségügyi adatok alapján automatizált döntéshozatalt végez.[34] A problémát az képezi, hogy a GDPR 22. cikk (4) bekezdése alapján a különleges adatokon végzett automatizált adatkezelés csak akkor jogszerű, ha ahhoz az érintett hozzájárult. Mivel a hozzájárulás e tekintetben nem értelmezhető, ezért a probléma csak akkor oldható meg, ha a szerződés megkötésére irányuló akaratot az adatkezelésre irányuló hozzájárulásnak tekintjük.
Tekintettel arra, hogy a "szerződéses hozzájárulás" elvének a különleges adatok tekintetében történő elfogadása kétséges, így azok jogszerű kezeléséhez a GDPR 9. cikk (2) bekezdésében foglalt valamely más többletkövetelmény fennállása szükséges, amelyek közül az alábbiakat tekintem alkalmazhatónak.
a) A biztosítási szerződés létrejötte körében alkalmazható a GDPR 9. cikk (2) bekezdés h) pontjában foglalt rendelkezés, miszerint "az adatkezelés (...) orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, (...) érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi
- 73/74 -
szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel." Abban az esetben, ha a biztosító az egészségügyi kockázat elemzését (pl. egészségügyi diagnózis felállítását) kizárólag egészségügyi szakember közbenjárásával, a vele kötött szerződés alapján végezné, úgy az egészségügyi adatok kezelése ez alapján jogszerű lenne.
b) Álláspontom szerint a biztosítási szerződés teljesítése körében kezelt egészségügyi adatok kezelésének jogszerűségét a GDPR 9. cikk (2) bekezdés b) pontjában foglalt rendelkezés is megalapozhatja. E szerint "az adatkezelés az adatkezelőnek vagy az érintettnek (...) a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, (...) lehetővé teszi." Amennyiben a biztosítás jogintézményére - különösen az egyes kötelező felelősségbiztosítások, de különösen a kötelező gépjármű-felelősségbiztosítás mögött húzódó jogpolitikai indokokra és azok céljára figyelemmel - úgy tekintünk, mint amely az érintett szociális védelmét biztosítja, úgy ezen jogalap alkalmazása is megalapozott lehet. A biztosítási szerződés egyik célja ugyanis, hogy az érintett biztosítási érdekét megóvja, amely végső soron az érintett szociális biztonságát is eredményezi. Érintettnek e tekintetben azonban nem csak a biztosított minősül, hanem a felelősségbiztosítási jogviszony esetén a károsult is, így pl. a kötelező gépjármű-felelősségbiztosítás egyik célja a károsultak védelme, az általuk elszenvedett vagyoni és nem vagyoni hátrány kiküszöbölése, s így végső soron a szociális védelmük garantálása. Mindezekre tekintettel úgy vélem a 9. cikk (2) bekezdés b) pontban foglalt feltétel alkalmazása is a szociális védelem kiterjesztő értelmezése esetén indokolható. Feltehetően az uniós jogalkotó szándéka e rendelkezés megfogalmazásakor ezen esetkörre nem terjedt ki, viszont mivel a szociális biztonság fogalmát nem határozza meg, e körben akár alkalmazható is lehet a rendelkezés.
Megállapítható, hogy a biztosítási jogviszonnyal összefüggésben az egészségügyi adatok tekintetében végzett adatkezelés rendkívül komplex kérdéseket vet fel. A probléma magját a Bit. és a GDPR szabályainak inkoherenciája képezi, tekintettel arra, hogy a Bit. adatkezelésre vonatkozó szabályai nem lettek összehangolva a GDPR szabályival. Erre tekintettel szükségesnek mutatkozik a Bit. 136.§-ban foglalt rendelkezés hatályon kívül helyezése, hiszen ahogy azt a tanulmányban is ismertettem, az új adatvédelmi szabályok alapján a szerződéses jogviszony keretében végzett adatkezelés esetén nem értelmezhető a hozzájárulás. Ennek megvalósulásáig a biztosítási jogviszony adatkezelői, mint "Szküllák és Kharübdiszek", jogalkalmazói csatát vívnak a GDPR és a Bit. rendelkezéseinek való együttes megfelelés érdekében. A hozzájárulással kapcsolatos problémák megoldásaként - a PSD2 irányelv hatálya alá tartozó szolgáltatások körében végzett adatkezelések tekintetében hozott irányelv tartalma miatt - felmerülhet annak a
- 74/75 -
lehetősége is, hogy a felek szerződésének létrejöttéhez szükséges szerződéses akaratot, "contractual consent"-ként fogadjuk el. Így a szerződés teljesítéséhez szükséges valamennyi személyes adatra kiterjedően értelmezhetővé válik a GDPR 6. cikk (1) bekezdés b) pontja. Mivel ezen értelmezésnek csupán csíráját találjuk meg az EDPB vonatkozó állásfoglalásában, ezért ennek elvi szintű elfogadására úgy gondolom, még sokat kell várni. E körben a legnagyobb problémát az okozza, hogy a "szerződéses hozzájárulás" teóriájának alkalmazását ki kellene terjeszteni a különleges adatok kezelésére is.
A problémát tovább bonyolítja, hogy az egészségügyi adat, mint a személyes adatok különleges kategóriájába tartozó adat kezelésének jogszerűségéhez a GDPR 9. cikk (2) bekezdésében foglalt valamely többletfeltétel fennállására is szükség van, amelyek közül a 9. cikk (2) bekezdés a) pontjában foglalt hozzájárulás - a hozzájárulás érvényességi követelményeinek hiánya miatt - nem értelmezhető. A GDPR 9. cikk (2) bekezdésében azonban nem találunk olyan rendelkezést, amely explicit módon megalapozná a szerződés teljesítéséhez szükséges egészségügyi adat kezelésének jogszerűségét. Ezért e cikk egyéb pontjaiban foglalt rendelkezések megfelelő értelmezése szükséges ahhoz, hogy valamelyik alapján jogszerűnek tekintsük az egészségügyi adatok biztosítási szerződésen alapuló kezelését. E körben álláspontom szerint a 9. cikk (2) bekezdés b) és h) pontjaiban foglalt rendelkezések alkalmazhatóak, azonban csak megfelelő értelmezéssel.
A vázolt problémák még hangsúlyosabbak az olyan innovatív digitális megoldásokon alapuló biztosítási tevékenységek esetén, amelyekhez egészségügyi adatok kezelése is szükséges. Tekintettel arra, hogy az ilyen adatkezelés automatizált döntéshozatalnak minősül, s a GDPR 22. cikk (4) bekezdése a különleges adatok ilyen módon történő kezelését kizárólag hozzájárulás alapján teszi lehetővé, a hozzájárulás értelmezhetetlensége miatt ez a szabály az ilyen innovációk alkalmazását ellehetetlenítené. E problémára az egyetlen megoldás a "contractual consent" elvének elfogadása lehetne.
A biztosítási jogviszonnyal összefüggésben végzett adatkezeléssel kapcsolatosan a tanulmányban vázolt problémák előkérdésnek tekinthetőek a biztosító által végzett adatkezelés jogszerűségének vizsgálata esetén. Amennyiben ugyanis a biztosító jogszerűtlen adatkezelést végez úgy számos irányban merülhet fel a felelőssége. Az adatkezeléssel kapcsolatos felelősségnek közjogi és magánjogi vetületei egyaránt vannak. Előbbi keretében adatvédelmi bírságra számíthat a biztosító, míg utóbbi esetén kártérítési vagy személyiségi jogi per keretében az okozott kár megtérítésére, illetve sérelemdíj megfizetésére való kötelezést - természetesen amennyiben azok feltételei fennállnak - is eredményezhet. ■
JEGYZETEK
[1] Lásd az Európai Unió általános adatvédelmi rendeletének (4) preambulumbekezdését.
[2] Ezek részletes ismertetéséhez lásd: Alföldy Katalin - Seregdy Tamás: A jövő biztosítása, avagy a technológia szerepe a lakossági ügyfelek biztosításában, Biztosítás és Kockázat, 2015/2. szám, pp. 4863.; Hauer Judit - Góg Enikő - Horváth András - Hrabár Ádám - Pálinkás Klára - Urbán Dóra: A használat alapú biztosítás múltja, jelene és jövője, Biztosítás és Kockázat, 2017/2. szám, 22-41. o. http://dx.doi.org/1018530/BK.2017.2.22; Hui Dong Wang: Research on the Features of Car Insurance Data Based on Machine Learning, Procedia Computer Science, 2020, 582-587. o. https://doi.org/10.1016/j.procs.2020.02.016; valamint saját művem: Certicky Mário: Innovatív digitális megoldások és ezek hatása a biztosítás intézményére, in: Innovatív magánjogi megoldások a társadalmi-gazdasági haladás szolgálatában. Tanulmánykötet (szerk.: Certicky Mário), Miskolc, Magánjogot Oktatók Egyesülete, 2020, 112-117. o.
[3] Kadocsa Ferenc: A blockchain technológia hatása a biztosítási piacra, Biztosítás és Kockázat, 2019/2. szám, 85. o. http://dx.doi.org/1018530/BK.2017.2.82; valamint Sallai Linda: Insurtech: körkép és trendek, Biztosítás és Kockázat, 2018/2. szám, 102. o. http://dx.doi.org/10.18530/BK.2019A98
[4] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet).
[5] General Data Protection Regulation.
[6] Zavodnyik József: Az általános adatvédelmi rendelet biztosítók általi alkalmazásának egyes kérdései, Biztosítás és Kockázat, 2018/2. szám, 19. o. http://dx.doi.org/1018530/BK.2018.2.14.
[7] A szerződő fél az a személy, aki a biztosítóval a biztosítási szerződést megköti. Vö.: Ptk. 6:439. § (1) bekezdés és Ptk. 6:440. §
[8] A biztosított az a személy, "aki valamely vagyoni vagy személyhez fűződő jogviszony alapján a biztosítási esemény elkerülésében; életkor elérésére, születésre vagy házasságkötésre szóló életbiztosítás esetén a biztosítási esemény bekövetkezésében érdekelt." Vö.: Ptk. 6:440. § Megjegyzem, hogy a szerződő fél és a biztosított személye alapesetben azonos, viszont e két személyi kör abban az esetben elválhat, ha a szerződő fél olyan személy javára köti meg a szerződést, akinek a személyében a Ptk. 6:440. §-ban foglalt biztosítási érdek fennáll.
[9] A kedvezményezett az a személy, aki a biztosító szolgáltatására elsődlegesen jogosult. E személyi kör jellemzően az összegbiztosítási szerződések körében merül fel. A kedvezményezett a Ptk. 6:478. § (1) bekezdés alapján a) a szerződésben megnevezett személy; b) a bemutatóra szóló kötvény birtokosa; c) ilyen személyek hiányában, vagy ha a kedvezményezett megnevezése nem volt érvényes a biztosítási esemény időpontjában, a biztosított vagy örököse. Látható tehát, hogy kedvezményezettként, így a biztosító ügyfeleként, tehát adatkezelési szempontból érintettként, e rendelkezés alapján - a biztosítotton kívül - még újabb három személyi kör felmerülhet.
[10] A károsult abban az esetben lesz a biztosító ügyfele, ha a felelősségbiztosítási szerződés alapján a biztosított jogosult lesz arra, hogy az általa okozott kár megtérítése és sérelemdíj megfizetése alól mentesítse. Ez esetben a biztosító főszabály szerint a károsult részére teljesíti a szolgáltatást. A biztosító e szolgáltatás teljesítéséhez, mi több már a teljesítés feltételeinek megállapításához (a biztosítási esemény körülményeinek kivizsgálásához), így a teljesítést megelőzően, szükségszerűen kezelnie kell a károsult személyes adatait, gyakran különleges adatokat is.
[11] E személyi kör a potenciális szerződő fél abban az esetben, ha ajánlatot tett a biztosító részére, de a biztosítási szerződés még nem jött létre vagy az nem is jön létre.
[12] E személyi kör lehet pl. a felelősségbiztosítási szerződés esetén a kárkötelem károsultjának hozzátartozója, amennyiben a károsult a károkozás során életét veszíti. E mellett számos más esetben is felmerülhet ilyen harmadik személyek ügyféli minősége, amely esetek teljeskörű felvázolása nem célom.
[13] Vö.: GDPR 4. cikk 1. pont
[14] Megjegyzem, hogy a biztosító részéről a biztosítási titok védelme szempontjából azonos megítélés alá esnek a természetes személyek és a jogi személyek, azonban a GDPR alkalmazásának csak az előbbi személyek tekintetében van jelentősége. Megjegyzem továbbá, hogy bár nem minősülnek ügyfélnek, a GDPR hatálya alá esik a jogi személy mint ügyfél képviseletében eljáró természetes személyek személyes adatai, így az ő tekintetükben már alkalmazandóak a rendelet előírásai.
[15] Vö.: Bit. 4. § (1) bekezdés 12. pont, amely szerint biztosítási titok "minden olyan - minősített adatot nem tartalmazó -, a biztosító, a viszontbiztosító, a biztosításközvetítő rendelkezésére álló adat, amely a biztosító, a viszontbiztosító, a biztosításközvetítő ügyfeleinek - ideértve a károsultat is - személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval, illetve a viszontbiztosítóval kötött szerződéseire vonatkozik. "
[16] A GDPR 9. cikk (1) bekezdése alapján különleges adatnak minősül "a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometri kus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. "
[17] Vö.: EDPB 2/2019. számú iránymutatás, valamint a magyar gyakorlat keretében lásd a NAIH/2019/2402/9. számú és a NAIH/2019/2526. számú döntéseket.
[18] Vö.: az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.) 3/B. §.
[19] Tudniillik az Infotv., mielőtt annak rendelkezéseit a GDPR-nak megfelelően módosították volna, e két adatkezelési jogalapot fogalmazta meg. A GDPR ehhez képest hat adatkezelési jogalapot nevesít.
[20] Bár a szakirodalomban nincs teljesen egyetértés abban, hogy milyen kapcsolat van a GDPR 6. cikk (1) bekezdése és a GDPR 9. cikk (2) bekezdés között. Álláspontom szerint ez utóbbi előírásai nem minősülnek önálló jogalapnak, hanem azok a 6. cikk (1) bekezdésben foglalt jogalapokat kiegészítő, a személyes adat különleges minőségére tekintettel megállapított többletkövetelményt előíró normának minősülnek. Erre tekintettel tehát a különleges adatok kezelésének jogszerűségéhez szükség van a jogszerűséget biztosító 6. cikk (1) bekezdésben foglalt valamely jogalapra, valamint a 9. cikk (2) bekezdésében foglalt valamely feltétel fennállására.
[21] Vö.: GDPR 9. cikk (2) bekezdés a) pont.
[22] A GDPR 4. cikk 11. pontja szerint "az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez."
[23] A hozzájárulás tekintetében az EDPB megalkotta az 5/2020. számú iránymutatását, amelynek tartalmát elsődlegesnek tekintem a hozzájárulás érvényességi kellékeinek vizsgálatakor. Lásd: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf, (2020. 11. 08.)
[24] Osztopáni Krisztián: Jogalapok, in: Magyarázat a GDPR-ról (szerk.: Péterfalvi - Buzás - Révész), Budapest, Wolters Kluwer, 2018, 114. o.
[25] Vö.: GDPR (42) preambulumbekezdés.
[26] Megjegyzem fennáll annak is az elvi lehetősége, hogy egyik potenciális szerződéskötő ügyfél sem ad hozzájárulást, így a biztosító nem tud olyan terméket értékesíteni, amelyben a kockázat az érintettre vonatkozó egészségügyi adatok függvényében mozog.
[27] GDPR 7. cikk (3) bekezdés, illetve Osztopáni: i.m. 117. o.
[28] Megjegyzem a hozzájárulás visszavonása nem kell, hogy az adatok törlését eredményezze. A GDPR 17. cikk (1) bekezdés a) pontjából alapvetően ez következne, azonban amennyiben az adatok tovább kezelésének jogszerűsége valamely más feltel alapján is biztosítható, úgy az adatkezelés folytatható. Álláspontom szerint a GDPR 9. cikk (2) bekezdés f) pont alkalmazása felmerülhet, amely szerint a különleges adatok kezelése jogszerű, "ha az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges." Ez esetben tehát a biztosító tovább kezelheti az adatokat annak érdekében, hogy a vele szemben előterjesztett igényeket megfelelően elbírálja. Ez azonban csak addig teszi jogszerűvé az adatkezelést, ameddig ilyen igényt előterjeszthető, így álláspontom szerint az elévülési időig. Mivel a negatív jogkövetkezmény nélküli visszavonás lehetőségének feltételét is az adatkezelést megelőzően kell mérlegelni, ezért a leírtak pusztán hipotetikus feltevések, tekintve, hogy a hozzájárulás nem lehet érvényes jogalapja a biztosítási szerződéssel összefüggésben kezelt egészségügyi adatok kezelésének. Így pl. hipotetikus vizsgálat tárgya lehetne az a kérdés is, hogy a hozzájárulás visszavonásának lehetőségét a felek a szerződésben korlátozhatják, kizárhatják-e? Álláspontom szerint a Ptk. 6:101. § alapján semmis volna az ilyen szerződéses rendelkezés.
[29] Vö. Ptk. 6:452. § (2)-(3) bekezdés, amelyet a 6:482. § (1)-(3) bekezdésekben foglalt korlátozásokkal kell alkalmazni.
[30] Ez alapján "a tagállamok további feltételeket - köztük korlátozásokat - tarthatnak hatályban, illetve vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan. "
[31] European Data Protection Board: Guidelines 6/2020 on the interplay of the Second Payment Services Directive and the GDPR, Lásd: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202006_interplaypsd2andgdpr.pdf, (2020. 11. 08.)
[32] E szerint "a pénzforgalmi szolgáltatók csak abban az esetben férhetnek hozzá a pénzforgalmi szolgáltatásaik nyújtásához szükséges személyes adatokhoz, illetve kezelhetnek és őrizhetnek meg ilyen adatokat, ha ehhez a pénzforgalmi szolgáltatást igénybe vevő kifejezett hozzájárulását adta."
[33] Egyetértek Bártfai Zsolt által az EDPB 6/2020. számú iránymutatás tekintetében írt hozzászólásában foglaltakkal, miszerint "a szerződés nem köthető meg úgy, hogy a felek nem értenek egyet a szerződéses feltételekben." Vö.: Bártfai Zsolt: Comments on the draft Guidelines 6/2020 of the European Data Protection Board. Lásd: https://edpb.europa.eu/sites/edpb/files/webform/public_consultation_reply/comments_to_6-2020_guidelines_final.pdf, (2020. 11. 08.)
[34] Ez az adatkezelés azért minősül automatizált döntéshozatalnak, mert egyrészről az érintett adatait automatizált módon rögzítik, másrészről az érintettre vonatkozó döntés meghozatalát eredményezi azáltal, hogy a gyűjtött adatok alapján kerül meghatározásra a biztosítási díj, s ilyen formában az érintettre joghatással bíró magatartásnak minősül, amelyet jellemzően egy algoritmus alapján, a biztosító által alkalmazott mesterséges intelligencia számít ki.
Lábjegyzetek:
[1] A szerző Egyetemi tanársegéd. Miskolci Egyetem Állam- és Jogtudományi Kar, Civilisztikai Tudományok Intézete, Kereskedelmi Jogi Intézeti Tanszék.
Visszaugrás
