A technológiai újítások a gazdaság számos szektorát, így a biztosítást is érintik. Ezen innovációk közül az loT (Internet of Things) alapú megoldások emelhetőek ki, amelyek legfőbb jellemzője, hogy az internetre kapcsolás segítségével valós idejű és folyamatos adatgyűjtést végeznek, így optimalizálva a biztosító által végzett kockázatkezelést. Tekintettel arra, hogy az így gyűjtött adatok jelentős része személyes adatnak minősül, alkalmazni kell az általános adatvédelmi rendelet (GDPR) szabályait. A biztosítás intézményét érintő technológiák adatvédelmi szempontú vizsgálata számos problémát vet fel, amelyek álláspontom szerint jelentősen akadályozzák e technológiai vívmányok alkalmazását. A tanulmány célja, hogy feltárja ezeket a problémákat, és kísérletet tegyen a megoldásukra irányuló javaslatok megtételére.
Kulcsszavak: biztosítás, GDPR, Internet of Things, adatvédelem, adatkezelés
Technological innovations affect many sectors of the economy, including the insurance business. Among these innovations, IoT-based (Internet of Things) solutions can be highlighted, the main feature of which is that real-time and continuous data collection is performed using the Internet, thus optimizing the risk management of the insurer. Given that a significant part of the data thus collected constitutes personal data, so the rules of the General Data Protection Regulation (GDPR) should apply. The data protection examination of the technologies affecting the insurance institution raises several issues which, in my view, significantly impede the application of these technological achievements. The study aims to explore these problems and make an attempt to make proposals to solve them.
Keywords: insurance, GDPR, Internet of Things, data protection, data processing
A 21. század elején robbanásszerűen elindult[1] és azóta is folyamatosan zajló technológiai fejlődésnek köszönhetően mára már elengedhetetlenné vált, hogy a gazda-
- 62/63 -
ság valamennyi szereplője adekvát módon alkalmazza az új megoldásokat. Ezek az innovációk olyan technológiai vívmányok, amelyek az informatika, a digitalizáció és az internet szinte korlátlan lehetőségeit kiaknázva teljesen más oldaláról közelítik meg az érintett területen kialakult gyakorlatot. Az innovatív fejlődés hulláma a pénzügyi szektort is elérte, így itt is előszeretettel térnek át olyan digitális megoldások (Financial Technologies, Fintech) alkalmazására, amelyek a pénzügyi szektor valamennyi szereplőjének segítenek a vállalat gazdasági-pénzügyi irányításában és működésében.[2] A Fintech megoldások valamennyi pénzügyi szolgáltató szektorban, így a biztosítási szektorban is hasznosíthatók, így már a biztosítók is bevezetnek olyan technológiákat (Insurance Technologies, Insurtech), amelyek e jogintézményt fejlesztik és egyaránt hasznosak a biztosítók és az "ügyfelek"[3] számára is.
A tanulmány célja, hogy megvizsgálja az egyes biztosítási nemekben alkalmazott technológiai vívmányokkal kapcsolatos adatvédelmi kérdéseket, elsősorban az Európai Unió általános adatvédelmi rendelete[4] (a továbbiakban: Rendelet vagy GDPR) tükrében.[5] Hangsúlyozni kell, hogy a biztosítás intézményére hatással bíró innovációknak két síkját különíthetjük el. Egyik körbe tartoznak azok az innovációk, amelyek a biztosítási fedezetbe vonást befolyásolják, közülük kiemelendő például az önvezető járművek megjelenése, ami a gépjárművekkel kapcsolatos biztosítások (így a kár- és felelősségbiztosítások) tekintetében vet fel jelentős problémákat.[6] A másik körbe azok az innovációk tartoznak, amelyek kifejezetten a biztosítás intézményét hivatottak "szolgálni" azáltal, hogy a biztosítás valamely elemét a hagyomá-
- 63/64 -
nyostól eltérő megvilágításba helyezik, vagy megváltoztatják a megszokott (értsd: hagyományos) mechanizmusokat. Az egyes fejezetek részletezik, hogy a különféle technológiai megoldásoknak a biztosítás egyes fajtáiban történő alkalmazása milyen - adatvédelmi szempontból gyakran aggályos - kérdéseket vetnek fel.
A tanulmányban az adatkezelési szabályokat meghatározó normák mellett a biztosítási szerződésre vonatkozó magánjogi és közjogi jogszabályokat - a Polgári Törvénykönyvről szóló 2013. évi V. törvényt (a továbbiakban: Ptk.) és a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvényt (a továbbiakban: Bit.) - is vizsgálom. Ez utóbbi tekintetében elmondható, hogy konkrét adatkezelési szabályokat is megállapít, amelyek közül a legfontosabbakat kiemelem és a GDPR szemüvegén keresztül megvizsgálom.
A konkrét téma tekintetében széles körű szakirodalom nem áll rendelkezésemre. Alapvetően jogszabályelemző, illetve deskriptív módszer alkalmazásával tárom fel a problémákat és fogalmazok meg megoldási javaslatokat. A téma vezérfonalának felfűzéséhez szükséges egyes szálak - magyar és idegen nyelvű - szakirodalmát, valamint a Nemzeti Adatvédelmi és Információszabadság (a továbbiakban: NAIH) véleményeit és döntéseit, továbbá az ún. 29. cikk szerinti adatvédelmi munkacsoportnak a GDPR hatálya alatt is fenntartott iránymutatásait, továbbá a GDPR alapján létrehozott Európai Adatvédelmi Testület (European Data Protection Board, a továbbiakban: EDPB) iránymutatásait a kellő mélységben és a szükséges mennyiségben igyekszem feldolgozni.
Előzetesen megállapítható, hogy valamennyi innováció alapját az internetre kapcsolás jelenti - ami az IoT (Internet of Things) eszközök segítségével valósul meg[7] -, s az internetalapú információáramlás segíti ezek működését.[8] A "dolgok internetének" alkalmazhatósága gyakorlatilag kimeríthetetlen, egyes becslések szerint az ilyen technológián alapuló eszközök száma 2030-ra eléri majd a 125 milliárdot.[9] Az internetre kapcsolás lehetővé teszi a valós idejű adatgyűjtést, adatáramlást, ami kiaknázhatatlan lehetőségeket rejt az alkalmazója részére.
Említésre méltó - de a részletes kifejtése a tanulmány kereteit meghaladná - a blockchain (blokklánc) rendszer alkalmazásának lehetősége az egyre szélesebb körben elterjedő okosszerződések körében. A blokkláncrendszer ("megosztott könyvelési technológia") decentralizáltsága miatt számos probléma felmerülhet, hiszen már az első és egyben legfontosabb kérdés vizsgálatánál (ki az adatkezelő?) nehézségekbe ütközünk.[10] A kérdéskörben - bár fontos hangsúlyozni, hogy a GDPR
- 64/65 -
alkalmazhatóságát megelőzően - a NAIH is állást foglalt.[11] Szerinte az adatkezelő személyét nagyon nehéz megállapítani, tulajdonképpen valamennyi felhasználó adatkezelőnek minősül(het).
Az okosszerződések biztosítási szerződések körében való alkalmazhatóságára találunk példát a gyakorlatban is.[12] Az okosszerződés működésének lényege, hogy a szerződés "önálló életre kel", s teljesítése automatikusan végbemegy anélkül, hogy emberi beavatkozásra, bármilyen magatartásra külön szükség volna.[13] Nyilvánvalóan ez csak olyan szerződéses konstrukcióban valósulhat meg, amelynél az emberi magatartás valóban mellőzhető. Az adatkezelő(k) személyének meghatározása valóban nagyon nehéz feladat, hiszen nem kizárólag azok a személyek minősülnek adatkezelőnek, akik között a blokkláncrendszeren keresztül a tranzakció megvalósul, hanem az abban részt vevő egyéb - az adatalanyok számára ismeretlen - személyek is.[14]
Egyebekben pedig rendkívül fontos, hogy az okosszerződések alkalmazása esetén az adatkezelők az adatvédelmi előírásoknak megfeleljenek, amit az Európai Parlament az ezzel összefüggésben hozott állásfoglalásában is hangsúlyoz.[15]
A biztosítási jogviszony egy rendkívül összetett jogviszony, amelynek számos szereplője lehet, akik akár több egymástól különböző jogviszony alapján kapcsolódhatnak egymáshoz és a biztosítóhoz egyaránt. E komplexitásra tekintettel ehelyütt a biztosítási jogviszony fogalmát használom, amellyel tágabb keretet nyitok az egyes adatkezelési kérdések vizsgálatához.
- 65/66 -
A biztosítási jogviszony összetettsége miatt rendkívül nehezen igazodhatunk el a jogviszonnyal összefüggésben végzett adatkezelések útvesztőjében. Jelen fejezetben arra törekszem, hogy a biztosítási jogviszonnyal összefüggésben végzett adatkezelések sarokpontjait kijelöljem. Ennek keretében meghatározom a jogszabályi rendelkezések tükrében az adatkezelés célját, valamint azon személyi kört, akik a biztosítási jogviszonyban érintettnek minősülhetnek. Emellett a téma specialitásának tükrében meghatározom a személyes adat fogalmát is. Végső soron felvázolom azon személyek körét, akik az érintettre vonatkozó személyes adatok kezelése körében adatkezelői és adatfeldolgozói minőségben felmerülhetnek. Az adatkezelés lehetséges jogalapjainak kérdését az egyes biztosítási formákat érintő technológiai vívmányok alkalmazása tükrében a következő fejezetekben vizsgálom meg.
Az adatkezelés "Alfája és Omegája" az adatkezelés jogszerű céljának meghatározása, amely az adatkezelésre vonatkozó egyik legfontosabb[16] alapelvnek, a célhoz kötöttség elvének[17] való megfelelés érdekében elengedhetetlen, amelynek az adatkezelés teljes folyamata alatt meg kell felelni.[18] A Bit. 135. §-a kizárólagosan, de egyben rendkívül szélesen határozza meg a biztosítási tevékenységgel összefüggésben végzett adatkezelések lehetséges céljait, amely szerint "az adatkezelés célja csak a biztosítási szerződés megkötéséhez, módosításához, állományban tartásához, a biztosítási szerződésből származó követelések megítéléséhez szükséges, vagy az e törvény által meghatározott egyéb cél lehet." A tanulmány témáját tekintve az adatkezelés elsődleges céljaként a biztosítási szerződésből eredő kötelezettségek teljesítését jelölhetjük ki, s ezen belül is számos részcélt azonosíthatunk.[19]
Az adatkezelés célja mellett fontos az adatkezelés időtartamának vizsgálata is,[20] amely tekintetében a Bit. két irányban (i) a létre nem jött,[21] és (ii) a létrejött biztosítási
- 66/67 -
szerződésre[22] vonatkozó rendelkezéseket határozza meg, s egyúttal megállapítja az adatkezelés időtartamának lejártát követően fennálló törlési kötelezettséget.[23] A jogszabály által absztrakt módon, az igényérvényesítésre nyitva álló határidőben megfogalmazott adattárolási időtartam egyben nyújt "mankót" a biztosító részére az adatkezelés jogalapjának meghatározásához,[24] s amennyiben a megfelelő jogalapként az adatkezelő jogos érdekét fogadjuk el,[25] úgy különösen az érdekmérlegelési teszt elvégzéséhez.[26] Egyúttal jelenti az adatkezelő jogos érdekének korlátját, behatárolását is, mivel az igényérvényesítésen kívüli más indokot nem jelölhet meg a jogos érdekének megalapozásaként.
Itt felmerül a kérdés, hogy a Bit. hivatkozott rendelkezéseinek, valamint a GDPR 5. cikk (1) bekezdés e) pontjában foglalt korlátozott tárolhatóságra vonatkozó követelményének alapulvételével milyen időtartamot határozhat meg az adatkezelő. Ez az időtartam a jelenleg kialakult gyakorlat, illetve a Bit.-ben megfogalmazott rendelkezés értelmezése alapján legfeljebb az elévülési időhöz igazodhat, ugyanis ez idő alatt érvényesíthet igényt az érintett az adatkezelővel szemben.[27] A biztosító a
- 67/68 -
létre nem jött szerződés esetén egyszerűbb helyzetben van az adatkezelés időtartamának meghatározása során, hiszen a Ptk. 6:62.§ (5) bekezdés[28] alapján a szerződésen kívüli károkozás szabályai szerint számíthat arra, hogy vele szemben igényt terjesztenek elő, amelynek tekintetében az elévülési idő öt év. A megszűnt szerződések esetén úgy gondolom, hogy a biztosítónak szerződésenként kell meghatároznia azt az időtartamot, amely alatt potenciálisan számíthat arra, hogy vele szemben igényt terjeszt elő az arra jogosult személy.[29] Tekintettel arra, hogy ez az igény - amely kontraktuális és esetlegesen személyiségi jogi[30] jogalapon is előterjeszthető - kötelmi igénynek minősül, így az adatkezelési időtartam ez esetben is az általános elévülési időhöz igazodva legfeljebb öt év lehet. Álláspontom szerint azonban szerencsésebb lenne és az átláthatóságot, valamint az adatvédelmi szempontú jogbiztonságot szolgálná, ha a jogszabály explicit módon meghatározná - az (i) és (ii) kategória alá tartozó adatkezelések tekintetében eltérően - azt az időtartamot, amelyet követően a biztosító köteles törölni az adatokat.
A biztosítási jogviszony komplexitását adatkezelési szempontból elsősorban az adja, hogy abban több érintett is megjelenhet. A Bit. a biztosítóval jogviszonyba kerülő személyek körét összefoglaló elnevezéssel ügyfélnek nevezi. A Bit. 4. § (1) bekezdés 101. pontja alapján "ügyfélnek minősül a szerződő,[31] a biztosított,[32] a ked-
- 68/69 -
vezményezett,[33] a károsult,[34] a biztosító számára szerződéses ajánlatot tett[35] és a biztosító szolgáltatására jogosult más személy,[36] továbbá a független biztosításközvetítő esetében az a személy is, aki a független biztosításközvetítővel alkuszi megbízási szerződést kötött." A GDPR az érintett fogalmát explicit módon nem határozza meg, hanem a személyes adat fogalmából azonosíthatjuk e személyeket, amely szerint személyes adatnak minősül "az azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ..."[37] A Bit. ügyfélfogalmának és a GDPR érintetti fogalmának összevetése alapján megállapítható, hogy érintettnek a biztosító azon ügyfelei minősülnek, akik természetes személyek, és további fontos feltétel, hogy élő személyek legyenek. Nem minősülnek tehát érintettnek a biztosítóval szerződést kötő vagy szerződéskötésre ajánlatot tevő jogi személyek[38] és a biztosító elhunyt ügyfelei.[39]
A biztosítási jogviszonnyal összefüggésben végzett adatkezelés az érintett személyes adataira terjed ki. A GDPR 4. cikk 1. pontjában rögzített fogalomból láthatjuk, hogy minden információ, amely az érintettre vonatkozik, s ezáltal az érintett azonosított vagy azonosítható, személyes adatnak minősül. A biztosítási jogviszony tekintetében sajátosság továbbá, hogy ezen információk nemcsak személyes adatnak, de egyúttal biztosítási titoknak[40] is minősülnek. Erre tekintettel a Bit. alapvetően a biztosítási titok mint adat kezelésére vonatkozó szabályokat állapítja meg, amelyek-
- 69/70 -
be nyilvánvalóan a személyes adatok is beletartoznak. A biztosítási szerződés teljesítésével összefüggésben kezelhető személyes adatok konkrét körét a biztosítónak a Ptk. XXII. címében foglalt biztosítási szerződésekre, valamint a szerződésekre vonatkozó teljes joganyag tükrében köteles meghatározni, amelynek során szem előtt kell tartania a konkrét szerződés célját, a biztosítási fedezetbe vont kockázat jellegét.
A személyes adatok körében speciális megítélés alá esnek a személyes adatok különleges kategóriái, azaz a különleges adatok.[41] A szenzitív adatok közül a biztosítási jogviszonnyal összefüggésben elsősorban az érintett genetikai,[42] biometrikus,[43] valamint egészségügyi adatainak kezelése merülhet fel. E három adatkör közül a leghangsúlyosabban az egészségügyi adatok kezelése merülhet fel. Az egészségügyi adat fogalmát a GDPR 4. cikk 15. pontja úgy határozza meg, hogy az "egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról." Az egészségügyi adatok kezelése számos biztosítási szerződés esetében felmerül, elsősorban az összegbiztosítások körében, az élet- és balesetbiztosítási szerződés esetén a biztosított, valamint a felelősségbiztosítási szerződés esetén a kárkötelem károsultja mint ügyfelek, s adatkezelési szempontból mint érintettek tekintetében. A különleges adatok kezelésére vonatkozó szabályokra különösen nagy hangsúlyt fektetek azon biztosítási szerződések körében, amelyeknél a szenzitív adatok kezelése felmerül.
A biztosítási jogviszony keretében több személy kapcsolatba kerülhet az érintett adataival.[44] Természetesen az egyik legfontosabb adatkezelést végző személy maga a biztosító, akivel a szerződő fél megköti a biztosítási szerződést, de emellett a biztosítási szerződés teljesítése tekintetében felmerülhet egyes közreműködők (pél-
- 70/71 -
dául kárrendezésben közreműködő személyek) adatkezelése is.[45] Emellett különösen az elektronikus szerződéskötés során - abban az esetben, ha az elektronikus felületet a szerződéskötésben részt vevő személy, így a biztosításközvetítő vagy a biztosító nem saját rendszerében biztosítja - felmerül még az egyes szoftverszolgáltatók adatkezelése is. A szoftverszolgáltatók körébe tartoznak a tanulmányban részletesen tárgyalt innovációk, így az egyes infokommunikációs rendszerek tényleges üzemeltetői is, hiszen mind a telematikai és a telemetriai rendszerek, mind az egyes okos mérők esetén elmondható, hogy azok üzemeltetését általában nem a biztosítók - bár nyilvánvalóan ez a lehetőség sem kizárt -, hanem más személyek, a biztosítók nevében és érdekében végzik.
Elsődlegesen meg kell vizsgálni, hogy a biztosító és a szoftverszolgáltatók adatkezelési szempontból milyen viszonyban vannak egymással. A GDPR 4. cikk 7. pontja alapján adatkezelőnek minősül "az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja." Az adatkezelői minőség legfontosabb szempontja, hogy az adatkezelő önállóan határozza meg az adatkezelés célját és eszközeit, ami tartalmilag számos "részdöntésre" kiterjed.[46] Ezzel szemben adatfeldolgozónak minősül "az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel." Megfigyelhető, hogy az adatfeldolgozó és az adatkezelő közötti legfontosabb különbség, hogy előbbi az utóbbi nevében végzi a tevékenységet, az ő érdekében jár el,[47] tehát nem önállóan határozza meg az adatkezelés célját és eszközeit.[48] A biztosítási jogviszony keretében végzett adatkezelés tekintetében a fentiekben felsorolt személyi kör minőségének meghatározása álláspontom szerint egyszerű, ugyanis a biztosítási szerződéssel összefüggő biztosítási titoknak minősülő valamennyi adaton végzett adatkezelés célját a Bit. 135. § (1) bekezdése meghatározza, amely rendelkezés a biztosítóra vonatkozó kötelezettséget állapít meg. A biztosítási szerződés teljesítésével összefüggő adatkezeléssel járó folyamatokat, így a kockázatkezelési mechanizmusok módját is a biztosító határozza meg - természetesen a szerződő partnerrel egyetértésben, ami a szerződés létrejöttében és
- 71/72 -
annak egyes rendelkezéseiben manifesztálódik -, amellyel így önállóan határozza meg az adatkezelés célját és eszközeit. Amennyiben a szerződés teljesítéséhez szükséges egyes részfeladatokat (például az adatgyűjtést és akár az adatelemzést is) kiszervezi,[49] a kockázatkezelést valamely külső személy által üzemeltetett IoT alapú eszköz igénybevételével végzi a biztosító, úgy megállapítható, hogy e szolgáltató adatfeldolgozónak minősül. Fontos megjegyezni, hogy az adatkezelő és az adatfeldolgozó közötti jogviszony tartalmát a GDPR 28. cikk (3) bekezdése szerinti, az adatfeldolgozás részleteit pontosan meghatározó szerződésnek kell rendeznie. Az adatkezelő és az adatfeldolgozó viszonyát tekintve alá- és fölérendeltségi viszonyról beszélhetünk, ugyanis az adatfeldolgozó az adatkezelő utasításainak megfelelően köteles, és kizárólag e keretek között jogosult végezni az adatkezelési műveleteket. Ez nem jelenti azt, hogy az adatfeldolgozó nem hozhat önálló döntést az adatkezelés tekintetében, de az kizárólag az adatfeldolgozási szerződés keretein belül történhet.[50] Rendkívül fontos tehát az adatfeldolgozás részleteit pontosan, "adatkezelés-specifikusan" rögzíteni a közöttük létrejött - a gyakorlatban jellemzően adatfeldolgozási szerződésnek nevezett - kontraktusban. Hangsúlyozni kell, hogy az adatkezelés jogszabályi megfeleltetéséért elsődlegesen az adatkezelő felelős. Az ő felelősségi körébe tartozik az adatkezelés jogszerűségének a biztosítása, továbbá a megfelelő technikai és szervezési intézkedések meghozatala, értve ez alatt azt is, hogy e körben megfelelő utasításokkal kell ellátnia az adatfeldolgozót.
A személyek érdekkörébe tartozó egyik legfontosabb elem a vagyon, amelynek megóvása mindig is cél volt. A vagyoni érdek védelme a kárbiztosítás feladata, s mint ilyen, a társadalom szolgálatában áll. A vagyont érő külső behatásoknak számos fajtája lehet, amelyek előre látása és megelőzése, illetve bekövetkezésük esetén kezelése a kárbiztosítás fontos kérdése. A 21. század kockázatkezelési módszerei folyamatosan változnak és a technológiai vívmányok kihasználásával új síkra terelődnek. Az alább említésre kerülő innovációk a biztosítás intézményének prevenciós célját erősítik, így a biztosításban résztvevő felek érdekeit szolgálják.
- 72/73 -
A hasznosítható innovációk egyik köre a lakásbiztosítások terén okozhat lényeges változásokat. A telemetriai rendszerek[51] lakásban történő alkalmazása esetén számos kedvezményt nyújthatnak a biztosítók. Ide tartoznak a különböző kamerás-, szenzoros-, tűzvédelmi rendszerek, amelyek célja elsősorban a káresemények megelőzése.[52] E rendszerek alapvető működése, hogy folyamatosan monitorozzák az érintett érdekkörébe tartozó vagyontárgyat,[53] ami az általánostól eltérő adatkezelést eredményez. A személyes adat fogalmának tág meghatározására tekintettel önmagában véve, például egy lakás, családi ház csővezetékének állapotára vonatkozó műszaki adat, annak a ténye, hogy az épület ajtaja be van-e zárva, vagy sem stb., személyes adatnak minősül, mivel ezek az információk közvetetten a biztosítottra mint érintettre vonatkoznak. Felmerülhet annak a kérdése, hogy az ilyen adatkezelést megelőzően szükség van-e adatvédelmi hatásvizsgálat elvégzésére.[54] Álláspontom szerint ez az adatkezelés - mivel jellegére, körülményeire és céljára tekintettel valószínűsíthetően nem jár magas kockázattal az érintettek jogaira és szabadságaira nézve - semmiképpen nem esik a GDPR 35. cikk (3) bekezdés szerint kötelezően elvégzendő hatásvizsgálat körébe, illetve a GDPR 35. cikk (1) bekezdés alapján is mérlegelendő volna. Azonban tekintettel a 35. cikk (4) bekezdése alapján a NAIH által közétett hatásvizsgálati lista[55] tartalmára, ezen adatkezelést érintően is el kell végezni a hatásvizsgálatot.
A gépjárművek száma fokozatosan növekszik, ami a biztosítók kockázatát növeli, ezért a biztosítóknak törekedniük kell a lehető legpontosabb kockázatkezelési módszerek kialakítására,[56] amihez az egyes technológiai vívmányok nagymértékben hozzájárulhatnak. E körben a gépjármű-biztosítás mindkét formája, a kár- (casco) és a felelősségbiztosítás is előtérbe kerülhet. Előbbivel ehelyütt, utóbbival a következő fejezetben foglalkozom.
A gépjármű-biztosításban leginkább a telematikai rendszerek tűnnek alkalmazhatónak.[57] A telematikai rendszer a biztosítottakat érintő személyes adatok valós időben történő gyűjtését és elemzését teszi lehetővé, így rugalmassá és egyedivé téve a biztosítási feltételeket, a biztosítási szerződés tartalmát, különösen a díjfizetést,[58] s mindeközben lehetővé teszi a biztosítottakat (értsd: a veszélyközösséget) érintő (össz)kockázat hatékonyabb elemzését is.[59]
- 73/74 -
A telematikai rendszerek[60] körében a gépjárműben elhelyezett kvázi "fekete doboz" alkalmazása terjedt el leginkább, amely digitális adatként rögzíti a gépjármű működésére vonatkozó információkat.[61] A rendszer GPS alapon működik, így a helymeghatározó adatai és a gépjármű használatával - a vezetési stílussal[62] - összefüggő adatok összevetése alapján felmérhetők a gépjármű üzemeltetésével együtt járó kockázatok. Mindezt a biztosítók a biztosítási díj kalkulációjához[63] alkalmazhatják, amely így alapvetően használat alapúvá, s így igazságosabbá válik, mint a jelenleg alkalmazott módszerek (gépjármű kora, a szerződő fél kora és vezetői tapasztalata, illetve kártörténete stb.).[64]
A telematikai rendszer felhasználásával a biztosító a casco biztosítás körében, például a gépjármű állapotával kapcsolatos adatokat (guminyomás, fék állapota stb.), illetve a gépjármű vezetőjének vezetési stílusával kapcsolatos információkat gyűjtheti, amely alapján a biztosító figyelmeztető jelzéseket tud küldeni a járművezető részére a kármegelőzés érdekében.[65] Mindezek célja elsősorban a vagyont érő káresemények elkerülése, míg másodsorban a bekövetkezett kár körülményeinek (tudniillik valóban biztosítási esemény történt-e) és mértékének precízebb felmérése és
- 74/75 -
gyorsabb rendezése. Ehhez azonban a biztosító a szokásostól eltérő - valós idejű és folyamatos - adatgyűjtést végez, amelynek során egy automatizált rendszer útján megfigyeli és kiértékeli a begyűjtött adatokat, illetve - s ami talán az előbbinél is komolyabb vitát eredményez - értékeli a gépjármű vezetőjének vezetési stílusát. A begyűjtött adatokat a biztosító a termékeinek fejlesztésére, valamint az egyedi biztosítási szerződések tartalmának (például kedvezőbb díjtétel) megállapítására és a kockázatmenedzselés hatékonyabbá tételére is felhasználhatja. Az adatkezelés célja ezzel tisztázott és az jogszerűnek is tekinthető, azonban az adatkezelés jogalapjának meghatározásával kapcsolatosan még merülhetnek fel kérdések.
Előzetesen meg kell állapítani, hogy az ilyen új technológia alkalmazása miatt az előzetes hatásvizsgálat lefolytatásának szükségessége merülhet fel (lásd a fentebb kifejtetteket), sőt álláspontom szerint a vezetői stílus folyamatos megfigyelése és értékelése a GDPR 35. cikk (3) bekezdés a) pontjában foglalt, a hatásvizsgálat kötelező lefolytatására vonatkozó esetkörbe is beletartozik. Ez alapján ugyanis le kell folytatni az előzetes hatásvizsgálatot, amennyiben az adatkezelés a "természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen - ideértve a profilalkotást is - alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek."
A telematikai rendszerek alkalmazása csak abban az esetben működhet hatékonyan, ha az a teljes veszélyközösségre kiterjed, ezért a rendelkezés alkalmazásának első feltétele, miszerint több természetes személyt kell érintenie, megvalósul. Mivel az így kezelt adatok a biztosítottra vonatkozó személyes jellemzőnek minősülnek (vezetési stílus mint személyes jellemző), amelyet módszeres megfigyelés során automatizált rendszer útján értékelnek, ezért a rendelkezés alkalmazásának másik két feltétele is megvalósul. A rendelkezés alkalmazásának utolsó feltétele, amely szerint az ilyen formában végzett adatkezelésnek az érintettre joghatással bíró döntést kell eredményeznie, vagy ez alapján az érintettre nézve jelentős mértékű döntést hoznak, szintén megvalósul, hiszen az adatkezelés célja az, hogy a biztosító hatékonyabb kockázatelemzést végezzen, és ezáltal a biztosított által fizetendő biztosítási díjat meghatározza, ami a biztosítottra nézve hozott döntésnek minősül.
E helyütt meg kell határozni az adatkezelés jogalapját is, amely során elsősorban azt kell megvizsgálnunk, hogy a szóban forgó adatkezelés automatizált döntéshozatalnak minősül-e.[66] Mivel a rendszer működése során végzett adatkezelés - az adatgyűjtéstől a döntés meghozataláig - emberi beavatkozástól mentes, így megállapítható, hogy az IoT eszközök igénybevételével végzett adatkezelés profilalkotást is magában foglaló automatizált döntéshozatalnak minősül.[67] A GDPR 22. cikk (2) be-
- 75/76 -
kezdése az automatizált adatkezelés jogszerűségét három jogalap fennállása esetén teszi lehetővé, amelyek közül a jelen esetben az a) pontban foglalt rendelkezés alkalmazhatósága merül fel, amely szerint az automatizált döntéshozatal alkalmazása jogszerűnek tekinthető, ha az "az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges." Ez alapján tehát, amennyiben a biztosítási szerződésben (és itt jellemzően az általános szerződési feltételek szerinti megállapodást kell érteni) kifejezetten a telematikai rendszerek alkalmazásában állapodnak meg a felek, úgy ez a fordulat alkalmazható, s az adatkezelés jogszerű lesz. Nem tartom alkalmazhatónak a GDPR 22. cikk (2) bekezdés c) pontjában foglalt jogalapot, amely alapján az automatizált döntéshozatal jogszerű, ha ahhoz az érintett kifejezetten hozzájárult. Tekintettel arra, hogy az adatkezelés a biztosítási szerződés teljesítéséhez szükséges, ezért kifejezetten a 22. cikk (2) bekezdés a) pontja alkalmazható, hiszen e jogalap szolgál a szerződéses jogviszonyok keretében végzett adatkezelés jogszerűségének megalapozásaként. A hozzájárulás mint jogalap alkalmazhatósága azért zárható ki, mivel az érintett nincs olyan döntési helyzetben, amelyben eldönthetné, hogy mely személyes adatait bocsátja az adatkezelő rendelkezésére, hanem kifejezetten az adatkezelő, jelen esetben a biztosító dönti el, hogy a szerződés teljesítéséhez milyen személyes adatokra van szüksége. Az érintett tehát nem rendelkezik valódi, szabad rendelkezési joggal az adatai fölött, ezért a hozzájárulás önkéntességének a feltétele nem valósul meg. Mi több, álláspontom szerint az érintett hozzájárulásának visszavonására sincs lehetőség anélkül, hogy az érintettet bármilyen hátrány érné.[68] Önmagában a szerződéskötési szabadság alapján, szabad akaratból igénybe vett szolgáltatás nem tükrözi a hozzájárulás megállapításához szükséges szabad akaratot, nem elegendő a hozzájárulás önkéntességének megállapításához.[69]
Egy kis utópisztikus naivitással, de az adatvédelmi tudatosság növekedését illetően annál nagyobb bizakodással elképzelhetőnek tartom a GDPR 22. cikk (2) bekezdés b) pontjában foglaltak alkalmazását abban az esetben, ha a jogalkotó - az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedések megállapítása mellett - jogszabályban rögzítené az ilyen formában végzett adatkezelést. Amennyiben tehát a tagállami vagy az uniós jogalkotó szabályozná a biztosítási szerződéssel összefüggő automatizált döntéshozatalt - helyesebben kellő absztrakcióval az IoT rendszerek alkalmazásával összefüggő -egyes adatvédelmi, adatkezelési kérdéseket, úgy ez a jogalap is alkalmazhatóvá
- 76/77 -
válna. Amennyiben erre sor kerül, elsősorban az uniós szintű, közvetlenül alkalmazandó (azaz rendeleti) szabályozást tartanám megfelelőnek, annak érdekében, hogy valamennyi biztosító azonos módon kezelje a kérdéskört.
A telematikai rendszer a felelősségbiztosításban is alkalmazható, e körben a gépjármű-felelősségbiztosítás emelhető ki. Új alapokra helyezi, illetve helyezheti ezt a biztosítási terméket, és általa egy sokkal igazságosabb díjfizetési rendszer, használat- és (fel)használó-érzékenyebb kockázatközösség jön létre. Mindemellett a biztosítókra is pozitívan hathat, mivel a pénzügyi kockázatok körültekintőbb és pontosabb felmérését és folyamatos nyomon követését eredményezheti, amivel így ők csökkenteni tudják a pénzügyi veszteségeiket. A hatásvizsgálat és az adatkezelés jogalapjával kapcsolatosan itt is irányadónak tekintem a kárbiztosításnál kifejtetteket.[70]
Ugyanakkor itt komoly adatkezelési kérdések merülhetnek fel abban az esetben, ha a szerződő fél és a biztosított személye nem azonos, sőt mi több, a kötelező gépjármű-felelősségbiztosításról szóló 2009. évi LXII. törvény 3. § 4. pontja alapján a gépjárművet vezető személy is biztosítottnak minősül. Ezek a kérdések az adatkezelés jogalapjával összefüggésben merülnek fel, hiszen amennyiben nem a szerződő fél a biztosított, úgy az adatkezelés nem alapulhat a biztosítási szerződésen, mivel ez esetben a szerződésben nem jelenik meg félként a biztosított. Ez esetben felmerül a kérdés, hogy a biztosító személyes adat kezelését végzi-e vagy sem, illetve, hogy kinek a személyes adatát kezeli. Ugyanis, ha nem ismert az a természetes személy, akire vonatkozóan adatgyűjtés történik, úgy meg kell vizsgálni, hogy teljesülnek-e a személyes adat fogalmának feltételei. Az ilyen személy semmiképpen nem tekinthető azonosítottnak, hiszen a biztosító előtt a személye nem ismert, viszont közvetett módon azonosítható, mégpedig abban az esetben, ha a biztosítási esemény bekövetkezik és a biztosítónak azonosítania szükséges a biztosított személyét. Addig, amíg a biztosító előtt nyilvánvalóvá nem válik az, hogy a rögzített adatok nem a szerződő félre vonatkoznak, azokat a szerződő féllel kapcsolja össze (rá vonatkozó információnak, így személyes adatnak tekinti), hiszen ez alapján állapítja meg a szerződő fél elsődleges (tudni illik a díjfizetési) kötelezettségét. Amennyiben a biztosítási esemény soha nem következik be, úgy előfordulhat, hogy a biztosító úgy kezeli ezeket az adatokat, hogy a tényleges érintett személye nem lesz azonosított, de a potenciális azonosíthatóság fennáll. A biztosító mindaddig, amíg annak ellenkezője igazolásra nem kerül, alappal tekintheti úgy a kezelt személyes adatokat, hogy azok a biztosítottra vonatkoznak.[71] A feltett kérdésre ezért
- 77/78 -
igenlő választ adhatunk, tehát a biztosító akkor is személyes adatok kezelését végzi, ha olyan adatokat kezel, amelyek nem az általa érintettnek tekintett személyre vonatkoznak.
Az összegbiztosítások, így az élet- és balesetbiztosítás alapját a biztosítottak személyével, egészségével és életével összefüggő kockázatok képezik, amelyek egy része egészségügyi adatnak minősül. A hagyományos adatgyűjtés körében jellemzően a biztosított nyilatkozik a szerződésben feltett, egészségügyi állapottal kapcsolatos kérdésekre, s így a biztosító a biztosított szerződéskötés idején fennálló állapota szerint határozza meg a kockázat mértékét, esetlegesen a biztosító a szerződéses kockázatok felmérése céljából az általa megjelölt egészségügyi szakember szolgáltatásának igénybevételét teszi kötelezővé, s az ő szakvéleménye alapján állapítja meg a kockázat mértékét. [72]
Az élet- és balesetbiztosítási szerződések körében alkalmazható technológiai vívmányok - így az okosóra, okoskarkötő, különböző szenzoros tapaszok - az ügyfél egészségi állapotának folyamatos monitorozását szolgálják, tehát ezek alkalmazásával valós idejű adatgyűjtést végez a biztosító. Ennek célja, hogy a biztosító folyamatosan figyelemmel tudja kísérni a biztosítási kockázat alakulását, és akár azonnal tudomást szerezhessen a biztosítási kockázat növekedésről. Mindez igazságosabb és méltányosabb díjszámítást is eredményezhet, hiszen a biztosítási díj mértéke a biztosított által hordozott kockázat függvényében növekszik vagy csökken. Ebben az esetben a biztosító megteheti a megelőző intézkedéseket is, így felhívhatja az ügyfél figyelmét az orvosi vizsgálat igénybevételének szükségességére, s akár már részbeni diagnózist is alkothat az ügyfele állapotáról, esetleges állapotromlásáról.
A valós idejű, folyamatos adatrögzítés a biztosítottra mint érintettre vonatkozó automatizált döntéshozatalnak minősül, hiszen a biztosítási díj mértéke - az egészségügyi kockázat függvényében - automatizált módon kerül megállapításra. Erre tekintettel a döntéshozatal egyértelműen hatással jár a biztosítottra, hiszen a biztosított kötelezettségének mértékét befolyásolja, azt csökkenti vagy növeli. A fentiekben már kifejtettem, hogy az automatizált döntéshozatalnak minősülő adatkezelés jogszerűségét a GDPR 22. cikk (2) bekezdése alapozhatja meg. A GDPR 22. cikk (4) bekezdése azonban a különleges adatokon automatizált módon végzett adatkezelés jogszerűségét az érintett kifejezett hozzájárulására[73] korlátozza.[74] Ezzel
- 78/79 -
összefüggésben azonban felmerül egy kettős probléma, amelyet az alábbiakban világítok meg.
A szóban forgó adatkezelés egy az adatkezelő és az érintett között létrejött szerződés teljesítéséhez szükséges. A szükségesség tekintetében nem lehet vita, hiszen a felek a szerződésükben e technológiák alkalmazásában (mint kockázatkezelési mechanizmusban) állapodtak meg. A GDPR 22. cikk (4) bekezdés alapján azonban arra tekintettel, hogy az automatizált adatkezelést különleges adatokon végzik, a GDPR 6. cikk (1) bekezdés b) pontjában foglalt jogalap mellett az adatkezelés jogszerűségét biztosító többletkövetelményként kizárólag a 9. cikk (2) bekezdés a) pontja alkalmazható.[75] Itt hívom fel a figyelmet a Bit. 136. §-ban található rendelkezésre, amely szerint "az ügyfél egészségi állapotával összefüggő az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló törvényben (a továbbiakban: Eüak.)[76] meghatározott egészségügyi adatokat a biztosító a 135. § (1) bekezdésében meghatározott célokból, az Eüak. rendelkezései szerint, kizárólag az érintett kifejezett hozzájárulásával kezelheti." Ez a rendelkezés látszólagos összhangban van a GDPR idézett rendelkezésével, amennyiben nem azzal összhangban, hanem azzal azonos módon[77] - de az alábbi indokok miatt tévesen - szabályozza az egészségügyi adatok kezelésére vonatkozó követelményt. A GDPR alapján ugyanis a szerződésen alapuló adatkezelés esetén nem értelmezhető a hozzájárulás, tekintettel arra, hogy a hozzájárulás érvényességéhez szükséges egyik feltétel, annak önkéntessége nem állapítható meg. Az önkéntesség megítélése során azt is figyelembe kell venni, hogy az érintettnek van-e lehetősége arra, hogy a hozzájárulást bármikor korlátozás nélkül visszavonhassa, mégpedig anélkül, hogy azzal összefüggésben őt hátrány érné.[78] A problémát e körben az képezi, hogy nehezen ítélhető meg a kontraktuális jogviszony keretében a hozzájárulás visszavonásának jogkövetkezménye, s aligha képzelhető el olyan eset, amikor a szerződéses jogviszony keretében visszavont hozzájárulás miatt ne érné hátrány az érintettet.[79] Éppen ezért a szerződéses jogviszony keretében adott hozzájárulás
- 79/80 -
azon személyes adatok tekintetében, amelyek a szerződés teljesítésével összefüggenek, nem lehet érvényes, így az nem értelmezhető. Ahogy azt kifejtettem, a szóban forgó adatkezelés az érintett és az adatkezelő közötti szerződés teljesítéséhez szükséges, s így az adatkezelés jogszerűségét a felek között létrejött szerződés biztosítja. A különleges adatok tekintetében idézett GDPR rendelkezés, valamint az egészségügyi adatok tekintetében idézett Bit. 136.§ azonban a többletfeltételt kizárólag a hozzájárulásra korlátozza, amely a hozzájárulás és a szerződéses jogalap kollíziója, különösen a hozzájárulás önkéntességének hiánya miatt nem adható meg érvényesen, így a különleges adatok kezelését a hozzájárulás nem teheti jogszerűvé. Minderre tekintettel a különleges adatokon végzett olyan automatizált döntéshozatal, amely szerződéshez kapcsolódik, nem lehet jogszerű, mivel az érintett nem adhatja meg a hozzájárulását érvényesen. A vizsgált témakör tekintetében ez azt eredményezheti, hogy kérdésessé válik a biztosítási szerződéshez kapcsolódó olyan automatizált döntéshozatalon alapuló adatkezelés jogszerűségének biztosítása, amelyet különleges adaton végeznek. A GDPR és a nemzeti jog kollíziója esetén azonban előbbi szabályai érvényesülnek. Annak ellenére, hogy az uniós jogalkotó a GDPR 9. cikk (4) bekezdésében felhatalmazást ad a nemzeti jogalkotók részére a különleges adatok kezelésére vonatkozó szabályoktól szigorúbb rendelkezések megállapítására, ideértve a korlátozó szabályokat is, a jelen esetben a GDPR-ban foglaltakkal ellentétes szabályról van szó, így annak érvényesülése nem igazolható e felhatalmazás alapján.
Mindazonáltal nem hagyhatjuk figyelmen kívül azt a tényt, hogy azok a biztosítási szerződések, amelyek keretében a biztosító különleges adatot kezel, kifejezetten olyan szerződések, amelyek teljesítéséhez a különleges adatok kezelése szükséges. A GDPR 9. cikk (2) bekezdésében azonban nem találunk olyan feltételt, amely a különleges adatok szerződésen alapuló adatkezelését lehetővé tenné, s az adat jellegére tekintettel nem elegendő a 6. cikk (1) bekezdés b) pontjára hivatkozással adatkezelést végezni, hanem a különleges adatok kezelésének jogszerűséget megalapozó 9. cikk (2) bekezdés valamely pontjában foglalt feltételnek is fenn kell állnia. Ahogy azt a fentiekben is kifejtettem, a Bit. hatályos rendelkezése alapján a biztosító
- 80/81 -
a biztosítási szerződéssel összefüggésben egészségügyi adatot kizárólag az érintett hozzájárulása alapján kezelhet, valamint az automatizált döntéshozatal útján történő adatkezelés jogszerűségét is kizárólag az érintett hozzájárulása biztosíthatja. Kérdésként merül fel, hogy a szerződés létrejöttéhez szükséges akarat kifejezése nem testesítheti-e meg az érintett hozzájárulását? A fent kifejtett szabályok alapján egyértelműen nemleges választ kell adnunk, azonban ez az álláspont - az EDPB által a belső piaci pénzforgalmi szolgáltatásokról szóló 2015/2366 irányelv (a továbbiakban: PSD2) szerint nyújtott pénzforgalmi szolgáltatások keretében végzett adatkezelés tekintetében meghozott 6/2020. számú iránymutatásában[80] foglaltak szerint - remélhetőleg változni fog. Az EDPB az iránymutatásban a PSD2 irányelv 94. cikk (2) bekezdésében foglalt kifejezett hozzájárulás[81] követelménye tekintetében fejtette ki az álláspontját. E szerint, a PSD2 irányelv 94. cikk (2) bekezdésében és a GDPR 6. cikk (1) bekezdés a) pontjában foglalt kifejezett hozzájárulásra vonatkozó rendelkezések nem azonosak, hanem utóbbit szerződéses hozzájárulásnak ("contractual consent") kell tekinteni. Mindezt azzal indokolta, hogy e szolgáltatás nyújtásának elengedhetetlen feltétele a személyes adatok kezelése, s különösen azért, mert a szolgáltatást igénybe vevő személy személyes adatainak kezelése minden esetben a szerződés teljesítésének céljából történik, s így e hozzájárulásnak szerződéses természete van, ezt a hozzájárulást a szerződés létrejöttéhez szükséges akarat testesíti meg.[82]
Mivel a PSD2 irányelv alapján nyújtott szolgáltatások körében a különleges adatok kezelése nem elsődleges, ezért a "contractual consent" tartalma ezen adatokra, tehát a GDPR 9. cikk (2) bekezdésében foglalt többletfeltételekre nem terjed ki. Így felmerül a kérdés, hogy amennyiben a szerződés teljesítésének feltétele a különleges adatok kezelése, a GDPR 9. cikk (2) bekezdés a) pontjában foglalt hozzájárulásnak tekinthető-e a szerződéses hozzájárulás. Amennyiben a Bit. 136. §-ban, illetve a GDPR 22. cikk (4) bekezdésében előírt kifejezett hozzájárulást a szerződés létrejöttével megadottnak tekintenénk, úgy a fentiekben a hozzájárulás kapcsán kifejtett problémákra megoldást találhatnánk. Tekintettel arra azonban, hogy az EDPB kifejezett álláspontja, hogy a szerződéses hozzájárulás nem azonos a GDPR-ban foglalt hozzájárulással, így álláspontom szerint a különleges adatok kezelésének jogszerűségét megalapozó többletfeltétel továbbra is hiányozna. Véleményem szerint csak akkor támogatható a "contractual consent" felfogás, ha a GDPR-ban foglalt hozzájárulásnak tekintjük, s egyben elismerjük a hozzájárulás kiterjesztő értel-
- 81/82 -
mezhetőségét. Ez azonban a hozzájárulás tartalmával ellentétes volna. A probléma megoldásaként szolgálhatna, ha a GDPR 9. cikk (2) bekezdésében foglalt jogalapok kibővítésre kerülnének egy szerződéses jogalappal, amellyel a jogalkotó kifejezetten biztosítaná a különleges adatok szerződésen alapuló kezelésének jogszerűségét, természetesen továbbra is a célhoz kötöttség és az adattakarékosság elveinek primátusát "hirdetve."
Úgy gondolom, hogy a biztosítási tevékenységet érintő innovációk alkalmazási köre a jövőben jelentős mértékben növekszik majd, mivel egyrészről az információs technológiai fejlesztéseken alapuló eszközök használata napi szinten terjed, másrészről ezen, a biztosítók által az "emberiség szolgálatába" állított eszközök társadalmi hasznossága vitathatatlan. A biztosítási formákat érintő innovációk legfontosabb célja, hogy a folyamatos és valós idejű adatgyűjtéssel és adatelemzéssel a biztosító optimalizálja a kockázatkezelési mechanizmusát, amivel rugalmasabb szerződési konstrukciókat alakíthat ki. Ez alatt az ügyfél oldaláról elsősorban a használatalapú és kockázatalapú díjszámítást, s így a veszélyközösségre háruló kockázat igazságos elosztását kell érteni. A biztosító oldaláról nézve a kockázat valós és tényleges mértékének meghatározása miatt az ahhoz igazodó tőkekövetelmények pontosabb meghatározását, e mellett többek között a felhasználható bevétel mértékének megállapítását, amelyek a biztosító részére stabilabb üzletviteli tevékenységet, és az ügyfelek részére megnyugtató tőkefedezetet eredményeznek.
A biztosítást érintő innovációk legfontosabb közös jellemzője a valós idejű adatgyűjtés és adatelemzés, amelyben az adatok többsége az ügyfélre vonatkozó személyes adatnak minősül. A biztosítók számára ezért kihívást jelent az ilyen innovatív megoldások - különösen a GDPR által támasztott - adatvédelmi követelményeknek való megfeleltetése. A biztosításban alkalmazott technológiai megoldások automatizált módon gyűjtenek személyes adatnak minősülő adatokat az ügyfélről, előre meghatározott algoritmus szerint automatikusan végeznek kockázatelemzést, s ennek eredményeként határozzák meg a biztosítói kockázatvállalás ellenértékét. Adatvédelmi szempontból ez a tevékenység profilalkotáson alapuló automatizált döntéshozatalnak minősül, amelyet a GDPR 22. cikk (1) bekezdése főszabály szerint megtilt. A 22. cikk (2) bekezdés meghatározza azokat a kivételeket, amelyek esetén jogszerűnek minősül az automatizált döntéshozatal. A biztosítási tevékenységgel összefüggő automatizált döntéshozatal körében a legnagyobb kihívást a különleges adatok, különösen az egészségügyi adatok kezelése jelenti. A probléma forrása a GDPR 22. cikk (4) bekezdésében szereplő azon szabály, miszerint a különleges adatok automatizált döntéshozatal útján történő kezelése kizárólag az érintett hozzájárulása alapján lehet jogszerű. A tanulmányban kifejtésre került azonban, hogy a szerződéses jogviszony körében adott hozzájárulás érvényessége több okból sem állapítható meg, így az ilyen adatkezelés jogszerűsége nem biztosítható. Mindennek az lehet az eredménye, hogy a különleges adatok kezelését érintő automatizált döntéshozatalon alapuló biztosítási tevékenységhez kapcsolódó innovációk alkalmazása lehetetlenné válik.
- 82/83 -
A probléma kiküszöbölését eredményezné álláspontom szerint, ha a biztosítási szerződéshez kapcsolódó valamennyi olyan jogszabályi rendelkezés, amely hozzájárulást ír elő az adott jogviszony keretében a szerződés teljesítéséhez szükséges különleges adatok kezelése tekintetében, "contractual consent"-ként, azaz a szerződéses akarat kinyilvánításával, a szerződés létrejöttével megadott hozzájárulásnak volna tekinthető. Úgy gondolom, hogy e nézet általános elfogadásával a felvetett polémián kívül, nagyon sok szerződést érintő probléma is kiküszöbölhető volna. Megfontolandó lehet az is, hogy az automatizált döntéshozatal folyamatába olyan szintű emberi beavatkozás beépítése történjen, amellyel az már nem minősülne automatizált döntéshozatalnak. Megjegyzem azonban, hogy a 29. cikk szerint létrehozott adatvédelmi munkacsoport is kiemeli a vonatkozó iránymutatásában, hogy az emberi beavatkozás ténye önmagában még nem feltétlenül jelenti azt, hogy az adott tevékenység nem minősül automatizált döntéshozatalnak, illetve profilalkotásnak.[83] Kiemeli az iránymutatás azt is, hogy a szerződéssel összefüggésben végzett automatizált döntéshozatalon alapuló adatkezelés esetén "a rutinszerű emberi beavatkozás néha egyszerűen a kezelt adatok puszta mennyisége miatt célszerűtlen vagy lehetetlen."Álláspontom szerint a szóban forgó esetben is nehéz lenne megtalálni az emberi beavatkozás megfelelő módját. Összességében pedig úgy gondolom, hogy az a teljes egészében automatizált döntéshozatal előnyeinek korlátját képezné, az ilyen technológiai megoldások rendeltetésének és működési elvének a megfelelő érvényesülését akadályozná.
Hasonló problémába ütközünk, ha kizárólag a Bit. 136.§-át vizsgáljuk meg, hiszen ez a rendelkezés technológiai eszközök alkalmazásától függetlenül teszi kötelezővé az egészségügyi adatok kezelésének jogszerűségéhez az érintett hozzájárulását. Ez a szabály álláspontom szerint ellentétes a GDPR említett rendelkezéseivel, így különösen azzal, hogy egy szerződés megkötése keretében tett hozzájáruló nyilatkozat érvényessége - az önkéntesség hiánya miatt - nem állapítható meg, főként úgy, hogy az ellentét feloldható lenne jogalkotói beavatkozással, a rendelkezés hatályon kívül helyezésével és a 9. cikk (2) bekezdésben foglalt más jogalap alkalmazásával, vagy a GDPR 9. cikk (2) bekezdésében foglalt rendelkezések szerződéses jogalappal történő kibővítésével. Amíg ez nem történik meg, a biztosítók mintegy "Szküllák és Kharübdiszek" közt jogalkalmazói csatát vívnak a GDPR és a Bit. rendelkezéseinek való együttes megfelelés érdekében. ■
JEGYZETEK
[1] Kerényi Ádám-Müller János: Szép új digitális világ? - A pénzügyi technológia és az információ hatalma. Hitelintézeti szemle, 2019/1, 7. (https://doi.org/10.25201/HSZ.18.1.533)https://doi.org/10.26521/profuturo/2021/1/9849
[2] Kagan, Julia: Fintech. Investopedia, 2020. 08. 28. https://www.investopedia.com/terms/f/fintech.asp (2021. 03. 04.).
[3] Jelen eseten indokoltnak látom a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény (a továbbiakban: Bit.) 4. § (1) bekezdés 101. pontjában meghatározott "ügyfél" terminus technicus használatát, hiszen a szóban forgó technológiák nem csak a biztosítóval szerződő felet vagy a biztosítottat, hanem a biztosítási tevékenységgel érintett bármely személyt érinthetik. A meghatározás kifejtését lásd e tanulmány 1. 2. pontjában.
[4] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet), HL L 119., 2016.5.4., 1-88.
[5] Mindemellett, ahol az szükségesnek mutatkozik, említésre kerülnek az információs önrendelkezési jogról és információszabadságról szóló 2011.évi CXII. törvény (a továbbiakban: Infotv.) egyes rendelkezései is.
[6] Az önvezető járművekkel kapcsolatosan is felmerülhetnek komoly adatvédelmi kérdések. Elsősorban elvárható követelmény, hogy a járműveket csak az arra jogosult személy indíthassa be, amihez egyedi azonosító rögzítése szükséges. Az egyedi azonosítókkal összefüggésben, különösen azért, mert ezek jellemzően biometrikus adatok, felmerül az adatkezelés jogszerűségét biztosító jogalap meghatározásának dilemmája. Az adatok tárolására vonatkozó szigorú követelmények kialakítása és megtartása, az adatok esetleges továbbítása kapcsán adatvédelmi, kiemelten adatbiztonsági kérdések merülhetnek fel. Ezek a kérdések még nagyobb súlyt kapnak abban az esetben, ha az önvezető jármű egyúttal az internetre is csatlakozik. Mindezek a biztosítási szerződés(ek) keretében a gépjárműben keletkezett, vagy azzal okozott károk megítélése kapcsán a biztosító oldalán is adatkezelésre vonatkozó igényt keletkeztetnek, amelynek jogszerűségét biztosítani kell. Ezzel összefüggésben lásd az EDPB 1/2020. számú iránymutatását, 2020. 01. 28. https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202001_connectedvehicles.pdf (2020. 12. 06.) Emellett az önvezető járművek által a működés során a környezetről rögzített adatok kezelése tekintetében is felmerülhet a személyes adatok védelme abban az esetben, ha természetes személyről rögzít képet a gépjármű.
[7] Az IoT eszközök olyan eszközök, amelyek alkalmasak arra, hogy valamely általuk érzékelt információt a hálózatra kapcsolás segítésével egy másik eszközzel "közöljenek."
[8] Alföldy Katalin-Seregdy Tamás: A jövő biztosítása, avagy a technológia szerepe a lakossági ügyfelek biztosításában. Biztosítás és Kockázat, 2015/2, 48.
[9] Kounoudes, Alexia Dini-Kapitsaki, Georgia M.: A mapping of IoT user-centric privacy preserving approaches to the GDPR. Internet of Things, 2020/11, 1. (https://doi.org/10.1016/j.iot.2020.100179)
[10] Megjegyzem, előkérdésként felmerül már az is, hogy a centralizált felfogású GDPR egyáltalán alkalmazandó-e a decentralizált blokklánc technológián alapuló rendszerekre. Álláspontom szerint igen, amennyiben minden résztvevőt adatkezelőnek kell tekinteni. Egy nemrégen megjelent tanulmány szerzője is - bár ezt a kérdést külön, kifejezetten nem tárgyalja - alapvető tételnek fogadja el a GDPR blokkláncrendszer alapú vívmányokra történő alkalmazását. Eszteri Dániel: Elosztott mesterséges-intelligencia-fejlesztés blokklánc alapon az adatvédelem érvényesülése érdekében. Pro Futuro, 2020/1, 9-27. (https://doi.org/10.26521/Profuturo/2020/1/7554). Az adatkezelő azonosításával kapcsolatos nehézségekre az Európai Parlament Kutatószolgálata által készített tanulmány is felhívja a figyelmet. Blockchain and the General Data Protection Regulation. European Parliamentary Research Service, 2019 július. https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf (2021. 03. 03.).
[11] A Nemzeti Adatvédelmi és Információszabadság Hatóság állásfoglalása a blokklánc ("blockchain") technológia adatvédelmi összefüggéseivel kapcsolatban, 2017. július 18.
[12] Így, például repülővel történő utazás esetére kötött utasbiztosítás keretében lehetőségünk van kiterjeszteni a biztosító kockázatvállalását arra az esetre, ha a járat késik, vagy azt törlik és emiatt az utast (a biztosítottat) kár éri. Okosszerződés alkalmazása esetén automatikusan észlelheti a szerződés a járat törlését, ezáltal tényként kezelve a kár felmerülését és a biztosítási összeg kifizetésének szükségessé válását, illetve a kifizetés automatikusan megtörténhet. A blokklánc rendszer biztosítási szerződések körében történő alkalmazhatóságáról lásd Gattesohi, Valentina-Lamberti, Fabrizio-Demartini, Claudio-Pranteda, Chiara-Santamaría, Víctor: Blockchain and Smart Contracts for Insurance: Is the Technology Mature Enough? Future Internet 2018/2, 1-16. (https://doi.org/10.3390/fi10020020)
[13] Az okosszerződéssel összefüggésben lásd a magyar jogi szakirodalomból Szuchy Róbert: A kötelmi jog kihívásai az új technológiák nyomán - okosszerződések és a blokklánc-technológia. Glossa luridica 2019/1-2, 151-160.; Szuchy Róbert: A Blockchain technológia alkalmazása a kötelmi jogban. In: Certicky Mário (szerk.): Innovatív magánjogi megoldások a társadalmi-gazdasági haladás szolgálatában. Magánjogot Oktatók Egyesülete, Miskolc, 2020, 75-83.
[14] Ennek részletezésére lásd az Európai Parlament Kutatószolgálata hivatkozott tanulmányát (12. lábjegyzet).
[15] Az Európai Parlament 2018. október 3-i állásfoglalása a megosztott könyvelési technológiákról és a blokkláncokról: bizalomépítés a közvetítők kiiktatásával (2017/2772(RSP)).
[16] Hangsúlyozni kell, hogy az adatkezelés alapelvei között nincs hierarchikus különbségtétel, azonban a célhoz kötöttség elve "első az egyenlők között."
[17] GDPR 5. cikk (1) bekezdés b) pont.
[18] Révész Balázs: Az adatkezelés alapelvei. In: Péterfalvi Attila-Révész Balázs-Buzás Péter (szerk.): Magyarázat a GDPR-ról. Wolters Kluwer, Budapest, 2018, 96.
[19] Fontos megjegyezni, hogy az adatkezelés célja két irányból közelíthető meg: i) az adatkezelési folyamat mint a személyes adatok összessége kezelésének célja; ii) az egyes személyes adatok kezelésének a célja. Előbbi a személyes adatok halmazát alkotja, így tehát a két kategória rész-egész viszonyban van egymással. Előbbinek van egy tágabb célja, míg az egyes személyes adatok kezelésének is lehet szűkebb célja (esetleg több célja), amely a tágabb céllal vagy azonos, vagy attól eltér, de eltérés esetén is azzal összhangban kell lennie. A GDPR azonban nem az adatkezelési folyamat célhoz kötöttségének követelményét, hanem az egyes személyes adatok kezelésének célhoz kötöttségét írja elő.
[20] Az adatkezelés időtartama tekintetében a GDPR 5. cikk (1) bekezdés e) pontja fogalmazza meg a korlátozott tárolhatóság elvét, amely szerint "a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé." Megfigyelhető, hogy a korlátozott tárolhatóság elve is a célhoz kötöttség függvényében értelmezhető.
[21] A Bit. 142. § (1) bekezdésében rögzíti, hogy "a biztosító és a viszontbiztosító a létre nem jött biztosítási szerződéssel kapcsolatos személyes adatokat kezelhet, ameddig a szerződés létrejöttének meghiúsulásával kapcsolatban igény érvényesíthető."
[22] A Bit. 142. § (3) bekezdésében rögzíti, hogy "a biztosító és a viszontbiztosító a személyes adatokat a biztosítási, viszontbiztosítási, illetve a megbízási jogviszony fennállásának idején, valamint azon időtartam alatt kezelheti, ameddig a biztosítási, viszontbiztosítási, illetve a megbízási jogviszonnyal kapcsolatban igény érvényesíthető."
[23] A Bit. 142. § (2) bekezdés előírja, hogy "a biztosító és a viszontbiztosító köteles törölni minden olyan, ügyfeleivel, volt ügyfeleivel vagy létre nem jött szerződéssel kapcsolatos személyes adatot, amelynek kezelése esetében az adatkezelési cél megszűnt, vagy amelynek kezeléséhez az érintett hozzájárulása nem áll rendelkezésre, illetve amelynek kezeléséhez nincs törvényi jogalap."
[24] Tekintettel arra, hogy a jogszabály nem határozza meg pontosan az adatkezelés időtartamát, s így nem felel meg az Infotv. 5.§ (3) bekezdésben megfogalmazott követelménynek, ezért e rendelkezés nem szolgálhat az adattárolás jogalapjaként [a jogi kötelezettség teljesítésén alapuló adatkezelés, GDPR 6. cikk (1) bekezdés c) pont]. Az adatkezelés jogszerűségét a GDPR 6. cikk (1) bekezdés f) pontjában megfogalmazott jogalap, az "adatkezelő jogos érdeke" alapozza meg, amely az adatkezelővel szemben potenciálisan előterjeszthető igényekkel szembeni védelemhez való jogban, az igény megalapozottságának kivizsgálásához fűződő jogban áll.
[25] Álláspontom szerint azonban a megszűnt biztosítási szerződések tekintetében végzett adatkezelés jogalapjaként más jogalap is felmerülhet. Alkalmazhatónak gondolom a GDPR 6. cikk (1) bekezdés b) pontjában foglalt szerződéses jogalapot is, ugyanis álláspontom szerint a teljesítés nélkül megszűnt szerződés esetén a szerződésből eredő igény érvényesítése végső soron a szerződési érdek kielégítését szolgálja, amellyel így a szerződéses kötelezettségek teljesítésére kerül sor.
[26] Az adatkezelő jogos érdekének megállapításához érdekmérlegelési teszt elvégzésére van szükség, amelyben mérlegelni kell az adatkezelő jogos érdekét és az adatkezeléssel korlátozott, az érintettet megillető személyiségi jogot, s e teszt eredményének függvényében az adatkezelőnek kell eldöntenie az adatkezelés jogszerűségét, ideértve az adatkezelés időtartamát is. Kérdés, hogy az érdekmérlegelési tesztben vajon szükséges-e a konkrét igény megjelölése, amely az adatkezelés jogszerűségét és egyben szűkebb célját is megalapozza. Álláspontom szerint ugyanis nem igazolható érdekmérlegelési teszt útján olyan adatkezelési cél, azaz igény, amelynek az előterjesztésére nem kerülhet sor. E tekintetben szükséges azon konkrét cél, tehát a jogalap megjelölése, amely indokolja az adatkezelést. Meg kell azonban jegyezni, hogy ennek a teljes körű feltárása szinte lehetetlen; ha lehetséges volna, akkor a biztosítók rendelkeznének a "jövőbe látás" képességével.
[27] Megjegyzem azonban, hogy ez az álláspont nem feltétlenül helyes, mivel az érintett az elévülési időn túl is előterjeszthet igényt az adatkezelővel (biztosítóval) szemben, az elévülés csak az igény bírósági úton történő érvényesíthetőségét szünteti meg [Vesd össze: Ptk. 6:23. § (1) bekezdés és 6:121.§ (1) bekezdés c) pont]. Erre tekintettel a biztosítónak jogos érdeke fűződhet már alapvetően ahhoz is, hogy megvizsgálja az igény jogszerűségét, az pedig csak úgy valósítható meg, ha az adatok rendelkezésre állnak. Nyilvánvalóan nem támogatom az adatok törlésének mellőzését, hiszen azzal kiüresítenénk a korlátozott tárolhatóság elvét, viszont a felvetéssel rá kívánok világítani arra, hogy nem csak az igényérvényesítésre nyitva álló határidő alapozhatja meg a biztosító jogos érdekét. Tényként kezelendő, hogy az igényérvényesítés esetén a bizonyítási teher az igényt előterjesztő személyen van, de kétségtelen, hogy ha a biztosító nem rendelkezik dokumentációval, akkor nincs lehetősége sem megvizsgálni az igény jogszerűségét.
[28] Lásd a Ptk. 6:62. § (5) "Ha a szerződés nem jön létre, az a fél, aki az (1) bekezdésben foglalt kötelezettségét a szerződéskötési tárgyalások során megszegte, köteles a másik fél ebből származó kárát a szerződésen kívül okozott károkért való felelősség általános szabályai szerint megtéríteni." A rendelkezés (1) bekezdése a hivatkozott bekezdés tükrében a szerződéskötési tárgyalások során tanúsítandó együttműködési és tájékoztatási kötelezettséget, illetve annak tartalmát deklarálja.
[29] Megjegyzem a biztosítási szerződések tekintetében jellemző gyakorlat, hogy a felek a biztosítóval szemben a biztosítási szerződésből eredő igények előterjesztésére vonatkozó élévülési időt jelentősen rövidebb időre korlátozzák.
[30] Előfordulhat ugyanis, hogy a szerződéskötési folyamat során a biztosító az ügyfele valamely személyiségi jogát, - némi iróniával - akár a személyes adatok védelméhez való jogát megsérti.
[31] A szerződő fél az a személy, aki a biztosítóval a biztosítási szerződést megköti. Vesd össze: Ptk. 6:439. § (1) bekezdés és Ptk. 6:440. §
[32] A biztosított az a személy, "aki valamely vagyoni vagy személyhez fűződő jogviszony alapján a biztosítási esemény elkerülésében; életkor elérésére, születésre vagy házasságkötésre szóló életbiztosítás esetén a biztosítási esemény bekövetkezésében érdekelt." Lásd Ptk. 6:440. § Megjegyzem, hogy a szerződő fél és a biztosított személye alapesetben azonos, viszont e két személyi kör abban az esetben elválhat, ha a szerződő fél olyan személy javára köti meg a szerződést, akinek a személyében a Ptk. 6:440. §-ban foglalt biztosítási érdek fennáll.
[33] A kedvezményezett az a személy, aki a biztosító szolgáltatására elsődlegesen jogosult. E személyi kör jellemzően az összegbiztosítási szerződések körében merül fel. A kedvezményezett a Ptk. 6:478. § (1) bekezdés alapján a) a szerződésben megnevezett személy; b) a bemutatóra szóló kötvény birtokosa; c) ilyen személyek hiányában vagy ha a kedvezményezett megnevezése nem volt érvényes a biztosítási esemény időpontjában, a biztosított vagy örököse. Látható tehát, hogy kedvezményezettként, így a biztosító ügyfeleként, tehát adatkezelési szempontból érintettként, e rendelkezés alapján - a biztosítotton kívül - még újabb három személyi kör felmerülhet.
[34] A károsult abban az esetben lesz a biztosító ügyfele, ha a felelősségbiztosítási szerződés alapján a biztosított jogosult lesz arra, hogy az általa okozott kár megtérítése és sérelemdíj megfizetése alól mentesítse. Ez esetben a biztosító főszabály szerint a károsult részére teljesíti a szolgáltatást. A biztosító e szolgáltatás teljesítéséhez, mi több már a teljesítés feltételeinek megállapításához (a biztosítási esemény körülményeinek kivizsgálásához), így a teljesítést megelőzően, szükségszerűen kezelnie kell a károsult személyes adatait, gyakran különleges adatokat is.
[35] E személyi kör a potenciális szerződő fél abban az esetben, ha ajánlatot tett a biztosító részére, de a biztosítási szerződés még nem jött létre vagy az nem is jön létre.
[36] E személyi kör lehet például a felelősségbiztosítási szerződés esetén a kárkötelem károsultjának hozzátartozója, amennyiben a károsult a károkozás során életét veszíti. E mellett számos más esetben is felmerülhet ilyen harmadik személyek ügyféli minősége, amely esetek teljes körű felvázolása nem célom.
[37] GDPR 4. cikk 1. pont
[38] Megjegyzem, hogy a biztosító részéről a biztosítási titok védelme szempontjából azonos megítélés alá esnek a természetes személyek és a jogi személyek, azonban a GDPR-t csak a természetes személyek tekintetében kell alkalmazni. Megjegyzem továbbá, hogy bár nem minősülnek ügyfélnek, a GDPR hatálya alá esik a jogi személy mint ügyfél képviseletében eljáró természetes személyek személyes adatai, így az ő tekintetükben már alkalmazandóak a rendelet előírásai.
[39] Az elhunyt személyek személyes adatainak kezelése a GDPR hatályán kívül esik [lásd GDPR (27) preambulumbekezdés], s így a nemzeti jog alkalmazandó (lásd Infotv. 25.§).
[40] Bit. 3. § (1) bekezdés 12. pont: biztosítási titok "minden olyan - minősített adatot nem tartalmazó -, a biztosító, a viszontbiztosító, a biztosításközvetítő rendelkezésére álló adat, amely a biztosító, a viszontbiztosító, a biztosításközvetítő ügyfeleinek - ideértve a károsultat is - személyi körülményeire, vagyoni helyzetére, illetve gazdálkodására vagy a biztosítóval, illetve a viszontbiztosítóval kötött szerződéseire vonatkozik."
[41] A GDPR 9. cikk (1) bekezdése alapján különleges adatnak minősül "a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok."
[42] GDPR 4. cikk 13. pont: "genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered."
[43] GDPR 4. cikk 14. pont: "biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat."
[44] Zavodnyik József: Az általános adatvédelmi rendelet biztosítók általi alkalmazásának egyes kérdései. Biztosítás és Kockázat, 2018/2, 19. (https://doi.org/10.18530/BK.2018.2.14)
[45] Zavodnyik: i. m., 19. Mindemellett megjegyzem, hogy az adatkezelési műveletet végző személyek között megjelenhetnek a biztosításközvetítők [függetlenül a biztosításközvetítői minőségük megítélésétől (függő vagy független biztosításközvetítő)] is, például a biztosítási szerződésre irányuló tárgyalások során, függetlenül attól, hogy a biztosítási szerződés létrejön-e vagy sem.
[46] Osztopáni Krisztián: Alapfogalmak. In: Péterfalvi Attila-Révész Balázs-Buzás Péter (szerk.): Magyarázat a GDPR-ról. Wolters Kluwer, Budapest, 2018, 81.
[47] Bölcskei Krisztián: GDPR kézikönyv. 2.0. Új EU-s Adatvédelmi rendelet, Info tv., GDPR Salátatörvény. Budapest, Vezinfó, 2019, 65.
[48] Az adatkezelő, az adatfeldolgozó és a közös adatkezelő elhatárolását, az elhatárolás kritériumait az EDPB a 7/2020. számú iránymutatásban dolgozta ki, amely jelenleg társadalmi konzultációt követő fázisában van, tehát a szövege még nem végleges. European Data Protection Board: Guidelines 07/2020 on the concepts of controller and processor in the GDPR. https://edpb.europa.eu/sites/edpb/flles/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf (2020. 11. 20.).
[49] Osztopáni: i. m., 83.
[50] Az EDPB vonatkozó iránymutatása alapján az adatkezeléssel kapcsolatos döntések között megkülönböztethetjük a "lényeges" és "nem lényeges" kérdésekben való döntéshozatalt. Előbbiek szorosan kapcsolódnak az adatkezelés céljához és terjedelméhez, míg utóbbiak az adatkezelés gyakorlati megvalósítására vonatkozó kérdések eldöntését jelenti. Az iránymutatás az adatkezelők döntési jogkörébe ez utóbbi "non-essential" döntések meghozatalára lát lehetőséget. Vesd össze: EDPB 7/2020. számú iránymutatás 39. pont. Megjegyzem, az adatkezelésre vonatkozó egyes döntések közötti ilyen szempontú különbségtételre nem ad lehetőséget a GDPR. E mellett fontosnak tartom hangsúlyozni, hogy a döntés meghozatal lehetőség és nem evidencia, az adatfeldolgozási szerződésben a feleknek lehetőségük van az adatkezelés legapróbb részletét is szabályozni.
[51] A telemetria nagy távolságú adattovábbítást, távoli méréseket és vezérlést lehetővé tévő, jellemzően vezeték nélküli kommunikációs rendszer.
[52] Alföldy-Seregdy: i. m., 51.
[53] Wagner Máté: Insurtech - lehetőség a piacon vagy veszély az üzletre? Biztosítás és Kockázat, 2017/4, 61. (https://doi.org/10.18530/BK.2017.4.60)
[54] GDPR 35. cikk.
[55] Nemzeti Adatvédelmi és Információszabadság Hatóság: Hatásvizsgálati lista, GDPR 35 (4). Elérhető: https://www.naih.hu/flles/GDPR_35_4_lista_HU_mod.pdf (2021. 01. 04.).
[56] Wang, Hui Dong: Research on the Features of Car Insurance Data Based on Machine Learning. Procedia Computer Science, 2020 (166), 582. (https://doi.org/10.1016/j.procs.2020.02.016)
[57] Hauer Judit-Góg Enikő-Horváth András-Hrabár Ádám-Pálinkás Klára-Urbán Dóra: A használat alapú biztosítás múltja, jelene és jövője. Biztosítás és Kockázat, 2017/2, 23-24. (https://doi.org/10.18530/BK.2017.2.22)
[58] Sallai Linda: Insurtech: körkép és trendek. Biztosítás és Kockázat, 2019/4, 102. (https://doi.org/10.18530/BK.2019.4.98)
[59] Kadocsa Ferenc: A blockchain technológia hatása a biztosítási piacra. Biztosítás és Kockázat, 2018/2, 85. (https://doi.org/10.18530/BK.2018.2.82)
[60] Az Európai Adatvédelmi Testület ezzel összefüggésben az alábbi iránymutatást fogadta el 2020. január 28-án: a Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications. https://edpb.europa.eu/sites/edpb/flles/consultation/edpb_guidelines_202001_connectedvehicles.pdf (2020. 11. 06.)
[61] Ezzel összefüggésben, illetve az egyéb telematikai rendszer alapú megoldásokkal kapcsolatosan lásd Hauer-Góg-Horváth-Hrabár-Pálinkás-Urbán (2017): i. m., 33.; illetve 24-25.
[62] A vezetési stílus értékelése két dolgot jelent. Az egyik, hogy a szabálykövetésünkkel csökkentjük ez ebből eredő kockázatokat. E körben vizsgálandó, például hogy a sebességkorlátok, a követési távolságok az előzési távolságok stb. betartásra kerülnek-e, tehát a szabálykövető járművezetőknek kisebb díjat kell fizetniük, tekintve, hogy kisebb kockázattal jár a járművezetésük. A másik szempont a gépjármű berendezéseinek tényleges használata, így a fék és kormányhasználat; hiszen minél kisebb, biztonságosabb fékezéseket hajtunk végre, vagy minél körültekintőbben és nem hirtelen végzünk kormánymozdulatokat, annál kisebb a kockázata a vezetésünknek.
[63] A biztosítási díj alapvetően két tételből tevődik össze. Az egyik az alapdíj, amelyet abban az esetben is meg kell fizetni, ha a gépjárművet a forgalomban nem használják. A másik díjtételt egy a gépjármű használata alapján számított, változó díj képezi, amely attól függően módosul, hogy a rendszer milyen adatokat tárol a gépjármű működéséről, forgalomban történő közlekedéséről. Mivel a telematikai rendszer "valós idejű adatokat tud átadni a gépjármű helyzetéről, kihasználtságáról és a vezetői stílussal összefüggő működési jellemzőkről", ezért az így kialakított árszabás sokkal átláthatóbbá teszi a biztosítási feltételeket. Alföldy-Seregdy: i. m., 51-52.
[64] Itt felhívnám a figyelmet egy nézőpontra, amely álláspontom szerint a társadalom részéről a telematikai rendszer alkalmazásától való elzárkózás elsődleges forrása. Ez az attól való félelem, hogy e rendszer adatokat szolgáltat vagy szolgáltathat a rendőrség részére a közlekedés során történő szabálykövetésről. Álláspontom szerint ez nem valós félelem, mert a telematikai rendszer alkalmazásával gyűjtött adatokhoz a hatóság közvetlenül nem férhet hozzá, mivel a biztosító részéről nincs az adatkezelésnek megfelelő jogalapja. Egy olyan jogszabályi rendelkezés megalkotását, amely az adatszolgáltatást kötelezővé teszi, nem tartom életszerűnek, hiszen ez a személyiségi jogok olyan szintű korlátozását jelentené, amely valószínűleg megbukna az alapjogok korlátozására vonatkozó szükségességi-arányossági teszten. Itt felhívom a figyelmet arra, hogy a Bit. 138. § (1) bekezdésében foglalt biztosítási titok megőrzésének kötelezettsége alóli kivételek erre az esetre nem alkalmazhatóak, mivel azok a konkrét ügyben eljáró hatóságok részére történő adatszolgáltatásra vonatkoznak (tehát az eljárásnak már meg kell indulnia), ami nem egy folyamatos - eljárás előtti - adatszolgáltatást jelent.
[65] Alföldy-Seregdy: i. m., 55.
[66] Megjegyzem az automatizált döntéshozatal fogalmát a GDPR nem határozza meg, hanem csupán a 22. cikk (1) bekezdése rögzíti az érintett azon jogát, hogy ne terjedjen ki rá automatizált döntéshozatal hatálya. A 29. cikk szerint létrehozott adatvédelmi munkacsoport WP251. számú iránymutatása szerint az automatizált döntéshozatal "az a képesség, hogy technológiai eszközök segítségével, emberi beavatkozás nélkül hoznak döntéseket." https://www.naih.hu/flles/wp251rev01_hu.pdf (2021. 03. 04.).
[67] Megjegyzem, abban az esetben minősül automatizált döntéshozatalnak, ha az érintettre nézve ilyen adatkezelésen alapuló döntést hoznak. Amennyiben döntés nem születik, de az adatgyűjtés megtörténik, úgy a GDPR 4. cikk 4. pontja szerinti profilalkotásról beszélhetünk (döntéshozatal nélkül), amelyet a későbbiekben az adatkezelő felhasználhat döntés meghozatalára, azonban ez már történhet emberi beavatkozással. Amennyiben a teljes folyamat automatizált, úgy profilalkotást is magába foglaló automatizált döntéshozatalról beszélünk.
[68] E követelményeket a GDPR (42) preambulumbekezdése állapítja meg.
[69] A NAIH több döntésében is visszaköszön azon álláspont, hogy nem elegendő a hozzájárulás önkéntességének megállapításához az, hogy az érintettnek döntési szabadsága áll fenn valamely szolgáltatás igénybevételére, valamely pályázat benyújtására stb. Így például a NAIH/2020/54. számon közzétett (2020. december 10-i) határozatában hangsúlyozta, hogy "a GDPR szerinti hozzájárulás - mint adatkezelési jogalap - azonban akkor állhat fenn, ha a hallgató [értsd: érintett] nem pusztán arról dönthet, hogy részt kíván-e venni egy - adatkezeléssel is együtt járó - folyamatban, azaz jelen esetben arról, hogy benyújt-e pályázatot vagy sem, hanem (...) önkéntesen dönthet arról is, hogy milyen adatainak kezelését kívánja, és mely adatainak kezeléséhez nem járul hozzá, anélkül, hogy ebből bármilyen hátrány érné."
[70] Megjegyzem, hogy a GDPR 22. cikk (1) bekezdés b) pontjának alkalmazhatóságával kapcsolatosan kifejtett álláspontot a gépjármű-felelősségbiztosítás esetén tartom a leginkább kivitelezhetőnek.
[71] Ez az adatkezelés a GDPR 11. cikk hatálya alá esik, amely alapján a biztosítónak csak azért, hogy a GDPR-nak megfeleljen, nem is kell kiegészítő információkat kérnie az érintett azonosítása céljából. Az adatkezelés célja ugyanis anélkül is elérhető, hogy az érintettet azonosítaná a biztosító. Az érintett azonosítása abban az esetben szükséges, ha az adatkezelés célja kibővül, a biztosítási esemény bekövetkezésével.
[72] Ebben az esetben az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés b) pontja, illetve a különleges adatok kezelésének jogszerűségét a 9. cikk (2) bekezdés h) pontja alapozza meg.
[73] GDPR 9. cikk (2) bekezdés a) pont.
[74] A teljesség kedvéért megjegyzem, hogy a GDPR 22. cikk (4) bekezdés szerint a különleges adatokon végzett automatizált döntéshozatal akkor is jogszerű, ha azt a 9. cikk (2) bekezdés g) pontjában foglalt feltétel teszi jogszerűvé, azonban a téma szempontjából álláspontom szerint ez a rendelkezés nem releváns.
[75] Bár a szakirodalomban nincs teljes egyetértés abban, hogy milyen kapcsolat van a GDPR 6. cikk (1) bekezdése és a GDPR 9. cikk (2) bekezdés között, álláspontom szerint ez utóbbi előírásai nem minősülnek önálló jogalapnak, hanem azok a 6. cikk (1) bekezdésben foglalt jogalapokat kiegészítő, a személyes adat különleges minőségére tekintettel megállapított többletkövetelményt előíró normának minősülnek. Erre tekintettel a különleges adatok kezelésének jogszerűségéhez szükség van a jogszerűséget biztosító 6. cikk (1) bekezdésben foglalt valamely jogalapra, valamint a 9. cikk (2) bekezdésében foglalt valamely feltétel fennállására.
[76] Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény 3/B. §-a.
[77] A probléma elsődleges forrása álláspontom szerint az, hogy a Bit. rendelkezéseit nem igazították megfelelően a GDPR-hoz, hanem az Infotv. régi (értsd: GDPR előtti) felfogását követve hagyták meg a hozzájárulást az egészségügyi adatok kezelésének jogalapjaként. Tudniillik az Infotv. a GDPR átültetése érdekében történő módosítását megelőzően két adatkezelési jogalapot fogalmazott meg, az érintett hozzájárulását és a törvényi felhatalmazást. A GDPR ehhez képest hat adatkezelési jogalapot nevesít, valamint a különleges adatok kezelése tekintetében tíz többletfeltétel fennállásának vizsgálatát biztosítja a jogszerűséghez.
[78] Osztopáni Krisztián: Jogalapok. In: Péterfalvi Attila-Révész Balázs-Buzás Péter (szerk.): Magyarázat a GDPR-ról. Wolters Kluwer, Budapest, 2018, 114.
[79] Álláspontom szerint - amennyiben hipotetikusan elfogadjuk a hozzájárulás alkalmazásának lehetőségét -, úgy a feleknek a szerződésükben rendelkezniük kell a hozzájárulás visszavonásának jogkövetkezményéről is. Álláspontom szerint a biztosító a hozzájárulás visszavonását elsősorban a szerződés felmondásának tekintheti, amelynek többféle jogkövetkezménye is lehet (például a szerződés a hozzájárulással érintett napon, esetleg a hónap végén megszűnik). A hozzájárulás visszavonása azonban nem feltétlenül kell, hogy a szerződés megszűnését eredményezze, az tekinthető a szerződés módosítására irányuló (egyoldalú) jognyilatkozatnak is, amely alapján a felek jogkövetkezményként megjelölhetik például a szerződéses kockázat általános módon történő kezelésére való áttérést (a felek áttérnek az innovatív megoldásokkal történő kockázatkezelésről más kockázatértékelési és kockázatkezelési módszerre), amelynek a további jogkövetkezményeit is meg kell határozniuk (mint a díjfizetés alakulása). A hozzájárulás problémája azonban továbbra is fennállna, ha a szerződés módosításának opcióját fogadjuk el, ugyanis az egyéb kockázatkezelési mechanizmus alapját is egészségügyi adatok kell, hogy képezzék, amelynek kezeléséhez a Bit. a hozzájárulás szükségességét írja elő. Éppen ezért, a szerződés megszűnésének jogkövetkezményét tartom célszerűbbnek. További kérdés lehetne, hogy ki lehet-e zárni a hozzájárulás visszavonására irányuló jog érvényesítését a szerződésben, azzal, hogy az érintett lemond a jogának érvényesítéséről. Álláspontom szerint e kérdés megválaszolásához a Ptk. 6:101. § rendelkezéseit hívhatjuk segítségül, amely szerint semmis lesz az ilyen joglemondó kikötés. Hangsúlyozom, e jogkövetkezményekkel kapcsolatos fejtegetés teljes mértékben hipotetikus, hiszen csak azon prekoncepció esetén lenne értelmezhető, hogy a hozzájárulás érvényesen megadható, ez azonban nem teljesül.
[80] Guidelines 6/2020 on the interplay of the Second Payment Services Directive and the GDPR, European Data Protection Board, 17. July 2020. https://edpb.europa.eu/sites/edpb/flles/consultation/edpb_guidelines_202006_interplaypsd2andgdpr.pdf (2020. 11. 10.).
[81] E szerint "a pénzforgalmi szolgáltatók csak abban az esetben férhetnek hozzá a pénzforgalmi szolgáltatásaik nyújtásához szükséges személyes adatokhoz, illetve kezelhetnek és őrizhetnek meg ilyen adatokat, ha ehhez a pénzforgalmi szolgáltatást igénybe vevő kifejezett hozzájárulását adta."
[82] Egyetértek Bártfai Zsoltnak az EDPB 6/2020. számú iránymutatással kapcsolatos hozzászólásával, miszerint "a szerződés nem köthető meg úgy, hogy a felek nem értenek egyet a szerződéses feltételekben." Erre tekintettel annak nélkülözhetetlen eleme a szerződéses akarat, így az adatkezeléshez való hozzájárulás kifejezése. Lásd Bártfai Zsolt: Comments on the draft Guidelines 6/2020 of the European Data Protection Board. https://edpb.europa.eu/sites/edpb/flles/webform/public_consultation_reply/comments_to_6-2020_guidelines_final.pdf (2020. 11. 10.).
[83] Iránymutatás az automatizált döntéshozatallal és a profilalkotással kapcsolatban a 2016/679 rendelet alkalmazásához. A 29. cikk szerinti adatvédelmi munkacsoport, 2017. október 3., a legutóbbi felülvizsgálat és elfogadás időpontja: 2018. február 6. https://www.naih.hu/files/wp251rev01_hu.pdf, 7. (2021. 03. 04.)
Lábjegyzetek:
[1] A szerző egyetemi tanársegéd, Miskolci Egyetem Állam- és Jogtudományi Kar, Civilisztikai Tudományok Intézete, Kereskedelmi Jogi Intézeti Tanszék; e-mail: civmario@uni-miskolc.hu. A tanulmányban ismertetett kutatómunka az EFOP-3.6.1-16-2016-00011 jelű "Fiatalodó és Megújuló Egyetem - Innovatív Tudásváros - a Miskolci Egyetem intelligens szakosodást szolgáló intézményi fejlesztése" projekt részeként - a Széchenyi 2020 program keretében - az Európai Unió támogatásával, az Európai Szociális Alap társfinanszírozásával valósul meg.
Visszaugrás
