FinTech & GDPR Dr. Tarján Zoltán E-Banking Summit & Awards 2017. október 11. Budapest
Miről lesz szó? Adatvédelem és a FinTech világa GDPR-ról röviden Profilalkotás és big data E-Banking Summit 2017, Budapest 2017. október 11.
Adatvédelem és a FinTech világa
Fókuszban: Profilalkotás & big data Adatvédelmi jogi kérdések a FinTech szektorban: Személyre szabott termékek és szolgáltatások Hitelbírálat Kockázatkezelés, csalások megelőzése Adattovábbítás a cégcsoporton belül Felhő alapú szolgáltatások Mobil és érintés nélküli fizetés Fókuszban: Profilalkotás & big data E-Banking Summit 2017, Budapest 2017. október 11.
GDPR-ról röviden
GDPR (1) 2016/679 EU rendelet Közvetlenül alkalmazandó, kevesebb eltérés a tagállami szabályok között Több rugalmasság a cégek részére Adatalanyok erősödő jogai Néhány új adatkezelői, adatfeldolgozói kötelezettség Emelkedő bírságmaximum Lehetőség, mintsem fenyegetés E-Banking Summit 2017, Budapest 2017. október 11.
GDPR (2) Melyek a főbb teendők? 2018. május 25-től alkalmazandó Felkészülni most kell Melyek a főbb újdonságok? Privacy by design / privacy by default Adatvédelmi incidens Adatvédelmi hatásvizsgálat (DPIA) Belső nyilvántartási kötelezettségek Magatartási kódex, tanúsítások E-Banking Summit 2017, Budapest 2017. október 11.
Profilalkotás és big data
Profilalkotás és big data a pénzügyi szektorban Személyre szabott termékek és szolgáltatások kifejlesztése Leendő ügyfelek kockázatelemzése Ügyfél elégedettség elemzése Rossz adósok / hitelek előrejelzése Kockázatkezelés, csalások megelőzése Vásárlási minták és tranzakció történet elemzése Kitettség számítás és portfólió elemzés E-Banking Summit 2017, Budapest 2017. október 11.
Tipikus példa - hitelbírálat Helymeghatározási adatok (GPS) Közösségi média információk (like-ok, ismerősök, lokáció és posztok) hardware adatok (operációs rendszer, böngésző, stb.) Online vásárlási szokások Általános online magatartás "100% of smartphone or computer owners generate data by anything they do with that device (be it social media, surfing, ecommerce purchases, financial transactions, etc.). Our proprietary algorithm factors in 20,000 data points, which are constantly changing based on newly identified patterns." https://www.kreditech.com/ E-Banking Summit 2017, Budapest 2017. október 11.
Definíciók Big Data (nincs meghatározva a GDPR-ban) ”nagy mennyiségű strukturált vagy strukturálatlan adat gyűjtése és – gyakran valós időben történő – elemzése a vállalat számára történő értékteremtés céljából.” Profilalkotás (GDPR 4. cikk) „személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.” Automatizált döntéshozatal (GDPR 22. cikk) „kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés, amely az adatalanyra nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.” E-Banking Summit 2017, Budapest 2017. október 11.
Különbségek Automatizált döntéshozatal profilalkotás Automatizált adatkezelés E-Banking Summit 2017, Budapest 2017. október 11.
GDPR kiterjesztett hatálya EU-ban tevékenységi hellyel NEM rendelkező adatkezelők, adatfeldolgozók által az Unióban tartózkodó érintettek adatainak a kezelése, ha: áruk/szolgáltatások EU-ban tartózkodó érintettek számára történő nyújtásához kapcsolódik; érintettek viselkedésének megfigyeléséhez kapcsolódik EU-ban tevékenységi hellyel rendelkező adatkezelők, adatfeldolgozók E-Banking Summit 2017, Budapest 2017. október 11.
Jogalapok Profilalkotás: Automatizált döntéshozatal: Jogos érdek? GDPR 21. (1) cikk: Az érintett jogosult arra, hogy […] tiltakozzon személyes adatainak jogos érdeken alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Cookie szabályok alapján jelenleg: hozzájárulás. E-privacy rendelet tervezet: hozzájárulás, de kivételekkel. Automatizált döntéshozatal: GDPR 22. cikk: az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges; vagy az érintett kifejezett hozzájárulásán alapul; vagy az adatkezelőre alkalmazandó uniós vagy tagállami jog teszi lehetővé. E-Banking Summit 2017, Budapest 2017. október 11.
Adatalanyok jogai I. Előzetes tájékoztatás (GDPR 13. cikk) Hozzáférési jog (GDPR 15. cikk) automatizált döntéshozatal, profilalkotás ténye alkalmazott logika, adatkezelés milyen jelentőséggel, érintettre milyen várható következményekkel bír. Tiltakozás joga (GDPR 21. cikk) jogos érdeken alapuló adatkezelés, beleértve a profilalkotást is, közvetlen üzletszerzési célú adatkezelés, beleértve a profilalkotást is. Tiltakozás esetén az adat nem kezelhető tovább, kivéve: "kényszerítő erejű jogos okok". E-Banking Summit 2017, Budapest 2017. október 11.
Adatalanyok jogai II. Tiltás vagy tiltakozás joga? Kivételek: “Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.” (GDPR 22. cikk) Kivételek: az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges; vagy az érintett kifejezett hozzájárulásán alapul; vagy az adatkezelőre alkalmazandó uniós vagy tagállami jog teszi lehetővé. E-Banking Summit 2017, Budapest 2017. október 11.
Adatvédelmi hatásvizsgálat Kötelező a hatásvizsgálat: "ha az adatkezelés valamely típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez" (GDPR 35. cikk). Különösen: automatizált döntéshozatal esetében. WP 29 ajánlás: Guidelines on Data Protection Impact Assessment (2017. április 4.) E-Banking Summit 2017, Budapest 2017. október 11.
WP 29 ajánlás tervezet a profilalkotásról 2017. októberben E-Banking Summit 2017, Budapest 2017. október 11.
Köszönjük! Dr. Tarján Zoltán zoltan.tarjan@twobirds.com Tel.: +36 1 799 2000 www.twobirdsideas.hu Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 12 New Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address. twobirds.com