Európai jogalkotás személyes adataink nagyobb biztonságáért

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az adatkezelési szabályok változásáról tájékoztató e-mailek minden netes oldaltól, ahol valaha regisztráltuk magunkat – nincs olyan európai, aki ne kapná őket hetek óta tucatszámra. Az átlag magyar törli, az átlag német elolvassa. Ugyanis adataik védelmének nagyon eltérő jelentőséget tulajdonítanak az észak-, illetve nyugat-, valamint a kelet-közép-európai polgárok. Németek millióit lehet mozgósítani, ha a személyes adatok biztonságáról van szó. Egy találó megfogalmazás szerint szexi lett a téma. Ezzel szemben a magyarok többsége úri huncutságnak tarja az adatvédelmet.

Jól szemlélteti a különbséget a Facebook adatmanipulációs botránya (87 millió amerikai felhasználója adatait elemeztette illegálisan a kétes hírű Agentur Cambridge Analytica-el, hogy többet tudjon meg politikai nézeteikről.). A német sajtó nagy terjedelemben foglalkozott az esettel, nálunk viszont csak a „futottak még” kategóriába került a hír.

Az adatvédelem hosszú ideje az EU hatáskörébe tartozik.[1] Az európai jogalkotó évekkel ezelőtt felismerte, hogy a közösségi szabályozásnak két alapvető hibája is van:

• Irányelvekkel történt. Az előírások tehát nem közvetlenül hatályosak. A tagállamoknak nemzeti jogukba kellett ültetniük őket, ami során számottevő mozgásterük volt. Ezért jelentős eltérések vannak a tagállamok adatvédelmi előírásai között. A multinacionális cégek ezt kihasználva abból az országból fejtik ki tevékenységüket, ahol a szabályok a legmegengedőbbek (pl.: Írország).  Ráadásul az európai polgárok jogérvényesítését nagyban nehezíti, hogy sokszor nem egyértelmű, mely tagország szabályai vonatkoznak az egyik, vagy másik adatkezelőre.
• A technikai fejlődés rég meghaladta a hatályos, 1995-ös[2] és 2002-es[3] jogszabályokat. Az európai jogalkotó az újraszabályozásnál nagy figyelmet fordított arra, hogy az előírások rugalmasak, az elfogadása utáni technikai innovációkra is alkalmazhatóak legyenek. Hisz nem lehetetlen minden újításra jogszabálymódosítással reagálni. A most hatályba lépő szabályok megalkotása is igen hosszadalmas volt, már 2009-ben elkezdődött!

Az európai jogalkotó a „GDPR”[4] és az „ePrivacy”[5] rendeletekkel szándékozik újraszabályozni és egységesíteni az adatvédelmet. A jogszabályoknak egyidejűleg, idén tavasszal kellett volna hatályba lépniük. Ez azonban csak a GDPR esetében történt meg. A hatályba lépés az elmúlt hetek e-mail özönének az oka. De lássuk a részleteket!  

[htmlbox eu_jog_alkalmazasa]

GDPR-rendelet

A jogszabály áltanos jelleggel szabályozza és európai szinten egységesíti a személyes adatok védelmét, valamint gazdasági szereplők és közintézmények általi kezelését. A 2016-ban elfogadott jogszabály 2018. május 25-én lépett hatályba.

A legfontosabb változások a következők:

• Az adatkezelők elszámoltathatóvá váltak. Adatvédelmi incidens esetén, tehát, ha illetéktelenek férnek hozzá az adatokhoz, az adatkezelőnek igazolnia kell, hogy a jogszabályi előírásoknak megfelelően kezelte és védte azokat. A kötelezettség csak belső adatkezelési protokollok lefektetésével és kockázatmenedzsment üzemeltetésével lesz teljesíthető.
• Adatvédelmi incidens esetén az üzemeltetőnek 3 napon belüli bejelentési kötelezettsége van a hatóság és a nyilvánosság felé is. Előbbi bírságot, utóbbi az adatkezelő reputációjának sérülését vonhatja maga után.
• Egységesednek a bírságok összegének és kiszabásának feltételei. Ezzel összefüggésben az Európai adatvédelmi biztos[6], illetve hivatala véleményezőből kvázi másodfokú hatósággá válik, amely az egységes hatósági joggyakorlat biztosítása érdekében megváltoztathatja a tagállami határozatokat. „Igazából egy adatvédelmi hatóság lesz az EU-ban, a European Data Protection Board, és minden országban lesz egy-egy fiókszervezet. Az ugyanis nem fordulhat elő, hogy azonos tényállás mellett más döntés szülessen Magyarországon, Hollandiában vagy Franciaországban” – fogalmazott Péterfalvi Attila, a magyar szakhatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vezetője.[7] Az eltérő ítélkezés korábban nagy probléma volt. Néhány tagállam (pl.: Írország) nem csak laza adatvédelmi szabályokkal, hanem meglehetősen elnéző szakhatósággal is csábította a fogyasztók százmillióinak személyes adatait kezelő internetes óriáscégeket, például a Google-t és a Facebook-ot. A cégek kizárólag az ír előírások betartásával, és a szigetország hatósági felügyelete mellett unió szerte tevékenykedhettek.  
• Jelentősen emlékedig a kiszabható bírságok összege. A Magyarországon eddig alkalmazott maximum 20 millió forintról (Németországban 300.000 euró, kb. 90 millió forint.) az adatkezelő éves, globális árbevétel 2-4 százalékára, illetve 20 millió euróra, attól függően, melyik összeg magasabb. A sok új adatkezelési előírásokkal és feladatokkal nehezen birkózó kkv-k számára különösen fontos, hogy bírságot csak súlyosan gondatlan, vagy szándékos szabálysértés esetén lehet alkalmazni. Fontos megszorítás, hogy bírság állami adatfeldolgozókkal szemben nem alkalmazható. Őket csak információszolgáltatásra és adattörlésre kötelezheti a szakhatóság.
• Az adatfelhasználóknak tájékoztatási kötelezettségük lesz. Aki egy fogyasztót ajánlattal keres meg, köteles lesz írásban elétárni belső adatkezelési szabályait. Ez sok kkv-t félelemmel tölt el. Ugyanis nem csak az online kereskedőházak, vagy a közösségi oldalak üzemeltetői, de a kistelepülési sportegyesületek, vagy éppen a parányi üzletében, egyedül dolgozó suszter mester is adatkezelőnek számít, ha nyilvántartást vezet tagjairól, illetve kuncsaftjairól. 
• A fogyasztók az adatkezelési hozzájárulás megadása után sem vesztik el adataik feletti rendelkezési jogukat. Bármikor tájékoztatást kérhetnek az adatkezelőtől, mely információkat, és milyen célból őriz róluk. Továbbá kérhetik a szolgáltató által kezelt valamennyi adatuk törlést. Egy tulajdonképpen magától érthetődő jog, amelyet azonban a korábba szabályozás alapján, például a Facebook-al szemben nehéz volt érvényesíteni.  
• Bővül az európai adatvédelmi szabályok személyi hatálya. Korlátozás nélkül alkalmazni kell őket európai polgárok adatainak kezelése esetén, függetlenül attól, hogy a világ melyik pontján van az adatfeldolgozó székhelye, és hol fejt ki gazdasági tevékenységét.  
• A korábbi magyar szabályokkal összehasonlítva szűkül viszont a tárgyi hatály. Az európai jogalkotó a GDPR-től elkülönítve – közvetlen szabályozási hatáskör híján –  egy irányelvben szabályozta a rendészeti és igazságszolgáltatási szervekre vonatkozó adatkezelési szabályokat.[8] Ezek megszegése esetére komoly bírságok szabhatók ki.
• A rendelet nevesítve szabályozza a munkavállalói adatok védelmét. Nagyobb munkáltatóknak független adatkezelési ellenőrt kell alkalmazniuk, és számára biztosítaniuk kell a megfelelő munkakörülményeket és személyi hátteret.
• Multinacionális piaci szerelők, például hitelintézetek és kártyatársaságok rend szerint hatalmas adatmennyiség feldolgozásával, automatizált, algoritmusok által meghatározott eljárásban és nem egyedi mérlegelés alapján hoznak döntést például a hitelképességről. A GDPR rögzíti a magyarázathoz való jogot. Az ügyfél tehát tájékoztatást kérhet arról, milyen logika alapján születik az automatizált döntést; az algoritmus mely információkat veszi figyelembe és miként súlyozza őket. Ezzel a kritikusok szerint nem ment elég messzire a jogalkotó. Világos, hogy nem lehet megtiltani, hogy kockázatelemzési szakértők egymással látszólag semmilyen összefüggésben nem álló információk között lássanak kapcsolatot (Pl.: az arcvonások és a hitelképesség, vagy a bűncselekmény elkövetésére való hajlam között.). Azt viszont igenis meg lehetett és kellett volna tiltani, hogy az adatkezelők bizonyos információk figyelembe vegyenek (Pl.: szemszínt a hitelképesség mérlegelésénél.) – hangoztatják a jogvédők. 
• Ugyancsak kritikára adhat okot, hogy az adatrögzítés, és -feldolgozás jóváhagyásánál továbbra is a „mindent vagy semmit” -elv érvényesül. Tehát a hozzájárulást vagy általános jelleggel lehet megadni, vagy teljes egészében megtagadni. Ez életidegen, hisz sok felhasználónak nincs problémája azzal, hogy a Facebook archiválja az idővonalra feltöltött képeit, de azt már nem szeretné, ha adatai elemzéséből egészségügyi állapotára vonatkozó következtetéseket vonna le, és ezeket adatbakjában rögzítené.

[htmlbox gdpr_komm]

Az új jogszabály, május 25-től közvetlenül hatályos, nem kell átültetni a nemzeti jogba. A tagállami jogalkotókra mégis hárulnak feladatok. Biztosítaniuk kell, hogy a részletes nemzeti előírások összehangban vannak a főleg általános szabályokat lefektető GDPR-rendelettel. A jogszabályt 2016-ban fogadták el az EU. Így két év lett volna a feladat elvégzésére. Magyarországon ez mégsem sikerült. Az Országgyűlésnek, illetve a Kormánynak négy feladata lett volna:

• Az információs önrendelkezési jogról és az információszabadságról szóló törvény – részben kétharmados többséget igénylő – módosítása.[9]
• Az adatkezelésről rendelkező sok száz, szektoriális jogszabály módosítása – a legnagyobb kihívás.
• A Btk. kiegészítése.
• A rendészeti és igazságszolgáltatási szervekre vonatkozó adatkezelési szabályokat tartalmazó irányelv átültetése.

Az általános előírásokat tartalmazó európai rendelet május 25-én hatályba lépett. Ezért amíg a szektoriális magyar szabályok harmonizációja várat magára, a generális szabályok figyelembevételével kell a régi, speciális előírásokat újraértelmezni. Nem meglepő, hogy sok, korábban könnyen megválaszolható kérdésben most még az adatvédelmi szakemberek is bizonytalanok. A kkv-k, amelyek amúgy is tartottak az új, szigorú előírásoktól, egyenesen tanácstalanok. A magyar Kormány a rendelet hatálybalépését megelőző napon tett bejelentésével próbálja a kedélyeket csillapítani: A szektorilási szabályok harmonizációjáig a NAIH a kkv-k esetén eltekint a bírságolástól.

A magyar jogalkotó mulasztása nem egyedi. A rendelkezésre álló két év alatta Németországban sem sikerült a szektorális szabályokat az új európai rendelethez igazítani. A Merkel-kabinet az év végére ígéri a feladat elvégzését.

A polgárok mellett az adatvédelemi tanácsadó cégek és ügyvédek az új szabályozás legnagyobb nyertesei. A multik régebb óta foglalkoznak a kérdéssel, saját szakembereik vannak. Viszont a kkv-k számára nagy kihívást jelent megfelelni az új szabályoknak, adatkezelési módszereiket auditáltatni. Szakemberek segítségét kell igénybe venniük. Ezen a téren segítség lehet, hogy a magyar kormány – osztrák mintára – a harmonizációt a kkv-kra vonatkozó speciális, egyszerűsített szabályok elfogadásával akarja megvalósítani.

ePrivacy-rendelet

Az ePrivacy – a GDPR-rendeletet kiegészítve – az elektronikus kommunikáció során keletkező adatok kezelését és védelmét szabályozza. Hatálya nem csak a klasszikus eszközökre és kommunikációs csatornákra terjed ki, mint a telefon, az sms, vagy az e-mail, hanem a messenger szolgáltatásokra, és még a Facebook idővonalára is. Utóbbiak a jelenleg hatályos irányelv 2002-es elfogadásakor többségükben még nem is léteztek. Az új jogszabályra tehát égető szükség van. Ezen a területen a szolgáltatók számára sokszor a kommunikáció tartalmánál is relevánsabb, hogy egy felhasználó, mikor, hol és milyen hosszan veszi igénybe a szolgáltatást. Az új rendelet a kommunikáció tartalma mellett ezeket az információkat is személyes adatnak nyilvánította. Gyűjtésükhöz felhasználói engedélyére lesz szükség.  

A tartalmi összefonódás okán az ePrivacy-rendeletnek is most, a GDPR-el egy időben kellett volna hatályba lépnie. Ez azonban még az optimista jóslatok szerint sem fog 2019 előtt megtörténni. Pillanatnyilag Németország miatt állnak a trágyalások. Az EU a német Kormány állásfoglalására vár. Csak ennek Brüsszelbe érkezése után kezdődhet meg a kompromisszumkeresés a tagállamok között a Tanácsban, majd a Tanács és az Európai Parlament (EP) között, hogy a jogalkotási eljárás utolsó fázisában mindkét testület áldását adhassa a rendeletre. Az egyidejű hatálybalépés elmaradásának nyertesei az adtkezelési tanácsadó cégek és ügyvédek. Nem csak most, a GDPR hatálybalépésekor, de az ePrivacy alkalmazásának megkezdésekor is tanácsokkal láthatják majd el a szolgáltatókat, miként felelhetnek meg a változó előírásoknak. 

[htmlbox eu_kozjog_es_pol]

A leghevesebb vita az u.n. tracking kapcsán bontakozott ki. Ezek kis, a kommunikációval összefüggő adatcsomagok, amelyeket a felhasználó számítógépe, illetve okostelefonja továbbít a szolgáltató szerverének. Legismertebb fajtái a cookiek. Ezek elárulják a szolgáltatónak, hogy a felhasználó, hol, mikor, milyen gépről, mely oldalakat töltött le, milyen információkra kattintott rá. Továbbításuk jelenleg is felhasználói jóváhagyásához kötött. A hatályos irányelvet azonban a legtöbb tagállam, így Magyarország és Németország is opt-out szabállyal ültette át a nemzeti jogába. A szolgáltatónak tehát tájékoztatniuk kell a cookiek használatáról, a felhasználó pedig ellentmondhat. Az új rendelet szerint a cookiek használatához a felhasználó kifejezett hozzájárulására lenne szükség. Hogy ez nem vezessen felugró ablakokhoz minden oldalletöltésnél, és ezzel az internetezés ellehetetlenüléséhez, a böngészőkben, illetve az okostelefonok operációs rendszerében be lehetne állítani egy generális hozzájárulást, illetve tilalmat, amely bármikor – általánosan és eseti jelleggel is – megváltoztatható lenne. Az EP-ben a többség az u.n. privacy by default megoldást favorizálja. Ami azt takarja, hogy a gyári alapbeállítás az elutasítás lenne. 

A netes oldalak üzemeltetői és a marketing szakemberek nem győznek tiltakozni. Világos, hogy számukra miért olyan fontosak a cookiek: Minél többet tudnak az felhasználóról, annál személyre szabottabb ajánlattal tudnak előállni, legyen az egy pár cipő, vagy mélyreható elemzés a szíriai polgárháborúról. Az adatok tehát nem csak a kereskedelem számára fontosak. A reklámbevételekből élő internetes hírportálok üzemeltetői hirdetőket veszítenének, ha nem rendelkeznének információkkal arról, kik és mikor látogatják az oldalt, kik kattintanak rá egy-egy cikkre. Hisz ki adna ki arra pénzt, hogy csak úgy a vakvilágba reklámozzon? Az online sajtó tehát most issza a levét, hogy nem tette olvasói számára idejekorán világossá: Tartalmat ne lehet ingyen előállítani! A nyomtatott újságért pénzzel fizetünk. Ha erre az online világban nem vagyunk hajlandók, akkor személyes adatainkat kell adnunk. De nem csak a kereskedők és a kiadók, a civil szervezetek is tiltakoznak. Ők is a cookiekat használják médiamegjelenéseik hatékonnyá tételére, például amikor megpróbálják kiszűrni potenciális támogatóikat a netezők tömegéből.

Az EP képviselők többsége még egy u.n. összekapcsolási tilalommal is rögzíteni akar az ePrivacy-rendeletben. Ez azt jelentené, hogy a coockiek használatát elutasító felhasználókat nem lehetne diszkriminálni. Ugyan azt a tartalmat, szolgáltatást kellene nyújtani nekik is, mint a cookiek felhasználását elfogatóknak. A szolgáltatók viszont csak abban az esetben tartanák elfogadhatónak a szigorú tracking szabályokat, ha legálisan választás elé állíthatnák potenciális felhasználóikat: Vagy engedélyezed a cookiek használatát, és ezzel kvázi információkkal fizetsz a tartalomért, vagy csak pénz ellenében tekintheted meg az oldal teljes kínálatát.

Miként lehet egyensúlyba hozni az adataink feletti szuverenitásukat és a mindannyiunk által élvezett technológiai fejlődéshez elengedhetetlen adatelemzéseket? Igazi hitvita a jogvédők és a gazdasági szereplők között.

Az online szakma az EU egész versenyképességét veszélyben látja. Ha a kontinensen a jövőben nem, vagy csak korlátozottan lehet a felhasználói adatokhoz hozzáférni, a az internet óriásai és a start-upok az USA-ba, vagy Kínába fognak vándorolni, ahol kedvezőbb feltételek mellett szolgáltathatnak, és dolgozhatnak ki új online kereskedelmi, illetve marketing modelleket. Az online szakma szerint az új szabály halálra ítélné Európában az u.n. big data-t, tehát az óriási és komplex információhalmazok feldolgozásának új módszerei utáni kutatást is.  

A javaslat támogatói inkább alapjogi síkra terelik a vitát: A gazdasági versenyképesség megőrzése nem legitimálhatja az alapjogok, jelen esetben a személyes adatok védelmének áruba bocsájtását. A versenyképesség miatt aggódók félelmeit is túlzónak tartják. Fogyasztóvédők szerint sok felhasználó kedveli a célzott reklámokat, igényeihez igazodó ajánlatokat, ezért hozzá fog járulni a cookiek felhasználásához. Még ha világos is lenne a számukra a cookiek és a személyre szabott tartalom közti összefüggés (jómagam szkeptikus vagyok), egy olyan időszakban, amikor a személyes adatok védelme „szexi”, és naponta pattannak ki online adatgyűjtési botrányok, aligha fogják tömegek adataikat önként felkínálni.

De nem eszik olyan forrón a kását! Az összekapcsolási tilalom az EP-ből érkező felvetés. A Bizottság rendelettervezetében nem szerepel. A Tanács pedig informálisan már jelezte, ellene van. Egy azonban biztos: Az ePrivacy-rendelet 2019-re tervezett elfogadását még sok vita fogja megelőzni.

---