Jogrendszerek a Digitális Társadalomban – IV.

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az infokommunikációs világban az adatvédelem sokkal nagyobb deficitet halmozott fel, mint gondolnánk, megoldatlan problémái összekapcsolódhatnak a társterületek szabályozási konfliktusaival. Adataink védelme változatlanul a jogrendszer alakulásának próbaköve, különösen, ha a digitális adatok kiterjednek az igazságszolgáltatás adataira.

IV. Adataink védelme

Az adatvédelem az európai jog prioritása, intézményes rendszere a hazai jogrendszer egyik legnagyobb átalakítója.[1] Az Európai Parlament és a Tanács 2016/ 679. sz. rendelete (GDPR) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint az információs önrendelkezési jogról, és az információszabadságról szóló 2011. évi CXII. törvény (Info.-tv.) reformált változata a mai napig meghatározza a jogterület működését. Az európai uniós jogalkotó az Alapjogi Charta (8. cikk (1) bekezdése) alapján a természetes személyek adatainak kezelésével összefüggő védelmét alapvető jogként szabályozza. Felismerte, hogy a gyors technológiai fejlődés és a globalizáció új kihívások elé állította az adatvédelmet, az adatok gyűjtése, megosztása egyre nagyobb mértékben folyik, de maguk az érintettek is egyre nagyobb mértékben tesznek közzé adatokat magukról, nem pusztán a helyi, hanem a globális nyilvánosságban.

A helyzet pontos ismeretét tükrözi a rendelet bevezetője, amikor az adatok áramlását, az adatok továbbítását, kezelését és feldolgozását az unión belüli belső piac elengedhetetlen részének tekinti. Hasonlóan értelmezi az EU-s közhatalmi szervek határokon átnyúló adatfelhasználását és igényét. A Scylla és a Charybdis világosak, ám a hajót máshova vezető áramlatok is vezérlik. A jogbiztonság követelménye, az áttekinthetőség, az unió valamennyi államára azonos és egyenlő követelményrendszer, a szankciók egyértelműsége, szigorúsága és alkalmazásuk hatósági eljárása. Nem beszélve arról, hogy a nemzeti jogok – mivel rendeletről van szó – nem törhetik át egyik országban sem az uniós védelem szintjét. Így lett a magyar Info.-tv. a közösségi rendelet végrehajtási jogszabálya, elvesztve jogterületi dominanciáját.

Az adatvédelem jogának, és intézményi háttérének kialakítása jóval a rendelet előtt elkezdődött. Összetett, önálló részekből álló jogterület alakult ki[2], a bírói gyakorlat pedig Európa-szerte rögzítette az adatvédelem jogi irányait. Önálló jogág keletkezett, speciális jogfogalmak és jogértelmezések, kommentárok és jogtudományi feldolgozások születtek. Összefoglalva, egy jogi sikertörténet szemtanúi lehetünk, az egyetemi diszciplínák kibővültek, az akadémiai rendszer helyet szorított az adatvédelem jogászainak.

Az adatvédelem új szakaszának kezdete óta mindezek ellenére rendkívül erős, egyre számosabb a kétely és egyre dominánsabb a kétkedés. A hazai szakirodalom sem kivétel ez alól, a szerzők bírálat alá vették a rendelet szerkezetét, koncepcióját, s – valljuk be őszintén – már keletkezésekor korszerűtlennek tekintették azt. A legfontosabb érvek szerint a legnagyobb probléma a rendelettel az, hogy nem veszi számításba a Big Data- (BD) korszakot, sem pro, sem contra. Nem reagál napjaink domináns trendjére, így a mesterséges intelligencia és a BD összefonódására. Mivel a mesterséges intelligencia térnyerése nem bontakoztatható ki a BD működése és rendszertelen rendje nélkül, magának az üzleti sikernek a kardinális feltételei hiányoznak a szabályozásból. Az üzlet azonban az adatminimalizálás és a célhoz kötött adatgyűjtés rendeleti alapelveinek elhalványodásához vezet – írta Zödi Zsolt[3] –, s ezt az ellentmondást a GDPR nem oldotta fel. Rossz választ adott a rendelet az adatvédelem problémáinak kezelésére, mivel a második generációs adatvédelmi elveken nyugvó szabályozást – ahol az adatkezelő egy nagy szervezet, az adatalany pedig egy gyenge, kiszolgáltatott magánszemély – helyezte előterébe. Az adatalany és az adatfelhasználó viszonya egyenlőtlen ugyan, azonban még számos relációs konfliktus jelentkezik. Hozzátehetjük, az adatvédelmi jogi logika azzal számol, hogy az adatok személyesek és tulajdonosuk van, az adatok használatát tehát a tulajdon-felhasználás és -hasznosítás regulái szerint kell szabályozni. A modell az ősi római jogi szabályozási séma, s e séma köszön vissza olyan fogalmakban, mint „érintett személy”, „adatfeldolgozás”, avagy biometriai adatok. [4]

A rendelet kétségkívül megoldja azokat az adatvédelmi problémákat, melyek a BD-korszak előtt jelentkeztek.[5] Specifikálva azonban az új korszak megoldásra váró kérdéseit, a jogi válasz vagy nem megnyugtató, vagy nem létezik. A visszanevesíthetőség az adatbázisok használata során gyakran felmerülő probléma, a diszkriminatív gyakorlat, a predikció, a manipulációs lehetősége pedig napjaink számos példájából ismert.[6] Az elmozdulást valószínűleg elősegíti, amennyiben tisztázzuk, mi a Big Data és mit értünk a Big Data korszaka alatt.

A BD korszakunk legfontosabb narratívája, a szakirodalom számos értelmezéssel tölti ki fogalmát. Azoknak az adatoknak az átfogó sokaságát jelenti, amelyeket a dolgok internete generál vagy dolgoz fel. Ezek az adatok a hálózatra kötött eszközök, szenzorok, stb. nem strukturált adatai. Mainzer szerint a Petabyte (Peta = 10¹⁵) elérése után beszélhetünk BD-jelenségről. Az interneten keringő valamennyi digitalizált dokumentum, levelezési, helymeghatározási adat része a BD adatbázisának. A digitális világban az adatmennyiség kétévente megduplázódik, és egyre komplexebbé válik. A digitális lábnyomok, transzformációs adatok, interakciós és kapcsolati adatok így mind mind részét képezik a BD rendszereinek.[7] Nagyrészt metaadatok, például a Google (2016.-ban) naponta 24 Petabyte-ot „termelt”. Éppen ez a sajátossága teszi az adatokat „személytelenné”, még pontosabban olyan adattá, ahol a személyhez fűződő kapcsolatnak (amit a GDPR szabályoz) nincs igazán jelentősége. Az adatok tartalmuk és relevanciájuk ismerete nélkül elemezhetők, ekkora adatmennyiséget azonban már nem az egyszerű szoftverek és alacsonyabb szintű algoritmusok, hanem a mesterséges intelligencia képes elemezni. [8]

A joggyakorlat megpróbálta a személytelenné tett adatok védelmét biztosítani. Az EuB 2017. decemberi 20.-i ítéletében[9] még a „régi” adatvédelmi irányelvet[10] értelmezve terjesztette ki az adatvédelem hatósugarát. Az irányadó tényállás szerint P. Nowak gyakornok könyvelő-adószakértő volt, aki sikerrel letette az első szintű számviteli vizsgáit, valamint a második szintű vizsgáit. Nem sikerült ellenben a vizsgája stratégiai pénzügyi számvitel és számviteli kezelés tantárgyból. A negyedszeri sikertelen vizsga után Nowak panasszal élt e vizsga ellen, panaszának elutasítása után pedig az adatvédelmi törvény alapján kérelmet nyújtott be az illetékes szakmai szervezet birtokában lévő, őt érintő személyes adatok egészéhez való hozzáférése iránt. A szakmai szervezet csak a vizsgadolgozat (amit anonimmé tettek a vizsga során) kiadását tagadta meg, így Nowak az adatvédelmi biztoshoz fordult állásfoglalásért. Az adatvédelmi biztos szerint a vizsgadolgozatok általában nem esnek az adatvédelmi szabályok hatálya alá, mivel az ilyen dokumentumok általában nem minősülnek személyes adatnak. Az állásfoglalást követő hivatalos panasz elintézését megtagadták, ezért P. Nowak a bírósághoz fordult. Az elsőfokú bíróság a keresetet elfogadhatatlannak nyilvánította. Indokolása szerint a panasz adatvédelmi biztos által történő vizsgálatának hiányában nincs keresettel megtámadható határozat. Másodlagosan e bíróság úgy ítélte meg, hogy a kereset megalapozatlan, mivel a vizsgadolgozat nem minősül személyes adatnak. A másodfokú bíróság helybenhagyta az ítéletet, ám a revíziós eljárásban a legfelsőbb (írországi) bírói fórum előzetes döntéshozatali kérelemmel fordult az EUB-hoz. Első kérdése szerint a szakmai vizsga során felvett információ, válasz személyes adatnak minősül-e? Második kérdése pedig arra vonatkozott, hogy igenlő válasz esetén minden ilyen jellegű információ személyes adat-e? Továbbá kérdezett a felől, milyen szempontok irányadóak mindezek megítélésében?

Az európai bírói fórum szerint az adatvédelmi irányelv 2. cikkének a) pontját akként kell értelmezni, „hogy az alapügy körülményeihez hasonló körülmények között valamely vizsgázó által egy szakmai vizsga során adott írásbeli válaszok és a vizsgáztató e válaszokra vonatkozó esetleges megjegyzései e rendelkezés értelmében személyes adatoknak minősülnek.” Az ítéleti tömörség mellett fontosabbak azok az elvi megállapítások, melyek arra vonatkoznak, hogy a vizsgázók vizsgaadataihoz való hozzáférés a magánélethez való jog (privacy) védelmi körébe esik, nem korlátozható az érintett személy jogosultsága abban, hogy ezeket az adatokat megismerje, megbizonyosodjék helyességükről és kezelésük jogszerűségéről (Ítélet 56–57. pontjai). [11]

Számos egyetemi hallgató Európa-szerte örömmel fogadta az ítéletet, amelynek a BD-korszak felőli értékelése szintén pozitív. Az EUB ugyanis a nagytömegben kezelt adatok – ezek lényegében már nem kötődnek az adott személyhez – visszaazonosíthatósága esetére kimondta az adatvédelmi szabályok alkalmazhatóságát. Így hiába veszítik el a BD-ben kezelt adatok a személyes tulajdonságaikat, minden esetben, amikor direkt vagy indirekt módon identifikálhatók, kezelésük az adatvédelmi szabályok alá esik. [12]

A digitális korszak új fejleményei fontosabbá és a mindennapi élet működését tekintve generálissá tették a BD adatkezelési problémáit. A Google adattermelése mellett a Facebook, a közösségi médiák, a hálózatba kötött (önvezérelt) autók, az „okos háztartások”, avagy annak berendezései (Németországban pl. Alexa a háztartási robot), az adatkezelést, adatáramlást és adatelemzést összekötik az információs rendszerek biztonsági, illetve a platformok szabályozási kérdéseivel. Másképpen szólva, naponta jönnek létre olyan hálózatba kötött eszközök, rendszerek, alakulnak ki platformok és kommunikációs csatornák, amelyek az adatvédelmet nem elszigetelten, hanem más területtel, a jogban értendő más jogági szabályozási területtel együtt érintik. Az adatvédelem sokkal nagyobb deficitet halmozott fel, mint gondolnánk, megoldatlan problémái összekapcsolódhatnak a társterületek szabályozási konfliktusaival. Mindehhez hozzátesszük a robotok, a robotként viselkedő platformok adathasználati, termelési, kezelési és áramlási rendszereit, láthatjuk, mindezek mellett valóban eltörpülnek a már megtett – és egyáltalán nem jelentéktelen – lépések. [13]

Nehéz a jövőre nézve jósolni, és lehetetlen a szabályozás forgatókönyvét megírni. Adataink védelme – ez biztos – változatlanul a jövő nagy kérdése lesz, a jogi rendszer alakulásának próbaköve. Különösen, akkor, ha a digitális adatok kiterjednek az igazságszolgáltatás adataira.

A cikk első részét itt, a másodikat itt, a harmadikat pedig itt olvashatja.

Lábjegyzetek:

[1] Történetéről Hegedűs Bulcsú: Az adatvédelmi jog általános tanai. Im.: Bevezetés az Infokommunikációs jogba. (Szerk.: Tóth András – Klein Tamás.) Patrocinium, Budapest, 2017. 114.- 237.

[2] Az adatvédelem összetettségére: Klein Tamás – Tóth András (Szerk.): Technológiai jog – Robotjog – Cyberjog. Wolters Kluwer, Budapest, 2018. II. fejezet. (Klein Tamás munkája)

[3] Zödi Zsolt: Platformok, robotok és a jog. Új szabályozási kihívások az információs társadalomban. Gondolat Kiadó, Budapest, 2018. 96.

[4] Rouvem Kober: Digitalisierung und Datenschutz, ZfgG 2017, 67 (3) 161 – 182, Maria Cristina Caldarola, Joachim Schrey: Big Data und Recht. Einführung für die Praxis. C.H.Beck. München, 2019

[5] Az adatok korlátlan (parttalan) gyűjtése, a szabálykövetés (ellenőrzés) elvesztése, a profilalkotás, az automatikus döntéshozatal például Zödi szerint nem specifikusan BD-probléma. Mindez nem jelenti, hogy a BD-korszakban ugyanezen kérdések – másként – ne vetődnének fel

[6] Zödi Zsolt: Platformok, robotok és a jog. Új szabályozási kihívások az információs társadalomban. Id. mű. Elterjedt a szakmai közéletben pl. a Target amerikai áruházlánc „terhestesztje”, amikor a vásárlási szokásokból állítottak fel prognózist arra, hogy az érintett (női) vásárló gyereket vár-e vagy nem. A botrányt az váltotta ki, hogy gratuláló levelet küldtek egy tizenéves lánynak. Az apa felháborodottan vonta felelősségre a cég vezetését, ám – s ez a történet csattanója – a lány valóban terhes volt, csak az apa nem tudott róla. Uo. 91.

[7] Klaus Mainzer: Künstliche Intelligenz – Wann übernehmen die Maschinen? Springer Verlag, Berlin, Heidelberg, 2016. 157 – 159

[8] Arról, hogy milyen adatokról és milyen felhasználási, elemzési lehetőségekről van valójában szó, Edward Snowden önéletrajzi könyvéből nyerhetünk betekintést. Jóllehet ős az adattulajdon koncepció talaján áll, végkövetkeztetését, a magánélet védelmét, a privacy prioritását számos szerző osztja. Edward Snowden: Rendszerhiba. 21. Századi Kiadó, Budapest, 2019. Zödi Zsolt a privacy védelmét tekintené, a nem kontrollálható adatok védelmével szemben a jogi szabályozás igazi tárgyának. Zödi Zsolt. Id. mű. 99.

[9] C-434/16. sz. ügyben 2017. december 20.-én hozott ítélet. Feldolgozása: Rechtssache Nowak. EuGH, ECLI:EU:C:2017:994. NJW 2018, 767.

[10] A személyes adatok feldolgozása (kezelése) vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv

[11] Zödi Zsolt: Privacy és a Big Data. Fundamentum. 2017. 1.- 2. 18.-30.

[12] Rouvem Kober: Digitalisierung und Datenschutz, ZfgG 2017, 67 (3) 161 – 182, Maria Cristina Caldarola, Joachim Schrey: Big Data und Recht. Einführung für die Praxis. C.H.Beck. München, 2019

[13] Elemzési paradigmánkból, a német jogból válogatva: OLG Frankfurt kimondta a megvásárolt vevői értékelések nyilvánosságra hozatalának tilalmát, A Drezdai OLG a weboldalak adattartalmának vizsgálata során állapította meg, miszerint az online ajánlat esetében az impresszumnak tartalmaznia kell az ajánló gazdasági pozícióját, civil jogi felelősségét. Az LG Düsseldorf egyértelművé tette, hogy a „Framing” mikor jogellenes. OLG Frankfurt a. M., Beschluss vom 22.02.2019 – 6 W 9/19. OLG Dresden, Urteil vom 24.8.2018 – 4 U 873/18 (LG Dresden); rechtskräftig. LG Düsseldorf: Wettbewerbsverstoß durch Framing. MMR 2019, 335. LG Düsseldorf, Urteil vom 14.11.2018 – 12 O 69/18.

---