Lassan három és fél éve annak, hogy az Európai Bizottság 2012 januárjában benyújtotta a két uniós jogalkotó szervnek, az Európai Parlamentnek és a Tanácsnak azt a csomagot, amely az uniós adatvédelmi szabályozást alapjaiban újítaná meg. A csomag része egy rendelet, valamint egy tagállami átültetést igénylő irányelv. Ez utóbbi a rendőrségi és bűnügyi adatkezelés szabályait rögzítené.

A rendelet sajátossága, hogy tagállami jogalkotás nélkül közvetlenül alkalmazandó. Ha rendeletként lép hatályba a tervezet, a magyar adatvédelmi szabályozás nagy részét, a többi tagállaméhoz hasonlóan, hatályon kívül kell majd helyezni. Nem kis változás ígérkezik tehát a személyes adatok védelme terén.

Június 15-én az Európai Unió Tanácsában az igazságügyi miniszterek jóváhagyták az új adatvédelmi rendelet tervezetét. Megnyílt az út azelőtt, hogy a szövegjavaslatból 2015 végére (2016 elejére) jóváhagyott jogszabály legyen.

Miért van szükség erős harmonizációra?

A személyes adatok védelmére jelenleg egy uniós irányelv vonatkozik, amelyet a 28 tagállam 28 féleképpen alkalmaz helyi szabályai révén. Ha a tagállami eltérések nem is jelentősek, az egységes piac működését zavarja, esetenként akadályozza a szabályozás széttöredezettsége. Amikor adatvédelmi megközelítést alkalmazunk, akkor egyfajta alapjogvédelmi funkciót hangsúlyozunk. Ez magától értetődik, hiszen minden nemzeti és nemzetközi alapjogi dokumentum része a személyes adatok, valamint a magánélet, a magánszféra védelme. Ha azonban a fogyasztói bizalom és a piac kontextusában vizsgáljuk az adatvédelmet, akkor is fájó az egységes uniós szabályozás hiánya.

Az Európai Bizottság által 2010-ben nyilvánosságra hozott digitális menetrend az egységes digitális piac felé vezető úton szükséges, és elkerülhetetlen feladatnak tekinti az egységes adatvédelmi szabályozás kialakítását. A felhasználói bizalmatlanság temérdek gazdasági lehetőséget hagy kiaknázatlanul. Nem működhet egészségesen a piac ott, ahol például az online fizetésekhez felhasznált és megadott adatok biztonságát illetően kétségei vannak a fogyasztónak. Ha a felhasználó otthonosan és biztonságosan mozoghat a digitális térben, akkor nem marad el a korábban kibontakozásra váró piacok virágzása. Ehhez azonban, többek között, egységes adatvédelmi keretre van szükség.

A javaslat javítja-e a felhasználók helyzetét az internet világában?

Az új szabályok alapvető célkitűzése, hogy mindenki számára átláthatóbb keretet adjon: adatalanyoknak, az adatok kezelőinek, és a szabályok kikényszerítésért felelős szerveknek, így az adatvédelmi hatóságoknak is.

Az adatkezelők működésének átláthatóságát szolgálja az adatvédelmi incidensek bejelentésének kötelezettsége. Abban az esetben, ha a magánszférát veszélyeztető adatvesztés, adatlopás történik, akkor az adatkezelőnek nem csak a „házon belüli tűzoltás” a feladata, hanem a helyzet súlyosságától függően az adatvédelmi hatóságot, valamint az adatok alanyait is értesíteni kell. A bizalmat erősíti egy jól működő jelzőrendszer, és ha az érintett maga is tehet a saját biztonságáért, például a jelszó megváltoztatásával, bankkártya letiltásával, akkor a digitális világ veszélyeinek valóságos kárai elkerülhetők, de legalábbis mérsékelhetők lesznek.

Egy korábbi blogbejegyzésben foglalkoztam már a felejtés jogával (right to be forgotten) a Google ítélet kapcsán. Az ítélet lényege abban áll, hogy egy bizonyos idő elteltével az érintett kérheti, hogy a nevére keresve bizonyos linkek ne jelenjenek meg a keresőmotor találati listájában.

Az új adatvédelmi rendelet a felejtés jogát a korábbiaknál pontosabban határozza meg. Míg az 1995-ös adatvédelmi irányelv szinte kizárólag a papír alapú adatkezeléseket vette számításba, az adatok törléséhez való jog digitális környezetben való érvényesítése új típusú kötelezettségeket kíván. A realitással néz szembe a jogalkotó, amikor részletesen szabályozni tervezi, hogy az adatkezelőnek az adatok lehetséges útját figyelembe véve kell mindent elkövetni annak érdekében, hogy az internet és az adatbázisok minden zugából törlésre kerüljenek azok a személyes adatok, amelyek törlését az adatok alanya – jogszerűen – kéri.

Kifejezetten piaci vonatkozással is bír az adatok hordozhatóságához való jog (right to data portability). A szolgáltatások közötti váltás lehetősége egyértelműen a piaci verseny fokozása, ezáltal pedig a fogyasztó számára kedvezőbb környezet irányába mutat. Számos technikai jellegű kérdést vet fel e jog gyakorlati alkalmazhatósága, annak szándékával azonban egyet kell értenünk, a lehetséges gazdasági előnyökre is tekintettel.

Jogorvoslat – egyablakos ügyintézés

Az adat alanya számára nyitva álló jogorvoslatok terén megmarad az adatvédelmi hatósághoz fordulás lehetősége (panasz) és a közvetlen bírósági kikényszeríthetőség. Az adatvédelmi hatóságok által nyújtott segítség, panaszügyintézés kapcsán a legnagyobb vitákat az egyablakos ügyintézés gondolata (one-stop-shop) váltotta ki. A koncepció lényege, hogy az adatvédelmi vitákat egy kijelölt adatvédelmi hatóság intézi. Kérdés ugyanakkor, hogy kihez telepítjük az „ablakot”: az adatok alanyának lakóhelyéhez, akinek védelméről szól a rendelet, vagy az adatkezelőhöz, akinek kényelmesebb lenne csupán egyetlen adatvédelmi hatósággal kapcsolatban állni? Utóbbi esetben a gazdasági szereplő fő letelepedési helye határozná meg, hogy mely tagállami hatóság működne „ablakként” az adatkezelő számára, és bármely tagállamból érkező panasz ehhez a hatósághoz kerülne.

Hosszas viták után finomodott ugyan a javaslat, és a jelenlegi szövegterv a közelség elvét is próbálja vegyíteni az eredeti elgondolással (amely szerint csak az adatkezelő fő letelepedési helye szerinti hatóság járhatna el), mindenesetre sajátos helyzetet eredményezne, ha az Unió polgára a hozzá legközelebb eső hatóságot nem kereshetné meg közvetlenül, és ez a szerv nem járhatna el a saját polgárai ügyében. A Tanács jogi szolgálata szerint az uniós joggal is összeegyeztethetetlen ez a koncepció.

A rendelet alkalmazása egységes gyakorlatot követel majd meg a tagállami adatvédelmi hatóságoktól, és olyan szoros együttműködésre kényszeríti őket, amely valószínűleg az egyablakos ügyintézéstől függetlenül szavatolná az ügyek azonos megítélését. A hatóságok ún. Európai Adatvédelmi Testületbe szerveződve egyeztetnek majd a határon átnyúló adatkezelések ügyében. A jelenleg mindenkitől független hatóságok egymással szemben el fogják veszíteni függetlenségüket, hiszen egymásra nézve kötelező határozatokat hozhatnak majd.

A hatóságok szerepe egyébként erősödik. Egységes szankciórendszert hoz az új szabályozás, amely magában foglalja a bírságok kiszabását is. A tervezet a globális éves árbevételhez igazítja a büntetést, annak 5%-ában (az Európai Parlament szövegjavaslatában) határozva meg annak legmagasabb mértékét. Az elrettentő pénzügyi szankció mértéke egyértelmű üzenetet hordoz: az Európai Unió nem hajlandó alkudozni polgárai magánszférájának értékéről.

A szigorítások közé tartozik a profilozásra vonatkozó új szabályok bevezetése. Magánszféra védelmi szempontból azért igényel kiemelt figyelmet a profilok készítése, mert nem csupán arra adnak lehetőséget, hogy az érintett magatartását utólag tegyék elemzés tárgyává, hanem arra is, hogy a jövőbeni döntéseit is előre jelezzék. A magánszférába való ilyen jellegű beavatkozásra a jognak reagálnia kell.

A tervezet bizonyos adatkezelések esetében kötelezővé teszi majd az előzetes adatvédelmi hatásvizsgálat elvégzését. Az új technológiák alkalmazása indokolja ezt a kettős szűrőt: a jogalkotó általános szabályok révén rendezni kívánja a köz- és a magánérdek egyensúlyát. Ott azonban, ahol a technológia és az ahhoz kapcsolódó eljárások a magánszféra szempontjából különös körültekintést indokolnak, ott, mintegy második szűrőként, az adott közösség, az érintettek konkrét helyzetét alapul véve kell egy elemzést elvégezni.

Globális környezet – helyi szabályok

Az Európai Unió jogalkotó szervei várhatóan egy éven belül elfogadják az új adatvédelmi szabályokat. A szabályozás végrehajtásán múlik majd, hogy a jogalkotó által polgárai számára biztosítani kívánt jogok valósággá válnak-e.

Az uniós döntéshozó szándéka szerint az európai normákat nem csupán az európai adatkezelőknek, hanem mindazoknak be kell tartaniuk, akik európai polgárokra irányuló szolgáltatásokat nyújtanak, vagy az ő magatartásukat elemzik (például célzott reklámok küldésével).

Kérdés tehát, hogy a szabályozásnak úgy sikerül-e érvényt szerezni, hogy az a globális piacra is hatást gyakoroljon. Tekintettel az internet globális jellegére, nem tehetünk le erről az igényünkről. Ha sikerül mindezt elérni, akkor minden szereplő nyertesnek érezheti majd magát, köztük a felhasználók is, akik a jelenleg ismert szabályozások közül a világon a legnagyobb biztonságot élvezhetik majd egy egységesülő digitális piacon.