„Az adatvédelmi rendelet, vagyis a GDPR elfogadásával a személyes adatok védelme olyan központi kérdéssé vált, amely szinte minden jogviszonyt áthat. Gyakorlatilag egy lépést sem tudunk anélkül tenni, hogy úton-útfélen ne írassanak velünk alá egy hozzájáruló nyilatkozatot, ha egyébként más jogalapja nincs a személyes adataink kezelésének. A Bizottság elvégzettnek tekintve a „védelmi feladatot”, új kihívások felé fordult és meghirdette az Európai adatstratégiát, amely a digitális Európa kialakítás jegyében az adatok megosztásával – érintve a személyes adatokat is – kíván egy egységes adatpiacot kialakítani. Kérdés, hogy ez a személyes adatok mindenek feletti védelmét minként befolyásolja?
A GDPR hatályba lépése óta több felmérés látott napvilágot a hatékonyságára vonatkozóan, amelyek megállapították, hogy – noha GDPR megfelelő norma személyes adataink védelmére – a tagállami hatóságok anyagi és humánerőforrás-hiánnyal küzdenek, valamint az eljárási szabályok további harmonizációja hatékonyabbá tenné a rendelet kikényszerítését. És az is nyilvánvalóvá vált, hogy a rendelettel kapcsolatban más nehézségek is felmerültek, mégpedig az, hogy az számos ponton nehezen egyeztethető össze az EU másik stratégiai célkitűzésével, az adatgazdaság ösztönzésével.
A Bizottság ugyanis, elvégezve a személyes adatok védelmével kapcsolatos teendőit, meghirdette az Európai adatstratégiát. Az erről szóló közlemény nem kisebb célt tűzött ki maga elé, minthogy Európa átvegye a vezető szerepet az adatgazdaságban. Egy korábbi blogbejegyzés összefoglalja az új adatstratégia lényegét, amely szerint: „Európa úgy válna a digitális átalakulás éllovasává, hogy hatékonyan fokozza a versenyképességét egy európai adattér kialakításával, de egyúttal hangsúlyosan ragaszkodik az európai értékekhez is.”Most vizsgáljuk meg, hogy az európai értékekre, különösen a személyes adatok védelmére ennek milyen hatásai lehetnek.
Az Európai adatstratégiáról szóló közleményben, noha elismeri az általános adatvédelmi rendelet által biztosított magas szintű védelem értékét, azt olvashatjuk, hogy „[a]z általános adatvédelmi rendelet által biztosított magas szintű védelem értékét mindenki elismeri. Ugyanakkor hátrányt jelent az olyan technikai eszközök és szabványok hiánya, amelyek egyszerűvé és kevésbé megterhelővé teszik jogaik gyakorlását.” Továbbá elvárásként fogalmazódik meg, hogy „a szabályozás és a szakpolitika ne gátolja az adatok produktív felhasználását.” A közlemény majd valamennyi oldalán találunk egy-egy félmondatot arról, hogy a leírtakat teljes mértékben a személyes adatok védelmének tiszteletben tartása mellett képzeli megvalósítani, ugyanakkor érdemi fogódzót alig ad.
Az adatstratégia egyik kulcseleme a közös adattér megszervezése. Az első fontos kérdés, hogy az EU ezt kire bízza. Alapvetően két modell áll előttünk. Az egyik az Amerikai Egyesült Államok, ahol az adattér megszervezését alapvetően a magánszektorra bízták, és jelentős koncentrációs hatás érvényesül. A másik Kína, ahol a kormányzati felügyelet mellett a technológiai nagyvállalatok gyakorolnak erős ellenőrzést. A másik kérdés, hogy az EU milyen technológiai megoldást választ. A Bizottság közleménye szerint az uniós székhelyű számításifelhő-szolgáltatóknak csak kis részesedésük van a felhőszolgáltatások piacán, ami Európát nagymértékben függővé teszi a külső szolgáltatóktól. A közlemény felhívja a figyelmet arra, hogy harmadik országok szolgáltatóira a harmadik ország jogszabályai vonatkoznak, ami azzal a kockázattal jár, hogy az uniós polgárok és vállalkozások adataihoz olyan harmadik országbeli hatóságok férnek hozzá, amelyek nem feltétlenül felelnek meg az EU adatvédelmi elvárásainak. A közlemény ugyan nem elemzi részletesen, de ez adatvédelmi szempontból egyben azt is jelenti, hogy harmadik ország felhőszolgáltatójának igénybevétele egyben a személyes adatok harmadik országba való továbbításának is minősül. Erre azonban a GDPR szabályai szerint csak akkor van mód, ha a harmadik ország teljesíti az EU-s adatvédelmi követelményeket. Ha például amerikai felhőszolgáltatást kíván az EU igénybe venni, akkor annak alapja a Privacy Shield érvénytelenné nyilvánítása következtében többek között egy megfelelőségi határozat lehet, amelynek előkészületei jelenleg is zajlanak. Ennek értelmében a Bizottság azt vizsgálja, hogy az Egyesült Államokban a személyes adatok és ezen keresztül az egyének védelme megfelel-e a GDPR által támasztott követelményeknek. Amennyiben pozitív az elbírálás, és kiadják a megfelelőségi határozatot, úgy az USA-ba történő adattovábbítást olyanként kell kezelni, mintha az adatokat az Európai Unión belül továbbították volna. Erre azonban még kicsit várnunk kell.
Az Európai adatstratégia megvalósítása jegyében már több jogszabálytervezet látott napvilágot. Kiemelendő az adatkormányzásról szóló rendelettervezet, amely 2020. november 25-én került nyilvánosságra. Az Európai Adatvédelmi Biztos (EDPS) és az Európai Adatvédelmi Testület (EDPB) vizsgálta ezt a tervezetet, és véleményük szerint a személyes adatok védelmére vonatkozó szempontok megfelelő figyelembevétele nélkül egy adatközpontú gazdasági keretszabályozás irányába mutat, ami alapvető jogi szempontból komoly aggályokat vet fel. Az adatkormányzásról szóló tervezettel kapcsolatban elsődlegesen arra hívták fel a figyelmet, hogy tisztázni szükséges a rendelettervezet és a GDPR egymásra gyakorolt hatását azzal, hogy a GDPR-t kell a szilárd és megbízható jogi keret „építőköveit” biztosító szabályozásnak tekinteni. Másodszorra az adatkormányzási rendelet fogalommeghatározásait a GDPR fogalmaihoz szükséges igazítani, ennek elmaradása ugyanis jogbizonytalanságot eredményez. Többek között az „adattulajdonos” fogalma szorul tisztázásra, amelynek mibenlétéről tudományos berkeken belül is parázsvita zajlik. A tervezet fogalmi rendszere szerint az adattulajdonos olyan jogi személy vagy érintett, aki az alkalmazandó uniós vagy nemzeti jogszabályokkal összhangban jogosult hozzáférést adni az ellenőrzése alatt álló bizonyos személyes vagy nem személyes adatokhoz, vagy jogosult azokat megosztani. Ez a meghatározás nincs összhangban – az EDPB és az EDPS szerint – a szóban forgó jogok természetével. A személyes adatok védelméhez való jogot mint minden egyes személyhez kapcsolódó jogot olyan személyes jelleg jellemzi, amely elidegeníthetetlen és amelyről nem lehet lemondani és nem lehet tulajdonjogok tárgyává sem tenni. A fenti fogalommeghatározás utolsó fordulata viszont elvitathatatlanul árucikké degradálná a személyes adatokat, amivel kereskedni lehet. Harmadrészt az adatkormányzási rendeletnek egyértelműen tisztáznia kell, hogy a személyes adatok kezelésének minden esetben az Általános Adatvédelmi Rendelet 6. cikke szerinti megfelelő jogalapon, valamint a személyes adatok különleges kategóriáinak kezelése esetében a 9. cikk szerinti egyedi eltérésen kell alapulnia. Ez azt jelenti, hogy személyes adatot többek között az érintett hozzájárulása, jogos érdek, jogszabályi felhatalmazás alapján lehet kezelni, és ennek a jogalapnak az adatkezelés egésze alatt érvényesen fenn kell állnia. Negyedrészt az EDPB és az EDPS véleménye rámutat annak kockázatára, hogy a javaslat párhuzamos szabályokat hoz létre, amelyek nincsenek összhangban sem az Általános Adatvédelmi Rendelettel, sem a nem személyes adatok szabad áramlásáról szóló rendelettel, és ez megnehezíti gyakorlati alkalmazásukat. Ötödszörre pedig az EDPB és az EDPS arra hívta fel a figyelmet, hogy amennyiben személyes adatok érintettek, úgy az illetékes hatóság nem lehet mást érteni, mint a tagállami adatvédelmi hatóságokat. A tervezetet azóta véglegesítette a jogalkotó és 2023. szeptember 24-től alkalmazandó.
Az Európai adatstratégia jegyében született másik tervezet az Adatmegosztási Rendelettervezet, amelyet 2022. február 23-án hozott a Bizottság nyilvánosságra. Az EDPS és EDPB szintén közös véleményt adott ki, ahol az adatkormányzásról szóló rendelettervezetben foglaltakhoz hasonló adatvédelmi aggályokra világítottak rá. Egyrészt hangsúlyozza a vélemény a tervezet összehangolását az adatvédelmi rendelettel. Ennek kapcsán rávilágít olyan problémákra, mint amilyen az adathordozhatóság jogának kiterjesztése a jogi személyekre. Ez ahhoz vezetne, hogy már nem az érintett – értve ez alatt kizárólag a természetes személyeket – joga elsődleges, hanem éppen az egyén kizsákmányolására adhat felhatalmazást a piaci szereplők részéről. A vélemény szerint egyértelmű különbséget kell tenni, amikor a felhasználó kizárólag az adatvédelmi fogalmak szerinti érintett vagy más néven adatalany lehet, illetve amikor a felhasználó fogalma tágan értelmezendő, és a fogalmi körbe tartozhat adatalanytól eltérő jogi személy is. A vélemény szerint további pontosítást igényel, hogy milyen rendkívüli szükséglet alapján lehet az adatokat rendelkezésre bocsátani a közszférabeli szervezetek és az uniós intézmények, ügynökségek vagy szervezetek számára. A vélemény utolsó pillére pedig a végrehajtás vonatkozásában egyértelműsíti, hogy a személyes adatok vonatkozásában a tagállami adatvédelmi hatóságok szerepe elvitathatatlan.
Az érdekek – noha mindegyike támogatható – ellentétesek, ugyanis amíg az Adatvédelmi Rendelet a személyes adatok védelméhez való alapvető jog megerősítésére épült, addig a fent kiemelt tervezetek az adatok további felhasználásában és megosztásában rejlő gazdasági lehetőségek kiaknázására összpontosítanak. A kiinduló kérdés megválaszolása – miszerint átesünk-e a ló túloldalára – attól függ, hogy a fékek szerepét betöltő szereplők mennyiben tudják érvényesíteni az általuk képviselt értékeket, illetve a rendelkezésre álló eszközök, technológiák segítségül hívása mennyiben teszi lehetővé mindkét jogpolitikai cél együttes érvényesülését.”
Forrás:
Átesünk-e a ló túloldalára?; Bojnár Katinka; ITKI (NKE Információs Társadalom Kutatóintézet), Ludovika.hu; 2023. április 4.
