Az Európai Unió közzétette a Data Governance Act, vagyis az Adatkormányzási Rendelet javaslatát

Szerzők: dr. Horváth Katalin, dr. Domokos Márton, dr. Bertók Gábor

2020. november 25-én az Európai Bizottság az adatkormányzásra vonatkozóan új rendeletre tett javaslatot. A javasolt Data Governance Act (DGA) a 2020-as európai adatstratégia első intézkedése.

A Rendelet célja, hogy irányítási keretet biztosítson a közös európai adatterek támogatásához, amelyek elengedhetetlenek az EU versenyképességének növeléséhez a piaci versenyben. Ehhez bevezeti az adatkormányzás fogalmát, amely az adatok felhasználására vonatkozó szabályok és eszközök összességét jelenti. Ez többek között adatmegosztási mechanizmusok, megállapodások és technikai standardok révén történik, és fontos szerepet játszanak benne az adatok biztonságos, például megbízható harmadik feleken keresztül történő megosztására szolgáló struktúrák és folyamatok.

A DGA megalkotásának oka az volt, hogy a közszféra, a magánszektor és a természetes személyek egyre több adatot hoznak létre, amelyek a becslések szerint 2018 és 2025 között megötszöröződnek. Az adatközpontú innováció az adatok felhasználásával a társadalom, a polgárok és a vállalkozások előnyét szolgálja, így például elősegíti a jobb egészségügyi ellátást, ritka vagy krónikus betegségek gyógyítását, a valós idejű navigációnak köszönhetően hatékonyabb időkihasználást a közlekedésben, új mezőgazdasági termékek és szolgáltatások fejlesztését, a közigazgatásban pedig a megbízhatóbb statisztikák készítését és a tényeken alapuló döntéshozatalt. Ezek az előnyök abban az esetben kamatoztathatók, ha minél több adat áll rendelkezésre, és biztosított azok bizalmas megosztása és további felhasználása, amelyet a DGA a meglévő uniós adatvédelmi, fogyasztóvédelmi és versenyjogi keretek figyelembe vételével kíván szabályozni.

A DGA az alábbi szabályozási témákra fókuszál:

  • A közszféra adatainak további felhasználás céljából történő rendelkezésre bocsátása olyan helyzetekben, amikor az említett adatokra harmadik személyek jogai vonatkoznak.
  • Adatmegosztás vállalkozások között díjazás ellenében.
  • Személyes adatok felhasználásának egy „személyesadat-megosztási közvetítő” segítségével történő megosztásának lehetővé tétele, amelynek célja az egyének részére segítségnyújtás a GDPR szerinti jogaik gyakorlásában.
  • Az adatok altruisztikus alapon történő felhasználásának engedélyezése, azaz amikor az érintettek, vagy más adattulajdonosok az adataik díjazás nélküli felhasználására adnak engedélyt általános érdekű célokra, például tudományos kutatási célokra vagy közszolgáltatások fejlesztéséhez.

1. Közszférába tartozó adatok további felhasználására vonatkozó új szabályok

A DGA tervezet egy új eljárásrendet hoz létre a közszférabeli szervezetek birtokában lévő védett adatok további felhasználására. Ezek a rendelkezések azonban nem keletkeztetnek jogot az ilyen adatok további felhasználására, hanem olyan harmonizált alapfeltételeket teremtenek meg, amelyek mellett megengedhető az ilyen adatok további felhasználása. Az állami vállalatok, a közszolgálati műsorszolgáltatók, a kulturális és oktatási intézmények birtokában lévő adatok, valamint a nemzetbiztonsági, védelmi vagy közbiztonsági okból védett adatok mentesülnek a Rendelet ezen szabályai alól.

A közadatok további használatának feltételeit a DGA tervezet az alábbiak szerint szabályozza:

  • főszabályként tilos kizárólagos jogokat biztosítani az állami szektorba tartozó szervezetek birtokában lévő adatokra vonatkozóan,
  • az adatok további felhasználása érdekében nyilvánosan hozzáférhetővé kell tenni ezen közszféra adatok további felhasználásának engedélyezési feltételeit,
  • az adat felhasználási feltételeknek diszkriminációmentesnek, arányosnak és objektíven indokoltnak kell lenniük,
  • az adathasználati feltételek nem korlátozhatják a szabad versenyt,
  • az adatok további felhasználásának engedélyezéséért az állami szervezetek díjat számíthatnak fel,
  • a további felhasználást lehetővé tevő állami szervezeteknek rendelkezniük kell technikai megoldásokkal az adatvédelem, a magánélet és a titoktartás teljes megőrzésének biztosítása érdekében.

A tagállamok feladata kettős:

  • kapcsolattartó pontot kell létrehozniuk, amely támogatja a kutatókat és az innovatív vállalkozásokat a megfelelő adatok azonosításában, valamint
  • biztosítaniuk kell a közszférabeli szervezetek technikai eszközökkel és jogi segítségnyújtással történő támogatására szolgáló eszközöket és eljárásokat, mint például biztonságos adatkezelési környezet rendelkezésre bocsátását, technikai támogatás nyújtását bevált technológiák alkalmazásában (úgymint álnevesítés, anonimizálás, általánosítás, elrejtés és randomizálás), de adott esetben ide a tartozhat a felhasználási engedélyekkel kapcsolatos segítségnyújtás is.

2. Adatok megosztása a vállalkozások és az érintettek között

A DGA tervezet másik célja a személyes és nem személyes adatok megosztása iránti bizalom növelése, valamint a B2B (business-to-business, vállalkozások közötti) és a C2B (client-to-business, ügyfél és vállalkozás közötti) adatmegosztáshoz kapcsolódó tranzakciós költségek csökkentése azáltal, hogy bejelentési rendszert hoz létre az adatmegosztási szolgáltatók számára.

Az adatmegosztási szolgáltatók olyan adatmegosztók, akik közvetítő szolgáltatásokat nyújtanak, például jogi személy potenciális adatfelhasználók és adattulajdonosok között, beleértve az ehhez szükséges technikai vagy egyéb eszközök rendelkezésre bocsátását is (ilyen eszköz lehet például az adatcserét vagy az adattulajdonosok és az adatfelhasználók összekapcsolását lehetővé tevő platformok vagy adatbázisok).

A Rendelet alapján egyes adatmegosztási szolgáltatásokra bejelentési eljárás vonatkozik, amely feljogosítja a szolgáltatót adatmegosztási szolgáltatások nyújtására minden tagállamban.

A Rendelet részletes feltételeket állapít meg az adatmegosztási szolgáltatások nyújtására vonatkozóan:

  • az adatmegosztási szolgáltatásokat külön jogi személy formájában kell folytatni,
  • az adatokat kizárólag adatmegosztási szolgáltatásokra lehet felhasználni,
  • a szolgáltatóknak biztosítaniuk kell, hogy a szolgáltatásához való hozzáférés igazságos, átlátható és megkülönböztetésmentes legyen,
  • megfelelő technikai, jogi és szervezési intézkedéseket kell bevezetni a nem személyes adatok továbbításának vagy az azokhoz való hozzáférés megakadályozása érdekében.

A DGA tervezete előírja, hogy minden tagállam a Rendelet alkalmazásának kezdőnapjáig (azaz a hatálybalépést követő 1 éven belül) kijelöl a területén egy vagy több olyan hatóságot, amely illetékes az ilyen szolgáltatások nyújtásához kapcsolódó követelmények betartásának ellenőrzéséért.

Azoknak a szolgáltatóknak, akik adatmegosztási szolgáltatások nyújtanak, de nem rendelkeznek székhellyel az Unió területén, törvényes képviselőt kell kijelölniük az egyik olyan tagállamban, amelyben ezeket a szolgáltatásokat nyújtják. Az ilyen szolgáltatót annak a tagállamnak a joghatósága alá tartozónak kell tekinteni, amelyben a törvényes képviselője letelepedett.

3. Adataltruizmus

A DGA tervezet harmadik szabályozási területe az adataltruizmus, vagyis a magánszemélyek vagy vállalatok által a közjó érdekében önként történő adat hozzáférhetővé tétel. A Rendelet lehetőséget teremt arra, hogy az adataltruizmussal foglalkozó szervezetek regisztrálhassák magukat „az Unió által elismert adataltruista szervezetként”. A Bizottság az adataltruizmushoz való európai hozzájárulási űrlapot dolgoz ki az adataltruista célú felhasználáshoz való hozzájárulás begyűjtési költségeinek csökkentése és az adatok hordozhatóságának megkönnyítése érdekében. Ezen kívül a DGA tartalmazza az altruista szervezetek nyilvántartásba vételének és átláthatóságának követelményeit is, valamint konkrét szabályokat állapít meg az érintettek és a jogi személyek adatokhoz fűződő jogaival és védelmével kapcsolatban.

4. Az Európai Adatinnovációs Testület

A DGA tervezet létrehozza az Európai Adatinnovációs Testület nevű hivatalos szakértői csoportot. Ennek segítségével a tagállami hatóságok könnyebben meg tudják osztani egymással a bevált gyakorlatokat, különösen a harmadik személyek jogaival érintett adatok további felhasználására irányuló kérelmek feldolgozásával, az adatmegosztási szolgáltatók bejelentési keretrendszerével és az adataltruizmussal kapcsolatos egységes gyakorlat biztosítása tekintetében.

5. Következő lépések a DGA elfogadásában

A DGA egyelőre még csak tervezet, amelyet például az EDPS és az EDPB is véleményezett erről itt írtunk részletesen: A GDPR és az EU Data Governance Act Rendelet tervezete: barátok vagy ellenségek. A DGA a rendes EU-s jogalkotási folyamatban halad tovább, jelenleg az Európai Parlament előtt van, elfogadása egy-másfél éven belül várható.

Ezzel párhuzamosan a Bizottság sajtóközleménye szerint az adatterekre vonatkozóan 2021-ben további részletes javaslatok várhatók, amelyeket egy, a vállalkozások közötti, illetve a vállalkozások és a kormányok közötti adatmegosztást elősegítő jogszabály is kiegészít majd.