A hivatalos elnökségi események sorában, 2011. június 16-17. napján került sor a Nemzetközi Adatvédelmi Konferencia megrendezésére. Az Európai Bizottság társfinanszírozásával, és számos együttműködő partner közreműködésével tartott eseményen a résztvevők átfogó képet kaphattak a jelenlegi európai adatvédelmi gyakorlatról, és a jövőben várható változásokról. Beszámolónk az első nap eseményeinek összefoglalása.
Vitaindító gondolatok – általános kontextus
A konferencia a soros magyar elnökség alatt az igazságügyi területen elért eredmények bemutatásával kezdődött, melyeket dr. Répássy Róbert – igazságügyért felelős államtitkár – foglalt össze a személyes adatok védelmének kérdéskörét is érintve. Kiemelte az Európai Uniónak az Emberi Jogok Európai Egyezményéhez való csatlakozása felé tett lépéseit. A Tanács által elfogadott – az áldozatvédelemmel foglalkozó – Budapesti Ütemtervet, az egységes EU-s öröklési szabályok megteremtését célzó rendelettervezet alapelveit. Részleges előzetes tárgyalási álláspontot fogadtak el az európai nyomozási határozatról.
A nyitó panel a magánszféra védelmét szolgáló jogszabályok alkalmazásának jelenlegi összefüggéseiről, tágabb kontextusáról szólt, kitérve egy lehetséges új szabályozás kereteire is. A vitaindító előadásokat neves szakértőktől hallhattuk. Françoise Le Bail, az Európai Bizottság igazságügyi főigazgatója az erősebb jogi keret megteremtéséről szólt, az egyéni jogok megerősítésére, a jogbiztonság megteremtésére, a kormányzás adatvédelmet szolgáló intézkedéseire és a globalizáció kihívásaira helyezve a hangsúlyt.
Őt Aurora Mejía, a spanyol Igazságügyi Minisztérium jogi együttműködésért és vallásügyekért felelős főigazgatójának előadása követte, aki a partnerségi trió program jelentőségét hangsúlyozta az adatvédelem területén.
Piotr Stachańczyk, a lengyel Belügyi és Közigazgatási Minisztérium államtitkára ígéretet tett arra, hogy a soron következő lengyel elnökség alatt is figyelembe veszik az elért eredményeket és erre alapozzák az elkövetkező politikai döntéseket.
Peter Hustinx, európai adatvédelmi biztos beszéde a jelenlegi szabályozás megreformálásának szükségességét emelte ki. Fő kérdése az volt, hogy miért is kell átvizsgálni a jogi kereteket és, hogy mi legyen a szabályozás új iránya. A stratégiai vonalak felvázolását a jelenlegi adatvédelmi irányelv bemutatásával kezdte. Kiemelte a magyar szerepvállalást az – 95/46/EK – irányelv megalkotásában. Mára ezt a direktívát felül kell vizsgálni, mivel a mai társadalmi és elsősorban a technikai fejlődés miatt, már nem nyújt megfelelő keretet az adatvédelmi jogok garantálásához. Hangsúlyozta a Lisszaboni Szerződés hatását, melyet a hatáskörök újragondolásában lát. A Lisszaboni Szerződés dinamizmusával az adatvédelmi politikára és más társadalmi, gazdasági területekre is hat. Kiemelte a Stockholmi programot, melynek célja, hogy a polgárok jogainak védelme mellett biztonságosabbá tegye Európát. Mivel az adatvédelem a bizalom, a legitimitás és a hatékonyság alapja, nagyban befolyásolhatja egy ilyen célkitűzés megvalósulását. Emellett megemlítette az Európai Digitális menetrendet, melynek egyik célja a bizalom és a biztonság fokozása. A fejlődés irányait egyrészt a horizontális megközelítésben látja, cél az EU minden politikai területének adatvédelmi lefedése. Fontos a hatékonyság növelése, ehhez újragondolandó az adatvédelem gyakorlati életben való alkalmazhatósága. Fontos az adatvédelemmel kapcsolatos szabályozás harmonizálása és a gazdasági működés, valamint a magánélet védelmének egyensúlya is. Az adatvédelem megerősítése a mi felelősségünk. Az adatvédelmi hatóságoknak megfelelő erőt kell biztosítani ahhoz, hogy az új adatvédelmi stratégiát meg tudják valósítani. Ehhez minden tagállamban szükség van az adatvédelmi hatóságok függetlenségére. Példaként említette az Európai Bíróság 2010. március 9-én hozott ítéletét az Európai Bizottság kontra Németországi Szövetségi Köztársaság ügyben, (C-518/07. sz. ügy), melyben Németországot elmarasztaló döntés született.
Első panel – személyes adatok védelme és a belső piac
A vitaindító – bevezető – előadásokat egy esetjogi kitekintéssel fűszerezett panel követte, melyben a személyes adatok szabad áramlását a belső piaci szempontok érvényesítésének figyelembevételével tekinthettük át. Marie-Hélène Boulanger, az Európai Bizottság Igazságügyi Igazgatósága, Adatvédelmi Főosztályának vezetője az adatvédelem és a belső piac szabadságának összhangját hangsúlyozta. A különböző szintű adatvédelem és adatátvitel piaci torzulásokhoz vezetett. Cél ezért az adatáramlás szabadságának és az azonos szintű adatvédelemnek a megteremtése. Az adatvédelem megreformálását a globalizáció generálta megvalósulásával a jogbiztonságot költséghatékonyan kéne elérni. A jogbiztonságot hasonló tagállami megoldásokkal lehetne biztosítani. A hasonló helyzet mindenhol hasonló megoldáshoz vezessen. Ehhez az adatvédelmi hatóságok együttműködése és a Bizottság szerepe nélkülözhetetlen. Hangsúlyozta az egyszerűsítés és az adminisztratív terhek csökkentésének fontosságát, valamint a jogok és kötelezettségek tisztább meghatározásának jelentőségét.
Maarten Truyens, DLA Piper UK LLP ügyvédje, előadását a gyakorlati tapasztalataival illusztrálta. Elsőként azt vetette fel, hogy személyes adatnak tekinthetők -e az IP címek. Praxisából vett példákat, melyekből kitűnt, hogy nincs egységes megközelítés. Személyes adatként kezelte az IP címet többek között a főtanácsnok a Promusicae, valamint a Scarlet Extended ügyekben, a spanyol legfelsőbb bíróság egy az illegális letöltésekkel kapcsolatos ítéletében 2008 májusában és a stockholmi közigazgatási fellebbviteli bíróság 2008 szeptemberében. Nem tekintette viszont személyes adatnak az IP címet a párizsi fellebbviteli bíróság egy 2007-es szerzői jogokkal kapcsolatos ítéletében, és a müncheni városi bíróság sem, egy 2008 szeptemberében született ítéletében. Vegyes álláspontot foglalt el az Egyesült Királyság adatvédelmi hatósága a statikus és dinamikus IP címek kapcsán. A kamerás megfigyelésekés munkavállalói kitűzők kapcsán egy nemzetközi nagyvállalat kereste meg az előadó cégét. Szerettek volna törvényesen eljárni, így az európai gyakorlat áttekintésére kérték fel az irodát. Ebben a vonatkozásban is kiderült, hogy egységes álláspont nincs. A kamerás megfigyelést jogszerűnek tartják, de arról bejelentést kell tenni Belgiumban, Hollandiában, Csehországban, Lengyelországban és az Egyesült Királyságban, jogszerű és bejelentés sem szükséges Finnországban, Németországban, Írországban, Olaszországba. Jogszerűtlen a megfigyelés Dániában (a képek továbbításához személyes beleegyezés szükséges). Tisztázatlan a helyzet Franciaországban. Az előadó kiemelte, hogy sajnálatos módon az eljárás formalizmusa néha ellehetetleníti a gyakorlati munka megkezdését, mert mire a gyakorlati munkára kerülne a sor, a projektre szánt pénz már elfogyott. Előadását azzal a reményével zárta, hogy a következő irányelv után majd a tényleges munkára lehet koncentrálni.
Második panel – „Cloud computing”
Az un. „cloud computing” (számítási felhő, vagy „informatikai felhő”) viszonylag új jelenségéről szólt a nap második panelje. Az előadók az új jogi szabályozás során kialakítandó szempontokra is kitekintettek. Sławomir Górniak, ENISA (Európai Hálózat- és Információbiztonsági Ügynökség) technikai osztályának vezetője informatikai, technikai szempontoktól sem mentes előadást tartott. Meghatározta a „cloud computing” fogalmát, áttekintette, mint üzleti modellt, mint technológiát és kitért az elérendő célokra is. Bemutatta a „cloud computing” gazdasági előnyeit és a belőle fakadó kockázatokat is. Ez utóbbiak közül most a jogi és a szerződési kockázatokból említenék néhányat. Kockázatot jelent, hogy egy „felhőben” sokszoros joghatóság alatt állnak az adatok. Hiányzik az Európai Adatvédelmi Irányelvnek való megfelelés. A fogyasztó igen nehezen tudja a szolgáltató adatkezelési gyakorlatát ellenőrizni. Az adatátvitel megtöbbszörözött a „felhőben”. Előadását a következő következtetésekkel zárta: A „számítási felhő” fejlődést eredményezhet a nem kritikus alkalmazások és adatok biztonságának esetében. Az átláthatóság döntő fontosságú: a fogyasztóknak eszközt kell biztosítani, hogy felmérhessék és összehasonlíthassák a szolgáltatók biztonsági gyakorlatát. A technika jelen állapotában a kritikus alkalmazások és adatok „felhőbe” szállítása még mindig nagyon kockázatos. Sokkal több erőfeszítés szükségeltetik a „felhőben” szükséges biztonsági szint eléréséhez.
Janni Christoffersen, Dánia adatvédelmi biztosa a személyes adatok védelmét az iskolai elektronikus ügyintézés során vizsgálta, két dániai esettanulmányt ismertetve. Az első esetben a tanulókról az adatokat „felhő” alapú szolgáltatás igénybevételével rögzítették, Odense önkormányzati iskolájában. Ezek az adatok a gyermekek fejlődéséről, eredményeiről szóltak és szenzitív információkat is tartalmaztak . A dán adatvédelmi biztos 2011. február 3-án adott ki egy véleményt, mely szerint a dán adatvédelmi hivatal általában pozitív az új technológiák alkalmazásával kapcsolatban – így a számítási felhők alkalmazásával kapcsolatban is – a jelen esetben azonban nem ért egyet az Odense által alkalmazott megoldással. A hivatal a következő hiányosságokat tárta fel: a tanulók adatai harmadik országba is eljuthattak, a feldolgozás biztonsága általánosságban nem volt megfelelő, az adatfeldolgozás, a személyes adatok törlése pedig nem volt megoldva. Szintén megoldatlanok maradtak az adattovábbítás, a belépés és egyéb biztonsági kérdésének is. A másik – jelenleg folyó – esetben a biztonsági előírásokat szegték meg a számítási felhő alkalmazásával. Itt a jogosítványhoz szükséges tesztkérdések kitöltésével – illetve a rendszer használata miatt – több mint 80000 adatalany vált az ügyben érdekeltté. Az autós oktatóknak – nem csak saját tanulójuk, hanem – az összes tanuló minden adatához hozzáférést biztosított a rendszer. Az ügyben még tart a vizsgálat, de már most levonható következtetés, hogy a „felhők” használata rendkívül megnöveli a személyes adatok védelmével kapcsolatos kockázatokat. Élénkíteni kell a párbeszédet a szolgáltatók és a többi érdekelt között. A biztos asszony kiemelte az adtavédelmi hatóság megelőző szerepét.
Wojciech Rafał Wiewiórowski, Lengyelország adatvédelmi biztosa a magánélet védelméről és az internetszolgáltató cégek felelősségéről szólt.
Harmadik panel – polgárok tájékoztatása személyes jogaikról
A nap záró panelje a magánélethez való jog tudatos védelméről szólt. Arról, hogy az egyes szervezetek hogyan próbálják a polgárokat felvilágosítani adatvédelmi jogaikról. Szóltak a felnőttek felelősségéről a gyermekek jogainak védelmében. Ismertették a különböző figyelemfelkeltő módszereket a videoklipektől a képregényeken át a videojátékokig. A panel a különböző megoldási javaslatok tapasztalatairól számolt be. Az első előadó Sophie Kwasny, az Európa Tanács Adatvédelmi Osztályának vezetője az Európa Tanács szerepéről beszélt, az adatvédelemmel kapcsolatos ismeretek elmélyítésében. Ismeretek alatt a közvélemény figyelmének meghatározott kérdésekre – jogokra – irányítását, e jogok gyakorlását érti. A polgárok oktatását a polgárokhoz való közelkerüléssel együtt hangsúlyozta. A kommunikációt, mint háromlépéses folyamatot ismertette: az információ átadása az információ célba érése és, hogy az információban lévő üzenet értelemmel bírjon. Ismertette az Európa Tanács kommunikálási módszerét, melynek 2006 óta fontos része az Adatvédelmi Nap megszervezése. Ennek dátuma minden év január 28-a, mivel ez a nap a 108. egyezmény megkötésének évfordulója. A nap jelentősége abban áll, hogy az adatvédelem általában nem kap kellő figyelmet, holott mindennapjainkat egyre inkább átszövi. Az adtavédelmi nap egy kísérlet az adatvédelemmel kapcsolatos figyelem felébresztésére és a közvélemény tájékoztatására (oktatására). Ezen felül az adatvédelmi szakembereknek is lehetősége nyílik a közvéleménnyel való találkozásra. Szó esett az államok, a nemzeti és nemzetközi szervezetek adatvédelmi napi tevékenységéről, a lehetséges programokról és eseményekről. (nyílt napok, találkozók a szakemberekkel, konferenciák, stb.) Adatvédelmi napot mára egyre több államban tartanak évről évre.
Urszula Góral, a lengyel Adatvédelmi Hatóság igazgatója a hatóság oktatási tevékenységét mutatta be. A lengyel jogi háttér ismertetése után (melyek az alkotmányban és a lengyel adatvédelmi törvény 12. cikkében kerültek megfogalmazásra) az uniós szabályozásra is kitért. Ezt követően informálta a hallgatóságot tevékenységükről. Ez publikálást, oktatási programok szervezését, tréningek tartását, az adatvédelmi nap megszervezését, és különféle intézményekkel, szervezetekkel, NGO-kal, egyetemekkel és főiskolákkal való együttműködést jelent. A publikált anyagaik közül kiemelte az „adatvédelmi ABC”-t, melyből a bankokkal kapcsolatos adatvédelmi jogaikról tájékozódhatnak az érdeklődők. Ezen kívül röplapokkal, vállalkozóknak szóló útmutatásokkal és éves jelentéssel is informálják a közvéleményt. Ismertette az adatvédelmi nap idei eseményeit, számadatokkal illusztrálta a képzések – tréningek során elért eredményeiket. Előadását a jövőbeni terveikkel zárta, melyek között a jogi szabályozást, az oktatási intézményekkel való együttműködés elmélyítését, és a magánélet sérthetetlenségének, valamint az adatvédelem kérdéseinek a napi oktatásba, iskolai tantervekbe való beillesztését tekinti.
Peter Michael, a Schengeni Közös Ellenőrző Hatóság adatvédelmi ügyekért felelős titkára az adatvédelem és a jog végrehajtásának valamint a bűnüldözésnek a sajátosságait ismertette. Mára a globalizálódás miatt szinte minden adat szinte bárhonnan elérhető. (példaként említette, hogy a norvég rendőrség hozzá tud férni az Europol adataihoz is.)
Andreas Krisch, az „European Digital Rights” (EDRI) nevű szervezet elnöke először magát a szervezetet mutatta be. Az EDRI a magánéletet és az emberi jogokat védő európai szervezetek szövetsége, melyet 2002 júniusában alapítottak. Mára 28 tagszervezete van 18 európai államból. Az informáltságot, illetve annak hiányát a 2008-as Eurobarometer adatokkal illetve az EU alapjogi ügynökségének (FRA) 2010-ben a nemzeti adatvédelmi hatóságok szerepéről végzett kutatásaival mutatta be. Előbbiből kiderült, hogy az európai polgárok 2/3-át aggasztja, hogy adatait helyesen kezelik –e. A polgároknak negyede tud arról, hogy országában működik adatvédelmi hivatal. A polgároknak ugyancsak egynegyede van tisztában minden adatvédelmi jogával. A FRA felmérésből kiderült, hogy a 27 tagállamból 16-ban hiányzik az adatvédelmi hivatal függetlensége, vagy az ehhez megfelelő források. 15 tagállamban hiányzik az adatvédelmi szabályok végrehajtáshoz szükséges hatalom, erő. Összességében 22 tagállamban nincs az Adatvédelmi Irányelvnek megfelelően működő adatvédelmi hivatal. A tájékozatlanság okai között azt emelte ki, hogy az adatvédelem nem megfelelően végrehajtott. Ennek három okát ismertette: a nemzeti adatvédelmi hatóságok nem tudják végrehajtatni a létező jogot, a nemzeti jogok nem teljesen egyeznek az adatvédelmi irányelvvel és a Bizottság képtelen a harmonizáció biztosítására. Ezen felül a létező jog túl bonyolult. A végrehajtás hiánya magára hagyja az adatalanyokat. A tájékoztatás minden szinten megoldandó. Az adatalanyokat tájékoztatni kell arról, hogy milyen veszélyek leselkednek személyes adataikra és hogyan kerüljék el ezeket, valamint arról, hogy mik a jogaik és ezeket hogyan gyakorolhatják. Az adatfeldolgozókat meg kell győzni arról, hogy az adatvédelem az ő érdekeiket is szolgálja. A technikusokat és az információs technológiát tervezőkben tudatosítani kell, hogy már az eszköz tervezésekor vegyék figyelembe az adatvédelemmel kapcsolatos jogokat. A kormányoknak és az EU intézményeknek pedig az adatvédelem példaképévé kell válnia. Maga az EDRI különféle tájékoztató füzetekkel, vicces képregényekkel informálja a polgárokat – elsősorban a fiatal felnőtteket – adatvédelemmel kapcsolatos jogaikról. Ezen felül kéthetente jelentkeznek hírlevelükkel és weboldalukon, valamint más internetes fórumokon is jelen vannak. Kis füzeteikkel az érdekesebb témák részletesebb elemzését adják a nemzeti és az uniós politikusoknak és a nagyközönségnek is. Előadását a még fennmaradó számos feladat ismertetésével, az előttünk álló kihívások bemutatásával zárta.
