A GDPR és az EU Data Governance Act Rendelet tervezete: barátok vagy ellenségek

dr. Horváth Katalin, dr. Domokos Márton, dr. Horváth Anna Zsófia

Az Európai Adatvédelmi Testület (EDPB) és az Európai Adatvédelmi Biztos Hivatala (EDPS) 03/2021 számon új, közös állásfoglalást tett közzé az Európai Bizottság által benyújtott Data Governance Act rendelet (a továbbiakban DGA) tervezetével kapcsolatban. A DGA egy, a Bizottság által korábban bejelentett, átfogó európai adatstratégia első sarokköve, amelynek célja a közszférában rendelkezésre álló adatok megosztásának és újbóli felhasználásának szabályozása, a digitális egységes piac megerősítése és a digitális gazdaságba vetett bizalom növelése. A rendelet továbbá kodifikálja az adataltruizmus, azaz a személyes adatok önkéntes megosztásának jelenségét, amely jelentősen megkönnyítené az adatok felhasználását. Az EDPB és az EDPS elismerik a rendeletben megfogalmazott célok létjogosultságát és támogatják azok megvalósulását, ugyanakkor figyelmeztetnek a tervezet által jelentett adatvédelmi kockázatokra, és a személyes adatok megfelelő szintű védelmének garantálása érdekében számos koncepcionális és gyakorlati kérdésben változtatásokat javasolnak. Az alábbiakban összefoglaljuk az EDPB és az EDPS legfontosabb megállapításait, kiegészítve saját adatvédelmi észrevételeinkkel is.

Fontos, hogy a DGA illeszkedjen a meglévő uniós adatvédelmi szabályrendszerbe

A közös állásfoglalásban megfogalmazott egyik legfontosabb kifogás szerint a tervezet a jelenlegi formájában párhuzamos szabályrendszert hozhat létre a GDPR-ral és a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018/1807 (EU) rendelettel. A nyílt hozzáférésű adatokról és a közszféra információinak további felhasználásáról szóló 2019/1024 (EU) irányelv szintén előír szabályokat a közszférában elérhető adatok újbóli felhasználásáról, a tervezet ezekkel is átfedésben lehet. Az így létrejövő „mozaik-szabályozás” ellentétes a személyes adatok védelmére és az adatok szabad áramlására létrehozott szabályozási keretrendszer integritásával.

Ami a DGA és a GDPR kapcsolatát illeti, az EDPB és az EDPS többször kiemeli, hogy a DGA szubszidiárius jogszabályként kiegészítő jelleggel bír, és a GDPR egészének sérelme nélkül alkalmazandó. Különösen igaz ez az adatkezelés jogalapjára. Bár új feltételrendszert fogalmaz meg, a DGA semmiképp nem hoz létre a GDPR 6. cikke (1) bekezdésében meghatározottakon túl önálló jogalapot a személyes adatok kezeléséhez. Azoknak az adatkezelőknek, akik a DGA szerinti adatkezelést folytatnak, vagy terveznek folytatni, továbbra is a GDPR 6. cikke (1) bekezdése, illetve személyes adatok különleges kategóriájának esetén ezen felül a GDPR 9. cikke (2) bekezdése szerinti kivételek egyikére kell támaszkodniuk. A DGA szerinti személyes adatokra vonatkozó adatkezelésekre továbbá természetszerűleg vonatkoznak az adatkezelés GDPR-ban megfogalmazott alapelvei, különös tekintettel a célhoz kötöttség, adattakarékosság, és korlátozott tárolhatóság elveire.

DGA: egységes szabályozás a személyes és nem személyes adatokra

A DGA tervezet a közszféra szervezetei birtokában lévő, különböző alapokon védett adatok, úgy, mint üzleti titok, statisztikai adatok, harmadik személyek szellemitulajdon-jogaival érintett adatok és személyes adatok eredeti céltól eltérő további felhasználását szabályozza.

Az EDPB és az EDPS állásfoglalása kritikus azzal kapcsolatban, hogy a közszférában rendelkezésre álló személyes adatok és nem személyes adatok újbóli felhasználását és ’kormányzását’ egyetlen jogszabályban szabályozza a DGA tervezet, amely jelentősen megnehezíti a két külön adattípusra vonatkozó eltérő szabályok megkülönböztetését. A tervezetben nem különül el egyértelműen, hogy mely mechanizmusok és szabályok vonatkoznak személyes adatokra, és melyek a nem személyes adatokra, így pl. üzleti titokra vagy statisztikai adatra. Az állásfoglalás továbbá azt is kifogásolja, hogy a DGA felhasználás „engedélyezése” néven új fogalmat vezet be az adatok megszerzésére, nem világos azonban, hogy ez az engedély csak nem személyes adatok körében alkalmazandó-e. Véleményünk szerint valóban nem egyértelmű, hogy hogyan viszonyul az adatok felhasználására adható engedély a GDPR által meghatározott jogalapokhoz.

Az EDPB és az EDPS azt is kiemelte állásfoglalásában, hogy a DGA nem szól a vegyes adatkészletek szabályozásáról, ti. olyan adatkészletekről, amelyek személyes adatokat és nem személyes adatokat egyaránt tartalmaznak. Ez a hiányosság pedig problémákat vet fel abból a szempontból, hogy az adatok újbóli felhasználása, és további elemzése, valamint a Big Data adta lehetőségek kiaknázása mind elmossák a határokat a személyes és anonimizált adatok között. Minél több adat áll rendelkezésre, annál több a kiszűrhető információ mértéke, ezáltal pedig nő a beazonosíthatóság valószínűsége. Ennek eredményeként könnyen adódhatnak olyan esetek, amikor az anonimizált vagy nem személyes adatokból álló adatkészletben különböző adatelemzési műveletek eredményeképp személyes adatok jelennek meg.

Új fogalmak a DGA-ban: nem személyes adat, metaadat, adatmegosztás, hozzáférés

További kritikát fogalmazott meg az EDPS és az EDPB a kétértelmű, félrevezető vagy pontatlanul megfogalmazott meghatározásokkal szemben. A DGA 2. cikke új definíciókat vezet be mind az adatkezelés tárgyával, folyamatával, valamint az abban részt vevő szereplőkkel kapcsolatban.

Az adathoz magához kapcsolódó új fogalomként jelenik meg a nem személyes adat, mint a GDPR szerinti személyes adat-fogalom inverze, illetve a metaadat, mint „adat az adatról”, például az adat rögzítésének ideje vagy az adathoz köthető helymeghatározási információ. Az adatkezelés módját illetően, eltérően a GDPR generikus definíciójától, itt a ’további felhasználás’, ’adatmegosztás’ és ’hozzáférés’ önállóan jelennek meg. Az így létrejövő többszintű fogalmi rendszer félreértésekre adhat okot, ezért az EDPS és EDPB az adatkezelés konkrét folyamatainak és szereplőinek nevesítése helyett az adatkezelés és az abban résztvevő felek GDPR-ral összhangban történő meghatározását javasolja. Véleményünk szerint valóban érdemes lenne tisztázni, hogy milyen előnyökkel járhat az új fogalmi rendszer bevezetése, és az hogy illeszkedne a már meglévő adatvédelmi rendelkezésekhez.

Adataltruizmus

Az adataltruizmus lényegében személyes adatok ellenérték nélküli, önkéntes megosztását, „eladományozását” jelenti.

Az adataltruizmus kodifikálása elősegítheti az adatok – személyes vagy nem személyes – hatékonyabb felhasználását az adatgazdaság beindításának és ösztönzésének eszközeként. Véleményünk szerint ez az új rendelkezés a személyes adatok védelmére szolgáló már létező, erős szabályozási keretrendszer szempontjából is figyelemre méltó. Az így garantált védelem ugyan nem abszolút- a GDPR másik pillére a személyes adatok szabad áramlásának biztosítása, és az EU adatstratégia, amelynek a DGA is része, az adatfelhasználás egyfajta megkönnyítése, amit azonban az EDPB és az EDPS esetleg az adatvédelmi szabályok “felpuhításaként” értelmezhet. Az EDPB és az EDPS ugyanis kiemelik, hogy bár ez számos helyzetben kétségtelenül igaz, például tudományos kutatásokban, alapjogi jellege révén az egyén semmilyen körülmények között sem mondhat le az adatvédelemhez való jogáról. Az adataltruizmusként definiált önkéntes adatszolgáltatás nem írhatja felül a GDPR szerinti jogszerű adatkezelésre vonatkozó alapelveket és rendelkezéseket, különös tekintettel az érvényes hozzájárulás feltételeire. A felügyeleti hatóságok azt is kiemelik, hogy a jelenlegi adatvédelmi szabályok szerint a több, előre meg nem határozott célhoz megadott általános hozzájárulás a GDPR-ba ütközhet.

Véleményünk szerint valóban nem derül ki egyértelműen a szövegből, hogy az adataltruizmus esetén DGA tervezet által megengedett „általános érdekű célokra” adott hozzájárulás hogyan viszonyul a hozzájárulás érvényességének GDPR által a lefektetett feltételeihez.

Új szereplők az adatpiacon: adatmegosztási szolgáltatók, adatszövetkezetek, adataltruista szervezetek

A DGA több új szereplőt is nevesít az adatkezelési láncban:

Az adatmegosztással kapcsolatban ezek a közvetítő szolgáltatásként adatmegosztási szolgáltatást nyújtó szervezetek (adatmegosztási szolgáltatók), adatszövetkezetek, adataltruista szervezetek.
Az adatmegosztási szoláltatók olyan vállalkozások, amelyek semleges közvetítőként nyújtanak hozzáférést adatbázisokhoz, anélkül, hogy ők maguk felhasználnák ezeket az adatokat.
Az adatszövetkezetek általános tájékoztatási szerepet ellátó szervezetek. Az adataltruista szervezetek olyan nonprofit alapon működő jogi személyek, amelyek adataltruizmussal kapcsolatos tevékenységet végeznek.

Általános kritikaként jelentkezik a közös állásfoglalásban ezen szervezetek jellegének, funkcióinak és feladatainak hiányos leírása. Az EDPB és az EDPS szerint nem derül ki a szabályozásból, hogy mi a szervezetek pontos célja, mi a specifikus szerepük a személyes adatok esetén a GDPR adatkezelő, illetve adatfeldolgozó fogalmainak tükrében, valamint, hogy a gyakorlatban mely szervezetek mely kategóriába esnek majd.

Ezt az új intézményi környezetet tekintve az EDPB és az EDPS vitatják az adatmegosztási szolgáltatásokat nyújtó szervezetekre és az adataltruista szervezetekre vonatkozó bejelentési és nyilvántartási eljárásokat. Az új előírások az EDPB és az EDPS szerint a gyakorlatban a szervezetek „átvilágítását” („vetting and screening”) jelentik (ez az átvilágítás garantálja a DGA szerint, hogy az adatkormányzás megbízható adatcserén alapuljon.) Az eljáró hatóságoknak azonban ehhez összesen egy hét áll rendelkezésére. A rövid határidő által ugyanakkor az eljáró hatóságok ellenőrzése lényegében egy illetékes hatóság általi igazolásra korlátozódik, ami egy alapvetően deklaratív értesítési rendszerhez vezet. A helyzetet bonyolítja, hogy egyelőre nem ismert, hogy mely hatóságok töltik majd be az eljáró hatóság szerepét: a DGA mindössze a kérdés tagállami hatáskörbe utalásáról rendelkezik, de azt teljes mértékben a tagállamokra bízza, hogy már létező hatóságot jelölnek ki erre a szerepre (pl. adatvédelmi hatóságot), vagy kifejezetten erre a célra új hatóságot hoznak létre.

Ezen felül az EDPB és az EDPS közös standardok bevezetését javasolja, amelyeket minden adatszolgáltatásban vagy adatmegosztási megállapodásban részt vevő szervezetnek be kell tartania. Ezen előírásoknak és szabványoknak az interoperabilitás feltételein túl vonatkozniuk kell a személyes adatok kezelése jogszerűségének biztosítására, valamint az érintettek jogai gyakorlásának megkönnyítésére vonatkozó feltételekre is. A közös állásfoglalás 143. paragrafusában szereplő javaslatból azonban nem derül ki, hogy milyen standardok betartásáról lenne szó (pl. ISO standardok, egyéb technikai vagy adatvédelmi standardok).

Új felügyeleti rendszer

A tervezet életre hív egy általános tanácsadási szerepkörrel rendelkező szakértői csoportot, az Európai Adatinnovációs Testületet, az Európai Bizottság munkájának támogatására. Az EDPB és az EDPS üdvözli az új testületet és a tényt, hogy az összes tagállam illetékes hatóságai mellett mind az EDPB, mind az EDPS szerepelnek a testület tagjai között.

A DGA által létrehozott többi, fent említett szervezet vonatkozásában az EDPB és az EDPS kétségüket fejezték ki az illetékes, fent felsorolt új szervezetek, valamint általában a DGA rendelkezéseinek ellenőrzésre és felügyeletre hatáskörrel rendelkező hatóságokkal kapcsolatban. A DGA maga nem rendelkezik arról, hogy már meglévő tagállami hatóságok hatáskörébe utalja ezeket, vagy a tagállami adatvédelmi hatóságok szerepköre bővül majd. Az adatvédelmi hatóság és biztos határozottan a tagállami adatvédelmi hatóságok hatáskörrel rendelkező felügyelő hatóságként történő kinevezéséért érvelnek a DGA rendelkezései betartásának nyomon követése és felügyelete érdekében.

Következő lépések

Amint a közös állásfoglalásból is kiderül, a Bizottság által közzétett rendelettervezettel kapcsolatban számos megválaszolatlan kérdés merül fel, és az ezek által okozott kockázatok nem elfogadhatók az EU adatvédelmi felügyeleti hatóságai számára. A tervezetet a megjelenése óta az EDPB-n és az EDPS-en kívül több tagállam, például a német szövetségi kormányzat is hasonló kritikával illette.

A tervezet jövőjét tekintve valószínű, hogy az EDPB és az EDPS által megfogalmazott közös állásfoglalás az Európai Bizottság kezdeményezésére formális konzultációs eljárássá alakul. Ennek eredményét, valamint a 2021. február 8-án lezárult nyilvános konzultációs eljárás keretében beérkezett válaszokat a Bizottság figyelembe veszi a tervezet további tárgyalásakor. Kövessék a DGA tervezet szövegváltozatait adatvédelmi blogunkban.

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.