dr. Horváth Katalin, dr. Domokos Márton, dr. Horváth Anna Zsófia
Az Európai Adatvédelmi Testület (EDPB) és az Európai Adatvédelmi Biztos Hivatala (EDPS) 03/2021 számon új, közös állásfoglalást tett közzé az Európai Bizottság által benyújtott Data Governance Act rendelet (a továbbiakban DGA) tervezetével kapcsolatban. A DGA egy, a Bizottság által korábban bejelentett, átfogó európai adatstratégia első sarokköve, amelynek célja a közszférában rendelkezésre álló adatok megosztásának és újbóli felhasználásának szabályozása, a digitális egységes piac megerősítése és a digitális gazdaságba vetett bizalom növelése. A rendelet továbbá kodifikálja az adataltruizmus, azaz a személyes adatok önkéntes megosztásának jelenségét, amely jelentősen megkönnyítené az adatok felhasználását. Az EDPB és az EDPS elismerik a rendeletben megfogalmazott célok létjogosultságát és támogatják azok megvalósulását, ugyanakkor figyelmeztetnek a tervezet által jelentett adatvédelmi kockázatokra, és a személyes adatok megfelelő szintű védelmének garantálása érdekében számos koncepcionális és gyakorlati kérdésben változtatásokat javasolnak. Az alábbiakban összefoglaljuk az EDPB és az EDPS legfontosabb megállapításait, kiegészítve saját adatvédelmi észrevételeinkkel is.
Fontos, hogy a DGA illeszkedjen a meglévő uniós adatvédelmi szabályrendszerbe
A közös állásfoglalásban megfogalmazott egyik legfontosabb kifogás szerint a tervezet a jelenlegi formájában párhuzamos szabályrendszert hozhat létre a GDPR-ral és a nem személyes adatok Európai Unióban való szabad áramlásának keretéről szóló, 2018/1807 (EU) rendelettel. A nyílt hozzáférésű adatokról és a közszféra információinak további felhasználásáról szóló 2019/1024 (EU) irányelv szintén előír szabályokat a közszférában elérhető adatok újbóli felhasználásáról, a tervezet ezekkel is átfedésben lehet. Az így létrejövő „mozaik-szabályozás” ellentétes a személyes adatok védelmére és az adatok szabad áramlására létrehozott szabályozási keretrendszer integritásával.
Ami a DGA és a GDPR kapcsolatát illeti, az EDPB és az EDPS többször kiemeli, hogy a DGA szubszidiárius jogszabályként kiegészítő jelleggel bír, és a GDPR egészének sérelme nélkül alkalmazandó. Különösen igaz ez az adatkezelés jogalapjára. Bár új feltételrendszert fogalmaz meg, a DGA semmiképp nem hoz létre a GDPR 6. cikke (1) bekezdésében meghatározottakon túl önálló jogalapot a személyes adatok kezeléséhez. Azoknak az adatkezelőknek, akik a DGA szerinti adatkezelést folytatnak, vagy terveznek folytatni, továbbra is a GDPR 6. cikke (1) bekezdése, illetve személyes adatok különleges kategóriájának esetén ezen felül a GDPR 9. cikke (2) bekezdése szerinti kivételek egyikére kell támaszkodniuk. A DGA szerinti személyes adatokra vonatkozó adatkezelésekre továbbá természetszerűleg vonatkoznak az adatkezelés GDPR-ban megfogalmazott alapelvei, különös tekintettel a célhoz kötöttség, adattakarékosság, és korlátozott tárolhatóság elveire.
DGA: egységes szabályozás a személyes és nem személyes adatokra
A DGA tervezet a közszféra szervezetei birtokában lévő, különböző alapokon védett adatok, úgy, mint üzleti titok, statisztikai adatok, harmadik személyek szellemitulajdon-jogaival érintett adatok és személyes adatok eredeti céltól eltérő további felhasználását szabályozza.
Az EDPB és az EDPS állásfoglalása kritikus azzal kapcsolatban, hogy a közszférában rendelkezésre álló személyes adatok és nem személyes adatok újbóli felhasználását és ’kormányzását’ egyetlen jogszabályban szabályozza a DGA tervezet, amely jelentősen megnehezíti a két külön adattípusra vonatkozó eltérő szabályok megkülönböztetését. A tervezetben nem különül el egyértelműen, hogy mely mechanizmusok és szabályok vonatkoznak személyes adatokra, és melyek a nem személyes adatokra, így pl. üzleti titokra vagy statisztikai adatra. Az állásfoglalás továbbá azt is kifogásolja, hogy a DGA felhasználás „engedélyezése” néven új fogalmat vezet be az adatok megszerzésére, nem világos azonban, hogy ez az engedély csak nem személyes adatok körében alkalmazandó-e. Véleményünk szerint valóban nem egyértelmű, hogy hogyan viszonyul az adatok felhasználására adható engedély a GDPR által meghatározott jogalapokhoz.
Az EDPB és az EDPS azt is kiemelte állásfoglalásában, hogy a DGA nem szól a vegyes adatkészletek szabályozásáról, ti. olyan adatkészletekről, amelyek személyes adatokat és nem személyes adatokat egyaránt tartalmaznak. Ez a hiányosság pedig problémákat vet fel abból a szempontból, hogy az adatok újbóli felhasználása, és további elemzése, valamint a Big Data adta lehetőségek kiaknázása mind elmossák a határokat a személyes és anonimizált adatok között. Minél több adat áll rendelkezésre, annál több a kiszűrhető információ mértéke, ezáltal pedig nő a beazonosíthatóság valószínűsége. Ennek eredményeként könnyen adódhatnak olyan esetek, amikor az anonimizált vagy nem személyes adatokból álló adatkészletben különböző adatelemzési műveletek eredményeképp személyes adatok jelennek meg.
Új fogalmak a DGA-ban: nem személyes adat, metaadat, adatmegosztás, hozzáférés
További kritikát fogalmazott meg az EDPS és az EDPB a kétértelmű, félrevezető vagy pontatlanul megfogalmazott meghatározásokkal szemben. A DGA 2. cikke új definíciókat vezet be mind az adatkezelés tárgyával, folyamatával, valamint az abban részt vevő szereplőkkel kapcsolatban.
Az adathoz magához kapcsolódó új fogalomként jelenik meg a nem személyes adat, mint a GDPR szerinti személyes adat-fogalom inverze, illetve a metaadat, mint „adat az adatról”, például az adat rögzítésének ideje vagy az adathoz köthető helymeghatározási információ. Az adatkezelés módját illetően, eltérően a GDPR generikus definíciójától, itt a ’további felhasználás’, ’adatmegosztás’ és ’hozzáférés’ önállóan jelennek meg. Az így létrejövő többszintű fogalmi rendszer félreértésekre adhat okot, ezért az EDPS és EDPB az adatkezelés konkrét folyamatainak és szereplőinek nevesítése helyett az adatkezelés és az abban résztvevő felek GDPR-ral összhangban történő meghatározását javasolja. Véleményünk szerint valóban érdemes lenne tisztázni, hogy milyen előnyökkel járhat az új fogalmi rendszer bevezetése, és az hogy illeszkedne a már meglévő adatvédelmi rendelkezésekhez.
Adataltruizmus
Az adataltruizmus lényegében személyes adatok ellenérték nélküli, önkéntes megosztását, „eladományozását” jelenti.
Az adataltruizmus kodifikálása elősegítheti az adatok – személyes vagy nem személyes – hatékonyabb felhasználását az adatgazdaság beindításának és ösztönzésének eszközeként. Véleményünk szerint ez az új rendelkezés a személyes adatok védelmére szolgáló már létező, erős szabályozási keretrendszer szempontjából is figyelemre méltó. Az így garantált védelem ugyan nem abszolút- a GDPR másik pillére a személyes adatok szabad áramlásának biztosítása, és az EU adatstratégia, amelynek a DGA is része, az adatfelhasználás egyfajta megkönnyítése, amit azonban az EDPB és az EDPS esetleg az adatvédelmi szabályok “felpuhításaként” értelmezhet. Az EDPB és az EDPS ugyanis kiemelik, hogy bár ez számos helyzetben kétségtelenül igaz, például tudományos kutatásokban, alapjogi jellege révén az egyén semmilyen körülmények között sem mondhat le az adatvédelemhez való jogáról. Az adataltruizmusként definiált önkéntes adatszolgáltatás nem írhatja felül a GDPR szerinti jogszerű adatkezelésre vonatkozó alapelveket és rendelkezéseket, különös tekintettel az érvényes hozzájárulás feltételeire. A felügyeleti hatóságok azt is kiemelik, hogy a jelenlegi adatvédelmi szabályok szerint a több, előre meg nem határozott célhoz megadott általános hozzájárulás a GDPR-ba ütközhet.
Véleményünk szerint valóban nem derül ki egyértelműen a szövegből, hogy az adataltruizmus esetén DGA tervezet által megengedett „általános érdekű célokra” adott hozzájárulás hogyan viszonyul a hozzájárulás érvényességének GDPR által a lefektetett feltételeihez.
Új szereplők az adatpiacon: adatmegosztási szolgáltatók, adatszövetkezetek, adataltruista szervezetek
A DGA több új szereplőt is nevesít az adatkezelési láncban:
- Az adatmegosztással kapcsolatban ezek a közvetítő szolgáltatásként adatmegosztási szolgáltatást nyújtó szervezetek (adatmegosztási szolgáltatók), adatszövetkezetek, adataltruista szervezetek.
- Az adatmegosztási szoláltatók olyan vállalkozások, amelyek semleges közvetítőként nyújtanak hozzáférést adatbázisokhoz, anélkül, hogy ők maguk felhasználnák ezeket az adatokat.
- Az adatszövetkezetek általános tájékoztatási szerepet ellátó szervezetek. Az adataltruista szervezetek olyan nonprofit alapon működő jogi személyek, amelyek adataltruizmussal kapcsolatos tevékenységet végeznek.
Általános kritikaként jelentkezik a közös állásfoglalásban ezen szervezetek jellegének, funkcióinak és feladatainak hiányos leírása. Az EDPB és az EDPS szerint nem derül ki a szabályozásból, hogy mi a szervezetek pontos célja, mi a specifikus szerepük a személyes adatok esetén a GDPR adatkezelő, illetve adatfeldolgozó fogalmainak tükrében, valamint, hogy a gyakorlatban mely szervezetek mely kategóriába esnek majd.
Ezt az új intézményi környezetet tekintve az EDPB és az EDPS vitatják az adatmegosztási szolgáltatásokat nyújtó szervezetekre és az adataltruista szervezetekre vonatkozó bejelentési és nyilvántartási eljárásokat. Az új előírások az EDPB és az EDPS szerint a gyakorlatban a szervezetek „átvilágítását” („vetting and screening”) jelentik (ez az átvilágítás garantálja a DGA szerint, hogy az adatkormányzás megbízható adatcserén alapuljon.) Az eljáró hatóságoknak azonban ehhez összesen egy hét áll rendelkezésére. A rövid határidő által ugyanakkor az eljáró hatóságok ellenőrzése lényegében egy illetékes hatóság általi igazolásra korlátozódik, ami egy alapvetően deklaratív értesítési rendszerhez vezet. A helyzetet bonyolítja, hogy egyelőre nem ismert, hogy mely hatóságok töltik majd be az eljáró hatóság szerepét: a DGA mindössze a kérdés tagállami hatáskörbe utalásáról rendelkezik, de azt teljes mértékben a tagállamokra bízza, hogy már létező hatóságot jelölnek ki erre a szerepre (pl. adatvédelmi hatóságot), vagy kifejezetten erre a célra új hatóságot hoznak létre.
Ezen felül az EDPB és az EDPS közös standardok bevezetését javasolja, amelyeket minden adatszolgáltatásban vagy adatmegosztási megállapodásban részt vevő szervezetnek be kell tartania. Ezen előírásoknak és szabványoknak az interoperabilitás feltételein túl vonatkozniuk kell a személyes adatok kezelése jogszerűségének biztosítására, valamint az érintettek jogai gyakorlásának megkönnyítésére vonatkozó feltételekre is. A közös állásfoglalás 143. paragrafusában szereplő javaslatból azonban nem derül ki, hogy milyen standardok betartásáról lenne szó (pl. ISO standardok, egyéb technikai vagy adatvédelmi standardok).
Új felügyeleti rendszer
A tervezet életre hív egy általános tanácsadási szerepkörrel rendelkező szakértői csoportot, az Európai Adatinnovációs Testületet, az Európai Bizottság munkájának támogatására. Az EDPB és az EDPS üdvözli az új testületet és a tényt, hogy az összes tagállam illetékes hatóságai mellett mind az EDPB, mind az EDPS szerepelnek a testület tagjai között.
A DGA által létrehozott többi, fent említett szervezet vonatkozásában az EDPB és az EDPS kétségüket fejezték ki az illetékes, fent felsorolt új szervezetek, valamint általában a DGA rendelkezéseinek ellenőrzésre és felügyeletre hatáskörrel rendelkező hatóságokkal kapcsolatban. A DGA maga nem rendelkezik arról, hogy már meglévő tagállami hatóságok hatáskörébe utalja ezeket, vagy a tagállami adatvédelmi hatóságok szerepköre bővül majd. Az adatvédelmi hatóság és biztos határozottan a tagállami adatvédelmi hatóságok hatáskörrel rendelkező felügyelő hatóságként történő kinevezéséért érvelnek a DGA rendelkezései betartásának nyomon követése és felügyelete érdekében.
Következő lépések
Amint a közös állásfoglalásból is kiderül, a Bizottság által közzétett rendelettervezettel kapcsolatban számos megválaszolatlan kérdés merül fel, és az ezek által okozott kockázatok nem elfogadhatók az EU adatvédelmi felügyeleti hatóságai számára. A tervezetet a megjelenése óta az EDPB-n és az EDPS-en kívül több tagállam, például a német szövetségi kormányzat is hasonló kritikával illette.
A tervezet jövőjét tekintve valószínű, hogy az EDPB és az EDPS által megfogalmazott közös állásfoglalás az Európai Bizottság kezdeményezésére formális konzultációs eljárássá alakul. Ennek eredményét, valamint a 2021. február 8-án lezárult nyilvános konzultációs eljárás keretében beérkezett válaszokat a Bizottság figyelembe veszi a tervezet további tárgyalásakor. Kövessék a DGA tervezet szövegváltozatait adatvédelmi blogunkban.