keresés

2023. április 11., kedd

Az EU-s lobbizás Pandóra szelencéje: a GDPR

Fotók forrása: Guillaume Périgois (Unsplash)
és Pete Linforth (Pixabay)
A 2016-os GDPR rendelet az Európai Unió történetében az egyik legjelentősebb és leglobbizottabb rendelete, amely az uniós polgárok személyes adatainak védelmét szolgálja. A 2012-ben benyújtott javaslat négyéves átfutása nem is annyira hosszú idő, viszont eredményeképpen jelentősen megnőtt a globális tech-cégek lobbiereje. Az Európai Bizottság idén februárban nyújtott be egy újabb javaslati igényt a szabályok további részletezésére és pontosítására, ami várhatóan megint felizzítja a lobbitevékenységeket Brüsszelben. A különbség most az, hogy az Unió különböző országainak végrehajtó szervei már egy 7 éves tapasztalattal állnak be ebbe a folyamatba, és a nem-kormányzati szervezetek (NGO) sokasága is felkészültebb.

A GDPR határokon átívelő problémái

Az Európai Adatvédelmi Testület (EDPB) a rendelet megszületésétől kezdve gyűjti a tagállamok információit, tapasztalatait a rendelet végrehajtásáról és annak problémáiról. Mint minden jogszabály, ez is különböző értelmezési problémákba ütközik a gyakorlatban, és 27 tagállam különböző szintű szervei szerteágazóan kezdték el értelmezni a GDPR-t. Az EU-s jogrendszerben a rendeletek egységesen alkalmazandóak, nem kerülnek átültetésre a nemzeti jogba, viszont minden tagállamnak joga van szűkebb szabályozást létrehozni a GDPR-on felül. Emellett a GDPR betartatása is mindig a tagállam szerveinek a felelőssége, és ezek a végrehajtó szervek sok esetben elég különböző rálátással bírnak a kérdésre.

Az EDPB 2023. január 18-án publikálta a jelentését ami alapján a Bizottság újranyitotta a kérdést. A GDPR kritikái három csoportba sorolhatók, strukturális, irányítási és adminisztratív területen.

Kereszttűzben az ír hatóság

A GDPR esetében létezik egy "one-stop-shop" alapelv, ami szerint egy céget annak a tagállamnak az adatvédelmi testülete ellenőriz, ahol a cég fő székhelye van az Unión belül. Ez a strukturális sajátosság a gyakorlatban azt eredményezi, hogy a nagyobb tech-cégeknek, mint a Meta, Alphabet és az Apple, az ír hatóságnak és az ír szabályoknak kell megfelelniük (az Amazon székhelye Luxembourgban van). Tagállamok közötti frusztráció akkor alakulhat ki, amikor egy tagállam, amely erősebben védi az állampolgárai jogát akadályba ütközik az ír hatóságoknál, a "laza" alkalmazás miatt és "súlytalan" büntetések kiszabása miatt.

A Bizottság jelenlegi célja 2023 második negyedében, hogy letisztázott kereteket adjon a határokon átnyúló nyomozások és kihágások kezelésére, elsősorban nem a tényleges adatvédelmi szabályok változtatásával, hanem procedurális és jogharmonizációs eszközökkel. A limitált változtatási hajlam több szereplő felől ered.

A spektrum két végén az NGO-k és a tech-cégek vannak, akik megpróbálják vagy erősíteni vagy gyengíteni a GDPR hatását. E két csoport között helyezkednek el a nemzeti adatvédelmi hatóságok és az EDPB. Ez utóbbi nem egy ellenőrző szerv a nemzeti hatóságok felett, de a szerződésekből adódóan mégis az EU azon szerve, aki a GDPR betartásáért felelős, javaslatokat tehet a nemzeti adatvédelmi központok felé. A nemzeti hatóságok ezen felül egymás munkáját is ellenőrzik, kifejezetten az ír hatóságokét: az ír hatóság 2022-es, a Facebook elleni nyomozásában például az osztrák hatóság nyújtott be panaszt, az Instagram esetén a belga hatóság. Mindkettejük a kiszabott büntetések megemeléséért érveltek. Mivel nem jött létre konszenzus, az EDPB döntött a panaszok elbírálásában. Sok esetben az ír hatóság javára döntött, viszont egy új, mélyebb nyomozást rendelt el az ír hatóságtól, amely szerint ez már az EDPB jogkörének túllépése.

Ebből a két példából is látható a helyzet komplexitása, viszont a szabályok betartatásában még több szereplő is feltűnik a GDPR kapcsán. Az Európai Parlament 2021-ben kötelezettségszegési eljárásért folyamodott az ír hatóságokkal szemben, míg ugyanabban az évben egy ír civil szervezet a Bizottságot panaszolta be az Európai Ombudsmannál, hogy nem ellenőrzi az ír hatóságok munkáját elég alaposan.

A GDPR ügyek megsokszorozódása

Az EDPB szerepe központi amikor az adatvédelmi kihágás határokon átívelő. Viszont a saját becslésük szerint az ügyek 95%-a lokális, kisebb jellegű. Irányítási szempontból a nemzeti hatóságok végzik a legtöbb munkát, és eleinte nem is volt sok egyeztetés közöttük. Különböző tagállami konferenciák és szakmai egyeztetések már gyakoribbak, de az EDPB sokszor túl későn és túl gyengén szól bele az ügyekbe. A tagállamok viszont egy 2021-es EU Bírósági vélemény alapján külön-külön is indíthatnak eljárásokat a cégekkel szemben. A vélemény kimondja, hogy amíg a cég telephelye szerinti hatóságnak "általános" jogköre van, nem mondható ki, hogy az a hatóság az egyetlen ellenőrző szerv a GDPR kapcsán.

A reform igénye pont emiatt is időszerű; megsokszorozódott a bírósági ügyek száma, egyre nagyobb büntetések és egyre látványosabb perek bontakoznak ki. És a nemzeti hatóságok sokszor felülírják az EDPB ajánlásait és egymás véleményét is. Az EDPB közbejárásait a nemzeti hatóságok sokszor kéretlen beavatkozásnak tekintik, a disputarendezést a rendszer hiányosságának róják fel, viszont az EDPB szerint ez pontosan a rendszer erősségét mutatja meg, a konzisztens és kooperatív irányítás alapkövének tekinti. Az EDPB szerint a status quo fenntarthatatlan hosszútávra nézve, és a reformoknak – a megsokszorozódó bírósági ügyek miatt is – a mélyebb és gyakoribb egyeztetést, a közösségi hatóság gyorsabb becsatlakozását kéne megkönnyíteniük, az irányítási különbségek és akadályok.

A jogharmonizációs törekvések

Az irányítási megoldások viszont nem elegek a procedurális ellentmondások rendezésére. Ehhez konkrétabb procedurális és adminisztratív változtatásokra lenne szükség, ami a tagállamok számára nem a legkedvezőbb. A GDPR tekintetében a legkritikusabb szakadékokat a teljesen a tagállami szinten rendezett procedurális szabályok okozzák. Különbözően határozzák meg a nemzeti törvények, hogy kik, milyen jogon és hogyan nyújthatnak be keresetet a nemzeti adatvédelmi hatóságnál vagy a nemzeti bíróságokon. Más értelmezése van az utolsó fellebbezés jogának, a behívható civil szervezetek típusai különbözőek lehetnek. Így korántsem elhanyagolható a fent leírt one-stop-shop probléma, és a bírósági vélemény általi kiszélesedése az ügyeknek.

A Bizottság szerint a legegyszerűbb módja ennek feloldására az lenne, ha a nemzeti adatvédelmi hatóságok figyelmen kívül hagynák a nemzeti jog azon részét, ami akadályozza – a nemzeti jogot amúgy is megelőző – GDPR rendelet alkalmazását. Viszont így összetűzésbe kerülnének a nemzeti adatvédelmi hatóságok a nemzeti bíróságokkal. A bírósági úton való bővülése a rendeletnek akár 10–20 évet is felölelhet, amíg a technikai fejlődés, például az AI terén, sok esetben új határokat feszeget az adatvédelemmel kapcsolatban.

Nem mellesleg a nemzeti jog sokkal pontosabb és részletesebb szabályokkal rendelkezik, mint a GDPR. A procedurális és adminisztratív jogharmonizáció pedig nem a bíróságok feladata, hanem a Bizottságé. A jóhiszeműség elve szerint az egyeztetések gyakorításával, mintsem kötelezettségszegési eljárásokkal.

A GDPR reformjának három iránya

A Bizottság jelenlegi egyeztetésének három kimenetele lehet. Egyrészt maradhat teljese egészében a status quo. A one-stop-shop rendszer 2016 óta sok változáson és finomuláson esett keresztül, minden résztvevő felkészültebb: a nemzeti hatóságok többet egyeztetnek, a tech-cégek lassan hozzászoktak az adatvédelmi feltételek alapvetőlegességéhez és a civil szervezetek is ügyesebben perelnek be cégeket. Az előbb említett lassabb, bírósági térnyerés is megoldás, ha nem a legoptimálisabb.

A második megoldás egy nagyobb forradalmi egyeztetés, amit a Bizottság nagyobb eséllyel akar elkerülni. Az EDPB jogköreinek szélesítése, a centralizálás veszélyeket is vonzzhat magával, és átteheti az ellenőrzési hangsúly a lokális ügyekről a határokon átívelő ügyekre, annak ellenére, hogy az utóbbiak száma elenyésző.

A harmadik megoldás a célzott reformtörekvés, ami az EDPB eszköztárának megerősítését a jelenlegi jogszabályi környezetben hozná, miközben nagyobb súlyt és elvárásokat is kivetne a nemzeti hatóságokra.

A sütik kezelése és az ePrivacy reformja

A GDPR mellett az ePrivacy irányelv is befolyásolja a felhasználók adatainak védelmét, viszont amíg a GDPR az adatok felhasználásáról és tárolásáról szól, addig az ePrivacy irányelv a sütik elhelyezéséről és a beleegyező nyilatkozatokról szól. Itt már cizelláltabb is a jogi háttér, mivel az EU-s irányelveket a tagállamoknak át kell ültetniük a saját joganyagukba, és sokszor elég nagy mozgási teret hagy nekik a közösségi jog. A one-stop-shop elv itt nem érvényesül, így elméletben egy cégnek minden tagállamban a tagállami feltételeknek megfelelően kell felépíteni a sütik rendszerét. Ezt sokszor erre szakosodott cégeknek szokták kiszervezni az oldalak (mint például a OneTrust, a ConsentManager vagy a CookieYes), mivel a süti szabályok akár annyira különbözőek lehetnek, mint az adózási szabályok.

Bár az Az EDPB javaslata az ePrivacy irányelv betartásáról is sok hiányosságot állapított meg. A leggyakoribb hibák közé tartozik:

  • a "minden elutasítása" gomb hiánya a kezdő felületen, elrejtve további rétegek mögé, ún. "sötét utak" használata, ami több átláthatatlan menüben rejti el a beállításokat;
  • az összes jelölőnégyzet automatikus bepipálása, annak ellenére, hogy a beleegyezésnek aktívnak kell lennie;
  • a gombok és a linkek megtévesztő használata, a színekkel való trükközés, a nem logikus elhelyezés, minden olyan dizájn, ami alapján nem egyértelmű, hogy mibe egyezik bele a felhasználó;
  • a jogszabályi keretek összekevesére: az ePrivacy irányelv szerint minden olyan sütihez, amely nem szükséges a weblap működéséhez, beleegyezés szükséges, még akkor is ha nem használ hozzá személyes adatokat, amíg a személyes adatok felhasználása mindenképpen a GDPR rendelet szerint kell hogy történjen a one-stop-shop elv alapján;
  • a "jogos érdek" és az "elengedhetetlen" sütik rossz vagy megtévesztő besorolása;
  • a beleegyezés visszavonásának nehezítése, elrejtése.

A legtöbb ilyen hibánál nincs egységes szabályozás, viszont a cégeknek muszáj jóhiszeműen eljárnia, és szükséges az egyéni elbírálás is az ellenőrző hatóságok felől, akik a GDPR-hoz hasonlóan, a legtöbb esetben a nemzeti hatóságok.

Az ePrivacy irányelv 2002-ben került elfogadásra, és legutolsó lényeges módosítása 2009-ben történt. A Bizottság már korábban elindította ennek a jogszabálynak a felülvizsgálására tett javaslatát, ami lecserélné az ePrivacy irányelvet egy ePrivacy rendelettel. Ez a lépés jogilag is egységbe hozná a GDPR-ral, és elősegíteni az egész Unióban a sütik közös használatát, a belső piacnak is kedvezve. Sajnos a jogszabály 2017 óta a Tanácsban ragadt, 2021 óta nincs a jogszabály elfogadásának ütemterve nem változott.


Főforrások:

Clothilde Goujard. 2023. ‘Brussels Sets Out to Fix the GDPR’. Politico, 20 February 2023.
Kelly Hagedorn, Yumiko Olsen, Dr. Christian Schröder, and Tobias Stephan. 2023. ‘5 Things You Need to Know About the EDPB’s Cookie Report’. JD Supra, 24 January 2023, sec. Legal News.

Nincsenek megjegyzések:

Megjegyzés küldése