 |
| Kép forrása: natanaelginting (Freepik) |
Az európai általános adatvédelmi rendelet (GDPR) idén május 25-én tölti be az ötödik évét, és kifejezetten vadregényes az uniós szabályozások sokaságához képest. Az európai intézményrendszerről azt érdemes tudni, hogy akkor is folytatják a tárgyalásokat, amikor már megvan az elfogadáshoz szükséges többség az egyes testületekben, annak érdekében, hogy minél nagyobb elfogadása és legitimációja legyen az EU-s szabályozásnak. A GDPR ebből adódóan és a komplexitása miatt is egy félig-meddig befejezetlen rendelet, ami egyszerre fejt ki egy 1,6 milliárd eurós hatást a piacra, miközben sokszor elégtelenül védi az európai állampolgárok személyes adatait. Ez az öt év egyben megmutatja a döntéshozatali rendszer gyűröttségét és rugalmasságát is. A GDPR kinőtte magát egy láthatatlan sakktáblává, ahol a civilszféra, a techcégek és a kormányzati ellenőrzőszervek párhuzamosan egy olyan négyoldalú játékot játszanak az európai intézményrendszerrel, amelynek szabályai lépésenként változnak.
A GDPR szabályainak állandósulása nem lesz egy könnyű út, és kétséges, hogy a következő 5 évben megvalósul egy olyanfajta harmonizáció, ami a lent kifejtett problémák mindegyikét megoldja. Egyrészt az általánosság értelmében mindig lesznek benne mozgó és sokszor újraértelmezendő passzusok, másrészt a technológiai fejlődés, az AI megjelenése és az egyre inkább bonyolódó nemzetközi jogi helyzet bármely jogszabályegyüttes számára nehézségeket szül. A megfelelési kényszer a cégek számára a transzparencia, a folyamatos tréning és a bizalom fenntartása területein kristályosodik ki. A GDPR továbbá az EU egy olyan eszköze, amely gyökeresen megváltoztatja más országok viselkedését is és egy fokozatosan összefonódó rendszert épít ki. Míg egyes országok éppen ez ellen küzdene (Egyesült Királyság), addig más országok megpróbálnak az uniós szabályozáshoz hasonló törvényeket alkotni (Egyesült Államok, India).
A változó szabályok sűrűsége
Az EU-s lobbizás Pandóra szelencéje: a GDPR
 |
| Fotók forrása: Guillaume Périgois (Unsplash) és Pete Linforth (Pixabay) |
A GDPR határokon átívelő problémái
Az Európai Adatvédelmi Testület (EDPB) a rendelet megszületésétől kezdve gyűjti a tagállamok információit, tapasztalatait a rendelet végrehajtásáról és annak problémáiról. Mint minden jogszabály, ez is különböző értelmezési problémákba ütközik a gyakorlatban, és 27 tagállam különböző szintű szervei szerteágazóan kezdték el értelmezni a GDPR-t. Az EU-s jogrendszerben a rendeletek egységesen alkalmazandóak, nem kerülnek átültetésre a nemzeti jogba, viszont minden tagállamnak joga van szűkebb szabályozást létrehozni a GDPR-on felül. Emellett a GDPR betartatása is mindig a tagállam szerveinek a felelőssége, és ezek a végrehajtó szervek sok esetben elég különböző rálátással bírnak a kérdésre.
Az EDPB 2023. január 18-án publikálta a jelentését ami alapján a Bizottság újranyitotta a kérdést. A GDPR kritikái három csoportba sorolhatók strukturális, irányítási és adminisztratív területen.
Kereszttűzben az ír hatóság
A GDPR esetében létezik egy "one-stop-shop" alapelv, ami szerint egy céget annak a tagállamnak az adatvédelmi testülete ellenőriz, ahol a cég fő székhelye van az Unión belül. Ez a strukturális sajátosság a gyakorlatban azt eredményezi, hogy a nagyobb tech-cégeknek, mint a Meta, Alphabet és az Apple, az ír hatóságnak és az ír szabályoknak kell megfelelniük (az Amazon székhelye Luxembourgban van). Tagállamok közötti frusztráció akkor alakulhat ki, amikor egy tagállam, amely erősebben védi az állampolgárai jogát akadályba ütközik az ír hatóságoknál, a "laza" alkalmazás miatt és "súlytalan" büntetések kiszabása miatt.
A Bizottság jelenlegi célja 2023 második negyedében, hogy letisztázott kereteket adjon a határokon átnyúló nyomozások és kihágások kezelésére, elsősorban nem a tényleges adatvédelmi szabályok változtatásával, hanem procedurális és jogharmonizációs eszközökkel. A limitált változtatási hajlam több szereplő felől ered.
A spektrum két végén az NGO-k és a tech-cégek vannak, akik megpróbálják vagy erősíteni vagy gyengíteni a GDPR hatását. E két csoport között helyezkednek el a nemzeti adatvédelmi hatóságok és az EDPB. Ez utóbbi nem egy ellenőrző szerv a nemzeti hatóságok felett, de a szerződésekből adódóan mégis az EU azon szerve, aki a GDPR betartásáért felelős, javaslatokat tehet a nemzeti adatvédelmi központok felé. A nemzeti hatóságok ezen felül egymás munkáját is ellenőrzik, kifejezetten az ír hatóságokét: az ír hatóság 2022-es, a Facebook elleni nyomozásában például az osztrák hatóság nyújtott be panaszt, az Instagram esetén a belga hatóság. Mindkettejük a kiszabott büntetések megemeléséért érveltek. Mivel nem jött létre konszenzus, az EDPB döntött a panaszok elbírálásában. Sok esetben az ír hatóság javára döntött, viszont egy új, mélyebb nyomozást rendelt el az ír hatóságtól, amely szerint ez már az EDPB jogkörének túllépése.
Ebből a két példából is látható a helyzet komplexitása, viszont a szabályok betartatásában még több szereplő is feltűnik a GDPR kapcsán. Az Európai Parlament 2021-ben kötelezettségszegési eljárásért folyamodott az ír hatóságokkal szemben, míg ugyanabban az évben egy ír civil szervezet a Bizottságot panaszolta be az Európai Ombudsmannál, hogy nem ellenőrzi az ír hatóságok munkáját elég alaposan.
A GDPR ügyek megsokszorozódása
Az EDPB szerepe központi amikor az adatvédelmi kihágás határokon átívelő. Viszont a saját becslésük szerint az ügyek 95%-a lokális, kisebb jellegű. Irányítási szempontból a nemzeti hatóságok végzik a legtöbb munkát, és eleinte nem is volt sok egyeztetés közöttük. Különböző tagállami konferenciák és szakmai egyeztetések már gyakoribbak, de az EDPB sokszor túl későn és túl gyengén szól bele az ügyekbe. A tagállamok viszont egy 2021-es EU Bírósági vélemény alapján külön-külön is indíthatnak eljárásokat a cégekkel szemben. A vélemény kimondja, hogy amíg a cég telephelye szerinti hatóságnak "általános" jogköre van, nem mondható ki, hogy az a hatóság az egyetlen ellenőrző szerv a GDPR kapcsán.
A reform igénye pont emiatt is időszerű; megsokszorozódott a bírósági ügyek száma, egyre nagyobb büntetések és egyre látványosabb perek bontakoznak ki. És a nemzeti hatóságok sokszor felülírják az EDPB ajánlásait és egymás véleményét is. Az EDPB közbejárásait a nemzeti hatóságok sokszor kéretlen beavatkozásnak tekintik, a disputarendezést a rendszer hiányosságának róják fel, viszont az EDPB szerint ez pontosan a rendszer erősségét mutatja meg, a konzisztens és kooperatív irányítás alapkövének tekinti. Az EDPB szerint a status quo fenntarthatatlan hosszútávra nézve, és a reformoknak – a megsokszorozódó bírósági ügyek miatt is – a mélyebb és gyakoribb egyeztetést, a közösségi hatóság gyorsabb becsatlakozását kéne megkönnyíteniük, az irányítási különbségek és akadályok.
A jogharmonizációs törekvések
Az irányítási megoldások viszont nem elegek a procedurális ellentmondások rendezésére. Ehhez konkrétabb procedurális és adminisztratív változtatásokra lenne szükség, ami a tagállamok számára nem a legkedvezőbb. A GDPR tekintetében a legkritikusabb szakadékokat a teljesen a tagállami szinten rendezett procedurális szabályok okozzák. Különbözően határozzák meg a nemzeti törvények, hogy kik, milyen jogon és hogyan nyújthatnak be keresetet a nemzeti adatvédelmi hatóságnál vagy a nemzeti bíróságokon. Más értelmezése van az utolsó fellebbezés jogának, a behívható civil szervezetek típusai különbözőek lehetnek. Így korántsem elhanyagolható a fent leírt one-stop-shop probléma, és a bírósági vélemény általi kiszélesedése az ügyeknek.
A Bizottság szerint a legegyszerűbb módja ennek feloldására az lenne, ha a nemzeti adatvédelmi hatóságok figyelmen kívül hagynák a nemzeti jog azon részét, ami akadályozza – a nemzeti jogot amúgy is megelőző – GDPR rendelet alkalmazását. Viszont így összetűzésbe kerülnének a nemzeti adatvédelmi hatóságok a nemzeti bíróságokkal. A bírósági úton való bővülése a rendeletnek akár 10–20 évet is felölelhet, amíg a technikai fejlődés, például az AI terén, sok esetben új határokat feszeget az adatvédelemmel kapcsolatban.
Nem mellesleg a nemzeti jog sokkal pontosabb és részletesebb szabályokkal rendelkezik, mint a GDPR. A procedurális és adminisztratív jogharmonizáció pedig nem a bíróságok feladata, hanem a Bizottságé. A jóhiszeműség elve szerint az egyeztetések gyakorításával, mintsem kötelezettségszegési eljárásokkal.
A GDPR reformjának három iránya
A Bizottság jelenlegi egyeztetésének három kimenetele lehet. Egyrészt maradhat teljese egészében a status quo. A one-stop-shop rendszer 2016 óta sok változáson és finomuláson esett keresztül, minden résztvevő felkészültebb: a nemzeti hatóságok többet egyeztetnek, a tech-cégek lassan hozzászoktak az adatvédelmi feltételek alapvetőlegességéhez és a civil szervezetek is ügyesebben perelnek be cégeket. Az előbb említett lassabb, bírósági térnyerés is megoldás, ha nem a legoptimálisabb.
A második megoldás egy nagyobb forradalmi egyeztetés, amit a Bizottság nagyobb eséllyel akar elkerülni. Az EDPB jogköreinek szélesítése, a centralizálás veszélyeket is vonzhat magával, és átteheti az ellenőrzési hangsúly a lokális ügyekről a határokon átívelő ügyekre, annak ellenére, hogy az utóbbiak száma elenyésző.
A harmadik megoldás a célzott reformtörekvés, ami az EDPB eszköztárának megerősítését a jelenlegi jogszabályi környezetben hozná, miközben nagyobb súlyt és elvárásokat is kivetne a nemzeti hatóságokra.
A sütik kezelése és az ePrivacy reformja
A GDPR mellett az ePrivacy irányelv is befolyásolja a felhasználók adatainak védelmét, viszont amíg a GDPR az adatok felhasználásáról és tárolásáról szól, addig az ePrivacy irányelv a sütik elhelyezéséről és a beleegyező nyilatkozatokról szól. Itt már cizelláltabb is a jogi háttér, mivel az EU-s irányelveket a tagállamoknak át kell ültetniük a saját joganyagukba, és sokszor elég nagy mozgási teret hagy nekik a közösségi jog. A one-stop-shop elv itt nem érvényesül, így elméletben egy cégnek minden tagállamban a tagállami feltételeknek megfelelően kell felépíteni a sütik rendszerét. Ezt sokszor erre szakosodott cégeknek szokták kiszervezni az oldalak (mint például a OneTrust, a ConsentManager vagy a CookieYes), mivel a süti szabályok akár annyira különbözőek lehetnek, mint az adózási szabályok.
Bár az Az EDPB javaslata az ePrivacy irányelv betartásáról is sok hiányosságot állapított meg. A leggyakoribb hibák közé tartozik:
- a "minden elutasítása" gomb hiánya a kezdő felületen, elrejtve további rétegek mögé, ún. "sötét utak" használata, ami több átláthatatlan menüben rejti el a beállításokat;
- az összes jelölőnégyzet automatikus bepipálása, annak ellenére, hogy a beleegyezésnek aktívnak kell lennie;
- a gombok és a linkek megtévesztő használata, a színekkel való trükközés, a nem logikus elhelyezés, minden olyan dizájn, ami alapján nem egyértelmű, hogy mibe egyezik bele a felhasználó;
- a jogszabályi keretek összekevesére: az ePrivacy irányelv szerint minden olyan sütihez, amely nem szükséges a weblap működéséhez, beleegyezés szükséges, még akkor is ha nem használ hozzá személyes adatokat, amíg a személyes adatok felhasználása mindenképpen a GDPR rendelet szerint kell hogy történjen a one-stop-shop elv alapján;
- a "jogos érdek" és az "elengedhetetlen" sütik rossz vagy megtévesztő besorolása;
- a beleegyezés visszavonásának nehezítése, elrejtése.
A legtöbb ilyen hibánál nincs egységes szabályozás, viszont a cégeknek muszáj jóhiszeműen eljárnia, és szükséges az egyéni elbírálás is az ellenőrző hatóságok felől, akik a GDPR-hoz hasonlóan, a legtöbb esetben a nemzeti hatóságok.
Az ePrivacy irányelv 2002-ben került elfogadásra, és legutolsó lényeges módosítása 2009-ben történt. A Bizottság már korábban elindította ennek a jogszabálynak a felülvizsgálására tett javaslatát, ami lecserélné az ePrivacy irányelvet egy ePrivacy rendelettel. Ez a lépés jogilag is egységbe hozná a GDPR-ral, és elősegíteni az egész Unióban a sütik közös használatát, a belső piacnak is kedvezve. Sajnos a jogszabály 2017 óta a Tanácsban ragadt, 2021 óta nincs a jogszabály elfogadásának ütemterve nem változott.
Ki a legrosszabb az adatvédelmi törvények betartásában?
 |
| Kép forrása: Freepik |
Az legnagyobb játékosok az adatvédelmi kihágásokban
A Meta a rengeteg bírság árnyékában
A fentebb taglalt transzatlanti adatátviteli egyezménytől függ a Meta Facebook és Instagram platformjaival kapcsolatban több bírság is, miután 2022-ben az ír adatvédelmi hatóság átmenetileg megtiltotta a Metának az európaiak adatainak átvitelét. Amíg a cég a hasonló eseteket megpróbálja elsimítani, az európai intézményrendszerben újabb és újabb aggodalmak merülnek fel az új adatvédelmi egyezmény tervezete körül. Több bírósági ügy közül a legutolsó végül 1,2 milliárd eurós (451 milliárd Ft) nagyságú lett, és ez már a harmadik bírság idén amit a cég kapott. Ez az ügy is lényegében az USA titkosszolgálati adatgyűjtésének és az EU-s adatvédelmi elvárások össztüzében szerepel. A bírság a GDPR történetének második legnagyobb bírságának helyét foglalta volna el, de így az első helyre ugrott. A bírság nem mellesleg csak a Facebook általi transzatlanti adatátvitelről szól, az Instagramért akár külön büntetést is kaphat még a cég.
Az eddigi második helyen is a Meta áll, még 2021-ben a WhatsApp által a GDPR sok pontjának megsértése miatt. A Meta platformjai közötti összefonódás miatt a felhasználók adatai a Facebook és az Instagram szolgáltatásaiban is felhasználásra kerültek, erről persze a cég nem értesítette a felhasználóit. Ezt súlyosbítja, hogy a két platform third-party cégei is hozzáférhettek ezekhez az adatokhoz, mintha a felhasználó elfogadta volna a Facebook és az Instagram továbbítási feltételeit is a WhatsApp használatával. A WhatsAppot gyerekek is gyakran használták, ezért ennek a tájékoztatásnak nemcsak, hogy meg kellett volna jelennie, de olyan egyértelműnek kellett volna lenniük, hogy egy kiskorú is megértse őket. Ezek a kihágások akkor 220 millió euróban (82 milliárd Ft) tornyosodtak ki az Amazon bírsága után.
További nagy bírságok
Az ír adatvédelmi hatóság határokon átívelő ügyeinek 87%-a a Meta, Google, Airbnb, Yahoo!, Twitter, Microsoft, Apple, és a Tinder cégekkel kapcsolatos. Ehhez még félelmetes adat, hogy az ír hatóság döntéseinek 75%-át (általában a súlyosbító irányban) felülírja az EDPB.
Emlékezhetünk a legnagyobb bírságra az Amazon kapcsán 2021-ben, 760 millió euró értékben (285 milliárd Ft). A cég székelye szerint a Luxemburgi Bíróság ítélte el, mert a felhasználók értesítése nélkül használta fel az adataikat kereskedelmi előrejelzésekhez, sőt anélkül, hogy bármiféle opt-out lehetőséget biztosított volna.
Sokszor a bírságok a cégek gondatlansága miatt kerülnek kiszabásra. A British Airways esetében a hanyag biztonsági intézkedések miatt került ki hekkerek kezébe félmillió állampolgár adata, beleértve belépési adatokat, foglalásokat, neveket, lakcímeket és nem mellesleg bankkártyaadatokat is. A bírság 211,7 millió euró (79 milliárd Ft) volt, ami mellett érdekes módon eltörpült a Marriot International 110,3 millió eurós bírsága (41 milliárd Ft), annak ellenére, hogy az adatlopás során 300 millió ügyfél személyes adatai kerültek ki, születési dátumok és útlevélszámok. Mindemellett a társaság 4 évig titkolta az incidenst, amire csak 2018-ban figyeltek fel az adatvédelmi hatóságok.
Az egyik érdekesebb ügy a holland adóhatóság feketelistája körül forgott. Az adóhatóság listát vezetett olyan emberekről, akik vagy elkövettek vagy gyanúsítottak voltak különféle adócsalásokban. Az érintettek elvesztették az adóvisszatérítéshez való jogukat, anélkül, hogy egy bíróság elítélte volna őket. A lista továbbá tele volt etnikai és rasszista elemekkel: a lengyel vezetéknevek vagy mecseteknek való adakozás megemelték a rizikófaktort. A legtöbb esettel ellentétben nem egy civil szervezet perelte be az adóhatóságot, hanem a saját országának adatvédelmi hivatala. A nem mindennap önellenőrzése az államnak 3,7 millió eurós (1,38 milliárd Ft) bírságot szabott ki az adóhatóságra, amit a saját államának kellett megfizetnie.
Elég sokszor fordul elő a sütikezelések kihágása miatti bírságolás is. A Google és a Facebook külön-külön 150 millió és 60 millió eurós bírságot kaptak a francia adatvédelmi hatóságtól 2022-ben, amiatt hogy a sütik elfogadásának egy kattintásával szemben, azok elutasításához sokkal több kattintást volt szükséges. A Google 2020 végén egy 100 millió eurós (37 milliárd Ft) bírságot kapott Írországtól ugyanezekért, ahogy a spanyol hatóság 30 ezer euróra büntette a Twittert, és az olasz hatóság 12 millióra a helyi Vodaphone-t.
A legújabb játékosok: az AI chatbotok
Eddig még különösebb bírságok nem érkeztek az LLM chatbotokat üzemeltető cégek ellen, de a GDPR-ra hivatkozva számos ország tett lépéseket ellenük, és az EDPB is felállított egy ChatGPT munkacsoportot. Az első mozzanat az volt, amikor az olasz adatvédelmi hatóság betiltotta az OpenAI GPT eszközeit 2023 márciusában. A jogsértés főleg arra irányult, hogy az OpenAI-nak nincs jogalapja az ekkora mértékű adatgyűjtésre, amit a modellei tanítására használ, és hogy az életkor-ellenőrzés is hiányos az oldalon. A felhasználóknak meg kell adni azt a lehetőséget is, hogy az ő adataikat ne használhassa fel a cég a modellet trainingjéhez. Ezt követte a Google Bard betiltása is az egész Unión belül, és az ír és német hatóságok is vizsgálódnak az ügyben.
Erre irányulóan nyújtott be egy abbahagyásra kötelező határozatot (cease and desist order) Alexander Hanff, egy privacy szakértő, az EDPB tagja, akit a ChatGPT "halottnak nyílvánított". A levelében elkérte az ő róla gyűjött összes személyes adatot, azok gyűjtésének minőségét, a jogi alapot a gyűjtésre, az adatok megtartásának időtartamára vonatkozó terveket
A GDPR öt főbb vonása miatt problematikus az ilyen AI chatbotok működése. Az adatgyűjtés esetében kérdéses, hogy milyen jogi alapja van a hatalmas webaratásszerű adatgyűjtésnek, és hogy mennyire van összhangban ez az "adatminimalizációs" elvárásokkal. Hanff szerint több milliárd adatpont ilyen formájú gyűjtése szerződésszegésekhez vezet az internet adott oldalain, ahol a third-party aratás korlátozva van, nem mellesleg a ChatGPT kereskedelmi mivoltából a fair use esete sem áll fenn. Az adatbiztonság érdekében nem tiszta, hogy az OpenAI milyen lépéseket tett az adatok anonimizálása és a szenzitív adatok adatmaszkolása érdekében. Az adatkezelési transzparencia és fairness sincs rendezve, ami alapján tudhatónak kéne lennie, milyen gondolatmenet által lettek a válaszok felépítve és azoknak van-e igazságtartama, választ adva az AI kapcsán a "feketedoboz" problémájára. Az adatkezelési pontosság és megbízhatóság értelmében az adatok tárolásának ideje, az adatok tárolásának pontos helyei is ismertnek kellene lenniük minden egyes állampolgár értelmében, nem mellesleg a törléshez és az elfeledtetéshez való jogot (right to be forgotten) is biztosítani kellene állampolgáronként. Végső soron nincs tisztázva a felelősség szerepe sem, hiszen a jelenlegi helyzetben úgy tűnik, hogy az adatvédelmi onus nem a cégeken, hanem a felhasználókon van.
Kompenzáció az adataink védelmének megsértéséért
Ezek a bírságok általában az adott ország költségvetésébe kerülnek, több esetben az adatvédelmi hivatal költségeit is direkt módon fedezik a tagállamok. Eddig kevés szó esett arról, hogy az állampolgárokat milyen kompenzáció illeti meg, ha visszaélnek személyes adataikkal. Az Európai Bíróság két ítéletet is hozott 2023. május 4-én: a C-300/21-es ítélet a kompenzációval kapcsolatban, a C-487/21 pedig a megszerezhető információkkal kapcsolatban, amikor egy személy a GDPR általi jogával élve elkéri a róla tárolt adatokat.
Az első ítélet értelmezésében nem jár automatikus sérelmi díj az állampolgároknak és a GDPR nem is ejt szót az állampolgárokat érő károk ilyen formájú rendezéséről, az a tagállami jogban keresendő. Viszont a Bíróság kimondta, hogy ezek a károk nem csak anyagi károk lehetnek, és nincs korlátozva a küszöbérték a károk megállapítására. Tehát egy európai állampolgár, ha a személyes adatait érő kihágás miatt frusztrált, aggódik vagy nyugtalan lesz, ez már alapján képezheti egy bírósági feljelentésnek.
A második ítélet kimondja, hogy a cégeknek a teljességre, teljes hitelességre és teljes értelmezhetőségre törekvően kell az adat alanyának szolgáltatnia a gyűjtött adatokat. Ez a korábbi években felmerülő algoritmikus menedzsmenttel szemben lép fel, mint például a botok általi felmondások olyan platformok esetén mint az Uber.
Önmagába fonódó globális ökoszisztéma
Soft power: a GDPR megjelenése az USA-ban
 |
| Fotó forrása: pressfoto (Freepik) |
Az EDPB nemrég véleményezte az Európai Bizottság javaslatát az EU és az USA közötti adattranszferekről. Az együttműködésnek két törvény a része: az USA oldalon Biden elnök már 2022 októberében adta ki a törvényerejű rendeletét, amely többek között korlátozza az USA-beli titkosszolgálatok és egyéb szervek számára az EU-s állampolgárok személyes adatihoz való hozzáférést. Az EDPB véleményezése, bár nem kötelező erejű, de előremozdíthatja az együttműködést a föderális szinttel. Mindemellett az amerikai tagállamok szintjén is elkezdtek terjedni a GDPR-hoz hasonló adatvédelmi felfogások.
A transz-atlanti adatvédelem korábban
A transzatlanti megállapodásra többek közt a felhőalapú szolgáltatások miatt van szükség, mint például a legtöbb szociális média vagy a reklámadatokkal kereskedő cégek. Ezeknél az adatcenterek redundanciája miatt a felhasználók adatai egyszerre sok párhuzamos adatcenterben tárolódnak. Így ha valamely adatcenter kiesik a szolgáltatásból, az zökkenésmentesen működhet tovább. A költséghatékonyság miatt viszont sok amerikai cég nem telepített centereket Európában. Az új keretrendszer és az EU bírósági ítéletek is egybevágnak a Bizottság azon törekvésével, hogy a Unió adatszuverenitást érjen el, azaz hogy az európaiak adatait mindenképp európai felhőszolgáltatók vagy adatcenterek tárolják. Ellenkező esetben a Bizottság az európai állampolgárok adatainak védelmét úgy akarja biztosítani, hogyha azok harmadik országokba kerülnek, legyen az az USA, a UK vagy Oroszország, ugyanolyan módon kezeljék őket, mintha a Unión belül lennének.
Safe Harbour és Privacy Shield
A mostani megállapodáshoz a két korábbi egyezmény sikertelensége vezetett. Az ún. adatpajzs egyezményt az Európai Bíróság 2020-ban érvénytelenítette a Schrems II ítéletben. Egyrészt arra hivatkozva, hogy az nem korlátozta megfelelő szinten az amerikai végrehajtó szerveket; másrészt pedig azért, mert az egyezmény nem biztosított elegendő jogorvoslati lehetőségeket az európai állampolgároknak, akiknek az adatai átkerülnének az USA-ba. Ez a két érv a GDPR V. fejezetével kapcsolatos, miszerint európaiak személyes adatait csak akkor lehet a Unión kívülre továbbítani ha a célországban a uniós szintnek megfelelő az adatvédelem.
Az adatpajzs elődje az ún. biztonságos kikötő egyezmény 2000-ben jött létre, bukását ugyanúgy Maximilian Schrems "okozta", aki az ír adatvédelmi hatóságnál perelte be a Facebook-ot az Edward Snowden/PRISM-botrány kitörése után. Habár kiderült, hogy az amerikai titkosszolgálatok több millió amerikai állampolgárt figyeltek meg illegálisan és nincs bizonyíték arra, hogy tömegesen figyeltek volna meg európai állampolgárokat, az európai intézmények és országok bizalma megingott az amerikaiak adatvédelmi struktúráiban. Az egyezményt az Európai Bíróság 2015-ben helyezte hatályon kívül a Schrems I ítéletben.
Az új transzatlanti adattovábbítási keretegyezmény
2018-ban jött létre a keretegyezmény, amely alapján 2022 októberében Biden elnök kiadta a törvényerejű rendeletét. A következő lépés az Európai Bizottságnál van, aki a GDPR 45-ös cikkelyének megfelelően fog törvényjavaslatot benyújtani az Európai Parlament és a Tanács felé. Az új egyezmény várhatóan tisztább alapokra helyezi a transzatlanti adatátviteleket. A mihamarabbi megszületése azért is érdekes, mert az ír adatvédelmi hatóság ennek hiányában akár el is lehetetlenítené többek közt a Meta, a Microsoft 365 és a Google Suite jelenlegi működését, mivel nem használhatnák a "sztenderd szerződéses kikötéseket" az adatátvitelekre. Mindeközben az amerikai kormány is elkezdte firtatni egyes európai országok adatvédelmi szokásait, mint például Magyarország, Lengyelország és Franciaország kevésbé elégséges jogorvoslati lehetőségeit az unión kívüli állampolgárok esetében.
Az EDPB vélemény és a lehetséges Schrems III ügy
Az EDPB többnyire pozitívan értékelte az USA-beli változtatásokat, és véleménye szerint az újabb egyezmény megfelelő védelemmel látják el az európaiak adatait. Viszont hangsúlyozta, hogy a jogorvoslati mechanizmust kiemelt figyelemmel kell majd végigkísérni, hiszen ahogy láttuk a GDPR alkalmazása még az Unió tagállamai között is egy ingoványos talaj. A Testület további javaslatokat tett az egyezmény részeinek pontosítására, például az egyszeri nagy mennyiségű adatszerzéssel, a kivételekkel, az automatikus döntéshozatallal kapcsolatban és a harmadik országokba való továbbításról (az egyezmény értelmében itt nem a Unión kívüli, hanem az EU-n és az USA-n kívüli országokat kell érteni). Ami a Testület szerint még hiányzik az USA oldalon: a tömeges gyűjtésekhez nem kell előre jóváhagyni, nincs bírósági vagy hasonló testület, amely szisztematikusan és függetlenül vizsgálná meg a lezajlott adatcseréket, így megállapítva az egyezmény hosszútávú működését.
Max Schrems kijelentette, hogy a mostani megállapodást is meg fogja támadni az Európai Bizottság következő lépései alapján. Többek közt azt kritizálta, hogy az új egyezményben szereplő Felülvizsgálati Bizottság a végrehajtó hatalom alá tagozódik az USA-ban és nem a független bírói ághoz. Ez, szerinte, nem tér el szignifikánsan az adatvédelmi pajzsban leírt ombudsman szerepétől, amit korábban az Európai Bíróság is kifogásolt. Kritizálta, hogy az rendelet alapján továbbra is lehetséges a tömeges adatgyűjtés, ahol az "szükséges" és "arányos", viszont ezek a jelzők nincsenek definiálva se az USA oldalon, se az EU-s tervezetekben. Ami még kihívóbb szerinte, hogy az amerikai vállalatokat nem kötelezi az egyezmény a GDPR betartására, és így nem szükséges nekik az európai felhasználók beleegyezését kérniük az adatkezelésre.
Szemléletváltás az USA tagállamaiban
Ez az egyezmény is szemlélteti az EU soft powerjét, a nemzetközi tanulmányokban ún. Brüsszel-effektust, ami szerint a piacának nagysága miatt az Unió képes kiexportálni az értékeit, szabványait és sztenderdjeit más országokba, a jelenlegi példában a személyes adatok védelmével kapcsolatban.
Az USA-beli adatvédelmi felfogás nagyon sokáig a "kármegelőzés" elvét követi, az európai "felhasználói jogok" alapján felépülő elgondolással szemben. A kármegelőzéses megoldás általánosságban engedi, hogy a cégek és intézmények beleegyezés-kérés nélkül gyűjtsenek személyes adatokat a felhasználóikról, és csak azokat az eseteket szabályozza, amelyekben valamely bírósági ügy kapcsán vagy hasonló felismerések alapján kiderült, hogy kárt okoz a felhasználóknak. Ez ahhoz vezetett, hogy az amerikai adatvédelmi törvények többnyire csak egy-egy területre koncentrálódtak (ilyen például a HIPAA a betegek és az egészségügyi biztosítással kapcsolatos adatok védelméről, vagy a COPPA a gyerekek online adatainak védelméről).
Viszont a 2020 óta életbe lépett California Consumer Privacy Act (CCPA) a GDPR-hoz hasonló elveken alapszik. Habár CCPA főleg a fogyasztókról és cégekről szól, nem az állampolgárok és az adatkezelők egészéről, és kisebb hatóköre van mint a GDPR-nak, mégis hasonló általános jogokat biztosít (a tájékoztatáshoz való jog, a hozzáféréshez való jog, az adatkezelés korlátozásához való jog, az adathordozhatósághoz való jog és a törléshez való jog mind megtalálható a CCPA-ban), bevezette a hozzájárulás és a jogos érdekek intézményét, és jogorvoslati lehetőségeket is biztosít az adatvédelmi szerződések kötelezővé tevésével.
A CCPA által megihletve Colorado, Connecticut, Utah és Virginia is tervez hasonló törvényeket hozni 2023-ban, California pedig tovább erősítette a CCPA-t egy új tagállami testület létrehozásával (hasonlóan a uniós nemzeti adatvédelmi hatóságokhoz). Bár ez az öt szabályozás különböző módon épül fel, az USA-beli onlinemagánélet-szemlélet gyökeres megváltozásának jeleit mutatják. Elképzelhető, hogy később föderálisan is életbe lépnek majd törvények a felhasználók vagy fogyasztók általánosabb, jogalapú adatvédelmére. Akár pontosan azért is, amit az európai jogharmonizáció is kierőszakolt: az eltérő szabályozások túl nagy megfelelési költséget rónak a vállalatokra.
Válófélben a GDPR-tól
A különbségek
Az adatvédelmi jogok általános gyengülése
A DPDI sok hasonlóságot megtart a GDPR-ral szemben, viszont a célja mindenképp a vállalatok felé elmozdítani a személyes adatok védelmének és a szabad adatgyűjtés egyensúlyát. Sok egyéb változtatást is hoz, ami a GDPR-ban az EU bürokratikus jellegéből nem tisztult még le, továbbá merően egyszerűsíteni akarja az egész sütikezelést, például a papírmunka lecsökkentésével és az automatikus döntések újraszabályozásával.
A javaslat többek közt kibővíti az anonim adatok körét, ami kedvez a vállalatoknak a kivételek megnövelésével, eltörli a jogosérdek-vizsgáló teszteket, bővíti a kivételeket a felugró ablakok esetén, kibővíti a direkt marketing lehetőségeit ahol nem kell a felhasználó beleegyezését kérni, a belügyminiszternek megadja a jogot, hogy személyesen döntsön bizonyos adattovábbításokról harmadik országok felé (az EGT területén kívülre). A javaslat bővíti azoknak a cégeknek a körét, ahol nem kell adatvédelmi biztost alkalmazni. Némely esetben az EU-s szabályozásnál szigorúbb feltételeket is, bejelentési kötelezettségekkel, ha egy szolgáltató jogtalan direkt marketinget észlel, és növeli a büntetések mértékét is.
E rövid lista alapján is tisztán látható, hogy a javaslat a vállalatoknak kedvez, könnyebbé téve az adatgyűjtést minden téren. Így a vállalatoknak egyszerűbb lesz új technológiákat és AI rendszereket is fejleszteniük. A felhasználók szempontjából a kevesebb felugró ablak csökkenti az ún. hozzájárulási kimerültséget, ami miatt a felhasználók inkább beleegyeznek az összes sütibe, minthogy ténylegesen védenék a személyes adataikat. A javaslat átrendezi az adatvédelmi hatóságok szerepét (ICO) is. Amire több civil szervezet is felhívta a figyelmet, hogy ez kevésbé független a kormánytól, mint az előző, EU-általi felállás.
Az EU aggályai
Az EU már 2021-ben figyelmeztette az Egyesült Királyságot, hogy ne hagyjon fel a GDPR-hoz való alkalmazkodással, mivel az a kereskedelem zökkenőmentes működéséhez szükséges, és nem mellesleg a bűnüldözési együttműködésnek is az egyik alappillére. Az erősen Brexit-párti konzervatívok számára viszont a GDPR csak még egy nem működő rendszer amit a Királyságnak hátra kellene hagynia, úgy gondolva, hogy az EU túl bürokratikus szabályozása miatt ellehetetleníti majd, hogy bárkivel is kereskedjen. Mindenesetre félő, hogy a Királyság elveszti az "adekvált" státuszt a GDPR értelmében.
Továbbá az Egyesült Királyság nagyobb fokú együttműködést is tervez Ausztráliával és az Egyesült Államokkal, mind katonai, mind nemzetbiztonsági téren. Ez mindenképpen adattovábbítási műveletekkel fog járni, amit a Sunak kormány megpróbál akadálymentesebbé tenni. Ha tovább lazulnának a személyes adatvédelmi irányelvek a Királyságban, felmerül annak a veszélye, hogy az EU nem tekintené az Egyesült Királyságot a belső piaccal megegyező védelmet nyújtó országok közé, és ez csökkentené a cégek lehetőségeit. Előfordulhat az is viszont, hogy a legtöbb cég, amely az EU-ban is szeretne kereskedni, az új brit szabályozás ellenére is a GDPR szintjén tartaná az adatvédelmi szabályait, hogy hozzáférjenek a belső piachoz.
Nincsenek megjegyzések:
Megjegyzés küldése