2013. december 05.

Adat(túl)védelem?

Javában zajlik az uniós adatvédelmi szabályozás átalakítása. Hamarosan újabb fontos döntés várható. Helyzetkép dr. Balogh Virágtól.

Javában zajlik az uniós adatvédelmi szabályozás átalakítása. A tétet jelzi a rengeteg módosító indítvány és a törvénykezést övező figyelem. A tervezet jelen szövegében akadnak ígéretes elemek, de a digitális iparág még nem lehet felhőtlenül boldog. Dr. Balogh Virágtól, a Magyar Reklámszövetség főtitkárától és az IAB Hungary policy-munkacsoportjának vezetőjétől kértünk pillanatképet.

Az interjú a Médiapiac november-decemberi lapszámában jelenik meg. Lapunk még nyomdában, az Európai Tanács viszont december 6-án tárgyalja az indítványt, így a printet megelőző online közlés mellett döntöttünk. (Majdnem) minden, amit az uniós adatvédelmi vitával kapcsolatban tudni érdemes!

dr. Balogh Virág

Az Európai Unió hosszú ideje dolgozik már az adatvédelmi szabályozása átalakításán, ami nem kevés aggodalmat szül a médiapiacon. Régóta húzódó folyamat ez, lassan el is felejtjük, honnan indultunk, és miért e nagy izgalom.

Az Európai Unióban jelenleg két jelentős jogszabály szabályozza az adatvédelmet. Az egyik az 1995-ös adatvédelmi irányelv, a másik a 2002-es ePrivacy irányelv. Már az utóbbi is azt jelezte, hogy a 2000-es évek elején, éppen a digitális fejlődés miatt, megjelentek olyan kérdések, amelyeket az adatvédelmi irányelv nem feltétlenül tudott kezelni. A technológiai fejlődés olyan mértékben felgyorsult, és olyan sok, adatvédelmi szempontból is érdekes felvetés eredt ebből, hogy az EU 2012 elején az adatvédelmi szabályozás megreformálása és egy új keretrendszer létrehozása mellett döntött: a jelenlegi irányelvi szabályozást rendeleti alapú váltja fel.

A rendeleti szabályozás ugyanis azt jelenti, hogy amennyiben az Európai Parlament elfogadja, a magyarországi törvényhozás nem tud a szabályozáson változtatni – az irányelvi szabályozással szemben, amikor az uniós jogalkotó jellemzően egy minimumszintet határoz csak meg, az EU-rendelet egységesen minden tagállamban alkalmazandó. A magyar parlamentnek mindössze annak a kereteit kell megteremtenie, hogy ki járjon el az érintett ügyekben, de például – eltérően az irányelvektől – nem is kell a szabályozást feltétlenül magyar jogszabályba átültetnie. Ennek ellenére – a könnyebb alkalmazhatóság érdekében – ezt meg szokták tenni.

Eredetileg miért csaptak le a politikusok az utóbb hálásnak bizonyuló adatvédelmi témára?

Úgy gondolom, hogy sokkal inkább a fogyasztói elvárások, az iparágra a fogyasztók felől érkező nyomás ennek az oka, mintsem politikai lobbiérdekek – a fogyasztók egyre több időt töltenek online, így a téma is egyre jelentősebbé vált. Az uniós szabályozás a fogyasztók védelmét, a fogyasztói szempontot helyezi előtérbe. Természetesen azt sem lehet figyelmen kívül hagyni, hogy az iparág amerikai óriáscégei több esetben kerültek összeütközésbe az EU-val az uniós szabályoknak való megfelelés kérdései miatt.

Mint minden jogszabálynak, az uniós jogszabályoknak is van területi hatálya, azaz az alkalmazásukra kijelölt terület. A digitális környezet azonban bonyolítja a képet, a területi hatály értelmezése több problémát vet fel, mint az „offline” világban. Azt illetően, hogy mikor milyen jog alkalmazandó, egyszerűsítve alapvetően két megoldás lehetséges: vagy annak az államnak a jogszabályai, ahol a fogyasztó van, vagy annak, ahol a vállalkozás van. Ha az európai jog a „country of origin” elvét tisztán érvényesítené, előállhatna az a furcsa helyzet, hogy egy amerikai cég sok millió európai uniós állampolgár adatait kezeli, mégsem vonatkozik rá az uniós szabályozás. Az új rendelettervezet az alkalmazhatóság körében kiterjeszti és egyértelműsíti azon kapcsolóelemek számát, amelyek alapján egy nem európai székhelyű cég tevékenysége az európai szabályozás alá vonható. Ettől függetlenül alapvetően arról van szó, hogy a technológiai fejlődés tette ennyire fontossá ezt a jogágat. Tíz éve még nem beszéltünk trackingről, profilingról, targetálásról. Ez a jogszabályalkotás követi a jogfejlődés több ezer éves logikáját: amikor az ókori római gazdaságban megjelent a lízing intézménye, a jogászok a fejlődést követve alkottak.

Arról sokat hallunk, hogy a felek gyűrik egymást az adatvédelmi szabályozás alakítása közben, de kik is azok a felek, akik beleszólhatnak a kérdésbe?

Október 21-éig az Európai Parlament előtt volt a rendelet tervezete, és az EP különböző bizottságai tárgyalták a szöveget. A rendelettervezet jelentőségét és az iparág által is érzékelt tétet jól jelzi, hogy több mint 3000 módosító javaslattal jelenleg ez a legtöbb módosító javaslattal ellátott jogszabálytervezet az EP előtt. Utolsóként a LIBE elnevezésű bel- és igazságügyi bizottság mint a témában kijelölt fő bizottság foglalkozott a rendelettel, majd a LIBE-szavazás után elindult egy újabb folyamat, melynek keretében az Európai Tanács és az Európai Parlament megkezdik a már módosított szövegről való tárgyalásokat. Az Európai Tanácsba minden tagállam az állam-, illetve kormányfőjét delegálja, aki az adott kérdésben eljárási hatáskörrel rendelkező miniszterrel helyettesíthető. Amennyiben a parlament és a tanács meg tud egyezni a jelenleg a tanács előtt lévő szövegről, akkor elfogadásra alkalmas lesz, s visszakerül az EP elé, amely szavazni fog róla. Amennyiben nem születik megállapodás, a tanács visszaadja a szöveget, amit a parlament újratárgyalhat.

Az ügy pikantériája az, hogy jövő májusban európai parlamenti választásokat tartanak, tehát ha áprilisig nem zárul le a jelenlegi folyamat, új összetételű parlamenttel folytatódhatnak a tárgyalások.

A törvényhozók mellett hivatalos úton részesei-e az iparági érdekvédelmi szervezetek, fogyasztói csoportok vagy civil szervezetek az egyeztetési folyamatnak? Zajlottak-e szakmai egyeztetések?

Szakmai egyeztetések folyamatosan voltak, vannak. A civilizált lobbizás része az uniós jogalkotási gyakorlatnak. A tervek szerint 2013 nyarának végére el kellett volna fogadni a jogszabályt, de éppen amiatt csúszott meg a folyamat, hogy annyira soktényezős, sokakat érintő téma az adatvédelem.

Az IAB Europe hogyan vélekedik a jelenlegi tervezetről?

Az IAB szempontjából a legfontosabb eredmény az volt, hogy a tervezetbe a módosítások során bekerült a pszeudonim adat definíciója. Ezt a fogalmat egyébként a magyar jog is használja az elektronikus ügyintézésről szóló kormányrendeletben. Ez olyan adathalmazt jelöl, amely egy kapcsolóelemmel köthető egy adott személyhez. Ez azért fontos, mert az egész adatvédelem célja, hogy a személyes adatok (azok az adatok, amelyek kifejezetten az adott személyre jellemzőek, hozzá köthetőek) csak megfelelő céllal, megfelelő módon és ideig, a fogyasztó megfelelő hozzájárulásával legyenek kezelhetőek

A pszeudonimizált adatok esetén egy kapcsolóelemre van szükség, hogy adott személyhez lehessen kötni őket. Egy egyszerű példa: a telefonom IMEI-száma. A mobilszolgáltatónál megvan az a kapcsolóelem, amely alapján azonosítani tudná, hogy adott IMEI-számú telefon értékesítése mely szerződéshez köthető, de ha emelhető egy „kínai fal” az IMEI-számok és a szerződések adatbázisa közé, akkor e szám alapján ugyan visszakereshető vagyok, de nem egyértelműen, automatikusan és azonnali módon.

A pszeudonim adatok kérdése azért lényeges, mert a digitális iparágban tevékenykedő vállalkozások számára a leggyakrabban éppen az ilyen típusú adatok érdekesek. Ha a rendelet eredeti szövegében szereplő, az adatkezeléshez vagy a fogyasztó személyes, explicit hozzájárulását, vagy valamilyen jogszabályi felhatalmazást megkívánó szabályozás lép életbe, akkor adott esetben a pszeudonim adatok kezeléséhez is kifejezett hozzájárulás kell.

Az IAB ezért úgy gondolja, hogy a rendeletnek ebben az esetben kivételt kell biztosítania, azaz a pszeudonim adatok használatához a fogyasztónak ne kelljen hozzájárulást adnia. Ezzel kapcsolatban az a kérdés merül fel, hogy hogyan építhetőek megfelelő „kínai falak” az egyes adatbázisok közé. A LIBE által elfogadott szöveg ugyan bevezeti a pszeudonim adat fogalmát, de nem ad egyértelmű definíciót erre az adatfajtára vonatkozóan. A másik fontos kérdés, hogy pontosan mit értünk „kifejezett hozzájárulás” alatt. Azaz mely technológiai eljárásokat kell a fogyasztónak elvégeznie ahhoz, hogy feltételezhessük, kifejezett hozzájárulását adta. Amíg e két pont nem tisztázódik megfelelően a jogszabálytervezetben, addig az IAB Europe szerint az nem képviseli megfelelően a fogyasztók és az iparág érdekeit, nem is beszélve arról, hogy a hatóságoknak is gondot okozhat a nem egyértelmű jogszabály alkalmazása.

Nem jelentene könnyebbséget, ha a szabályozás irányelvi alapon maradt volna? Miért kellett mindenképpen a szigorúbb, rendeleti szabályozásra áttérni?

Az Európai Uniónak a kezdetektől alapvető célja az egységes európai piac megteremtése. Az irányelvi, úgynevezett minimumharmonizációs, vagyis csupán a minimumkövetelményeket meghatározó megoldások esetében felmerül a kérdés, hogy mi van akkor, ha egyik vagy másik országban különböző szintű adatvédelmi szabályozás érvényesül. Ebben az esetben egy nagyon szigorú szabályozási környezetből jövő vállalat versenyhátrányt szenvedhet egy enyhébb hátterűvel szemben.

Így egy egész kontinens kerül versenyhátrányba például az Egyesült Államokkal szemben.

Ez a megállapítás attól függ, hogyan alakul a jogszabály szövege – az előbb mondottak alapján ez még nyitott kérdés.

Ha véletlenül marad a szigorú, több szempontból kérdőjelekkel teli szöveg, akkor milyen furcsa ügyekbe futhatnak bele az online szolgáltatók?

Egy extrém példát hozva: egy honlap újbóli felkeresésekor újra és újra hozzájárulást kellene adni az adatkezeléshez. Ez praktikusan azt is jelentheti, hogy a fogyasztónak folyamatosan a hozzájárulást jelentő „klikket” kérő felugró ablakokkal kell szembesülnie. Nem szükséges részletesen azt magyarázni, hogy egy ilyen változás nemcsak a digitális iparágat lehetetlenítené el, hanem a fogyasztó befogadási élményét is jelentősen rontaná.

Meddig kell izgulni? Van-e valamiféle határidő?

Az Európai Tanács december elején foglalkozik a kérdéssel, addig biztosan nem történik előrelépés, utána pedig az ott elhangzottaknak megfelelően folytatódik a jogszabályalkotás. Nagyon is elképzelhető, hogy ha áprilisig nem lesz elfogadott szöveg, akkor csak jövő ősszel kerül ismét napirendre a kérdés. A jelenlegi szöveg szerint a rendelet átültetésének határideje a hivatalos közzétételtől számítva két év.

Hamarosan Debrecenben is elindul a Taxify

4 órája

Már toborozza a sofőröket a Taxify és pár héten belül indul a szolgáltatás tesztüzeme Debrecenben - olvasható a lapunknak elküldött közleményben.