Az utóbbi hónapokban szinte minden fórum a GDPR-tól volt hangos. 2018. május 25-ét követően, főleg a kiemelkedően magas bírság összegektől való félelem tartotta lázban egész Európát.
Az Európai Unió adatvédelmi szabályzatának reformja már régóta napirenden volt. Az Európai Bizottság (EB) még 2012-ben nyújtott be egy végleges reformcsomagot, melyet az Állandó Képviselők Bizottsága (ÁKB) 2015. december 18-án megerősített, következő lépésként 2016. április 13-án az Európai Parlament el is fogadott, majd április 27-én kihirdetésre került az „Európai Unió Hivatalos Lapjában”. A felkészülésre két évet kaptak a tagállamok, mely 2018. május 25-én járt le.

De miért is volt szükség erre az átfogó reformra?

Az elmúlt évtizedekben lezajlott gyors technológiai fejlődés miatt a személyes adatok védelmének területén is számos új kihívás jelentkezett, mellyel párhuzamosan az adatokra leselkedő veszélyek is megnövekedtek. Ugrásszerűen nőtt az adatmegosztás és adatgyűjtés mértéke, valamint egyre inkább találkozhatunk azzal a jelenséggel is, hogy az emberek személyes információkat tesznek – sokszor átgondolatlanul – nyilvánosan elérhetővé mindenféle online felületen. Ezekkel a folyamatokkal párhuzamosan a gazdaságban is tapasztalhatjuk, hogy – a belső piaci működésből eredően – a határokon átnyúló adatáramlás jelentős növekedést eredményezett. Ezen új folyamatokra reagálva és a digitális gazdaság előmozdítása érdekében biztosítani kell a személyes adatok magas szintű védelmét, mégpedig úgy, hogy ezzel egyidejűleg lehetővé tesszük ezen adatok szabad áramlását. A bűnüldözés céljára felhasznált személyes adatokat a tagállamok hatóságainak – a nemzetközi bűnözés és terrorizmus elleni küzdelem részeként – egyre gyakrabban kell feldolgozniuk és továbbítaniuk. Az ilyen jellegű adatkezeléseknél az érintett hatóságok közötti együttműködés javításához és a személyes adatok biztonságos kezeléséhez elengedhetetlenül fontos, hogy az adatvédelemre uniós szinten átlátható és koherens szabályozás vonatkozzon.

Az egyik fő cél, hogy az Európai Unióban egy egységes adatvédelmi gyakorlat jöjjön létre, a másik az, hogy az unió állampolgárainak adatait a nagy technológiai cégektől is megvédjék. Mert elmondhatjuk, hogy manapság a legnagyobb érték az ADAT.

Amiről kevesebb szó esik az az, hogy az európai adatvédelmi reformnak három eleme van: a kötelezően alkalmazandó GDPR rendelet, az ún. bűnügyi irányelv, amelyet a nemzeti jogba kell átültetni (ez meg is történt: az Info tv. 2018. július 26-án hatályba lépett módosítása ezt már tartalmazza), illetve az e-Privacy rendelet (továbbiakban: Rendelet). Utóbbi egy szektorális adatkezelést szabályoz rendeleti formában, így ez is kötelezően alkalmazandó lesz elfogadása után. Ráadásul a rendelet lex specialis-nak minősül a GDPR-hoz képest.

Ugyan a Rendelet szektoriális szabályozás, mely az elektronikus hírközlést célozza, viszont a Rendelet tervezetének jelenlegi szövege szerint az alkalmazása kötelező lesz a következőkre: „az elektronikus hírközlési szolgáltatást nyújtó szolgáltatókra, a nyilvános névjegyzékek szolgáltatóira, valamint az elektronikus hírközlést, többek között az információk online lekérdezését vagy megjelenítését lehetővé tévő szoftverek gyártóira kell alkalmazni. Vonatkozik továbbá azokra a természetes és jogi személyekre is, akik elektronikus hírközlési szolgáltatásokat vesznek igénybe közvetlen üzletszerzési célú kereskedelmi tájékoztatás küldéséhez, illetve a végfelhasználók végberendezéseivel kapcsolatos vagy rajtuk tárolt adatok gyűjtéséhez…, illetve az Unión belüli elektronikus hírközlési szolgáltatások biztosításával és alkalmazásával összefüggésben kezelt elektronikus hírközlési adatokra is.”

Mivel szolgáltatást igénybe vevő oldalról érintheti a cégünket, vállalkozásunkat ez a rendelet is, így mostani írásomban erről szeretnék pár gondolatot megosztani.

Az e-Privacy rendet, az elektronikus hírközlési terület újraszabályozására hivatott, hiszen az új általános adatvédelmi szabályokhoz kell igazítani ezt a speciális területet is. A GDPR ugyanis az e-Privacy területén is háttérszabályként érvényesül majd. Az egységes jogalkalmazást erősíti, ha irányelv helyett ez a terület is rendeleti formában kap új szabályozást. Az elektronikus hírközlési adatvédelmi irányelv felülvizsgálatára legutóbb 2009-ben került sor, akkor a 2009/136/EK irányelvvel módosították, így időszerű modernizálni, főleg annak tudatában, hogy a technikai fejlődés milyen léptékben változott az elmúlt 20 évben.

Az Európai Parlamentben már 2017 őszén elfogadták a tervezet szövegét, de az Európai Tanácsban viták alakultak ki a végleges szövegről, így a rendelet nem lépett érvénybe a GDPR-ral párhuzamosan, bár az első tervek szerint még így lett volna, tekintve hogy a két rendelet tartalmilag összefonódik, sőt egyes helyeken egymásra is épül. Jelenleg is viták folynak a tervezetről, de a 2019-es év közepén nagy valószínűséggel hatályba fog lépni.

A rendelet elsődleges célja az elektronikus kommunikáció titkosságának biztosítása. Az elektronikus hírközlési adatok (amely magában foglalja az elektronikus hírközlés tartalmát pl.:. szöveg, videó, hangüzenet és az elektronikus hírközlési metaadatok, például az olyan adatok, amelyek a közlés feladójának, címzettjének, az eszköz helyének, a közlés idejének vagy időtartamának nyomon követéséhez szükségesek) titkosak. Ezekhez hozzáférni, ezeket kezelni csak akkor lehet, ha ezt az e-Privacy Rendelet megengedi:

• az elektronikus hírközlési adatokat az elektronikus hírközlési hálózatot működtető, illetve az elektronikus hírközlési szolgáltatást nyújtó akkor kezelheti, ha az a kommunikáció továbbításhoz, vagy a hálózat vagy hírközlési szolgáltatás biztonságának fenntartásához, helyreállításához szükséges;
• az elektronikus hírközlési metaadato-kat az elektronikus hírközlési szolgáltatást nyújtó akkor kezelheti például, ha ahhoz a végfelhasználó hozzájárult vagy az a számlázáshoz, fizetendő díj kiszámításához vagy a visszaélésszerű használat észleléséhez szükséges;
• az elektronikus hírközlési tartalmakat az elektronikus hírközlési szolgáltatást nyújtó akkor kezelheti, ha azokra kizárólag azért van szükség, hogy a végfelhasználó számára bizonyos szolgáltatást nyújtson, feltéve, hogy azok kezeléséhez a végfelhasználók hozzájárultak és a szolgáltatás egyébként az elektronikus hírközlési tartalom kezelése nélkül nem nyújtható, vagy pedig akkor, ha valamennyi végfelhasználó hozzájárult ahhoz, az elektronikus hírközlési tartalmat olyan cél(ok) érdekében kezeljék, amely(ek) anonimizált információ kezelésével nem teljesíthetőek.

A szabályozás újdonsága, – melyben hasonlít a GDPR-hoz –, hogy nem tesz különbséget aszerint, hogy hol van a szolgáltató székhelye, mindenkire érvényes, aki az EU területén szolgáltat (extraterritoriális hatályú). Kiterjed a nem az Unióban letelepedett, elektronikus hírközlési szolgáltatást nyújtó szolgáltatókra is, ha az Unió területén belül nyújtanak elektronikus hírközlési szolgáltatásokat a végfelhasználóknak.

A rendeletet nemcsak a természetes személy végfelhasználókra, hanem a jogi személyekre is alkalmazni kell, ez azt jelenti, hogy a GDPR ebben a körben a jogi személynek minősülő végfelhasználókra is ki fog terjedni.

A rendelet legfontosabb eleme, hogy a korábbi rendelkezést kibővítve mindenféle elektronikus kommunikációs formát lefed (üzenetküldők, chatszolgáltatások, játékokban található kommunikációs alkalmazások stb.), és fő szabályként előírja, hogy e kommunikáció során minden adat, a metaadatok is, érzékeny adatnak tekintendők, ezek felhasználása, az online tevékenység bármilyen típusú követése (pl. sütik), elemzése stb. csakis felhasználói engedéllyel történhet. A jövőben valamennyi szolgáltatónak törölnie kell a metaadatokat, amint a kommunikáció lezajlott, bizonyos kivételekkel (pl. számlázási, kiberbiztonsági célból, vagy hozzájárulás alapján az adatok megőrizhetőek).

Ha a rendelet a mostani formájában marad meg, akkor a következő előírások betartására kell a fentieken túl készülnünk:

Az e-Privacy Rendelet hatálya nemcsak a klasszikus eszközökre és kommunikációs csatornákra terjedne ki, mint a telefon, az sms, vagy az e-mail, hanem az internetes applikációkon keresztül működtetett, ún. VOIP[2] (Voice over Internet Protocol), vagy az ún. OTT[3] szolgáltatásokra („over the top services”), mint pl. a Skype, Facebook, Messenger, Gmail, iMessage vagy a WhatsApp. Ezen túlmenően a tervezet a dolgok internetére („Internet of Things” vagy IoT[4]) is vonatkozik. Ezeket más néven machine-to-machine (M2M[5]) néven is megtaláljuk. De szabályokat találunk a tervezetben a nyilvánosan elérhető wifi internet hozzáférési pontokra (hotspotokra) is.

A közvetlen üzletszerzési célú tájékoztatás nyújtásához alapvetően hozzájárulás szükséges, de abban az esetben, ha egy szolgáltató elektronikus levelezés céljából már megszerezte ügyfeleitől elektronikus elérhetőségi adataikat egy termék vagy szolgáltatás értékesítése során, akkor ezeket – külön hozzájárulás nélkül – felhasználhatja saját hasonló termékeivel vagy szolgáltatásaival kapcsolatos közvetlen üzletszerzési célból, feltéve, hogy az ügyfelek számára egyértelműen és kifejezetten lehetőséget biztosít arra, hogy az ilyen célú felhasználás ellen díjmentesen és egyszerűen kifogással élhessenek (ez az ún. opt-out[6] rendszer).

A direkt marketing célú telefonhívásokkal kapcsolatban a Rendelet a hívó felet arra kötelezi, hogy a telefonszámát tegye láthatóvá vagy más módon tegye egyértelművé annak tényét, hogy a hívás direkt marketing célból történt. Az ilyen jellegű megkeresések esetén is az „opt-out” tiltakozás lehetőségét biztosítani kell. Amennyiben a tagállamok ilyen jogszabályi rendelkezést fogadnak el, akkor direkt marketing célú telefonhívás olyan természetes személy végfelhasználó számára kezdeményezhető, aki korábban nem emelt kifogást az ilyen tájékoztatás ellen.

Az elektronikus kommunikáció területén a szolgáltatók számára a legfontosabb adatok a felhasználók használati szokásai, tehát az, hogy ki, mikor, hogyan és milyen hosszan veszi igénybe a szolgáltatást. A Rendelet ezeket az adatokat, továbbá a kommunikáció tartalmát is személyes adatnak nyilvánítaná, így gyűjtésükhöz és használatukhoz hozzájárulásra (felhasználói engedély) lesz szükség.

A Rendelettervezet a cookie-k[7] használatát a GDPR-ban szabályozott „hozzájáruláshoz” köti. (Továbbításuk jelenleg is felhasználói jóváhagyásához kötött. A hatályos irányelvet azonban a legtöbb tagállam, pl.: Magyarország is opt-out szabállyal ültette át a nemzeti jogába. A szolgáltatóknak jelenleg tájékoztatniuk kell a cookie-k használatáról, a felhasználó pedig ellentmondhat.) A Rendelet alapján viszont a cookie-k használatához a felhasználó kifejezett hozzájárulására lenne szükség. A hozzájárulás bármikor visszavonható és a szolgáltatóknak erre a felhasználókat hathavonta emlékeztetnie kellene. A szabály alól kivételeket is megállapít a tervezet, pl. ha nyelvi preferenciákat állítunk be egy weboldalon, vagy több oldalas kérdőívet töltünk ki, akkor az ezen beállítási adatok rövid időre történő „megjegyzésére” használt cookie-k mentesek a hozzájárulás követelménye alól. A harmadik féltől származó cookie-kat azonban a felhasználói végberendezésen alapértelmezetten ki kell zárni.

Előírja, hogy az adatkezelés bizonyos formáit megtagadó felhasználónak ugyanolyan minőségű szolgáltatást kell kapnia, mint aki azokat engedélyezi. Ez az ún. összekapcsolási tilalom[8]. A szolgáltatók ebben az esetben viszont a fizetős szolgáltatás bevezetését szeretnék (ha nem engedélyezed, fizetned kell a szolgáltatásért[9]).

Azért, hogy ezek a szabályok, és az állandóan felugró ablakok ne lehetetlenítsék el a szolgáltatás igénybevételét, a jogalkotó egy olyan megoldás bevezetését szeretné, ahol a böngészőkben, illetve az okostelefonok operációs rendszerében beállításra kerülne egy generális hozzájárulás, illetve tilalom, amely bármikor – általánosan és eseti jelleggel is – megváltoztatható lenne.

Nincs szükség a hozzájárulás beszerzésére olyan esetekben, amikor a magánélethez való jog egyáltalán nem, vagy csak nagyon korlátozott mértékben sérül. Így például nincs szükség hozzájárulás beszerzéséhez az olyan adatgyűjtéshez, amely:

• kizárólag az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás céljából szükséges;
• a felhasználó által igényelt információs társadalommal összefüggő szolgáltatás nyújtásához szükséges;
• online közönségméréshez szükségesek, feltéve, hogy ezt a mérést a felhasználó által kért információs társadalommal összefüggő szolgáltatás nyújtója végzi.

A felhasználónak a következő jogokat biztosítja a rendelet:

• a szolgáltató felügyeleti hatóságánál panaszt tegyen;
• a felügyeleti hatóságnak a felhasználóra vonatkozó és jogilag kötelező döntése ellen bírósági jogorvoslatot kérjen;
• a szolgáltatóval szemben bírósági jogorvoslatot kérjen.
• Ezen túlmenően az elektronikus hírközlési szolgáltatás végfelhasználója kártérítésre jogosult, amennyiben a Rendeletben meghatározottak megsértése következtében vagyoni vagy nem vagyoni kárt szenvedett. A szolgáltató kimentheti magát a felelősség alól, amennyiben bizonyítja, hogy semmilyen módon nem felelős a károkozásért. A kimentésre a GDPR 82. cikkében meghatározott szabályokat kell alkalmazni.

A kiszabható közigazgatási bírság összege szintén a GDPR-hoz igazodna, azaz egyes jogsértések legfeljebb 10 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeggel sújthatók (a kettő közül a magasabb összeget kell kiszabni), míg súlyosabb jogsértések esetén legfeljebb 20 millió euró összegű közigazgatási bírságot, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeget lehet kiszabni (a kettő közül a magasabb összeget kell kiszabni).

A Rendelet egységes alkalmazásának biztosítása a – GDPR alapján létrehozott – Európai Adatvédelmi Testület hatásköre lesz, felügyeleti hatóságként a GDPR alkalmazásának ellenőrzéséért felelős hatóság jár el, Magyarországon ez a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság).

Jelenleg is viták folynak a rendelet tartalmával kapcsolatban, így várható, hogy további változások lesznek a végleges szövegben. Bár az e-Privacy Rendelet jelenleg még csak elfogadás alatt áll, az elfogadása után az egész EU-ban egységesen, a GDPR-al együttesen kell majd a szabályait alkalmazni. 

Felhasznált irodalom:

• https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:52017PC0010&from=HU
• https://derstandard.at/2000093057312/Datenschutzbehoerde-STANDARD-Angebot-entspricht-DSGVO
• https://jogaszvilag.hu/vilagjogasz/europai-jogalkotas-szemelyes-adataink-nagyobb-biztonsagaert/
• https://gdpr.blog.hu/2017/05/16/az_e-privacy_rendelet_tervezete

[1] Az elektronikus hírközlés során a magánélet tiszteletben tartásáról és a személyes adatok védelméről, valamint a 2002/58/EK irányelv hatályon kívül helyezéséről (elektronikus hírközlési adatvédelmi rendelet).

[2] Internetes hangtovábbítás.

[3] Hálózatsemleges online hírközlési szolgáltatások.

[4] A mindennapjainkban használt eszközök (például háztartási gépek, autók, mérőórák, pénztárgépek stb.), az interneten keresztül is elérhetőek, és képesek egymással akár önállóan is kommunikálni.

[5] Az olyan adatáramlások, amelyek gépek között zajlanak.

[6] Az opt-out rendszerben a címzett számára szabad kéretlen üzleti célú levelet küldeni, de biztosítani kell számára annak lehetőségét, hogy kijelentkezzen (opt-out) a rendszerből, vagyis valamilyen módon, levél elküldésével vagy listára való feliratkozással letiltsa a további üzenetek küldését.

[7] Ezek elárulják a szolgáltatónak, hogy a felhasználó hol, mikor, milyen gépről, mely oldalakat töltött le, milyen információkra kattintott rá.

[8] Az összekapcsolási tilalom az EP-ből érkező felvetés. A Bizottság rendelettervezetében nem szerepel. A Tanács pedig informálisan már jelezte, ellene van.

[9] Az Osztrák Adatvédelmi Hatóságnál már volt erre vonatkozó ítélet, bár a GDPR égisze alatt: https://derstandard.at/2000093057312/Datenschutzbehoerde-STANDARD-Angebot-entspricht-DSGVO