Az év eleje egyrészt az új évre való előretekintésre, másrészt az elmúlt évre való visszatekintésre alkalmas időszak. Az adatvédelem kapcsán is lehetőséget ad ez arra, hogy átgondoljuk a mögöttünk hagyott egy évet (a GDPR alkalmazásának első teljes évét), de egyúttal készüljünk a következő év kihívásaira is. A GDPR első teljes éve, illetve a most már közel két éves új európai adatvédelmi szabályozás számos olyan fejleményt hozott, amely a következő időszakra nézve is jelentős hatással lehet. Ráadásul Európa határain túl is igen eseménydús éven vagyunk túl, ami az adatvédelmet érinti.
Az alábbiakban néhány olyan 2019-es eseményre, ügyre, történésre tekintek vissza, amelyeknek komoly hatása lehet 2020-ban is.
1. Mi határozta meg a 2019-es évet adatvédelmi szempontból?
Európában természetesen a GDPR volt a fókuszban 2019-ben is. A 2018-as "bemelegítő év" után a GDPR alkalmazása is magasabb fokozatra kapcsolt. 2018-ban még elvétve születtek bírságok a GDPR alapján, 2019-ben viszont megjelentek az első jelentősebb összegű bírságok:
- Franciaországban a Google kapott 50 millió eurós bírságot,
- Nagy-Britanniában az ICO a Marriott hotellánc és a British Airways esetében helyezett kilátásba jelentős százmillió font nagyságrendű bírságokat,
- a német adatvédelmi hatóságok is "bekeményítettek", egyrészt egy általános bírságolási útmutató elfogadásával, másrészt megjelentek Németországban is a millió eurós bírságok, első ízben a berlini adatvédelmi hatóság szabott ki 14 millió eurós bírságot, majd a szövetségi adatvédelmi hatóság egy közel 10 millió euró összegűt.
Az adatvédelmi hatóságok bírságot kiszabó határozatai mellett fontos szerep jutott a GDPR alkalmazását elősegítő iránymutatásoknak, véleményeknek is. Egyrészt az Európai Adatvédelmi Testület is több, fontos kérdésben adott ki iránymutatást (például a GDPR 6. cikk (1) bekezdés b) pontja szerinti szerződéses jogalap alkalmazásáról, a videó megfigyelőrendszerekről, a beépített és alapértelmezett adatvédelemről), másrészt az egyes tagállami hatóságok is igyekeztek általános iránymutatásokkal alakítgatni a gyakorlatot (egy összesítés a 2019-ben kiadott főbb iránymutatásokról elérhető például itt). A tagállami hatóságok között különösen aktív volt az általános útmutatók kapcsán az ír hatóság (jelent meg iránymutatása például az incidenskezelésről, az adatvédelmi hatásvizsgálatról, a felhőszolgáltatások igénybevételéről, az adatkezelési jogalapokról), de az ICO is több fontos témában adott közre az adatkezelők által használható segédletet (például a gyermekeknek szánt online szolgáltatások tervezéséről). A fentieken kívül 2019-ben is slágertéma volt a cookie-k alkalmazására vonatkozó gyakorlat, amellyel kapcsolatban több adatvédelmi hatóság is adott közre útmutatót (pl. az ICO, a CNIL, a német hatóságok és az AEPD, ezek összehasonlító bemutatása elérhető itt).
A bírságok és a hatósági útmutatások mellett az Európai Bíróság is több fontos, a jövőbeni joggyakorlatot meghatározó döntést hozott. A közös adatkezelés kapcsán említést érdemlő Fashion ID-ügyben, illetve a sütik alkalmazása kapcsán a Planet 49-ügyben született döntés. (Ezeken kívül több érdekes ügy is folyamatban van, amelyek közül néhányban vélhetően 2020-ban születhet ítélet.)
Az év fontos eseménye volt az e-Privacy Rendelet tervezetének leszavazása.
Európán kívül is jelentős események zajlottak az adatvédelem területén. A GDPR nyomán is egyre jelentősebb jogalkotási hullám zajlik az Egyesült Államoktól kezdve Brazílián át egészen Ázsiáig. Kaliforniában 2020. január 1-én lép hatályba a CCPA, Brazíliában pedig szintén 2020-ban válik alkalmazandóvá az új adatvédelmi törvény (LGPD). Az adatvédelmi bírságok kapcsán sem kizárólag Európán volt a figyelem 2019-ben, hiszen a Facebook éppen az USA-ban "gyűjtött be" egy 5 milliárd USD összegű bírságot.
Nem köthető egyértelműen 2019-hez, de fontos trendként jelent meg, hogy adatvédelmet is érintő kérdésekben egyre határozottabban nyilvánulnak meg a versenyhatóságok is. Ebben élen jár a német Bundeskartellamt, amely a Facebook tevékenységét vizsgálta, de a magyar GVH is kiszabott egy több, mint 1 milliárd Ft összegű fogyasztóvédelmi bírságot a Facebookra.
Fontos mutatója volt 2019-nek az adatvédelmi incidensek számának növekedése, illetve az, hogy egyre többet hallottunk kibertámadásokról, kiberbűnözésről.
2. Mire számíthatunk 2020-ban?
A 2019-es eseményekből kiindulva 2020-ban vélhetően folytatódni fog a GDPR egyre bátrabb alkalmazása. Valószínűsíthető, hogy szaporodni fognak a magasabb összegű, sok millió eurós bírságok (különösen, ha szélesebb körben elterjed a német hatóságok 2019-ben kialakított bírságolási gyakorlata).
2020-ban sor kerül a GDPR első felülvizsgálatára (a GDPR 97. cikke alapján). Ez vélhetően a jogszabály módosítását nem vagy csak kisebb finomítások formájában érinti majd. (Egyes tagállamok már jelezték is a tapasztalataikat az Európai Bizottság felé és például a német adatvédelmi hatóságok is összegyűjtötték a javaslataikat.) Az e-Privacy Rendelet is újra napirendre kerülhet és talán tanulva az elmúlt évek tapasztalataiból 2020-ban megszülethet e témában is a kompromisszum.
Folytatódhat az adatvédelmi jogalkotás. Az Egyesült Államokban több tagállamban is napirenden van a kérdés, illetve a szövetségi szintű szabályozás is visszatérő téma, amely az elnökválasztási kampányban is előkerül. Az általános adatvédelmi szabályok mellett pedig az egyes speciális kérdésekre fókuszáló szabályozások is egyre inkább megjelenhetnek, mert a technológia rohamos fejlődésével nehéz lépést tartani (pl. IoT-specifikus szabályozás). Az adatvédelmi és adatbiztonsági szabályozás mellett az adatok (legalábbis érzékenyebb adatkörök) országon belül tartására is lehetnek törekvések, amint ez az elmúlt években több helyen is felmerült (pl. Oroszország, Kína, India), illetve újabb adatmegőrzési kötelezettségek előírása is napirenden lehet.
Adatvédelmi incidensekre 2020-ban is készülni kell, tekintve, hogy egyre szélesebb körben használunk online megoldásokat a mindennapi és hivatalos ügyek intézéséhez, így az ezeket érintő kockázatok is egyre nagyobbak.
A technológia fejlődése pedig újabb és újabb kihívásokat fogalmaz majd meg 2020-ban is. Az adatvédelem és adatbiztonság kapcsán sokat fogunk hallani 2020-ban is a mesterséges intelligenciáról, arcfelismerésről, biometrikus adatokról, automatizált döntéshozatalról, az 5G-ről, az IoT megoldásokról és ezek mindenféle kombinációjáról.
Ha pedig egy kicsit tágabb perspektívába akarjuk helyezni az adatvédelemről való gondolkodást, akkor érdemes elolvasni a volt európai adatvédelmi biztos (EDPS) Giovanni Buttarelli (aki sajnálatos módon 2019-ben elhunyt) manifesztóját (Privacy 2030: A vision for Europe), amely a személyes adatok kezelésében rejlő lehetőségek mellett a veszélyekre és csapdákra is felhívja a figyelmet, valamint arra, hogy a lehetőségek hajszolása közben nem szabad megfeledkezni a közös értékeinkről.