Az nehezen vitatható tény, hogy az EU-ban az elmúlt időszakban sorra jelennek meg az adatokat érintő stratégiai- és jogalkotási kezdeményezések. Az elmúlt néhány év folyamán, többek között, elfogadásra került az EU Általános Adatvédelmi Rendelete (GDPR), a bűnüldözési adatvédelmi irányelv, a személyes adatnak nem minősülő adatok szabad áramlására vonatkozó rendelet, a NIS irányelv, az EU adatstratégiája.
A fenti folyamat - részben az adatstratégiában meghatározott irányokat követve - nem állt meg és jelenleg is több olyan kezdeményezés van napirenden, amelyek az EU adatokat (is) érintő szabályozási keretrendszerét jelentős mértékben alakítják. Az adatstratégia kibontása mellett hangsúlyos szerepet kap a kiberbiztonság kérdésköre is, amelyre vonatkozóan 2020. decemberében tett közzé az Unió az új stratégiáját. Az alábbiakban ezen kezdeményezésekhez kapcsolódóan néhány kiemelt témát gyűjtöttem össze az alábbiakban. (A lista nem teljes és folyamatosan bővül, ahogy újabb és újabb kezdeményezések látnak napvilágot.)
1. Adatkormányzási rendelet (Data Governance Act)
Tavaly novemberben jelent meg az európai adatkormányzásról szóló rendelet tervezete (DGA). A DGA az első olyan intézkedéscsomag, amelyet a 2020. februárjában közzétett adatstratégia hirdetett meg. Ahogy az indokolás fogalmaz,
[a]z eszköz célja az adatok rendelkezésre állásának elősegítése a teljes EU-ban, az adatközvetítők iránti bizalom növelése és az adatmegosztási mechanizmusok megerősítése révén.
Az indokolás alapján, a DGA az alábbi területekre fókuszál:
- A közszféra adatainak további felhasználás céljából történő rendelkezésre bocsátása olyan helyzetekben, amikor az említett adatokra mások jogai vonatkoznak.
- Adatmegosztás vállalkozások között, bármely formájú díjazás ellenében.
- Személyes adatok felhasználásának egy „személyesadat-megosztási közvetítő” (personal data-sharing intermediary) segítségével történő megosztásának lehetővé tétele, amelynek célja az egyének részére segítségnyújtás a GDPR szerinti jogaik gyakorlásában.
- Az adatok altruisztikus alapon történő felhasználásának engedélyezése.
A DGA a nyílt hozzáférésű adatokról és a közszféra információinak további felhasználásáról szóló, 2019. június 20-i (EU) 2019/1024 európai parlamenti és tanácsi irányelvet (nyílt hozzáférésű adatokról szóló irányelv) egészítené ki, amely irányelvet 2021. július 17-ig kell a tagállamoknak átültetniük. (Ezen irányelv elődje, a az Európai Parlament és a Tanács 2003/98/EK irányelve, amely hatályon kívül helyezésre kerül. Magyarországon a 2003/98/EK irányelvet és annak módosítását a közadatok újrahasznosításáról szóló 2012. évi LXIII. törvény ültette át, amelyet a 2019/1024/EU irányelv átültetése jelentősen érint majd.)
2. Digitális szolgáltatások (Digital Services Act)
2020. decemberében jelent meg a digitális szolgáltatások szabályozására vonatkozó rendelet tervezete. A tervezet a több, mint két évtizeddel ezelőtt, 2000-ben elfogadott Elektronikus kereskedelemről szóló irányelvet (2000/31/EK irányelv) váltaná fel. Az elmúlt két évtized jelentős változásaira tekintettel nagyon ráfér erre a területre is a ráncfelvarrásnál jóval alaposabb újragondolása a szabályozásnak. Az elektronikus szolgáltatások a mindennapok szerves részévé váltak, felhasználók széles körét érik el és ezen szolgáltatások nyújtása jelentős adatvédelmi vonatkozásokkal is rendelkezik, így a szabályozás megfelelő összhangja az új EU-s adatvédelmi rezsimmel is kiemelten fontos.
A javaslatban fontos szerepet kap a felelősségi kérdések rendezése, kiterjed a közvetítő szolgáltatókra és külön szabályokat határoz meg a nagy online platformok tekintetében (amelyeknek több, mint 45 millió felhasználójuk van az uniós piacon).
3. Digitális piacok (Digital Markets Act)
A digitális piacokra vonatkozó rendelet tervezete szintén 2020. decemberében jelent meg. Alapvetően versenyjogi indittatású szabályozás, amely az ún "kapuőrök" (gatekeepers) szabályozására fókuszál. Kapuőröknek azon szolgáltatókat tekinthetjük, amelyeknek (i) jelentős gazdasági pozíciója van és jelentős hatást gyakorolhatnak a belső piacra, továbbá több tagállamban is aktívak, (ii) erős közvetítői pozíciójuk van, azaz nagyszámú felhasználót számos szolgáltatóval kötnek össze, és (iii) tartós piaci pozíciója van. A kapuőrök között lehetnek online keresőszolgáltatások, közösségi média platformok, videómegosztó platformok, továbbá felhőszolgáltatók is. A szabályozás meghatároz olyan tevékenységeket, amelyek összeegyeztethetők a "kapuőrök" pozíciójával, illetve olyanokat, amelyek nem, azaz tisztességtelen gyakorlatnak tekinthetők.
3. E-Privacy rendelet
A fentiektől eltérően az e-Privacy rendelet megalkotása nem az adatstratégiából következő jogalkotási lépés, hanem lényegében a GDPR elfogadása óta napirenden van és az első tervezete már 2017. januárjában megjelent. Az e-Privacy rendelet az Elektronikus hírközlési adatvédelmi irányelvet váltaná fel - és hasonlóan a Digital Services Act-hez - egy olyan területen vezetne a szabályok jelentős megújításához, ahol az eredeti (sőt a módosított) irányelvi szabályok elfogadása óta már nagyon hosszú idő eltelt. Az e-Privacy rendelet tervezete már számos verzióban megvitatásra került, de a szükséges konszenzust nem sikerült még kialakítani. (Legutóbb itt írtam a témáról.) A portugál elnökség 2021. januárjában tette közzé a legutóbbi szövegjavaslatot, amely alapján jelenleg folyamatban van a szabályozás körüli diskurzus.
4. NIS 2 irányelv
Az új kiberbiztonsági stratégián alapuló egyik jogalkotási kezdeményezés a NIS 2 irányelv, amely a 2016-os irányelv helyébe lépve erősítené az EU-ban a hálózati és információs rendszerek biztonságát. Jól mutatja a területen történő dinamikus változásokat, hogy a 2016-ban elfogadott NIS irányelv (amelyet 2018-ig kellett a tagállamoknak átültetniük) már jelentősebb felülvizsgálatra szorul. Ennek megfelelően az új irányelv tervezete:
-
további, a gazdaság szempontjából kritikus szektorokban válik alkalmazandóvá és a közepes-, illetve jelentős piaci szereplőkre alkalmazandó lesz (a tagállamok rugalmasan dönthetnek arról, hogy a kisebb piaci szereplőkre is kiterjesztik-e a szabályok alkalmazását),
-
megszünteti a különbségtételt az alapvető szolgáltatásokat nyújtó szereplők és a digitális szolgáltatók között és a különböző szervezetek a szerepük (fontosságuk) alapján kerülnek kategorizálásra,
-
erősíti a vállalatok által teljesítendő biztonsági követelményeket, egy kockázatkezelési megközelítés bevezetésével, továbbá pontosabb incidenskezelési szabályokat is meghatároz,
-
kiterjeszti a biztonsági megfelelés vizsgálatát a beszállítói láncra is (különös figyelemmel a kulcsfontosságú információs és kommunikációs hálózatokra),
-
egységesíti és szigorítja a vonatkozó felügyeleti intézkedések körét.
5. Kritikus infrastruktúrát érintő szabályozás
Szintén az új kiberbiztonsági stratégiával összhangban és korábbi, meglévő szabályozás felváltását célozva készült el a kritikus infrastruktúrára vonatkozó irányelvi szabályozás tervezete. A tervezet célja, hogy a gazdaság és társadalom működése szempontjából nélkülözhetetlenül fontos infrastruktúra tekintetében megfelelő védelmi mechanizmusok kerüljenek kialakításra és működtetésre. A folyamatosan változó kockázatokra és a tagállamok közötti jelentős különbségekre tekintettel fontos ennek a területnek is az újraszabályozása, figyelemmel a korábbi szabályozás elfogadása óta bekövetkezett jelentős változásokra (lásd az az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló 2008/114/EK irányelvet).
6. Titkosítással kapcsolatos tanácsi javaslat
Kicsit talán kilóg a sorból, ugyanakkor mindenképpen említésre érdemes az Európa Tanács tavaly év végi titkosítással kapcsolatos előterjesztése. A határozat hamar kritikák kereszttűzébe került, mivel a titkosítás, mint a biztonság garanciájának szerepe mellett, a titkosítás "feltörhetősége", mint a biztonság egyik másik oldalról szükséges garanciája is megjelenik ("security through encryption and security despite encryption"). Egyrészt tehát a biztonság és ezen keresztül az alapjogok érvényesülésének garanciája a titkosítás, ugyanakkor a hatósági és bírósági jogérvényesítés során akadályt is jelenthet, amelyre tekintettel - a határozat szerint - a megfelelő szervek részére a titkosítás ellenére is biztosítani kellene a hozzáférést. A tervet nyomban többen bírálták, mivel megkérdőjelezheti a titkosítás integritását, ha másik oldalról a hozzáférést is garantálni kell.
Végezetül, ez a szemléletes infografika jó áttekintést ad a fenti kezdeményezések jelentős részéről, és a várható következő lépésekről. A jogalkotási folyamat még jó ideig eltarthat, illetve folyamatosan jelennek meg majd újabb az adatstratégiához, illetve a mesterséges intelligencia stratégiához kapcsolódó kezdeményezések, amelyek további "adatos" vonatkozásokkal is rendelkezhetnek majd.