Az elmúlt bő egy év a koronavírus árnyékában telt és számos olyan fogalom vált a közbeszéd részévé, amelyet korábban inkább csak tudományos publikációkban lehetett olvasni. Ilyenek - többek között - a reprodukciós ráta, a járványgörbe ellaposítása, a nyájimmunitás. Néhány tudományos fogalom mindennapos beszélgetéseinkben való megjelenése mellett, a járványhelyzet egy másik gyakran tapasztalt kísérőjelensége volt, hogy az adatvédelmi szabályok gyakorlati alkalmazhatóságát is folyamatosan tesztelte, széles körben átélhetővé és élővé tette az egyébként gyakran távolinak, elméletinek tűnő adatvédelmi kérdéseket. Egyrészt mindenkit érintő kérdésekről volt szó, másrészt ezek a magánszféra legmélyére, az emberek mozgásának nyomonkövetéséig, illetve az egészségügyi állapotáig hatoltak. A járvány egyes szakaszaihoz igazodva természetesen megvoltak a különböző adatvédelmi "slágertémák", kezdve a kontakt kutatással (beleértve az erre szolgáló applikációk alkalmazását), a mozgási adatok elemzésével, a különböző diagnosztikai eszközök (különösen lázmérés és tesztek) alkalmazhatóságán át, egészen a védettség/oltottság igazolásáig (védettségi igazolások, utazáshoz szükséges igazolások).
Most, hogy a GDPR alkalmazandóvá válásának 3. évfordulóját ünnepeljük, talán érdemes az elmúlt év tapasztalatait is figyelembe véve elgondolkodnunk azon, hogy mi szükséges egy megfelelő adatvédelmi immunrendszer működéséhez?
Valószínűleg nem adható erre a kérdésre egyetemes, mindig és mindenhol alkalmazható válasz, ugyanakkor az elmúlt évek adatvédelmi fejleményeinek tükrében néhány következtetést talán levonhatunk:
- Szükség van megfelelő szabályozási keretekre. A GDPR kapcsán nyilván sok kritika megfogalmazható, az alkalmazása is számos kívánnivalót hagyhat maga után, ugyanakkor nem szabad elvitatnunk az érdemeit sem, többek között azt, hogy az EU területén jelentős lépést tett egy egységesebb adatvédelmi szabályozás irányába, amely technológiasemleges módon igyekszik olyan környezetet teremteni, amely a digitális gazdaság és társadalom fejlődését az alapvető jogok, így a személyes adatok védelméhez való jog tiszteletben tartása mellett is, képzeli el. Talán nem véletlen az sem, hogy a GDPR elfogadása világszerte komoly lendületet adott az adatvédelmi jogalkotásnak és sok szempontból mintát is adott a jogalkotás mikéntjét illetően.
- Szükség van a meglévő szabályok kikényszerítésére. A szabályok akkor válhatnak élővé és jelenthetnek valós kereteket, ha egyértelmű, átlátható és hatékony mechanizmus kapcsolódik a szabályok alkalmazásának kikényszeríthetőségéhez. Nyilván ezen a téren is találhatunk kivetnivalókat, de a GDPR komoly előrelépést jelent atekintetben, hogy az adatvédelmi szabályokat komolyan vegyék (ezt a jelentős összegű bírságok nyomatékosítják), másrészt az egyablakos ügyintézéssel, illetve az egységességi mechanizmus megjelenésével az uniós szinten egységesülő végrehajtás is egy jelentős lépés a megfelelő irányba. Emellett az önszabályozó mechanizmusok (magatartási kódexek, tanúsítás) bevezetése és monitorozott alkalmazása szintén hozzájárul a szabályok - akár szektorspecifikus - érvényesüléséhez.
- Szükség van az adatvédelmi szabályok beépülésére a mindennapokba. Az adatvédelmi szabályok akkor hatnak igazán, ha mélyen beépülnek az adatkezeléssel járó tevékenységekbe, ha az első lépésektől, a tervezéstől kezdve kalkulálnak ezekkel. Ezt a célt szolgálják a GDPR-ban megjelenő olyan elvek, mint a beépített- és alapértelmezett adatvédelem elvei, amelyek következetes alkalmazása az adatvédelem és adatbiztonság szinte észrevétlen érvényesülését szolgálja.
- Szükség van az érintettek tudatosságára. Ahhoz, hogy az adatvédelem igazán élő és alkalmazásra kerülő eszköz legyen, elengedhetetlen a szélesebb közönség, az érintettek nagy száma általi igény arra, hogy az adataikat kizárólag kellő gondossággal és csak a szükséges mértékben kezeljék. Hosszú távon talán ez legfontosabb építőköve egy működő adatvédelmi rezsimnek: fontos, hogy mindenki ügye legyen, ne csak a kevesek hóbortja.
Ha a fenti mozaikok a helyükre kerülnek és az emberek széles körében kialakul az igény a transzparens, tisztességes és az érintettek jogait és érdekeit is szolgáló adatkezelésekre, akkor olyan adatvédelmi nyájimmunitás alakulhat ki, amely kiveti magából a nem megfelelő adatkezeléseket, azok nem tudnak széles körben elterjedni és maguktól elsorvadnak. A rendelkezésre álló vakcináknak is köszönhetően haladunk a nyájimmunitás felé, hogy legyőzzük a koronavírust. Hasonlóan következetesen és kitartóan kell haladunk az adatvédelmi nyájimmunitás felé is, hogy a tisztességes és transzparens adatkezelések kerekedjenek felül. A GDPR ennek a folyamatnak a része, a szerepe jelentős, de még messze vagyunk az út végétől (talán soha nem is ér véget), tovább kell dolgoznunk azért, hogy az adatvédelem ne a kevesek, hanem a többség ügye legyen, hiszen rólunk, mindannyiunkról szól.