A Meta a közelmúltban bejelentette, hogy a Facebook és az Instagram alkalmazásaiban olyan előfizetős szolgáltatást tesztel, amely - több, egyéb szolgáltatás (pl. nagyobb elérés biztosítása) mellett - a felhasználók személyének ellenőrzését (így az adott felhasználó személyével történő visszaélés megelőzését), illetve a szolgáltatás igénybevételének nagyobb biztonságát teszi lehetővé (ennek keretében pl. a Meta a személyazonossággal való visszaélés ellen proaktív fiókfigyelést biztosít az előfizetőknek), továbbá akár közvetlen ügyfélszolgálati hozzáférést is biztosíthat. Korábban hasonló előfizetési modell mellett tette le a voksát a Twitter is.
A konkrét megoldásról csak korlátozottan állnak rendelkezésre információk (illetve a Meta esetében egyelőre tesztüzemről van szó, amely Ausztráliában és Új-Zélandon indul, később azonban valószínűleg más országokban is elérhetővé válik), de érdekes kérdések merülhetnek fel azzal kapcsolatban, hogy a biztonsági funkciók biztosítása kapcsán milyen mozgásterük lehet a szolgáltatóknak, monetizálhatók lehetnek-e bizonyos mértékig a szolgáltatás igénybevételének biztonságosságával kapcsolatos intézkedések. Másképpen megfogalmazva: a jogszabály alapján a szolgáltatókat (adatkezelőket) terhelő kötelezettség, miszerint megfelelő technikai és szervezési intézkedések meghozatalával kell biztosítaniuk a kezelt adatok védelmét, megengedi-e, hogy - az egyébként ingyenesen igénybe vehető szolgáltatás kapcsán - az adatok biztonságát szolgáló egyes intézkedéseket csak egy szűkebb, a nagyobb biztonságot is magában foglaló szolgáltatásért külön fizető kör számára tegyék elérhetővé. Még egyet csavarva a kérdésen, úgy is fogalmazhatunk, hogy vajon a szolgáltató egy esetleges adatokat érintő visszaélés esetén mentesülhet-e a felelősség alól arra hivatkozva, hogy az érintett nem vette igénybe az egyébként rendelkezésre álló, de fizetős extra szolgáltatásokat, amelyekkel egyébként megelőzhető lett volna a visszaélés?
A Meta döntése kapcsán érdemes megemlíteni, hogy az EU-ban tavaly októberben fogadták el a digitális szolgáltatásokra vonatkozó jogszabályt (Digital Services Act; DSA) és szintén a közelmúltban (február 17-én) járt le az első jelentős határidő a DSA alkalmazása kapcsán, ugyanis eddig a határidőig kellett az érintett szereplőknek adatot szolgáltatniuk, amely alapján megítélhető, hogy a DSA értelmében óriásplatformnak minősülnek-e és így az ezzel járó speciális kötelezettségek is alkalmaznadók-e az esetükben (a Meta alá tartozó Facebook és Instagram esetében a minősítés viszonylag egyértelműnek látszik).
Anélkül, hogy a DSA közvetítő szolgáltatókra, platfromokra, stb. kiterjedő szabályainak elemzésébe belemennénk, érdemes megjegyezni, hogy a jogszabály számos olyan, az átlátható és biztonságos online környezet megteremtésére vonatkozó kötelezettséget ír elő, amelyek tekintetében az egyes biztonsági intézkedések korlátozott (pl. előfizetői kör) részére történő lehetővé tétele felveti a kérdését, hogy ez megfelelő keretet biztosít-e a DSA-ban foglalt kötelezettségek teljesítéséhez.
Az alábbiakban - a fentiekben említett konkrét előfizetéses szolgáltatásoktól elvonatkoztatva - röviden azt tekintem át, hogy egy szolgáltatás biztonságossága kapcsán milyen általános követelményeket állapít meg a vonatkozó szabályozás (különös tekintettel a GDPR-ra).
A GDPR az alapelvek között is rögzíti, miszerint a "személyes adatok [...] kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”)." (GDPR 5. cikk (1) bekezdés f) pont)
Az adatbiztonság garantálására vonatkozó általános követelmények megjelennek az adatkezelő feladatai (24. cikk), a beépített- és alapértelmezett adatvédelem elvei (25. cikk) és az adatbiztonsági kötelezettségek (32. cikk) között is.
A beépített és alapértelmezett adatvédelem (GDPR 25. cikk) jó kiindulópont lehet az adott adatkezelés tekintetében alkalmazandó technikai és szervezési intézkedések vizsgálatához, ráadásul ebben segítséget nyújthat az Európai Adatvédelmi Testület 4/2019. számú iránymutatása. Az iránymutatás kiemeli, hogy az adatkezelő által alkalmazott intézkedéseknek hatékonynak kell lenniük az alapelveknek (beleértve természetesen az "integritás és bizalmas jelleg", továbbá a "tisztességes eljárs" elveit is) való megfelelés érdekében. Az alábbi szempontokat kell elsősorban figyelembe venni a beépített adatvédelem elvének való megfelelés kapcsán:
- a tudomány és technológia állása,
- a megvalósítás költségei,
- az adatkezelés jellege, hatóköre, körülményei és céljai,
- a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat.
Abban az esetben, ha a szolgáltatás igénybevétele kapcsán felmerülő kockázatok a szolgáltatást igénybe vevőket egyformán érinthetik és rendelkezésre állnak olyan technikai és szervezési megoldások, amelyek magasabb szintű védelmet biztosítanak a kockázatok tekintetében, akkor kérdéses lehet, hogy a magasabb szintű védelmi intézkedéseket csak külön ellenszolgáltatás esetében biztosítva eleget tesz-e a szolgáltató a jogszabályi kötelezettségeinek és a nem fizető felhasználói tekintetében hatékony intézkedéseket biztosít-e.
A fenti kérdések továbbgondolásához érdekes lehet a 4/2019. sz. iránymutatás 3.3. pontjában szereplő 2. példa:
Egy másik adatkezelő személyes adatokat kezel streamingszolgáltatás nyújtása céljából, mely szolgáltatás esetében a felhasználók választhatnak egy szokványos minőségű rendes előfizetés és egy magasabb minőségű prémium előfizetés között. A prémium előfizetés részeként az előfizetők elsőbbségi ügyfélszolgálatot kapnak.
A tisztességes eljárás elvére tekintettel a prémium előfizetőknek nyújtott elsőbbségi ügyfélszolgálat nem különböztetheti meg hátrányosan a rendes előfizetők lehetőségét arra, hogy gyakorolják az általános adatvédelmi rendelet 12. cikke szerinti jogaikat. Ez azt jelenti, hogy bár a prémium előfizetők elsőbbségi szolgáltatást kapnak, ez nem eredményezheti az arra irányuló megfelelő intézkedések hiányát, hogy a rendes előfizetők kéréseit indokolatlan késedelem nélküli, de legkésőbb a kérések kézhezvételétől számított egy hónapon belül megválaszolják.
A kiemelt ügyfelek fizethetnek a jobb szolgáltatásért, de minden érintett számára egyenlő és hátrányos megkülönböztetéstől mentes lehetőséget kell biztosítani arra, hogy az általános adatvédelmi rendelet 12. cikke szerint érvényesítsék jogaikat és szabadságaikat. (Kiemelés tőlem. Lásd 4/2019. sz. iránymutatás, 70. pont, 2. példa, 21. oldal)
Önmagában tehát a kiemelt ügyfészolgálat nem feltétlenül jelenti a tisztességes eljárás elvének a sérelmét, feltéve, ha a pérmium szolgáltatást igénybe nem vevők is a jogszabályban foglalt követelményeknek megfelelően gyakorolhatják a jogaikat. A biztonsági intézkedések kapcsán azonban még érdekesebb lehet a kérdés, mert önmagában a jogszabályban foglalt minimum követelményeknek való hatékony megfelelés is veszélybe kerülhet, ha egyes biztonsági intézkedések kizárólag díj ellenében érhetők el, azaz a kiemelt védelmet nem a kiemelt kockázatok, csupán a szolgáltatást használók fizetési hajlandósága határozza meg. Tetézve azzal, hogy alapvetően ingyenesen* igénybe vehető szolgáltatásról van szó, azaz számos felhasználó esetében a biztonságért való külön anyagi áldozatvállalás nem feltétlenül merül fel. (*A szolgáltatások ingyenessége, illetve az adatokkal történő fizetés témája már hosszú ideje napirenden szerepel, jelen posztban erre külön nem térek ki.) Az sem szabad szem elől téveszteni, hogy az előfizetés keretében biztosított szolgáltatások adott esetben nem csak a biztonsággal, illetve az adatkezeléssel kapcsolatosak, így a felhasználó számára a biztonsági megfontolások "elveszhetnek a sorok között".
A szolgáltatás használatának nagyobb biztonságával kapcsolatos elvárások, illetve az erre vonatkozó szolgáltatói kommunikáció arra is alkalmas lehet, hogy ún. sötét mintázatok (dark patterns) révén ösztönözzön adatkezelést is érintő döntések meghozatalára (pl. magasabb azonosításhoz szükséges további adatok megadása, igazolványmásolat rendelkezésre bocsátása, stb.), ráadásul fizetési kötelezettségek vállalására. (Lásd a téma kapcsán a Testület 2022/3. sz. iránymutatását, amely a közösségi médiában alkalmazott sötét mintázatok témájával foglalkozik.)
Az egyes (további) biztonsági megoldások külön ellenszolgáltatás ellenében történő elérhetővé tétele tehát minden esetben gondos vizsgálatot igényel, felmérve az adott szolgáltatás jellegét, a kapcsolódó adatkezelés körülményeit, a fellépő esetleges kockázatokat és egyéb, a hatékony technikai és szervezési intézkedések meghatározásához szükséges szempontokat.