"Hogy rohan az idő!", állapítjuk meg sokszor, amikor egy évfordulóhoz érkezünk. Ez a felkiáltás kijár a mostani GDPR évforduló alklamából is, hiszen a GDPR alkalmazandóvá válása, azaz 2018. május 25. óta már 5 év telt el. Az adatvédelem, mint viszonylag fiatal jogterület (éppen májusban ünnepelhettük az első nemzeti adatvédelmi törvény elfogadásának 50. évfordulóját) tekintetében ráadásul 5 év különösen nagy idő lehet, főleg amikor a technológiai fejlődésnek is köszönhetően, csak kapkodjuk a fejünket. Az elmúlt 5 évben ráadásul elég sok minden történt az adatvédelem területén. Az alábbiakban néhány kérdés kapcsán a GDPR elfogadásához fűzött reményekhez és a jogszabály alkalmazásának gyakorlati tapasztalatihoz fűződő kérdésekre keresem a választ.
Mennyire váltotta be a GDPR az elfogadásához fűzött reményeket?
A GDPR elfogadása, majd alkalmazandóvá válása kapcsán jelentős várakozások jelentek meg az adatvédelmi jogérvényesítéssel kapcsolatban. A GDPR-ban megjelenő, a korábbiakhoz képest nagyon nagy ugrást jelentő bírságkiszabási lehetőségek jóval komolyabb bírságokat, elsősorban a technológiai vállalatokkal szembeni erőteljesebb jogérvényesítést vetítettek előre.
A kiszabott bírságok összege valóban jelentősebb lett, az IAPP gyűjtése alapján az elmúlt öt évben több, mint 4 milliárd eurónyi bírságot szabtak ki, míg a DLA Piper ügyvédi iroda 2022-re vonatkozó éves jelentése szerint a kiszabott bírságok összege (EU 27 + Norvégia, Izland, Lichtenstein és Egyesült Királyság) 2022-ben 1,64 milliárd euró volt, 50 %-al magasabb, mint 2021-ben, amikor a bírságok együttes összege nagyságrendelieg 1,1 milliárd eurót tett ki.
A bírságok összesített összegének növekedése látványos (főleg, hogy a héten kiszabott 1,2 milliárd eurós Meta bírság további jelentős éves növekedést jelez), ennek ellenére számos kritikát is hallhatunk a GDPR-ban foglaltak kikényszesítésével kapcsolatban. Az Irish Civil Council of Liberties (ICCL) jelentése például azt emeli ki, hogy a határokon átnyúló, EU-szintű ügyekben nem történt megfelelő áttörés és az ügyek 64%-a nem bírsággal, hanem pusztán elmarasztalással (jogsértés megállapítása) zárul, bírság nélkül.
Az aránytalanságokat jól mutatja, hogy a nagy tech cégek alapvetően Írországban rendelkeznek központtal, így az ír adatvédelmi hatóság (DPC) jár el fő felügyeleti hatóságként, ugyanakkor a DPC fellépésének határozottságát - finoman szólva is - sok kritika érte az elmúlt években. Az ICCL riportja szerint az ír hatóság előszeretettel zárja le bírság nélkül a tech cégekkel szembeni eljárásait és az Európai Adatvédelmi Testület elé kerülő ügyek esetében (amikor a fő felügyleti és a többi érintett hatóság nem tud megegyezésre jutni) az ír hatóság döntéstervezetét 75%-ban "felülírják". Ennek ellenére is az EU-ban kiszabott 10 legnagyobb bírság közül 5 került Írországban kiszabásra a Metahoz köthetően (1,2 milliárd EUR, 405 millió EUR, 390 millió EUR, 265 millió EUR, 225 millió EUR).
Mik voltak az elmúlt évek adatvédelmi slágertémái?
Nagyon sok mindenről olvashattunk, hallhattunk az adatvédelem kapcsán az elmúlt években. Ha csak néhány kiemelt témát akarunk említeni, akkor a nemzetközi (EU-n kívülre irányuló) adattovábbítások témája mindenképpen a sor elejére kívánkozik. A Schrems II. ítélet 2020-ban komoly kihívást intézett az adattovábbítások fennálló rendjével szemben, amellyel az adatkezelők többségének lényegében a mai napig nem sikerült megküzdenie. Részben a nemzetközi adattovábbításokkal összefüggésben említhető a sütikezelés kérdése, amely kapcsán - az adattovábbítási kérdések mellett - az e-Privacy vonatkozások és a sütifalak témája is gyakran felmerült, az Európai Adatvédelmi Testült külön munkacsoportja is foglalkozott ezzel.
Az elmúlt hónapok témái közül kiemelkednek a mesterséges intelligencia alkalmazásával összefüggő témák, különös tekintettel a ChatGPT-t érintően elindított vizsgálatokra. (A ChatGPT elérésének március végi olaszországi blokkolásáról lásd a korábbi posztot itt, míg az egyéb, ChatGPT-t érintő adatvédelmi jogalkalmazási fejleményekről itt írtam.) Az MI megoldásokat érintő adatvédelmi ügyek kapcsán érdemes kiemelni, hogy nem a ChatGPT-t érintően indított és nagy érdeklődésre számot tartó adatvédelmi eljárások voltak az elsők ebben a témakörben, hanem - ahogy arról itt írtam részletesebben - több országban (pl. Franciaországban, Olaszországban, Magyarországon) is születtek már MI-t érintően adatvédelmi bírságok, a Clearview AI nevű alkalmazás kapcsán péládul Olaszország mellett Franciaország, Görögország és az Egyesült Királyság is jelentős összegű bírságokat szabott ki és legutóbb Ausztriában - igaz bírság kiszabása nélkül - megállapították az alkalmazás működésének jogszerűtlenségét.
Miért szabták ki a legmagasabb összegű bírságot?
A GDPR-t az elfogadását követően többek között az emelte a figyelem középpontjába, hogy a korábbi adatvédelmi szabályokhoz képest nagyon komoly bírságok kiszabását tette lehetővé. Ahogy telt az idő a GDPR alkalmazandóvá válását követően, egyre gyakrabban fogalmazódott meg a vád, hogy a hatóságok nem élnek elég bátran a bírságolási jogkörükkel és bár voltak nagy összegű bírságok, de igazán "nagy durranás" nem történt. Remek időzítéssel azonban éppen a héten szabott ki - az Európai Adatvédelmi Testület eljárását követően - az ír adatvédelmi hatóság 1,2 milliárd euró bírságot a Meta-ra, mégpedig az USA-ba irányuló, a Schrems II. döntést követően, ún. általános adatvédelmi kikötéseken (SCCs) alapuló, ugyanakkor a GDPR-ban támasztott követelményeknek nem megfelelő adattovábbítás miatt.
Mik a GDPR alkalmazásának jelenlegi legnagyobb kihívásai?
Az adatkezelők nagyon széles körét érintik jelenleg is a sütikezeléssel, adattovábbítással kapcsolatos kihívások, továbbá - az adattovábbítási kérdésektől nem függetlenül - a felhőszolgáltatások igénybevétele szintén komoly fejtörést okozhat, hiszen a jelenleg elérhető igazán versenyképes felhőszolgáltatások kapcsán (amelyeket alapvetően az Egyesült Államokhoz köthető technológiai cégek nyújtanak) az adattovábbítások kérdése rendre előkerül.
Természetesen egyes örök "slágertémák" is folyamatosan napirenden vannak, mint például a direkt marketinghez fűződő adatkezelések vagy a kamerás megfigyelésekkel összefüggő ügyek.
Az elkövetkezendő időszakban vélhetően szaporodni fognak a mesterséges intelligencia alkalmazásához kapcsolható adatvédelmi ügyek, továbbá az adat- és kiberbiztonsággal összefüggő témák, különös tekintettel arra, hogy e téren nagyon komoly szabályozási hullám zajlik az EU-ban (lásd pl. kiberbiztonsági jogszabály, a NIS2 irányelv, DORA rendelet, illetve a - készülő - kiberrezilienciáról szóló jogszabály).
Mennyire jövőbiztosak a GDPR szabályai?
A GDPR elfogadásakor célként jelent meg, hogy technológiasemleges szabályokat alkossanak, amelyek a technológiai fejlődés napjainkban tapasztalható sebessége mellett is kiállhatja az idők próbáját. Hosszabb távon kérdés lehet, hogy ez a kísérlet mennyire lesz sikeres, hiszen a jogalkalmazásban mutatkozó - fentiekben röviden érintett egyes - anomáliák is jelzik, hogy egyes területeken, ha másban nem is, de a végrehajtási szabályokban szükség lehet korrekciókra (lásd ehhez az Európai Bizottság korai szakaszban lévő javaslatát az adatvédelmi eljárási szabályok - határon átnyúló ügyek tekintetében megvalósuló - harmonizálása kapcsán).
Ugyanakkor a GDPR - minden vélt vagy valós hibája ellenére is - nagyon jelentős szerepet játszik az egyre inkább adatkezelések tömegére épülő világunkban és továbbra is fontos szerepet tölt majd be a személyes adatok védelméhez fűződő jog uniós védelme körében.
