GDPR

Adatvédelem mindenkinek / Data protection for everyone

Az Európai Adatvédelmi Testület iránymutatása: sütiken innen és túl

2023. november 21. 11:30 - poklaszlo

Az online világban az egyik leggyakrabban, bár szinte észrevétlenül alkalmazott jogszabály, az ún. e-Privacy irányelv, amely - sok más mellett - a végberendezéseken (pl. számítógép, laptop) történő adattárolás, és a tárolt adatokhoz való hozzáférés kérdését szabályozza. A legtöbbször a sütik alkalmazása kapcsán kell(ene) érvényesülnie a szabályozásnak, ugyanakkor számos más technológiai megoldás is felmerülhet, amely szintén az irányelv 5. cikk (3) bekezdése alá tartozik (pl. pixelek). Az Európai Adatvédelmi Testület friss, egyelőre konzultációra közzétett iránymutatása éppen emiatt született, hogy az irányelv kérdéses cikkének a technikai értelemben vett alkalmazási körét vizsgálja és újabb technológiai megoldások tekintetében egyértelműsítse.   

Irányelvi rendelkezésről lévén szó, természetesen az egyes uniós tagállamokban, a tagállami jogszabályokba átültetett rendelkezések érvényesülnek közvetlenül, de ezek tartalma tekintetében az irányelvben foglaltaknak kell érvényesülniük. 

Az e-Privacy irányelv ("Elektronikus hírközlési adatvédelmi irányelv") 5. cikk (3) bekezdése az alábbiakat tartalmazza: 

"A tagállamok gondoskodnak arról, hogy egy előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés csak azzal a feltétellel legyen megengedett, ha az érintett előfizető vagy felhasználó a 95/46/EK irányelvvel összhangban történő – többek között az adatkezelés céljairól szóló – egyértelmű és teljes körű tájékoztatás alapján ehhez előzetes hozzájárulását adta. Ez a rendelkezés nem akadályozza az olyan műszaki tárolást, illetve műszaki hozzáférést, amelynek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás, vagy amelyre az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van."

Magyarországon a fenti irányelvi rendelkezés átültetése az elektronikus hírközlési törvényben történt meg: 

"Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni." (155. § (4) bekezdés)

1. Az irányelvi rendelkezés vizsgálandó elemei

Az iránymutatás alapvető célja, hogy az irányelv 5. cikk (3) bekezdésének alkalmazási körére vonatkozó technikai elemzést végezzen, tisztázva, hogy milyen eseteket fed le "egy előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés" (angolul: "to store information or to gain access to information stored in the terminal equipment of a subscriber or user") fordulat. Ennek megfelelően azt nem elemzi az iránymutatás, hogy az 5. cikk (3) bekezdés tekintetében milyen esetekben merül fel a hozzájárulás beszerzése alóli mentesülés, azaz mely esetek tekinthetők a főszabály alóli kivételnek. 

Az iránymutatás az alábbi négy kritériumot elemzi az irányelv 5. cikk (3) bekezdése kapcsán:

  1. "A" kritérium: a tevékenységnek adatot (információ) illetően kell megvalósulnia. (Az irányelv magyar fordításában "adat" szerepel, míg az angol eredeti "információt" tartalmaz. Ez önmagában felvethet értelmezési kérdéseket, mindenesetre az egyértelmű, hogy az e-Privacy irányelv ezen szabálya nem csak a személyes adatokra vonatkozik, hanem ezen túlmenően minden adatra.)
  2. "B" kritérium: a tevékenységnek az előfizető vagy a felhasználó végberendezését érintően kell megvalósulnia.
  3. "C" kritérium:  a tevékenységnek az elektronikus hírközlő hálózaton keresztül történő közléstovábbításhoz kell kapcsolódnia. 
  4. "D" kritérium: a tevékenység "hozzáférést" (gaining access) vagy "tárolást" (storage) valósít meg. 

Magyarországon az elektronikus hírközlési törvény (2003. évi C. törvény) tartalmazza a rendelkezés értelmezéséhez szükséges fogalommeghatározásokat is (lásd 188. §): 

  • Előfizető: olyan természetes vagy jogi személy, vagy más szervezet, aki vagy amely a nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtójával ilyen szolgáltatások igénybevételére vonatkozó szerződéses viszonyban áll.
  • Felhasználó: az a természetes személy, jogi személy vagy egyéb szervezet, aki vagy amely nyilvánosan elérhető elektronikus hírközlési szolgáltatást használ vagy igényel. (Az e-Privacy irányelv 2. cikk a) pontja szerint "felhasználó: a nyilvánosan elérhető elektronikus hírközlési szolgáltatást magáncéllal vagy üzleti céllal használó minden természetes személy, aki nem feltétlenül előfizetője az adott szolgáltatásnak.")
  • Elektronikus hírközlő végberendezés: a hálózati végponton vezetékes vagy vezeték nélküli módon közvetlenül vagy közvetve kapcsolódó eszköz, amelynek célja információk küldése, feldolgozása vagy fogadása, beleértve a műholdas földi állomások berendezéseit is. (Uniós szinten a fogalom definíciója a 2008/63/EK irányelvben szerepel. Lásd 2008/63/EK irányelv, 1. cikk 1. pont: "végberendezés: a) olyan, információk küldésére, feldolgozására vagy vételére szolgáló berendezés, amely valamely nyilvános távközlési hálózat interfészéhez közvetlenül vagy közvetve kapcsolódik; mind közvetlen, mind közvetett csatlakozások esetében az összeköttetés vezetékes, száloptikás vagy elektromágneses módszerrel építhető ki; közvetett csatlakozás esetében a végberendezés és a nyilvános hálózati interfész között még egy berendezés helyezkedik el; b) a műholdas földiállomás-berendezések")

"A" kritérium: adat (információ)

  • Az iránymutatás az e-Privacy irányelv Preambulumának (24) bekezdéséből indul ki, miszerint "az elektronikus hírközlő hálózatok felhasználóinak végberendezései és az azokon tárolt minden adat a felhasználók magánszférájának részét képezi, amelynek az Emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény alapján védelmet kell élveznie".
  • Az iránymutatás hivatkozik az Európai Bíróság gyakorlatára is (C‑673/17. sz. ügy, "Planet-ügy", 70. pont): "Ezt az értelmezést támasztja alá a 2002/58 irányelv (24) preambulumbekezdése is, amely szerint az elektronikus hírközlési hálózatok felhasználóinak végberendezésén tárolt minden adat a felhasználók magánéletének részét képezi, amelynek az Emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény alapján védelmet kell élveznie. Ez a védelem minden olyan adatra vonatkozik, amelyet e végberendezésen tárolnak, függetlenül attól, hogy személyes adatokról van‑e szó, vagy sem, és – amint ugyanezen preambulumbekezdésből kitűnik – különösen arra irányul, hogy megvédje a felhasználókat annak veszélyével szemben, hogy rejtett azonosítók vagy egyéb hasonló eszközök e felhasználók tudtán kívül bejussanak a végberendezéseikbe."
  • Az e-Privacy irányelv 5. cikk (3) bekezdésének alkalmazása kapcsán tehát az adat (információ) fogalmát érintően abból kell kiindulnia, hogy e körbe a személyes adat és a nem személyes adat is beletartozik, függetlenül attól, hogy az adatot a végberendezésen ki (pl. maga a felhasználó, a gyártó, vagy bármely más entitás) és hogyan tárolta. 

"B" kritérium: a felhasználó vagy előfizető végberendezése

  • Az iránymutatás kiemeli, hogy az irányelv célja nem csupán a közlés bizalmasságának, hanem a végberendezés integritásának a védelme is. 
  • A végberendezés esetében az irányelv 5. cikk (3) bekezdésének alkalmazandósága szempontjából irreleváns, hogy fizikailag egy adott eszköz önmagában tartalmazza a funkcionálisan szükséges valamennyi elemet vagy a végberendezés több hardware elemből "áll össze".
  • A végberendezés használatának a jogcíme (tulajdon, bérlet, stb.) szintén lényegtelen az irányelvi rendelkezés alkalmazása szempontjából. 
  • Több felhasználó vagy előfizető is használhatja ugyanazt a végberedezést. Ez sem zárja ki a szabály alkalmazását. Továbbá egy kommunikáció érinthet több végberendezést is. 
  • Az sem releváns az alkalmazhatóság szempontjából, hogy a felhasználó vagy előfizető kezdeményezte-e a kommunikációt vagy sem, illetve elképzelhető az is, hogy a felhasználó vagy előfizető nem is tud a kommunikáció megtörténtéről. 

"C" kritérium: elektronikus hírközlő hálózat

  • Az elektronikus hírközlő hálózat fogalmát az uniós jogban a 2018/1972 irányelv ("Európai Elektronikus Hírközlési Kódex létrehozásáról") határozza meg (2018/1972. sz. irányelv, 2. cikk 1. pont). Magyarországon az elektronikus hírközlési törvény az irányadó. 
  • Lényeges, hogy az e-Privacy irányelv 5. cikk (3) bekezdésének alkalmazhatósága a nyilvános elektronikus hírközlő hálózatokra korlátozódik. (Ez következik egyrészt az e-Privacy irányelv 3. cikkéből (érintett szolgáltatások), a felhasználó fogalmából, illetve az elektronikus hírközlési végberendezés fogalmából is.) 

"D" kritérium:

hozzáférés (gaining access)

  • Az iránymutatás leszögezi, hogy a "hozzáférés" (gaining access) tartalmának az értelmezése kapcsán a e-Privacy irányelv magánszféra védelmi funkciójából kell kiindulni és az információhoz való hozzáférés jelentős beavatkozást jelent a magánszférába. 
  • A vizsgált irányelvi rendelkezésben szereplő két művelet (tárolás és hozzáférés) egymástól függetlenül vizsgálható, nem szükséges, hogy ezekre együtt kerüljön sor és az sem, hogy ezeket ugyanaz a fél valósítsa meg.  
  • Hivatkozva a 9/2014. sz., a 29-es Cikk szerinti Adatvédelmi Munkacsoport által kiadott véleményre, az iránymutatás azt is rögzíti, hogy a tárolásnak és a hozzáférésnek nem kell ugyanazon kommunikáció során és ugyanazon fél által történnie. Egy korábbi "hozzáférés" során megszerzett, tárolt információhoz történő későbbi, akár másik fél által történő hozzáférés is az e-Privacy irányelv 5. cikk (3) bekezdésének hatálya alá esik. 
  • Az iránymutatás alapján az 5. cikk (3) bekezdése akkor is alkalmazandó, ha az egyik fél által alkalmazott megoldásnak köszönhetően kerül sor a végberendezésről származó információk küldésére (hozzáférés) és ezt egy másik fél (azaz nem a hozzáférés érdekében technikai megoldást alkalmazó fél) dolgozza fel. 

tárolás (storage)  

  • Az e-Privacy irányelv 5. cikk (3) bekezdés vonatkozásában a "tárolás" a felhasználó vagy előfizető végberendezésének részét képező adattároló eszközön történő adat (információ) elhelyezést jelenti ("placing information on a physical electronic storage medium that is part of a user or subscriber’s terminal equipment"). 
  • Az irányelv nem tartalmaz semmilyen szűkítést az adat tárolásának időtartama vagy az adat mennyiségét illetően. Ennek megfelelően bármilyen rövid ideig és kis terjedelemben tárolt adat esetében alkalmazandó az irányelvi rendelkezés. 
  • Az alkalmazott tároló eszköz fajtájától (pl. HDD, SSD, RAM, CPU, stb.) és az adatkapcsolat módjától (belső, külső, hálózati) sem függ az alkalmazandóság. 
  • A tárolt adat pedig származhat bárkitől (pl. magától a felhasználótól, előfizetőtől vagy az eszköz gyártójától vagy mástól). 

2. Egyes felhasználási esetek (use cases)

Az iránymutatás az 5. cikk (3) bekezdés alkalmazhatósági kritériumainak technikai elemzését követően néhány tipikus esetet tekint át. Ezek nem adnak kimerítő felsorolást az alkalmazható technikai megoldásokra, amelyek az irányelv alkalmazási körébe eshetnek, de a napjainkban széles körben alkalmazott megoldásokat igyekszik az iránymutatás számba venni.

Fontos kiemelni, hogy amennyiben a végberendezésen tárolt információk feldolgozása a végberendezésen történik meg, azaz amennyiben az adat nem hagyja el az eszköz, nem történik hozzáférés elektronikus hírközlő hálózaton keresztül, addig az 5. cikk (3) bekezdése nem alkalmazandó. Pl. egy okostelefonon történő műveletek esetében (fotókhoz, mikrofonhoz, kontakt listához történő hozzáférés). 

A vizsgált technikai megoldások az alábbiak: 

  • URL és pixel alapú nyomonkövetés
  • helyi (végberendezésen) történő feldolgozás
  • IP-címen alapuló nyomonkövetés
  • IoT eszközökről származó adatok időszakos és közvetített (közvetett) továbbítása
  • egyedi azonosító 

URL és pixel alapú nyomonkövetés (URL and pixel tracking) 

Az URL és pixel alapú nyomonkövetés különböző lehetséges megoldásainak rövid áttekintése után, az iránymutatás rögzíti, hogy ezen megoldások megvalóstíják az adathoz való hozzáférést és így az e-Privacy irányelv 5. cikk (3) bekezdése alkalmazandó.  

A helyi (végberendezésen) történő feldolgozás (local processing)

Abban az esetben esnek ezek a megoldások az e-Privacy irányelv hatálya alá, ha a végberendezésen előállított, ott feldolgozott adathoz hozzáférés történik a hírközlési hálózaton keresztül. 

IP-címen alapuló nyomonkövetés (tracking based on IP only)

Abban az esetben esik az e-Privacy irányelv hatálya alá, ha az IP-cím a végberendezésről származik. 

IoT eszközökről származó adatok időszakos és közvetített (közvetett) továbbítása (Intermittent and mediated IoT reporting)

Ha az IoT eszköz közvetlenül kapcsolódik a hírközlési hálózathoz, akkor végberendezésnek minősül és ekként alkalmazandó rá az e-Privacy irányelv 5. cikk (3) bekezdése. Ha a kapcsolat csak közvetett (pl. az IoT eszköz az adatokat egy okostelefonra továbbítja pl. Bluetooth-on keresztül és ezen keresztül - az elektronikus hírközlési hálózat igénybevételével - válik hozzáférhetővé), akkor az e-Privacy irányelv alkalmazása attól függ, hogy a köztes eszközről (pl. okostelefon) továbbításra kerül-e az adat, történik-e elektronikus hírközlési hálózaton keresztül hozzáférés. Ha igen, akkor az irányelv 5. cikk (3) bekezdése alkalmazandó.  

Egyedi azonosító (Unique Identifier)

Az, hogy az azonosító képzése a felhasználó által megadott adatok (inputok) alapján történik nem akadálya az irányelv 5. cikk (3) bekezdés alkalmazásának, ha az azonosítóhoz hozzáférés történik. 

3. Az iránymutatás jelentősége  

  • Az iránymutatásnak fontos szerepe lehet abban, hogy segítsen "túllátni a sütiken" és egyértelművé tegye, hogy az e-Privacy irányelv 5. cikk (3) bekezdése - bár a gyakorlatban talán valóban a sütik kapcsán kerül leggyakrabban szóba - nem csak a sütikre vonatkozik, hanem "technológiasemlegesen" minden olyan esetben alkalmazandó, amikor a végberendezésen tárolt adathoz (személyes és nem személyes adathoz egyaránt) elektronikus hírközlő hálózaton keresztül történik hozzáférés. 
  • A Testület iránymutatása - együtt az összekapcsolt járművekre vonatkozó 1/2020. sz. iránymutatással, a GDPR és az e-Privacy irányelv közötti kölcsönhatást vizsgáló 5/2019. sz. véleménnyel és a 29-es Cikk szerinti Munkacsoport vonatkozó véleményeivel - segíthet eligazodni az e-Privacy irányelv és a GDPR által is érintett adatkezelések tekintetében is.
  • Fontos megjegyezni, hogy az e-Privacy irányelvet leváltani hívatott e-Privacy Rendelet megalkotására vonatkozó folyamat elakadt és egyre kisebb az esély rá, hogy az e-Privacy Rendelet elfogadásra kerüljön (bár a jövő évi bizottsági munkatervben még szerepel). Ez pedig rávilágít arra a helyzetre is, hogy az online térben alkalmazott technológiai megoldások tekintetében nem a legszerencsésebb helyzet, hogy az egyébként is komoly fejtőrést okozó e-Privacy szabályok irányelvi formájának köszönhetően az egyes tagállamokban nem teljesen azonosan kerültek átültetésre (lásd például fent a magyarországi implementációt). Ezen is alapulhat, hogy egyes tagállami jogértelmezés, jogalkalmazás nem minden esetben egyezik meg teljesen az iránymutatásban foglaltakkal (erre példaként - Peter Craddock alább hivatkozott véleményében - a német adatvédelmi hatóságok konferenciájának (DSK) 2021-es jogértelmezése és a Baden-Württemberg Adatvédelmi Hatóságának 2022-es véleménye szerepel. Az eddigi németországi jogértelemzésnél szélesebb körű alkalmazandóságra hívja fel a figyelmet a Piltz Legal ügyvédi iroda által publikált összefoglaló is.)

Az iránymutatás még konzultációs fázisban van (december 28-ig), így elképzelhető, hogy a visszajelzések alapján finomításra kerül. Többen fogalmaztak meg máris kritikát az iránymutatással kapcsolatban, kiemelve annak túlzott szigorát, a kiterjesztő értelmezést (elsősorban a "hozzáférés" (gaining access) és az "adattárolás" (storage) kapcsán), illetve az iránymutatás alkalmazásának tényleges hatásait figyelmen kívül hagyó, koncepciózusnak tekinthető megközelítést (lásd pl. itt Peter Craddock ügyvéd írását).

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr1318260881

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása