A szövetségi szintű adatvédelmi szabályozás gondolata rendszeresen felmerül az Egyesült Államokban, aztán - időről-időre benyújtott törvényjavaslatok (pl. "Safe Data Act" törvényjavaslat 2021-ben, vagy az ún. "ADPPA" törvényjavaslat 2022-ben, illetve további, elfogadásra nem került javaslatok böngészhetők itt) és hosszas diskurzus után - tipikusan kevés előrehaladást tapasztalhatunk a területen. Mindeközben a tagállami szintű adatvédelmi szabályozás egyre több helyen kerül elfogadásra és teszi az adatvédelmi megfelelést komoly kihívássá az Egyesült Államokban, hiszen - számos hasonló pont ellenére - a tagállami szintű szabályok jelentős számú eltérést is mutatnak, mind hatályukat, mind a konkrét követelményeiket tekintve.
Most újra felcsillant a remény egy szövetségi szintű adatvédelmi szabályozás elfogadására, miután a Szenátusban kétpárti javaslatként benyújtásra került az ún. American Privacy Rights Act (rövidítve: "APRA").
Mit szabályozna az APRA?
A törvényjavaslat számos ismerősen csengő pontot tartalmaz:
- egyrészt az EU-ban is bevett adatkezelő szerephez hasonlóan határozza meg a szabályozásnak megfelelni kötelezett ún. "covered entities" fogalmát (a kisvállalkozások bizonyos feltételek teljesülése esetén mentesülnének a szabályozás alól), illetve megjelenik az adatfeldolgozóhoz hasonló fogalomként a szolgáltatás nyújtó ("service provider"),
- a szabályozással lefedett adatkategóriák köre ("covered data") szűkebb a GDPR személyes adat fogalmánál, nem terjed ki például a munkavállalói adatokra, illetve a nyilvánosan elérhető adatokra, megjelenik ugyanakkor a különleges vagy érzékeny adatok kategóriája ("sensitive covered data"), amely a GDPR szerinti különleges adatoknál (9. cikk (1) bek.) szélesebb kategória (pl. fizetési adatokat vagy pontos geolokációs adatokat is lefed),
- a szabályozás kitér olyan alapvető kérdésekre, mint az adatminimalizáslás (a GDPR szerinti terminológiával "adattakarékosság"), illetve az átláthatóság,
- fontos szerepet kap a fogyasztók (consumer) adataik feletti kontrolljának a biztosítása és ezzel együtt a fogyasztóknak biztosított tiltakozási (ún. "opt-out") mechanizmusok az adatok továbbítása, illetve a célzott hirdetésekhez történő felhasználása tekintetében,
- a javaslat részét képezik adatbiztonsági szabályok is, amelyeknek kockázatalapú megközelítéssel, az adott szervezett méretéhez és az általa végzett, az adatok kezelését érintő tevékenységéhez kell igazodniuk,
- külön szabályok vonatkoznak az adatkereskedőkre (data broker),
- az "algoritmikus" adatkezelés és döntéshozatal körében is megállapítana a szabályozás alapvető rendlekezéseket, beleértve - bizonyos körben - a tiltakozási jog (opt-out) biztosítását,
- a szabályozás végrehajtása körében a Federal Trade Commission (FTC) kapna kiemelt szerepet, de tagállami szinten is megjelennének ezzel kapcsolatos feladatok és természetesen civiljogi alapon az érintett személyek is érvényesíthetnék a jogaikat,
- az Egyesült Államok jogi berendezkedésére tekintettel fontos része a szabályozásnak, amely rendezi a tagállami jogszabályokhoz és az egyéb szövetségi szintű szabályokhoz való viszonyt, azaz, hogy mely esetben, mely szabályozásnak van elsődlegessége.
(További részletek a javaslat tartalmáról megtalálhatók - többek között - ebben az összefoglalóban (section-by-section summary), az IAPP rövid áttekintésében, vagy a TechPolicy.Press oldalon elérhető összefoglalóban.)
Ebből most tényleg lehet valami?
A szabályozás elfogadását illető szkepticizmus mindenképpen indokolt, hiszen - ahogy a bevezetőben is jeleztem - hosszú múltra tekintenek vissza a vonatkozó törvényjavaslatok, de eddig a próbálkozásokat nem koronázta siker. Az elnökválasztás évében, ráadásul számos lobbiérdeknek kitéve, természetesen most is kérdéses, hogy mennyire messze juthat el a javaslat, de az elsődleges reakciók alapján azért érdemes figyelemmel kísérni a törvényjavaslat körüli diskurzust.
A szövetségi szintű adatvédelmi szabályozás szükségessége melletti újabb érv lehet, hogy a technológiai fejlődéssel, így elsősorban a mesterséges intelligenciát illetően megjelenő szabályozási igény megfelelő kiszolgálásához is jó alapot kínálhat egy egységes, szövetségi adatvédelmi szabályozás, hasonlóan az EU-ban kialakult szabályozási struktúrához, amelyben a GDPR, mint egységes adatvédelmi keretre támaszkodhat a további adatjogi, illetve MI szabályozás is (lásd pl. az elfogadott adatrendeletet (Data Act), illetve a kihirdetéshez egyre közelebb kerülő MI Rendeletet).
Miért lehet fontos az USA-ban esetlegesen elfogadásra kerülő szövetségi szintű adatvédelmi szabályozás a világ többi része, így az EU számára?
Az USA gazdasági szerepe, illetve technológiai téren felmutatható ereje, amely többek között néhány amerikai technológiai óriás szinte megkerülhetetlen jellegében is testet ölt, miatt az USA-ban alkalmazásra kerülő, az adatok kezelését érintő szabályoknak az USA-n jóval túlmutató jelentősége lehet. Az EU-ból az USA-ba irányuló adattovábbítások jogszerűsége körül kialakult vitákban (lásd pl. Schrems-ügyekben hozott döntések) is fontos szerepet játszhat az, hogy miként alakul az adatvédelmi szabályozás az Egyesült Államokban.