A Magyarország versenyképességének javítása érdekében egyes törvények módosításáról szóló 2025. évi LXVII. törvény* több ponton is módosította a hivatalos statisztikáról szóló 2016. évi CLV. törvényt (a továbbiakban: "Stt."). Az Stt. 2. §-át érintő egyik módosítás, hogy új fogalomként megjelenik az "anonimizálás" a törvényben (az álnevesítéssel együtt).
*Ez a salátatörvény volt az is, amely az egészségügyi törvény módosításával lényegében kötelezővé tette az arcfelismerésen alapuló kórházi beléptetést.
Az anonimizálás - Stt-ben megjelenő - új fogalma szerint (2.§ 3a. pont):
anonimizálás: személyes adat olyan módon történő kezelése, amelynek következtében további információk felhasználásával sem állapítható meg többé, hogy a személyes adat mely konkrét természetes személyre vonatkozik.
Mi a probléma ezzel az új definícióval?
A látszólag teljesen ártalmatlan fogalommeghatározással kapcsolatban - sajnálatos módon - felmerül több értelmezési és jogi koherenciával kapcsolatos probléma is.
Ha a GDPR rendelkezéseiből indulunk ki, akkor azt láthatjuk, hogy - az álnevesítéssel szemben (lásd GDPR 4. cikk, 5. pont) - a GDPR nem definiálja az anonimizálást. A GDPR preambulumát is áttekintve ugyanakkor találhatunk támpontot az anonimizálás kapcsán (lásd (26) preambulumbekezdést, kiemelés tőlem):
Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.
A GDPR preambuluma tehát kétféle anonim adatot különböztet meg:
- az eleve anonim adatotok (amelyek eleve nem azonosított vagy azonosítható természetes személyre vonatkoznak), illetve
- az anonimizált adatok (amelyek személyes adatnak minősültek, de olyan műveleteket végeztek rajtuk, amelyek révén anonim adatokká váltak).
Az Stt-ben megjelenő új fogalom tehát erre az utóbbi adatkörre vonatkozóan definiálja magát az adatkezelési műveletet, amelynek alkalmazása révén az adat "elveszti" személyes adat jellegét. Ez önmagában nem jelent problémát, hiszen az Stt. rendszerében ez a releváns tevékenység, amikor a rendelkezésre álló személyes adatot anonimizálják, mert annak személyes adatként történő további kezelése a statisztikai céllal összefüggésben nem szükséges (lásd az Stt. - szintén a versenyképességre vonatkozó salátatörvénnyel - módosított 29. § (3) bekezdését).
Értelmezési nehézséget okozhat ugyanakkor, hogy a jogalkotó az anonimizálás definícióját a GDPR álnevesítés fogalmából kiindulva, azt módosítva alkotta meg.
A GDPR szerint "álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni". (Lásd GDPR 4. cikk, 5. pont).
Önmagában ez sem lenne természetesen probléma, ugyanakkor van egy lényeges különbség az álnevesített adat és az anonimizált adat között: míg az álnevesített adat továbbra is személyes adat marad (amit a GDPR szerinti definíció is tükröz, hiszen úgy szól, hogy az álnevesítés révén létrejövő adat esetében "további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik"), az anonimizált adat már nem személyes adat, így arra az adatvédelmi szabályok sem vonatkoznak (lásd GDPR (26) preambulumbekezdés).
Az Stt. új, "anonimizálásra" vonatkozó definíciója azonban nem következetes és - ugyan azt helyesen rögzíti, hogy további információk felhasználásával sem állapítható meg többé a kapcsolat az adat és a természetes személy között - továbbra is "személyes adatról" beszél ("[...] amelynek következtében további információk felhasználásával sem állapítható meg többé, hogy a személyes adat mely konkrét természetes személyre vonatkozik".) Ha nem állapítható meg többé, hogy az adat mely konkrét természetes személyre vonatkozik, akkor ez már nem személyes adat, így az adatvédelmi szabályok sem vonatkoznak rá. Ha viszont személyes adatról beszélünk, akkor nem történt meg az anonimizálás (legfeljebb álnevestíés vagy "személytelenítés" történik - a "személytelenítés" kapcsán lásd a nemzeti adatvagyon hasznosításának rendszeréről és az egyes szolgáltatásokról szóló 2023. évi CI. törvény, 2. §, 33. pontját*) és az adatvédelmi szabályok továbbra is alkalmazandók.
*A nemzeti adatvagyon hasznosításának rendszeréről és az egyes szolgáltatásokról szóló 2023. évi CI. törvény szerint:
"személytelenítés: a személyhez kapcsoltság megszüntetése valamely technikai megoldással, amellyel személytelenített adat jön létre." A személytelenített adat: a) olyan adat, amely alapján a természetes személy további információk felhasználásával sem azonosítható, azaz az anonimizált személyes adat, illetve az olyan védett adat, amely esetében az egyedi beazonosítás lehetősége véglegesen megszűnt, b) olyan adat, amely esetében az adathasznosítást végző szerv vagy személy nem rendelkezik azokkal a technikai feltételekkel, amellyel felfedheti az adat természetes személyhez kapcsoltságát, azaz az álnevesített személyes adat, illetve az olyan védett adat, amely esetében az egyedi beazonosításhoz szükséges technikai feltételekkel az adathasznosítást végző szerv vagy személy nem rendelkezik.” (A nemzeti adatvagyon hasznosításának rendszeréről és az egyes szolgáltatásokról szóló törvény - versenyképességre vonatkozó törvény 225.§-val - módosított 2. §, 34. pontja.)
A személytelenítés és a személytelenített adat tehát ebben az esetben egy gyűjtőfogalom, amely lefedi az anonimizálást és az álnevesítést is, illetve az ezen tevékenységek révén létrejövő adatokat is.
Elsőre lehet, hogy a fentiek kukacoskodásnak tűnnek, de mivel hatását és következményeit tekintve jelentős különbség van aközött, hogy anonim(izált) adatokról van szó, amelyeke a továbbiakban az adatvédelmi szabályok már nem vonatkoznak vagy olyan adatokról, amelyek - bár megfelelő technikai megoldásokkal védettek a könnyű azonosíthatósággal szemben - továbbra is személyes adatok (pl. álnevesített adat), így az adatvédelmi szabályok hatálya alá tartoznak.
Egy másik, a definícióval kapcsolatos kifogásként kell említenünk a jogalkotói következetlenséget, hiszen a fent már hivatkozott, a nemzeti adatvagyon hasznosításának rendszeréről és az egyes szolgáltatásokról szóló 2023. évi CI. törvény már tartalmazott "anonimizálásra" vonatkozó fogalommeghatározást (lásd 2.§, 6. pont), miszerint
anonimizálás: a személytelenítés körében személyes adatok olyan anonim adatokká történő átalakításának folyamata, amelynek következtében az érintett többé nem azonosítható.
Látható, hogy a fenti definícó kapcsán a jogalkotó még figyelt arra, hogy az anonimizálást követően már ne személyes adatról, hanem "anonim adatról" beszéljen, így is különbséget téve a különboző technikai műveletek eredményeként létrejövő adattípusok tekintetében.
Amellett, hogy az Stt-be most bevezetett új definíció nem a legszerencsésebben fogalmaz és a gyakorlatban akár jogértelmezési nehézségeket is jelenthet, problémás az is, ha a jogrendszeren belül lényegében ugyanarra a tevékenységre több, egymással nem azonos fogalommeghatározást találunk. Sokkal szerencsésebb lenne, ha az Stt. is hasonló deiníciót alkalmazna az anonimizálásra, mint a nemzeti adatvagyon hasznosítására vonatkozó törvény vagy akár hivatkozná a már meglévő törvényi meghatározást.
