The past bit more than one year has been in the shadow of the COVID-19 pandemic and a number of concepts that have previously been used only in scientific publications have become part of the public discussion. These include, among others, reproduction rate, flattening of the epidemic curve, and herd immunity. In addition to the emergence of some scientific concepts in our everyday conversations, another frequent side effect of the epidemic was the ongoing challenges to the practical applicability of data protection rules, making the data protection issues, which are often deemed as remote and theoretical, widely discussed and alive. On the one hand, these were issues that affected everyone, and on the other hand, they went into the depths of the private sphere, including the monitoring of people's movements, their contacts and their health. Depending on the different stages of the epidemic, there were various data protection "hot topics", ranging from contact tracing (including the use of applications for this purpose), analysis of movement/location data, applicability of various diagnostic tools (especially body temperature measurement and testing) to checking the immunity against COVID-19 (e.g. travel certificates).

Now, as we are celebrating the 3rd anniversary of the GDPR, we should consider, in light of the experiences of the past year, what is needed for a proper data protection immune system?

Az elmúlt bő egy év a koronavírus árnyékában telt és számos olyan fogalom vált a közbeszéd részévé, amelyet korábban inkább csak tudományos publikációkban lehetett olvasni. Ilyenek - többek között - a reprodukciós ráta, a járványgörbe ellaposítása, a nyájimmunitás. Néhány tudományos fogalom mindennapos beszélgetéseinkben való megjelenése mellett, a járványhelyzet egy másik gyakran tapasztalt kísérőjelensége volt, hogy az adatvédelmi szabályok gyakorlati alkalmazhatóságát is folyamatosan tesztelte, széles körben átélhetővé és élővé tette az egyébként gyakran távolinak, elméletinek tűnő adatvédelmi kérdéseket. Egyrészt mindenkit érintő kérdésekről volt szó, másrészt ezek a magánszféra legmélyére, az emberek mozgásának nyomonkövetéséig, illetve az egészségügyi állapotáig hatoltak. A járvány egyes szakaszaihoz igazodva természetesen megvoltak a különböző adatvédelmi "slágertémák", kezdve a kontakt kutatással (beleértve az erre szolgáló applikációk alkalmazását), a mozgási adatok elemzésével, a különböző diagnosztikai eszközök (különösen lázmérés és tesztek) alkalmazhatóságán át, egészen a védettség/oltottság igazolásáig (védettségi igazolások, utazáshoz szükséges igazolások).   

Most, hogy a GDPR alkalmazandóvá válásának 3. évfordulóját ünnepeljük, talán érdemes az elmúlt év tapasztalatait is figyelembe véve elgondolkodnunk azon, hogy mi szükséges egy megfelelő adatvédelmi immunrendszer működéséhez?     

A Belga Adatvédelmi Hatóság május 20-án - az Európai Adatvédelmi Testület előzetes véleményére figyelemmel - jóváhagyta az első pán-európai szektorspecifikus magatartási kódexet (EU Cloud) a felhőszolgáltatást nyújt szolgáltatókat érintően. (A döntés elérhető angol nyelven itt, a kódex végrehajtásának monitorozására vonatkozó akkreditációs döntés pedig itt.) 

A Belga Adatvédelmi Hatóság által jóváhagyott magatartási kódexet hamarosan követheti a CNIL (Francia Adatvédelmi Hatóság) által elfogadott - szintén a felhőszolgáltatásokra vonatkozó - kódex (CISPE), mellyel kapcsolatban szintén véleményt bocsátott ki a Testület.  

Mindkét kódex olyan eseteket fed le, amelyek tekintetében a felhőszolgáltatók adatfeldolgozóként járnak el a GDPR 28. cikkével összhangban. Fontos kiemelni ugyanakkor, hogy a két magatartási kódex a nemzetközi adattovábbítások megalapozásaként nem alkalmazható, mivel nem a GDPR 46. cikk (2) bekezdés e) pontja szerinti kódexek (lásd a Testület véleményeinek preambulumát, mindkét esetben a (7) pont tartalmazza, hogy a véleményezett kódexeket nem szánták nemzetközi adattovábbítások alapjául).   

Az alábbiakban a magatartási kódexekkel kapcsolatos legfontosabb tudnivalókat foglalom össze, illetve kitérek arra, hogy miért fontos lépés a mostani jóváhagyás a GDPR önszabályozási mechanizmusainak működése kapcsán.

Április végén tette közzé az Európai Bizottság a mesterséges intelligencia szabályozására vonatkozó rendelettervezetét, amely a 2020. februárjában közzétett uniós MI stratégia megvalósítása szempontjából fontos lépésnek tekinthető (a Fehér könyv már elérhető magyar nyelven is).

A stratégia kiemelten kezeli az MI-t érintően a bizalom és átláthatóság megteremtését, illetve egy olyan környezet kialakítását, amely a kiválóságon alapul. Ezeken belül számos területet határoz meg, amely fókuszt igényel (pl. együttműködés a tagállamokkal és a privát szektorral, az MI-hoz kapcsolódó képességek fejlesztése, MI közszférában történő alkalmazásának támogatása, stb.). 

A bizalom megteremtése kapcsán a Fehér könyv kitér azon hét kulcsfontosságú tényezőre, amelyet a Bizottság által létrehozott magas szintű szakértői csoport fogalmazott meg az MI-re vonatkozó etikai ajánlásában, ezek az MI-re vonatkozó európai szabályozási törekvések kapcsán is kiemelt szerepet kapnak. A szakértői csoport által kiemelt hét kulcsfontosságú tényező az alábbi: 

• emberi cselekvőképesség és emberi felügyelet;
• műszaki stabilitás és biztonság;
• adatvédelem és adatkezelés;
• átláthatóság;
• sokféleség, megkülönböztetésmentesség és méltányosság;
• társadalmi és környezeti jólét; valamint
• elszámoltathatóság.

Az alábbiakban a rendelettervezet néhány alapvető elemét és a szabályozási folyamat további fő lépéseit foglalom össze. 

A napokban múlt 30 éve, hogy közzétételre került az Alkotmánybíróság híres, ún. "személyi szám határozata" (15/1991 (IV.13.) AB határozat). Bár a határozat immár több, mint 30 éves és időközben számos olyan jogszabályi, illetve jogalkalmazásbeli változás történt, amely a határozat egyes megállapításaihoz képest elmozdulást jelent (lásd a témához például Dr. Jóri András: Adatvédelem: az alapjogvédelmi teszttől az érdekmérlegelésig c. cikkét), a határozat teljes egészében mégsem tekinthető idejét múltnak és a mai napig érezteti hatását az adatvédelmi gondolkodásban. 

Az oltási programok előrehaladtával és a nyár közeledtével egyre többeket foglalkoztató kérdés, hogy az Európai Unión belüli szabad mozgás joga miként lesz gyakorolható, milyen módon biztosítható az, hogy biztonságos körülmények között újra szélesebb körben is lehetőség legyen a tagállamok közötti szabad mozgásra. Erre tekintettel az Európai Bizottság március 17-én közzétett egy javaslatcsomagot a digitális zöldigazolványra (Digital Green Certificate) vonatkozóan, amelynek a célja az EU-n belüli utazások megkönnyítése. 

A javaslatcsomag szerint az igazolvány főbb jellemzői az alábbiak lennének: 

• digitális és/vagy papírformátumú,
• QR-kóddal van ellátva,
• ingyenes,
• a nemzeti nyelven és angolul kerül kiállításra,
• biztonságos,
• valamennyi uniós tagállamban érvényes.

A digitális zöldigazolvány nem kizárólag a COVID-19 ellen beoltottak részére lenne kiállítható, hanem azok is rendelkezhetnek vele, akik felgyógyultak a fertőzésből vagy akik meghatározott időn belül negatív teszteredményt tudnak felmutatni. 

A javaslatcsomag két részből áll, egyrészt az uniós állampolgárokra vonatkozó javaslatból, másrészt valamely uniós tagállamban letelepedett harmadik ország állampolgáraira vonatkozó javaslatról (az eltérés alapvető oka, hogy az EU-nak más alapon van szabályozási hatásköre a két csoport vonatkozásában). 

A Bizottság javaslatcsomagjára vonatkozóan az európai adatvédelmi biztos (EDPS) és az Európai Adatvédelmi Testület (Testület) közös véleményt fogalmazott meg, amelyben a zöldigazolvány alkalmazásához kapcsolódó adatvédelmi kérdéseket vizsgálták meg és megfogalmaztak javaslatokat is a jogalkotók részére. Az alábbiakban a közös vélemény főbb megállapításait foglalom össze. 

Az Európai Adatvédelmi Testület legfrissebb iránymutatása a virtuális hangasszisztenseket érintő adatvédelmi kérdésekkel foglalkozik. Az iránymutatás egyelőre tervezetként, véleményezhető formában jelent meg, a Testület részére április 23-ig küldhetők meg az észrevételek. 

A virtuális hangasszisztenseket (virtuális asszisztens, VA) úgy határozza meg az iránymutatás, mint olyan szoftveres alkalmazás, amely képes arra, hogy a felhasználó által adott hangutasítások alapján kommunikáljon. Virtuális asszisztensek elérhetőok okos telefonokon, tableteken, számítógépeken, és hasonló eszközökön, illetve önálló, kifejezetten erre a célra fejlesztett eszközökön. Néhány ismertebb példa: Amazon Alexa, Microsoft Cortana, Apple Siri, Google Assistant.

A közelmúltban tette közzé a NAIH a 2020. évre vonatkozó éves beszámolóját. A Hatóság éves beszámolóját idén is érdemes átböngészni, mert egyrészt képet ad az adatvédelem és információszabadság területén zajló főbb folyamatokról, másrészt néhány, a beszámolóban kiemelt ügy révén hasznos segítséget jelenthet a jogalkalmazáshoz. A GDPR-hoz kapcsolódó ügyek mellett, a bűnügyi adatvédelmi irányelv alkalmazása kapcsán felmerült tapasztalatokról is számot ad a beszámoló és természetesen az információszabadsággal kapcsolatos fejleményekről is olvashatunk. 

Az alábbiakban a beszámoló néhány fontos, az adatvédelem területét érintő pontját emelem ki. 

A NAIH frissen közzétett tájékoztatója egy széles kör számára fontos kérdéssel foglalkozik: megismerheti-e a munkáltató a munkavállalói vonatkozásában azt az információt, hogy a munkavállaló védettnek tekinthető-e a koronavírussal szemben (azaz felépült a betegségből vagy megkapta az oltást). 

Az e-Privacy rendelet tervezete elég kalandos utat járt be az elmúlt 4 évben, azt követően, hogy az első változatot a Bizottság 2017. januárjában közzétette. Az egymást váltó soros elnökségek alatt tucatnyi változata készült a rendeletnek, de a konszenzust nem sikerült megteremteni a tagállamok között. Az idén hivatalba lépő portugál elnökségnek viszont sikerült felgyorsítani a folyamatot. Már január elején közzétették az első szövegtervezetüket, amelyet egy újabb verzió követett január végén és február 10-én a tagállamok között meg is született a megállapodás az e-Privacy rendelet tervezetéről.