Alig két évvel a nemzeti adatvagyon törvény (2021. évi XCI. törvény) elfogadása és hatálybalépése után, rövidesen lényegesen megújul a nemzeti adatvagyon hasznosításának keretrendszere, miután a Parlament elfogadta "A nemzeti adatvagyon hasznosításának rendszeréről és az egyes szolgáltatásokról" szóló törvényt (a köztársasági elnöknek aláírásra megküldött törvény szövege elérhető itt). (A Parlament döntését követően a köztársasági elnök aláírása szükséges még, hogy az új törvény közzétételre kerülhessen a Magyar Közlönyben.)

A jogszabály többek között uniós jogszabályi implementációs kötelezettségeknek is eleget tesz: 

• egyrészt a nyílt hozzáférésű adatokról és a közszféra információinak további felhasználásáról szóló,  2019/1024 irányelvnek való megfelelést célozza (itt írtam korábban az irányelvről), 
• másrészt az európai adatkormányzásról szóló 2022/868 rendelet végrehajtásához szükséges rendelkezéseket is megállapít, 
• továbbá a belső piaci szolgáltatásokról szóló, 2006/123/EK irányelvnek való megfelelést szolgálja.

Az új nemzeti adatvagyon szabályozás hatálybelépésével egyidejűleg hatályát veszti majd a közadatok újrahasznosításáról szóló 2012. évi LXIII. törvény, és korábbi, nemzeti adatvagyonról szóló 2021. évi XCI. törvény is.

A német alkotmánybíróság 1983. december 15-én meghozott, a németországi népszámlálási törvénnyel kapcsolatos ítélete (ún. "népszámlálási-ítélet") az adatvédelmi jogfejlődés és az adatvédelmi jogalkalmazás alakulását alapvetően meghatározta és a mai napig érezteti a hatását. Az alábbiakban a 40 éves népszámlálási-ítélet hátterét és az adatvédelmi gondolkodásra gyakorolt hatását tekintem át röviden. 

The judgment of the German Constitutional Court of 15 December 1983 on the German Census Act of 1983 (the so-called "census judgment") had a long-lasting effect on the development of data protection law. Below I briefly review the background of the 40-year-old census judgment and its impact on the thinking about data protection.

Az elmúlt hét legnagyobb figyelmet kapott - komoly adatvédelmi vonatkozásokkal is bíró - eseménye az EU mesterséges intelligencia rendelete körüli egyeztetések maratoni utolsó fordulója volt, amely végül eredményt hozott és elvi megállapodás született az Európai Parlament és a Tanács között az MI rendelet tartalma kapcsán.

Talán kevesebb reflektorfény vetült rá, de az Európai Bíróság sem tétlenkedett a múlt héten, ami az adatvédelmet érintő ítéletek közzétételét illeti, hiszen több ügyben is fontos iránymutatásokat tartalmazó döntések jelentek meg. Az alábbiakban röviden a Bíróság múlt héten közzétett adatvédelmi tárgyú ítéleteinek néhány főbb elemét emelem ki. 

In recent weeks, negotiations over the Regulation on Artificial Intelligence (AI Act) filled the news that finally led a hard-won political deal. However, this is not the only legislative topic that seems to be coming to an agreement at EU level. A political agreement was reached between the European Parliament and the Council on the so-called Cyber Resilience Act. 

Az elmúlt hetekben a mesterséges intelligencia rendelet (AI Act) körüli, éjszakába nyúló egyeztetések és végül a nagy nehezen összehozott politikai egyezség töltötték ki a híreket. Nem ez volt azonban az egyetlen jogalkotási téma, ami uniós szinten révbe érni látszik. Politikai egyezség született ugyanis a Parlament és a Tanács között az ún. kiberreziliencia jogszabály (Cyber Resilience Act) tekintetében is. 

A mesterséges intelligencia (MI) használata kapcsán számos esetben botlunk személyes adatok kezelését érintő kérdésekbe. A különböző MI rendszerek fejlesztése, tanítása, tesztelése, használata ugyanis gyakran személyes adat kezelésével jár. Nem véletlen, hogy az elmúlt időszakban az adatvédelmi hatóságok figyelme is az MI-vel összefüggő adatkezelési kérdések felé fordult. Ez megjelenik egyrészt az alakuló joggyakorlatban, illetve az egymás után publikált iránymutatásokban, ajánlásokban is. 

Érdekes állásfoglalást tett közzé a napokban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az oktatási intézmények által az osztálytalálkozót szervezők részére történő adattovábbítás lehetősége kapcsán. A rövid állásfoglalás az adattovábbítás tekintetében szóba jöhető jogalapokat (hozzájárulás; közfeladat ellátása; jogos érdek) vizsgálja és lényegében arra jut, hogy az osztálytalálkozó szervezése céljából az oktatási intézmény nem továbbíthat személyes adatokat a szervezők fel. 

A fentiekre tekintettel a Hatóság nem azonosított megfelelő jogalapot arra vonatkozóan, hogy az oktatási intézmény továbbítsa a szervező számára a volt osztálytársai személyes adatait kapcsolatfelvételi eljárás céljából, ilyen közfeladata az oktatási intézménynek nincsen, a volt osztálytársak hozzájárulásának beszerzése lehetetlen* és a szervező, mint harmadik fél jogos érdekének valós mérlegelésére sincs módja az oktatási intézménynek. (Állásfoglalás, 3. o. kiemelés tőlem)

(*A hozzájárulás beszerzésének a lehetetlenségére vonatkozó állítás önmagában érdekes, hiszen általánosságban nem lehet kijelenteni, hogy nem szerezhető be ("lehetetlen" beszerezni) hozzájárulást az adatkezeléshez. Az adatkezelő feladata és felelőssége, hogy a jogszerű adatkezelés feltételeit biztosítsa, beleértve a hozzájárulás, mint jogalap alkalmazása esetén szükséges feltételeknek való megfelelést. Mivel a NAIH ezzel a kérdéssel lényegében nem foglalkozik, arra hivatkozva, hogy a hozzájárulások beszerzése "lehetetlen", az alábbiakban én is inkább a jogos érdekkel kapcsolatos megállapításokat veszem górcső alá.) 

Az online világban az egyik leggyakrabban, bár szinte észrevétlenül alkalmazott jogszabály, az ún. e-Privacy irányelv, amely - sok más mellett - a végberendezéseken (pl. számítógép, laptop) történő adattárolás, és a tárolt adatokhoz való hozzáférés kérdését szabályozza. A legtöbbször a sütik alkalmazása kapcsán kell(ene) érvényesülnie a szabályozásnak, ugyanakkor számos más technológiai megoldás is felmerülhet, amely szintén az irányelv 5. cikk (3) bekezdése alá tartozik (pl. pixelek). Az Európai Adatvédelmi Testület friss, egyelőre konzultációra közzétett iránymutatása éppen emiatt született, hogy az irányelv kérdéses cikkének a technikai értelemben vett alkalmazási körét vizsgálja és újabb technológiai megoldások tekintetében egyértelműsítse.   

Irányelvi rendelkezésről lévén szó, természetesen az egyes uniós tagállamokban, a tagállami jogszabályokba átültetett rendelkezések érvényesülnek közvetlenül, de ezek tartalma tekintetében az irányelvben foglaltaknak kell érvényesülniük. 

A személyes adat fogalmának értelmezését illetően hosszú ideje dúl éles vita arról, hogy az "azonosíthatóság" határainak meghúzásakor meddig lehet és kell elmenni. Ez pedig elvezet a személyes adat fogalmának relatív és abszolút értelmezését képviselő különböző megközelítésekhez (ehhez kapcsolódóan lásd ezt a korábbi bejegyzést). 

A fentiekkel kapcsolatban is érdekes az Európai Bíróság friss döntése (C‑319/22. sz. ügy), amely  a jármű‑azonosító szám (VIN) személyes adat jellegének vizsgálatát is érintette.