Őrült kapkodás, száz meg száz e-mail a postafiókban, négy betű, májusban már a GDPR első születésnapját is „megünnepeltük”, ami valójában már a harmadik volt. Ennek ellenére még mindig rengeteg a kérdés a GDPR, azaz Európai Unió általános adatvédelmi rendelete, a General Data Protection Regulation körül. Ezeket igyekezzük megválaszolni.
Ahhoz, hogy megértsük a témakört és annak fontosságát, három dolgot kell kezdetben tisztáznunk: az adatvédelem és a személyes adat fogalmát, valamint annak jelentőségét, hogy az Európai Unió rendeleti szinten szabályozta a területet.
Az adatvédelem
Az adatvédelem olyan kifejezés, amely a jogi szaknyelvben eltérő jelentéssel bír, mint a hétköznapok során: míg az „átlagember” számára az adatvédelem valószínűleg inkább valamilyen számítástechnikai eszközön tárolt adat informatikai védelmét (tűzfal, jelszó, vírusirtó stb.) jelenti, addig a jogi szaknyelvben ez csak és kizárólag a személyes adatok jogi előírásoknak megfelelő kezelését és védelmét takarja. A területet – elsősorban az Alkotmánybíróság egy korai döntése miatt – sokszor információs önrendelkezési jogként is hívjuk, amely a pozitív irányú megközelítés: mindenki maga döntheti el, mi történjen az adataival (ön-rendelkezés). Az adatvédelem pedig inkább a „negatív” irányú megközelítés: létezik az adat, amit meg kell védeni. Az első magyarországi törvény nevében utóbbi [1992. évi LXIII. törvény a személyes adatok védelméről (…)], a másodikban már az előbbi [2011. évi CXII. törvény az információs önrendelkezési jogról (…)] szerepelt. Jogszabályi definíciót ellenben egyik jogszabályban sem találunk.
A személyes adat
A személyes adattal kapcsolatosan annyiban egyszerűbb a helyzet, hogy ezt kifejezetten definiálja maga a GDPR: „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.
Bármilyen olyan információ tehát, amely egy konkrét élő személlyel összekötött vagy összeköthető, abból esetlegesen további információ vonható le. A személyes adat minden jogszabályi szintű definíciójának lényegi eleme, hogy az adatnak mindenképpen élő személyhez kell kapcsolódnia, valamint nem kell mindenképpen összekötöttnek lenni a személynek és az adatnak, a lehetőségének kell annak fennállnia, hogy ez megtörténhessen. Személyes adat tehát bármilyen információ lehet, amely egy konkrét személyre enged következtetni, így a névtől, születési helytől és időtől kezdve a mobillal hívott telefonszámok listáján keresztül a dedikált IP-címig szinte bármi válhat azzá. (Nem véletlen a feltételes mód: nincsen egy olyan pontos felsorolás, hogy mi személyes adat és mi nem az, mindig a kontextus alapján kell eldöntenünk, hogy az adott információ személyes adat-e. Ez egyrészről megnehezíti mindenki dolgát, mert egyedileg kell mérlegelni, másrészről azonban mozgásteret is biztosít.)
Nagyon fontos tehát, hogy személyes adata csak élő személynek lehet, ebből két nagyon fontos dolog következik:
Egyrészről elhunyt személynek nincsen személyes adata! Nagyon fontos, hogy amennyiben az a személy, akit az adat azonosít vagy azonosíthat, már nem él, az adat sem személyes adat. Az Infotv. 25. §-a 2018 nyarától megfogalmaz az elhunyt személyhez kapcsolódó adatokkal kapcsolatosan szabályokat, ez azonban az érintett jogérvényesítési lehetőségének mintegy továbbörökítése az elhunyt közeli hozzátartozójára (vagy az általa az életében meghatalmazott személyre). Nem jelenti azonban azt, hogy az elhunyt személy adatainak felhasználásával ne lehetne jogot sérteni, de ez már túlmutat az adatvédelmen és sokkal inkább az általános polgári jog asztala, kiemelten a kegyeleti jogé.
A második fontos pont, hogy cégnek nincsen személyes adata! Egy cég – illetve bármely szervezet – nem rendelkezik személyes adatokkal. Tehát cégtől hozzájárulást kérni az adatkezeléshez, céget nyilatkoztatni felesleges. Ez egyébként semmilyen szinten nem újdonság és nem a GDPR-hoz kapcsolódó változás vagy változtatás. Ez már a korábbi, 1992-től tartó időszakokban is így volt, a GDPR miatt azonban olyan őrület indult el, amely sok esetben felülírt minden korábbi tudást. (Illetve leginkább olyanok kezdtek vagy tanácsot adni, vagy saját kútfőből anyagokat gyártani, akik ezen tudás alapjaival sem rendelkeztek, ellenben hirtelen mindenkinek fontos lett, hogy legyen valamilyen adatvédelmi anyaga.)
Ezért szögezzük le egyértelmű „hétköznapi” kifejezésekkel: az adatvédelem nem más, mint az élő emberekre vonatkozó adatok védelme.
Irányelv vs. rendelet
Tisztáznunk kell az uniós jogalkotás két fő lehetséges output jogszabályát: az irányelvet és a rendeletet. Az Unió működéséből fakadóan főszabály szerint kétfajta jogi előírást alkothat: olyat, amellyel az irányvonalakat jelöli ki tagállamai számára, valamint olyat, amellyel konkrét előírást rendel el számukra. Nem véletlenül hívjuk az előbbi típust irányelvnek: sportos hasonlattal élve az Unió csak a pálya határait és a fő játékszabályokat írja le, a tagállamok a konkrét játékszabályokat maguk találhatják ki. Az utóbbi, a rendelet azonban a konkrét, a tagállamok által betartandó szabályokat is rögzíti, minimális eltérési lehetőséggel. Sőt, a rendelet szabályát a tagállamoknak nem is kell külön a jogrendszerük részévé tenniük, az automatikusan közvetlenül alkalmazandóvá válik, tehát az országok törvényhozó hatalmától (idehaza az országgyűléstől) semmilyen további lépés nem szükséges.
Bár ilyen differenciálás kimondottan nincsen az egyes szabályozási témakörök között, de amit rendeletben szabályoz az Unió, azt a legmagasabb polcra helyezi, jelezvén, a terület annyira fontos, hogy teljesen egységes európai szabályozásra van benne szükség. Márpedig 2016-ban az adatvédelem ide került.
1995-ben született meg az adatvédelem korábbi uniós szabályozása, ami akkor irányelvi szinten szabta meg a határokat. Némileg más korszak volt ez, elsősorban a számítástechnikai akkori állapotát is figyelembe véve. A legtöbb adatot papíralapon tologatták még a Lajtától nyugatra is, és bár az államigazgatás és a komolyabb cégek rendelkeztek PC-vel, de hát hol voltunk még attól, hogy napi szinte több százmilliárd e-mailt küldjünk?
A kétezres évek első évtizedének közepetájt aztán eljutottunk odáig– éppen a számítástechnika rohamos fejlődése és a családok számára is egyre jobban elérhetővé válása miatt –, hogy a személyes adatok kezelése ha nem is tömegesebbé, de könnyebbé vált. Illetve emellett megjelentek a közösségi oldalak, amelyeken szórta és szórja mindenki komolyabb fegyelem, figyelem és előképzettség nélkül két kézzel az adatait.
Egy 2011-es kutatásból kiderült, hogy az Európai Unió összes állampolgárának összes személyes adata mintegy 315 milliárd(!) eurót(!) ért, ez a szám pedig az akkori becslések szerint fel fog ugrani 2020-ra 1000 milliárd euróra. (Játék a számokkal, de Magyarország éves GDP-je 105-110 millió euró körül mozog.) Mert az adat érték lett a marketingeseknek, a politikusoknak, a közvéleménykutatóknak, a gyógyszercégeknek, a közösségi oldalaknak. Márpedig az előbb említett 315 milliárd euróból a legtöbbet két nagy cég termelte ki az elmúlt időszakban: a Facebook és a Google. Márpedig a két amerikai cég köszöni szépen, ő fantasztikusan tudja bányászni napjaink olaját, a személyes adatot.
Erre pedig az Uniónak is lépnie kellett – az adatvédelmet a széttördelt tagállami szabályozási rendszerhez képest felrakta a legmagasabb polcra és rendeletet alkotott. Nyilván nem elsősorban a két cég ellen, de ettől még 2016-ban megszületett a szélessávú internet korára reagálni kívánó, a betárcsázós internet korában született irányelvet felváltó rendelet, a GDPR.