Adatközvetítők és altruisták – avagy az EU adatkormányzási rendeletéről röviden

A közelmúltban írtam arról, hogy közadatok újrafelhasználásának jogszabályi környezete kialakulni látszik nem csupán a közösségi, hanem hazai viszonylatban is. A közszféra szervezeteinél azonban nem csupán közérdekű, kötelezően megosztandó adatok termelődnek, amelyek további hasznosítása számos potenciált rejt magában. Ezt mutatja többek között, hogy az adatok megosztásának közvetítésére az elmúlt évek során külön erre specializálódott vállalkozások jöttek létre. Ezt felismerve dolgozta ki és fogadta el az Európai Unió az adatkormányzási rendeletét („Data Governance Act” vagy „DGA”). Jelen cikkben e rendelet legfontosabb rendelkezéseit mutatom be. 

A rendelet hatálya

Tárgyi hatályát tekintve a rendelet adatok alatt a cselekmények, tények vagy információk bármilyen digitális megjelenítését, összeállítását érti, a személyes és nem személyes adatokra egyaránt kiterjedően. A DGA lehetővé teszi a közszerveknél termelődő adatok bizonyos kategóriáinak¹ biztonságos újbóli felhasználását olyan esetekben, amikor ezen adatok mások jogai által védettek. A rendelet széleskörű vitákra látszik pontot tenni, amelyek során az adatok nemzeti kereteken belül történő hasznosítását védőkkel szemben túlsúlyba kerültek a közösségen belüli szabad áramlást támogató nézőpontok.

A rendelettel új szereplőkként jelennek meg az adatközvetítő szolgáltatók és az adataltruista szervezetek az uniós szabályozásban. Adatközvetítő szolgáltatók azok a jogalanyok, amelyek adatmegosztás céljából kereskedelmi kapcsolatot létesítenek egyrészt meghatározatlan számú érintett és adatbirtokos, másrészt az adatfelhasználók között. Bizonyos szolgáltatók nem végezhetnek adatközvetítői tevékenységet, ilyenek például a felhőszolgáltatók és az adatbrókerek, adattanácsadók vagy adattermék-szolgáltatók.

Adataltruista szervezetnek minősül minden olyan jogi személy, amely közérdekű (önkéntes adatmegosztáshoz kapcsolódó) tevékenységet végez, nonprofit módon működik és az illetékes tagállam hatóságai nyilvántartásba vették.

Az adatközvetítő szolgáltatókra vonatkozó alapvető szabályok 

Az adatközvetítő szolgáltatók segítenek létrehozni a kapcsolatot azok között, akik hozzáférhetővé kívánják tenni adataikat, valamint akik ezeket az adatokat hasznosítanák. Az adatközvetítők számos célt szolgálhatnak, többek között: 

(i) az adatcsere lehetővé tétele által az információs aszimmetriák kiegyensúlyozását,

(ii) a közszervek által rendelkezésre bocsátott közérdekű adatok megosztásának lehetővé tételét, amelynek során a közvetítő megkönnyíti a vállalkozások számára az adatokhoz való hozzáférést, vagy

(iii) az adatok felhalmozásának lehetővé tételét kutatási, oknyomozó újságírói célokra vagy a szélesebb közérdek érdekében.

Az adatközvetítő szolgáltatók tevékenységük megkezdése előtt kötelesek erre irányuló szándékukat az illetékes EU tagállam hatóságánál bejelenteni. Az adatközvetítő szolgáltatók kötelesek semlegesek maradni, így nem használhatják fel a közvetített adatokat saját céljaikra. A semlegesség elérése érdekében meg kell különböztetniük adatmegosztási szolgáltatásaikat egyéb kereskedelmi tevékenységeiktől, és tilos a közvetített adatokat bármilyen más célra felhasználniuk. Ezen túlmenően az adatközvetítő szolgáltatók kötelesek díjszabásuk körében méltányos árat biztosítani szolgáltatásaikért. 

Adataltruizmus

Az adataltruizmus körében személyek és szervezetek önkéntesen tehetnek közzé adatokat, szélesebb körű társadalmi előnyök érdekében, az érintettek hozzájárulása alapján. Ilyen előnyök lehetnek például egészségügyi kutatások, az éghajlatváltozás elleni küzdelem, a mobilitás javítása, vagy a közszolgáltatások nyújtásának fejlesztése. Ahhoz, hogy a jogalanyok elismert adataltruizmussal foglalkozó szervezetnek minősüljenek, meg kell felelniük bizonyos feltételeknek a DGA értelmében. Ide tartozik, hogy az elismert adataltruizmussal foglalkozó szervezetek kötelesek tájékoztatni az érintetteket vagy az adatbirtokosokat arról a közérdekről, amelynek érdekében az adatokat hozzáférhetővé kívánják tenni, az adatkezelés meghatározott, egyértelmű és jogszerű céljairól, valamint az adatkezelés helyéről. Továbbá pontos és teljeskörű nyilvántartást kell vezetniük minden olyan személyről, akiknek lehetőségük volt az általuk kezelt adatok feldolgozására. 

Az újrafelhasználás keretei

Az újrafelhasználás legalapvetőbb követelménye, hogy az adatok személyes és bizalmas jellegének tiszteletben tartása az újrafelhasználási helyzetekben teljes mértékben biztosított legyen. A rendelet értelmében többek között az adatközvetítő szolgáltatóknak lehetőséget kell biztosítani arra, hogy olyan megoldásokat nyújtsanak az adatbirtokosok, illetve az érintettek számára, amelyek kifejezetten az adatcsere megkönnyítésére szolgálnak, a bizalmas jelleg tiszteletben tartása érdekében. Ilyenek lehetnek például ideiglenes tárolási, gondozási, átalakítási, anonimizálási vagy álnevesítési szolgáltatások. 

Ha egy közszektorbeli szerv nem tud hozzáférést biztosítani bizonyos adatokhoz a további felhasználás céljából, segítenie kell a potenciális adatfelhasználót abban, hogy a személyes adatok további felhasználásához az egyén hozzájárulását vagy az adatbirtokos engedélyét kérje, akinek jogait vagy érdekeit a további felhasználás érintheti. 

A DGA a kizárólagos adathasznosítási megállapodások megkötésének lehetőségét csak kiemelt közérdekű esetekre korlátozza. A közszektorbeli szervnek legfeljebb 2 hónap áll rendelkezésére, hogy döntést hozzon a további felhasználás iránti kérelemről, amely engedélyezése esetén díjakat is felszámolhat, amennyiben azok nem haladják meg a felmerülő szükséges költségeket. A DGA a GDPR 45. cikkében foglalt követelményekhez hasonló feltételeket szab a nem személyes adatok határokon átnyúló továbbításának. Az adatközvetítők és az elismert adataltruizmus-szolgáltatók csak akkor továbbíthatnak adatokat harmadik országba, ha a harmadik ország megfelelő biztosítékokat biztosít az adatok felhasználására. 

A megfelelő biztosítékok az EU-val egyenértékű adatvédelemre vonatkoznak a harmadik országban, és magukban foglalják például azt a követelményt, hogy a közszférabeli szerv csak akkor továbbíthat védett adatokat, ha a továbbfelhasználó szerződéses kötelezettségeket vállal a megfelelő adatvédelem biztosítására. Azokat a jogi személyeket, akiknek jogait és érdekeit érintheti a határokon átnyúló adattovábbítás, tájékoztatni kell e szándékról és célról, valamint a megfelelő biztosítékokról.

Összegzés

A fentiek fényében elmondható, hogy a DGA több réteggel bővítette a szabad és átlátható adatáralmlás biztosításának, valamint az adatgazdaság ösztönzésének eszköztárát.  Azzal, hogy a DGA olyan közszférabeli adatokat szabályoz, amelyek kereskedelmi adatokra vonatkozó titoktartás vagy adatvédelmi okokból nem hozzáférhetők, valamint amelyek tekintetében harmadik felek szellemitulajdon-jogokkal rendelkeznek, a nyílt adat irányelvet kiegészítve a két joganyag tulajdonképpen plasztikusan átfogja a közszférában keletkező adatok további felhasználásának kötelező és/vagy támogató jogszabályi környezetét. A magánszektorban keletkező nem személyes adatok hasonló koncepcióra épülő szabályozását, a röviden Data Act-nek aposztrofált adatmegosztási rendelettervezetet jelenleg az Európai Parlament tárgyalja. Valószínűsíthető elfogadását követően felállhat egy olyan szabályozási ökoszisztéma, amely az adatok széles körének újrafelhasználását tenné lehetővé, utat nyitva ezzel az adatokban rejlő gazdasági, társadalmi és közérdekű potenciálok kihasználásának. 

Az adatkormányzási rendeletet 2022. június 23-án lépett hatályba, alkalmazandó azonban csak 2023. szeptemberétől lesz. Adatvédelmi szempontból a DGA-t a GDPR-ral összhangban kell értelmezni, amelyre a rendelet is több helyen kifejezetten utal. A rendelet alkalmazása – például az adatközvetítő szolgáltatások nyújtása – több oldalról is felveti a személyes adatkezelés szükségességét, így a szolgáltatóknak nem csak a közvetített, hanem egyéb saját tevékenységük során kezelt adatok védelmének garantálására is fel kell készülniük. 

A szerző a VJT&Partners Ügyvédi Iroda ügyvédjelöltje.

A cikk a Digitális jogalkalmazás rovat keretében jelent meg. Az eddigi írásokat itt találod.

Jegyzetek:

¹Részletesen lásd a DGA 3. cikkét: (1) Ez a fejezet a közszférabeli szervezetek birtokában lévő olyan adatokra vonatkozik, amelyek a következő alapon védettek: a) kereskedelmi adatokra vonatkozó titoktartás, ideértve az üzleti, a szakmai vagy a vállalati titkokat is; b) statisztikai adatvédelem; c) harmadik felek szellemitulajdon-jogainak védelme; vagy d) személyes adatok védelme, amennyiben azok a nylít adat irányelv hatályán kívül esnek.

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.