Ez a Magyar Telekom jogi csapatának állandó rovata az Arsbonin. A rovat célja, hogy tartalmas és érdekes, hol komolyabb, hol könnyedebb írásokkal engedjen bepillantást a Telekom progresszív gondolkodású, szakmailag felkészült, összetartó jogi csapatának a munkájába, gondolkodásába. Ha a rovattal kapcsolatban kérdés, javaslat merül fel, az alábbi címre várjuk az észrevételeket: arsboni@arsboni.hu
Az Európai Unió adatvédelmi reformjának egyik meghatározó pilléreként számon tartott elektronikus hírközlési adatvédelmi rendelettervezet (ePrivacy rendelettervezet) – amely a jelenleg is hatályos 2002/58/EK elektronikus hírközlési adatvédelmi irányelvet (ePrivacy irányelv) lenne hivatott felváltani – 2017 januárjában állt az adatvédelmi tárgyú uniós szabályozások rajtvonalára, és a GDPR-ral egyidőben kellett volna hatályba lépnie. Miközben az uniós digitális jogszabálycsomag többi versenyzője egymás után hagyja le, saját küzdelmes, először a tagállamok, majd az uniós intézmények közötti ellentétes érdekeket is felszínre hozó, felfokozott lobbitevékenyéggel kísért jogalkotási folyamata – úgy tűnik – eredmény nélkül zárul, és egyre homályosabb a kép arról, hogy mi lesz a sorsa a tervezetnek.
Holott az ePrivacy szabályozás fontossága messze túlmutat a hírközlési szektor adatvédelmén, ráadásul az általános jelentőségű – így az elektronikus kommunikációs szolgáltatásokat használók, illetve az információs társadalommal összefüggő szolgáltatásokat nyújtók számára is meghatározó – szabályai avultak a legnagyobb mértékben a felgyorsult digitalizációban, így a szabályozás megújításának szükségessége e témákat (pl. végberendezések adatainak védelme, elektronikus direkt marketing) illetően a legégetőbb.
A tervezet legfontosabb rendelkezései
Az ePrivacy irányelv nyomdokain a rendelettervezet a nyilvános hírközlési hálózatokon nyújtott szolgáltatásokkal összefüggő adatkezeléseket érintő speciális rendelkezéseket fogalmaz meg a GDPR (mint lex generalis) szabályaihoz képest, illetve kiegészíti a GDPR rendelkezéseit a GDPR hatályán kívül eső, nem természetes személy végfelhasználók közléseinek és az azokhoz kapcsolódó adatainak védelmére vonatkozó szabályokkal. Az Elektronikus Hírközlési Kódex rendelkezései értelmében az elektronikus hírközlési szolgáltatásokkal funkcionálisan egyenértékű szolgáltatások, az un. OTT szolgáltatások (pl. Gmail, Facebook Messenger, WhatsApp, Viber stb), is ideértendők 2018 óta. A tervezet területi hatálya védi az EU-ban tartózkodó végfelhasználókat, függetlenül attól, hogy hol van a szolgáltató székhelye vagy hol történik az adatkezelés.
Elektronikus hírközlési adatok felhasználása
Az elektronikus hírközlési hálózatok és szolgáltatások igénybevétele során keletkező személyes adatok (ideértve magának a közlésnek a tartalmát, de a kapcsolódó forgalmi vagy más néven metaadatokat is) bizalmas, magánszférával szorosan összefüggő jellege, továbbá az a sajátosságuk, hogy minőségüknél, mennyiségüknél és összekapcsolhatóságuknál fogva sokrétű és meglehetősen pontos információt árulnak el az előfizetők és felhasználók szokásairól, érdeklődésükről, mozgásukról, kapcsolatrendszerükről indokolja a GDPR háttérszabályaihoz képest szigorúbb, a különleges személyes adatokéhoz hasonló, korlátozó szabályozást (lex specialis).
Az ePrivacy rendelet tervezetének leginkább vitatott rendelkezései a hírközlési metaadatok felhasználásának céljait és jogalapjait érintik. A tervezet Tanács által elfogadott verziója szerint az elektronikus hírközléshez kapcsolódó metaadatok – mint például a kommunikáció típusa, időpontja, időtartama, a közlés küldőjét és feladóját azonosító adatok, az elektronikus kommunikációhoz használt eszköz helyére vonatkozóan adatok – megfelelő jogalap mellett olyan célokból is felhasználhatóak lennének, amelyek az irányelvben nem szerepelnek.
Így a végfelhasználók hozzájárulásának hiányában, de meghatározott adatvédelmi garanciák teljesülése mellett a metaadatok felhasználhatóak hálózatüzemeltetés és -optimalizálás, a szolgáltatások minőségére vonatkozó műszaki követelményeinek való megfelelés, továbbá tudományos kutatás és statisztikai elemzés céljából is. Elsősorban a COVID világjárvány tapasztalatai nyomán került bele a tervezetbe, hogy a felhasználók és más természetes személyek létfontosságú érdeke jogszerű alapot teremt az adatkezelésre természet vagy ember által okozott humanitárius vészhelyzetek kezelése, például járványok terjedésének nyomon követése céljából. Továbbá az elektronikus hírközlési szolgáltatók a metaadatok gyűjtésének eredeti céljától eltérő, további célból is kezelhetnék ezeket az adatokat (a végfelhasználó hozzájárulása nélkül is), feltéve, hogy az összeegyeztethető az adatgyűjtés eredeti céljával, és további biztosítékok is teljesülnek (pl. végfelhasználók profilozásának tilalma, előzetes tájékoztatás és tiltakozási jog biztosítsa, az adatok álnevesítése).
A tagállamok által 2021-ben elfogadott kompromisszumos verzió valahol félúton állt meg a forgalmi adatok felhasználására irányuló és egyre dominánsabb szolgáltatói és harmadik feles gazdasági és társadalmi igények és az előfizetők magánélethez és személyes adatok védelméhez fűződő jogainak védelme tekintetében. Az elektronikus hírközlési szolgáltatók és ágazati érdekképviseletek törekvése, hogy a szolgáltatók saját és harmadik felek jogos érdeke alapján metaadatokat kezeljenek a jogalkotási folyamat egyik fő vitapontja volt, de a Tanács által elfogadott végleges tervezet végül nem engedett a jogos érdeken alapuló adatkezeléssel megteremthető szabadságot a szolgáltatóknak. A kérdés a jövőre nézve, hogy az elektronikus hírközlési szolgáltatásokkal összefüggő adatvagyonnak az eredeti, szolgáltatási céltól eltérő, piaci alapú vagy közérdekű felhasználásának egyre markánsabb igényeit (pl. üzletfejlesztés, közlekedési infrastruktúra fejlesztése, város- és területfejlesztés, energiagazdálkodás, bűnüldözés, kormányzat, kutatás, stb) mennyire lesznek képese a tervezet szabályai kiszolgálni, az egyén, a szolgáltató és társadalom szintjén is értéket teremteni úgy, hogy a közlés és a kezelt adatok bizalmasságával kapcsolatos követelmény ne sérüljön.
Sütik
A rendelettervezet a felhasználók végberendezésein tárolt adatok gyűjtésére és ott adatok (pl. azonosítók) elhelyezésére, közismertebben a sütikre vonatkozó szabályozás megújítását is a körébe vonta a sütik széles körben elterjedt és sokféle célra történő alkalmazására, az általuk okozott irritáció, és a felhasználók online tevékenységének követésére szolgáló új technológiák megjelenésére tekintettel. A tervezet értelmében a felhasználók a sütik egyes típusai szerint jogosultak megadni beleegyezésüket, illetve a sütik okozta irritációt elkerülendő, a böngésző beállításaikban is adhatnak kifejezett hozzájárulást az egyes szolgáltató(k) számára. A sütikezelésre vonatkozó új szabályok átfogó célja, hogy átláthatóan, valódi választást biztosítva és minél egyszerűbben kezelhessék hozzájárulásaikat a felhasználók.
Ugyanakkor a tervezet lehetőséget teremtene az utóbbi időben élénk viták kereszttüzében álló, úgynevezett „sütifalak” alkalmazására, azaz a webtartalomhoz, szolgáltatáshoz való hozzáférésnek a sütik alkalmazásához való hozzájárulástól való függővé tételére, követelményként szabva, hogy felhasználónak tényleges lehetősége legyen olyan egyenértékű ajánlatot választania, amely nem foglalja magában az adatai további – így az analitikai és marketing – célokra történő felhasználásához való hozzájárulást. E korábban is sokat vitatott rendelkezés ellentmondásos megítélése a Meta által 2023 végén bevezetett „ok or pay” modell kapcsán új hullámokat vet, amelyet az EDPB (Európai Adatvédelmi Testület) idén áprilisban úgy véleményezett, hogy – legalábbis a nagy online platformok esetén – a díjfizetés, mint a személyes adatok gyűjtésén és elemzésén alapuló viselkedésalapú reklámozás alkalmazásához való hozzájárulás egyedüli alternatívája, nem tekinthető valós választást lehetővé tévő, egyenértékű ajánlatnak, így az ilyen feltételek mellett gyűjtött viselkedésalapú hirdetésekhez való hozzájárulás az esetek jelentős részében nem tekinthető érvényesnek.
Elektronikus direkt marketing
Közvetlen üzletszerzési célú kommunikációra vonatkozó szabályokat is megfogalmaz a tervezet. Elektronikus hírközlési szolgáltatás felhasználásával direkt marketing üzenetek csak a címzett magánszemély előzetes hozzájárulásával (opt-in) küldhetőek, ideértve a digitális marketing megoldások gyors fejlődése nyomán az emailben, push vagy in-app üzenetben, SMS-ben vagy egyéb online üzenetküldéssel történő kommunikációt is. Ez alól kivételt jelent, ha a feladó szolgáltató meglévő ügyfelei elektronikus elérhetőségi adatait használja saját hasonló termékei vagy szolgáltatásai reklámozására a címzett tiltakozási jogának (opt-out) biztosítása mellett.
Ennek a rendelkezésnek a közvetlen hatályosulása egyértelműbb szabályozást teremtene hazánkban az elektronikus marketing üzenetek alkalmazása kapcsán és az ezzel kapcsolatos nyilatkoztatási gyakorlat bizonytalanságaira is pontot tenne.
Miért kell új e-Privacy szabályozás?
Technológiai és piaci változások
Az elektronikus hírközlési adatvédelmi irányelv 2002-ben lépett hatályba, legutóbbi módosítására 2009-ben került sor, így többek között a folyamatos technológiai és az elektronikus kommunikációs szolgáltatások piacán bekövetkezett változások, például az időközben az elektronikus hírközlési kódex tárgyi hatálya alá sorolt OTT szolgálatások, továbbá az IoT eszközök, a digitális személyi asszisztensek elterjedt használata, illetve a felhasználók online magatartásának nyomon követesére szolgáló megoldások dinamikus fejlődése miatt a szabályozás ezen szolgáltatások és megoldások sajátosságaira reflektáló aktualizálására sürgető szükség lenne.
Ez utóbbi okból az EDPB az irányelv sütikkel kapcsolatos tájékoztatást és hozzájárulást szabályozó 5. cikk (3) bekezdésének tárgyi és technikai hatályára, a rendelkezés alapjául szolgáló fogalmak tisztázására vonatkozó iránymutatás kidolgozásába fogott. Bármennyire is hasznos ez az útmutatás, nem oldja meg az internethasználókat irritáló cookie-kérelmek egyszerűsítésének és a felhasználóbarát szabályozás megteremtésének igényét.
GDPR rendelkezéseivel való harmonizáció
A GDPR 173. preambulumbekezdése is utal rá, hogy a GDPR és az ePrivacy irányelv közötti kapcsolat egyértelművé tétele érdekében az irányelvet megfelelően módosítani kell, az általános adatvédelmi rendelkezésekkel való összhang biztosítása érdekében felül kell vizsgálni. Ugyan az EDPB az 5/2019. számú véleményében az elektronikus hírközlési adatvédelmi irányelv és az általános adatvédelmi rendelet kapcsolatát több aspektusból elemezte, de számos kérdést nem rendezett (pl. a forgalmi adatok, végberendezés adatok felhasználásának célját korlátozó rendelkezések és a GDPR általános, célhoz kötöttségre vonatkozó alapelvi követelményének viszonyát), illetve 2019 óta, elsősorban az online viselkedés nyomon követesére szolgáló technológia fejlődésével további dilemmák láttak napvilágot.
A rendelet lehetőséget teremthetne a jelenleginél szélesebb körben, de egyértelmű célok, korlátok és biztosítékok mentén egy átlátható, a személyes adatok magasszintű védelmét biztosító, de egyben az adatok felhasználására irányuló társadalmi, üzleti és technológiai innovációs igényekkel is számoló szabályozásra az elektronikus hírközlési metaadatok további felhasználását illetően. A COVID epidémia is testközelbe hozta a forgalmi és helymeghatározásai adatok felhasználást érintő kiegyensúlyozott szabályozás szükségességét.
Egységes szabályozás az unió területén
A rendeleti szabályozás legnagyobb előnye, hogy az uniós tagállamokban egységes és közvetlenül alkalmazandó szabályozást teremtene az elektronikus kommunikációval kapcsolatos adatkezelésekre, amellyel a hazai szektorális szabályozás és az ePrivacy irányelv közötti ellentmondások is feloldásra kerülnének (pl. előfizetői személyes adatok megsértésével járó incidensek kezelése, saját ügyfeleknek küldött elektronikus kommunikáció, a végberendezéseken tárolt adatokhoz való hozzáférés vagy a hatóságoknak való adatszolgáltatásszabályai).
Ennek különösen azért van jelentősége, mert az e-Privacy szabályozás személyi hatálya tágabb, mint az elektronikus hírközlési szolgáltatók köre, egyéb online kommunikációs szolgáltatókat, illetve a sütikre vonatkozó szabályok miatt a weboldalak és appok fejlesztőit és üzemeltetőit, lényegében bármely online viselkedést nyomon követő megoldás alkalmazóit, továbbá a direkt marketing célból elektronikus kommunikációs eszközöket alkalmazó természetes és jogi személyeket is érinti, hiánya nem csak az elektronikus hírközlési szolgáltatóknak jelent jogalkalmazási bizonytalanságot és versenyhátrányt.
Miért akadt el a rendeletalkotási folyamat?
Az Európai Tanács portugál soros elnöksége a tucatnyi szövegtervezetet produkáló négy évnyi küzdelmes egyeztetést lezárva 2021 februárjában megkezdte a tárgyalásokat az Európai Parlamenttel a tagállamok által elfogadott kompromisszumos tervezetről. Amikor a portugál elnökség megkapta a tagállamok felhatalmazását, hogy megkezdje a tárgyalásokat a Parlamenttel a végleges szövegről, indokolt volt abban reménykedni, hogy a trialógus nyomán megszületik a várva várt rendelet.
Azonban alig kezdte meg a portugál elnökség az egyeztetést a Parlamenttel a szövegtervezetről, egyből élesedett a szembenállás több, a tagállamok közt eddig is vitatott rendelkezés kapcsán, mára az egyeztetések holtpontra jutottak, az utolsó jelentősebb tárgyalás is lassan két éve történt. Bár a tagállamok közötti kompromisszum is nehezen született, a tagállamok nemzetbiztonságát és bűnmegelőzését priorizáló Tanács és az adatvédelmi szempontokat előtérbe helyező Parlament között áthidalhatatlan szakadéknak bizonyul a bűnüldözési, nemzetbiztonsági célú adatmegőrzés kérdése, így az sem kizárt, hogy a tervezet visszavonásra kerül.
Mára már alig beszélnek az ePrivacy Rendelet tervezetéről, az Európai Unió hivatalos portálján található tájékoztató tavaly szeptemberben frissült újra, már a spanyol soros elnökség telekommunikációs jogalkotási tervei közt sem említették, de a belga elnökség sem tűzte újra napirendre, amely jelenleg az AI Act utolsó jogalkotási simításaira fókuszál.
Mindeközben az elektronikus kommunikációs szolgáltatók, e szolgáltatásokat többek közt direkt marketing célra használók, a honlapok és weboldalak üzemeltetői, és talán nem túlzás állítani, hogy a 21. század kihívásira választ kereső európai közösség – városok, intézmények, vállalatok és emberek – a hiányából eredő jogbizonytalanságot és a tagállamonként eltérő szabályozásból fakadó versenyhátrányt egyre fájóbban érzik.
***
Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.