Hogyan látja az Uniós adatvédelem kérdéseit két ex-jogász technokrata?

Az Európai Unióban az adatvédelem kérdése folyamatosan napirenden van, mivel a jogalkotás és jogalkalmazás “napi szinten” szállítják a témát. Ennek ellenére az adatvédelem kérdésének látóköréből mégis kikerült egy viszonylag fontos dolog: az adat. E cikkben röviden összefoglalásra kerülnek a problémák és az ezek feloldását segítő piaci megoldások. A jelenlegi helyzetben ugyanis szerintünk de lege ferenda javaslatok helyett a folyamatok megértését kellene inkább célul tűzni.

Ezúttal az Európai Unió Bírósága 2020. 07. 16. napján kelt C311/18 számú ügyben (Facebook Ireland és Schrems) hozott ítéletével kavarta fel jelentősen az adatvédelem amúgy sem nyugodt vizét. Az ítéletben többek között a Bíróság érvénytelennek nyilvánította az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló 2016/1250 határozatot. A személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2010/87 bizottsági határozatról pedig úgy vélekedett, az továbbra is érvényes. A 2016/1250 határozat vizsgálata a GDPR-ből következő követelményekre tekintettel történt. Az egyik legerősebb érv az arányosság elvének sérelme, mely kritika nem az Egyesül Államokban működő vállalkozásokhoz vagy azok üzleti gyakorlatához, hanem az amerikai hatóságokhoz, illetve az amerikai hatóságokkal szembeni bíróság általi jogorvoslat hatékonyságának európai szemléletű megítéléséhez kapcsolódik.

Bár a Bíróság ítéletében egy jogelméleti kérdésből vezette le álláspontját, annak érdemi hatásai vannak, illetve lesznek az adatkezelésre. Az ítélet szellemisége egyébként jól illeszkedik abba a felhasználói és jogalkotói gondolkodásba, amelyben a cégek adatkezelési gyakorlatával kapcsolatos aggályokat fogalmaznak meg. Habár jogászi szempontból indokolható, ha a társadalmi célok vagy jogpolitikai elvek érvényesülését tekintjük kizárólagos célnak, ugyanakkor megkérdőjelezhető a szabályozás sikeressége, ha szemléletében figyelmen kívül hagyja a szabályozni kívánt dolog természetét. Az adat ugyanis nem csak fizetőeszköz a szolgáltatásért, hanem egy adott szolgáltatás minőségi megvalósításához is szükséges. A szolgáltatások nagy részét profitorientált cégek nyújtják azzal a céllal, hogy tevékenységük során pénzben is kifejezhető értéket teremtsenek. Ugyanez a helyzet hasonló alapítványok vagy nonprofit szervezetek esetében is, hiszen a piaci részesedés megőrzése és növelése náluk is cél. Ez ma már nem képzelhető el felhasználói adatok kezelése nélkül.

Léteznek méretüknél, gazdasági vagy szociális hatásuknál fogva megkerülhetetlen szolgáltatók, mint például a Facebook, LinkedIn, vagy a Google. A szolgáltatások tekintetében a felhasználó bár jogilag erősen védett helyzetben van, a gyakorlatban nem rendelkezik érdemi erővel. Akkor is megadja az adatait és használja a platformot, ha tudja vagy csak sejti, hogy adatai nincsenek teljesen biztonságban. A felhasználók akkor is igénybe vennék a szolgáltatást, ha nem csak egy, hanem több tíz vagy száz jelölőnégyzetet kellene kipipálniuk, amelyekben tudomásul veszik a különböző adattovábbításra és -felhasználásra vonatkozó céges előírásokat. Az tehát látható, az adatkezelési elvek lekattintása sokszor nem társul érdemi befolyásolási lehetőséggel. A cégek oldaláról szemlélve a legtöbb szolgáltatás ugyanis bizonyos adatok nélkül nem működőképes, vagy nem üzemeltethető gazdaságosan. A felhasználó ilyen esetben nem arról fog dönteni, hogy az adott adatot a cég rendelkezésére bocsátja-e vagy sem, hanem arról, használni kívánja-e a szolgáltatást. Ha ugyanis nem akarja a cég rendelkezésére bocsátani az adatot, akkor nem is veheti igénybe a platformot. Amennyiben használni kívánja, úgy bizonyos adatokat akkor is meg kell adnia, ha azzal ő, bármely hatóság vagy a jogalkotó nem ért egyet. Egyes adatok kezelésének megtiltása vagy kezelésének körülményessé tétele nem átlátható adatvédelmi elvek felé fog mutatni, hanem az adott adatot felhasználó szolgáltatások leállását vagy elérhetetlenségét eredményezi majd.

Felhasználóként látszólag érthetetlen, miért akarnak a cégek állandóan nevet, születési adatot, telefonszámot és IP címet elkérni és kezelni. Ezen információk segítségével ugyanis nagy bizonyossággal kijelenthető a felhasználóról, hogy egy konkrét létező személy. A szolgáltatók számára rendszerint nem az a lényeg, hogy ténylegesen, vagyis név szerint ki van a felhasználó mögött, hanem az, hogy a különböző felhasználói profilok hozzárendelhetők legyenek egy-egy tényleges személyhez. Amennyiben ez a folyamat megakad, és a profilokhoz nem rendelhető tényleges személy, akkor az leértékeli az adott felhasználói fiókot. Néhány fiók “hiteltelensége” semmilyen negatív hatással nem jár, de a hiteltelenség elterjedése komoly gazdasági károkat képes okozni a szolgáltatónak. Hiába tőkeerős például a Facebook, ha minden magyar állampolgár regisztrálna néhány darab kamuprofilt, már azzal jelentős károkat tudnának okozni. Ez egyrészt olyan extra terhelést okozna a hálózatnak, amelyre nincsenek felkészülve, de ennél sokkal jelentősebb volna az a kár, amit az okozna, hogy többé nem lehetne a szolgáltató és a hirdető sem biztos abban, a hirdetést valós személy kattintotta-e le. A bizonytalanság a profilok és ezen keresztül a hirdetések leértékelődéséhez vezetne. Ez a jelenség a szolgáltatói profit kiesésén túlmenően a hirdetőket, illetve a hirdetési piacot is súlyosan kárósítaná, hiszen a kamukattintások kockázata a cégek közötti bizalmi viszonyt is aláássa. Természetesen egyik céget sem kell temetni, nem szentek, akik csupán a közjó érdekében fejlesztenek és szolgáltatnak. Ugyanakkor ennek az ellenkezője sem védhető álláspont, vagyis nem szabad minden adatkezelés mögött kényszeresen a felhasználók kizsákmányolásának szándékát vizionálni.

Kutatás a jogi munkaerőpiacról

A kitöltők között a nyertes választása szerint kisorsolunk 4 db Szigetjegyet, egy 75.000 Ft-os IKEA utalványt vagy egy 75.000 Ft-os Repjegy.hu utalványt!

Első pillantásra a személyes adatok eltérő szabályozásának kérdéseit egy vállrándítással el lehetne intézni azzal, hogy az európaiak adatai maradjanak az EU-n belül, illetve mindenki adata maradjon abban a térségben, ahol keletkezik. Ez a megoldás egyszerű és impozáns mivolta ellenére egy globális szolgáltatás számára több okból is megvalósíthatatlan. Egy szolgáltató esetében technológiailag megoldhatatlan kihívás lenne teljesen külön kezelni a külföldi, más jogi szabályozási területről származó adatokat. A lokális adatkezelés esetén egy európai fiatal számára az amerikai tanulmányok, vagy munkavállalás egy kvázi digitális öngyilkossággal lenne egyenlő. A családdal való kapcsolattartás tekintetében például, csak a levél, esetleg a postagalamb maradna reális kapcsolattartási formaként. Cégként lehetetlen lenne más országok tenderein indulni, onnan terméket, szolgáltatást rendelni, stb. E néhány abszurd példa azonban valójában csak a jéghegy csúcsa.

A digitális szolgáltatók számára az adataink csak annyiban és addig érdekesek, amennyiben és ameddig azok segítik a szolgáltatások és velük együtt a monetizáció személyre szabását. Szolgáltatások fejlesztése szempontjából a felhasználók közösségének egésze kvázi egyetlen nagy adattömbként érdekes igazán, mert a profit nem a ténylegesen egyedi tartalmak gyártásában és továbbításában van, hanem felhasználói csoportok kialakításában és az újonnan létrejött csoportok igényeinek kollektív kiszolgálásában úgy, hogy közben az egyes felhasználó az egész folyamatot személyre szabottnak érzi. Épp ez utóbbi ok az, ami folyamatosan magában hordozza azt a kockázatot, hogy akármit is gondoljon a jogászok világa az adatok lokalizációjáról, a nemzetközi szolgáltatók azt annyiban és addig fogják betartani, amíg és amennyire tartanak attól, hogy a szabályok megsértése nyilvánvalóvá válik, illetve szankciókat von maga után. A kérdés teljességéhez hozzátartozik, hogy bizonyos szintű felhasználói élmény csak és kizárólag globális adatkezeléssel biztosítható. Ez nem csak felhasználói oldalról fontos, hanem a szolgáltatók is ezzel tudnak új felhasználókat gyűjteni és a meglévőket megtartani, amely akkora piaci érték, amelyért már megéri bizonyos szankciókat, illetve azok kockázatát bevállalni.

Elcsépelt, mégis hibás gondolat, hogy amennyiben a jelenlegi jogi hozzáálláson nem változtatunk, az Európai Unió lemarad a versenyben. A gondolat azért hibás, mert már most is jelentős lemaradásban vagyunk. A szabályozás újragondolásának valódi tétje, egyáltalán rajta leszünk-e az “adattérképeken”. A jogalkotás egyik problémája, hogy mindig a technológia után ballag, mert a kurrens technológiákat alkalmazó piaci mechanizmusok sokkal gyorsabban változnak, mintsem azok szabályozására lehetőség lenne. Ez egyszerre hátrány és lehetőség is, mert a piac és piaci szereplők képesek kimunkálni azokat a mechanizmusokat, amelyek az EU-t adatvédelmi lélegeztetőgépen tudják tartani. Azonban a megoldások egyike sem tartós, ha nem társul hozzá jogalkotói támogatás.

Jogalkotóként kívánatos lenne, ha harmadik országbeli cégek helyett érdemi gazdasági és társadalmi potenciállal bíró európai vállalatok szolgáltatnának és kezelnék az adatokat, mert egyszerűen, könnyen szabályozható és ellenőrizhető piaci szereplők kezében lenne az adatvagyon. A realitás azonban ettől teljesen messze van. Egyik lehetséges megoldás az, amikor az adatokat származtatott módon továbbítjuk harmadik országba úgy, hogy az eredeti személyes vagy érzékeny adatok nem visszaállíthatók. Ilyen megoldás, ha nem a felhasználó nevét és egyéb adatait adjuk át, hanem csak annak a tényét, hogy ő egy validált, megerősített felhasználó. Az is lehetséges, hogy az érzékeny adatokat, mint például az egészségügyi adatok, olyan roncsolásos technológiával módosítjuk, amely lehetetlenné teszi az eredeti információ visszaállítását, mégis alkalmas további számítógépes feldolgozásra. Amennyiben például betegek röntgenképeit szeretnénk feldolgoztatni számítógépekkel, ott ezzel a megoldással a gépek meg tudják állapítani úgy a betegség tényét, hogy közben az adathalmazból nem állíthatók helyre az eredeti felvétel adatai. Ezáltal ha a beteg azonosítóját nem fűzik hozzá, utólag képtelenség megmondani, kihez tartozik az adathalmaz. Sőt, ha ezeket az adatokat kimásoljuk mondjuk egy pendrivera és valakinek odaadjuk, még azt sem fogja tudni megmondani, hogy az adatok röntgenképből lettek előállítva. Ez már az adatvédelemnek egy teljesen új szintje, melynél a technológia jóval előrehaladottabb a jogi kodifikáció által biztosított környezetnél.

A mesterséges intelligencia alapú rendszereket két nagy kritikával szokták illetni. Egyik az előítéletesség, a másik a sok személyes adat egy helyen történő tárolása és feldolgozása. Az előítéletesség különböző adattisztítási eljárásokkal csökkenthető vagy akár teljesen megszüntethető. A személyes adatok aggregálásának problémájára is lehetséges technológiai megoldást adni. Betanítható olyan mesterséges intelligencia hálózat, amely személyes és érzékeny adatokkal is dolgozik, de ezek az érdemi használat során “kitakarhatók”, vagyis ha valaki nem rendelkezik az adott adathoz engedéllyel a felhasználó részéről, a neurális hálózatnak az érintett elemeit nem használhatja. Ezáltal például a közösségi médiában tárolt adatokból előállíthatók olyan nagy teljesítményű neurális hálózatok, amelyből az azt használók mindössze akkora szeletet használhatnak, amelyre felhasználói engedéllyel rendelkeznek. Ha például valaki nem tudja a felhasználó születési idejét, számára az életkorral kapcsolatos összefüggések és következtetések nem elérhetők. Egy ilyen megoldásnak a jogtudomány számára is értékes eredményei lennének, hiszen a hálózatból megmondható, egy-egy személyes adat mekkora súllyal szerepel a felhasználói döntésekben és analízisekben, így a konkrét adatok “beárazhatók”. Egy ilyen új helyzetben előfordulhat, hogy olyan adatokat is jogi védelemben kell részesíteni, amelyről jelenleg nem szólnak a jogtudományi viták, illetve az is lehetséges, jelenleg védelemben részesülő adatokról derül ki, már nincs szükség olyan szigorú szabályozásra, mint eddig. A technológia érdemben tudná támogatni a jogtudomány fejlődését és a jogi szabályozás is biztos alapokra kerülne ha a jelenlegi módszer helyett, mely korábbi technológiai tapasztalatokon és találgatásokon alapul, olyan módszert használunk, mely a kurrens megoldások tényleges tapasztalatát adja át valós időben a jogtudomány számára.

Egy további lehetséges megoldás az elosztott tanulás, mely a mesterséges intelligencia alapú rendszerek betanításának egyik módja. Ennek lényege, hogy a betanítandó hálózatnak és az adatnak nem kell egyszerre, egy helyen lennie. E megoldásnak számos különböző konfigurációja létezik attól függően, mit kívánunk védeni: a hálózatot, a tényleges adatpontokat, vagy egy nagyobb adathalmazt. Ez azt is jelenti, mindent nem védhetünk egyszerre, ugyanakkor kialakíthatók olyan megoldások, amelyek például jól segítenék az adatok minél inkább lokális helyen tartását, miközben a nemzetközi szolgáltatók is képesek lennének szolgáltatásaikat úgy fejleszteni, hogy azok az európai fogyasztók piaci igényeit is tükrözzék. Jelenleg a technológiát például mobilokban használják, ahol ilyen módszerrel tanulja meg a telefon, milyen szavakat ajánljon fel üzenetírás közben a felhasználónak.

A technológiai megoldások tárháza elég széles, amelyek egy részét már manapság is használják a piaci szereplők. A jogalkotás feladata itt az lehet, hogy technológiai alapokon nyugvó szabályozással olyan piaci környezetet teremt, amely egyszerre védi meg a felhasználók adatait úgy, hogy közben elősegíti a piaci működést és a fejlődést.

Hozzászólnál a témához? Küldd el nekünk elemzésedet az arsboni@arsboni.hu címre, és nyilvánosságot biztosítunk az írásodnak! 

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.