S véd-e a GDPR? – a svéd adatvédelmi szabályozás útvesztőiben

Ma a svédországi lakosok személyes adataihoz a világon bárki hozzáférhet az interneten keresztül. Egyes svéd keresőoldalakon név szerint kereshetünk rá magánszemélyekre és tudhatunk meg adatokat autójukról vagy lakóhelyükről. Mindezt úgy, hogy Svédországban is hatályos és alkalmazandó az Európai Unió általános adatvédelmi rendelete, a GDPR. A GDPR márpedig a személyes adatok kezelésével kapcsolatosan szigorú követelményeket állít fel és ezzel együtt az érintettnek széles körben biztosít jogokat. Cikkemben annak járok utána, hogy milyen jogi keretek között lehetséges ilyen keresőmotorokat fenntartani a GDPR mellett.

A hitta.se, az eniro.se, a merinfo.se, valamint a ratsit.se nevű weboldalak keresőjébe elegendő egyetlen nevet beírnunk és pillanatok alatt megtudhatjuk a keresett személy lakóhelyét, a vele egy háztartásban élő személyek nevét, a lakóhelye szerinti ingatlan adatait, (olyan pontossággal, hogy annak mennyi a vételára vagy hány kutyát tartanak a területén), de akár telefonszámát, születési dátumát vagy családi állapotát is. Egyes oldalak viszont további olyan szenzitív, vagyoni helyzetre vonatkozó adatokat is megjelenítenek, hogy az illetőnek milyen autója van, hol dolgozik, vagy mennyit keres (habár ennek kiderítéséhez már 39 svéd koronának megfelelő összeget kell fizetnünk). Ezek a magáncégek által üzemeltetett weboldalak az érintettek bárminemű hozzájárulása, sőt, tájékoztatása nélkül tárolnak és tesznek nyilvánossá személyes adatokat. Első látásra ez nehezen összeegyeztethető a GDPR által lefektetett alapvető szabályokkal. Arra, hogy ez valóban így van-e, a GDPR és a svéd jog viszonyában kell keresnünk a választ.

A GDPR kivételszabálya

Más uniós tagállamokhoz hasonlóan a GDPR Svédországban is 2018. május 25. napjától vált közvetlenül alkalmazandóvá, a fentebb említett keresőoldalak azonban továbbra is a megszokott módon folytathatták tevékenységüket.  Ennek lehetőségét maga a GDPR adja meg. A 85. cikk alapján a tagállamok kötelesek jogszabályban összeegyeztetni a személyes adatok védelméhez való jogot a véleménynyilvánítás szabadságához és a tájékozódáshoz való jogokkal. A tagállamok a személyes adatok újságírási célból, illetve tudományos, művészi vagy irodalmi kifejezés céljából végzett kezelésére vonatkozóan kivételeket vagy eltéréseket határoznak meg a GDPR elvei és szabályai alól, amennyiben ez szükséges az alapjogok összeegyeztetéséhez.  A véleménynyilvánítás szabadsága és a tájékozódáshoz való jog érvényesülésének biztosítása érdekében a GDPR mozgásteret ad a tagállamoknak a szabályaitól való eltérésre. A tagállam jogszabályaiban fektetheti le, hogy pontosan mit jelent a gyakorlatban az ezen célok szerinti adatkezelés. Szintén tagállami mérlegelés körébe tartozik annak megválasztása, hogy az alapjogok összeegyeztetéséhez a GDPR mely elveitől, illetve szabályaitól szükséges eltérni.

Egy 85. cikk szerinti kivétel: a közzétételi engedély

A svéd jogrendszerben hagyományosan kitüntetett szerepe van a véleménynyilvánítás szabadságának. A tömegkommunikációs eszközök (rádió, televízió, kiadók) automatikusan úgynevezett „közzétételi engedéllyel” rendelkeznek, amelyet a svéd alkotmány részét képező, a véleménynyilvánítás szabadságáról szóló törvény hoz létre. Azok a médiavállalatok, amelyek nem férnek bele ebbe a kategóriába, kérelmet nyújthatnak be a Svéd Sajtó- és Műsorközvetítő Hatósághoz (MPRT) a közzétételi engedély megszerzése iránt. Az engedély megszerzésének feltétele többek között a weboldal vagy az adatbázis nyilvános jellege, illetve a Svédországban működő szerkesztőség és kiadó megléte.

A közzétételi engedélyt megszerző médiavállalatot a svéd jog 10 éven keresztül részesíti alkotmányos védelemben. A védelem alatt álló vállalatokra korlátozott hatállyal alkalmazandók a GDPR szabályai: Svédország a személyes adatok védelméhez való jogot úgy egyezteti össze a véleménynyilvánítás szabadságával, hogy ha és amennyiben az alkotmányos szintű véleménynyilvánítás szabadságáról szóló törvényben foglaltak ütköznek a GDPR rendelkezéseivel, akkor az előbbiben foglaltak élveznek elsőbbséget. A szóban forgó keresőmotorok a tisztázás végett fel is tüntetik weboldalukon, hogy közzétételi engedéllyel rendelkeznek, amelyen keresztül alkotmányos védelmet élveznek, így e körben nem vonatkoznak rájuk a GDPR személyes adatok kezelésére vonatkozó rendelkezései.

Fontos megemlíteni, hogy a közzétételi engedély egyszerre biztosít többletjogokat és kötelezettségeket is. Birtokában a svéd adatvédelmi hatóság nem akadályozhatja meg az adatok közzétételét. A weboldalakat azonban speciális felelősség terheli arra az esetre, ha a véleménynyilvánítás szabadságát megsértik, ezzel együtt a kiadó felelős mindazért, amit közzétesz.

A GDPR „hatókörén” innen és túl

Mindazonáltal a közzétételi engedéllyel rendelkező weboldalak nem élveznek teljes mentességet a GDPR rendelkezései alól. A véleménynyilvánítás szabadságáról szóló törvény alapján egyes személyes adatok közzététele tekintetében nem érvényesül az alkotmányos védelem. Ide sorolhatók a faji vagy etnikai származásra, vagy a politikai véleményre utaló adatok, továbbá a biometrikus és egészségügyi adatok is. Ezen adatkategóriák tekintetében a GDPR rendelkezései az irányadók, tehát az ilyen adatok kezelése alapvetően tilos.

Azt, hogy a véleménynyilvánítás szabadságának azért még Svédországban is vannak korlátai, jól illusztrálja a MrKoll nevű keresőmotor esete is. Ezen adatbázis ismertetőjegye, hogy információt szerezhetünk a keresett személy büntetett előéletéről, valamint a kapcsolódó bírósági határozatokat is elérhetjük. 2018-ban a svéd adatvédelmi hatóság közigazgatási bírságot szabott ki az oldalra a GDPR rendelkezéseinek megsértése miatt, ugyanis az a hitelinformációs törvény hatálya alá tartozó, magánszemélyek adósságaira vonatkozó információkat tett közzé. Látható tehát, hogy ha egy keresőmotor a tevékenységével már kilép a véleménynyilvánítás szabadságáról szóló törvény tárgyi hatálya alól, akkor feltétel nélkül érvényesül a GDPR általi védelem és ettől eltérni nem lehet.

Mindenesetre az a tény, hogy évente több száz panasz érkezik be a svéd adatvédelmi hatósághoz, jól mutatja, hogy a keresőoldalak működése a GDPR alkalmazandóságának hiányában sem mentes a társadalmi feszültségektől.

Ez a cikk az Arsboni 2023. őszi gyakornoki programjának keretében készült.

Források

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.