Az adatvédelmi hatóságok (DPA-k) képessége arra, hogy megértsék az új technológiai fejleményeket és alkalmazzák tudásukat a személyes adatok kezelésével kapcsolatos eljárásaikban, ma is fontos szempont és az lesz a jövőben is. A hatóságok e képességét azonban sokan megkérdőjelezik, és továbbfejlődésük kilátásai e téren aggodalomra adnak okot, különös tekintettel az Európai Unió általános adatvédelmi rendelete (GDPR) által meghatározott feladatkörükre. Tanulmányunk ismerteti az EU adatvédelmi hatóságai körében nemrég végzett vizsgálat eredményeit, feltárva a hatóságok problémáit az új technológiák megértésében, és azt, hogy hogyan kezelik e problémákat.
adatvédelmi hatóságok, felügyeleti hatóságok, privacy, információs technológiák, általános adatvédelmi rendelet (GDPR), survey, technológiai kompetencia
Az információs privacy[2] területén a tudományos érdeklődés évtizedeken át az adatvédelem jogi és - növekvő mértékben - technológiai dimenzióira összpontosult; sokkal kevesebb figyelem jutott a szabályozó és felügyeleti szervek munkájának megértésére, amely szervek közül kiemelkedő fontosságúak az adatvédelmi hatóságok (DPA-k).[3] A személyes adatok védelme érdekében megalkotott jogrendszerek hatékonysága pedig nagyban függ attól, akár még a törvények betűjénél vagy a jogtudósok kifinomult elemzéseinél is nagyobb mértékben, ahogyan e hatóságok a feladataikat teljesítik. Gyakran ér kritika egyes országokat azért, mert anélkül hoznak magánéletvédő törvényeket, hogy megteremtenék a végrehajtásukhoz szükséges mechanizmust, amellyel elősegíthető vagy biztosítható lenne a jogi megfelelőség, a követendő gyakorlat és a többi szükséges feltétel; elég csak az Egyesült Államok ismert példájára gondolnunk. Bamberger és Mulligan szóhasználatát idézve, amelyet a privacy és a vállalati magatartás viszonyát elemző tanulmányukban[4] használnak, a "földön járó" adatvédelmi jog, a "papíron létező"[5] adatvédelmi joggal szemben, nemcsak a vezető vállalati adatvédelmi felelősök (CPO-k)[6] tevékenységét, hanem az adatvédelmi hatóságokét is magában foglalja, amely hatóságokkal ezek a nem-állami szervezetek gyakorta kerülnek a "papíron létező" adatvédelmi jog által csak homályosan strukturált kapcsolatba. Az adatvédelmi hatóságok kiemelt szerepet játszanak annak eldöntésében, hogy milyen mértékben érvényesíthetjük az információs privacy jogát mint alapjogot. Szervezeti berendezkedésük, szakmai hagyományaik, függetlenségük és teljesítményük meghatározó e jog érvényesíthetőségében, és mégis sokkal ritkábban, kevésbé rendszerezetten és kevésbé összehasonlító módon szokás vizsgálni e tényezőket, mint az adatvédelmi rezsimek más összetevőit.
A DPA-k "multi-tasking" üzemmódban dolgoznak. Ha "felügyeleti hatóságoknak" tekintjük őket, ahogy az Európai Unió Általános Adatvédelmi Rendelete (GDPR)[7] teszi, vagy "szabályozási hatóságoknak", akkor ezzel csak egyetlen elemére utalunk annak a széles tevékenységi körnek, amit a jog megkövetel, illetve a politikusok, a közvélemény és a média elvár tőlük. Flaherty[8] leltárában a DPA-k tevékenységei közé tartozik "a felügyelet, az auditálás, a monitorozás, az értékelés, a szakértői tudás, a közvetítés, a vitamegoldás és a versengő érdekek kiegyensúlyozása". Jóri[9] leegyszerűsítve két fő funkcióra hívja fel a figyelmet: "alakítás" (a privacy szószólója) és "alkalmazás" (közvetítés és végrehajtás). Az Európai Bíróság határozataira hivatkozva Schütz[10] rámutat az adatvédelmi hatóságok függetlenségére és ennek fontosságára szabályozó tevékenységükben. Ugyanezt Bieker is említi,[11] de a GDPR által bevezetendő változások közül a végrehajtási funkciót, a panaszkezelést és az adatvédelmi hatóságok együttműködését emeli ki. Hijmans[12] átfogó elemzése a DPA-kat "szakértő testületeknek" tartja, de csak mellékesen említi a technológiai tudás és e szakértelem kapcsolatát. Rámutat arra is, hogy a DPA-k sokoldalú feladatköre konfliktusok forrása is lehet és kompromisszumokra kényszerítheti a hatóságokat alapfeladatuk, az adatvédelmi megfelelőség ellenőrzésében, bár éppen ez a sokoldalúság az, ami az információs magánélet védelmének erős aktoraivá teszi őket.
Az észt adatvédelmi hatóság által az európai DPA-k részletes kompetenciájáról és tevékenységéről végzett felmérés az alábbi kategóriákat különbözteti meg: általános kompetencia (adatvédelmi és információszabadság vonatkozású ügyekben); oktatási és konzultációs tevékenység (kérdések megválaszolása, útmutatók kiadása, önszabályozó aktusok elfogadása, tréningek és más nyilvános események, médiatevékenység, beleértve a közösségi médiát); ellenőrző és végrehajtó tevékenység (közvetítés, összehasonlító vizsgálatok, felszólítás vizsgálat nélkül, preventív auditálás, regisztráció, harmadik országokba történő adattovábbítások engedélyezése, előzetes ellenőrzés, jogsértések kivizsgálása és megítélése, határozatok); szakpolitikai tanácsadás, és egyéb tevékenységek.[13] A GDPR 57(1) cikke huszonkét "feladatot" sorol fel a tagállamok felügyeleti hatóságai számára, melynek végén az omnibusz 57(1)(v) szakasz áll: "a személyes adatok védelméhez kapcsolódó minden más feladatot ellát". Ezt a rendkívül kiterjedt feladatkört a hatóságok huszonhat (vizsgálati, korrekciós, engedélyezési, tanácsadási) hatáskörük alapján látják el az 58. cikkben kifejtettek szerint. A GDPR új feladatköröket és elvárásokat fogalmaz meg, ösztönöz az együttműködésre, az intézményesített és informális interakciókra, de ezeket a már meglévő feladatokra rétegzi. A teljes "csomag" kétségkívül új képességeket, új erőforrásokat és új készségeket feltételez, mivel a DPA-k olyan jövő elé néznek, amelyben a személyes adatok ke-
- 11/12 -
zelésének új formái új kihívásokat jelentenek számukra a szabályozásban, az állampolgárok adatainak és jogainak védelmében.
Bennett és Raab[14] összeállítása hét nagyobb feladatkört vagy szerepet vázol fel, amelyekben e hatóságok fellépnek jogalkalmazói és ellenőri tevékenységük során: ombudsman, auditor, konzulens, edukátor, szakpolitikai tanácsadó, tárgyaló, és végrehajtó. Ez a felosztás nem kíván általános érvényű katalógust nyújtani a DPA-k tevékenységére, még kevésbé azt sugallni, hogy az összes adatvédelmi hatóság működése azonos, mégis hasznos eszköz annak elemzésére, hogy a DPA-k mit és hogyan csinálnak. Egyes hatóságok végrehajtási szerepüket hangsúlyozzák, mások a nagyközönség (az adatalanyok), vagy a vállalatok és egyéb szervezetek (az adatkezelők) oktatására koncentrálnak. Ismét mások a szakpolitikai és jogi tanácsadást, vagy az eljárási kódexek kidolgozásának ösztönzését tartják kiemelt feladatuknak. A DPA-k stílusa és stratégiája tehát korántsem azonos az európai vagy globális adatvédelmi színpadon.
Ami viszont azonos, az az, hogy meg kell érteniük a globálisan alkalmazott információs és kommunikációs technológiák (IKT) adatvédelmi implikációit, a személyes adatok különféle érdekek által vezérelt kiterjedt elemzését, valamint az olyan feltörekvő technológiákat, mint amilyen az érzelemdetektálás vagy a prediktív adatelemzés. Közel harminc évvel ezelőtt, a modern internet hajnala, az IKT többi drámai fejleménye és ezek állami és magáncégek általi kihasználása előtt, Flaherty megjegyezte, hogy az adatvédelmi hatóságok "figyelik és értékelik az adatfeldolgozás és a távközlés új fejleményeit. Minden hatóságnak vannak specialistái a különféle informatikai rendszerekre, akik értelmes párbeszédet képesek folytatni a kormányzati információs rendszerek üzemeltetőivel adatvédelmi és biztonsági ügyekben."[15] Simitis 1983-ban[16] hasonlóképpen írja, hogy ezeknek a hatóságoknak "megvan a szükséges tudásuk ahhoz, hogy elemezzék az állami és magánszervezetek struktúráját és lépésről lépésre kövessék információs folyamataikat. Ezáltal észlelhetik hiányosságaikat és megfelelő orvoslatokat javasolhatnak". Lehet, hogy ez igaz volt a viszonylag kevés számú DPA idejében az EU nagyobb országaiban,[17] de ma az a helyzet, hogy a technológiai robbanás, a hatóságokra nehezedő követelések és az országos és tartományi szintű adatvédelmi hatóságok számának növekedése az Európai Unióban kétségeket ébreszt afelől, hogy képesek-e alkalmazni ezt a tudást "földön járó" tevékenységeikben.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás