Megrendelés

Böröcz István: A Privacy Impact Assessment forrásai (IJ, 2014/3. (59.), 103-110. o.)

1. Bevezető

A web 2.0-es szolgáltatások, az ezekre jellemző felhasználók által generált tartalmak (User Generated Content), valamint ennek egyik következményeként az egyre pontosabb analitikán alapuló személyre szabott reklámozás hatására egyre többekben tudatosul a tény, miszerint az emberek magánszférájának védelmi szintje aránytalanul alacsony a külső megfigyelés mértékével szemben. A progresszíven növekvő tartalom-előállításban rejlő gazdasági lehetőségeket kihasználva a különböző szolgáltatók szabadon gyűjtik a felhasználók adatait (legyen az akár strukturált, akár strukturálatlan adat) nap mint nap, függetlenül attól, hogy az érintettek ehhez hozzájárultak, vagy sem.

A Big Data[1] és a Cloud Computing[2] (felhőalapú adattárolás) világában egyértelműnek tűnik, hogy a személyes adat az internet új kőolaja és a digitális világ valutája,[3] amelyet a felhasználó bizalma és megfelelő szintű tájékoztatása nélkül kezelnek. Az új pénznem bankjai az adatkezelők, amelyek közül is kiemelkednek olyan nevek, mint a Google, a Facebook, vagy a Microsoft. Ugyan voltak és vannak törekvések a folyamatosan növekvő mértékű adatgyűjtés megfékezésére, de a lobbi és a gyors technológiai fejlődés[4] szinte teljesen annullálja azokat. Az adatkezelők szignifikáns kontroll nélkül gyűjthetik az adatokat - ezt bizonyítja a francia adatvédelmi hatóság[5] (CNIL) Google-lal szemben maximálisan kiszabható, 150 000 eurós bírsága, amely összeggel egyenértékű tiszta profitot kevesebb mint 10 perc alatt termelt ki a cégóriás.[6]

Az Európai Bizottság kihangsúlyozta a személyes adatok védelmének fontosságát az Európai Digitális Menetrendben[7] is: "az európaiak nem fognak olyan technológiát felkarolni, amelyben nem bíznak - a digitális kor nem lehet egyenlő sem a Nagy Testvérrel, sem az "internetes vadnyugattal." Pillanatnyilag azonban annak tűnik - a "mindent átható számítástechnika",[8] valamint a hálózatba kapcsolódásra tekintettel a "dolgok internete"[9] kifejezésekkel leírt tendenciák során a fizikai és virtuális világ határai összemosódnak, amelynek hatására az eszköz által nyújtott felhasználói élmény, kényelem iránti igény felülemelkedik az eszköz iránti bizalmon.[10]

A társadalmi és technológiai tendenciákra reagálva szükség van az adatvédelmi szabályozás reformjára, amely évek óta napirenden van (és húzódik) Európában.[11] A szabályozás új irányainak meghatározásakor számos új elv és jogintézmény gondolata jelent meg, melyek célja többek között az adatkezelő felelősségének növelése, valamint egy világos és átlátható adatkezelési metodológia érvényre juttatása. A Rendelettervezet holisztikus felfogásából adódóan, a technológiai forradalom által vezérelt társadalmi változásokra is reagálva olyan általános előírásokat fogalmaz meg, mint az adatkezelő felelősségre vonhatóságának szabályai, a beépített adatvédelem, vagy az adatvédelmi hatásvizsgálat, amelyek biztosíthatják az átlátható és arányos adatkezelést.[12] A kitűzött célok elérése nagyban függ az új elvek megfelelő alkalmazásától, betartásától, betartatásától.

A tanulmány célja az európai adatvédelmi reform során is egyre nagyobb hangsúlyt kapó, az angolszász jogrendszerekben a közszféra egyik kiemelkedő fontosságú − részben − önszabályozó módszerének, az adatvédelmi hatásvizsgálat (Privacy Impact Assessment, továbbiakban: PIA) kialakulásának és az angolszász jogrendszerekben való megjelenésének bemutatása. A hatásvizsgálat fontos eleme lehet a magánszféra védelmének, mivel célja azon a magánszférát támadó eljárások azonosítása és teljes vagy részleges kiküszöbölése, amelyek következményeként felborul(t) a pénzügyi, politikai érdekek, valamint a személyes adatok védelme közti egyensúly.

2. Történeti fejlődés

Az adatvédelmi hatásvizsgálat különböző elnevezései megtévesztőek lehetnek, de a szakirodalmakban megjelenő Privacy Impact Assessment és a Data Protection Impact Assessment kifejezés fogalmilag ugyanazt jelenti, az elnevezésbeli különbség az általános személyiségvédelem amerikai és európai fejlődési modelljei közötti eltérésben gyökerezik. Míg az Egyesült Államokban a személyiségi jogi védelem a magánszférához való jog (right to privacy) keretein belül teljesedett ki, addig Európában a titokszféra védelme, majd az adatvédelem vált annak meghatározó elemévé.[13]

Az adatvédelmi hatásvizsgálat egy, többek között az OECD adatkezelési elvein[14] alapuló módszertan, amelynek célja olyan projektek, programok, előírások, termékek, szolgáltatások (továbbiakban: projekt) vizsgálata, amelyek egy meghatározott mértéken túl is hatással vannak a magánszférára. Ezenfelül az eljárás lezárásaként, az érintettekkel való konzultációval összhangban ajánlás születik a káros hatások kiküszöbölése, csökkentése érdekében. A hatásvizsgálat az angolszász jogrendszerű országokban alakult ki, ahol ma is elsősorban a magánszférát érintő kormányzati és közigazgatási döntéshozatali eljárások szerves részét képezi,[15] azonban többnek mondható egy egyszerű eszköznél. Paul De Hert definíciója szerint a PIA egy módszer, amely felméri a projekt által magánszférára gyakorolt hatásokat abban az esetben, amennyiben személyes adatok kezelésére sor kerül, valamint az érintettekkel egyeztetve a negatív hatások elkerülése vagy csökkentése érdekében ajánlásokat fogalmaz meg.[16]

Bizonyos értelemben az adatvédelem területén az elmúlt 50 évet tekintve a PIA kiemelkedik a társadalmi, politikai és jogi szempontokat is ötvöző eljá-

- 103/104 -

rások közül. A metodológia távoli rokoni kapcsolatokat mutat a környezeti hatásvizsgálattal, amely a zöld mozgalmak során alakult ki az 1960-as évek Amerikájában.[17] A környezetbe való beavatkozás esetleges következményei­nek vizsgálatából származó pozitív tapasztalatok vezettek a társadalmi hatásvizsgálat (Social Impact Assessment, SIA) 1980-as évekbeli megjelenéséhez. Az SIA célja, hogy biztosítsa a fejlesztések, illetve az esetleges beavatkozások maximális hasznát, valamint minimalizálja a költségeket, beleértve különösen a társadalom által viselendő terheket.[18]

A PIA mint koncepció gyökerei Ausztráliában, Kanadában, Hongkongban, Új-Zélandon és az Egyesült Államokban találhatók, és kialakulásuk, valamint fejlődésük kezdete az 1990-es évek derekára tehető.[19] 2007 decemberében az Egyesült Királyság - Európában elsőként - olyan adatvédelmi hatásvizsgálatról szóló útmutatót készített, amelyet fel is használt az állami szervek átvilágítása során. Habár releváns különbségek mutatkoznak az említett államok hatásvizsgálatai között, általánosságban megállapítható, hogy a PIA egy projekt által a magánszférát érintő behatásokat vizsgáló, azokat csökkentő vagy megszüntető, rendszerbe foglalt eljárás.

Maga a fogalom nem ismeretlen Európában sem, habár az Uniónak még nem sikerült megteremtenie a megfelelő szabályozási környezetet az egyes felügyeleti rendszerek kialakításához, mint például Ausztráliának, az Egyesült Királyságnak vagy az Egyesült Államoknak. A PIA európai uniós bevezetésének lehetőségét vetítették előre az Európai Bizottság 2010-es állásfoglalásai az adatvédelmi reform előkészületei során.[20] A Bizottság ajánlásával összhangban a 29. cikk szerinti munkacsoport 2011 februárjában elfogadta az RFID PIA keretszabályozást.[21] Ezek a lépések előrevetítik annak lehetőségét, hogy az EU a jó gyakorlatokat felhasználva létrehozzon egy igazán hatékony és erős PIA módszertant, amely képes befolyásolni az információs társadalomban zajló folyamatokat.

A teljes tartalom megtekintéséhez jogosultság szükséges.

A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.

Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!

Tartalomjegyzék

Visszaugrás

Ugrás az oldal tetejére