20.2.2016 |
HU |
Az Európai Unió Hivatalos Lapja |
C 67/13 |
Az európai adatvédelmi biztos által kiadott, „Válasz az óriás méretű adathalmazok jelentette kihívásokra: Átláthatóságra, felhasználói ellenőrzésre, valamint beépített és alapértelmezett adatvédelemre van szükség” című véleményének összefoglalója
(A vélemény teljes szövege angol, francia és német nyelven megtalálható az európai adatvédelmi biztos honlapján: www.edps.europa.eu)
(2016/C 67/05)
„Az ahhoz való jog, hogy az embert békén hagyják, jelenti tulajdonképpen minden szabadság kezdetét” (1).
Az óriás méretű adathalmazok felelősségteljes eljárás mellett jelentős előnyöket és hatékonyságnövekedést jelenthetnek a társadalom és az egyén számára, nem csak az egészségügy, a tudományos kutatás, a környezetvédelem terén és más konkrét területeken. Ugyanakkor komoly aggályok merülnek fel az óriási adatmennyiségek feldolgozásának az egyének jogai és szabadságai, egyebek mellett a magánélet tiszteletben tartásához való jogukra gyakorolt tényleges és lehetséges hatásait illetően. Az óriás méretű adathalmazok jelentette kihívások és kockázatok ezért hatékonyabb adatvédelmet tesznek szükségessé.
Nem szabad, hogy a technológia szabja meg értékeinket és jogainkat, azonban az sem helyes, ha az innováció ösztönzését és az alapvető jogok védelmét összeegyeztethetetlennek tartjuk. A tömeges adatgyűjtés, az azonnali továbbítás, a személyes információk előre nem látott célra történő összekapcsolása vagy újrafelhasználása az adatvédelmi elveket új próbák elé állította, amely miatt alaposan át kell gondolni, hogyan alkalmazzuk azokat.
Az európai adatvédelmi jog alapvető jogaink és értékeink, egyebek mellett a magánéletünk tiszteletben tartásához való jogunk védelmére alakult ki. Nem az a kérdés, hogy az adatvédelmi jogot alkalmazzuk-e az óriás méretű adathalmazokra, hanem hogy hogyan kell azt innovatívan alkalmazni az új környezetben. Jelenlegi adatvédelmi elveink, ideértve az átláthatóságot, az arányosságot és a célhoz kötöttséget is, jelentik azt a kiindulási alapot, amelyre alapvető jogaink dinamikusabb védelméhez az óriás méretű adathalmazok világában szükségünk lesz. Ezeket azonban olyan „új” alapelvekkel kell kiegészíteni, amelyek az évek során kialakultak, mint az elszámoltathatóság, valamint a beépített és alapértelmezett adatvédelem. Az EU adatvédelmi reformcsomagja várhatóan megerősíti és korszerűsíti a szabályozási keretrendszert (2).
Az EU az óriás méretű adathalmazokat kihasználva maximalizálni szeretné a növekedést és a versenyképességet. Az egységes digitális piac azonban nem veheti át fenntartás nélkül azokat az adatvezérelt technológiákat és üzleti modelleket, amelyek a világ más területein a gazdaság fő áramlatává váltak. Ehelyett a személyes adatok elszámoltatható feldolgozásának kifejlesztésében kell bizonyítania vezető szerepét. Az internet úgy alakult, hogy a megfigyelés – az emberek viselkedésének nyomon követése – a legsikeresebb vállalatok némelyikének elengedhetetlen üzleti modelljének számít. Az ilyen fejlődés miatt szükség van arra, hogy kritikusan értékeljünk és más lehetőségek után kutassunk.
Mindenesetre, függetlenül a választott üzleti modelltől, azoknak a szervezeteknek, amelyek nagy mennyiségű személyes adatot dolgoznak fel, be kell tartaniuk a hatályos adatvédelmi jogot. Az európai adatvédelmi biztos úgy véli, hogy az óriás méretű adathalmazok felelősségteljes és fenntartható fejlődésének négy alapvető elemre kell támaszkodnia:
— |
a szervezeteknek a személyes adatok feldolgozási módját illetően sokkal átláthatóbbaknak kell lenniük, |
— |
a felhasználóknak több lehetőséget kell biztosítaniuk annak ellenőrzésére, hogy adataikat hogyan használják fel, |
— |
felhasználóbarát adatvédelmet kell beépíteniük termékeikbe és szolgáltatásaikba, valamint |
— |
tevékenységük iránt nagyobb mértékben elszámoltathatónak kell lenniük |
Az átláthatóság biztosítása során az egyénekkel egyértelműen közölni kell, hogy mely adataikat dolgozzák fel, ideértve a megfigyelés vagy következtetés révén szerzett adatokat is; jobban kell tájékoztatni őket arról, hogy hogyan és milyen célra használják fel a róluk szóló információt, ideértve az algoritmusokban arra használt logikát, hogy feltételezéseket és előrejelzéseket készítsenek róluk.
A felhasználói ellenőrzés révén könnyebben biztosítható, hogy az egyéneknek több lehetőségük legyen felfedni a tisztességtelen torzítást és kifogásolni a hibákat. Segíteni fog az adatok olyan célra történő másodlagos felhasználásának megelőzésében, amely nem felel meg a jogos elvárásoknak. A felhasználói ellenőrzés új generációja révén az egyének adott esetben valósabb és jobb tájékoztatáson alapuló választási lehetőséget fognak élvezni és több lehetőségük lesz, hogy személyes adataikat jobban használják fel.
Az olyan jelentős jogok, mint a hozzáféréshez és az adatok hordozhatóságához való jogok, valamint a hatékony „opted out” mechanizmusok a felhasználóknak az adataik feletti ellenőrzéséhez szükséges előfeltételül szolgálhatnak, és hozzájárulhatnak új üzleti modellek és a személyes adatok hatékonyabb és átláthatóbb felhasználásának kialakulásához.
Azzal, hogy az adatvédelmet beépítik a rendszerekbe és folyamatokba, és az adatvédelmet úgy igazítják, hogy több valós átláthatóság és felhasználói ellenőrzés valósulhasson meg, az elszámoltatható adatkezelők is hasznot húzhatnak az óriás méretű adathalmazok előnyeiből, miközben biztosítják, hogy az egyén emberi méltóságát és szabadságait tiszteletben tartsák.
Az adatvédelem azonban csak az egyik része a válasznak. Az Uniónak koherensebb módon kellene bevetnie a rendelkezésre álló eszközeit, egyebek mellett a fogyasztóvédelem, az antitröszt, valamint a kutatás és fejlesztés területén, hogy biztosíthassa a garanciákat és a választási lehetőséget azokon a piacokon, ahol a magánélet védelmét biztosító szolgáltatások virágozhatnak.
Ahhoz, hogy választ tudjunk adni az óriás méretű adathalmazok jelentette kihívásokra, lehetővé kell tennünk az innovációt, miközben az alapvető jogokat is védjük. Most azok a vállalatok és más szervezetek, amelyek rengeteg erőforrást fordítanak arra, hogy minél innovatívabb módon tudják hasznosítani a személyes adatokat, ugyanezt az innovatív gondolkodásmódot alkalmazhatják az adatvédelmi jog végrehajtása során.
A tudományos körök, valamint számos szabályozó hatóság és érdekelt korábbi hozzájárulására építve az európai adatvédelmi biztos egy új nyílt és tájékoztatáson alapuló vitát kíván ösztönözni az Unió határain belül és kívül, a civil társadalom, a tervezők, vállalatok, tudományos körök, állami hatóságok és szabályozó hatóságok jobb bevonásával, arról, hogy hogyan lehet a legjobban kihasználni az ipar kreatív potenciálját a jogszabályok végrehajtására és magánélethez való jogunk és más alapvető jogunk biztosítására.
6. A következő lépés: az elvek átültetése a gyakorlatba
Ahhoz, hogy választ tudjunk adni az óriás méretű adathalmazok jelentette kihívásokra, lehetővé kell tennünk az innovációt, miközben az alapvető jogokat is védjük. Ennek eléréséhez az európai adatvédelmi jog kialakult elveit meg kell őriznünk, ám új módokon kell alkalmaznunk őket.
6.1. Jövőorientált szabályozás
Az általános adatvédelmi rendelettervezet tárgyalása a végső szakaszban jár. Sürgettük az uniós jogalkotót, hogy fogadjon el egy adatvédelmi reformcsomagot, amely megerősíti és korszerűsíti a szabályozási keretrendszert, hogy az az óriás méretű adathalmazok korszakában is hatékony maradjon, az egyének online és az egységes digitális piacon tanúsított bizalmának megerősítése révén (3).
A 3/2015. sz. véleményben, amelyhez a rendelettervezet teljes szövegére vonatkozó ajánlásainkat is mellékeltük, egyértelművé tettük, hogy a jelenlegi adatvédelmi elveknek, egyebek mellett a szükségesség, az arányosság, az adatminimalizálás, a célhoz kötöttség és az átláthatóság elvének továbbra is a fő elvek közé kell tartozniuk. Ezek jelentik azt a kiindulási alapot, amelyre alapvető jogaink dinamikusabb védelméhez a nagy adatmennyiségek világában szükségünk lesz (4).
Ugyanakkor ezeket az elveket meg kell erősíteni és hatékonyabban, valamint korszerűbb, rugalmasabb, kreatívabb és innovatívabb módon kell alkalmazni. Ezeket olyan „új” alapelvekkel is ki kell egészíteni, mint az elszámoltathatóság, valamint a beépített és alapértelmezett adatvédelem.
A nagyobb átláthatóság, az olyan jelentős jogok, mint a hozzáféréshez és az adatok hordozhatóságához való jogok, valamint a hatékony „opted out” mechanizmusok a felhasználóknak az adataik feletti ellenőrzéséhez szükséges előfeltételül szolgálhatnak, és hozzájárulhatnak a személyes adatok hatékonyabb piacához, amely a fogyasztók és a vállalkozások javát is szolgálná.
Végezetül, jogszabályainknak a globális környezetben való hatékony végrehajtásának egyik lényeges követelménye, hogy az uniós adatvédelmi jog hatályát kiterjesszék az Unióban lévő egyéneket célba vevő szervezetekre és az adatvédelmi hatóságokat felruházzák az érdemi jogorvoslatok alkalmazásához, például a hatékony pénzbírságok alkalmazásához szükséges jogkörökkel, ahogy az a rendelettervezetben szerepel. A reformfolyamat ebből a szempontból kulcsfontosságú szerepet játszik.
A szabályok hatékony végrehajtásának biztosításához a független adatvédelmi hatóságoknak nem csak jogkörökkel és erős eszközökkel kell rendelkezniük, hanem az adatvezérelt vállalkozások növekedésének megfelelő erőforrásokkal is.
6.2. Hogyan segíti elő ezt a vitát az európai adatvédelmi biztos?
Bármilyen lényeges is a jó szabályozás, nem elégséges. Azok a vállalatok és más szervezetek, amelyek rengeteg erőforrást fordítanak arra, hogy minél innovatívabb módon tudják hasznosítani a személyes adatokat, ugyanezt az innovatív gondolkodásmódot kell alkalmazzák az adatvédelmi elvek végrehajtása során. Az adatvédelmi hatóságoknak cserébe meg kell jutalmazniuk a hatékony jogkövetést, és el kell kerülniük a szükségtelen bürokráciát és papírmunkát.
Az európai adatvédelmi biztos, ahogy azt az európai adatvédelmi biztos 2015–2019 közötti időszakra vonatkozó stratégiájában kijelentette, ezen erőfeszítések elérésére törekszik.
Szándékunkban áll egy több szakterületen jártas, kiváló és független személyiségekből álló külső etikai tanácsadó csoport felállítása, amely „körüljárja az emberi jogok, a technológia, a piaci és üzleti modellek XXI. századi kapcsolatát”, mélyrehatóan elemzi az óriás méretű adathalmazok hatását, értékeli az abból eredő társadalmi hatásokat, és segít megjelölni azokat a kérdéseket, amelyekkel politikai szinten foglalkozni kell (5).
Emellett az online szolgáltatást nyújtó uniós szerveknek kialakítunk egy modellt a tisztességes tájékoztatási politikáról, amely hozzájárulhat valamennyi adatkezelő számára irányadó helyes gyakorlathoz.
Végezetül lehetővé tesszük a vitákat is, például a legjobb gyakorlat azonosítására, ösztönzésére és elősegítésére tekintettel, az átláthatóság és felhasználói ellenőrzés növelése érdekében, valamint körüljárjuk a személyes adattárak és adathordozhatóság lehetőségeit. Az európai adatvédelmi biztos szándékában áll egy óriás méretű adathalmazokkal kapcsolatos adatvédelmi workshop megszervezése a politikai döntéshozók, az uniós intézményekben nagy mennyiségű személyes információt kezelő személyek, valamint külső szakértők számára, és annak meghatározása, hogy hol van szükség további konkrét iránymutatásra, továbbá meg kívánjuk könnyíteni az IPEN hálózatnak (Internet Privacy Engineering Network) a mérnökök és adatvédelmi szakértők interdiszciplináris találkozóhelyeként végzett munkáját.
Kelt Brüsszelben, 2015. november 19-én.
Giovanni BUTTARELLI
európai adatvédelmi biztos
(1) Public Utilities Commission v. Pollak, 343 U.S. 451, 467 (1952) (William O. Douglas bíró különvéleménye).
(2) 2012. január 25-én az Európai Bizottság elfogadott egy csomagot az európai adatvédelmi keretrendszer megreformálására. A csomag tartalma i. „Közlemény” (COM(2012) 9 végleges); ii. egy általános „adatvédelmi rendeletről” szóló javaslat (a továbbiakban: rendelettervezet) (COM(2012) 11 végleges); valamint iii. a bűnüldözés terén történő adatvédelemről szóló „irányelv” (COM(2012) 10 végleges).
(3) Az európai adatvédelmi biztos 3/2015 sz. véleménye.
(4) Ellen kell álljunk a kísértésnek, hogy a védelem jelenlegi szintjét felhígítsuk azért, hogy kielégítsük az óriás méretű adathalmazokkal kapcsolatban érzékelhető lazább szabályozási megközelítésre irányuló igényt. Az adatvédelmet továbbra is teljes egészében alkalmazni kell az adatok feldolgozása során, ideértve az adatok felhasználása mellett az adatgyűjtést is. Emellett nem igazolhatók az álnéven szereplő adatok vagy a nyilvánosan elérhető adatok feldolgozására vonatkozó általános kivételek. A személyes adat fogalma érintetlen kell maradjon, ám magában a rendelet szövegében tovább pontosítható. Tulajdonképpen valamennyi adatra ki kell terjednie, amely bármely olyan egyénre vonatkozik, akit – akár az adatkezelő, akár más fél – azonosít, megnevez, vagy azonosíthat vagy megnevezhet.
(5) Az európai adatvédelmi biztos 4/2015 sz. véleménye.