2010-es év az európai adatvédelem tükrében jelentős jogszabályi változásokkal nem járt, azonban tekintettel az európai adatvédelmi irányelv felülvizsgálatával kapcsolatos egész éven áthúzódó munkára, kijelenthető, hogy a 2010-es év is komoly fejleményeket hozott magával.
Az általunk kiemeltnek tekintett eseményekről a szubjektív kronologikus válogatásunkat, hozzá tartozó megjegyzéseinket, továbbá a 2011-re vonatkozó várakozásainkat alábbiakban közöljük:
2010. február 5-én az Európai Bizottság felülvizsgálta a nemzetközi adattovábbítással kapcsolatos modell-klauzulák közül az adatkezelő és adatfeldolgozó közötti továbbításra vonatkozó határozatátés 2010/87/EU szám alatt új döntést bocsátott ki, ami többek között lehetővé teszi az adatfeldolgozó részéről ún. al-adatfeldolgozó (subprocessor) kijelölését is. A magyar jog hatálya alatt a klauzula jelentősége elhanyagolható, illetőleg legfeljebb a hitelintézeti törvény és biztosítási tevékenységről szóló törvény hatálya alá tartozó kiszervezések esetében alkalmazható, mivel az adatvédelmi törvény általános szabályainak hatálya alatt az adatfeldolgozó a tevékenységének ellátása során továbbra sem vehet igénybe / bízhat meg más adatfeldolgozót.
A 29. cikk szerinti munkacsoport 2010. február 16.-án fogadta el a 1/2010. számú véleményét az „adatkezelő” és az „adatfeldolgozó” fogalmáról, ami a személyes adat fogalmáról szóló 4/2007. számú vélemény mellett az európai adatvédelmi irányelv értelmezésének egyik sarkalatos dokumentumának tekinthető. Mint azt a dokumentum kiemeli, az adatkezelő fogalma „döntő szerepet játszik a 95/46/EK irányelv alkalmazásában, mivel ezek a fogalmak határozzák meg az adatvédelmi szabályok betartásáért felelős személyeket, az érintettek jogérvényesítésének módját, az alkalmazandó nemzeti jogot, valamint az adatvédelmi hatóságok működésének hatékonyságát.” Sajnálatos módon a hivatkozott vélemény sem alkalmazható „csont nélkül” a magyar adatvédelmi törvény szabályainak viszonylatában, mivel a magyar Avtv az adatfeldolgozó (data processor) tevékenysége vonatkozásában egy erősen szűkítő fogalom-meghatározást használ az irányelvhez képest, mikor is azt csupán ”technikai feladatok” elvégzésére korlátozza. Ugyanezen vélemény hazai adatvédelmi praxis szempontjából fontos változása, hogy kifejezetten elismeri a „közös adatkezelői” pozíció létrehozását, tehát a többes adatkezelés lehetőségét, melyet a korábbi biztosi gyakorlattal szemben (ami minden adatkezelőt önálló adatkezelőként kezelt) immár az adatvédelmi biztos 2010 elején kibocsátott beszélgetőműsorok, kibeszélőműsorok szereplőivel kapcsolatos adatkezelésekről szóló ajánlása is egyértelműen elismer.
A Munkacsoport 2010. június 22.-én 2/2010. szám alatt fogadott el véleményt a viselkedésalapú internetes reklámról (online behavioural advertising). E vélemény a profilozásról illetőleg az elektronikus adatvédelmi irányelv (ePrivacy Directive, 2002/58/EC) 2009. évi módosításakor bevezetett – online reklámszakma kritikáját kiváltó – azon követelmény értelmezésére vonatkozik, miszerint az irányelv 5. cikk (3) bekezdése tájékoztatáson alapuló előzetes hozzájáruláshoz köti az előfizető vagy a felhasználó végberendezésén az információ (cookie/süti) tárolását, illetőleg azt, hogy az ott tárolt információhoz hozzáférjenek. Magyarul a továbbiakban nem tartható fönn az a megoldás, mikor a honlapra történő belépéskor nyomon követő (tracking) cookie kerül elhelyezése a felhasználó számítógépén, hanem ehhez a jövőben a felhasználó hozzájárulása és azt kísérő előzetes tájékoztatása szükséges. A vélemény rögzítette, hogy a böngésző felhasználó általi beállítása nem elégséges a módosított ePrivacy Irányelv követelményeinek teljesítéséhez, azonban 5. cikk (3) bekezdésének jobban megfelelnek az előzetes hozzájárulást igénylő mechanizmusok, amelyek az érintett megerősítő cselekvését várják el a hozzájárulás jelzésére azt megelőzően, hogy az érintettnek elküldenék a cookie-t. A magyar jog szempontjából annyiban lehet érdekes (illetve érdektelen) ez a rendelkezés, hogy az elektronikus kereskedelemről szóló törvény 13/A § (4) bekezdése már jelenleg is kifejezett hozzájáruláshoz köti a tracking-módszer alkalmazását, illetve ugyanezen szakasz (6) bekezdés a profilozást gyakorlatilag kizárja a magyar jog hatálya alatt, mikor kizárja a szolgáltatás igénybevételével kapcsolatos adatok felhasználó azonosító adataival történő összekapcsolását. (sic!)
2010. július 10-én a Munkacsoport a felelősség elvéről fogadott el véleményt – amelynek összefoglalását a mi blogunk is közzétette – ami az adatvédelmi irányelv felülvizsgálatának kontextusában a felelősség-alapú adatvédelmi mechanizmusok létrehozását és érvényesítését javasolja.
A nemzetközi adattovábbításokkal kapcsolatosan megemlítendő, hogy 2010-ben „ünnepelték” az USA és EU közötti megfelelő szintű védelmet biztosító adattovábbításokat lehetővé tevő egyezményes keretet, melyet Safe Harbor rendszernek hívnak és amelyről a Dataprivacy.hu is beszámolt. A Safe Harbor gyakorlati jelentőségét mutatja, hogy a legnagyobb amerikai adatkezelők, a Facebook, a Google, Amazon, eBay illetve a legnagyobb amerikai vállalatok a Safe Harbor listán való szereplés útján biztosítják azt, hogy adatkezelésük megfeleljen az európai adatvédelmi irányelv rendelkezéseinek. Az egyezményes keret működése nem mentes a komoly fenntartásoktól és kritikus hangoktól sem, mivel az nagy visszhangot keltő tanulmány szerint gyakorlatilag nem működik és visszaélésekkel terhelt. Ez befolyásolta azt a német döntést, ami megkövetelné az adat-exportálóktól annak ellenőrzését, hogy az importáló Safe Harbor önminősítése nem pusztán deklaráció, hanem az valóban végrehajtásra kerül.
A nemzetközi adattovábbításokkal kapcsolatosan kiemelendő az Izraellel kapcsolatos megfelelőségi döntés politikai okokból történő elhalasztása, továbbá Uruguay megfelelősségének megállapítása.
Az egész évet átfogta az európai adatvédelmi irányelv módosításával kapcsolatos munka és az ahhoz társuló események, melynek legfontosabb pontja 2010. november 4. volt, mikor is az Európai Bizottság közzétette az európai adatvédelmi irányelv módosításával / felülvizsgálatával kapcsolatos koncepcióját, amelyben jelezték, hogy idén, azaz 2011-ben kívánják előterjeszteni a konkrét- szöveges – jogszabályi javaslatot is.
Európa Tanács Miniszteri Bizottsága 2010. november 23-án CM/Rec(2010)13. szám alatt ajánlást fogadott el a profilozás és az adatvédelem kapcsolatáról, ami a 108. számú Adatvédelmi ET Egyezmény felülvizsgálatára is tekintetten fogalmaz meg minimumkövetelményeket az automatikus egyedi döntéssel, illetőleg profilozással kapcsolatosan.
Végül kiemelendő az USA és EU közötti adattovábbításokat szabályozó általános egyezmény létrehozására vonatkozó törekvések, amelyek az egész 2010-es éven áthúzódtak. Ez az EU és az USA közötti rendőrségi illetve bűnügyi adattovábbításokra vonatkozó általános és európai adatvédelmi szintet biztosító keret létrehozására vonatkozik.
Mi várható 2010-re, melynek első felében magyar elnökség alatt üzemel az unió gépezete?
A 29. számú adatvédelmi munkacsoporttól hamarosan várható az alkalmazandó jogról szóló vélemény kibocsátása, ami az Irányelv 4. cikkének értelmezésére vonatkozik. Várhatóan ez a vélemény sem bír majd közvetlen relevanciával a magyar adatvédelmi jog hatálya alatt, mivel a magyar adatvédelmi törvény nem az adatkezelő székhelyéhez igazítja a hatályát, hanem teljes egészében az adatkezelés / adatfeldolgozás helyéhez igazodik annak alkalmazása. (Vö Avtv. 1/A § (1)). Várható továbbá a Geo-helymeghatározó adatok kezeléséről szóló vélemény kibocsátása, az Új-Zélanddal kapcsolatos megfelelő szintű védelem véleményezése, illetve jelenleg is napirendben van a biometrikus adatok kezeléséről szóló WP 80-as számú állásfoglalás felülvizsgálata. Végül, amennyiben minden jól megy, az Európai Bizottság még idén közzéteszi az adatvédelmi irányelv felülvizsgálatával kapcsolatos irányelvi jogszabályi javaslatát is, ami hosszú távra szándékozik megalapozni az európai adatvédelem fejlődését.