Az adatvédelmi jog az elmúlt években meglehetősen nagy hatású területté nőtte ki magát, nem utolsósorban azért, mert lényegében mindannyiunkat érint, akár szeretnénk ezt, akár nem. Nagy bizonyossággal állítható, hogy a 21. századi társadalomban úgy létezni, hogy személyes adatainkat egyetlen szervezet, vagy egyén részére sem szolgáltatjuk ki, lehetetlen. Ugyanakkor még ehhez az alapállapothoz képest is figyelemreméltó az adatkezelési kérdések jelentőségének növekedése az elmúlt 1-2 évben, nem utolsósorban a világjárvány és a részben annak hatására előretörő digitalizáció miatt.

Írásunkban arra teszünk kísérletet, hogy röviden megemlítsünk néhányat azon trendek közül, amelyek a 2022-es év elején kirajzolódnak, hangsúlyozva, hogy ezek minden esetben egy igen komplex, nagyobb egész részeként értelmezendők. Mégis, az aktuális tendenciák érzékeltetésére alkalmasak lehetnek.

Az e-kereskedelem és az adatvédelem összefonódásának erősödése

A pandémia összefüggései a digitalizációval a mindennapi életben is kézzelfoghatóak. Az első hullám kezdeti pánikhangulata után, amikor is a tömegek megrohamozták a boltokat, hogy a karantént, lezárásokat a lehető legfelkészültebben kezdhessék meg, a vásárlók gyorsan rájöttek, hogy készleteiket nem csak a szupermarketek polcainak fizikai értelemben vett kifosztásával tölthetik fel, hanem pár gyors kattintással még aznapra hazarendelhetnek szinte bármilyen terméket. Az internet által már-már romanticizált toalettpapír és sütőélesztő-hiány lecsengése után így vette kezdetét az egyébként is felfutóban lévő elektronikus kereskedelem robbanásszerű fellendülése.

E trend nem érte meglepetésként a közösségi jogalkotót, hiszen a járvány csak felgyorsította az elektronikus kereskedelem egyébként is elkerülhetetlen térnyerését, így a digitális reformcsomag kidolgozásával az EU gyors választ és szabályozási keretet tudott biztosítani az e-kereskedelem (vagy e-commerce) volumenének növekedéséből fakadó kérdésekre is. Bizonytalanságok, szabályozási hiányosságok azonban továbbra is szép számmal akadnak, amelyek rendezése azonnali intézkedést követel a jogalkotótól, és felkészülést a jogalanyoktól. Az e-commerce tekintetében az egyik ilyen szabályozási terület az adatvédelem, amely ismét – vagy inkább, még mindig – a figyelem középpontjában áll. Személyes adatok nélkül ugyanis nem lehet a vásárlót azonosítani, nem lehet számára célzott marketing üzeneteket eljuttatni, hovatovább számára nem lehet az árut kiszállítani és számlát kiállítani sem.
Az adatvédelem tehát „tetszik, nem tetszik”, de a képlet meghatározó része.

Az Általános Adatvédelmi Rendelet (ismertebb nevén GDPR) elfogadása nyomán a szigorú szabályozási rezsimmel kapcsolatos kezdeti kételyek után mára elfogadott alaptétel lett, hogy az Európai Unióban működő, vagy legalábbis az itt tartózkodó magánszemélyeket célzó vállalatoknak meg kell felelniük az adatvédelmi szabályoknak ezen magánszemélyek adatainak kezelése során. Mivel a fogyasztóknak történő online értékesítés, csakúgy, mint az azt elősegítő webanalitikák készítése, viselkedés alapú marketing (vészjóslóbb nevén „profilozás”) esetén elkerülhetetlen a személyes adatok kezelése, az adatvédelmi szabályoknak való megfelelés nélkülözhetetlen egy működő üzleti modell felállításához. Azok a vállalatok, webshopok fognak nyerni az e-kereskedelem folyamatosan bővülő piacán, amelyek előbb elfogadják azt, hogy a GDPR szabályoknak való megfelelés és az adatvédelem előtérbe helyezése nem feltétlenül egy kötelező nyűg és üzleti akadály, hanem valójában versenyelőnyt is jelenthet számukra. Az interneten vásárló és általában az online térben mozgó közönség ugyanis egyre tudatosabb és az egyes, nagy port kavaró bírságok és perek miatt az adatvédelmi megfelelőség egyre inkább foglalkoztatja a köztudatot, elegendő a közösségi médiahasználat, vagy a nagy keresőmotorok kapcsán egyre hangosabban zajló vitákra gondolni.

Ahogy a keresőmotorokban, úgy az adott weboldalokon (pl. webshopokban) is jelentős üzleti előnyre lehet szert tenni a profilalkotással és az azt követő targetált (azaz személyre, vagy legalábbis fogyasztói szegmensre szabott) marketinggel. Ez nem a keresőmotorok egyedi eszköze, a felhasználók aktivitásáról szinte kivétel nélkül minden közösségi média felület, videómegosztó oldal és természetesen a webshopok is adatokat gyűjtenek és elemeznek annak érdekében, hogy viselkedésmintáikat felhasználva még sikeresebbé tegyék termékeik értékesítését. Ennek tipikus eszköze egy adott weboldalon a cookie-k, vagy magyarosan sütik használata, amely egyben kiválóan alkalmas példa a weboldalakkal kapcsolatos adatvédelmi szempontok megvilágítására. Bár a GDPR szövege mindössze egyszer említi a cookie-kat, nem érdemes abba a tévedésbe esni, hogy a hatályos adatvédelmi rendelkezéseknek megfelelő kezelésük nélkülözhető egy adott webshop felállítása során.

Bár nem minden cookie alkalmas arra, hogy a felhasználókat közvetlenül azonosítani lehessen általuk, a cookie-k többségének használata mégis a GDPR-ban meghatározott személyes adatkezelést fog megvalósítani, hiszen az uralkodó joggyakorlat alapján még egy IP cím (azaz az adott weboldal felkeresésére használt eszköz, pl. egy laptop egyedi azonosítója) is önmagában személyes adatnak minősülhet. Tipikusan ebbe a körbe tartoznak például az olyan cookie-k, amelyek célja analitikák, statisztikák felállítása, marketing vagy akár az adott honlap üzemeltetése. Ezért minden adatkezelő, így a webshopok számára is elengedhetetlen annak pontos meghatározása, hogy a honlap üzemeltetése során milyen típusú cookie-kat használ és ezeknek mi a célja és milyen adatkezelési jogalap mentén alkalmazza azokat, hogy csak két kérdést említsünk a számos közül. Érdemes rögzíteni, hogy az Európai Unió Bíróságának ítélkezési gyakorlata alapján már az sem kérdéses, hogy bizonyos esetekben a beágyazott külső cookie-k szolgáltatója (például egy keresőmotor vagy egy közösségi médiaplatform) az adatkezelővel közös adatkezelőnek minősülhet, ami többek között egyetemleges felelősséget eredményez az adatkezelés jogszerűségéért.

A webshopok adatvédelmi vonatkozásait félvállról venni tehát egész biztosan nem kifizetődő stratégia.

A nemzetközi adattovábbítások jelentőségének további növekedése

Az információs technológia töretlen fejlődésével és térnyerésével, valamint a cégek, cégcsoportok határokon átnyúló tevékenységének fokozódó intenzitásával a személyes adatok nemzetközi továbbítása minden korábbinál hangsúlyosabb kérdéssé vált. Napjaink globalizált gazdaságában számtalan személyes adatot továbbítanak az országhatárokon túlra, ráadásul ezeket néha különböző országokban, vagy éppen kontinenseken lévő szervereken tárolják.

A GDPR által nyújtott védelem az adatokkal bizonyos értelemben együtt utazik, vagyis a személyes adatok védelmét szolgáló szabályok továbbra is érvényesek, függetlenül attól, hogy az adatok az EU tagállamaiból mely „külsős” – azaz nem EU-tag – országba kerülnek továbbításra.

A GDPR különböző részletszabályokat és alternatívákat tartalmaz az esetre, amikor az adatokat az EU-ból az EU-n kívülre, azaz harmadik országba továbbítják és ezen adattovábbítás jogszerűségét kell biztosítani.

Bizonyos esetekben – és talán ez a legegyszerűbb forgatókönyv – az Európai Bizottság határozata kinyilvánítja egy harmadik országról, hogy az megfelelő védelmi szintet nyújt („megfelelőségi határozat”) a személyes adatok számára. Ez azt jelenti, hogy az adatokat továbbítani lehet az adott harmadik országba anélkül, hogy az adatátadónak további garanciákat kellene nyújtania vagy további feltételeknek kellene megfelelnie. Más szóval a „megfelelő” harmadik országba történő adattovábbítás az EU-n belüli, azaz tagállamok közötti adattovábbításokhoz hasonlítható.

Megfelelőségi határozat hiányában az adattovábbítást a GDPR-ban meghatározott többlet- garanciák nyújtásával és azon feltétel mentén lehet végrehajtani, hogy az érintettek számára biztosítják az őket megillető és általuk érvényesíthető jogokat és elérhetővé teszik számukra a hatékony jogorvoslati lehetőségeket.

A megfelelő garanciák közé tartoznak többek között az alábbiak:

• vállalkozáscsoportok vagy közös gazdasági tevékenységben részt vevő vállalatcsoportok esetében a vállalatok a személyes adatokat az úgynevezett kötelező erejű vállalati szabályok („binding corporate rules”) alapján továbbíthatják;
• szerződéses megállapodások a személyes adatok címzettjével az Európai Bizottság által jóváhagyott általános adatvédelmi kikötések felhasználásával;
• a felügyeleti hatóságok által jóváhagyott magatartási kódex vagy tanúsítási mechanizmus betartása, valamint a harmadik országbeli adatkezelő kötelező erejű és kikényszeríthető kötelezettségvállalása arra vonatkozóan, hogy alkalmazza a megfelelő garanciákat.

A megfelelőségi határozatot kiegészítő nemzetközi adattovábbítási mechanizmusok jelentősége azzal is felértékelődött, hogy a Schrems II. ügyben az Európai Unió Bíróságának (EUB) kulcsfontosságú döntése 2020. júliusában rögzítette, hogy az Adatvédelmi Pajzs (Privacy Shield), vagyis az EU és az USA közötti adattovábbítást egészen addig lehetővé tevő nemzetközi megállapodás nem biztosít kellő védelmet az Európai Unióban tartózkodó magánszemélyek személyes adatainak, ezért a továbbiakban azt nem lehet alkalmazni. Ennek következtében a gazdasági szereplőknek az Egyesült Államokba történő adattovábbítás kapcsán is alternatív megoldásokhoz kell folyamodnia. Ez a nehézség csak egy a számos közül, amelyekkel egy nemzetközi gazdasági térben érvényesülő vállalatnak manapság adatvédelmi szempontból meg kell birkóznia.

Ami az adattovábbítási tendenciákat illeti, számos piaci szereplő az általános adatvédelmi kikötéseket alkalmazza, melyek kapcsán lényeges, hogy az Európai Bizottság 2021 nyarán újakat fogadott el, ezért a továbbiakban figyelni kell arra, hogy az aktuális kikötéseket és ne a korábbi változatokat alkalmazzuk, hiszen ez is vezethet jogsértéshez a jövőben.

Főként nagyvállalatok esetében mind gyakoribbá válik a piaci gyakorlat szerint az a megoldás is, hogy a cégcsoportokba tagozódó vállalatok kötelező erejű vállalati szabályokat fogadnak el, és ez alapján történik a vállalatcsoport harmadik országbeli tagjai részére az adattovábbítás. Ennek az eszköznek előnye, hogy az egész cégcsoportra (pontosabban a cégcsoport annak hatálya alá helyezkedő tagjaira) jogilag kötelező erejű és alkalmazandó, egységes adattovábbítási mechanizmust hoz létre, amely lényegében egy belső szabályzatként funkcionál a cégcsoporton belül. Hátránya ugyanakkor, hogy elfogadtatása időigényes (jellemzően minimum több hónapos) folyamat, hiszen az illetékes felügyeleti hatóság jóváhagyását igényli. Azonban ezzel együtt is optimális megoldás lehet a nagyobb cégcsoportok nemzetközi adattovábbítási rendszerének egyszerűsítésére és egységesítésére.

A személyes adatok harmadik országokba történő továbbítása jelentőségének folyamatos növekedésével javasolt már szerződéskötéskor figyelembe venni a nemzetközi adattovábbítás lehetőségét és optimálisan alkalmazandó eszközeit, annak megelőzése érdekében, hogy a szerződéses jogviszony élettartamának későbbi szakaszában akadályok merüljenek fel, amikor adattovábbításra kell, hogy sor kerüljön.

Erősödő igény a professzionális jogi szolgáltatásokra

Az adatvédelem még a jog tágabb tudományán belül is meglehetősen absztrakt területnek számít. Adjuk hozzá ehhez a sokak által egyébként is nehezen átlátható online tér, a webshopok, szerverek, IP címek, cookie-k, keresőmotorok és internetes profilozás szempontjait, és olyan komplex rendszert kapunk, amely sokszor még a legfelkészültebb jogásznak is feladja a leckét.

Ezzel összefüggő és látható tendencia, hogy az egyes, online térben aktív adatkezelők, cégek, egyéb szervezetek részéről sok esetben – a legjobb szándék ellenére – egyszerűen hiányzik a kapacitás arra, hogy adatkezeléseiket az aktuális szabályozási környezethez szabják és a napi szinten felmerülő ügyekkel – pl. a folyamatos informatikai fejlesztésekkel, új beszállítók, szoftverek, online megoldások igénybevételével, vagy éppen az érintetti panaszokkal – kellő mélységben és gyorsasággal foglalkozzanak.

Ezért prognosztizálható, hogy folyamatosan növekedni fog az a már napjainkban is jelentkező igény, hogy egy adott szervezet adatvédelmi portfoliójával kapcsolatos feladatokat valamely „külsős”, professzionális szolgáltatóra, például egy erre is szakosodott ügyvédi irodára delegálják, biztosítandó a terület jogilag megfelelő működését. Ez nem csak terhet vesz le a szervezet belső jogászairól, hanem hosszú távon hatékonyságnövekedést, sőt üzleti előnyt is hozhat, hiszen minden fogyasztó – legyen az egy webshop vásárlója, vagy egy online platformon valamely szolgáltatást igénybe vevő magánszemély – számára vonzóbb egy adatvédelmi szempontból tudatosan, átláthatóan és jogkövetően működő weboldal, mint egy fekete lyuk, amelyben eltűnnek a személyes adataink, de hogy ezt követően ki és mit tesz velük, az nem tisztázott. Ha a fogyasztó az utóbbit látja, előbb-utóbb el fog pártolni az adott szolgáltatótól.

A terület erőforrás – és időigényes volta miatt tehát várhatóan egyre több piaci szereplő fogja a külső támogatás előnyeit – és sok esetben elkerülhetetlen szükségszerűségét – felismerni és döntéseit ehhez igazítani az adatvédelem területén.

Akárhogy is lesz, az online tér, az e-kereskedelem nemcsak életünk része marad, hanem abban egyre jelentősebb mértékben fog megjelenni. Személyes adatok nélkül pedig mindez nem működik.

dr. Török Martin ügyvédjelölt, dr. Bolvári Ferdinánd ügyvédjelölt és dr. Csenterics András ügyvéd

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez.