2016 tavaszán az Európai Parlament, a Bizottság és a Tanács megállapodásra jutott az Adatvédelmi rendelet[1] szabályait illetően, amely 2018. május 25. napjától alkalmazandó, és amely az újításai miatt komoly kihívás minden adatvédelemmel foglalkozó szakember számára. Az új szabályozásra régóta szükség volt, hiszen a korábbi szabályozásnak keretet adó 95/46/EK irányelv[2] hatályba lépése óta lassan 20 év telt el, és gyökeresen változott meg a szabályozási környezet: a GDPR elsődleges célja, hogy a mai információs technológiákhoz alkalmazkodva védje a személyes adatokat a digitális világban. A Rendelet számos újítást tartalmaz, alapjaiban reformálja meg a személyes adatok kezelésének gyakorlatát nemcsak az Európai Unióban, hanem minden adatkezelő tekintetében, aki uniós polgárok adatait kívánja kezelni. Szélesebb körű jogosítványokkal ruházza fel az adatalanyokat, valamint súlyosabb kötelezettséget ró az adatkezelőkre. Az adatalanyokat érintő szélesebb körű jogosítványok között az új rendelet kifejezetten nevesíti az ún. elfeledtetéshez való jogot (right to be forgotten, az interneten található személyes adatok tárolásának megszüntetéséhez való jog), amelyet eredetileg az Európai Unió Bírósága a C-131/12. számú ügyében a törléshez való jog gyakorlásának egyik módjaként fogalmazott meg. Az új jogosultság kifejezett megjelenése az internethasználattal összefüggésben felmerült kihívásokra válaszként jelent meg, és a bírói esetjog normaszöveggé történő transzformálása a személyes adatok végleges, vissza nem állítható, teljes, az internet egészére kiterjedő törlését célozza.
A Google ítélet
Ahhoz, hogy az elfeledtetéshez való jog lényegét megérthessük, szükség van az alapját képező Google ítélet ismeretére.
Az Európai Unió Bírósága (a továbbiakban: Bíróság) 2014. május 13-án hozta meg döntését abban az előzetes döntéshozatali eljárásban, amely egyfelől a Google Spain SL és a Google Inc., másfelől az Agencia Española de Protección de Datos (spanyol adatvédelmi ügynökség, a továbbiakban: AEPD) és M. Costeja González között zajló alapjogvitához kapcsolódva folyt. 2010. március 5-én a spanyol nemzetiségű M. Costeja González panaszt nyújtott be az AEPD-hez a La Vanguardia Ediciones SL ellen, amely egy Spanyolországban működő napilap kiadója, valamint a Google Spain és a Google Inc. ellen. E panasz alapja az volt, hogy ha egy internethasználó beírja González nevét a Google keresőmotorjába, akkor a La Vanguardia napilapjaira mutató linkeket kap, amelyek González nevét egy társadalombiztosítási adótartozás behajtására irányuló lefoglalással kapcsolatos ingatlan-árveréssel összefüggésben említő cikket tartalmaztak.
González e panaszában egyrészt azt kérte, hogy kötelezzék a La Vanguardiát arra, hogy törölje, vagy módosítsa a közleményt, hogy személyes adatai ne jelenjenek meg, továbbá hogy a Google-t kötelezzék arra, hogy ezen adatok ne legyenek a keresési találatok között, és ne kapcsolódjanak a La Vanguardia linkjeihez, mivel az őt érintő lefoglalás már több éve teljesen rendeződött, és annak említése már egyáltalán nem releváns, azonban számára kárt okoz.
Az AEPD az ügyben hozott határozatában a La Vanguardia tekintetében elutasította az említett panaszt, mivel az információk közzététele jogilag megalapozott volt, azt az illetékes minisztérium rendelte el, és célja az volt, hogy a lehető legnagyobb nyilvánosságot biztosítsa az árverésnek, ezáltal emelve a hatékonyságát.[3]
Ezzel ellentétben a Google Spain és a Google Inc. tekintetében a panasznak helyt adott a hatóság. Az AEPD megállapította, hogy a keresőmotorok működtetői adatkezelést végeznek, mivel az információs társadalom közvetítőiként tevékenykednek, s így adatkezelőknek minősülnek. Az AEPD ezek alapján kötelezte a Google-t, hogy törölje a keresési találatok közül a személyes adatokat, ugyanakkor a honlapot üzemeltető La Vanguardia-t nem kötelezte a honlapon közzétett információk törlésére.
A Google keresetet indított az AEPD határozata ellen a spanyol legfelsőbb bíróság, az Audiencia Nacional előtt. Az ügy eldöntéséhez bizonyos előkérdések tisztázása vált szükségessé, úgy, mint hogy a Google adatkezelőnek minősül-e, valamint mi tartozik bele a törléshez való jogba. Az eljárás során az Audiencia Nacional előzetes döntéshozatali eljárás keretében az Európai Unió Bíróságának azt a kérdést vetette fel, hogy milyen kötelezettségek terhelik a keresőmotorok működtetőit azon érintettek személyes adatainak védelme tekintetében, akik nem kívánják, hogy lokalizálják vagy indexálják, illetve korlátozás nélkül hozzáférhetővé tegyék az internethasználók számára a személyes adataikat tartalmazó, harmadik fél honlapjain közétett információkat.
Felmerült továbbá a kérdés, hogy a Google tartalomszolgáltatóként nyújtott tevékenysége az adatkezelés fogalmába tartozik-e? S erre való tekintettel a Google adatkezelőnek minősül-e, amelynek következtében kell-e alkalmazni az Irányelvet rá vonatkozóan? Kizárja-e a törlés kötelezettségét, ha a személyes adatot tartalmazó információt a honlapot üzemeltető harmadik fél jogszerűen tette közzé és tárolja az eredeti honlapon?
Az adatok törléséhez való jogot és adatok zárolásához való jogot, illetve a tiltakozási jogot úgy kell-e értelmezni, hogy az érintett egyéneknek joguk van-e közvetlenül a keresőmotorok üzemeltetőitől kérni az adatok indexálásának megakadályozását, mert rájuk nézve káros, ha az internethasználók nagy nyilvánossága megismerheti azokat?
A Google beadványában azzal védekezett, hogy a keresőmotorok tevékenységét nem lehet adatkezelésnek tekinteni, mivel ezek a keresőmotorok az interneten hozzáférhető információkat a maguk összességében kezelik, és nem tesznek különbséget személyes adatok és más, további információk között, továbbá a keresőmotor üzemeltetője nem ismeri az említett személyes adatokat, nem gyakorol felettük semmilyen ellenőrzést.
A Bíróság döntésében arra jutott, hogy alapvetően nem vitatott, hogy a keresőmotorok által keresett, indexált és tárolt, illetve a keresőmotorok felhasználói számára hozzáférhetővé tett adatok között személyes adatok is vannak. A keresőmotorok az interneten közzétett információk keresése során adatok gyűjtését végzik, amelyeket ezt követően indexáló programokkal rögzítenek és rendszereznek, szervereiken tárolják, illetve adott esetben – a keresés találati listájaként – felhasználóik számára hozzáférhetővé tesznek. Mivel az adatok között személyes adatok is szerepelnek, ez önmagában is adatkezelésnek minősül, nincs jelentősége annak, hogy a keresőmotor működtetője más típusú információkon is végez ugyanilyen műveleteket, és nem tesz különbséget az ilyen információk, illetve a személyes adatok között.
Továbbá a keresőmotor működtetője az a személy, aki meghatározza a tevékenysége céljait és módját, és akit ezek alapján adatkezelőnek kell tekinteni.
Mivel a keresőmotorok tevékenysége alkalmas arra, hogy jelentősen érintse a magánélethez és a személyes adatok védelméhez fűződő alapvető személyiségi jogot, a keresőmotor működtetője adatkezelőként egyértelműen felelős azok védelméért.
Fontos hangsúlyozni ugyanakkor, hogy a keresőmotor tevékenysége keretében végzett személyesadat-kezelést meg kell különböztetni a honlapszerkesztők által végzett adatkezeléstől. Ha ugyanis egy weboldalt és egy adott személyre vonatkozóan ott szereplő információkat feltüntetnek az e személy neve alapján indított keresés eredményeként megjelenő találati listán, az érezhetően megkönnyíti az ezen információkhoz való hozzáférést bármely internethasználó számára, illetve megkönnyíti az információk terjesztését, és ennyiben a magánszférához fűződő alapvető jogba való jelentősebb beavatkozásnak minősülhet, mint az a közzététel, amelyet a weboldal szerkesztője végez. A keresőprogram által kiadott találati lista alapján bárki rendszerezett összefoglalóhoz juthat az érintett személlyel kapcsolatos, interneten megtalálható olyan információkról, amelyek potenciálisan érinthetik az érintett magánéletét, és amelyeket az említett keresőmotor nélkül nem, vagy csak nagyon nehezen lehetett volna összekapcsolni. Fenti indokok szerint a keresőmotor üzemeltetőjét nagyobb felelősség terheli a tekintetben, hogy a személyes adatok védelméhez fűződő jogok érvényre jutását biztosítsa.
Az a körülmény, hogy a honlapszerkesztőknek lehetőségük van rá, hogy többek között a kizárást biztosító kódok segítségével kizárjanak bizonyos információkat a keresési találatok közül, nem jelenti azt, hogy a keresőmotor működtetője mentesül az adatkezelői felelőssége alól, ez a körülmény ugyanis nem változtat azon, hogy ezen adatkezelés céljait és módját a keresőmotort működtető határozza meg. Az adott esetben González arra hivatkozással kérte a személyes adatainak törlését, hogy azok már nem időszerűek, mivel tartozását megfizette. Idővel még a pontos, eredetileg jogszerű adatkezelés is jogellenessé válhat, ha az adatok már nem szükségesek, többek között akkor, ha az adatok az eltelt időre tekintettel nem megfelelőek, már nem relevánsak, illetve túlzó mértékűek. Erre tekintettel a Bíróság megállapította, hogy az érintett személyes adatait tartalmazó találati listán történő adatkezelés jogellenes, s a Google az említett linkeket törölni köteles.[4]
Látható, hogy az adott esetben jogos érdekek kerülnek összeütközésbe, a személyes adatok védelméhez fűződő jog valamint a véleménynyilvánításhoz és információszabadsághoz fűződő jog egymással szembe kerül. Fontos hangsúlyozni ezért, hogy az elfeledtetéshez való jog sem abszolút jog, szükséges egy egyensúlyt megteremteni a további alapvető jogokkal összefüggésben. Esetről esetre szükséges vizsgálni a kérdést, hogy az egyén személyes életének tiszteletben tartása és védelme milyen arányban áll a közérdekkel, hogy az információ a nyilvánosság számára ismert, vagy legalábbis hozzáférhető legyen.[5]
Főszabály szerint az érintettet megillető adatvédelmi jogok megelőzik a tájékoztatáshoz való jogot, ez azonban egyes egyedi esetekben a kérdéses információ jellegétől, illetve attól is függhet, hogy az információ mennyire érzékeny az érintett személy magánélete szempontjából, illetve hogy a nyilvánosságnak milyen érdeke fűződik ezen információ megszerzéséhez, ami többek között attól függően változhat, hogy e személy játszik-e valamilyen közéleti szerepet.
A Bíróság döntésében az elfeledtetéshez való jogot tehát nem emelte „szuperjoggá”, amely felülírná az olyan alapvető jogokat, mint a véleménynyilvánítás szabadsága, a tájékoztatáshoz való jog vagy az információszabadság. Az adatok törléséhez való jog, és ennek gyakorlási módjaként az elfeledtetéshez való jog nem abszolút, hanem tisztán meghatározott keretek között, jogszabályban foglalt esetekben érvényesíthető, amelynek bizonyos szempontok akár korlátot is szabhatnak. A GDPR maga is megteremti ezt az egyensúlyt, amikor a törléshez és elfeledtetéshez való jog korlátait taxatíve meghatározza.
Éppen a jogok összeütközése miatti egyensúlyt megteremtése érdekében a törlésre vonatkozó megkereséseket esetről esetre szükséges vizsgálni: sem a személyes adatok védelméhez fűződő jog, sem a véleménynyilvánítás szabadságához fűződő jog nem számít abszolút jognak, a véleménynyilvánítás szabadsága felelősséggel jár és mind az online mind az offline világban megvannak a maga korlátai. A megfelelő egyensúlyra kell törekedni a személy alapvető jogai és az internethasználók érdekei között.
A bírósági ítélet is tükrözi a törekvést az említett egyensúly megteremtésére: a Bíróság elrendelte, hogy a spanyol állampolgárra vonatkozó információhoz való könnyű hozzáférést töröljék, azonban nem rendelte el azt, hogy az archivált újságot megváltoztassák a személyes adatok védelme érdekében. González adatához továbbra is hozzá lehet férni, azonban a keresési találatok között már nem található meg, így nincs mindenütt jelen. Ez az intézkedés épp elegendő volt ahhoz, hogy a spanyol polgár magánélete védelemben részesülhessen.[6]
Az Irányelv és az Infotörvény
A törléshez való jogot már az Irányelv is tartalmazta, azonban kifejezetten az elfeledtetéshez való jogot a Rendelet emelte jogszabályi szintre. Az Irányelv a személyes adatok törlését a 12. cikk b) pontjában szabályozza. A jelenleg hatályos információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotörvény) 17. § (2) bekezdése adja meg a megfelelő nemzeti szabályt.
Az Irányelv természetesen az Unió tagállamaiban nem közvetlenül alkalmazandó jogszabályként csak iránymutatást adott a tagállami jogalkotóknak a kívánt adatvédelmi szabályok megteremtésére. Ennek megfelelően először az 1992. évi LXIII. törvény (a továbbiakban: Avtv.) és az Infotörvény töltötte meg tartalommal az Irányelv által meghatározott kereteket. Elmondható, hogy a magyar Infotörvény a régióban különösen szigorú adatvédelmi szabályozást teremtett meg, amelynek köszönhetően a 2018 tavaszán hatályba lépő GDPR szigorúsága nem lesz teljesen ismeretlen a magyar adatkezelők számára.
Az Adatvédelmi Rendelet és az Infotörvény módosítási javaslata
Az Adatvédelmi rendeletnek deklarált célja, hogy az egyéneknek szélesebb körű jogosítványokkal biztosítsa, hogy személyes adataik sorsáról maguk rendelkezhessenek, ugyanakkor megmaradjon a véleménynyilvánításhoz és a tájékoztatáshoz való jog is. Az Irányelv hallgatott atekintetben, hogy milyen viszony kell hogy érvényesüljön a személyes adatok védelme és az információszabadság, tájékoztatáshoz való jog között, az új GDPR teremtette meg az egyensúlyt közöttük.
Az előbbiekben részletezettek szerint a törléshez való jog nem új a GDPR-ben, azt már a korábbi Irányelv is tartalmazta. Fontos újítás ugyanakkor, hogy kifejezetten az elfeledtetéshez való jog nevesítésre került, ezáltal a Rendelet megerősíti a korábban is meglévő jogosultság, a törléshez való jog kereteit, jogszabályi szintre emeli a törlési jog gyakorlásának egyik módjaként ismert, azonban eddig kizárólag a Bíróság döntésében írásba foglalt elfeledtetéshez való jogot, valamint megerősíti a jogbiztonságot mind az adatalanyok, mind az adatkezelők részére.
A Rendelet a törléshez való jogra vonatkozó szabályokat a 17. cikkében szabályozza.
Az Infotörvény és a GDPR törléshez való jogra vonatkozó szabályainak összehasonlításából arra lehet következtetni, hogy a törlés alapját képező indokok nem változtak, egyedül az f) pontban szabályozott, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatos adatkezeléssel bővült ki.
A GDPR hivatkozott cikkének (2) bekezdése nevesíti kifejezetten a Google-ítéletben a törléshez való jog egyik módjaként meghatározott elfeledtetéshez való jogot.
A Rendelet és az Irányelv szövegének összehasonlításából kiolvasható, hogy míg korábban az adatalany joga volt kérni, hogy az adatkezelő értesítse az adatokról tudomást szerző harmadik feleket a törlés tényéről, addig a GDPR hatályba lépése után az adatkezelőnek kötelezettsége lesz – kérelem hiányában is – megtenni az észszerűen elvárható lépéseket, hogy az adatokra mutató linkeket vagy személyes adatok másolatát töröljék.
Miért tekinthető ugyanakkor mégis újításnak a GDPR-ban az elfeledtetéshez való jog írásba foglalása, ha ez tulajdonképpen nem más, mint egy korábban is meglévő jogosultság kibővítése?
Egyrészt azért, mert a Rendelet extraterritoriális hatálya biztosítja azt, hogy a szabályait a nem uniós adatkezelőkre vonatkozóan is alkalmazni kell, ha uniós polgárok adatait kezelik, attól függetlenül, hogy az adatkezelő vállalkozás szervere hol található. Ennek hiányában az elfeledtetéshez való jog üres lenne, mert a tipikusan az Egyesült Államokban székhellyel rendelkező adatkezelőkkel, keresőmotorok üzemeltetőivel szemben nem kellene alkalmazni.
Másrészt azért, mert megfordítja a bizonyítási terhet: az adatokat kezelő vállalkozásnak kell bizonyítania, hogy az adatot nem lehet törölni, mert még szükség van rá, vagy mert még mindig releváns, s ezáltal könnyebb helyzetbe hozza az érintett adatalanyokat.
Harmadrészt pedig, a korábban már ismertetettek szerint, kötelezettséget teremt az adatkezelő számára, hogy megtegye a szükséges intézkezdéseket arra vonatkozóan, hogy a harmadik személyeket informálja az adatkezelés tényéről.
Végül, de nem utolsósorban pedig a magasabb bírságok nagyobb ösztönző erővel hatnak az adatkezelőkre, hogy a jogellenes adatkezeléseket megszüntessék.[7]
A magyar Infotörvény jogharmonizációs célú módosításairól szóló, 2017 őszén nyilvánosságra hozott törvénytervezet[8] nem tartalmaz külön rendelkezést az elfeledtetéshez való jogra vonatkozóan. Mivel az előterjesztett javaslatot a Kormány még nem tárgyalta meg, természetesen előfordulhat hogy a jogalkotási eljárás során a későbbiekben egyes pontosító rendelkezések belekerülhetnek a jogszabályszövegbe.
S hogy mi várható 2018 májusa után? Bár maga az elfeledtetéshez való jog nem új, a GDPR hatályba lépése után mégiscsak nagyobb nyilvánosságot fog kapni az érintett adatalanyok körében, amely azt eredményezheti, hogy a keresőmotorok üzemeltetőit – így például a Google-t is – többen fogják megkeresni, hogy személyes adataik indexálásának törlését kérjék. A keresőmotorok üzemetetői alapvetően a törlésre vonatkozó megkereséseket esetről esetre, egyedi alapon kell hogy kivizsgálják. Fontos hangsúlyozni ugyanakkor, hogy a keresőmotorok üzemeltetői akkor kötelesek törölni az adatokat, ha az érintett kifejezett megkereséssel fordul hozzájuk, azaz kéri azon linkek indexálásának törlését, amelyek rá vonatkozó személyes adatokat tartalmazhatnak. Az eseti vizsgálatok során pedig az üzemeltetők vizsgálni fogják, hogy az adatok pontosak, megfelelőek, relevánsak, valamint időszerűek-e még, illetve az adatok megőrzése és további kezelésük arányban áll-e az eredeti adatgyűjtés céljával.
A GDPR rendelkezéseiből adódóan is el lehet utasítani azon kérelmeket, amelyek esetében megállapítható, hogy közérdek fűződik ahhoz, hogy a személyes adatok továbbra is elérhetőek és könnyen kereshetőek maradjanak a nyilvánosság számára. Természetesen a kérelem elutasítása esetén is joga van az érintettnek az adatvédelmi hatósághoz vagy bírósághoz fordulni, ez a lehetőség továbbra is nyitott minden uniós polgár számára.
Előre tehát nem lehet megjósolni, hogy ez milyen terheket fog a keresőmotorok üzemeltetőire róni, illetve a jövőre nézve hány érintett fogja kérni a személyes adatainak a törlését tőlük a GDPR hatályba lépése után, azzal, hogy nagyobb nyilvánosságot kapnak az érintetti jogok. Az üzemeltetőknek megfelelően működő eljárásokat és eszközrendszert kell kidolgozniuk[9], amelyek előkészítését és betartását továbbra is a tagállami adatvédelmi hatóságok fogják felügyelni.
A szerző a KRE ÁJK doktorandusz hallgatója.
[1] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, a továbbiakban: GDPR vagy Rendelet) .
[2] Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (a továbbiakban: Irányelv).
[3] A Bíróság ítélete (nagytanács), 2014. május 13. Google Spain SL és Google Inc. kontra Agencia Española de Protección de Datos (AEPD) és Mario Costeja González.
[4] C-131/12.
[5] Factsheet on the right to be forgotten ruling, http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf (letöltés dátuma: 2017. október 30.).
[6] Factsheet on the right to be forgotten ruling, http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf (letöltés dátuma: 2017. október 30.).
[7] Factsheet on the right to be forgotten ruling – http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf (letöltés dátuma: 2017. október 15.).
[8] Előterjesztés az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításairól.
[9] Factsheet on the right to be forgotten ruling – http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf (letöltés dátuma: 2017. október 15.).