A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT
1021/00/HU WP207
06/2013. sz. vélemény a nyílt adatok és a közszféra információi további felhasználásáról
Elfogadás időpontja: 2013. június 5.
Ez a munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre. A munkacsoport adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó szerv. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke határozza meg. A titkársági feladatokat ellátja: Európai Bizottság, Jogérvényesülési Főigazgatóság, C. Igazgatóság (Alapvető jogok és uniós polgárság), B-1049 Brüsszel, Belgium, MO-59 02/013. sz. iroda. Honlap: http://ec.europa.eu/justice/data-protection/index_en.htm
AZ EGYÉNEKNEK A SZEMÉLYES ADATOK FELDOLGOZÁSA TEKINTETÉBEN VALÓ VÉDELMÉVEL FOGLALKOZÓ MUNKACSOPORT, amelyet az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv hozott létre, tekintettel a fenti irányelv 29. cikkére, valamint 30. cikke (1) bekezdésének a) pontjára és (3) bekezdésére, tekintettel a munkacsoport eljárási szabályzatára, ELFOGADTA EZT A VÉLEMÉNYT: I.
Bevezetés
1.1. A közszféra információinak további felhasználásáról szóló irányelv felülvizsgálata 2013. június 26-án az Európai Unió elfogadta a közszféra információinak további felhasználásáról szóló 2003/98/EK irányelv (a továbbiakban: PSI irányelv) módosításáról szóló 2013/37/EU európai parlamenti és tanácsi irányelvet (a továbbiakban a PSI irányelv módosítása). 1 A PSI irányelv a közszféra információi további felhasználásának elősegítését célozza azáltal, hogy összehangolja a további felhasználás feltételeit az Európai Unió tagállamaiban és megszünteti a belső piacon a további felhasználás szükségtelen akadályait. A PSI irányelv eredeti 2003. évi szövege összehangolta a további felhasználás feltételeit, de nem írta elő a közintézmények számára az adatok további felhasználásra való rendelkezésre bocsátását. Az adatok további felhasználásra való rendelkezésre bocsátásának kérdése alapvetően opcionális volt: a tagállamok és az érintett közintézmény dönthettek e tárgyban. Ez azt eredményezte, hogy Európa szerte sok közintézmény egyszerűen úgy döntött, hogy nem engedélyezik az információik további felhasználását. Ilyen előzmények után a PSI irányelv módosításának egyik fő szakpolitikai célja azon alapelv bevezetése, amely szerint megengedett a közszféra valamennyi információjának (azaz a közszférában található mindazon információ, amely a nemzeti jogszabályok szerint nyilvánosan hozzáférhető) további felhasználása mind kereskedelmi, mind pedig nem-kereskedelmi célokra. A módosított PSI irányelv hatálya alól bizonyos esetekben kivételek tehetők, beleértve az adatvédelmi okból történő kivételeket is2. A módosított PSI irányelv így jelenleg kötelezővé teszi a közintézmények számára a rendelkezésükre álló valamennyi közszférabeli információ további felhasználásának lehetővé tételét. Ez azonban – amint az alábbiakban bemutatjuk – nem írja elő a közintézmények számára a személyes információk nyilvános közzétételét. Csak akkor teszi kötelezővé az információk további felhasználásának lehetővé tételét, ha az a nemzeti jogszabályok alapján már nyilvánosan hozzáférhető, és akkor is csak abban az esetben, ha a további felhasználás nem sérti az alkalmazandó adatvédelmi jogszabályokat.
1 HL L 175., 2013.6.27., 1. o. 2 A módosított PSI irányelv hatályáról és az adatvédelemre vonatkozó rendelkezésekről lásd az alábbi V. szakaszt.
2
A módosított PSI irányelv más vonatkozó új rendelkezései kiterjesztik a közszféra információinak további felhasználásáról szóló irányelv hatályát a könyvtárakra (beleértve az egyetemi könyvtárakat is), a levéltárakra és a múzeumokra is. A fentiek fényében a módosított PSI irányelv komoly lehetőségeket rejt a közintézmények rendelkezésére álló információkhoz való hozzáférés fokozása terén. 1.2. A közszféra információinak további felhasználása és a személyes adatok A közszféra információinak további felhasználására vonatkozó kezdeményezések általában arra irányulnak, hogy i. teljes adatbázisokat tegyenek elérhetővé ii. szabványos elektronikus formátumban iii. az összes kérelmező számára bármely szűrési eljárás nélkül, iv. térítésmentesen (vagy korlátozott mértékű díj ellenében), v. bármely kereskedelmi vagy nem kereskedelmi célra, feltétel nélkül (vagy adott esetben nem korlátozó feltételeket tartalmazó felhasználási szerződés mellett)3. Ez olyan előnyökkel járhat, amelyek nagyobb átláthatósághoz és a közszféra információinak innovatív további felhasználásához vezetnek. Az információkhoz való hozzáférhetőség ezzel járó növekedése azonban nem kockázatmentes. E kockázatok minimalizálása érdekében azokban az esetekben, ahol személyes adatok is érintettek, az adatvédelmi jogszabályoknak útmutatást kell nyújtaniuk annak kiválasztási folyamatára, hogy mely személyes adatok további felhasználása tehető lehetővé és melyeké nem, továbbá milyen intézkedéseket kell tenni a személyes adatok védelme érdekében. Minden olyan esetben, amikor a magánszféra és a személyes adatok védelme a tét, kiegyensúlyozott megközelítést kell követni. A személyes adatok védelmére vonatkozó szabályok egyrészt nem képezhetik a továbbfelhasználási piac fejlődésének indokolatlan akadályát. Másrészről azonban a személyes adatok és a magánszféra védelméhez fűződő jogot tiszteletben kell tartani. Fontos kiemelni, hogy a nyílt adatokat középpontba helyező koncepció a közintézmények átláthatóságára és elszámoltathatóságára, valamint a gazdasági növekedésre helyezi a hangsúlyt, nem pedig az egyes állampolgárok átláthatóságára. A PSI irányelvnek és az adatvédelmi jogszabályoknak a személyes adatok további felhasználására való alkalmazása során egy közintézmény valószínűleg az alábbi három döntéstípus valamelyikét fogja választani: 1. A személyes adatok PSI irányelv szerinti további felhasználásra történő hozzáférhetővé tételének elutasítása. 2. A személyes adatok névtelenített formába (általában összesített statisztikai adatokká)4 történő átalakítására vonatkozó döntés, és csak az ilyen névtelenített adatok további felhasználásának engedélyezése. 3. A személyes adatok további felhasználásra történő hozzáférhetővé tételére vonatkozó döntés (szükség esetén egyedi feltételek és megfelelő biztosítékok mellett).
3
4
Megjegyzendő, hogy a módosított PSI irányelv 8. cikkének (1) bekezdése szerint „e feltételek nem korlátozhatják szükségtelenül a további felhasználás lehetőségeit és nem szolgálhatnak a verseny korlátozására”. A személyes adatokból származó összesített és névtelenített adatállományok további felhasználásáról lásd az alábbi VI. szakaszt.
3
II.
A vélemény célja
2.1. Összehangolt útmutatás és a bevált gyakorlatok bemutatása E véleménynek az a célja, hogy elősegítse az alkalmazandó jogi keretek közös értelmezésének biztosítását, továbbá hogy összehangolt útmutatást adjon, és bemutassa a bevált gyakorlatokra vonatkozó példákat a módosított PSI irányelvnek a személyes adatok feldolgozására tekintettel történő végrehajtása vonatkozásában. E véleménynek nem célja az, hogy kísérletet tegyen az átláthatóság szintjére vonatkozó nemzeti megközelítések, illetve a dokumentumokhoz való hozzáférése vonatkozó nemzeti jogszabályok, valamint az ilyen jogszabályok hatálya alá tartozó információk hozzáférhetőségének összehangolására. Mindazonáltal a PSI irányelvre vonatkozó nemzeti végrehajtási jogszabályok, illetve a 95/46/EK irányelv5 nemzeti értelmezései a közszféra információinak további felhasználása vonatkozásában esetenként oly mértékben eltérőek, amely túlmegy a nemzeti hozzáférési rendszerek sokszínűségének és a különböző átláthatósági szinteknek a biztosítása érdekében szükséges mértéken. A LAPSI (Legal Aspects of Public Sector Information – a közszféra információinak jogi aspektusai) tematikus hálózat által készített, a magánszférára vonatkozó 2012. szeptemberi szakpolitikai ajánlás e tekintetben egyértelműen illusztrálja a PSI irányelv tagállamok általi átültetésének módjával kapcsolatos szükségtelen egyenlőtlenségeket a személyes adatok védelme vonatkozásában.6 A PSI irányelv maga is felhívja a figyelmet arra, hogy az információs társadalom fejlődésével, amely már nagymértékben növelte az információk határokon átnyúló felhasználását, az ilyen jogalkotási különbségek és bizonytalanságok hatása egyre jelentősebbé válik.7 Az összehangolt megközelítés hiánya gyengítheti az érintett egyének helyzetét. Szükségtelen szabályozási terheket jelenthet továbbá a határokon átnyúlóan működő vállalkozások és más szervezetek számára, és így megnehezítheti a további felhasználás közös európai piacának fejlődését. Egyrészről az érintetteket biztosítani kell arról, hogy az adataik egyforma védelemben részesülnek akkor is, ha azokat egy másik tagállamba továbbítják további felhasználás céljából. Másrészről viszont el kell kerülni a szükségtelenül bonyolult és szétaprózódott szabályozást, hogy biztosítani lehessen a személyes adatok szabad áramlását egész Európában, ami a 95/46/EK irányelv egy másik fő célkitűzése. 2.2. A 7/2003 sz. vélemény naprakésszé tételének szükségessége A PSI irányelv módosítására egy évtizeddel a PSI irányelv 2003. évi elfogadását követően kerül sor. Akkoriban a 29. cikk szerinti munkacsoport elfogadott egy véleményt a közszféra információinak további felhasználásával kapcsolatos adatvédelmi kérdésekről (7/2003. sz. vélemény)8. Míg a 5
6
7 8
Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.). A LAPSI „a közszféra információinak jogi aspektusaival” foglalkozó európai tematikus hálózat, amelyet az Európai Bizottság finanszíroz, lásd: http://www.lapsi-project.eu/. A szakpolitikai ajánlás elérhetősége: http://www.lapsiproject.eu/lapsifiles/lapsi_privacy_policy.pdf. Lásd a (7) preambulumbekezdést. Lásd a 29. cikk szerinti adatvédelmi munkacsoport 2003. december 12-én elfogadott 7/2003. sz. véleményét a közszféra információinak további felhasználása és a személyes adatok védelme közötti egyensúly megtereméséről (WP 83). Lásd még a 29. cikk szerinti munkacsoport két korábbi kapcsolódó véleményét: a közszféra információiról és a személyes adatok védelméről szóló, 1999. május 3-án elfogadott 3/1999. sz. véleményt (WP20), és az Európai Ombudsman külön jelentésére vonatkozó, 2001. május 17-én elfogadott 5/2001. sz. véleményt.
4
7/2003. sz. véleményben vázolt fő alapelvek változatlanok maradnak, a közszféra információi és az adatvédelem terén bekövetkezett technológiai és egyéb fejlemények – beleértve a mindkét területen javasolt jogszabályi változásokat is – indokolják a 2003. évi vélemény naprakésszé tételét és kiegészítését célzó jelenlegi törekvéseket. A vélemény ezen felül most figyelemmel lehet a további iránymutatások nyújtására irányuló közelmúltbeli és folyamatban lévő törekvésekre, különösen a következőkre: III.
az európai adatvédelmi biztos 2012. április 18-i véleménye a Bizottság nyílt adatokról szóló csomagjáról9, a 29. cikk szerinti munkacsoport véleménye a célhoz kötöttségről10; a 29. cikk szerinti munkacsoport technológiai alcsoportjában a névtelenítési technikákkal kapcsolatban folyó munka11; az egyes tagállamokban a névtelenítéssel és kockázatértékeléssel kapcsolatban folyó munka;12 és egyes tagállamok fennálló ítélkezési gyakorlata a közszféra információinak további felhasználása és a személyes adatok védelme közötti egyensúly megteremtése terén 13. A vélemény fókuszpontja és szerkezete
A 7/2003. sz. vélemény a célhoz kötöttség alapelvére összpontosított14, de más olyan kérdéseket is érintett, mint például a közszféra információi nyilvánosságra hozatalának és további felhasználásának jogszerű alapjai, a különleges adatok sajátos védelme, a harmadik országokba történő továbbítások, az adatok minősége és az érintettek jogai. Ezek az észrevételek ma is megállják a helyüket. Figyelemmel a már elvégzett korábbi munkára, ez a vélemény csak naprakésszé teszi és kiegészíti a 7/2003. sz. vélemény következtetéseit, amennyiben erre szükség van az új jogszabályi változások és a technológiai fejlődés fényében. A IV. szakasz annak tisztázásában segít, hogy a módosított PSI irányelv szerinti további felhasználási kötelezettség nem érinti az adatvédelmi követelményeket, és hangsúlyozza a „beépített és alapértelmezett adatvédelem”, valamint az „adatvédelmi hatásvizsgálatok” fontosságát annak biztosítása érdekében, hogy az adatvédelmi szempontokkal már azt megelőzően foglalkozzanak, mielőtt a személyes adatokat a további felhasználás céljából rendelkezésre bocsátanák. Az V. szakasz példák bemutatásán keresztül nyújt iránymutatást arra nézve, milyen jellegű személyes adatok kerülhetnek a PSI irányelv hatálya alá.
9
Az európai adatvédelmi biztos 2012. április 18-i véleménye az Európai Bizottságnak a közszféra információinak további felhasználásáról szóló 2003/98/EK irányelv módosításáról szóló irányelvre irányuló javaslatot, a nyílt adatokról szóló közleményt és a bizottsági dokumentumok további felhasználásáról szóló 2011/833/EU bizottsági határozatot tartalmazó, nyílt adatokról szóló csomagjáról. Elektronikus formátumban: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-0418_Open_data_EN.pdf. 10 A 29. cikk szerinti adatvédelmi munkacsoport 2013. április 2-án elfogadott 3/2013. sz. véleménye a célhoz kötöttségről (WP 203). 11 E tárgyban 2013. második félévében várható vélemény elfogadása. 12 Lásd például a névtelenítésre vonatkozó gyakorlat kódexét („Névtelenítés: az adatvédelmi kockázat kezelése gyakorlatának kódexe"), amelyet az Egyesült Királyság információs biztosának hivatala bocsátott ki 2012 novemberében, valamint a francia adatvédelmi hatóság által 2012 júniusában kibocsátott kockázatelemzési útmutatót. 13 Lásd például a LAPSI tematikus hálózat által készített 2012. szeptemberi szakpolitikai ajánlást (4-14. old.). 14 Lásd a 95/46/EK irányelv 6. cikke (1) bekezdésének b) pontját.
5
A VI. szakasz azokra a helyzetekre összpontosít, amelyek jelenleg a leggyakoribbak a közszféra információinak további felhasználására vonatkozó kezdeményezések terén: amikor a személyes adatokból összesített statisztikai adatokat tesznek hozzáférhetővé összesített és névtelenített formában. A példák között találhatunk összesített bűnügyi statisztikai és kormányzati kiadási adatokat, illetve arra vonatkozó adatokat, hogy a tanulók milyen eredményeket érnek el különböző földrajzi térségekben vagy különféle oktatási intézményekben. Mivel ez a személyes adatokat tartalmazó közszférabeli információk további felhasználásának leggyakoribb forgatókönyve, a vélemény jelentős része ezzel foglalkozik. Itt az adatvédelemmel kapcsolatos legfontosabb kérdés a hatékony összesítés és névtelenítés biztosítása, és a személyes adatok összesített adatállományokból történő azonosíthatósága kockázatának minimalizálása. A VII. szakasz – kevésbé részletesen – olyan helyzeteket vizsgál, ahol a személyes adatokat nyilvánosságra hozzák, és így felmerül ezen adatok további felhasználásának lehetősége. Bár jelenleg nem ez a tipikus forgatókönyve a közszféra információinak további felhasználására vonatkozó kezdeményezéseknek, fontos tudni, hogy a közintézmények egyre nagyobb mértékben hoznak nyilvánosságra személyes adatokat, gyakran az interneten. Ilyenkor gyakran olyan közvetlenül azonosítható személyes adatokról van szó, mint egy adott ingatlan tulajdonosára vonatkozó földhivatali adatok, egyes köztisztviselők érdekeltségeivel vagy jövedelmével kapcsolatos nyilatkozatok vagy a parlamenti képviselők kiadásai. Ezekben az esetekben felmerül a kérdés, hogy milyen körben, milyen célokra, továbbá milyen feltételek és biztosítékok mellett tehetők ezek az adatok hozzáférhetővé a további felhasználás céljára. Azt is fontos egyértelműen tisztázni, hogy ezek az adatok a PSI irányelv rendelkezéseinek hatálya alá tartoznak-e. Ebben az összefüggésben fontos kiemelni, hogy egy meghatározott vagy azonosítható természetes személlyel kapcsolatos bármely információ személyes adatnak minősül, függetlenül attól, hogy nyilvánosan hozzáférhető-e vagy sem. Ezért a nyilvánosságra hozott (például az interneten közzétett) személyes adatokhoz való hozzáférésre és azok további felhasználására a vonatkozó adatvédelmi jogszabályokat kell alkalmazni A VIII. és IX. szakasz röviden érint bizonyos egyéb forgatókönyveket is, így például a kutatási adatok kérdését és a történeti levéltárak helyzetét, amelyek most kerülnek PSI irányelv hatálya alá. A X. szakasz tárgyalja a közszféra információira vonatkozó felhasználási szerződés kérdését és azt, hogy adott esetben adatvédelmi kikötést kell belefoglalni a felhasználási feltételekbe. Végül pedig a XI. szakasz következtetéseket és ajánlásokat tartalmaz. IV.
Nem minden „nyilvánosan elérhető” személyes adatot kell a további felhasználáshoz rendelkezésre bocsátani
4.1. A PSI irányelv szerinti további felhasználási kötelezettség nem sérti az adatvédelmi követelményeket A PSI irányelv 2003. évi elfogadásakor nem írta elő a közintézmények számára a közszféra információi további felhasználása engedélyezésének kötelezettségét. A tagállamoknál vagy az érintett közintézménynél maradt a további felhasználásra vonatkozó engedély megadásáról szóló döntés lehetősége (az átláthatóság és a hozzáférés nemzeti szabályozási kereteire is figyelemmel). A 7/2003. sz. véleményt e „kötelezettség-hiány” fényében fogadták el. A 7/2003. sz. vélemény 2. szakaszának cc) pontja szerint „Fontos hangsúlyozni azt, hogy a további felhasználásról szóló irányelvre nem lehet ilyen betartandó jogi kötelezettségként hivatkozni, mivel az irányelv nem írja elő a személyes információk közzétételének kötelezettségét”.
6
A PSI irányelv módosítását követően az elemzés összetettebbé válik, de a végkövetkeztetés változatlan marad. A módosított PSI irányelv 3. cikkének (1) bekezdése szerint „a (2) bekezdésre figyelemmel a tagállamok biztosítják, hogy az 1. cikk szerint ezen irányelv alkalmazási körébe tartozó dokumentumok kereskedelmi vagy nem kereskedelmi célú további felhasználására a III. és IV. fejezetben meghatározott feltételek szerint kerül sor.” Amennyiben a további felhasználás nem tagadható meg az 1. cikkben meghatározott okokból (a nemzeti hozzáférési rendszerekből származó okokból és különösen a személyes adatok védelme alapján), a további felhasználást engedélyezni kell. A PSI irányelv (21) preambulumbekezdése megállapítja ugyanakkor azt, hogy a PSI irányelvet „a személyes adatok védelmére vonatkozó elvekkel összhangban kell alkalmazni”. Az 1. cikk (4) bekezdése úgy rendelkezik továbbá, hogy a PSI irányelv „semmilyen módon nem érinti az egyéneknek a (…) védelmi szintjét a személyes adatok feldolgozása vonatkozásában”. E rendelkezések együttes értelmezése arra az eredményre vezet, hogy a „további felhasználás alapelve” nem automatikus akkor, ha a személyes adatok védelméhez fűződő jog a tét, és nem írja felül a vonatkozó adatvédelmi jogszabályokat. Ha a közintézmények birtokában lévő dokumentumok személyes adatokat tartalmaznak, akkor további felhasználásuk a 95/46/EK rendelet hatálya alá tartozik, és így továbbra is az adatvédelmi jogszabályok vonatkoznak rájuk. Következésképpen azokban az esetekben, amikor a további felhasználás személyes adatokat érint, a közintézmény rendszerszerűen nem hivatkozhat a PSI irányelvnek való megfelelés szükségességére, mint az adatok további felhasználásra történő rendelkezésre bocsátásának jogszerű alapjára15. 4.2. Az adatvédelmi hatásvizsgálat fontossága az adatok további felhasználásra történő megnyitása előtt Figyelemmel a közszféra információinak további felhasználásával járó kockázatokra, különösen arra a tényre, hogy miután a személyes adatokat további felhasználás érdekében nyilvánosságra hozták, nagyon nehéz hatékonyan ellenőrizni ezen adatok felhasználását, a 29. cikk szerinti munkacsoport hangsúlyozza a „beépített és alapértelmezett adatvédelem” alapelveinek fenntartását és annak biztosítását, hogy az adatvédelmi szempontok már idejekorán figyelembevételre kerüljenek. A 29. cikk szerinti munkacsoport nyomatékosan ajánlja a közintézmények számára egy átfogó adatvédelmi hatásvizsgálat elvégzését, mielőtt a személyes adatokat további felhasználás céljából nyilvánosságra hoznák. A tagállamoknak meg kell fontolniuk, hogy a nemzeti jogszabályaik alapján kötelezővé teszik-e az ilyen hatásvizsgálat elvégzését, vagy bevált gyakorlatként népszerűsítik. Mindenesetre, még ha a nemzeti jogszabályok ezt kifejezetten nem is írják elő, az információ nyilvánosságra hozatala és a további felhasználásának lehetővé tételéről szóló döntés előtt a közintézményeknek átfogó értékelést kell végezniük arról, hogy a személyes adatok további felhasználás céljára rendelkezésre bocsáthatók-e, és ha igen, akkor milyen feltételek és milyen egyedi adatvédelmi biztosítékok mellett engedélyezhető a további felhasználás. Az értékelésnek többek között meg kell állapítania a nyilvánosságra hozatal jogalapját (és a további felhasználás lehetséges jogalapját), értékelnie kell a célhoz kötöttség, az arányosság és az adatminimalizálás alapelvét, és figyelembe kell vennie a különleges adatok számára szükséges 15
A 29. cikk szerinti munkacsoport szeretné azt is világossá tenni, hogy a további felhasználó szempontjából a PSI irányelv önmagában nem teremt jogszerű alapot a feldolgozásra sem. (A jogszerű alapról lásd a 7/2003. sz. véleményt és az alábbi 7.5. szakaszt.)
7
sajátos védelmet. Az értékelés elvégzése során gondosan fel kell mérni az érintettekre gyakorolt lehetséges hatást. Az értékelésnek annak eldöntésében kell segítséget nyújtania, hogy lehet-e és, ha igen milyen adatokat lehet további felhasználás céljából rendelkezésre bocsátani és milyen biztosítékok mellett16. Ki kell emelni, hogy a javasolt adatvédelmi rendelet17 ösztönzi, és egyes esetekben elő is írja az adatvédelmi hatásvizsgálatok elvégzését, mint az adatkezelők felelősségre vonhatósága biztosításának kulcsfontosságú eszközét18. Amikor csak lehetséges, a további felhasználásra vonatozó döntést megelőző elemzésnek a különböző érintett felek képviselőinek bevonásával lefolytatott, tájékoztatáson alapuló egyeztetésre kell épülnie, amelyben részt kell vennie az adatot kiadni kívánó adatkezelőnek és az adatot igénylő adatkezelőnek is, akik ennélfogva képesek az egyeztetés kereteit meghatározni, továbbá azon magánszemélyek képviselőinek, akiknek személyes adatairól szó van (például fogyasztóvédelmi szervezetek, szabadalmi jogi szervezetek, pedagógusok szakszervezete). Amennyiben az egyeztetés eredménye nem egyértelmű, az illetékes adatvédelmi hatóság és az információs szabadságért felelős nemzeti hatóságok adhatnak iránymutatást. A tagállamoknak meg kell vizsgálniuk továbbá annak lehetőségét, hogy tudáshálózatokat/kiválósági központokat hozzanak létre és ilyeneket támogassanak a névtelenítéssel és a nyílt adatokkal kapcsolatos helyes gyakorlatok terjesztése érdekében. Ezek különösen az olyan kisebb közintézmények részére lehetnek fontosak, amelyek nem rendelkeznek a névtelenítés és az adatvédelmi hatásvizsgálat elvégzéséhez, valamint az újraazonosítás kockázatának felméréséhez és vizsgálatához szükséges szakértelemmel19. Végül pedig akkor is határozottan javasolt hatásvizsgálatot végezni, mielőtt olyan új jogszabályt fogadnak el, amely személyes adatok nyilvános közzétételével jár. 16
17
18
19
Amennyiben az értékelés eredményeként az a döntés születik, hogy a személyes adatok további felhasználás céljából való rendelkezésre bocsátására nem kerülhet sor, hanem ehelyett a személyes adatokból származó névtelenített adatállományt bocsátanak rendelkezésre, akkor el kell végezni az újraazonosítás kockázatának felmérését. Lásd a VI. szakaszt a névtelenítéssel és az újraazonosítás kockázatának felmérésével kapcsolatban. 2012. január 25-én a Bizottság csomagot fogadott el az európai adatvédelmi keret reformjáról. Ez a csomag tartalmaz i. egy közleményt (COM(2012)9 final), ii. egy „adatvédelmi rendeletjavaslatot” (COM(2012)11 final), és iii. egy „adatvédelmi irányelv javaslatot” (COM(2012)10 final). Az adatvédelmi hatásvizsgálat elvégzésének módjára vonatkozó további iránymutatás tekintetében lásd például a PIAF-projekt honlapját (a magánélet védelmére vonatkozó hatásvizsgálat kerete az adatvédelem és a magánélet védelméhez fűződő jogok terén): http://www.piafproject.eu/Index.html. A PIAF az Európai Bizottság társfinanszírozásával működő projekt, amelynek célja az Európai Unió és a tagállamok ösztönzése arra, hogy a magánélet védelméhez és a személyes adatok feldolgozásához kapcsolódó szükségletekre és kihívásokra adandó válaszadás eszközeként előremutató politikákat fogadjanak el a magánélet védelmére gyakorolt hatások értékelése terén. Egyes tagállamokban szintén rendelkezésre áll iránymutatás. Lásd például a magánélet védelmére gyakorolt hatások értékelésének kézikönyvét, amelyet az Egyesült Királyság információs biztosa bocsátott ki és a következő címen érhető el: http://ico.org.uk/for_organisations/data_protection/topic_guides/privacy_impact_assessment; valamint a francia adatvédelmi hatóság által kibocsátott és a fenti 12. lábjegyzetben már említett kockázatértékelési útmutatót, továbbá a szlovén információs biztos által adott iránymutatást kifejezetten a „magánélet védelmére gyakorolt hatások értékeléséről az e-kormányzási projektekben”, amely a következő címen érhető el: https://webmail.europarl.europa.eu/exchweb/bin/redir.asp?URL=https://www.iprs.si/fileadmin/user_upload/Pdf/smernice/PIASmernice__ENG_Lektorirano_10._6._2011.pdf Például az Egyesült Királyságban a Manchesteri Egyetem vezetésével és a Southamptoni Egyetem, a Nemzeti Statisztikai Hivatal és a kormány új Nyílt Adat Intézetének részvételével létrejött konzorcium működteti az Egyesült Királyság névtelenítési hálózatát, amely lehetőséget nyújt a névtelenítéssel kapcsolatos helyes gyakorlatok megosztására a köz- és a magánszférában egyaránt. A hálózat egy honlapot is fenntart: https://webmail.europarl.europa.eu/exchweb/bin/redir.asp?URL=http://www.ukanon.net, valamint esettanulmányokat tesz közzé, és workshopokat, szemináriumokat szervez.
8
V.
A PSI irányelv hatálya: a személyes adatok védelme alapján tett kivételek
Ez a szakasz iránymutatás nyújt a PSI irányelv hatálya és különösen az adatvédelem alapján tett kivételek vonatkozásában. 5.1. Az általános adatvédelmi keret alkalmazhatósága a közszféra információinak további felhasználása terén A PSI irányelv (21) preambulumbekezdése megállapítja, hogy a PSI irányelvet „a személyes adatok védelmére vonatkozó elvekkel összhangban kell alkalmazni”. Az 1. cikk (4) bekezdése úgy rendelkezik továbbá, hogy a PSI irányelv „semmilyen módon nem érinti az egyéneknek a (…) védelmi szintjét a személyes adatok feldolgozása vonatkozásában”. 5.2. A személyes adatok védelme alapján tett kivételek A PSI irányelv szerint „Ezt az irányelvet nem kell alkalmazni: … olyan dokumentumokra, amelyekhez való hozzáférést a tagállamok hozzáférési szabályai kizárják…”20 Ezen felül a módosított PSI irányelv is tartalmaz az adatvédelmen alapuló kivételeket. Az 1. cikk (2) bekezdésének cc) pontja foglalkozik az alábbi három helyzettel, amelyek mindegyike ki van zárva a PSI irányelv hatálya alól:
olyan dokumentumok, amelyekhez a hozzáférést a hozzáférési szabályok a személyes adatok védelmének indokával kizárják; olyan dokumentumok, amelyekhez a hozzáférést a hozzáférési szabályok a személyes adatok védelmének indokával korlátozzák, és „az említett szabályok értelmében hozzáférhető dokumentumok azon részei[…], amelyek olyan személyes adatokat tartalmaznak, amelyek további felhasználása jogszabályi definíció szerint összeegyeztethetetlen a személyes adatok feldolgozása vonatkozásában az egyének védelméről szóló jogszabályokkal”.
5.3. Általános megjegyzések A 29. cikk szerinti munkacsoport hangsúlyozza, hogy a módosított PSI irányelvben megfogalmazott „további felhasználási alapelvre” tekintet nélkül a PSI irányelv szabályai szerinti bármely kereskedelmi vagy nem kereskedelmi célú további felhasználás nem mindig tekinthető megengedettnek azokban az esetekben, amikor a további felhasználásra kerülő közszférabeli információ személyes adatokat tartalmaz. A személyes adatoknak a PSI irányelv szabályai szerinti további felhasználására vonatkozó döntést eseti alapon kell meghozni, és további jogi, technikai vagy szervezeti intézkedéseket is kell hozni az érintett magánszemélyek védelmében. A nyilvánosan elérhető személyes adatok további felhasználását az alábbiak korlátozzák és ezt a korlátozást fent kell tartani:
20
az alkalmazandó adatvédelmi jog általános szabályai, (adott esetben) további egyedi jogi korlátozások és a személyes adatok védelme érdekében bevezetett technikai és szervezeti biztosítékok.
Lásd a PSI irányelv 1. cikke (2) bekezdésének c) pontját.
9
5.4. Azok a dokumentumok, amelyekhez kizárt a hozzáférés Ez a rendelkezés kivesz a PSI irányelv hatálya alól minden olyan dokumentumot, amelyet a személyes adatok védelmének alapján az érintett tagállam hozzáférési szabályai kizárnak. Az adatvédelmi jogszabályoktól eltérően, amelyek a 95/46/EK irányelv alapján nagyrészt harmonizáltak, az információhoz való hozzáférésre vonatkozó jogszabályok jelentősen eltérnek az EU különböző tagállamaiban. A hozzáférési szabályok általában előírnak egyensúly-vizsgálatot, amely összeveti a magánszféra- és az adatvédelmi jogszabályok által védett érdekeket a nyitottság és az átláthatóság előnyeivel. Az eltérésekre figyelemmel a kiegyensúlyozás eredménye eltérő lehet a különböző uniós tagállamokban. Például egyes tagállamokban az adóhatóságok az adófizetők jövedelemadó-bevallásainak bizonyos részeit (a visszaélések kockázatának minimalizálását célzó jogi, technikai és szervezeti intézkedések keretei között) közzétehetik, míg más tagállamok ezt olyan információnak tekintik, amely a kivétel hatálya tartozik, és így általában bizalmasan kell kezelni. A fentiekre figyelemmel a nemzeti jogszabályoknak meg kell felelniük az emberi jogok európai egyezménye (EJEE) 8. cikkének és az Európai Unió Alapjogi Chartája (a továbbiakban: EU Alapjogi Chartája) 7. és 8. cikkének. Ez azt eredményezi – ahogyan azt az Európai Bíróság az Österreichischer Rundfunk és a Schecke döntéseiben megállapította21 – hogy meg kell győződni arról, hogy a nyilvánosságra hozatal szükséges-e a jogszabály által elérni kívánt jogszerű célhoz, és arányos-e azzal. Mindenesetre, amint egy adott dokumentumban szereplő személyes adathoz való hozzáférést az érintett tagállam jogszabályai szerint kizárják (beleértve azokat az eseteket is, amikor az átláthatóságra és a nyitottságra vonatkozó nemzeti jogszabályok nem rendelkeznek az érintett személyes adathoz való általános hozzáférhetőségről), az kizárásra kerül a PSI irányelv hatálya alól is. A jogbiztonság és az átláthatóság érintettek számára történő biztosítása érdekében helyes gyakorlatnak számít az a proaktív megközelítés, hogy lehetőség szerint előzetesen meghatározzák azokat a személyes adatokat, amelyek nyilvánosságra hozhatók. Ezek után pedig az érintetteket az adatgyűjtés idején lehet tájékoztatni arról, hogy az általuk szolgáltatott személyes adat vagy a későbbi igazgatási eljárás során feldolgozott adat bármely része az információszabadságról szóló jogszabályok eredményeként nyilvánosan elérhetővé válik-e. 5.5. Azok a dokumentumok, amelyekhez korlátozott a hozzáférés Ez a rendelkezés kivesz a PSI irányelv hatálya alól minden olyan dokumentumot, amelyekhez a hozzáférés a személyes adatok védelmének alapján az érintett tagállam hozzáférési szabályai szerint korlátozott. A különböző tagállamok hozzáférési szabályai itt is eltérhetnek abban a tekintetben, hogy milyen adatokra vonatkozik a korlátozott hozzáférés és milyen típusúak lehetnek a korlátozások. Néhány példa:
21
A nemzeti levéltárak személyes adatokat tartalmazó olyan gyűjteményei, amelyek csak egyedi hozzáférési feltételek és kiegészítő biztosítékok mellett hozzáférhetőek (lásd az alábbi IX. szakaszt).
Lásd a Bíróság C-465/00., C-138/01. és C-139/01. sz. Rundfunk egyesített ügyekben 2003. május 20-án hozott, és a C-92/09. és C-93/09. sz. Volker és Markus Schecke egyesített ügyekben 2010. november 9-én hozott döntését.
10
Olyan, személyes adatokat tartalmazó kutatási adatok gyűjteményei, amelyek csak egyedi hozzáférési feltételek és kiegészítő biztosítékok mellett hozzáférhetőek (lásd az alábbi VIII. szakaszt). Nyilvános nyilvántartásokban, bírósági iratokban vagy egyéb igazgatási dokumentumokban található, személyes adatokat tartalmazó olyan információk, amelyek csak jogos érdeket felmutató magánszemélyek vagy szervezetek által, illetve egyedi hozzáférési feltételek és kiegészítő biztosítékok mellett hozzáférhetők.
5.6. A dokumentumok egy része hozzáférhető, de a további felhasználás összeegyeztethetetlen Ez a rendelkezés kiveszi a PSI irányelv hatálya alól
a dokumentumok olyan részeit, amelyek a nemzeti hozzáférési szabályok alapján hozzáférhetők, és amelyek olyan személyes adatokat tartalmaznak, amelyek „további felhasználása jogszabályi definíció szerint összeegyeztethetetlen a személyes adatok feldolgozása vonatkozásában az egyének védelméről szóló jogszabályokkal”.
Ez a rendelkezés megerősíti azt, hogy még azokban az esetekben is, amikor a személyes adatokat tartalmazó bizonyos dokumentumok teljes körűen hozzáférhetők, a további felhasználásuk adatvédelmi okokból korlátozható. A 29. cikk szerinti munkacsoport hangsúlyozza, hogy a PSI irányelv e rendelkezését az irányelv 1. cikkének (4) bekezdésével összhangban kell értelmezni, amely kimondja, hogy a PSI irányelv „semmilyen módon nem érinti az egyéneknek a (…) védelmi szintjét a személyes adatok feldolgozása vonatkozásában”. A 29. cikk szerinti munkacsoport helyes gyakorlatként üdvözölné olyan egyedi jogi rendelkezések elfogadását a nemzeti jogban, amelyek egyértelműen megjelölik, hogy i. mely adatok nyilvánosan elérhetők, ii. milyen célokra, és iii. adott esetben meghatározzák, milyen mértékben és milyen feltételek mellett engedélyezett a további felhasználás. Amikor azonban nincsenek ilyen egyedi rendelkezések, az nem azt jelenti, hogy a nyilvánosan elérhető személyes adatok mindig további felhasználásra kerülhetnek a PSI irányelv alapján. Valójában ezekben az esetekben az adatvédelmi jog (más vonatkozó joggal, így a dokumentumokhoz való hozzáférésre vonatkozó jogszabályokkal együtt alkalmazva) határozza meg, hogy az adott esetben a személyes adatok hozzáférhetővé tehetőek-e további felhasználás céljából, és ha igen, akkor milyen kiegészítő biztosítékok mellett. Ha ennek az értékelésnek pozitív az eredménye, a további felhasználást egyedi adatvédelmi biztosítékok és a PSI irányelvben meghatározott valamennyi további feltétel mellett engedélyezik (mindaddig, amíg nem sértik az adatvédelmi jogot). Ha az értékelés eredménye negatív, a további felhasználás a PSI irányelv hatályán kívül esik. Az alábbi példák segítenek annak bemutatásában, mikor kell alkalmazni a PSI irányelv hatálya alóli ilyen kivételt. Az első példában a további felhasználás korlátait egyértelműen a jog határozza meg.
A tagállamok adójogszabályai előírhatják, hogy az ország valamennyi polgárának jövedelemadó bevallását kérelem alapján az adóhatóság helyiségében nyilvánosan megtekintheti bármely másik polgár, anélkül, hogy jogos érdekét igazolná. A jog azt is egyértelműen előírja, hogy az adatokat nem lehet tovább feldolgozni, például az interneten közzétenni, más adatokkal összekapcsolni vagy tovább szerkeszteni. Egy nem kormányzati
11
szervezet hozzáférést és további felhasználásra vonatkozó jogot kér az adóbevallási adatbázis vonatkozásában, hogy azt közzétehesse a honlapján. Ebben az esetben az adózási adatok kívül esnek a PSI irányelv hatályán, és a közintézmény nem köteles az adatállományt a PSI irányelv szerint további felhasználás céljára rendelkezésre bocsátani. Sok más esetben azonban a jogi korlátozások megfogalmazása sokkal kevésbé egyértelmű és kevésbé kategorikus a további felhasználás vonatkozásában. Általában különféle polgári, kereskedelmi és népességi nyilvántartások és egyéb adatbázisok teszik lehetővé a személyes adatok nyilvános megismerését, egyre inkább digitális formában az interneten keresztül. A hozzáférhetőségre gyakran egyedi biztosítékok vonatkoznak, beleértve a keresési lehetőségre és a tömeges letöltésre vonatkozó technikai korlátozásokat. A felhasználóktól kérhető, hogy fogadják el a hozzáférés feltételeit.
A tagállamok adójogszabályai előírhatják, hogy egy e célra létrehozott honlapon korlátozott ideig, további technikai biztosítékok, így a tömeges letöltés és a keresési lehetőség korlátozása mellett közzétegyék azon személyek neveit, akik hosszabb ideje egy bizonyos küszöbérték feletti adótartozással rendelkeznek. E közzététel célja a jövedelemadó időben történő befizetésére való ösztönzés, és kiegészítő (a jó hírnevet érintő) büntetés azok számára, akik ezt elmulasztják. Bankok konzorciuma kér további felhasználás céljából hozzáférést, hogy az adatokat betáplálhassák a hiteljelentési rendszerükbe. Egy tagállam egészségügyi ágazatának egyedi jogszabályai biztosítékok mellett megengedhetik a betegeknek annak ellenőrzését egy e célra létrehozott honlapon, hogy egy adott orvost vagy más szakembert eltiltottak-e a hivatása gyakorlásától. Technikai biztosítékokat kell alkalmazni, beleértve a tömeges letöltés és a keresési lehetőség korlátozását. Egy betegjogi szervezet kér hozzáférést további felhasználás céljából annak érdekében, hogy egy többnyelvű és felhasználóbarátabb honlapot készítsen ugyanezekhez az adatokhoz való hozzáférés biztosítására. Egy tagállam egyedi jogszabályai előírhatják a politikai pártok részére adományozók neveinek közzétételét egy bizonyos küszöbérték felett. Az információt, amely felfedheti az adományozók politikai véleményét, egy e célra létrehozott honlapon teszik közzé. Technikai biztosítékokat kell alkalmazni, beleértve a tömeges letöltés és a keresési lehetőség korlátozását. Egy aktivista csoport nagy tételben kér hozzáférést az adatokhoz azoknak a PSI irányelv alapján történő további felhasználása céljából, hogy további jellemzőkkel és jobb keresési lehetőségekkel rendelkező új honlapot hozzanak létre. Egy tagállam ingatlan-nyilvántartásában az ingatlan tulajdonosának neve és címe nyilvános, de a nyilvánosan hozzáférhető adatbázisban való keresés oly módon korlátozott, hogy csak egy adott ingatlanra lehet rákeresni, de egy adott magánszemélyre nem. A tömeges letöltés szintén korlátozott. Egy kereskedelmi vállalat nagy tételben kér hozzáférést az adatokhoz azok további felhasználása céljából, hogy felhasználóbarátabb honlapot hozzanak létre versenyképesebb áron. Egy tagállamban a cégnyilvántartás nyilvános hozzáférést biztosít a személyes adatok széles köréhez, így az igazgatók nevéhez, címéhez, aláírásmintájához, és bizonyos társaságtípusok tulajdonosaira vonatkozó információkhoz. Vonatkozik néhány korlátozás a keresési lehetőségekre, és korlátozott a letölthető tételek száma. Az információ az interneten egy e célra létrehozott honlapon érhető el díj fizetése ellenében. Egy kereskedelmi vállalat nagy tételben kér hozzáférést az adatokhoz azok további felhasználása céljából, hogy olyan honlapot hozzanak létre, amely összekapcsolja a különböző típusú nyilvántartásokból származó információkat és versenyképesebb áron emeltebb szintű információkat kínál.
12
Az érintett közintézménynek valamennyi esetben gondos adatvédelmi hatásvizsgálatot kell lefolytatnia annak eldöntése érdekében, hogy az adatokat további felhasználásra rendelkezésre lehete bocsátani a PSI irányelv alapján, és ha igen, akkor az adatvédelmi jog szükségessé tesz-e egyedi feltételeket és biztosítékokat. A „további felhasználásra vonatkozó alapelv” nem automatikus, és nem írhatja felül az adatvédelmi jog vonatkozó rendelkezéseit. Az ilyen gondos értékelés annál is inkább fontos, mivel a PSI irányelv alapján a közintézmény főszabályként nem vizsgálhatja, ki a további felhasználást kérelmező adott személy. A 10. cikk (A megkülönböztetés tilalma) szerint, „a további felhasználás feltételei nem lehetnek megkülönböztetőek a további felhasználás hasonló esetei körében”. A 11. cikk (Kizárólagosságot biztosító megállapodások tilalma) szerint továbbá, „a dokumentumok további felhasználásának lehetősége valamennyi potenciális piaci szereplő számára nyitva kell, hogy álljon… A dokumentumok felett rendelkező közigazgatási szervek és harmadik személyek közötti szerződések vagy egyéb megállapodások nem biztosíthatnak kizárólagos jogokat.” Ezért a további felhasználás engedélyezésére vonatkozó döntés meghozatala során a közintézménynek meg kell vizsgálniuk annak összeegyeztethetőségét, hogy a további felhasználást egy nyílt felhasználási szerződés alapján nem csak a kérelmező, hanem bármely adatigénylő számára engedélyezzék. Ehhez az szükséges, hogy nagymértékben biztosak legyenek abban, hogy a lehetséges további felhasználók egyike sem lesz képes visszaélni a rendelkezésére bocsátott személyes adatokkal. A PSI irányelv nem zárja ki, hogy a feltételek csak meghatározott célokra engedélyezzék a feldolgozást. A közintézmény számára az a kérdés, hogy az e célokra történő, „bármely potenciális piaci szereplő” általi további felhasználás összhangban áll-e a közintézmény által meghatározott célokkal. Az adófizetési információk pénzügyi intézmények általi potenciális további felhasználása, például hiteljelentési célokra, releváns, mivel ezek a szervezetek a „bármely személy” fogalom szempontjából potenciális további felhasználónak minősülnek. Ezért az adatvédelmi aggályok eloszlatása érdekében, különösen a célhoz kötöttség alapelve betartásának biztosítása céljából a közintézmény (vagy a jogalkotó) számára lehetőséget kell biztosítani arra, hogy adott esetben korlátozhassa a további felhasználás céljait. VI.
A személyes adatokból származó összesített és anonimizált adatállományok további felhasználása
6.1. Melyek a közszféra információinak további felhasználása céljából történő összesítés és névtelenítés előnyei? Mostanáig a közintézmények által a közszféra információinak további felhasználására vonatkozó, „nyílt adatportálok” vagy egyéb platformok útján tett kezdeményezések jellemzően azt célozták, hogy összesített és névtelenített adatokat, nem pedig személyes adatokat tegyenek hozzáférhetővé további felhasználás céljából. Ez a megközelítés valóban biztonságosabb, és ezért ösztönözni is kell. Az adatvédelmi jogszabályok általában nem teszik lehetővé, hogy a közintézmények olyan személyes adatokat hozzanak nyilvánosságra, amelyeket más, általában igazgatási célból gyűjtöttek össze22. Így ezekben az esetekben szintén nem lehetséges ezen adatok további felhasználása a közszféra információinak további felhasználására irányuló kezdeményezések részeként. Jellemzően 22
Természetesen adott esetben az információszabadságra vonatkozó jogszabályok előírhatják személyes adatok közzétételét, és bizonyos helyzetekben az átláthatóság és az információhoz való hozzáférés érdeke felülírhatja az adatvédelmi és magánszféra-védelmi szempontokat. Ez olyan fejlődő terület, ahol a jövőben változásokra kerülhet sor.
13
nem magukat a személyes adatokat, hanem elvileg az e személyes adatokból képzett statisztikai adatokat lehet – és kell – a további felhasználás számára elérhetővé tenni. Ez a leghatékonyabb megoldás a személyes adatok gondatlan közzétételéből fakadó kockázatok minimalizálására. Ezek a névtelenített és összesített adatállományok nem tehetik lehetővé az egyének újraazonosítását, és így nem tartalmazhatnak személyes adatokat sem. Kihívást jelent annak meghatározása, hogy milyen szintű összesítés lehet a megfelelő és konkrétan milyen névtelenítési technikákat kellene használni. Ha az összesítés és a névtelenítés nem hatékonyan történik, ez azzal a kockázattal jár, hogy az egyének mégis újraazonosíthatóak lesznek ezekből az adatállományokból. Ezért az adatvédelmi jognak fontos szerepe van azon „biztonságos” küszöb meghatározásában, amely mellett közzétehetők a névtelenített és összesített adatok a közszféra információinak további felhasználására vonatkozó kezdeményezés keretében. A 95/46/EK irányelv magas küszöböt határoz meg a névtelenítésre A „névtelenítés” kifejezés ebben a dokumentumban olyan adatokra utal, amelyek a továbbiakban már nem tekinthetők személyes adatnak a 95/46/EK irányelv 2. cikkének a) pontja alapján. A 2. cikk a) pontja szerint „személyes adat” az azonosított vagy azonosítható természetes személyre („érintettre”) vonatkozó bármely információ. Azonosítható személy az, „aki közvetlenül vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, pszichológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén”23. A 95/46/EK irányelv (26) preambulumbekezdését is figyelembe kell venni, amely úgy rendelkezik, hogy „annak meghatározására, hogy egy személy azonosítható-e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására”. Hangsúlyozni kell, hogy ez a rendelkezés magas küszöböt állít, amelyet a későbbiekben még elemez ez a vélemény. Mindaddig, amíg az adatok névtelenítése nem éri el ezt a küszöböt, az adatvédelmi jogszabályokat továbbra is alkalmazni kell. Ez többek között azt jelenti, hogy ha a küszöböt nem érik el, az információk nyilvános közzétételének (és további felhasználásának) „összhangban kell állnia” az adatgyűjtés eredeti céljaival a 95/46/EK irányelv 6. cikke (1) bekezdésének b) pontja alapján. Ezen felül az adatfeldolgozásra megfelelő jogalappal is kell rendelkezni a 95/46/EK irányelv 7. cikkének a)–f) pontja alapján (például hozzájárulás, vagy a jogszabálynak való megfelelés szükségessége). Ezzel szemben, ha az adatokat a 95/46/EK irányelv 2. cikkének a) pontja és (26) preambulumbekezdése szerinti értelemben névtelenítették, az adatvédelmi szabályokat már nem kell alkalmazni, és a további felhasználók e korlátozások nélkül használhatják fel az adatokat. Ismételten hangsúlyozni kell, hogy az e véleményben használt értelemben a „névtelenített adatok” olyan adatok, amelyek többé már nem minősülnek személyes adatnak. A névtelenített adatokat különösen azoktól az adatoktól kell megkülönböztetni, amelyeket különféle technikákkal módosítottak az érintett személyek újraazonosíthatósága kockázatának csökkentése érdekében, azonban nem érik el a 95/46/EK irányelv 2. cikkének a) pontjában és (26) preambulumbekezdésében
23
A 29. cikk szerinti munkacsoport a 2013. február 27-én tett, az „adatvédelmi reformcsomaggal kapcsolatos jelenlegi egyeztetésekre” vonatkozó nyilatkozatában hangsúlyozta, hogy „egy természetes személy akkor minősül azonosíthatónak, ha személyek egy csoportján belül meg lehet különböztetni másoktól és ennek folytán eltérő bánásmódban lehet részesíteni. Ez azt jelenti, hogy az azonosíthatóság fogalma tartalmazza a kiválasztást is.” A nyilatkozat azt is egyértelművé teszi, hogy az „azonosítószámokat, helymeghatározási adatokat, IP-címeket, online azonosítókat vagy egy magánszemélyre vonatkozó más egyedi tényezőket személyes adatnak kell tekinteni”.
14
előírt küszöböt24. Számos helyzetben ezek a technikák csak átvizsgált harmadik személyek általi további felhasználást célzó korlátozott nyilvánosságra hozatal esetén megfelelőek, de teljes körű nyilvánosságra hozatal és nyílt felhasználási engedély alapján történő további felhasználás esetén nem. Azt is fontos hangsúlyozni, hogy miután az adatokat további felhasználás céljából nyilvánosságra hozták, nem ellenőrizhető, ki fér hozzá az adatokhoz. Így jelentősen megnő annak a valószínűsége, hogy „bármely más személy” rendelkezhet olyan eszközökkel, amelyekkel az érintettek újraazonosíthatók, és azokat használni fogja. Ezért – függetlenül attól, hogyan értelmezhető más összefüggésben a (26) preambulumbekezdés –az adatoknak a PSI irányelv alapján további felhasználás céljából való hozzáférhetővé tétele esetében a 29. cikk szerinti munkacsoport teljesen egyértelművé kívánja tenni azt, hogy a lehető legnagyobb gondossággal kell eljárni annak biztosítása érdekében, hogy a nyilvánosságra hozandó adatállományok ne tartalmazzanak olyan adatokat, amelyek ésszerűen feltételezhetően bármely személy által használt eszközökkel újraazonosíthatóak lennének, e személyek közé értve a lehetséges további felhasználókat, de olyan egyéb feleket is, akik érdekeltek az adatok megszerzésében, beleértve a bűnüldözést is. További iránymutatás a névtelenítés és a személyes adatok fogalma tekintetében A névtelenítésre és a személyes adatok fogalmára vonatkozó további iránymutatás a 29. cikk szerinti munkacsoportnak a személyes adat fogalmáról szóló, 2007. június 20-i 4/2007. sz. (WP 136) véleményében található. 2013 második felében a 29. cikk szerinti munkacsoport további iránymutatást fog kiadni a névtelenítési technikákkal kapcsolatban egy külön dokumentumban. 6.2. Melyek a közszféra információinak további felhasználása céljából történő névtelenítéssel kapcsolatos kihívások és korlátok? A névtelenítés egyre nehezebben érhető el a modern számítástechnika fejlődése és a mindenütt jelen levő és elérhető információbőség következtében. Az egyének újraazonosíthatósága egyre gyakoribb és jelenlévő veszély25. A gyakorlatban létezik egy nagyon jelentős szürke zóna, amikor az adatot közzétevő adatkezelő esetleg abban a hitben van, hogy az adatállomány névtelenített, de egy harmadik személy mégis képes lehet az adatokból legalább az egyének egy részét azonosítani, például más, nyilvánosan elérhető, vagy a számára rendelkezésre álló információk felhasználásával. Az egyik fő kockázati tényező az, hogy egyre több online és offline adat áll rendelkezésre egyrészt nyilvánosan, másrészt üzleti szervezetek kezében összpontosulva, amely adatok felhasználhatók a viselkedésalapú reklámozáshoz kapcsolódó egyéni profilkészítésére és egyre több másféle célra. Az ilyen szervezetek számára rendelkezésre álló „nagy adattömeg” realitására figyelemmel a személyes adatokból képzett és további felhasználás céljára hozzáférhetővé tett közszférabeli információk 24
25
A 2013. februári nyilatkozat hangsúlyozza, hogy „amennyiben lehetséges egy magánszemély visszakeresése vagy (közvetve) egy magánszemély más eszközökkel történő azonosítása, az adatvédelmi szabályokat továbbra is alkalmazni kell.” Lásd például a „Transparent Government, Not transparent Citizens” (Átlátható kormányzat, nem átlátható állampolgárok) című, az Egyesült Királyság kabinetirodája számára a Southamptoni Egyetemen dolgozó Kieron O’Hara által 2011-ben készített jelentést, amelyben a szerző figyelmeztet annak veszélyére, hogy a névtelenített adatokból is azonosíthatók az egyének, többek között a „kirakós játékhoz hasonlító azonosítással”, és jelzi, hogy a névtelenítés visszafejtésének problémájára nincsenek teljes mértékben működő technikai megoldások. Elektronikus formátumban: http://www.cabinetoffice.gov.uk/sites/default/files/resources/transparency-and-privacy-review-annexb.pdf Lásd még a „Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization” (A magánszféra védelmének megszegett ígéretei:a névtelenítés meglepő sikertelenségére adandó válasz) c. munkát, amelynek szerzője Colorado Egyetem jogi karán dolgozó Paul Ohm, 57 UCLA Law Review 1701 (2010). Elektronikus formátumban: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1450006
15
növelhetik annak lehetőségét, hogy az egyének azonosíthatóak lesznek vagy a profiljuk tovább pontosítható lesz, gyakran anélkül, hogy az egyének erről tudnának. 6.3. Kinek és mikor kell elvégeznie az összesítést és a névtelenítést? Az összesítést és a névtelenítést a lehető legkorábban el kell végeznie az adatkezelőnek, illetve az egy vagy több adatkezelő nevében eljáró megbízható harmadik személynek (aki rendelkezik a szükséges szakismeretekkel). Nem bízható rá a további felhasználóra az, hogy elvégezze a névtelenítést, például az felhasználás engedélyezésének feltételeként. Fontos továbbá gondoskodni arról, hogy az összesítést és névtelenítést végző lehetséges harmadik személy szervezet esetében ne álljon fenn összeférhetetlenség és egyértelműen felelősségre vonható legyen azzal kapcsolatban, hogy a személyes adatokat csak a névtelenítés során használja fel és az erre vonatkozó valamennyi szükséges biztosítékot bevezeti. A harmadik személynek képesnek kell lennie azt is biztosítani, hogy az összesített és névtelenített adatállomány alapjául szolgáló személyes adatokat a lehető leghamarabb törölje, miután már nincs rájuk e célból szükség. 6.4. Az újraazonosítás kockázatának felmérése Ha az adatok nem névteleníthetők a 95/46/EK irányelv 2. cikkének a) pontja és (26) preambulumbekezdésének értelmében, az adatvédelmi jogszabályokat továbbra is alkalmazni kell. Az adatkezelőnek fel kell mérnie, hogy ésszerűen számítani lehet-e arra, hogy egy egyént azonosítani lehet a további felhasználás céljára hozzáférhetővé tett, „névtelenített” adatállományból és más adatokból. Másképpen fogalmazva; azt, hogy egy szervezet vagy egyént képes lehet-e azonosítani bármely egyént a kiadott adatokból – akár önmagában, akár más, rendelkezésre álló információval összekapcsolva. A 6.1. szakaszban adott magyarázat szerint e véleménynek nem célja az, hogy átfogó és végleges iránymutatást adjon arról, hogyan kell felmérni az újraazonosíthatóság kockázatát. Az sem célja, hogy kétséget kizáróan meghatározza a „névtelenítés” és a „névtelenített adat” fogalmát. Hangsúlyozza azonban, hogy az olvasó további iránymutatásra lelhet egyéb dokumentumokban (beleértve a 6.1. szakaszban említetteket is), és a 29. cikk szerinti munkacsoport technológiai alcsoportjában jelenleg is folyik munka a névtelenítési technikákkal kapcsolatban, amint arra a 6.1. és a 2.2. szakasz utal. A fentiekre figyelemmel, és anélkül átfogó iránymutatás nyújtására törekedne, a 29. cikk szerinti munkacsoport ki kíván emelni néhány olyan tényezőt/koncepciót, amelyek segítenek az újraazonosítás kockázatának értékelése során, beleértve különösen:
26
azt, hogy milyen egyéb adatok állnak rendelkezésre, akár a széles körű nyilvánosság, akár más egyének vagy szervezetek számára; és, hogy a közzéteendő adatok összekapcsolhatóak-e más adatállományokkal; az újraazonosítás megkísérlésének valószínűségét (bizonyos típusú adatok vonzóbbak a potenciális visszaélők számára, mint mások), és annak valószínűségét, hogy ha megkísérlik az újraazonosítást, az sikeres lesz, figyelemmel a javasolt névtelenítési technikák hatékonyságára26.
A névtelenítési technikákkal kapcsolatban lásd majd a 29. cikk szerinti munkacsoport e konkrét témában várható véleményét.
16
Milyen „egyéb” információ áll még rendelkezésre? Annak meghatározása során, hogy egy személy közvetetten azonosítható-e, figyelembe kell venni, hogy lehetséges-e az azonosítás a kérdéses adat felhasználásával (ami esetünkben egy „névtelenített" adatállomány), illetve ezekből az adatokból és egyéb olyan információ felhasználásával, amely az újraazonosítást megkísérlő szervezet vagy személy birtokában van, vagy esetleg/feltehetően birtokába kerülhet. Az újraazonosításhoz szükséges „egyéb információ” lehet bizonyos vállalkozások vagy más szervezetek rendelkezésére álló információ, beleértve a bűnüldöző hatóságokat vagy más közintézményeket, bizonyos magánszemélyeket, illetve az is előfordulhat, hogy például az interneten közzétett információk bárkinek a rendelkezésére állnak. Nyilvánvaló példa az az eset, ahol a nyilvánosan elérhető adatok – választói névjegyzék, telefonkönyv vagy más, internetes kereséssel egyszerűen lehívható adatok – összekapcsolhatók a (nem megfelelően) „névtelenített” adatokkal, lehetővé téve egy magánszemély azonosítását (például a születési dátuma és a postai irányítószáma segítségével). Növekedhet az újraazonosítás kockázata, ha egy magánszemély vagy ezek csoportja már eleve sokat tud egy másik magánszemélyről, például ilyen lehet egy családtag, munkatárs, egy közösségi hálózati kapcsolat, egy orvos, tanár, rendőr vagy más szakember. Itt a kérdés nem egyszerűen az, hogy az előzetes tudással rendelkező személy képes-e az érintett azonosítására, hanem az, hogy az újraazonosítás útján megszerzett információ jelent-e a számára új ismeretet. Az alábbi két példa illusztrálja e különbségtétel fontosságát. Első példa: kanyaró-statisztikák. Az egyik esetben a névtelenített statisztikai adatokból az derül ki, hogy „A” városban 2012-ben X számú ember lett kanyarós. További részletezést vagy információt nem adtak meg. Az orvos, aki hozzájárult a statisztika elkészítéséhez azzal, hogy a saját betegeiről információt szolgáltatott az illetékes egészségügyi hatóságoknak, az irodájában rendelkezik e betegekről teljesebb nyilvántartással, amelyre orvosi titoktartás vonatkozik. Az orvos könnyedén képes azonosítani számos betegét a statisztikai adatállományból. Hasonlóképpen, az az anya, aki tudja, hogy a gyermeke az adott évben elkapta a kanyarót, könnyedén képes gyermekének újraazonosítására az adatállományból. Mindazonáltal, sem az anya, sem pedig az orvos nem jutna a névtelenített adatállomány nyilvánosságra hozatalát megelőzően általa nem ismert semmiféle új információhoz. Második példa: droghasználat és alkoholfogyasztás, szexuális zaklatás és iskolai teljesítmény. A fenti példa a következővel állítható szembe. Kutatást folytatnak a szülők droghasználata és az alkoholfogyasztása, a gyermekek sérelmére elkövetett szexuális zaklatások és az iskolai teljesítmény közötti összefüggésről. „Névtelenítettnek” nevezett kutatási adatokat tesznek közzé jó szándékkal, de az újraazonosítási kockázatok gondos felmérése nélkül. A statisztika többek között azt mutatja, hogy „A” iskolában, ahová összesen 500 gyermek jár, 2012ben a tanulók 20%-a (100 diák) olyan háztartásban élt, ahol legalább az egyik szülő alkoholista vagy kábítószer-használó. Ezek közül az esetek 8%-ában (8 tanuló) a gyermek sérelmére szexuális zaklatást követtek el. A jelentés azt is tartalmazza, hogy az „A” iskolában más gyermeket nem ért szexuális zaklatás. Az adatok azt is tartalmazzák, hogy az esetek 96%-ában (96 diák) azok a gyerekek, akiknek a szülei alkoholisták vagy kábítószerfüggők, jelentős nehézségeket tapasztaltak az iskolai előmenetelükben
17
(a megfelelő tanulmányi követelmények szerinti „alulteljesítők”), azonban ebben az adott iskolában, csak a szexuálisan zaklatott gyerekek 50%-ának (4 tanuló) voltak tanulási problémái. Az iskolában közismert, hogy „AA-nak”, aki egy nagyon tehetséges és szorgalmas fiú, nehéz a családi háttere és az édesanyja alkoholista. A fiút gyakran zaklatják egyes osztálytársai. Ugyanezek az osztálytársak most megtudják az iskolai újságban megjelentetett statisztikából, hogy „AA” azon 50%-nyi, szexuális zaklatás áldozatává vált gyerek közé kell, hogy tartozzon, akik jól tanulnak („jól teljesítők”). Így ezek az osztálytársak új (és az adott esetben igen bizalmas) információhoz jutottak egy névtelenített adatállományból. Az adat-összekapcsolási technikák és a számítógépek teljesítményének fejlődésével és a potenciálisan „összekapcsolható” információk nyilvános elérhetőségének növekedésével egyre nagyobb annak kockázata, hogy információkat kapcsolnak össze személyes adatok generálása érdekében. A számítógépek teljesítménye évente megkétszereződik és az adattárolás – a felhőszolgáltatások rendelkezésre állása miatt is – egyre elterjedtebbé válik. Ezért kiszámíthatatlanná vált az adat-összekapcsolással történő újraazonosítás kockázata, mert soha sem lehet teljes bizonyossággal felmérni, hogy milyen adatok elérhetők már vagy mely adatokat hoznak nyilvánosságra a jövőben. Az összes bizonytalanság ellenére azonban az újraazonosítási kockázatokat általában, legalább is bizonyos mértékben, mérsékli az adatminimalizálás alapelvéhez való ragaszkodás, vagyis az, hogy csak az adott cél érdekében szükséges adatokat teszik közzé. A sikeres újraazonosítási kísérlet valószínűsége: a „motivált behatoló” vizsgálata A „motivált behatoló” vizsgálata egy elterjedőben lévő koncepció, amelyet még nem vizsgáltak teljes körűen. Segítséget jelenthet annak kiderítése, hogy:
van-e olyasvalaki, aki motivált lehet az újraazonosítás elvégzésére, és vajon az újraazonosítás sikeres lehet-e.
A motivált behatoló vizsgálata során alapvetően az értékelik, hogy egy „behatoló” képes lenne-e elérni az újraazonosítást, ha ennek megkísérlésére motivált lenne. A „motivált behatoló” olyan személy (egyén vagy szervezet), aki azonosítani kívánja azt a magánszemélyt, akinek a személyes adataiból a névtelenített adat készült. Ez a vizsgálat annak az értékelésére szolgál, hogy a motivált behatoló sikeres lenne-e. A megközelítés feltételezi, hogy a „motivált behatoló” kompetens, és az újraazonosítási motivációjával felérő erőforrásokhoz férhet hozzá. Bizonyos típusú adatok vonzóbbak lehetnek egy „motivált behatoló” számára, mint mások. Például egy behatoló – általában – jobban motivált lehet a személyes adatok újraazonosítására, ha ezek az adatok: 27
jelentős kereskedelmi értékkel bírnak (beleértve a feketepiacot és az Európai Unión kívüli piacot is) és így pénzügyi nyereséggel jár az adásvételük27; bűnüldözési vagy hírszerzési célokra használhatók fel;
Ezek közé tartoznak például a tranzakciós vagy más viselkedési adatok, amelyekből következtetni lehet az egyéni fogyasztói profilokra, amelyek később reklámozási célokra vagy árképzési megkülönböztetésre használhatók fel; a személyazonosság ellopását lehetővé tévő pénzügyi vagy egyéb információ; az egyének zsarolását vagy hátrányos megkülönböztetését lehetővé tévő bizalmas információ; biztosítótársaságok által felhasználható egészségügyi információk, például biztosítási fedezet megtagadása a korábban fennálló egészségi állapot alapján, a hitelképességre utaló információk, amelyek felhasználhatók a hitelkockázat értékelésére, stb.
18
hírértékű információval szolgálnak közszereplőkről; felhasználhatók politikai vagy aktivista célokra (pl. egy adott szervezet vagy személy elleni kampány részeként); rosszindulatú személyes célokra használhatók fel (pl. rosszindulatú követés, zaklatás, megfélemlítés vagy mások megalázása); kíváncsiságot kelthetnek (pl. egy helybeli személyt érdekel az, hogy kit érinthetett az az eset, amelyet egy bűnözési térkép feltüntet).
Bár hasznos lehet végiggondolni egy potenciális behatoló lehetséges motivációit, a 29. cikk szerinti munkacsoport hangsúlyozza, hogy e módszernek jelentős korlátai is vannak:
Az eljárás bizonyos fokig spekulatív. Nyilvánvaló „motivációs tényezők” – mint a fent írtak – hiányában az eljárás téves biztonságérzethez vezethet, és azt sugallhatja, hogy a viszonylag ártalmatlan személyes adatok hatékony névtelenítés nélkül is hozzáférhetővé tehetők további felhasználás céljára. A behatolók kifinomultak és innovatívak lehetnek, így „egy lépéssel előttünk járhatnak”, olyan felhasználási területeket találva az újraazonosított adatoknak, amelyek nem nyilvánvalók mások számára. A „nagy mennyiségű adatok” elemzése irányába mutató növekvő trendekkel együtt nő annak a veszélye, hogy miután egyszer már újraazonosították a látszólag ártalmatlan adatokat, más információval összekapcsolva azok végső soron súlyosabb kockázatot jelenthetnek.
6.5. Az újraazonosítás vizsgálata Bizonyos körülmények között nehéz lehet megállapítani az újraazonosítás kockázatát, különösen akkor, ha egy harmadik személy összetett statisztikai módszereket használhat a névtelenített adatok különböző elemeinek összekapcsolására. Ezért az újraazonosítási kockázat megállapítását célzó átfogó értékelés részeként helyes gyakorlatnak minősül az újraazonosítási vizsgálat alkalmazása – egyfajta „behatolási” vizsgálat – az újraazonosítási sérülékenység feltárása és kezelése érdekében. Ez abból áll, hogy megkísérlik az egyének újraazonosítását a kiadni tervezett adatállományból. Az újraazonosítási vizsgálati folyamat első lépése annak számbavétele, hogy a közintézmény milyen adatállományokat tett közzé, illetve kíván közzétenni. A következő lépés annak megállapítására irányul, hogy milyen egyéb – személyes vagy más – adatok állnak rendelkezésre és kapcsolhatók össze az adattal úgy, hogy az újraazonosítást eredményezzen. Különösen a célzott „behatolási vizsgálatok” segíthetnek a kirakósjáték-szerű azonosítás kockázatának felmérésében, vagyis abban, hogy összerakhatók-e eltérő információmorzsák annak érdekében, hogy valakiről összetettebb képet kapjunk. Természetesen az újraazonosíthatósági vizsgálat nem csodaszer, és nem vezethet hamis biztonságérzethez. Először is a vizsgálat elvégzése nehéz lehet, mert gyakran jelentős technikai szaktudást és megfelelő eszközöket igényel, illetve arra vonatkozó tudást, milyen más adatok állnak rendelkezésre. Másrészt az adatkezelőknek arra is figyelniük kell, hogy az újraazonosítás kockázata időben változhat. Például manapság egyre erőteljesebb és elérhetőbb adatelemző technikák és eszközök állnak rendelkezésre, így a más adatállományokkal való összevetés egyre könnyebbé válik, minthogy egyre több adatot generálnak. Ezért a szervezeteknek időről időre felül kell vizsgálniuk az adatok kibocsátására vonatkozó politikájukat és az adatok névtelenítésére használt technikáikat. A döntések továbbá sohasem alapulhatnak pusztán a jelenlegi fenyegetéseken – az előre látható jövőbeli fenyegetéseket is figyelembe kell venni.
19
Miután elvégezték a 6.4. szakasz szerinti értékelést az újraazonosítás kockázatáról és – szükség esetén – megtörtént az újraazonosítási vizsgálat is, a közintézmény megállapíthatja, hogy az adatállomány névtelenítettnek tekinthető-e vagy sem, más szavakkal, hogy többé már nem tartalmaz a 95/46/EK irányelv 2. cikkének a) pontja és a (26) preambulumbekezdése szerinti értelemben vett személyes adatokat. Ha ez így van, akkor az adatállomány adatvédelmi megkötések nélkül kiadható28. Másrészről, ha a vizsgálat során sikeresen újraazonosítják a személyes adatokat, akkor az adatok nem bocsáthatók (illetve a jövőben már nem bocsáthatók) rendelkezésre névtelenített adatként, hanem személyes adatnak minősülnek (és így közzétételük nem lehetséges, vagy csak a VII. szakaszban tárgyalt követelményeknek megfelelően lehetséges). 6.6. A nem biztonságos adatállományok visszahívása Amennyiben egy nyílt adatállományból bizonyítottan újraazonosítanak korábbi adatokat, az adatállományt biztosító közintézménynek képesnek kell lennie az adatforgalmazás leállítására vagy az adatállomány eltávolítására a nyílt adatokat tartalmazó honlapról. Ha eltávolítják az adatállományt a honlapról, a közintézménynek tájékoztatnia kell a további felhasználókat, és fel kell hívnia őket az adatfeldolgozás leállítására, valamint a nem biztonságos adatállományból származó valamennyi adat törlésére. Mivel a PSI irányelv által előírt nyílt engedélyezési rendszerben nehéz lenne az összes további felhasználót tájékoztatni, a közintézmények kötelesek ésszerűen hatékony lépéseket tenni e kérdés kezelésére. Bár a visszahívásra gyakran már túl későn kerül sor ahhoz, hogy a károkat elkerüljék, ez mégis szükséges lépés az érintettekre gyakorolt káros hatások mérséklésének elősegítése érdekében. VII.
Személyes adatok megnyitása további felhasználásra
7.1. Példák a közintézmények által nyilvánosan elérhetővé tett személyes adatokra Bár a közszféra információinak további felhasználására vonatkozó kezdeményezések esetén a tipikus forgatókönyv a névtelenített adatállományok rendelkezésre bocsátása, bizonyos esetekben a közintézmények személyes adatokat is hozzáférhetővé tehetnek további felhasználás céljaira. Számos nyilvánosan elérhető nyilvántartás, mint például az ingatlan-nyilvántartás vagy a cégnyilvántartás nagy mennyiségben tartalmaz személyes adatokat, és ezek az e-kormányzati kezdeményezések következtében egyre inkább online is elérhetőek. Sok más olyan példa is hozható, ahol egyes tagállamok jogalkotói megteremtették a jogalapját annak, hogy magánszemélyek személyes adatait elérhetővé tegyék az interneten, vagy a dokumentumokhoz történő hozzáférésre vonatkozó kérelem alapján. Ezen magukban foglalhatják például a következőket29: 28
29 30
egyes köztisztviselők kiadásaira, illetményére vagy összeférhetetlenségi nyilatkozataira, illetve állami támogatás (például mezőgazdasági támogatások) kedvezményezettjeire vonatkozó adatok, politikai pártok részére adományt nyújtó szervezetek és magánszemélyek nevei, magánszemélyek adóbevallása30, bírósági határozatok (ahol a felek és más személyek neveit esetleg törlik vagy kezdőbetűkkel jelölik az újraazonosíthatóság kockázatának csökkentése érdekében),
Lásd azonban a 10.3. szakaszt a „Névtelenített adatállományok engedélyezési feltételeiről" és különösen a biztosítékok alkalmazásának szükségességét annak további biztosítása érdekében, hogy az egyének ne legyenek újraazonosíthatóak. Lásd még az V. szakaszban írt példákat a PSI irányelv hatályát tárgyaló részben. Lásd például az Európai Bíróság C-73/07. sz., Tietosuojavaltuutettu kontra Satakunnan Markkinapörssi Oy en Satamedia Oy ügyben 2008. december 16-án hozott ítéletét.
20
választói névjegyzékek, bírósági tárgyalások jegyzéke (azaz egy adott napon a bíróságon tárgyalt ügyek listája).
A fenti esetek mindegyikében a közintézmény vagy a jogalkotó proaktívan megvizsgálhatja, hogy ezeket az adatokat további felhasználás céljára elérhetővé kívánja-e tenni (például a közszolgáltatások fejlesztése érdekében hozzáférést nyújtanak-e a cég- vagy az ingatlannyilvántartáshoz). A lehetséges további felhasználók fel is vehetik a kapcsolatot a közintézményekkel az adatok további felhasználásának kérelmezése érdekében. Egyes más esetekben az is előfordulhat, hogy a lehetséges további felhasználók egyszerűen átveszik a már online formában elérhető személyes adatokat, és anélkül használják fel azokat, hogy felvennék a kapcsolatot az információt közzétevő közintézménnyel. Természetesen mindhárom esetben a további felhasználók kötelesek lennének betartani az adatvédelmi jogszabályokat, mivel személyes adatokkal dolgoznak. 7.2. A hozzáférésre vonatkozó nemzeti szabályok közötti eltérések Az eltérő jogi és kulturális hagyományok következtében a bizonyos személyes adatok nyilvánosságra hozatalára vonatkozó jogi kötelezettségek nagymértékben eltérnek az egyes tagállamok között. Néhány tagállamban létezik jogalap bizonyos személyes adatok elérhetővé tételére, míg más tagállamok azonos helyzetben tiltják ugyanezen személyes adatok közzétételét. A PSI irányelv elismeri és világossá teszi, hogy a tagállamok hatályos hozzáférési szabályaira épül, és nem változtatja meg a dokumentumokhoz való hozzáférésre vonatkozó nemzeti szabályokat. 31 7.3. Az adatvédelmi hatásvizsgálat szükségessége és a megfelelő biztosítékok Minden esetben, amikor személyes adatok további felhasználásra történő elérhetővé tétele merül fel, – főszabályként – elengedhetetlen az óvatos hozzáállás. A 29. cikk szerinti munkacsoport különösen azt ajánlja, hogy alapos adatvédelmi hatásvizsgálatot kell végezni az adatállomány közzététele előtt (vagy a közzétételt előíró új jogszabály elfogadása előtt), amely a további felhasználás lehetőségeit és lehetséges hatásait is elemzi. Általában el kell kerülni a személyes adatok további felhasználásra történő megnyitását nyílt felhasználási szerződés alapján a további felhasználásra vonatkozó bármilyen technikai vagy jogi korlátozás nélkül. 7.4. Az engedélyezési rendszer fontossága A 29. cikk szerinti munkacsoport további ajánlása az, hogy szigorú engedélyezési rendszert kell bevezetni, amelyet megfelelően kell érvényesíteni annak biztosítása érdekében, hogy a személyes adatokat ne használják fel illetéktelen célokra – például kéretlen kereskedelmi üzenetek küldésére, vagy más olyan módon, amelyre az érintettek nem számítanak, illetve amelyet nem megfelelőnek vagy más módon kifogásolhatónak tartanak. 7.5. A közzétételre és a további felhasználásra vonatkozó szilárd jogalap fontossága A 29. cikk szerinti munkacsoport megerősíti annak fontosságát, hogy létre kell hozni a személyes adatok nyilvánosságra hozatalának szilárd jogalapját, figyelembe véve a vonatkozó adatvédelmi szabályokat, beleértve az arányosság, az adatminimalizálás és a célhoz kötöttség alapelvét.
31
A fentiekre figyelemmel, az 5.4. szakaszban elmondottak szerint, a nemzeti jogszabályoknak még mindig meg kell felelniük az EJEE 8. cikkének és az EU Alapjogi Chartája 7. és 8. cikkének, az ítélkezési gyakorlat vonatkozó értelmezéseinek megfelelően.
21
A 29. cikk szerinti munkacsoport azt ajánlja, hogy az adatokhoz való nyilvános hozzáférést biztosító minden jogszabályban egyértelműen határozzák meg a személyes adatok közzétételének céljait. Ha erre nem kerül sor, vagy csak homályos és általános keretek között, akkor ennek a jogbiztonság és a kiszámíthatóság látja kárát. Különösen egy további felhasználásra irányuló kérelem esetében nagyon nehéz a közintézmény és az érintett potenciális további felhasználók számára azt megállapítani, hogy mi volt a nyilvánosságra hozatal eredeti célja és ezen felül milyen további célok egyeztethetőek össze az eredeti célokkal. Amint azt már említettük, ha közzé is tesznek személyes adatokat az interneten, ebből nem lehet arra következtetni, hogy azok további feldolgozása bármely lehetséges célra megengedett. Ezekben az esetekben bármely további felhasználásra megfelelő jogalappal kell rendelkezni (pl. hozzájárulás vagy jogszabályi előírás) a 95/46/EK irányelv 7. cikkének a)–f) pontja alapján, és a felhasználásnak meg kell felelnie az összes többi adatvédelmi alapelvnek is. 7.6. Célhoz kötöttség A közszféra információinak további felhasználása esetén kihívást jelent a célhoz kötöttség alapelvének hatékony megvalósítása. Egyrészről a „nyílt adatok” és a közszféra információinak további felhasználása koncepciója mögött az az elv és az az innovatív hajtóerő rejlik, hogy az információk további felhasználását innovatív új termékek és szolgáltatások számára kell lehetővé tenni, vagyis olyan célokra, amelyeket előzetesen nem tudunk meghatározni és nem is láthatók előre. A PSI irányelv azt is megkívánja, hogy a felhasználás engedélyezése ne legyen szükségtelenül korlátozó a további felhasználásra nézve. Másrészről viszont a célhoz kötöttség olyan adatvédelmi alapelv, amely megkívánja, hogy az adott célra összegyűjtött személyes adatokat később ne használják fel más, nem összeegyeztethető célra 32. Ez az alapelv egyaránt vonatkozik a nyilvánosan elérhető személyes adatokra is. Pusztán az a tény, hogy személyes adatok egy adott célra nyilvánosan rendelkezésre állnak, nem jelenti azt, hogy ezek a személyes adatok bármely más célból történő további felhasználásra is igénybe vehetők. Például a vezető beosztású köztisztviselők kiadásaira vonatkozó adatok közzétehetők az interneten az átláthatóság érdekében, de az már nem összeegyeztethető a szabályokkal, ha lehetővé teszik ezen adatok más célra történő további felhasználását bárki által. Amint azt a 29. cikk szerinti munkacsoportnak a célhoz kötöttségről szóló 3/2013. sz. véleménye (lásd a III.2.2. szakaszt és az 1. mellékletet) részletesebben elemzi, többtényezős értékelés szükséges annak felméréséhez, hogy a személyes adatok további feldolgozása összeegyeztethető-e azokkal a célokkal, amelyekre az adatokat összegyűjtötték. Különösen a következőket kell figyelembe venni: a) az adatgyűjtés céljai és a további feldolgozás céljai közötti kapcsolat; b) a személyes adatok összegyűjtésének kontextusa és az érintettek ésszerű elvárásai az adatok további felhasználását illetően; c) a személyes adatok jellege és a további feldolgozás hatása az érintettekre; d) az adatkezelő által a tisztességes feldolgozás biztosítása és az érintettekre gyakorolt nemkívánatos hatások megelőzése érdekében alkalmazott biztosítékok.
32
Csak kivételesen – a 95/46/EK irányelv 13. cikke szerinti szigorú biztosítékok mellett – használhatók fel az adatok olyan módon, amely nem összeegyeztethető az adatgyűjtés idején meghatározott célokkal. Lásd a 29. cikk szerinti munkacsoport célhoz kötöttségről szóló 3/2013. sz. véleményének III.3. szakaszát.
22
Ezeket az alapvető tényezőket kell vizsgálni annak eldöntése során, hogy hozzanak-e nyilvánosságra bármely személyes adatot, illetve minden egyes esetben, amikor személyes adatok további felhasználására kerül sor. Néhány példa:
Egy közintézmény telefonkönyvben közzéteszi köztisztviselőinek elérhetőségi adatait, így a nevet, a beosztást, a munkahelyi címet és a munkahelyi telefonszámot. Ennek a telefonkönyvnek az egyértelmű – bár kifejezetten ki nem mondott – rendeltetése az, hogy segítse az ügyfeleket abban, hogy azonosíthassák, kivel lépjenek kapcsolatba hivatalos megkereséseik intézése során vagy más hivatalos ügyeikben. A további felhasználó viszont e telefonkönyv tartalmát úgy kívánja „hasznosítani”, hogy összekapcsolja azt az alkalmazottak otthoni címével és telefonszámával (ha az nyilvánosan elérhető, például egy előfizetői telefonkönyvben), és egy interaktív térképen elérhetővé teszi mind az otthoni, mind pedig a munkahelyi telefonszámaikat, bemutatva így, hogy a különböző köztisztviselők hol élnek és hol dolgoznak. Az adatok ilyen összekapcsolása és további felhasználása az eredeti céllal összeegyeztethetetlennek minősül. Az a köztisztviselő, akinek a munkahelyi elérhetőségét közzéteszik annak érdekében, hogy a nyilvánosság számára elérhető legyen, ésszerűen nem számíthat arra, hogy ezt az információt később összekapcsolják egyéb olyan adattal, amelyet ő a munkájával össze nem függő más célból tett nyilvánosan elérhetővé. Egyes tagállamokban a nemzeti jog szerint a tervezett házasságra vonatkozó közlemény nyilvános, és azt bárki megismerheti. Az ilyen közzététel célja az, hogy a jegyespár házassági szándékáról hírt adjon, és az érdekelt személyek esetleg kifogást jelenthessenek be. Az a tény azonban, hogy a házassági közleményben foglalt személyes adatok mindenki számára elérhetők, nem jelenti azt, hogy harmadik személyek ezt az információt felhasználhatják arra, hogy a pár részére kereskedelmi ajánlatokat küldjenek. Ez a további felhasználás összeegyeztethetetlen lenne a házassági közlemény közzétételének eredeti céljával, vagyis azzal, hogy a jogszabályoknak megfelelően kifogást lehessen bejelenteni a házassággal szemben.
7.7. Kereskedelmi és nem kereskedelmi célok A 7/2003. sz. vélemény kiemeli, hogy a közszféra információi további felhasználásának a fő ösztönzői a kereskedelmi tevékenységek, míg az információhoz való hozzáférés terén az információszabadságot biztosító jogszabályok rendeltetése az átláthatóság, a nyitottság és az állampolgárok általi elszámoltathatóság biztosítása. A 7/2003. sz. vélemény azt is hangsúlyozza, hogy „szokásosan [az állampolgárok] az információt saját, nem kereskedelmi, céljaikra használják fel”. Ezt a kijelentést azonban a közszféra információinak további felhasználásával kapcsolatban időközben szerzett tapasztalatok fényében újra kell értékelni. A nyílt adatokkal kapcsolatos kezdeményezések tapasztalatai azt mutatják, hogy a közszféra információinak további felhasználása jelentősen hozzájárulhat az átláthatóság és az elszámoltathatóság növeléséhez, és a közszolgáltatások jobb felhasználásához is vezethet. A kereskedelmi és nem kereskedelmi célú további felhasználás közötti különbségtételnek nem kell döntőnek lennie, amikor a személyes adatok további felhasználásának összeegyeztethetőségét vizsgálják. Az összeegyeztethetőség értékelésének nem elsősorban azon kell alapulnia, hogy a potenciális további felhasználó gazdasági modellje profitorientált-e vagy sem. Azt viszont gondosan elemezni kell, hogy az adatok további feldolgozásának módja és célja összeegyeztethető-e az eredeti rendeltetéssel a 7.6. szakaszban említett feltételek szerint. A közszféra információinak további felhasználása esetén ez elkerülhetetlenül azt eredményezi, hogy nem egyetlen, hanem egy sor feldolgozási forgatókönyvet kell áttekinteni.
23
7.8. Arányosság és egyéb szempontok A 95/46/EK irányelvben meghatározott másik fő alapelv az arányosság33. Számos különböző módszer és eljárás létezik a személyes adatok nyilvánosságra hozatalára. Egyesek ezek közül tolakodóbb jellegűek, mint a többi, és több kockázattal is járnak. Következésképpen bizonyos módszerek arányosnak minősülhetnek, míg mások nem. Ahogyan a cél vizsgálata esetén, itt is aggályos, hogy hogyan ellenőrizhető az adatok további feldolgozása és hogyan biztosítható az egyéb adatvédelmi jogszabályokban foglalt elveknek történő megfelelés, beleértve többek között az arányosságot is. Miután az adatokat már közzétették, különösen az interneten, nagyon nehéz hatékonyan korlátozni azok felhasználását és biztosítani az adatvédelmi jogszabályok betartását. Az adatvédelmi jogszabályok betartásának biztosításával kapcsolatos néhány kihívás:
hogyan biztosítható az elsődleges forráshoz már nem kapcsolódó adatok frissítése és azok pontossága; hogyan biztosítható, hogy a személyes adatok felhasználása a közzététel eredeti rendeltetéséhez kapcsolódó funkcionalitásokra fog korlátozódni; hogyan biztosítható az adatok időben történő törlése, ha a személyes adatok közzétételét csak korlátozott időre tervezik;34 hogyan gyakorolhatók az egyének jogai a további felhasználás céljából elérhetővé tett személyes adatok tekintetében (beleértve a kijavítás, frissítés vagy törlés kérésének jogát).
7.9. A további felhasználás jogi és/vagy technikai korlátai Egyes esetekben a jogszabályok vagy a rendszerek technikai felépítése korlátozzák bizonyos feldolgozási műveletek végrehajtását, vagy olyan biztosítékokat jelentenek, amelyek korlátozzák a nyilvános nyilvántartások használatát (pl. egy nyilvántartás teljes tartalma letöltése lehetőségének korlátozása vagy a keresések korlátozása, például egy magánszemély vezeték- vagy utóneve alapján). Ebben az esetben a további felhasználást főszabályként csak ezekkel az egyedi korlátozásokkal és feltételekkel összhangban lehetne engedélyezni. Ebben az összefüggésben azt is fontos gondosan elemezni, milyen intézkedések – beleértve mind a jogi, mind pedig a technikai intézkedéseket – alkalmazhatók annak elősegítésére, hogy eloszlassák az adatvédelmi aggályokat, beleértve a 7.8. szakaszban vázoltakat is. Különösen fontos annak vizsgálata, hogyan fognak a további felhasználók hozzáférni az adatokhoz – például egy tömeges letöltési funkció útján vagy személyre szabott interfészen, amely bizonyos feltételektől függően korlátozott hozzáférési lehetőségeket kínál. Ebben a tekintetben kulcsfontosságú az, hogy milyen további biztonsági ellenőrzéseket alkalmaznak, például „captcha35” hitelesítési rendszert az automatikus hozzáférések megelőzése és a teljes adatbázis kiaknázása kockázatának minimalizálása 33 34
35
Lásd a 95/46/EK irányelv 6. cikke (1) bekezdésének c) pontját. Lásd például az Európai Bíróság C 92/09. és C 93/09. sz., Volker und Markus Schecke GbR kontra Land Hessen egyesített ügyekben hozott ítéletének 31. pontját: „nem lehet törölni az adatokat az internetről a 259/2008 rendelet 3. cikkének (3) bekezdésében szereplő kétéves időtartam elteltével”. A CAPTCHA (betűszó, jelentése: teljesen automatizált nyilvános Turing-teszt a számítógép és az ember megkülönböztetésére) egy feladatra és válaszadásra épülő rendszer, amely képes megkülönböztetni az emberi válaszokat egy automatikus program által adottaktól. A CAPTCHA úgy különbözteti meg az embereket a számítógépektől, hogy olyan feladatot ad, amelyet a legtöbb ember könnyen teljesít, de a jelenlegi számítógépes programok számára sokkal nehezebben megválaszolható.
24
érdekében. Egyedi technikai eszközök használatával csökkenthetőek a személyes adatokkal történő visszaélések és az érintettekre gyakorolt olyan negatív hatások, amelyek lehetősége egyébként fennállna, ha a további felhasználók korlátlan és feltétlen hozzáférést kapnának a teljes adatállományhoz. Fontos megjegyezni, hogy sok esetben szükség lehet annak biztosítására, hogy a további felhasználók csak olyan technológiák használatával legyenek képesek célzott keresésekre, amelyek az adatállományok tömeges letöltésének megelőzését szolgálják, mint például a személyre szabott alkalmazásprogramozási felületek (API-k). Ez elősegítheti a felhasználás arányosságának biztosítását, és csökkenti a teljes adatbázissal való visszaélés kockázatát. Az ilyen személyre szabott interfészek annak biztosításában is segíthetnek továbbá, hogy az adatokat folyamatosan frissítsék és, hogy az adatok ne legyenek elérhetők az API-n keresztül, ha az érintett közintézmény ilyen döntést hoz. Másrészről viszont ez korlátozhatja azt is, hogy a további felhasználó milyen módokon használhatja fel az adatot. 7.10. Pontosság, frissítések és törlés Más kérdés, hogy mi történik akkor, ha a személyes adatokat csak korlátozott időre teszik közzé vagy hozzák más módon nyilvánosságra. A 95/46/EK irányelv 6. cikke (1) bekezdésének e) pontja szerint a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. A PSI irányelv (18) preambulumbekezdése arról is rendelkezik, hogy „amennyiben a hatáskörrel rendelkező közigazgatási szerv úgy dönt, hogy bizonyos dokumentumokat nem bocsát többé rendelkezésre további felhasználás céljából, vagy nem frissíti a dokumentumokat, e döntését a lehető leghamarabb, ha lehetséges, elektronikus úton, nyilvánosságra kell hoznia”. Nehéz vagy sok esetben egyenesen lehetetlen azonban megbizonyosodni arról, hogy az adatokat törölték vagy eltávolították-e, miután már egyszer közzétették és további felhasználás céljából rendelkezésre bocsátották azokat. Ebben a tekintetben bizonyos – de semmiképpen sem teljes körű – megoldást jelenthet az, ha az adatokat nem letölthető formában bocsátják rendelkezésre, hanem személyre szabott API útján, a fentiekben részletezett korlátozások és biztonsági intézkedések mellett. VIII. Kutatási adatok E tekintetben fontos különbséget tenni egyrészről a névtelenített adatok közzététele (lásd a VI. szakaszt), másrészről pedig a korlátozott hozzáférés között. A nyílt adat megközelítés egyértelműen az adatok nyilvános hozzáférhetőségén alapul. Sok kutatás során (főként kereskedelmi vagy nem kereskedelmi célú tudományos kutatás, de más kutatás esetében is) azonban az adatok közzététele egy zárt közösség részére történik, azaz véges számú kutató és intézmény fér hozzá az adatokhoz, így az adatok későbbi átadása vagy felhasználása korlátozható és ennek biztonsága garantálható. A korlátozott hozzáférés különösen a bizalmas természetű forrásanyagból származó személyes adatok (gyakran álnévvel ellátott formában36 történő) kezelése vagy jelentős újraazonosítási kockázat fennállása esetén fontos. Itt is felmerülhetnek a korlátozott körű közzététellel kapcsolatos 36
Lásd a 2007. június 20-án elfogadott 4/2007. sz. véleményt (WP 136), különösen annak 12–21. oldalát (az „álnévvel ellátott”, „kulcskóddal ellátott” és a „névtelenített” adatok tárgyalása a 18–21. oldalon). Az egy adott egyénre „vonatkozó” információ kérdése a 9–12. oldalon kerül kifejtésre. Meg kell említeni – amint megjegyeztük a 3. oldalon –, hogy a 29. cikk szerinti munkacsoport a névtelenítési technikákra vonatkozó további iránymutatáson dolgozik.
25
kockázatok, azonban ezek kisebbek és könnyebben csökkenthetők, ha az adatokat egy kialakult szabályrendszerrel dolgozó zárt közösség részére teszik elérhetővé. Akik kutatási célból használnak fel adatokat, gyakran szembesülnek azzal a problémával, hogy egyrészt olyan adatokat szeretnének, amelyeknek gazdag az információtartalma, kellően részletezettek és megfelelően használhatóak a kutatási célokra, másrészről viszont biztosítani szeretnék, hogy az egyének ne legyenek újraazonosíthatók. A spektrum egyik végén az egyén-szintű, álnévvel ellátott (például egyszerűen kulcs alapján kódolt) adatok találhatók, amelyek nagyon értékesek lehetnek a kutatók számára az egyén-szintű részletezettségük miatt, és mert a különböző forrásokból származó, álnévvel ellátott adatok viszonylag könnyen összekapcsolhatók. Ez azonban azt is jelenti, hogy nagy az újraazonosítás kockázata: a különböző adatállományok (legyenek azok álnévvel ellátottak vagy sem) ugyanazon egyénhez történő kapcsolásának lehetősége az azonosítás alapja lehet, vagy esetleg lehetővé is teheti a közvetlen azonosítást. Ezért az álnévvel ellátott adatállományok bármely közzététele vagy további felhasználásra történő rendelkezésre bocsátása előtt magasabb szintű gondosság és kiemelt figyelem szükséges. Általában minél részletesebbek, összekapcsolhatóbbak és minél inkább egyén-szintűek az adatok, annál korlátozottabbnak és ellenőrzöttebbnek kell lennie az adatokhoz történő hozzáférésnek. Minél inkább összesíttek és minél kevésbé összekapcsolhatók az adatok, annál valószínűbb, hogy jelentősebb kockázatok nélkül közzétehetők és további felhasználásra rendelkezésre bocsáthatók. Mivel ez összetett és fejlődő terület, meggondolatlanság lenne kategorikusan kizárni minden olyan adatállomány közzétételét és további felhasználását, amely nem felel meg a VI. szakaszban leírt magas „névtelenítési” küszöbnek. A fentiekre tekintettel és nem feledve azt, hogy mindig szükség van az egyes esetek elemzésére és gondos értékelésére, a 29. cikk szerinti munkacsoport főszabályként úgy véli, hogy egyén-szintű adatállományok vagy jelentős újraazonosítási kockázatot hordozó egyéb adatállományok közzététele a PSI irányelv feltételi alapján általában nem kívánatos. Fontos továbbá azt is hangsúlyozni, hogy amennyiben ilyen adatállományok közzétételére és hozzáférhetővé tételére a kockázatok és az előnyök gondos értékelését követően mégis sor kerül, a nyilvánosságra hozatalnak és a további felhasználásnak az adatvédelmi jogszabályokkal teljes összhangban kell történnie (lásd a VII. szakaszt). Erre azért van szükség, mert ezek az adatok, annak ellenére, hogy tettek bizonyos (esetenként igen komoly) lépéseket az újraazonosítás kockázatának csökkentésére, továbbra is személyes adatoknak minősülnek. IX.
Történeti levéltárak
A történeti levéltárak és múzeumok szintén rendelkeznek olyan egyedi jellemzőkkel, amelyek egyedi biztosítékokat tesznek szükségessé. Sok esetben, és olyan tényezők függvényében, mint például az adatok kora és bizalmassága, valamint az adatgyűjtés körülményei, az adatok digitalizálásánál és további felhasználás céljára az interneten történő korlátozásmentes hozzáférhetővé tételénél megfelelőbbek lehetnek más olyan lehetőségek, mint például a titoktartási kötelezettségvállalástól függő korlátozott hozzáférés engedélyezése. A levéltárak tekintetében fontos azt is hangsúlyozni, hogy bár általában az idő múlásával csökken az adatok bizalmassága, egy sok évtizedes adat nem megfelelő közzététele is súlyosan káros hatással járhat a közvetlenül érintett egyénre nézve, de akár más személyekre is, mint például a családtagjaira vagy leszármazottaira. Ez fokozottan igaz a kiemelten bizalmas adatokra. Például egy bűnügyi nyilvántartásból származó adat közzététele később is megbélyegző hatással járhat egy magánszemélyre nézve, és hátráltathatja a rehabilitációját. Továbbá az olyan információk, amelyek szerint egy már elhalálozott személy egy elnyomó rendszer titkosügynöke vagy kollaboránsa volt,
26
pedofil volt, bűncselekményeket követett el, megbélyegzéssel járó mentális betegségben vagy örökletes betegségben szenvedett, szintén negatív hatással járhatnak az elhunyt személy családjára (pl. túlélő házastársára, gyermekeire vagy más leszármazottaira) nézve. Hasonló okokból védelemben kell részesíteni az elhunytak DNS mintáit is, amelyeket esetenként megőriznek a közkórházak archívumaiban. Ezért az ilyen információkat, még ha azok elhunyt személyre vonatkoznak is, védelem illetheti meg az adatvédelmi jogszabályok és/vagy adott esetben az alapvető jogokat védő más jogszabályok alapján. A tagállamok gyakran rendelkeznek a nemzeti levéltárakhoz, a különleges érdeklődésre számot tartó közelmúltbeli történelmi időszakok levéltáraihoz (mint például az elnyomó rendszerekkel való együttműködést bizonyító archívumokhoz) és az igazságszolgáltatási ügyiratokhoz való hozzáférést szabályozó egyedi jogszabályokkal37. E jogszabályok gyakran tartalmaznak megfelelő biztonsági intézkedéseket és hozzáférési korlátozásokat, valamint egyéb biztosítékokat abból a célból, hogy kiegyensúlyozzák az érintett érdekeket, és hozzáférést biztosítsanak bizonyos személyes adatokhoz a történeti kutatás, az átláthatóság vagy az újságírói kutatómunka segítése érdekében, ugyanakkor őrködnek afelett is, hogy az adatok kiadása, ha az szükséges, olyan mértékre korlátozódjon, amely nem sérti az érintett felek magán- és családi életét és méltóságát. A „célhoz kötöttséggel” kapcsolatban meg kell jegyezni, hogy a történeti levéltárak jellemzően a történeti kutatás céljából tárolják az információkat. Ezek a célok eltérnek azoktól az eredeti céloktól, amiért az adatokat összegyűjtötték. Azokat az anyagokat, amelyek végül a levéltári gyűjteményekbe kerülnek, eredetileg valamilyen igazgatási célból gyűjtötték össze a különböző közintézmények. Jellemzően egy bizonyos idő elteltével, amikor a dokumentumra már nincs többé szükség az eredeti igazgatási célból, válogatásra kerül sor, és azok a dokumentumok, amelyek „történeti” értékkel bírónak minősülnek, átkerülnek a történeti levéltárakba. Itt az a kérdés merül fel, hogy a levéltárakban őrzött személyes adatok további felhasználásra történő rendelkezésre bocsátását milyen célokra célszerű engedélyezni. Ebben az összefüggésben fontos, hogy gondos értékelés során vessék össze a levéltári anyagok további felhasználásra történő rendelkezésre bocsátásának potenciális értékét az érintett személyek jogaira, szabadságaira és méltóságára gyakorolt potenciális hatással. Összességében megállapítható, hogy míg a személyes adatokat tartalmazó egyes tételek digitalizálása és további felhasználásra történő rendelkezésre bocsátása bizonyos helyzetekben elfogadható lehet, és egyes adatok névtelenített formában közzé is tehetők, más esetekben az ilyen adatok védelme érdekében kiemelkedően fontos a személyes adatok közzétételére és további felhasználására vonatkozó korlátozások és megfelelő biztonsági intézkedések alkalmazása. Alapos adatvédelmi hatásvizsgálatnak kell biztosítania azt, hogy levéltári gyűjteményt csak akkor lehessen további felhasználás céljából hozzáférhetővé tenni, ha kizárható az érintett egyénekre gyakorolt bármilyen negatív hatás lehetősége, vagy az ilyen kockázatok mértékét az elfogadható minimális szintre csökkentették. A levéltárak részéről pedig meg kell vizsgálni magatartási kódexek kialakításának vagy a meglévő kódexek módosításának lehetőségét a helyes gyakorlatok kifejtése érdekében.
37
További példák közé sorolhatók még az anyakönyvi nyilvántartások, amelyek egyes tagállamokban többek között tartalmazzák az elhalálozás okát, a nem módosítását, a partner nevét (amelyből következtetni lehet a szexuális orientációra), vagy azt a tényt, hogy egy személyt örökbe fogadtak. Az ezen archívumokhoz való hozzáférés szintén egyedi feltételektől függ.
27
X.
Személyes adatok további felhasználásának engedélyezése
10.1. A PSI irányelv vonatkozó rendelkezései A PSI irányelv (15) preambulumbekezdése szerint „annak biztosítása, hogy a közszféra dokumentumai további felhasználásának feltételei egyértelműek és nyilvánosan hozzáférhetőek legyenek, a közösségi szintű információs piac fejlődésének előfeltétele. Ezért a dokumentumok további felhasználásának valamennyi alkalmazandó feltételét érthetővé kell tenni a potenciális további felhasználók számára. A tagállamoknak a további felhasználás iránti kérelmek ösztönzése és megkönnyítése érdekében elő kell segíteniük, hogy ahol lehetséges, az elérhető dokumentumok tárgymutatója on line hozzáférhető legyen”. A PSI irányelv módosításának (26) preambulumbekezdése úgy rendelkezik továbbá, hogy „a közintézmény a hozzáférhetővé tett dokumentumok további felhasználásával kapcsolatban adott esetben felhasználási szerződés keretében feltételeket szabhat (…)” és, hogy „a tagállamoknak adott esetben ösztönözniük kell a számítógéppel olvasható nyílt formátumok használatát”. A 8. cikk (1) bekezdése úgy rendelkezik továbbá, hogy a „közintézmények engedélyezhetik a dokumentumok feltételekhez nem kötött, további felhasználását, vagy indokolt esetben felhasználási szerződések útján feltételeket támaszthatnak. E feltételek nem korlátozhatják szükségtelenül a további felhasználás lehetőségeit, és nem szolgálhatnak a verseny korlátozására.” 10.2. Engedélyezés és adatvédelem A felhasználási szerződés a közszférabeli információk rendszerének központi eleme. A felhasználási szerződések érintik a személyes adatok feldolgozásának módját is, és azok közé a biztosítékok közé kell, hogy tartozzanak, amelyeket a személyes adatok (vagy a személyes adatokból származó névtelenített adatok) további felhasználásra történő rendelkezésre bocsátása esetén alkalmaznak. A felhasználási szerződések nem teszik szükségtelenné az adatvédelmi jogszabályoknak történő megfelelést, de a felhasználási feltételek között felsorolt adatvédelmi kikötés segíthet az adatvédelmi jogszabályoknak való megfelelés biztosításában azáltal, hogy egy további „érvényesítési” réteget képez. Az ilyen kikötés a tudatosításban is segíthet azáltal, hogy emlékezteti a további felhasználókat az adatkezelői kötelezettségeikre. A felhasználási szerződések megkülönböztetni.
tartalma
tekintetében
két
különböző
forgatókönyvet
kell
10.3. A névtelenített adatállományok felhasználási feltételei Először is a névtelenített adatok (azaz a személyes adatokat már nem tartalmazó adatállományok) tekintetében a felhasználási feltételeknek
38
meg kell erősíteniük azt, hogy az adatállomány névtelenített;
meg kell tiltaniuk a felhasználók számára bármely egyén újraazonosítását38;
meg kell tiltaniuk, hogy a felhasználók az adatokat az érintett egyénekkel kapcsolatos bármely intézkedés vagy döntés meghozatalára használják fel; és
Kivételek korlátozott körben érvényesülhetnek, például az újraazonosítási vizsgálat jóhiszemű eseteiben. Azonban még ilyen esetekben is az adatkezelő és az érintett közintézmény tudomására kell hozni a vizsgálat eredményeit, az újraazonosított adatok pedig nem közölhetők, illetve más módon sem terjeszthetők szélesebb körben.
28
azt is tartalmazniuk kell, hogy a felhasználó köteles az engedélyezőt értesíteni arról, ha megállapítja, hogy az egyének újraazonosítása lehetséges vagy erre sor is került.
A felhasználási szerződési feltétel alternatívájaként a további felhasználó a nyílt adatportálon jól láthatóan elhelyezett figyelmeztetés útján is tájékoztatható. Azonban szorgalmazni kell a felhasználási szerződési feltétel elfogadását, mert az rendelkezik a szerződéses érvényesíthetőség hozzáadott értékével. A nem biztonságos adatállományok visszahívása Az összes internethasználó, így maguk az érintettek számára is lehetővé kell tenni, hogy figyelmeztethessék az engedélyezőt arra a tényre, ha újraazonosításra került vagy kerülhet sor. Ha az újraazonosítás megnövekedett kockázatát az engedélyező fedezi fel, erre vonatkozóan a felhasználási szerződésnek olyan eljárást kell tartalmaznia, amelynek keretében az engedélyező „visszavonhatja” a „veszélyeztetett” adatállományt. Más szavakkal, az adatvédelmi kikötésnek fel kell jogosítania az engedélyezőt arra, hogy az adatokhoz való hozzáférést felfüggessze vagy megszüntesse (például, hogy az API-t kikapcsolja, vagy törölje az állományt a platformról). Az engedélyezőnek meg kell tennie minden ésszerű erőfeszítést annak érdekében, hogy a további felhasználók számára előírja a veszélyeztetetté (újraazonosíthatóvá) vált adatállományok egészének vagy egy részének törlését. Ennek magában kell foglalnia a feltehetően az adatok további felhasználását végző csoportok vagy személyek által látogatott honlapokon, így a nyílt adatportálokon és a fórumokon, levelezőlistákon, közösségi média oldalakon elhelyezett jól látható felhívásokat. A bejelentkezés előírása lehet az adatállományok visszahívásának leghatékonyabb módja, de ez nem ösztönözhető akkor, ha új személyes adatok gyűjtését tenné szükségessé a további felhasználóktól és a közszféra információit tartalmazó honlapok és más szolgáltatások használatának visszaszorulását okozó általános hatással járna. 10.4. A személyes adatok felhasználási feltételei Amikor személyes adatokra vonatkozó felhasználói szerződést kötnek, meg kell határozni az ilyen adatok felhasználásának korlátait. Ebben az esetben az alapvető szempont annak biztosítása, hogy bármely további felhasználás arra korlátozódjon, ami „összeegyeztethető azokkal a célokkal, amelyekre tekintettel az adatokat eredetileg összegyűjtötték”39. Ennek elérése érdekében a felhasználási feltételeknek legalább azt világossá kell tenniük, milyen célból tették közzé első alkalommal az adatokat, és jelezniük kell, hogy mi minősül a személyes adatok felhasználásával összeegyeztethetőnek és mi nem. Meg kell jegyezni azonban, hogy e feltételek „nem korlátozhatják szükségtelenül a további felhasználás lehetőségeit” (a PSI irányelv módosítása 8. cikkének (1) bekezdése). Ez gyakran azt jelentheti, hogy a szabványos nyílt felhasználási szerződések általános feltételei nem megfelelőek, és bizonyos személyes adatok vonatkozásában egyedi felhasználási szerződések kialakítására vagy adaptálható sablonok használatára lehet szükség. Jelenleg egyes szabványos nyílt felhasználási engedélyek (mint például az Egyesült Királyságban használt kormányzati nyílt felhasználási engedély) kizárják a személyes adatokat – így azok egyáltalán nem tartozhatnak a felhasználási szerződések hatálya alá.
39
Lásd ismét a 29. cikk szerinti munkacsoport célhoz kötöttségről szóló 3/2013. sz. véleményét.
29
10.5. Az újraazonosítás vagy az összeegyeztethetetlen felhasználás következményeit szigorúan érvényesíteni kell Miután az adatokat felhasználási engedély – például kormányzati nyílt felhasználási engedély – alapján közzétették, nehézséget okozhat a további összeegyeztethetetlen felhasználástól vagy nyilvánosságra hozataltól való megvédésük, illetve biztonságban tartásuk. Ebben az összefüggésben nagyon fontos a további felhasználásnak az engedélyező általi nyomon követése és a kötelességszegések következményeinek érvényesítése, legyen szó akár az érintettek újraazonosításáról vagy egy nem összeegyeztethető célra történő további felhasználásról. Bár a 29. cikk szerinti munkacsoport megerősíti, hogy a közintézményeknek fontos szerepet kell betölteniük, azt is hangsúlyozza, hogy ha egy további felhasználó újraazonosítási eljárás révén személyes adatokat gyűjt, akkor igen valószínű, hogy a további felhasználó a személyes adatokat jogellenesen kezeli, így ellene az adatvédelmi hatóságok alkalmazhatnak végrehajtási intézkedést. Ez magában foglalja a javasolt adatvédelmi rendelet szerinti súlyos bírságok kiszabását is. XI.
Következtetések
Összegezve, a 29. cikk szerinti munkacsoport megerősíti, hogy a közszféra adatainak további felhasználása olyan előnyökkel járhat, amelyek nagyobb átláthatósághoz és a közszféra információinak innovatív további felhasználásához vezetnek. Az információkhoz való hozzáférhetőség ezzel járó növekedése azonban nem kockázatmentes. Az egyének magánszférája és személyes adatai védelmének biztosítása érdekében kiegyensúlyozott megközelítést kell alkalmazni, és az adatvédelmi jogszabályoknak útmutatást kell nyújtaniuk annak kiválasztási folyamán, hogy mely személyes adatok további felhasználása tehető lehetővé és melyeké nem, továbbá milyen intézkedéseket kell tenni a személyes adatok védelme érdekében. A PSI irányelv módosításában megfogalmazott „további felhasználási alapelvre” tekintet nélkül a PSI irányelv szabályai szerinti bármely kereskedelmi vagy nem kereskedelmi célú további felhasználás nem mindig helyénvaló azokban az esetekben, amikor a további felhasználásra kerülő közszférabeli információ személyes adatokat tartalmaz. Gyakran nem magukat a személyes adatokat, hanem az e személyes adatokból képzett statisztikai adatokat lehet – és kell – a további felhasználás számára elérhetővé tenni. Mindazonáltal bizonyos helyzetekben az is előfordulhat, hogy a PSI irányelv szabályai alapján személyes adatok további felhasználásra alkalmasnak minősülhetnek, szükség esetén az érintett magánszemélyek védelmét szolgáló további jogi, technikai vagy szervezeti intézkedések előírása mellett. Az ilyen esetekre a 29. cikk szerinti munkacsoport megerősíti annak fontosságát, hogy létre kell hozni a személyes adatok nyilvánosságra hozatalának szilárd jogalapját, figyelembe véve a vonatkozó adatvédelmi szabályokat, beleértve az arányosság, az adatminimalizálás és a célhoz kötöttség alapelvét. Ebben az összefüggésben fontos ismételten kiemelni, hogy egy meghatározott vagy azonosítható természetes személlyel kapcsolatos bármely információ személyes adatnak minősül, függetlenül attól, hogy nyilvánosan hozzáférhető-e vagy sem. Ezért a nyilvánosságra hozott személyes adatokhoz való hozzáférésre és azok további felhasználására a vonatkozó adatvédelmi jogszabályokat kell alkalmazni. E szempontokra tekintettel a 29. cikk szerinti munkacsoport a következőket ajánlja:
A közszféra információi nyilvánosságra hozatalának mérlegelése esetén a lehető legkorábbi alkalommal, a „beépített és alapértelmezett adatvédelem” alapelvének követésével
30
figyelembe kell venni azt a tényt, hogy egyes közszférabeli információk személyes adatokat tartalmazhatnak. Erre tekintettel az érintett közintézménynek (vagy adott esetben a jogalkotónak) adatvédelmi hatásvizsgálatot kell lefolytatnia azt megelőzően, hogy a személyes adatokat tartalmazó közszférabeli információt további felhasználás céljára hozzáférhetővé tenné (illetve mielőtt jogszabályt fogadna el a személyes adatok közzétételéről és így további potenciális felhasználásuk lehetővé tételéről); az adatvédelmi hatásvizsgálatot olyan helyzetekben is le kell folytatni, amikor személyes adatokból származó névtelenített adatállományokat tesznek hozzáférhetővé további felhasználás céljára. Az adatállományok névtelenítésekor elengedhetetlen az újraazonosítás kockázatának felmérése, és helyes gyakorlatnak minősül az újraazonosítási vizsgálat lefolytatása. Az értékelés eredménye segíthet a kockázatok minimalizálását célzó megfelelő biztosítékok azonosításában, beleértve többek között a technikai, jogi és szervezeti intézkedéseket, mint például a megfelelő felhasználási szerződési feltételeket, valamint a tömeges adatletöltést megelőző technikai eszközöket és a szükséges névtelenítési technikákat; az értékelés azt is eredményezheti, hogy döntés születik a közzététel és/vagy a további felhasználás céljára történő rendelkezésre bocsátás mellőzéséről. A közszféra információinak további felhasználására vonatkozó felhasználási szerződés feltételeinek tartalmazniuk kell egy adatvédelmi kikötést minden olyan esetben, amikor személyes adatokat dolgoznak fel, beleértve azokat a helyzeteket is, ha személyes adatokból származó névtelenített adatállományokat tesznek további felhasználás céljából elérhetővé. Amennyiben az adatvédelmi hatásvizsgálat azt állapítja meg, hogy nyílt felhasználási engedély nem elegendő az adatvédelmi kockázatok kezelésére, a közintézmények nem tehetnek hozzáférhetővé személyes adatokat a közszféra információinak további felhasználásáról szóló irányelv alapján. (A közintézmény azonban saját hatáskörben megvizsgálhatja a további felhasználás lehetőségét a PSI irányelv feltételein és hatályán kívül, és annak igazolását is előírhatja a kérelmezők számára, hogy azok megfelelően kezelik a személyes adatok védelmével kapcsolatos valamennyi kockázatot, és hogy a kérelmező az adatokat az alkalmazandó adatvédelmi jogszabályokkal összhangban fogja feldolgozni). Adott esetben a közintézmények kötelesek biztosítani a személyes adatok névtelenítését és azt, hogy a felhasználási feltételek kifejezetten tiltsák az egyének újraazonosítását és a személyes adatok olyan célokra való felhasználását, amelyek az érintettekre hatást gyakorolhatnak. Végezetül pedig a tagállamoknak meg kell vizsgálniuk továbbá annak lehetőségét, hogy tudáshálózatokat/kiválósági központokat hozzanak létre és ilyeneket támogassanak a névtelenítéssel és a nyílt adatokkal kapcsolatos helyes gyakorlatok terjesztése érdekében.
Kelt Brüsszelben, 2013. június 5-én. a munkacsoport részéről az elnök Jacob KOHNSTAMM
31