A cikksorozat első részében a GDPR és a DSA egyes kapcsolódási pontjait járják körül a szerzők.

I. A GDPR és a DSA

2025 szeptemberében jelent meg az Európai Adatvédelmi Testület („EDPB”) 3/2025 sz. iránymutatása,[1] amely a Digitális Szolgáltatásokról Szóló Rendelet („DSA”)[2] és az Általános Adatvédelmi Rendelet („GDPR”)[3] közötti összefüggésekkel foglalkozik. A téma aktualitását az adja, hogy a DSA számos olyan kötelezettséget tartalmaz, amelyek teljesítése az esetek egy jelentős részében szükségszerűen személyes adatok kezelésével (is) jár. Tekintve, hogy a két jogszabály közül egyik sem áll a másikkal „lex specialis” viszonyban, szabályaik egyidejűleg és konzisztensen alkalmazandók; ebben kíván az említett EDPB iránymutatás segítséget nyújtani.

Cikkünkben a teljesség igénye nélkül az iránymutatást alapul véve vizsgálunk néhány kapcsolódási pontot a DSA és a GDPR között. Ezt követően pedig kitérünk a DMA és a GDPR egyes összefüggéseire is.

A főszabály szerint 2024. február 17. óta kötelezően alkalmazandó DSA azzal az igénnyel született, hogy a közvetítő szolgáltatások (és közvetítő szolgáltatók) szabályozása útján elősegítse a biztonságos online környezet kialakítását és fenntartását és lehetővé tegye a jogsértő online tartalmakkal szembeni hatékony fellépést, ezáltal az alapvető jogok védelmét.  Ezen cél elérése érdekében a DSA több kötelezettséget is telepít a közvetítő szolgáltatókra – különös tekintettel az online platformok üzemeltetőire – ugyanakkor leszögezi, hogy ezek a kötelezettségek függetlenek az egyébként az adatkezelőket a GDPR alapján terhelő feladatoktól.[4] A gyakorlatban tehát a közvetítő szolgáltatóknak – amelyek az általuk kezelt személyes adatok vonatkozásában esettől függően adatkezelőként, vagy adatfeldolgozóként járnak el – párhuzamosan két kötelezettségrendszert kell alkalmazniuk a teljeskörű megfelelés érdekében. A továbbiakban ugyanakkor látni fogjuk, hogy ez a két rendszer több ponton olyan szorosan összefonódik, hogy együttes értelmezésük elengedhetetlen. Ebből az is következik, hogy amennyiben egy adott közvetítő szolgáltató egyben adatkezelőnek vagy adatfeldolgozónak is minősül a GDPR alapján, úgy adatkezeléseinek jogszerűsége esetenként csak a DSA alapján fennálló kötelezettségeinek fényében lesz megítélhető: gondoljunk itt például arra, hogy ezek a kötelezettségek egyes esetekben érvényes adatkezelési jogalapot (jogi kötelezettség teljesítése) teremthetnek.

A továbbiakban néhány konkrét rendelkezésen keresztül vizsgáljuk a két jogszabály metszéspontjait.

DSA 7. cikk – önkéntes, saját kezdeményezésű vizsgálatok és jogi megfelelés

A DSA egyik alapvető szabálya – amelyet a 8. cikk rögzít – hogy a közvetítő szolgáltatókat általános monitorozási vagy aktív tényfeltárási kötelezettség az általuk továbbított vagy tárolt információkra vonatkozóan nem terheli.

Az egyszerű továbbítás és a tárhelyszolgáltatás vonatkozásában a DSA 4. és 6. cikkei pedig tovább cizellálják, hogy a közvetítő szolgáltatók mely esetekben mentesülnek a felelősség alól. Így a 4. cikk rögzíti, hogy a szolgáltató nem felelős a továbbított, vagy megtekintett információért, amennyiben nem maga kezdeményezi az adatátvitelt, választja ki az adatátvitel címzettjét és választja meg vagy módosítja a továbbított információt. A 6. cikk szerint pedig a szolgáltató abban az esetben nem felel a tárolt információért, ha nincsen tényleges tudomása jogellenes tevékenységről vagy tartalomról, vagy amint ilyenről tudomást szerez, haladéktalanul intézkedik a jogellenes tartalom eltávolításáról, vagy az ahhoz való hozzáférés megszüntetéséről.

A DSA ugyanakkor ösztönzőt is kíván biztosítani a szolgáltatók számára a tekintetben, hogy maguk is tegyenek lépéseket a jogsértő tartalmak kiszűrése érdekében, így a 7. cikke rögzíti, hogy

„a közvetítő szolgáltatóktól nem tagadható meg a … felelősség alóli mentesülés kizárólag azon az alapon, hogy jóhiszeműen és kellő gondossággal eljárva önkéntes, saját kezdeményezésű vizsgálatokat vagy egyéb, a jogellenes tartalom észlelésére, azonosítására és eltávolítására, illetve az ahhoz való hozzáférés megszüntetésére irányuló intézkedéseket hoznak…”

Az ilyen intézkedések kapcsán a gyakorlatban olyan – jellemzően automatizált, algoritmikus, akár mesterséges intelligenciát használó – tartalomszűrési megoldásokra kell gondolni, amelyek pl. azonosítják és jelzik a jogsértőnek vélt tartalmakat (így pl. egy nagy nyelvi modell segítségével egy bűncselekmény elkövetésére felhívó posztot). Az EDPB itt arra hívja fel a figyelmet, hogy mind az ilyen automatizált eszközök betanítása, mind azok működése nagy mennyiségű adat kezelésével járhat, ugyanakkor az adatkezelőnek – a közvetítő szolgáltatónak – e körben is szem előtt kell tartania az adatminimalizálás GDPR szerinti alapelvét, sőt, amennyiben lehetséges, biztosítania szükséges, hogy a műveletek egyáltalán ne járjanak személyes adatok kezelésével. Amennyiben az adatkezelés mégis elkerülhetetlen, úgy tekintettel kell lenni arra is, hogy ezen megoldások működése egyes felhasználók aktivitásának szisztematikus megfigyelését valósíthatja meg (ideértve pl. a felhasználó posztjainak, általa közzétett vizuális vagy egyéb multimédiás tartalmaknak algoritmikus alapú elemzését), amely – nem megfelelő kivitelezés esetén – a GDPR szerinti jogszerűség, tisztességes eljárás és átláthatóság, valamint pontosság elveit sértheti.

Az EDPB kifejezetten kiemeli, hogy a jogszerűség biztosítása érdekében – mint bármely más adatkezelésnél is – megfelelő jogalap szükséges a DSA 7. cikkéből fakadó műveletek végzéséhez. Tekintettel arra, hogy – általános monitorozási kötelezettség és esetleg valamely konkrét tagállami jogból fakadó vizsgálati kötelezettség hiányában – a DSA 7. cikke csak egy lehetőséget definiál a közvetítő szolgáltatók számára, az EDPB szerint a megfelelő jogalapnak jelen esetben a GDPR 6. cikk (1) bekezdés f) pontja szerinti „adatkezelő jogos érdeke” jogalap mutatkozik. Ebből következően érdekmérlegelési teszt elvégzése szükséges, amelyben az adatkezelő egyrészt vizsgálja – és optimális esetben alátámasztja – hogy egyrészt nincsen olyan módszer, amely személyes adatok kisebb mértékű kezelése, vagy akár kezelésük teljes mellőzése esetén alkalmas lenne ugyanazon cél elérésére, mint a szándékolt adatkezelés, másrészt, hogy az érintettek alapvető jogai és szabadságai nem írják felül az adatkezelő azonosított jogos érdekét.

Persze elképzelhetők olyan esetek is, amikor a közvetítő szolgáltatónak kifejezett jogi kötelezettsége áll fenn valamely konkrét jogsértő tartalom azonosítására. Ilyen eset lehet pl. amikor valamely érintett a GDPR 17. cikke szerinti törléshez való jogát gyakorolja a szolgáltatóval szemben, arra hivatkozva, hogy a szolgáltatás egyik felhasználója jogsértő módon hozott nyilvánosságra rá vonatkozó személyes adatokat a szolgáltatás keretében. Ez esetben felmerül a GDPR 6. cikk (1) bekezdés c) pontja szerinti „jogi kötelezettség teljesítése” jogalap, hiszen a közvetítő szolgáltatónak – amely egyben az adatkezelő is – kifejezett kötelezettsége áll fenn az érintetti joggyakorlás lehetővé tételére és ennek keretében indokolt esetben a szükséges lépések megtételére.

A jelen alpontban vizsgált algoritmikus alapú tartalomszűrés – amennyiben az személyes adatok felhasználását is szükségessé teszi – kimerítheti a GDPR szerinti profilalkotást és automatizált döntéshozatalt is. E körben az EDPB utal a GDPR 22. cikkére, amely alapján az automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntéshozatal főszabály szerint tilos, amennyiben az az érintettre nézve joghatással jár, vagy őt hasonlóképpen jelentős mértékben érintené. Itt két szempontra szükséges felhívni a figyelmet: egyrészt, hogy nincsen általánosan elfogadott mércéje annak, hogy az érintett vonatkozásában mit jelent a „joghatással jár, vagy őt hasonlóképpen jelentős mértékben érintené” fordulat, ez tehát előzetes és akár eseti vizsgálatot igényel az adatkezelő részéről. Másrészt, az, hogy megvalósul-e automatizált döntéshozatal, legnagyobbrészt attól függ, hogy az emberi közrehatás mértéke a folyamatban mekkora (illetve az egyáltalán van-e). Amennyiben pl. az algoritmus csak ajánlást tesz és egy emberi operátor az, aki ténylegesen döntést hoz, úgy valószínűleg nem valósul meg automatizált döntéshozatal. Amennyiben azonban az adott tartalom szűrését és törlését kizárólag az algoritmus végzi el érdemi emberi beavatkozás nélkül, úgy több mint valószínű, hogy igen. Utóbbi esetben a közvetítő szolgáltatónak vizsgálnia szükséges, hogy a GDPR 22. cikk (2) bekezdése szerinti kivételek közül érvényesen tud-e bármelyikre hivatkozni; amennyiben nem, úgy a művelet jogszerűsége aggályossá válik.

E körben az EDPB szintén utal arra, hogy a GDPR szerinti tájékoztatási kötelezettségnek ki kell terjednie az alkalmazott profilalkotás, automatizált döntéshozatal során alkalmazott logikára és annak egyéb, az érintett szempontjából releváns körülményeire is.

Végezetül az EDPB felhívja a figyelmet arra is, hogy a jelen pont szerinti tartalomszűrés kimerítheti az adatvédelmi hatásvizsgálat követelményeit is, amely újabb mérlegelési és dokumentációs kötelezettséget eredményez a közvetítő szolgáltató mint adatkezelő oldalán.

DSA 16., 17., 20. és 23. cikkei – bejelentési és cselekvési mechanizmusok, panaszkezelés, visszaélésekkel szembeni védelem

A DSA 16. cikk (1) bekezdése szerint a tárhelyszolgáltatók kötelesek olyan mechanizmusokat alkalmazni, amelyek lehetővé teszik bármely személy vagy szervezet számára vélt jogellenes tartalmak bejelentését. Ilyen bejelentés esetén a szolgáltató mérlegelni köteles, hogy egyetért-e a bejelentésben foglaltakkal és amennyiben az adott tartalom álláspontja szerint is jogsértő, úgy megfelelő lépéseket kell tennie (pl. hozzáférés korlátozása, tartalom törlése).

Ez a mechanizmus együtt járhat a bejelentő személyes adatainak, valamint adott esetben a kifogásolt tartalom szempontjából releváns harmadik felek személyes adatainak kezelésével is és – az előző pontban kifejtett esetkörrel azonosan – adatkezelői státuszt alapozhat meg a közvetítő szolgáltató oldalán. Kulcskérdés az EDPB szerint e körben az adattakarékosság kérdése, azaz, hogy egyrészt feltétlenül szükséges-e a bejelentést tevő személy azonosítása a bejelentés kivizsgálásához, másrészt, hogy a bejelentő személyének ismerete esetleg szükséges-e a megtett intézkedéssel érintettek (pl. a bejelentő szellemi tulajdonát képező tartalmat jogsértő módon közzétevő felhasználó) által.

Érdemes itt megemlíteni a DSA 16. cikk (6) bekezdése szerinti azon szabályt is, amely szerint a bejelentéseket a tárhelyszolgáltatók automatizált eszközök használatával is feldolgozhatják. E körben utalunk a GDPR szerinti automatizált döntéshozatal kapcsán az előző pontban kifejtett szempontokra.

Végül, a DSA kifejezetten az online platformot üzemeltető szolgáltatók vonatkozásában írja elő, hogy „az online platformot üzemeltető szolgáltatók az ebben a bekezdésben említett döntést követően legalább hat hónapig hozzáférést biztosítanak a szolgáltatás igénybe vevői – köztük a bejelentéssel élő magánszemélyek és szervezetek – számára egy olyan hatékony belső panaszkezelési rendszerhez, amely lehetővé teszi számukra a panaszok elektronikus úton és ingyenesen történő benyújtását az online platformot üzemeltető szolgáltató által a bejelentés kézhezvételét követően hozott döntése, vagy az online platformot üzemeltető szolgáltató azon az alapon hozott alábbi döntései ellen, hogy a szolgáltatás igénybe vevői által rendelkezésre bocsátott információ jogellenes tartalomnak minősül vagy nem egyeztethető össze a szolgáltató szerződési feltételeivel…”.

Az EDPB ennek kapcsán is kiemeli, hogy a panaszkezelés keretében az adott szolgáltató önálló adatkezelőnek minősül és emlékeztet arra is, hogy az itt tárgyalt panaszkezelési mechanizmus teljesen független az érintettek GDPR szerinti joggyakorlási lehetőségeitől.

Említést érdemel a DSA 23. cikke szerinti kötelezettség is, amelynek lényege, hogy az online platformot üzemeltető szolgáltatóknak észszerű időtartamra és előzetes figyelmeztetést követően fel kell függeszteniük a nyújtott szolgáltatást, amennyiben az azt igénybe vevő fél gyakran bocsát nyilvánvalóan jogellenes tartalmakat rendelkezésre, ezáltal visszaélésszerűen használja a platformot (gondoljunk itt pl. rendszeresen erőszakra buzdító, egy adott csoport elleni gyűlöletkeltésre alkalmas, vagy egyéb, nyilvánvalóan jogsértés elkövetésére felhívó tartalmakra.) E körben az EDPB egyrészt a GDPR szerinti tájékoztatási kötelezettség teljeskörűségére hívja fel a figyelmet – tehát az arról szóló információra, hogy az adatkezelés részeként akár a szolgáltatás felfüggesztésére is sor kerülhet – másrészt, hogy az esetleges felfüggesztés időtartama alatt is – annak passzív jellegétől függetlenül – adatkezelés valósul meg, így a GDPR szerinti érintetti jogok – pl. az adathordozhatóság joga – értelemszerűen ez idő alatt is gyakorolhatók kell, hogy maradjanak.

DSA 25. cikk – megtévesztő és manipulatív módon kialakított online interfészek

Szintén az online platformot üzemeltető szolgáltatókra vonatkozó szabály, hogy interfészeiket nem tervezhetik, alakíthatják ki vagy üzemeltethetik olyan módon, amely a felhasználókat megtéveszti, vagy manipulálja, vagy egyébként lényegesen torzítja, vagy gyengíti a szabad és tájékozott döntéshozatalra való képességüket. Ez a problémakör az adatvédelmi fejleményeket közelről követők számára már ismerős lehet az EDPB korábbi, „dark patterns” tárgyban kiadott állásfoglalásából.[5]

Fontos látni és az EDPB is kiemeli, hogy ez a szempont természetesen kiterjed a személyes adatok megadására szolgáló technikákra is. Ilyen technika lehet pl. ha egy adott termék gyors lefoglalásához az érintett email címének megadása szükséges és az interfész kialakítása kifejezetten arra irányul, hogy ezt megadja (pl. „már csak egy termék maradt, email címed megadásával foglald le azonnal!”) Eltekintve a célhoz kötöttség és adatminimalizálás okozta problémáktól, az ilyen megoldások önmagában a jogszerű adatkezelés követelménye miatt is aggályosak – ha ugyanis már az adat gyűjtése is megtévesztő, manipulatív módon történik, nehezen képzelhető el, hogy maga az adatkezelés utóbb jogszerűnek minősülne.

DSA 26. cikk – hirdetések az online platformokon

A DSA 26. cikke részletes transzparencia-kötelezettségeket határoz meg az online platformot üzemeltető azon szolgáltatók részére, amelyek interfészükön hirdetéseket jelenítenek meg. E körben előírja, hogy tájékoztatást kell nyújtani többek között arról, hogy az adott tartalom hirdetésnek minősül, kinek az érdekében került az megjelenítésre és mely paraméterek alapján került a hirdetéssel célzott felhasználó meghatározásra (magyarul: miért pont azt a hirdetést látja az adott felhasználó, amit). Ez a tájékoztatási kötelezettség tehát a GDPR 13-14. cikkeiben foglalt, kifejezetten az adatkezelésre vonatkozó tájékoztatással párhuzamos kötelezettséget teremt és a DSA 26. cikk szövegezéséből az is kiolvasható, hogy azt minden egyes hirdetés esetében a hirdetésből közvetlen hozzáférhető módon szükséges megadni, míg a GDPR szerinti tájékoztatás értelemszerűen szerepelhet egy külön adatkezelési tájékoztatóban. Ugyanakkor a két tájékoztatási kötelezettség össze is függhet, hiszen a profilalkotás során alkalmazott logikáról a GDPR alapján is szükséges tájékoztatni az érintettet. Ha tehát a megjelenített hirdetés profilalkotáson alapul – márpedig leggyakrabban azon alapul – akkor erről mind a DSA, mind a GDPR alapján tájékoztatást szükséges nyújtani.

Ugyanez a cikk szintén előírja, hogy profilalkotáson alapuló hirdetések nem jeleníthetők meg a felhasználó számára a GDPR szerinti különleges adatok (így pl. a felhasználó vallási meggyőződésére, politikai véleményére, vagy egészségi állapotára vonatkozó információk) felhasználásával. E körben érdemes visszautalni a profilalkotással és automatizált döntéshozatallal kapcsolatban fentebb már kifejtettekre, azzal, hogy a DSA objektív tiltást tartalmaz a különleges adatokon alapuló hirdetések megjelenítésére nézve. Ez a tilalom tehát független attól, hogy az alapul fekvő profilalkotás (és adott esetben automatizált döntéshozatal) a GDPR szabályaival összhangban, történik-e: még ha így is van, az annak eredményeként előálló hirdetés megjelenítése a DSA alapján akkor is tilos.

DSA 27. cikk – ajánlórendszerek

Számos online felület napjainkban már elképzelhetetlen valamilyen ajánlórendszer nélkül, amelynek lényege, hogy az üzemeltető által előzetesen meghatározott kritériumok alapján dinamikusan változó tartalmakat ajánlanak a szolgáltatást igénybe vevő felhasználónak. Ezek a kritériumok jelentős részben személyes adatokon is alapulnak (így pl. a felhasználó korábbi aktivitása az adott, vagy akár más platformon), de ez nem szükségszerű: elképzelhető olyan ajánlórendszer is, amely pl. a statisztikai alapon legnépszerűbb tartalmi elemeket ajánlja a felhasználó részére, függetlenül az adott felhasználó preferenciáitól.

Mindazonáltal a digitális gazdaság egyértelműen a személyes adat – alapú ajánlórendszerek dominanciája irányába halad (vagy, nézőponttól függően már meg is érkezett oda), amely ismét a GDPR szerinti profilalkotás problémáját veti fel. Ezért a DSA szerinti ajánlórendszerek kapcsán is szükséges rögzíteni, hogy a profilalkotás mint adatkezelés mindenképpen szükségessé tesz egy GDPR 6. cikke szerinti jogalapot, valamint – különleges adatok kezelése esetén – egy, a GDPR 9. cikke szerinti kivételre való hivatkozást is.

Ezért is bír kiemelt jelentőséggel a DSA 27. cikkének azon előírása, amely transzparencia-kötelezettségeket ír elő a szolgáltató részére és ennek részeként kötelezővé teszi azon kritériumok meghatározását, amelyek alapján az ajánlórendszer működik, ideértve e paraméterek viszonylagos fontosságának okait is. Látható tehát, hogy amennyiben az ajánlórendszer a GDPR szerinti profilalkotást is megvalósít, úgy a DSA 27. cikke szerinti kötelezettség nehezen választható el a GDPR 13-14. cikkei szerinti tájékoztatási kötelezettségtől, amelynek keretében szükséges kitérni többek között a profilalkotás során alkalmazott logikára is. A transzparencia e két vetületét tehát érdemes lehet egységesen kezelni a jogi megfelelés biztosítása során.

A cikk szerzői dr. Csenterics András LL.M ügyvéd, technológiai jogi szakjogász, és dr. Kovács Ábel Bulcsú, ügyvédjelölt – Réti, Várszegi és Társai Ügyvédi Iroda | PwC Legal. A Réti, Várszegi és Társai Ügyvédi Iroda | PwC Legal a jogászvilág.hu szakmai partnere.

A cikk a Wolters Kluwer Jogászvilág című kiadványában jelent meg, 2025. novemberében.

Lábjegyzetek:

[1] Guidelines 3/2025 on the interplay between the DSA and the GDPR, Version 1.1 adopted on 11 September 2025

[2] Az Európai Parlament és a Tanács (EU) 2022/2065 Rendelete (2022. október 19.) a digitális szolgáltatások egységes piacáról és a 2000/31/EK irányelv módosításáról (digitális szolgáltatásokról szóló rendelet)

[3] Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányely hatályon kívül helyezéséről (általános adatvédelmi rendelet)

[4] DSA 2. szakasz (4) bekezdés g) pont

[5] Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them