A cikksorozat első része a GDPR és a DSA közötti egyes kapcsolódási pontokat vizsgálta meg, jelen írás pedig a GDPR és a DMA közötti metszeteket elemzi. A cikksorozat első része itt olvasható.

II. A GDPR és a DMA

Az előző fejezetben tárgyalt, DSA-GDPR közötti összefüggéseket elemző iránymutatás mellett az Európai Bizottság („EB”) az EDPB-vel közösen októberben társadalmi egyeztetésre bocsátott egy, a Digitális Piacokról Szóló Jogszabály[1] („DMA”) és a GDPR közötti összefüggéseket elemző iránymutatástervezetet is. A piaci szereplőknek december 4-ig van lehetőségük a tervezethez javaslatokat tenni, az iránymutatás végleges elfogadására pedig 2026-ban kerül sor. A továbbiakban ezzel kapcsolatban emelünk ki néhány főbb szempontot.

A DMA személyi hatálya az abban meghatározott küszöbértékeket elérő, az Európai Bizottság által kijelölt kapuőrökre (pl. Amazon, Meta, Booking, Microsoft) terjed ki, és az alapvető platformszolgáltatások (pl. online közvetítő szolgáltatásokra, közösségi médiára, videómegosztó platformokra, keresőprogramokra, operációs rendszerekre, böngészőkre, virtuális asszisztensekre, felhőszolgáltatásokra, hirdetési szolgáltatásokra) nyújtásának feltételeire tartalmaz rendelkezéseket. Ezáltal a kapuőrökön kívül a jogszabály elengedhetetlenül fontos minden olyan gazdasági szereplőnek, amely a kapuőrök platformjain keresztül végez gazdasági tevékenységet, vagy használja fel azokat szolgáltatásai nyújtásához. A DMA a tisztességes, versengő piacot és a kapuőrök adatvezérelt működéséből eredő versenyelőnyeinek fékezését, míg a GDPR a természetes személyek személyes adatainak védelmét célozza. A két keretrendszer azonban kifejezetten egymásra épül: a kapuőröknek a DMA teljesítése közben is maradéktalanul meg kell felelniük a GDPR-nak, és vice versa. Az iránymutatás érdekességét az adja, hogy a DMA autentikus értelmezője az EB, míg a GDPR esetében az EDPB, illetőleg a tagállami adatvédelmi hatóságok, ezért a jogszabályok kikényszerítése is egy magas szinten összehangolt együttműködést kíván meg a hatékony jogérvényesítés és a kétszeres értékelés tilalmának („ne bis in idem”) elkerülése végett.

DMA 5. cikk (2) bekezdés – végfelhasználói hozzájárulás

A kapuőrökre vonatkozó egyik legfontosabb kötelezettség, hogy bizonyos célokból (online hirdetési szolgáltatások nyújtása, szolgáltatások összekapcsolása, kereszt-felhasználások, bejelentkeztetés) adatkezelési tevékenységet csak akkor végezhetnek, ha a végfelhasználó számára konkrét választási – azaz egy kevésbé személyre szabott, de azzal egyenértékű – szolgáltatást kínáltak fel és az adott művelethez a végfelhasználó a GDPR szerinti követelményeknek megfelelően hozzájárulását adta. Sőt, a hirdetési és összekapcsolási szolgáltatások esetében akkor sem teheti meg, ha a végfelhasználó közvetlenül harmadik fél szolgáltatását veszi igénybe és csak közvetetten a kapuőr szolgáltatását. A tartalmak, hirdetések személyre szabása, termékfejlesztési célok külön hozzájárulást igényelnek. A hozzájárulás megadására vonatkozó felületek mind tervezésükben, megjelenésükben és funkciójukban nem lehetnek (burkoltan sem) manipulatívak, a választási lehetőségeknek és a konkrét adatkezelési célnak felhasználóbarát módon, elkülönülten és egyértelműen kell rendelkezésre állniuk.

Fontos szabály, hogy amennyiben a végfelhasználó megadta a hozzájárulását vagy visszavonta azt, a kapuőr 1 éven belül nem ismételheti meg egynél többször a hozzájárulás iránti kérelmét lényegében ugyanarra a célra (pl. más megfogalmazással, kis változtatásokkal). A DMA ezzel tehát e körben lényegében limitálja a potenciális jogalapok körét. Nem szükséges hozzájárulás akkor, ha a szolgáltatás nem tartalmaz összekapcsolást, kereszt‑használatot vagy bejelentkeztetést, és kizárólag a közvetlen interakcióból származó adatokkal történik (pl. a leadott rendelési adatok a fizetés teljesítése céljából történő kezelése, vagy alkalmazásbolti adatok és jogosultsági token-ek összekapcsolása azért, hogy a felhasználó újra telepíthesse a megvásárolt applikációt szerződés teljesítése; csalásmegelőző jelzések beiktatása adott esetben jogi kötelezettség teljesítése jogalapon végezhető lehet). A szolgáltatóknak tehát fontos, hogy pontosan elhatárolják az egyes adatkezelési tevékenységeket és a felelősségi kereteket, valamint, hogy erősítsék saját adatkezelésükkel kapcsolatos transzparenciájukat.

DMA 6. cikk (4) bekezdés – alkalmazásboltok

A kapuőröknek lehetővé kell tenniük a harmadik féltől származó olyan applikációk és alkalmazásboltok telepítését és megfelelő használatát is, amelyeket a kapuőr operációs rendszerével kompatibilis módon kínálnak. Ezzel összefüggésben a kapuőrök kötelesek biztosítani az operációs rendszerek adatbiztonságát. A kapuőr és az alkalmazásfejlesztő adatvédelmi jogi szempontból pedig alapvetően önálló adatkezelőnek (és nem közös adatkezelőknek!) tekintendők, így az általuk végzett adatkezelések jogszerűségét ők maguk kötelesek biztosítani.

DMA 6. cikk (9) bekezdés – speciális adathordozhatósághoz való jog

Mindezeken túlmenően a DMA mintegy kiegészíti a GDPR-ban foglalt adathordozhatósághoz való jogot azzal, hogy jogi kötelezettségként rögzíti a kapuőrök számára azt, hogy a végfelhasználók által megadott, vagy az ő tevékenységük által generált adatokat – függetlenül attól, hogy azokat milyen jogalapon gyűjtötték – ingyenesen, valós időben és folyamatosan a végfelhasználók, vagy általuk meghatalmazott harmadik felek rendelkezésére bocsássák; ezzel pedig – lényegi tartalmát tekintve –  a hozzájárulás és a szerződés teljesítése jogalapokon túlmenően jogszabályi kötelezettség alapján is érvényesülni rendeli az adathordozhatósághoz való jogot. Ez gyakorlatilag minden olyan adatkört felölel, amelyet a végfelhasználó aktívan (pl. regisztráció során) adott meg, a végfelhasználó tevékenysége vagy egyedi kérése nyomán a szolgáltatás igénybevétele során generálódtak (pl. felhasználó által összeállított lejátszási lista) és amihez a felhasználói aktivitások révén a kapuőr hozzájutott. Így nem tartozik ezek közé az az adat, amelyet a kapuőr által generált következtetésekből származó adatok, amelyeket pl. az aktivitási adatokból a kapuőr hozott létre. A kapuőr nem felel a hozzáférés megadását követően történő adatkezelések jogszerűségéért, de a továbbítás biztonságát (különösen harmadik országba történő továbbítás esetében) biztosítania kell.

DMA 6. cikk (10) bekezdés – az üzleti felhasználók hozzáférési joga

A DMA az üzleti felhasználók által biztosított vagy a szolgáltatás nyújtásával összefüggően generált adatokra – ideértve az üzleti felhasználó termékeivel kapcsolatba lépő végfelhasználói személyes adatokat is, feltéve, hogy a végfelhasználó ehhez érvényes hozzájárulást adott – vonatkozóan az üzleti felhasználók számára is hozzáférési jogot intézményesít. Az adattovábbítás jogalapja ebben az esetben is jogi kötelezettség teljesítése. Az adatkörök aggregált és egyéni adatokat egyaránt magukban foglalnak, származtatott adatokat már nem. A hozzáférési jogosultság on-device adatokra is kiterjed. A végfelhasználói személyes adatokhoz történő hozzáférés biztosításához szükséges hozzájárulás megadásának – és visszavonásának – megfelelő technikai lehetőségét a kapuőrnek kell biztosítania oly módon, hogy a hozzájárulás megszerzése ne legyen az üzleti felhasználók számára nehézkesebb annál, mint ahogy az üzleti felhasználó saját szolgáltatásánál a hozzájárulás megadására módot ad.

DMA 6. cikk (11) bekezdés – anonimizált keresőmotori adatok

A kapuőr keresőmotorjának rangsorolási, lekérdezési, kattintási és megtekintési adatait – a személyes adatnak (pl. ritka keresőkifejezések, pontos időbélyegek, adott esetben URL‑ek) minősülő elemeket hatékonyan anonimizálva – is hozzáférhetővé kell tenni bármely harmadik fél keresőszolgáltató számára, tisztességes, észszerű és diszkriminációmentes feltételekkel. Ez a rendelkezés különösen fontos az e‑kereskedelmi vállalkozások, hirdetők és tartalomszolgáltatók, amelyek a keresési ökoszisztéma adataira támaszkodnak.

DMA 7. cikk – interoperabilitási kötelezettségek

A kapuőr számfüggetlen személyközi kommunikációs szolgáltatásai esetében (üzenetküldők mint például a Messenger) kérésre díjmentesen biztosítani kell szolgáltatása interoperabilitását egyéb, ilyen típusú szolgáltatást kínáló szolgáltatókéval, valamint biztosítania kell az ezt elősegítő szükséges technikai interfészeket vagy hasonló megoldásokat. Ez azt jelenti, hogy pl. egy szolgáltatónak nem kell egy teljesen új rendszert fejlesztenie és infrastruktúrát fenntartania arra, hogy egy egészségügyi időpont‑ és receptértesítési szolgáltatást kínálhasson klinikák számára, hiszen azt egy kapuőr már rendelkezésre álló rendszerén keresztül biztosítja és ahhoz csatlakozva képes a szolgáltató a szolgáltatást személyre szabni. Ez azért is előnyös, mert könnyen egyszerre különböző csatornákon – pl. SMS, e-mail és applikációs értesítéseken – keresztül tudnak a potenciális ügyfelek kommunikálni a betegekkel, így végső soron sokkal kisebb költséggel magasabb ügyfélélményt nyújthatnak. Ilyen megoldásokat banki ügyfélkommunikációban, e-kereskedelmi rendeléskövetésben vagy ügyfélszolgálati rendszerekben is lehet intézményesíteni. Összességében ezek a rendelkezések azon szolgáltatók számára teremtenek üzleti lehetőségeket, amelyek alternatív kommunikációs (pl. üzleti chat‑ és kollaborációs platformok), vállalati ügyfélkommunikációt támogató (kontakt‑center, chatbot), vagy üzenetkezelési integrációs megoldásokat kínálnak. Az előnyök mellett az adatvédelmi megfelelésre azonban az üzleti szereplőknek kiemelten figyelniük kell, ugyanis az interoperabilitás egy folyamatos adatáramlást is teremt a szolgáltatók között. Ezért mindenképpen szükséges a választott megoldáshoz kötődő jogalap megtalálása, az adatminimalizáció elvének érvényre juttatása, az információbiztonság megfelelő szintjének fenntartása, valamint adott esetben adatvédelmi hatásvizsgálatok lefolytatása.

Az elemzett iránymutatástervezet tisztázza a DMA–GDPR metszetét és behatóan elemzi a DMA rendelkezéseit az adatvédelmi keretrendszer fényében. Azon vállalkozások számára, amelyek gazdasági tevékenysége nagymértékben támaszkodik az alapvető platformszolgáltatásokra kulcsfontosságú, hogy tisztában legyenek az őket megillető jogokkal, és a felelősségi körök megoszlásával. Enélkül ugyanis nem képesek kiaknázni a DMA által nyújtott piaci lehetőségeket, és nem képesek hatékony adatvédelmi keretrendszert sem létrehozni, majd fenntartani.

A fentiekből reményeink szerint látható, hogy mind a DSA/GDPR, mind pedig a DMA/GDPR metszetek számos és összetett jogi megfelelési kérdést vetnek fel. Ezért jó stratégia lehet valamennyi érintett szolgáltató / adatkezelő részéről, ha ezeket a jogszabályokat nem mint különálló egységeket, hanem mint egymással szerves összefüggésben álló szabályozási rendszert tekintik. Egy jogi megfelelési projektben ugyanis jelentős előnyt jelenthet, ha mind az adatkezelési, mind az azokkal összefüggő egyéb garanciális szabályok eleve azonosításra kerülnek mind a vonatkozó folyamatok, mind a kapcsolódó informatikai megoldások, mind pedig a kapcsolódó dokumentáció kialakítása során.

A téma összetettségét tekintve ugyanakkor elkerülhetetlen a megfelelő – és az érintett jogterületekre mélységében is kiterjedő – szakértelem bevonása.

 

A cikk a WK Jogászvilág című online kiadványában jelent meg.

A cikk szerzői dr. Csenterics András LL.M ügyvéd, technológiai jogi szakjogász, és dr. Kovács Ábel Bulcsú, ügyvédjelölt – Réti, Várszegi és Társai Ügyvédi Iroda | PwC Legal. A Réti, Várszegi és Társai Ügyvédi Iroda | PwC Legal a jogászvilág.hu szakmai partnere.

 

Lábjegyzetek:

[1] Az Európai Parlament és a Tanács (EU) 2022/1925 Rendelete (2022. szeptember 14.) a digitális ágazat vonatkozásában a versengő és tisztességes piacokról, valamint az (EU) 2019/1937 és az (EU) 2020/1828 irányelv módosításáról (digitális piacokról szóló jogszabály)