INFOKOMMUNIKÁCIÓ ÉS JOG
64. szám, 2015. december

első oldal

„Megértettük az üzenetet” – mondja az adatvédelmi hatóság vezetője a kis kelet-európai ország fővárosában. Ebéd mellett próbálom meggyőzni egy EU-projekt tanácsadójaként: itt a kedvező lehetőség: hatásköröket kaphatnak az információszabadság, a közérdekű adatok nyilvánossága területén is, végre együtt értelmezhetik a két információs jogot, még többet tehetnek a jogállamért – lobbizzunk hát együtt. „Közérdekű adatok nyilvánossága? De hiszen ez folyamatos ütközést jelentene a kormánnyal.” Kortyol egyet az italából. „Megértettük az üzenetet. Független jogvédő hatóságok? Nemrég találkoztam a német adatvédelmi biztossal. Tudod, ki az? Egy volt CDU-képviselő. Meg aztán itt van a te történeted is. Mi inkább információbiztonsággal szeretnénk foglalkozni.”

Rózsaszín szemüvegen át szemlélve az utóbbi évtized az adatvédelem új virágkorának tűnhet. A megújulást hirdetik az Európai Unió Bíróságának határozatai az adatmegőrzésről, a Safe Harbor rendszerről, az adatvédelmi hatóságok függetlenségéről, csakúgy, mint a decemberben véglegesített adatvédelmi reformcsomag. Mégis, egyre gyakrabban érzem úgy, hogy a valós helyzetet inkább a fenti beszélgetés tükrözi: fennáll annak a veszélye, hogy az adatvédelem technicizálódik – és eljelentéktelenedik. A folyamat megértéséhez érdemes röviden számba venni, hogyan változott az adatvédelmi felügyelő hatóságok működése az utóbbi években. Idézzük fel ehhez e hatóságok funkcióit, és ami még fontosabb, az e funkciók között megfigyelhető hangsúlyváltozást.

Az adatvédelmi felügyelő szervezetek első funkciójukban (ezt alapjog-védelminek nevezem) a jogi (és még szélesebb körben a társadalmi) környezetet alakítva lépnek fel a személyes adatok védelméhez és közérdekű adatok nyilvánosságához fűződő alapjog érdekében; másik funkciójukban pedig jogot alkalmaznak. Ombudsmani jogalkalmazás során az ombudsmani eljárásra emlékeztető, egyszerű eljárásban hoznak jogilag nem kötelező erejű állásfoglalásokat/ajánlásokat; hatósági jogalkalmazás keretében pedig a közigazgatási hatósági eljárásra vonatkozó szabályok szerinti formalizált eljárás nyomán kötelező erejű hatósági aktust bocsátanak ki az adatvédelemre és információszabadságra vonatkozó szabályozás érvényre juttatásának érdekében. Ami az alapjogvédelmi funkciót illeti, arra az jellemző, hogy gyakorlása során a felügyelő szervezet alkotmányjogias fogalomrendszert használ, és alkotmányjogi érvelést alkalmaz, aktivista (víziója van a kívánatos állapotról, és annak érdekében tesz), tevékenysége erősen mediatizált, és mindez ahhoz vezet, hogy a szervezet szereplőjévé válhat a politikai térnek is. A jogalkalmazási funkciók megvalósítása során a szervezet az adatvédelemre és információszabadságra vonatkozó törvényeket értelmezi, inkább pozitivista módon; működése kevéssé mediatizált: s az ebben a funkciójában eljárva a felügyelő szerv kevesebb esetben válik a politikai tér szereplőjévé. Míg az aktivista alapjogvédő hatóságok szívesen foglalkoznak alapjogi konfliktusokkal (adatvédelem és más alapjogok egyensúlya, pl. az adatmegőrzés témája, vagy az adatvédelem-adatnyilvánosság konfliktusok), addig a pozitivista jogalkalmazó hatóságok kedvenc témái politikailag semlegesek (bár sokszor nem kevésbé fontosak): az új technológiák (pl. szociális hálók) adatvédelmi kérdései, adatvédelmi szabványosítási törekvések, vagy éppen az adatbiztonság.

Nem nehéz az elmúlt évek fejlődősét úgy leírni, mint ami egyértelműen a jogalkalmazási funkció erősödését, a klasszikus jogvédő funkció gyengülését hozta az adatvédelmi felügyelő szervek működésében. Erre a magyar NAIH megalakulása talán a legjobb példa. A magyar hatóság esetében az új hangsúlyokat tükrözik a jelölés és a választás szabályainak változásai. Míg a korábbi adatvédelmi biztost a köztársasági elnök jelölte, és az országgyűlés kétharmada választotta, így legitimációja elég volt ahhoz, hogy akár a politikai térbe lépve is hatékonyan képviselhesse a rábízott jogokat, addig a NAIH elnöke kevéssé jelentős szereplő: miniszterelnöki jelölése, köztársasági elnöki kinevezése a legitimáció alacsonyabb szintjét eredményezi (amely azonban a magánszférabeli adatkezelők ellenőrzéséhez, a puszta jogalkalmazáshoz épp elegendő). Az alapjogvédelmi funkció szintén gyengült egyes hatáskörök elvonásával: a NAIH – az adatvédelmi biztossal ellentétben – nem fordulhat az Alkotmánybírósághoz. Működése során a magyar felügyelő szerv gyakorlatában uralkodóvá vált a jogpozitivizmus, az új szerepfelfogás szerint „a politika” feladata, hogy megteremtse az információs jogok és más érdekek egyensúlyát. A hatóság saját szerepét abban látja, hogy a politika által kialakított jogszabályok betartását kényszerítse ki.

Ám téves lenne azt gondolni, hogy a magyar példa egyedülálló. Az adatvédelmi felügyelő szervek vezetőinek kiválasztása a már említett Németországtól Kanadáig hasonló irányba mutat: az új kinevezettek másodvonalbeli politikusok, jelentéktelen bürokraták. Míg sok esetben (főképp Kelet-Európában) a jogállami berendezkedés gyengülése, a központi akaratot hatékonyan végrehajtó, fékek és ellensúlyok által nem korlátozott rendszer víziója áll a hatóságok ilyen átalakulása mögött, paradox módon ebbe az irányba hat az európai adatvédelmi modell sikere is. Adatvédelmi törvényeket fogadtak el immár olyan államokban is, amelyek nem tekinthetők jogállamoknak, s amelyekben egy ilyen hatóság tevékenysége szükségszerűen politikailag semleges témákra szorul (lásd pl. Oroszország vagy Macedónia példáját, amely utóbbi államban az adatvédelem állapotát jól jellemzik a közelmúlt lehallgatási botrányai, miközben az ország részletes adatbiztonsági szabályokat tudhat magáénak). Ezt a tendenciát erősíti az EU reformcsomagja is: adatvédelmi rendelet és az új irányelv szerzői inkább unalmas bürokraták voltak, mint alkotmányjogászok; az alapelvek, a fő szabályok terén a szöveg cseppet sem innovatív, ám részletesen rendezi például a data breach notification kérdését, vagy a tanúsítás ügyét. A reformcsomag kiteljesít egy paradigmát, ám nem haladja meg azt.

Abban a kis kelet-európai államban beszélgetőpartnerem már az „új adatvédelem” képviselője volt. „Adatbiztonsággal szeretnénk foglalkozni”, mondta, egy olyan állam tisztviselőjeként, ahol a jogállam ki sem alakulhatott, de az adatvédelem mégis nagy jövő előtt áll. Az, hogy maga a jogállam életképes-e Közép- és Kelet-Európában, adottak-e működéséhez a társadalmi feltételek, mára vitakérdéssé vált. Jogállam híján pedig egyre többen értik majd meg az üzenetet – és megszületik a depolitizált, technicizált, kicsit unalmas új adatvédelem.

Jóri András