A betűs definíciókD betűs definíciókInternet fogalmakSzoftver fogalmak

Adathordozhatóság (data portability): mit jelent a jog és hogyan működik?

Az adathordozhatóság lehetővé teszi, hogy személyes adatainkat könnyen átvihetjük egyik szolgáltatótól a másikhoz. Ez a jog segít abban, hogy nagyobb kontrollunk legyen adataink felett, és megkönnyíti az online szolgáltatások közötti váltást.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
40 Min Read
Gyors betekintő

A digitális korban az adat az új arany, és ahogy egyre több személyes információt bízunk különböző online szolgáltatókra, kulcsfontosságúvá válik, hogy ezen adatok felett megőrizzük a kontrollt. Az adathordozhatóság joga, melyet az Európai Unió Általános Adatvédelmi Rendelete (GDPR) vezetett be, pontosan ezt a célt szolgálja: lehetővé teszi az egyének számára, hogy személyes adataikat könnyedén átvihessék egyik szolgáltatótól a másikhoz, vagy akár saját maguk számára is hozzáférhetővé tegyék. Ez a jog nem csupán technikai lehetőség, hanem alapvető pillére a digitális önrendelkezésnek és a verseny fokozásának a digitális piacon.

Az adathordozhatóság koncepciója mélyen gyökerezik a felhasználói felhatalmazás és az adatgazdaság dinamikájának megértésében. A GDPR bevezetése előtt az egyének gyakran csapdába estek egy-egy szolgáltatónál, mivel adataik kivonása vagy átvitele rendkívül bonyolult, időigényes, vagy éppen lehetetlen volt. Ez a helyzet akadályozta a szabad választást és a versenyt, hiszen a felhasználók nem válthattak könnyedén, még akkor sem, ha jobb, innovatívabb vagy olcsóbb szolgáltatás állt rendelkezésükre.

A jogszabályi keret megteremtésével az EU célja az volt, hogy áthidalja ezt a szakadékot, és egy olyan mechanizmust biztosítson, amely nem csupán az adatokhoz való hozzáférést garantálja, hanem azok dinamikus mozgását is lehetővé teszi. Ezáltal az adathordozhatóság nem csupán egy technikai funkció, hanem egy stratégiai eszköz is, amely új üzleti modelleket ösztönöz, és az adatkezelőket arra kényszeríti, hogy a felhasználói élményre és az adatvédelemre helyezzék a hangsúlyt, ahelyett, hogy az adatok „bezárásával” tartsák maguknál az ügyfeleket.

Az adathordozhatóság joga a GDPR tükrében: mit mond a 20. cikk?

Az adathordozhatóság jogát az Európai Unió Általános Adatvédelmi Rendeletének (GDPR) 20. cikke rögzíti. Ez a cikk a legfontosabb jogszabályi alapja annak, hogy az érintettek a személyes adataikhoz való hozzáférésen túlmenően, azokat strukturált, széles körben használt, géppel olvasható formátumban megkapják, és joguk legyen ezeket az adatokat egy másik adatkezelőnek továbbítani anélkül, hogy az eredeti adatkezelő ezt akadályozná.

A 20. cikk (1) bekezdése konkrétan kimondja, hogy az érintettnek joga van ahhoz, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá joga van ezeket az adatokat egy másik adatkezelőnek továbbítani anélkül, hogy ezt az eredeti adatkezelő akadályozná. Fontos kiemelni, hogy ez a jog csak akkor alkalmazható, ha az adatkezelés hozzájáruláson vagy szerződésen alapul, és automatizált módon történik.

A 20. cikk (2) bekezdése tovább megy, és kimondja, hogy az érintettnek joga van ahhoz is, hogy – ha ez technikailag megvalósítható – kérje a személyes adatok közvetlen továbbítását az egyik adatkezelőtől a másikhoz. Ez a rendelkezés különösen fontos, mivel megnyitja az utat a zökkenőmentes adatátvitel előtt, minimalizálva az érintett terheit és maximalizálva az adatok hasznosíthatóságát új szolgáltatásokban.

Az adathordozhatóság nem csupán az adatok másolatát jelenti, hanem azok strukturált, géppel olvasható formában történő átadását, ami lehetővé teszi az adatok újrafelhasználását és átvitelét.

A GDPR 20. cikkének célja kettős: egyrészt felhatalmazza az egyéneket az adataik feletti nagyobb ellenőrzésre, másrészt elősegíti a versenyt a digitális piacon. Ha a felhasználók könnyedén válthatnak szolgáltatót, az arra ösztönzi a cégeket, hogy jobb, innovatívabb és adatvédelmi szempontból is megbízhatóbb szolgáltatásokat kínáljanak.

Milyen feltételek mellett gyakorolható az adathordozhatóság joga?

Az adathordozhatóság joga nem korlátlan, és nem minden adatkezelési helyzetre alkalmazható. A GDPR 20. cikke pontosan meghatározza azokat a feltételeket, amelyek fennállása esetén az érintett gyakorolhatja ezt a jogot. Ezek a feltételek kulcsfontosságúak az adatkezelők számára is, hogy felmérjék, mikor kötelesek eleget tenni egy ilyen kérésnek.

Az első és legfontosabb feltétel az adatkezelés jogalapja. Az adathordozhatóság joga kizárólag azokra a személyes adatokra vonatkozik, amelyeket az adatkezelő az érintett hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont) vagy egy szerződés teljesítése (GDPR 6. cikk (1) bekezdés b) pont) alapján kezel. Ez azt jelenti, hogy például egy jogi kötelezettség (pl. adózási adatok) vagy közérdek (pl. közegészségügyi adatok) alapján kezelt adatokra nem terjed ki ez a jog.

A második kritikus feltétel az adatkezelés módja: az adatoknak automatizált módon kell feldolgozásra kerülniük. Ez magában foglalja a felhőalapú szolgáltatásokat, online platformokat, mobilapplikációkat és minden olyan rendszert, ahol az adatok digitálisan, emberi beavatkozás nélkül kerülnek kezelésre. A papír alapú nyilvántartásokban tárolt adatokra tehát nem vonatkozik az adathordozhatóság joga.

Harmadik feltételként az adatok forrása is releváns. A jog csak azokra a személyes adatokra vonatkozik, amelyeket az érintett saját maga bocsátott az adatkezelő rendelkezésére. Ide tartoznak a regisztrációs adatok (név, cím, e-mail), profiladatok, üzenetek, feltöltött tartalmak, de ide sorolhatók azok az adatok is, amelyeket az érintett a szolgáltatás használata során generál (pl. keresési előzmények, böngészési szokások, helyadatok), amennyiben azok közvetlenül az érintett tevékenységéből származnak.

Fontos megérteni, hogy az adathordozhatóság joga nem terjed ki az úgynevezett levezetett adatokra vagy következtetett adatokra. Ezek olyan információk, amelyeket az adatkezelő az érintett által szolgáltatott adatok elemzése vagy feldolgozása alapján generál (pl. hitelképességi pontszámok, személyre szabott ajánlatok, profilozás eredményei). Ezek az adatok az adatkezelő szellemi tulajdonát képezhetik, és nem tartoznak az adathordozhatóság hatálya alá.

Milyen adatok tartoznak az adathordozhatóság hatálya alá?

Az adathordozhatóság joga nem terjed ki az összes adatkezelő által tárolt információra. A GDPR pontosan meghatározza, hogy milyen típusú adatok tartoznak a jog hatálya alá, ami kulcsfontosságú az érintettek és az adatkezelők számára egyaránt a jog gyakorlásának és teljesítésének megértéséhez.

Két fő kategóriát különböztethetünk meg:

  1. Az érintett által szolgáltatott adatok: Ezek azok az adatok, amelyeket az érintett aktívan és tudatosan bocsátott az adatkezelő rendelkezésére.

    • Regisztrációs és profiladatok: Név, cím, e-mail cím, telefonszám, születési dátum, nem, felhasználónév, jelszó (titkosított formában).
    • Feltöltött tartalmak: Fotók, videók, dokumentumok, üzenetek, blogbejegyzések, kommentek, hozzászólások.
    • Beviteli adatok: Keresési lekérdezések, űrlapokba beírt információk, vásárlási listák, kedvencek.
    • Kommunikációs adatok: E-mailek, chat üzenetek, SMS-ek (ha a szolgáltatás része).
  2. Az érintett tevékenységével összefüggésben gyűjtött adatok („megfigyelt adatok”): Ezek olyan adatok, amelyeket a szolgáltatás használata során generál az érintett, és amelyek közvetlenül az ő viselkedéséből vagy a szolgáltatással való interakciójából származnak.

    • Használati adatok: Böngészési előzmények, látogatott oldalak, kattintások, videómegtekintések, alkalmazáshasználati metrikák.
    • Helyadatok: GPS-koordináták, ha a felhasználó hozzájárult a helymeghatározáshoz.
    • Tranzakciós adatok: Vásárlási előzmények, pénzátutalások, számlainformációk (pl. banki szolgáltatások esetén).
    • Műszaki adatok: IP-címek, eszközazonosítók, ha ezek az érintettel összekapcsolhatók és az adatkezelés jogalapja hozzájárulás vagy szerződés.

Azonban vannak olyan adatok, amelyekre nem terjed ki az adathordozhatóság joga:

  • Levezetett vagy következtetett adatok: Ahogy korábban említettük, ezek olyan adatok, amelyeket az adatkezelő az érintett által szolgáltatott adatokból von le vagy következtet ki (pl. hitelképességi profil, személyre szabott ajánlásokhoz használt algoritmusok eredményei, érdeklődési kör profilok). Ezek az adatok az adatkezelő saját szellemi tulajdonát képezhetik, és nem az érintett „bocsátotta rendelkezésre”.
  • Harmadik felek adatai: Ha az adathordozhatósági kérelem olyan adatokat is tartalmazna, amelyek más személyek személyes adatait is érintik, az adatkezelőnek mérlegelnie kell a többi érintett jogait és szabadságait. Ilyen esetekben előfordulhat, hogy az adatokat anonimizálni kell, vagy csak az érintettre vonatkozó rész adható ki.
  • Közérdekű vagy jogi kötelezettségen alapuló adatok: Azok az adatok, amelyeket az adatkezelő jogi kötelezettség (pl. adóügyi adatok) vagy közérdek (pl. bűnüldözés) alapján kezel, nem tartoznak az adathordozhatóság hatálya alá.

Az adatkezelőknek tehát pontosan kell ismerniük az adatgyűjtési folyamataikat és az adatok típusait, hogy megfelelően tudjanak reagálni az adathordozhatósági kérelmekre.

Az adatok formátuma: strukturált, széles körben használt, géppel olvasható

A strukturált adatgépek számára könnyen feldolgozható formátumban tárolódik.
A strukturált adatok géppel könnyen feldolgozhatók, ezért az adathordozhatóság alapját képezik a digitális korban.

Az adathordozhatóság jogának lényeges eleme, hogy az adatoknak nem csupán hozzáférhetőnek kell lenniük, hanem egy bizonyos formátumban kell azokat átadni, amely lehetővé teszi azok gyakorlati felhasználását és átvitelét. A GDPR 20. cikk (1) bekezdése három kulcsfontosságú kritériumot határoz meg a formátumra vonatkozóan: az adatoknak strukturáltnak, széles körben használtnak és géppel olvashatónak kell lenniük.

  1. Strukturált formátum: Ez azt jelenti, hogy az adatokat rendezett, logikus és konzisztens módon kell megjeleníteni. Nem elegendő egy egyszerű szöveges dokumentum, amelyben az adatok ömlesztve szerepelnek. Az adatoknak olyan módon kell elrendeződniük, hogy azok könnyen értelmezhetők legyenek mind ember, mind gép számára. Például egy adatbázis táblázatos szerkezete vagy egy XML/JSON fájl hierarchikus felépítése felel meg ennek a követelménynek. A struktúra biztosítja, hogy az adatok közötti összefüggések is megmaradjanak, és ne vesszenek el az átvitel során.
  2. Széles körben használt formátum: Ez a kritérium arra vonatkozik, hogy az alkalmazott fájlformátumnak vagy adatátviteli szabványnak olyannak kell lennie, amelyet számos szoftver és rendszer képes kezelni. Ennek célja, hogy az érintettnek ne kelljen speciális, drága vagy nehezen hozzáférhető szoftvereket vásárolnia az adatok megnyitásához vagy feldolgozásához. Példák ilyen formátumokra:

    • CSV (Comma Separated Values): Egyszerű, táblázatos adatokhoz ideális.
    • JSON (JavaScript Object Notation): Strukturált, hierarchikus adatokhoz, webes alkalmazásokban gyakori.
    • XML (Extensible Markup Language): Szintén strukturált adatokhoz, régebbi rendszerekben elterjedt.
    • PDF/A (Portable Document Format for Archiving): Bár elsősorban dokumentumformátum, bizonyos esetekben, ha az adatok strukturáltan exportálhatók bele, szóba jöhet, de a gépi olvashatóság szempontjából a JSON/XML/CSV előnyösebb.

    A lényeg, hogy az érintettnek képesnek kell lennie az adatok importálására egy másik szolgáltatásba vagy saját adatbázisába, minimális konverziós erőfeszítéssel.

  3. Géppel olvasható formátum: Ez a legkritikusabb szempont, mivel ez teszi lehetővé az adatok automatizált feldolgozását és átvitelét. A géppel olvasható formátum azt jelenti, hogy egy számítógépes program képes az adatokat értelmezni, elemezni és feldolgozni emberi beavatkozás nélkül. Például egy egyszerű képfájl (JPEG) nem géppel olvasható abban az értelemben, hogy a benne lévő szöveget vagy számokat közvetlenül nehéz kinyerni. Ezzel szemben egy CSV vagy JSON fájl tartalma könnyedén beolvasható és feldolgozható szoftverek által.

Az adatkezelőknek tehát nem elegendő egyszerűen egy PDF-et küldeni, amely tartalmazza az érintett adatait, ha az nem szerkeszthető vagy géppel nem értelmezhető formában van. A jog célja az adatok tényleges hordozhatóságának és újrafelhasználhatóságának biztosítása, ami csak a megfelelő formátumválasztással érhető el.

Az Európai Adatvédelmi Testület (EDPB) iránymutatásai szerint az adatkezelőknek törekedniük kell arra, hogy lehetőleg több formátumot is felajánljanak, vagy olyan formátumot válasszanak, amely a leginkább megfelel a fenti követelményeknek és az adatok természetének. A technikai megvalósíthatóság is fontos szempont: az adatkezelőnek képesnek kell lennie az adatok ilyen formában történő előállítására.

Adathordozhatóság vs. hozzáférés joga: mi a különbség?

Az adathordozhatóság és a hozzáférés joga gyakran összekeveredik, de fontos különbséget tenni közöttük. Mindkettő az érintettek jogait erősíti a személyes adataik felett, ám más-más célt szolgálnak és eltérő jogi kötelezettségeket rónak az adatkezelőkre.

A hozzáférés joga (GDPR 15. cikk) lehetővé teszi az érintettek számára, hogy megerősítést kapjanak arról, hogy személyes adataikat kezelik-e, és ha igen, hozzáférjenek ezekhez az adatokhoz, valamint számos kapcsolódó információhoz (pl. az adatkezelés céljai, az adatok kategóriái, az adattovábbítás címzettjei, az adatok tárolásának időtartama). A hozzáférés joga elsősorban az átláthatóságot és az elszámoltathatóságot szolgálja, lehetővé téve az érintettek számára, hogy tisztában legyenek azzal, milyen adataikat kezelik, és milyen célból. Az adatok formátuma itt kevésbé szigorú, gyakran egy olvasható dokumentum (pl. PDF) is elegendő lehet, amennyiben az érintett számára érthető és átlátható.

Ezzel szemben az adathordozhatóság joga (GDPR 20. cikk) túlmutat a puszta hozzáférésen. Célja nem csupán az, hogy az érintett megismerje az adatait, hanem hogy képes legyen azokat átvinni egy másik szolgáltatóhoz vagy saját maga számára újrafelhasználni. Ehhez elengedhetetlen, hogy az adatok strukturált, széles körben használt és géppel olvasható formátumban kerüljenek átadásra. Az adathordozhatóság tehát az adatok dinamikus mozgathatóságát biztosítja, ami a hozzáférés jogának egyfajta „fejlettebb” formája, speciális célra szabva.

Az alábbi táblázat összefoglalja a főbb különbségeket:

Jellemző Hozzáférési jog (GDPR 15. cikk) Adathordozhatóság joga (GDPR 20. cikk)
Cél Átláthatóság, elszámoltathatóság, tudatosság. Adatok átvitele, újrafelhasználás, szolgáltatóváltás megkönnyítése.
Adatok köre Minden kezelt személyes adat. Az érintett által szolgáltatott, vagy a szolgáltatás használatával generált adatok (levezetett adatok kivételével).
Jogalap Bármilyen jogalapon kezelt adatra vonatkozik. Csak hozzájáruláson vagy szerződésen alapuló adatkezelésre.
Adatkezelés módja Bármilyen adatkezelésre (manuális és automatizált egyaránt). Csak automatizált adatkezelésre.
Formátum Érthető, hozzáférhető forma (pl. PDF, e-mail). Strukturált, széles körben használt, géppel olvasható formátum (pl. JSON, CSV).
Továbbítás Az érintett kapja meg az adatokat. Az érintett kérésére közvetlenül egy másik adatkezelőnek is továbbítható.

Látható, hogy az adathordozhatóság egy specifikusabb jog, amely szigorúbb feltételekhez kötött, de cserébe nagyobb funkcionalitást biztosít az érintettek számára az adataik feletti kontroll gyakorlásában.

Hogyan történik az adathordozhatósági kérelem benyújtása és kezelése?

Az adathordozhatósági jog gyakorlása egy konkrét kérelem benyújtásával kezdődik az adatkezelőhöz. Az adatkezelőnek szigorú szabályokat kell követnie a kérelem kezelése és teljesítése során, hogy megfeleljen a GDPR előírásainak.

Az érintett teendői:

  1. Kérelem benyújtása: Az érintettnek egyértelműen és írásban (e-mailben vagy a szolgáltatás felületén keresztül) kell jeleznie az adatkezelő felé, hogy élni kíván az adathordozhatóság jogával. Ajánlott megjelölni, hogy mely adatokra vonatkozik a kérés, és milyen formátumban szeretné azokat megkapni, ha az adatkezelő többféle lehetőséget is kínál.
  2. Azonosítás: Az adatkezelőnek joga van az érintett azonosítását kérni, hogy megbizonyosodjon arról, hogy valóban a jogosult személy nyújtotta be a kérelmet. Ez történhet például bejelentkezésen keresztül, személyazonosságot igazoló dokumentum bekérésével (ha szükséges és arányos), vagy más, azonosításra alkalmas módon.
  3. Közvetlen továbbítás kérése: Ha az érintett azt szeretné, hogy az adatok közvetlenül egy másik adatkezelőhöz kerüljenek továbbításra, ezt is egyértelműen jeleznie kell a kérelemben, megadva a cél adatkezelő pontos adatait (pl. email cím, cégnév, kapcsolattartó). Fontos, hogy ez a lehetőség csak akkor él, ha technikailag megvalósítható.

Az adatkezelő kötelezettségei:

  1. A kérelem fogadása és visszaigazolása: Az adatkezelőnek haladéktalanul, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatnia kell az érintettet a kérelem nyomán hozott intézkedésekről. Ez a határidő kivételes esetekben, az adatkezelés bonyolultságára és a kérelmek számára tekintettel további két hónappal meghosszabbítható, de erről tájékoztatni kell az érintettet.
  2. A jogalap és feltételek ellenőrzése: Az adatkezelőnek meg kell vizsgálnia, hogy a kérelem megfelel-e a GDPR 20. cikkében foglalt feltételeknek (hozzájáruláson vagy szerződésen alapuló, automatizált adatkezelés, érintett által szolgáltatott adatok).
  3. Adatok előkészítése és átadása: Ha a feltételek teljesülnek, az adatkezelőnek elő kell állítania az adatokat a megfelelő formátumban (strukturált, széles körben használt, géppel olvasható). Az adatok átadása történhet közvetlenül az érintettnek (pl. letölthető fájlként a felhasználói fiókon keresztül, e-mailben), vagy az érintett kérésére közvetlenül a megjelölt másik adatkezelőnek.
  4. Költségmentesség: Az adathordozhatósági jog gyakorlása az érintett számára díjmentes. Csak abban az esetben számolható fel ésszerű díj, ha a kérelem egyértelműen megalapozatlan vagy túlzott (különösen ismétlődő jellege miatt), vagy ha az érintett további másolatokat kér.
  5. Tájékoztatás elutasítás esetén: Amennyiben az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

Az adatkezelőknek proaktívan fel kell készülniük az adathordozhatósági kérelmekre, megfelelő technikai és szervezeti intézkedéseket bevezetve. Ez magában foglalja az adatok könnyű exportálhatóságának biztosítását, az azonosítási folyamatok kialakítását és a belső eljárásrendek kidolgozását.

Technikai és biztonsági kihívások az adathordozhatóság megvalósításában

Bár az adathordozhatóság joga elméletben egyértelműnek tűnik, a gyakorlati megvalósítása számos technikai és biztonsági kihívást rejt magában az adatkezelők számára. Ezeknek a kihívásoknak a kezelése kulcsfontosságú a jogszabályi megfelelés és az adatok biztonságának fenntartása érdekében.

Technikai kihívások:

  • Adatmodell-kompatibilitás: Különböző szolgáltatók eltérő adatmodelleket és adatbázis-struktúrákat használnak. Az adatok exportálása egy szabványos, géppel olvasható formátumba (pl. JSON) nem mindig garantálja, hogy a cél-szolgáltató gond nélkül importálni tudja és értelmezni is tudja azokat. A mezőnevek, adattípusok és az adatok közötti kapcsolatok eltérhetnek, ami manuális beavatkozást vagy komplex konverziós szoftvereket tehet szükségessé.
  • Adatok teljessége és integritása: Biztosítani kell, hogy az exportált adatok teljesek legyenek, és az átvitel során ne sérüljön az integritásuk. Különösen összetett adatstruktúrák, például relációs adatbázisok vagy grafikonadatok esetében kihívást jelenthet az összes releváns adat és azok összefüggéseinek pontos exportálása.
  • Közvetlen átvitel megvalósítása: A GDPR lehetővé teszi az adatok közvetlen továbbítását egyik adatkezelőtől a másikhoz, amennyiben ez technikailag megvalósítható. Ez azonban API-k (alkalmazásprogramozási felületek) vagy más szabványosított adatátviteli protokollok meglétét feltételezi a szolgáltatók között, amelyek nem mindig állnak rendelkezésre, különösen a kisebb szereplők esetében.
  • Nagy adatmennyiségek kezelése: Egyes érintettek rendkívül nagy mennyiségű adatot generálhatnak (pl. közösségi média platformokon). Ezeknek az adatoknak az exportálása és átadása jelentős szerverkapacitást, sávszélességet és feldolgozási időt igényelhet.
  • Időben történő válaszadás: Az egy hónapos határidő betartása komplex rendszerek és nagy adatmennyiségek esetén komoly technikai optimalizálást igényel.

Biztonsági kihívások:

  • Azonosítás és hitelesítés: Az adatkezelőnek meg kell győződnie arról, hogy valóban az érintett kéri az adatok átadását. Egy nem megfelelő azonosítási folyamat súlyos adatvédelmi incidenshez vezethet, ha az adatok illetéktelen kezekbe kerülnek.
  • Adatok biztonságos átvitele: Akár az érintettnek, akár egy másik adatkezelőnek történik az átadás, az adatoknak titkosított csatornákon keresztül kell utazniuk, hogy megakadályozzák az adatszivárgást vagy az illetéktelen hozzáférést. Erős titkosítási protokollok (pl. TLS/SSL) alkalmazása elengedhetetlen.
  • Adatminimizálás: Csak azok az adatok adhatók át, amelyekre az adathordozhatóság joga vonatkozik. Különös figyelmet kell fordítani arra, hogy ne kerüljenek át olyan információk, amelyek más érintettek személyes adatait tartalmazzák, vagy amelyek levezetett adatoknak minősülnek. Amennyiben harmadik felek adatai is szerepelnek, azokat anonimizálni vagy pszeudonimizálni kell, illetve ki kell hagyni az exportból.
  • A cél-adatkezelő megbízhatósága: Ha az adatok közvetlenül egy másik adatkezelőhöz kerülnek továbbításra, az eredeti adatkezelőnek nem kell ellenőriznie a cél-adatkezelő adatvédelmi gyakorlatát. Azonban az érintettnek tájékozott döntést kell hoznia, és az adatkezelőnek fel kell hívnia a figyelmet a felelősség átszállására.
  • Eseti sebezhetőségek: Az adatátviteli felületek, API-k potenciális támadási felületet jelenthetnek. Ezeket a rendszereket rendszeresen auditálni és tesztelni kell a biztonsági rések felderítése és javítása érdekében.

Az adatkezelőknek tehát nem csupán jogi, hanem jelentős technikai és biztonsági beruházásokat is kell tenniük az adathordozhatóság jogának megfelelő és biztonságos megvalósítása érdekében. Ennek elmulasztása súlyos bírságokat és reputációs károkat okozhat.

Az adathordozhatóság előnyei: érintettek, verseny és innováció

Az adathordozhatóság növeli a versenyt és az innovációt.
Az adathordozhatóság elősegíti a versenyt és az innovációt, mivel az érintettek könnyen válthatnak szolgáltatót.

Az adathordozhatóság joga nem csupán egy technikai vívmány, hanem egy olyan stratégiai eszköz, amely jelentős előnyökkel jár az érintettek, a piaci verseny és az innováció szempontjából egyaránt. Célja, hogy egy dinamikusabb, felhasználóbarátabb és igazságosabb digitális ökoszisztémát hozzon létre.

Előnyök az érintettek számára:

  • Fokozott kontroll az adatok felett: Az érintettek valóban birtokolhatják és irányíthatják a saját adataikat. Nem csupán passzív felhasználók, hanem aktív résztvevői az adatgazdaságnak, képesek befolyásolni, hogyan használják fel az adataikat. Ez növeli a digitális önrendelkezést.
  • Könnyebb szolgáltatóváltás: Az adathordozhatóság jelentősen csökkenti az úgynevezett „vendor lock-in” hatást, azaz azt a helyzetet, amikor egy felhasználó nehezen vagy egyáltalán nem tud váltani egy szolgáltatótól, mert adatai „csapdába” estek. Az adatok könnyebb átvitele lehetővé teszi, hogy az érintettek válasszák a számukra legmegfelelőbb, leginnovatívabb vagy legkedvezőbb árú szolgáltatást.
  • Jobb szolgáltatásokhoz való hozzáférés: Az adatok átvitele révén az érintettek új, fejlettebb vagy testreszabottabb szolgáltatásokat vehetnek igénybe, amelyek jobban megfelelnek az igényeiknek. Például egy új pénzügyi applikáció jobban tudja elemezni a pénzügyeiket, ha hozzáfér a korábbi banki tranzakcióikhoz.
  • Adatok újrafelhasználása személyes célokra: Az érintettek letölthetik és saját maguk elemezhetik, archiválhatják vagy akár új, személyes projektekhez is felhasználhatják az adataikat. Például egy fitnesz alkalmazásból exportált adatokkal saját statisztikákat készíthetnek vagy összehasonlíthatják teljesítményüket.

Előnyök a verseny és innováció szempontjából:

  • Fokozott piaci verseny: Ha a felhasználók könnyedén válthatnak szolgáltatót, az arra ösztönzi a cégeket, hogy ne csak az ügyfél megszerzésére, hanem annak megtartására is fókuszáljanak, jobb minőségű, innovatívabb és adatvédelmi szempontból is megbízhatóbb szolgáltatásokat kínálva. Ez egészségesebb versenyhelyzetet teremt.
  • Innováció ösztönzése: Az adatok könnyebb mozgathatósága új üzleti modelleket és innovatív szolgáltatásokat inspirálhat. Az újonnan belépő piaci szereplők (startupok) könnyebben tudnak ügyfeleket szerezni, ha nem a nulláról kell felépíteniük az adatbázisukat, hanem a felhasználók hozhatják magukkal az adataikat. Ez elősegíti a diszruptív technológiák és szolgáltatások megjelenését.
  • Az adatkezelési gyakorlatok javítása: Az adathordozhatóság követelménye arra kényszeríti az adatkezelőket, hogy tisztább, strukturáltabb és átláthatóbb adatkezelési gyakorlatokat alakítsanak ki. A belső adatmodellek rendszerezése és a géppel olvasható formátumok előkészítése hosszú távon javítja az adatminőséget és az adatkezelés hatékonyságát.
  • Standardizáció elősegítése: Az adathordozhatóság megköveteli a formátumok és protokollok bizonyos fokú standardizálását, ami hosszú távon elősegítheti az interoperabilitást a különböző szolgáltatások között. Ez a standardizáció nem csak az érintetteknek, hanem az egész iparágnak hasznos lehet.

Az adathordozhatóság tehát nem csupán egy jog, hanem egy katalizátor, amely elősegíti a digitális gazdaság fejlődését, miközben az egyének érdekeit is védi.

Korlátok és kivételek az adathordozhatóság jogának gyakorlásában

Bár az adathordozhatóság joga jelentős mértékben erősíti az érintettek jogait, fontos megérteni, hogy ennek is vannak korlátai és kivételei. A GDPR nem biztosít abszolút jogot az adatok korlátlan átvitelére minden esetben. Ezek a korlátok az adatkezelők jogos érdekeit, más érintettek jogait és a technikai megvalósíthatóságot veszik figyelembe.

Főbb korlátok és kivételek:

  1. Nem terjed ki a közérdekű vagy hivatalos hatáskörben végzett adatkezelésre: Ahogy korábban említettük, az adathordozhatóság joga nem alkalmazható azokra az adatkezelésekre, amelyek közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében szükségesek (GDPR 6. cikk (1) bekezdés e) pont), illetve az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükségesek (GDPR 6. cikk (1) bekezdés c) pont). Ez azt jelenti, hogy például az adóhatóság által kezelt adatokra vagy a rendőrségi nyilvántartásokra nem vonatkozik ez a jog.
  2. Más személyek jogai és szabadságai: Az adatok hordozhatóságának joga nem sértheti más személyek jogait és szabadságait. Ha az érintett által kért adatok harmadik felek személyes adatait is tartalmazzák, az adatkezelőnek mérlegelnie kell, hogy az adatok kiadása sérti-e mások magánszféráját. Ilyen esetekben az adatkezelőnek anonimizálnia kell az adatokat, vagy csak az érintettre vonatkozó részeket kell kiadnia. Például egy közösségi média platformon folytatott beszélgetés átvitele során a másik fél neve és üzenetei nem feltétlenül tartoznak az adathordozhatóság hatálya alá az érintett szempontjából.
  3. Levezetett és következtetett adatok: A jog nem terjed ki azokra az adatokra, amelyeket az adatkezelő az érintett által szolgáltatott adatokból von le vagy következtet ki (pl. profilozás eredményei, hitelképességi pontszámok, ajánlórendszerek által generált információk). Ezek az adatok az adatkezelő szellemi tulajdonát képezhetik, és nem az érintett „bocsátotta rendelkezésre” őket.
  4. Technikai megvalósíthatóság: A GDPR kimondja, hogy az adatok közvetlen átvitele egyik adatkezelőtől a másikhoz csak akkor lehetséges, ha ez technikailag megvalósítható. Ha az adatkezelők között nincs megfelelő API vagy szabványosított protokoll, az adatkezelő nem köteles erőn felül, indokolatlan költségekkel megteremteni ezt a lehetőséget. Ebben az esetben az adatokat az érintettnek kell átadni, aki aztán maga továbbíthatja.
  5. Arányosság és túlzott kérések: Az adatkezelő megtagadhatja vagy díjazhatja azokat a kérelmeket, amelyek nyilvánvalóan megalapozatlanok vagy túlzottak, különösen ismétlődő jellegük miatt. Ez a rendelkezés védi az adatkezelőket az indokolatlan terheléstől és az erőforrások pazarlásától. Azonban az adatkezelőnek bizonyítania kell a kérelem megalapozatlanságát vagy túlzott jellegét.

Ezek a korlátok biztosítják a jog egyensúlyát, megakadályozva, hogy az adathordozhatóság joga indokolatlan terheket rójon az adatkezelőkre, vagy sértse mások jogait. Az adatkezelőknek alaposan fel kell mérniük minden egyes kérelmet ezen szempontok figyelembevételével.

Adathordozhatóság és a felhőalapú szolgáltatások

A felhőalapú szolgáltatások (cloud computing) elterjedésével az adathordozhatóság joga különösen relevánssá vált. A felhasználók egyre inkább tárolják személyes adataikat, dokumentumaikat, fotóikat, e-mailjeiket és egyéb információikat különböző felhőalapú platformokon, mint például Google Drive, Dropbox, Microsoft OneDrive, iCloud, vagy különböző SaaS (Software as a Service) megoldásokban. Ezek a szolgáltatások tipikusan automatizált adatkezelést végeznek, és az adatok jelentős részét az érintettek bocsátják rendelkezésre, vagy a szolgáltatás használata során generálódnak.

A felhőalapú szolgáltatások esetében az adathordozhatóság joga azt jelenti, hogy az érintettnek képesnek kell lennie arra, hogy:

  • Letöltse adatait: Az adatkezelőnek biztosítania kell egy funkciót, amellyel az érintett letöltheti a saját adatait strukturált, széles körben használt, géppel olvasható formátumban. Ez gyakran egy „Adatok exportálása” vagy „Adatok letöltése” funkciót jelent a felhasználói felületen. Például a Google Takeout lehetővé teszi a Google szolgáltatásokban tárolt adatok exportálását (Gmail, Google Photos, Drive stb.).
  • Átvihesse adatait egy másik felhőszolgáltatóhoz: Ha technikailag megvalósítható, az érintett kérheti, hogy adatait közvetlenül az egyik felhőszolgáltatótól a másikhoz továbbítsák. Bár ez a funkció még nem általános, a GDPR célja, hogy ösztönözze az iparágat az interoperabilitás és a szabványosított API-k fejlesztésére, amelyek ezt lehetővé teszik.

A felhőalapú szolgáltatók számára az adathordozhatóság megvalósítása komoly kihívásokat jelenthet, különösen a nagy adatmennyiségek és a komplex adatmodellek miatt. Biztosítaniuk kell, hogy az exportált adatok ne csak az alapvető információkat, hanem a metaadatokat és az adatok közötti összefüggéseket is megőrizzék, amennyiben ezek relevánsak az adatok újrafelhasználhatósága szempontjából.

A felhőalapú szolgáltatások korában az adathordozhatóság kulcsfontosságú a felhasználói szabadság és a piaci verseny fenntartásához.

Példák a gyakorlatból:

  • Közösségi média platformok: A Facebook, Instagram, Twitter mind kínálnak adatletöltési funkciókat, amelyekkel az érintettek letölthetik posztjaikat, fotóikat, üzeneteiket, kapcsolati adataikat JSON vagy HTML formátumban.
  • E-mail szolgáltatók: A legtöbb e-mail szolgáltató lehetővé teszi az e-mailek és névjegyek exportálását szabványos formátumokban (pl. MBOX, EML, CSV).
  • Fitness és egészségügyi alkalmazások: Az okosórák és fitness trackerek által gyűjtött adatok (lépésszám, pulzus, alvásminták) exportálhatók, lehetővé téve az érintettek számára, hogy ezeket más egészségügyi applikációkkal vagy kutatási célokra használják.

Az adathordozhatóság a felhőalapú szolgáltatások esetében tehát a digitális ökoszisztéma egyik legfontosabb szabálya, amely biztosítja, hogy a felhasználók ne váljanak egy-egy szolgáltató „digitális foglyává”, hanem megőrizhessék az adataik feletti szuverenitást, és szabadon választhassanak a piacon elérhető megoldások közül.

Az adathordozhatóság és a banki, pénzügyi szektor (PSD2, Open Banking)

Az adathordozhatóság joga nem korlátozódik csupán a technológiai óriásokra és a közösségi média platformokra. Különösen nagy jelentőséggel bír a banki és pénzügyi szektorban, ahol az adatok érzékenysége és a tranzakciók volumene kiemelten magas. Az Európai Unióban a PSD2 (Revised Payment Services Directive – Felülvizsgált Pénzforgalmi Szolgáltatások Irányelve) és az Open Banking kezdeményezések már a GDPR előtt is elindították az adathordozhatóság egy speciális formáját ebben az ágazatban.

PSD2 és Open Banking:

A PSD2 egy olyan uniós jogszabály, amelynek célja a fizetési szolgáltatások piacának modernizálása, a verseny növelése és a fogyasztóvédelem erősítése. Ennek egyik kulcsfontosságú eleme, hogy lehetővé teszi harmadik fél szolgáltatók (TPP – Third Party Providers) számára, hogy a felhasználó engedélyével hozzáférjenek a banki adatokhoz (AIS – Account Information Services) és fizetési megbízásokat kezdeményezzenek (PIS – Payment Initiation Services).

Az Open Banking egy tágabb koncepció, amely a PSD2-n alapulva ösztönzi a bankokat, hogy nyitott API-kon keresztül tegyék hozzáférhetővé az ügyféladatokat (természetesen az ügyfél hozzájárulásával) más pénzügyi szolgáltatók számára. Ez lehetővé teszi új, innovatív pénzügyi termékek és szolgáltatások megjelenését, mint például:

  • Pénzügyi aggregátorok: Olyan alkalmazások, amelyek egyetlen felületen gyűjtik össze az ügyfél összes bankszámlájának adatait, függetlenül attól, hogy mely banknál vezeti azokat.
  • Költségvetés-tervező applikációk: Ezek az alkalmazások elemzik a tranzakciós adatokat, és segítenek a felhasználóknak a kiadásaik nyomon követésében és a megtakarítási célok elérésében.
  • Személyre szabott hiteltermékek: Az ügyfél tranzakciós adatai alapján pontosabb hitelképességi értékelés végezhető, ami kedvezőbb hiteleket eredményezhet.

Az adathordozhatóság szerepe a pénzügyi szektorban:

A GDPR szerinti adathordozhatóság joga kiegészíti a PSD2-t, és további garanciákat nyújt az érintettek számára. Míg a PSD2 a harmadik fél szolgáltatók hozzáférését szabályozza, a GDPR szerinti adathordozhatóság lehetővé teszi, hogy az érintett közvetlenül kérje saját tranzakciós adatainak, számlakivonatainak vagy más pénzügyi adatainak átadását géppel olvasható formátumban, akár magának, akár egy másik banknak vagy fintech cégnek.

Ez a jog különösen fontos a pénzügyi szolgáltatók közötti verseny fokozásában. Ha egy ügyfél elégedetlen a bankjával, könnyedén átviheti pénzügyi előzményeit egy másik bankhoz, amely jobb feltételeket vagy innovatívabb szolgáltatásokat kínál. Ez csökkenti a váltás akadályait és növeli a fogyasztók mozgásterét.

A bankok számára ez azt jelenti, hogy fel kell készülniük az ilyen típusú kérelmek kezelésére, és biztosítaniuk kell az adatok biztonságos és strukturált exportálását. A pénzügyi adatok rendkívül érzékenyek, ezért a biztonsági intézkedéseknek (titkosítás, erős azonosítás) kiemelten szigorúaknak kell lenniük.

Az adathordozhatóság és a PSD2/Open Banking együttvéve alapjaiban változtatja meg a pénzügyi szolgáltatások piacát, áthelyezve a hangsúlyt a szolgáltatókról az ügyfelekre, és megnyitva az utat egy sokkal dinamikusabb és innovatívabb pénzügyi ökoszisztéma felé.

Gyakori tévhitek az adathordozhatósággal kapcsolatban

Az adathordozhatóság nem jogosít automatikus adattovábbításra szolgáltatók között.
Az adathordozhatóság nem jelenti adatmásolás kötelezettségét, hanem az adatok átadásának egyszerűbb módját biztosítja.

Az adathordozhatóság joga, mint viszonylag új és komplex jogi rendelkezés, számos tévhitre adhat okot. Fontos tisztázni ezeket a félreértéseket, hogy az érintettek és az adatkezelők is pontosan értsék, mit jelent és mit nem jelent ez a jog.

Tévhit 1: Az adathordozhatóság egyenlő az adatok törlésének jogával.
Valóság: Ez a két jog teljesen eltérő. Az adathordozhatóság arról szól, hogy az érintett megkapja az adatait és átvihesse azokat. Az adatok törlésének joga (feledéshez való jog, GDPR 17. cikk) arról szól, hogy az adatkezelő törölje az érintett adatait. Bár az adatok átvitele után az érintett kérheti azok törlését az eredeti szolgáltatótól, a kettő nem azonos és nem feltétlenül jár együtt. Az adatkezelőnek akkor is teljesítenie kell az adathordozhatósági kérelmet, ha az érintett nem kéri az adatok törlését.

Tévhit 2: Bármilyen adatot átvihetek bármilyen szolgáltatóhoz.
Valóság: Az adathordozhatóság joga csak bizonyos típusú adatokra és bizonyos feltételek mellett vonatkozik. Ahogy említettük, csak azokra az adatokra terjed ki, amelyeket az érintett szolgáltatott, vagy a szolgáltatás használata során generált, és csak akkor, ha az adatkezelés hozzájáruláson vagy szerződésen alapul, és automatizált módon történik. Nem vonatkozik például a levezetett adatokra vagy a közérdekű adatkezelésre.

Tévhit 3: Az adatkezelőnek minden esetben közvetlenül át kell vinnie az adatokat egy másik szolgáltatóhoz.
Valóság: A GDPR kimondja, hogy az adatok közvetlen továbbítása akkor lehetséges, ha ez „technikailag megvalósítható”. Ha nincs megfelelő technikai interfész vagy megállapodás a két adatkezelő között, az eredeti adatkezelő nem köteles ezt megtenni. Ebben az esetben az adatokat az érintettnek kell átadni, aki aztán maga gondoskodhat a továbbításról.

Tévhit 4: Az adathordozhatóság azt jelenti, hogy a szolgáltató örökre megtartja az adataimat, csak átadja másnak.
Valóság: Az adathordozhatóság nem befolyásolja az adatok tárolásának időtartamára vonatkozó szabályokat. Az adatkezelőnek továbbra is be kell tartania az adatmegőrzési elveket, és törölnie kell az adatokat, amint azok már nem szükségesek az eredeti célhoz, vagy ha az érintett érvényes törlési kérelemmel él. Az adathordozhatóság pusztán egy másolat átadását jelenti, nem pedig az eredeti adatok megőrzését.

Tévhit 5: Az adathordozhatóság lehetővé teszi, hogy harmadik felek adatait is átvigyem.
Valóság: Az adathordozhatóság joga az érintett saját személyes adataira vonatkozik. Ha az adatok más személyek személyes adatait is tartalmazzák (pl. egy csoportos chat üzenetei), az adatkezelőnek mérlegelnie kell a többi érintett jogait és szabadságait. Előfordulhat, hogy az ilyen adatokat anonimizálni kell, vagy ki kell hagyni az exportból, hogy ne sérüljön mások adatvédelmi joga.

Tévhit 6: Az adathordozhatósági kérelem benyújtása mindig ingyenes.
Valóság: Az első kérelem általában ingyenes. Azonban, ha a kérelem egyértelműen megalapozatlan vagy túlzott (különösen ismétlődő jellege miatt), az adatkezelő ésszerű díjat számolhat fel, vagy megtagadhatja az intézkedést. Erről az adatkezelőnek tájékoztatnia kell az érintettet.

Ezeknek a tévhiteknek a tisztázása elengedhetetlen a GDPR-megfelelőség és a felhasználói bizalom építése szempontjából.

Az adathordozhatóság jövője: szektor-specifikus szabályozások és további fejlesztések

Az adathordozhatóság joga, ahogy azt a GDPR bevezette, egy jelentős lépés volt a digitális önrendelkezés és a piaci verseny előmozdítása felé. Azonban ez a koncepció folyamatosan fejlődik, és egyre több szektorban jelennek meg speciális szabályozások és kezdeményezések, amelyek tovább finomítják és kiterjesztik az adatok mozgathatóságának elvét.

Szektor-specifikus szabályozások:

A pénzügyi szektorban a már említett PSD2 és Open Banking kezdeményezések kiváló példát mutatnak arra, hogyan lehet az adathordozhatóság elvét konkrét iparági igényekhez igazítani. Ezek a szabályozások nem csupán az adatok átvihetőségét biztosítják, hanem szabványosított API-kon keresztül lehetővé teszik a harmadik fél szolgáltatók (TPP-k) számára is a hozzáférést a felhasználó hozzájárulásával, ezzel ösztönözve az innovációt és a versenyképesebb termékeket.

Hasonló kezdeményezések várhatók más ágazatokban is. Például az egészségügyben az elektronikus egészségügyi nyilvántartások (EHR) közötti interoperabilitás és az adatok hordozhatósága kulcsfontosságú lehet a betegellátás javítása és a kutatás elősegítése érdekében. Az egyéni egészségügyi adatokhoz való könnyebb hozzáférés és azok megosztásának lehetősége (természetesen szigorú adatvédelmi feltételek mellett) forradalmasíthatja az orvosi diagnózist és kezelést.

Az energia- és közműszolgáltatók esetében is felmerülhet az adathordozhatóság, lehetővé téve a fogyasztók számára, hogy energiafogyasztási adataikat átvigyék különböző szolgáltatókhoz, vagy elemezzék azokat intelligens otthoni rendszerekkel a hatékonyabb energiafelhasználás érdekében.

További fejlesztések és kihívások:

  • Szabványosítás és interoperabilitás: Az adathordozhatóság valódi értékét a szabványosított adatformátumok és API-k biztosítják. Szükség van további iparági együttműködésre és szabályozói nyomásra, hogy egységes szabványok alakuljanak ki, amelyek megkönnyítik az adatok zökkenőmentes átvitelét a különböző szolgáltatások között. Az Európai Adatvédelmi Testület (EDPB) iránymutatásai is ezen a területen igyekeznek segítséget nyújtani.
  • Decentralizált adatkezelés és blokklánc: A jövőben a decentralizált technológiák, mint a blokklánc, új lehetőségeket nyithatnak az adathordozhatóság terén. Az önálló identitás (Self-Sovereign Identity, SSI) koncepciója például lehetővé teheti az egyének számára, hogy saját maguk tárolják és ellenőrizzék személyes adataikat, és engedélyezzék azok szelektív megosztását.
  • Adatbiztonság a továbbítás során: Ahogy az adatok egyre gyakrabban vándorolnak a szolgáltatók között, a biztonsági kockázatok is növekedhetnek. Fontos, hogy az átviteli protokollok és a fogadó rendszerek a legmagasabb szintű biztonsági sztenderdeknek feleljenek meg, hogy megakadályozzák az adatszivárgást és az illetéktelen hozzáférést.
  • A „levezetett adatok” kérdése: A GDPR egyértelműen kizárja a levezetett adatokat az adathordozhatóság köréből. Azonban a digitális gazdaságban egyre nagyobb szerepet kapnak az algoritmikus elemzések és a profilozás. A jövőben felmerülhet a kérdés, hogy bizonyos típusú, az érintettre vonatkozó, de az adatkezelő által generált információk (pl. a profilozás eredményei) ne legyenek-e valamilyen formában hordozhatók, vagy legalábbis transzparensen hozzáférhetők.

Az adathordozhatóság tehát egy dinamikus jogi és technikai terület, amelynek fejlődése kulcsfontosságú lesz a digitális jövő alakításában, a felhasználói jogok megerősítésében és az innováció ösztönzésében.

TAGGED:
Share This Article
Leave a comment

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük