Helyzetkép a Digitális Egységes Piacról

A születésnapját ünneplő Európai Unió újabb integrációs szintje.

Pató Viktória Lilla 2023.05.08.

Állatvédelmi európai polgári kezdeményezések az EU napirendjén

Az Európai Bizottság 2023. április 5-én biztosította támogatásáról a méhek védelméről szóló európai polgári kezdeményezést, az Európai Parlament május 18-án pedig a cápauszony-leválasztás és kereskedelem

Tárnok Balázs 2023.05.05.

Kellene, de – jelen állás szerint – nem lehet: Putyin esetleges letartóztatása

Putyin korántsem felelősségre vonhatatlan.

Csapó Zsuzsanna 2023.05.04.

Korszakhatár az energetikai fogyasztók védelmében?

Egy saját magán jelentősen túlmutató energetikai ügy az Európai Bíróság előtt.

Mernyei Ákos Péter 2023.04.17.

Ecolawfare – a jog erejével a teremtett környezetért

Fontos fegyver a környezetpusztítás elleni küzdelemben.

Petruska Ferenc 2023.04.14.

ITKI BLOG

Gyekiczky Tamás

ny. bíró, ny. főiskolai tanár

2023.05.02.

2023.05.02.

A személyes adatokkal történő fizetés

Új magánjogi szabályok az európai és a német magánjogban

A személyes adatok szolgáltatónak történő átadása világszerte kényelmes és kölcsönösen elfogadott módja bizonyos digitális szolgáltatások igénybevételének, amelyet sokan „ingyenességnek” minősítettek. A személyes adatok átadása emiatt a szolgáltatás biztosításán kívül semmire sem kötelezte a szolgáltatót. Az uniós jogalkotó ezen a helyzeten próbált meg két irányelvvel változtatni: kompromisszumot keresve a személyes adatok védelme és az adatgazdaság realitásai között.

Az interneten az egyik leggyakoribb üzleti modell, hogy az ingyenes(nek tűnő) szolgáltatásokért a személyes adatainkkal fizetünk. A közösségi média, a videojátékok, az „okos” eszközök, a felhőszolgáltatások, a keresőmotorok, a navigációs rendszerek, s még felsorolni is nehéz hány szolgáltatás épül erre a modellre. A szolgáltató az adatokért cserébe nem vállal komoly kötelezettségeket, ugyanakkor ezután ezeket az adatcsomagokat szabadon felhasználhatja, adattőzsdére viheti, eladhatja, kereskedhet vele. Ezt a helyzetet sokan kritizálták, és hangsúlyozták az adatait átadó fogyasztó kiszolgáltatottságát. A gazdaságközpontú gondolkodás pedig az egyes adatokat eleve értéktelennek tekintette, mondván az egyedi adatoknak nincsen, csakis az adatcsomagoknak van értéke. Mindezek mellett, vagy inkább ennek hátterében az Európai Unióban hatályba lépett a GDPR is, ami újra kiélezte ugyan az adatok felhasználása és átadása körüli vitákat, ám egy lehetséges jogi definíciós keret biztosításával megfelelő muníciót is nyújtott a személyes adatok átadásán alapuló szolgáltatások kötelmi jogi szabályozásához.

A két irányelv a digitális szolgáltatásokról

2019-ben két irányelvet fogadott el az uniós jogalkotó. Az egyik a digitális elemet tartalmazó áruk adásvételére, a másik a digitális tartalmak és digitális szolgáltatások szerződéseire vonatkozik. Az irányelvek fő célja, hogy a digitális árupiac standard szabályait megteremtse (összhangban az Unió digitális stratégiájával), a kínai, amerikai piaci versenytársak előnyét kiküszöbölje és a fogyasztóvédelem magas színvonalát biztosítsa. A célokat a szerződési jog egységének és az uniós piac digitális termékekre vonatkozó egységes szabályozásának megteremtésével, az online piactér sajátosságának figyelembe vételével akarták elérni.

Joggal kérdezzük, hogy kerül a csizma az asztalra, azaz mi köze van az adatjognak mindehhez?

A válasz nagyon egyszerű: a digitális szolgáltatásokról és a digitális tartalmakról szóló irányelv lehetővé teszi a személyes adatokkal történő szerződéses ellenszolgáltatást. A főbb rendelkezések szerint ugyanis az uniós fogyasztói szerződések szabályait kell alkalmazni akkor is, amennyiben a fogyasztó a digitális szolgáltatásokért és tartalmakért (német jog egységesítő új fogalma szerint: digitális termék) cserébe személyes adatait adja át a (kereskedőnek, vállalkozónak, szolgáltatónak), tehát nem pénzbeli ellenértéket fizet. A személyes adat fogalmát a GDPR 4. cikk. 1. pontja definiálja, e mellett az irányelvek átveszik a GDPR több rendelkezését, pld. az adatfelhasználási nyilatkozat szabályait is.

A személyes adatok átadásának keretei, határai

Az irányelvek és más jogi dokumentumok rögzítik az adatok átadásának legfontosabb kereteit és kivételeit is. Ezek az alábbiak:

A személyes adatot nem lehet áruként kezeli (nem lehet monetarizálni), mivel az EU adatvédelmi biztos ezt a megoldást elutasította.
A szolgáltatónak a szerződéses kereteken kívüli adatgyűjtési tevékenysége nem tilos akkor, ha a GDPR és az irányelvek rendelkezéseit betartja, avagy az adatokat nem lehet tartalmilag szétválasztani más adatoktól, vagy közös adatfelhasználásról van szó (pld. videojáték).
A személyes adatokon túlmenő adatfelhasználással keletkezett digitális tartalmakat a fogyasztónak a szerződés megszűnésekor vissza kell szolgáltatni.
Nem tartoznak a védett adatok körébe a metaadatok, vagy a website-ok felkeresésekor a tartalom megtekintésével generált adatok.
Egyéb adatszolgáltatásra nem terjed ki, (pl. az úgynevezett személyre szabott, vezetési stílustól függő gépjármű-biztosítások keretei között gyűjtött adatokra vagy az autós fekete-dobozokra, event data recorderekre.

Úgy tűnik tehát, hogy a rendelkezések esetében valóban az adatvédelem és az üzleti érdek sajátos kompromisszumáról van szó.

Különleges esetek

A személyes adatok felhasználásának különleges eseteit szintén ismeri az uniós jog. Ilyen például a csomagszerződések esete, vagy a vegyes alakzatú szerződések típusai. Jellemzői, hogy a csomag egyik részéért pénzzel (vagy kriptovalutával) fizetünk, a másik részéért ellenben a személyes adatainkat adjuk át. Jogilag alapos körültekintést igényel e helyzetek szabályozása, mivel a klasszikus szerződésszegési szankciók eltérhetnek egymástól a személyes adatok és e pénz ellenszolgáltatásánál.

A személyes adatok mint szerződési ellenszolgáltatás felbontotta a klasszikus (ingyenes – pénzzel történő) ellenszolgáltatás dichotómiáját. Egyfelől e szerződések nem ingyenes szerződések, mert az adat lép a pénz (financiális ellenérték) helyébe. A pénz természetesen lehet kriptovaluta is. Másfelől a személyes adatokkal való ellenszolgáltatás nem minősül fizetésnek, mert akkor az adatokat pénzként kezelnénk, ami az uniós alapjogba ütközik. Az adatokat ezért a szerződéses partner rendelkezésére bocsátjuk, átadjuk a szolgáltatásért cserébe. Elméletileg tehát itt három ellenszolgáltatási lehetőség merül fel: a pénz (kripto), az adat és az ingyenesség.

Mindez természetesen a fogyasztói szerződések (B2C) körében érvényes, bár a jogirodalom eljátszott a kiterjesztés lehetőségével is. (Amire egyébként a nemzeti jogalkotó felhatalmazása szintén megvan.)

A magánjogi konzekvenciák levonása: a BGB reform

A nemzeti jogalkotónak az irányelv implementációjára 2 év állt rendelkezésére. 2022. január 1-jétől az irányelvvel a nemzeti jogok új rendelkezései hatályba is léptek. Ebben a bejegyzésben a német polgári törvénykönyv, a BGB megoldását elemzem, ami mint a német jogcsaládok törzse „állatorvosi lóként” szerepelhet a BGB nyomvonalán járó jogalkotásoknak. (Bővebben itt írtam erről.) A BGB azért kiváló példa, mert ez a törvény tartalmazza a fogyasztóvédelmi jogot is, így a fogyasztóvédelem itt a magánjog része, másfelől egy nagyon pontosan egybecsiszolt és kiművelt dogmatikai rendszerről beszélhetünk.

A német jog főbb megoldásai és fogyatékosságai a következők (lehetnek):

Az új szerződési szabályok beillesztésével a kötelmi jog nagy részét újra kellett gondolni. Pl. a fogyasztó milyen magatartása szerződésellenes akkor, amikor személyes adatait adná át? Pontosabban, mi van akkor, ha nem adja át, és ezzel nem tesz eleget az ellenszolgáltatási kötelezettségének? A digitális világ számos problémája kapcsolható ide, így a digitális (jogszerű) anonimitás kérdése, a személyes adatok forrásának ellenőrzése, a digitális szolgáltatások egyszeri, és folyamatos nyújtása.
Az ún. vegyes szerződéseknél egy digitális tartalomszolgáltatás esetében több kötelmi jogi intézményt és normát kell egyszerre alkalmazni. Miként lehet feloldani ezek összeütközését? Például a digitális szolgáltatást befogadó árura az áruk adásvételének joga, a szolgáltatásra a digitális tartalomszolgáltatás szerződési előírásai vonatkoznak. Mások a jótállás, a szavatosság szabályai, avagy a hibás áru / vagy szolgáltatás szerződésszerűségének normái. (Példaként hozhatjuk az okos hűtőszekrényeket, az okos tv streaming szolgáltatásokat vagy a navigációs készülékeket az autókban).
A BGB dogmatikai befejezetlensége jól látható, egyrészt túl sok probléma megoldása tolódott át a bírói gyakorlatra, másfelől egyértelműen kidomborodtak a szabályozás hiányosságai (pl. követelheti-e a szolgáltató a fogyasztótól az ellenszolgáltatást, azaz az adatok átadását, miként az általános szerződési szabályok esetében – vagy esetleg bírói úton is kikényszerítheti-e azt? Ezzel szorosan összefüggő kérdés, vajon egyenlő ellenértékeket tartalmazó (szillagmatikus) szerződésekről van-e szó? A németországi jogirodalom mindenesetre egyetért abban, az adatok rendelkezésre bocsátása „dogmatikailag kidolgozatlan”.
A német jogalkotó nagy erőfeszítéseket tett a GDPR és a BGB kapcsolatának rendezésére, a harmonikus viszony megteremtésére. Így pl. a fogyasztói (érintett) szerződések érvénytelenek a GDRP előírásainak megfelelő adatkezelési hozzájáró nyilatkozat hiányában, ugyanakkor a nyilatkozat visszavonása nem érinti a szerződés érvényességét. Érinti ellenben az átadott személyes adatok sorsát, így adathordozón vissza kell a fogyasztónak adni a személyes adatai felhasználásával generált digitális tartalmakat. Ez az előírás – többen rámutattak – informatikailag és technikailag meglehetősen problematikus. Ugyanakkor a vállalkozó (kereskedő, szolgáltató) kötelezettségének teljesítése a digitális szituációtól is függ, pl. kérdés, hogy van-e lehetőség a további adathasználatra (közös videojáték esetében), vagy nincs. Az előírás ugyanakkor értelmetlen az autók esetében: itt nem pusztán egy nagyra nőtt szabályozási űr tátong, hanem a digitális tartalom maga speciális, ezért kilóg a szabályozás kereteiből.
A 2022. őszi új adatjogi jogalkotás fényében mindezt ismét újra kell majd gondolni, különösen, ha a szolgáltató (vállalkozó, eladó, kereskedő) ún. platformszolgáltató, és a nemzeti jogalkotó az implementáció során rá nem terjesztette ki rá (noha a lehetősége megvolt) az irányelv szabályait.

Három tanulság és következtetés

Az új szabályokról adódik néhány következtetés.

Az első, hogy a BGB újra alkotása kapcsán a GDPR és a magánjog kapcsolata jóval erősebb lett. A GDPR „játékba hozása” (új, piacvezérlő szerepét a német szakirodalom külön hangsúlyozza) után a digitális világ szabályozásában a magánjog és a közjog, vagy adatvédelmi jog együttes szerepében, a jogágak együttesében, a jogrendszerben magában kell gondolkodnunk.

A második, hogy az új szerződéses kapcsolatok (lett légyen az fogyasztói szerződés) kizárólagosan a szigorúan hagyományos pillérekre épülő magánjogban többé már nem szabályozhatók. Az adatforgalmat az adatjogi, adatvédelmi és a nemzetközi normák rendezik, az eladó / vállalkozó adatkezelővé válik, jogellenes magatartása esetében a magánjogi szankciók mellett bevethetők a közjogi szankciók. Jogsértés esetében így a vállalkozásoknak jelentős bírságot kell fizetniük, amit hatóság szab ki, s a szankciók lehetséges alkalmazási körét a GDPR, és nem a BGB (vagy a Ptk. ABGB stb.) határozza meg.

A harmadik következtetés pedig, hogy új jogi gondolkodási stratégiára van szükség, még akkor is, ha a digitális piac forgalmának szerződéses szabályozása nem egyszerű, nem könnyű feladat, és lényegében a magánjog kötelmi részének teljes újraépítését igényli.

(Ez a blogbejegyzés az NKE Információs Társadalom Kutatóintézete által 2023. március 28-án megrendezett „Adatgazdaság-adatjog” című workshopon elhangzott prezentáció írott változata.)

Témakörök: digitális, GDPR, jog, magánjog