Új magánjogi szabályok az európai és a német magánjogban
A személyes adatok szolgáltatónak történő átadása világszerte kényelmes és kölcsönösen elfogadott módja bizonyos digitális szolgáltatások igénybevételének, amelyet sokan „ingyenességnek” minősítettek. A személyes adatok átadása emiatt a szolgáltatás biztosításán kívül semmire sem kötelezte a szolgáltatót. Az uniós jogalkotó ezen a helyzeten próbált meg két irányelvvel változtatni: kompromisszumot keresve a személyes adatok védelme és az adatgazdaság realitásai között.
Az interneten az egyik leggyakoribb üzleti modell, hogy az ingyenes(nek tűnő) szolgáltatásokért a személyes adatainkkal fizetünk. A közösségi média, a videojátékok, az „okos” eszközök, a felhőszolgáltatások, a keresőmotorok, a navigációs rendszerek, s még felsorolni is nehéz hány szolgáltatás épül erre a modellre. A szolgáltató az adatokért cserébe nem vállal komoly kötelezettségeket, ugyanakkor ezután ezeket az adatcsomagokat szabadon felhasználhatja, adattőzsdére viheti, eladhatja, kereskedhet vele. Ezt a helyzetet sokan kritizálták, és hangsúlyozták az adatait átadó fogyasztó kiszolgáltatottságát. A gazdaságközpontú gondolkodás pedig az egyes adatokat eleve értéktelennek tekintette, mondván az egyedi adatoknak nincsen, csakis az adatcsomagoknak van értéke. Mindezek mellett, vagy inkább ennek hátterében az Európai Unióban hatályba lépett a GDPR is, ami újra kiélezte ugyan az adatok felhasználása és átadása körüli vitákat, ám egy lehetséges jogi definíciós keret biztosításával megfelelő muníciót is nyújtott a személyes adatok átadásán alapuló szolgáltatások kötelmi jogi szabályozásához.
A két irányelv a digitális szolgáltatásokról
2019-ben két irányelvet fogadott el az uniós jogalkotó. Az egyik a digitális elemet tartalmazó áruk adásvételére, a másik a digitális tartalmak és digitális szolgáltatások szerződéseire vonatkozik. Az irányelvek fő célja, hogy a digitális árupiac standard szabályait megteremtse (összhangban az Unió digitális stratégiájával), a kínai, amerikai piaci versenytársak előnyét kiküszöbölje és a fogyasztóvédelem magas színvonalát biztosítsa. A célokat a szerződési jog egységének és az uniós piac digitális termékekre vonatkozó egységes szabályozásának megteremtésével, az online piactér sajátosságának figyelembe vételével akarták elérni.
Joggal kérdezzük, hogy kerül a csizma az asztalra, azaz mi köze van az adatjognak mindehhez?
A válasz nagyon egyszerű: a digitális szolgáltatásokról és a digitális tartalmakról szóló irányelv lehetővé teszi a személyes adatokkal történő szerződéses ellenszolgáltatást. A főbb rendelkezések szerint ugyanis az uniós fogyasztói szerződések szabályait kell alkalmazni akkor is, amennyiben a fogyasztó a digitális szolgáltatásokért és tartalmakért (német jog egységesítő új fogalma szerint: digitális termék) cserébe személyes adatait adja át a (kereskedőnek, vállalkozónak, szolgáltatónak), tehát nem pénzbeli ellenértéket fizet. A személyes adat fogalmát a GDPR 4. cikk. 1. pontja definiálja, e mellett az irányelvek átveszik a GDPR több rendelkezését, pld. az adatfelhasználási nyilatkozat szabályait is.
A személyes adatok átadásának keretei, határai
Az irányelvek és más jogi dokumentumok rögzítik az adatok átadásának legfontosabb kereteit és kivételeit is. Ezek az alábbiak:
- A személyes adatot nem lehet áruként kezeli (nem lehet monetarizálni), mivel az EU adatvédelmi biztos ezt a megoldást elutasította.
- A szolgáltatónak a szerződéses kereteken kívüli adatgyűjtési tevékenysége nem tilos akkor, ha a GDPR és az irányelvek rendelkezéseit betartja, avagy az adatokat nem lehet tartalmilag szétválasztani más adatoktól, vagy közös adatfelhasználásról van szó (pld. videojáték).
- A személyes adatokon túlmenő adatfelhasználással keletkezett digitális tartalmakat a fogyasztónak a szerződés megszűnésekor vissza kell szolgáltatni.
- Nem tartoznak a védett adatok körébe a metaadatok, vagy a website-ok felkeresésekor a tartalom megtekintésével generált adatok.
- Egyéb adatszolgáltatásra nem terjed ki, (pl. az úgynevezett személyre szabott, vezetési stílustól függő gépjármű-biztosítások keretei között gyűjtött adatokra vagy az autós fekete-dobozokra, event data recorderekre.
Úgy tűnik tehát, hogy a rendelkezések esetében valóban az adatvédelem és az üzleti érdek sajátos kompromisszumáról van szó.
Különleges esetek
A személyes adatok felhasználásának különleges eseteit szintén ismeri az uniós jog. Ilyen például a csomagszerződések esete, vagy a vegyes alakzatú szerződések típusai. Jellemzői, hogy a csomag egyik részéért pénzzel (vagy kriptovalutával) fizetünk, a másik részéért ellenben a személyes adatainkat adjuk át. Jogilag alapos körültekintést igényel e helyzetek szabályozása, mivel a klasszikus szerződésszegési szankciók eltérhetnek egymástól a személyes adatok és e pénz ellenszolgáltatásánál.
A személyes adatok mint szerződési ellenszolgáltatás felbontotta a klasszikus (ingyenes – pénzzel történő) ellenszolgáltatás dichotómiáját. Egyfelől e szerződések nem ingyenes szerződések, mert az adat lép a pénz (financiális ellenérték) helyébe. A pénz természetesen lehet kriptovaluta is. Másfelől a személyes adatokkal való ellenszolgáltatás nem minősül fizetésnek, mert akkor az adatokat pénzként kezelnénk, ami az uniós alapjogba ütközik. Az adatokat ezért a szerződéses partner rendelkezésére bocsátjuk, átadjuk a szolgáltatásért cserébe. Elméletileg tehát itt három ellenszolgáltatási lehetőség merül fel: a pénz (kripto), az adat és az ingyenesség.
Mindez természetesen a fogyasztói szerződések (B2C) körében érvényes, bár a jogirodalom eljátszott a kiterjesztés lehetőségével is. (Amire egyébként a nemzeti jogalkotó felhatalmazása szintén megvan.)
A magánjogi konzekvenciák levonása: a BGB reform
A nemzeti jogalkotónak az irányelv implementációjára 2 év állt rendelkezésére. 2022. január 1-jétől az irányelvvel a nemzeti jogok új rendelkezései hatályba is léptek. Ebben a bejegyzésben a német polgári törvénykönyv, a BGB megoldását elemzem, ami mint a német jogcsaládok törzse „állatorvosi lóként” szerepelhet a BGB nyomvonalán járó jogalkotásoknak. (Bővebben itt írtam erről.) A BGB azért kiváló példa, mert ez a törvény tartalmazza a fogyasztóvédelmi jogot is, így a fogyasztóvédelem itt a magánjog része, másfelől egy nagyon pontosan egybecsiszolt és kiművelt dogmatikai rendszerről beszélhetünk.
A német jog főbb megoldásai és fogyatékosságai a következők (lehetnek):
- Az új szerződési szabályok beillesztésével a kötelmi jog nagy részét újra kellett gondolni. Pl. a fogyasztó milyen magatartása szerződésellenes akkor, amikor személyes adatait adná át? Pontosabban, mi van akkor, ha nem adja át, és ezzel nem tesz eleget az ellenszolgáltatási kötelezettségének? A digitális világ számos problémája kapcsolható ide, így a digitális (jogszerű) anonimitás kérdése, a személyes adatok forrásának ellenőrzése, a digitális szolgáltatások egyszeri, és folyamatos nyújtása.
- Az ún. vegyes szerződéseknél egy digitális tartalomszolgáltatás esetében több kötelmi jogi intézményt és normát kell egyszerre alkalmazni. Miként lehet feloldani ezek összeütközését? Például a digitális szolgáltatást befogadó árura az áruk adásvételének joga, a szolgáltatásra a digitális tartalomszolgáltatás szerződési előírásai vonatkoznak. Mások a jótállás, a szavatosság szabályai, avagy a hibás áru / vagy szolgáltatás szerződésszerűségének normái. (Példaként hozhatjuk az okos hűtőszekrényeket, az okos tv streaming szolgáltatásokat vagy a navigációs készülékeket az autókban).
- A BGB dogmatikai befejezetlensége jól látható, egyrészt túl sok probléma megoldása tolódott át a bírói gyakorlatra, másfelől egyértelműen kidomborodtak a szabályozás hiányosságai (pl. követelheti-e a szolgáltató a fogyasztótól az ellenszolgáltatást, azaz az adatok átadását, miként az általános szerződési szabályok esetében – vagy esetleg bírói úton is kikényszerítheti-e azt? Ezzel szorosan összefüggő kérdés, vajon egyenlő ellenértékeket tartalmazó (szillagmatikus) szerződésekről van-e szó? A németországi jogirodalom mindenesetre egyetért abban, az adatok rendelkezésre bocsátása „dogmatikailag kidolgozatlan”.
- A német jogalkotó nagy erőfeszítéseket tett a GDPR és a BGB kapcsolatának rendezésére, a harmonikus viszony megteremtésére. Így pl. a fogyasztói (érintett) szerződések érvénytelenek a GDRP előírásainak megfelelő adatkezelési hozzájáró nyilatkozat hiányában, ugyanakkor a nyilatkozat visszavonása nem érinti a szerződés érvényességét. Érinti ellenben az átadott személyes adatok sorsát, így adathordozón vissza kell a fogyasztónak adni a személyes adatai felhasználásával generált digitális tartalmakat. Ez az előírás – többen rámutattak – informatikailag és technikailag meglehetősen problematikus. Ugyanakkor a vállalkozó (kereskedő, szolgáltató) kötelezettségének teljesítése a digitális szituációtól is függ, pl. kérdés, hogy van-e lehetőség a további adathasználatra (közös videojáték esetében), vagy nincs. Az előírás ugyanakkor értelmetlen az autók esetében: itt nem pusztán egy nagyra nőtt szabályozási űr tátong, hanem a digitális tartalom maga speciális, ezért kilóg a szabályozás kereteiből.
- A 2022. őszi új adatjogi jogalkotás fényében mindezt ismét újra kell majd gondolni, különösen, ha a szolgáltató (vállalkozó, eladó, kereskedő) ún. platformszolgáltató, és a nemzeti jogalkotó az implementáció során rá nem terjesztette ki rá (noha a lehetősége megvolt) az irányelv szabályait.
Három tanulság és következtetés
Az új szabályokról adódik néhány következtetés.
Az első, hogy a BGB újra alkotása kapcsán a GDPR és a magánjog kapcsolata jóval erősebb lett. A GDPR „játékba hozása” (új, piacvezérlő szerepét a német szakirodalom külön hangsúlyozza) után a digitális világ szabályozásában a magánjog és a közjog, vagy adatvédelmi jog együttes szerepében, a jogágak együttesében, a jogrendszerben magában kell gondolkodnunk.
A második, hogy az új szerződéses kapcsolatok (lett légyen az fogyasztói szerződés) kizárólagosan a szigorúan hagyományos pillérekre épülő magánjogban többé már nem szabályozhatók. Az adatforgalmat az adatjogi, adatvédelmi és a nemzetközi normák rendezik, az eladó / vállalkozó adatkezelővé válik, jogellenes magatartása esetében a magánjogi szankciók mellett bevethetők a közjogi szankciók. Jogsértés esetében így a vállalkozásoknak jelentős bírságot kell fizetniük, amit hatóság szab ki, s a szankciók lehetséges alkalmazási körét a GDPR, és nem a BGB (vagy a Ptk. ABGB stb.) határozza meg.
A harmadik következtetés pedig, hogy új jogi gondolkodási stratégiára van szükség, még akkor is, ha a digitális piac forgalmának szerződéses szabályozása nem egyszerű, nem könnyű feladat, és lényegében a magánjog kötelmi részének teljes újraépítését igényli.
(Ez a blogbejegyzés az NKE Információs Társadalom Kutatóintézete által 2023. március 28-án megrendezett „Adatgazdaság-adatjog” című workshopon elhangzott prezentáció írott változata.)