::ajánlások:: : Az internettel összefüggő adatkezelések egyes kérdéseiről |
Az internettel összefüggő adatkezelések egyes kérdéseiről
2003.08.08. 08:05
Az internettel összefüggő adatkezelések egyes kérdéseiről szóló adatvédelmi biztosi
ajánlás
I.
Az internet hazai elterjedésének felgyorsulása és ezzel az adatalanyok számának folyamatos emelkedése, a világháló használatával kapcsolatos új igények és lehetőségek megjelenése, illetve bővülése, az internet működéséhez szükséges nemzetközi és hazai jogi szabályozás hiányosságai, továbbá a hivatalomhoz az internet használatával kapcsolatban érkezett panaszok és konzultációs kérdések növekvő száma szükségessé teszik az internettel összefüggő adatkezelések egyes kérdéseiről - a korábbi állásfoglalásaimra is figyelemmel - ajánlás kiadását.
Annak ellenére is indokolt ajánlással fordulni az érintettekhez, hogy az elmúlt években az adatvédelemmel és a közérdekű adatok nyilvánosságával összefüggő hazai követelmények érvényesítésére az internet egyes „szereplői” (a szolgáltatók, a weblapok üzemeltetői, a felhasználók) számos technikai és szervezési intézkedést tettek, jelentősen bővítették a közérdeklődésre igényt tartó információk elérhetőségét. Mind több esetben találkozunk a nyitó weboldalakon adatvédelmi elvekkel, szabályokkal; az állami, önkormányzati szervezetek többségének ma már van saját honlapja, ahol a szervezet működésével összefüggő legfontosabb információk elérhetők. A felhasználók mind nagyobb hányada tesz lépéseket adatai védelmére.
Az internet számos olyan jellemzővel bír, amelyet az adatvédelmi kérdések vizsgálatakor figyelembe kell venni, olyan számítógépes világhálózat, amely személyes és közérdekű adatok millióit gyűjti, tárolja, továbbítja, és hozza nyilvánosságra. Olyan rendszer, amely:
- nyilvános, elvileg bárki számára hozzáférhető;
- nincs tekintettel az országhatárokra;
- adatvédelmi, adatbiztonsági szempontból igen sérülékeny;
- megkönnyíti a közvéleményt érdeklő - az állami és önkormányzati szervek működésével összefüggő - közérdekű információk megismerhetőségét;
- olyan információk, adatok érhetők el általa, amelyek egy része nem valós, vagy nem pontos;
- jogsértő cselekmények elkövetésére is teret enged.
Az internettel összefüggő eseményekre, jelenségekre adott szakmai válaszok többsége arra utal, hogy a világháló nem jogmentes terület, a működésével összefüggő kérdések többsége jogilag szabályozott, ugyanakkor e jogszabályok változatlan formában és tartalommal nem mindig alkalmazhatók, továbbá a működés, működtetés néhány területe jogi szabályozást igényel.
Hivatalomhoz 1996-tól kezdődően több panasz érkezett a számítógépes hálózati felhasználók és mások személyes adatainak kezelésével kapcsolatban. Indítvány érkezett arról, hogy az interneten magyar gyermekeket ajánlottak fel örökbefogadásra fényképpel, személyes adatokkal (256/A/1996); több beadvány érintette a rendőrség internet-szolgáltatóktól történő adatkérésének jogszerűségét (394/K/1996, 802/A/1998); az interneten folytatott direkt marketing tevékenységgel kapcsolatban is érkeztek megkeresések (577/A/1998, 627/K/1998); egy magánszemély kifogásolta, hogy a domain-név regisztráció során a szolgáltató nyilvánosságra hozta adatait (295/A/2000).
Jelen ajánlással a jogalkotó figyelmét kívánom ismét felhívni a magyar jogi szabályozás hiányosságaira, illetve a szolgáltatókat és a felhasználókat arra szeretném ösztönözni, hogy az előbbiek segítsék, míg az utóbbiak követeljék meg a hatályos adatvédelmi szabályok érvényesítését.
II.
1. A külföldre történő adattovábbításról
A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Avtv.) 9. §-a szerint:
„személyes adat az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - külföldi adatkezelő részére csak akkor továbbítható, ha az érintett ahhoz hozzájárult, vagy törvény azt lehetővé teszi, feltéve, hogy az adatkezelés feltételei a külföldi adatkezelőnél minden egyes adatra nézve teljesülnek”.
Az Avtv. e rendelkezése szerint a célországnak vagy a magyarral azonos védelmet biztosító adatvédelmi jogrenddel kell rendelkeznie, vagy az adattovábbítás külföldi címzettjének kell szerződésben kötelezettséget vállalnia az azonos („equivalent”) védelem biztosítására.
Mivel az adattovábbítás az adatalany hozzájárulása esetében is csak akkor történhet meg, ha a külföldi adatkezelőnél az azonos védelem biztosított, a rendelkezés korlátozza a szabad információáramlást. Ez a rendelkezés ugyan az 1998. évi VI. törvénnyel kihirdetett, az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt egyezmény rendelkezései alapján nem kifogásolható, ám nincs összhangban az Európai Parlament és a Tanács az egyénnek a személyes adatok feldolgozásával kapcsolatos védelméről és ezeknek az adatoknak a szabad áramlásáról szóló 95/46/EK sz. irányelvének a személyes adatok harmadik országba történő átviteléről szóló IV. fejezetében foglalt rendelkezéseivel. Különösen sajnálatos ez azután, hogy 2000 júliusában az Európai Bizottság megfelelőnek („adequate”) minősítette a személyes adatok védelmének szintjét Magyarországon, s így a hivatkozott irányelv szerint az Európai Unió országaiból Magyarországra irányuló személyes adatokat érintő adatforgalom olyan szabaddá vált, mintha az uniós tagállamok között történne. Az Avtv. 9. §-ának érvényesíthetősége a korábbiakban is kétséges volt, ám azzal, hogy az elektronikus adatforgalom hétköznapi és tömeges lett, a szabály komolytalanná vált, és sürgető az az igény, hogy azt az Irányelvnek megfelelő és az információs önrendelkezési jog koncepciójával összhangban álló rendelkezés váltsa fel.
2. A kéretlen üzleti célú üzenetek („spam”) jogi szabályozása
Álláspontom szerint a kéretlen üzleti célú e-mail küldése (úgynevezett spamming) esetén céltól eltérő adatkezelés valósul meg. A jövőre nézve a jogalkotónak döntenie kell, hogy az ilyen tevékenység tiltása mellett foglal állást vagy azt - a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény (a továbbiakban: Kkt.) módosításával - egyes korlátozásokkal jogszerűvé teszi. Az utóbbi esetben az Európai Parlament és a Tanács 2000/31/EK sz. irányelvével összhangban elő kellene írni azt, hogy a címzett számára az ilyen üzenetek azonnal és egyértelműen azonosíthatók legyenek, illetve az idézett irányelv és a Kkt. hatályos rendelkezéseivel összhangban biztosítani kell azt, hogy az ilyen üzeneteket fogadni nem kívánó felhasználók számára tilos legyen azok küldése. (Ez úgynevezett opt-out nyilvántartás vezetésének kötelezettségét jelenti: az úgynevezett „Robinson-listán” azok szerepelnek, akik nem kívánnak kéretlen üzleti célú üzenetet fogadni.)
3. A nyilvános kulcsú kriptográfia használata
A hálózat közegében fokozottan sérülékeny a magánszféra: az üzenetekben továbbított személyes adatok biztonsága csak megfelelő titkosítóeszközök használatával érhető el. Az ilyen szoftverek használatával végzett polgári célú titkosítás jelenleg Magyarországon nem tiltott. Nemzetközi példák nyomán várható, hogy a rendvédelmi szervek részéről felmerül az az igény, hogy a polgári célú titkosítás alkalmazását az állam szabályozza, s a szabályozás bizonyos jogi feltételek fennállta mellett biztosítja e szervek számára a kulcsokhoz történő hozzáférést. A nemzetközi példák nyomán arra az álláspontra jutottam, hogy a polgári célú kriptográfia jogszerű használatának korlátozása káros, a bűnüldözés hatékonysága szempontjából előnyei kétségesek, viszont a személyes adatok védelme szempontjából hátrányai kétségtelenek.
4. Elektronikus információszabadság
A számítógépes hálózatok széleskörű használata nemcsak új adatvédelmi kérdéseket vet fel, az informatikai infrastruktúra fejlődése és széleskörű terjedése hozzájárulhat ahhoz, hogy az információszabadsággal immár ne csak a sajtó érdeklődő munkatársai, hanem az eddiginél egyszerűbben, gyorsabban, olcsóbban a polgárok is éljenek.
Az „elektronikus információszabadság” fogalma az Egyesült Államokból származik. Az 1966-ban elfogadott amerikai információszabadság-törvény 1996-os módosítása, az Electronic Freedom of Information Act számos olyan kötelezettséget fogalmaz meg a közintézmények számára, amelyek nagyban elősegítik az információszabadság gyakorlati érvényesülését: a szövetségi közigazgatás kezelésében lévő meghatározott közérdekű információkat számítógépes hálózaton keresztül, illetve ha ilyen nem áll az intézmény rendelkezésére, akkor más elektronikus formában elérhetővé kell tenni.
Itthon is megtörténtek az első lépések az elektronikus információszabadság megteremtése érdekében. Számos minisztérium, közigazgatási szerv, önkormányzat működtet internetes honlapot. 2000 decemberében megszületett az 1113/2000. (XII. 27.) Korm. határozat a közigazgatási adatvagyon-nyilvántartásról, mely kimondta, hogy létre kell hozni és nyilvános hálózaton elérhetővé kell tenni a közigazgatásban kezelt közérdekű adatok fajtáinak és forrásainak nyilvántartását (KIKERES).
Az elektronikus információszabadság megteremtése érdekében tett eddigi kormányzati intézkedéseket támogatva, elengedhetetlennek tartom, hogy az Avtv. 2. § 3. pontjában meghatározott közérdekű adatok elektronikus formában való elérése érdekében az Országgyűlés módosítsa az Avtv.-t, garantálva ezzel, hogy az internet ne csak egyoldalú tájékoztató eszköz legyen az állami, önkormányzati és egyéb közfeladatot ellátó szervek kezében, hanem a közérdekű adatok megismeréséhez való alkotmányos jog új médiuma is.
5. Törvényi szintű szabályozás igénye
A hatályos magyar jog szerint az internet-szolgáltatók által végzett egyes adatkezelésekre nincs törvényi felhatalmazás. A forgalmi adatok kezelésével kapcsolatban meggyőzőek azok az érvek, amelyek szerint ilyen adatok kezelésére a rendszerbiztonság fenntartásának érdekében feltétlenül szükség van. Az ilyen tevékenységet a jövőben jogszerűnek kell minősíteni, ám ki kell jelölni az adatgyűjtés korlátait is.
A jogi helyzet rendezése álláspontom szerint az internet-szolgáltatók és felhasználók által végzett adatkezeléseket (és más kérdéseket is) szabályozó szektorális törvények (pl. az egységes hírközlési, az adatvédelmi, az úgynevezett direkt marketing) kiegészítésével és módosításával lehetséges. Ennek során mintául szolgálhat az 1997-ben elfogadott német Informations und Kommunikationsdienste-Gesetz adatvédelmi fejezete (Teledienstedatenschutzgesetz), amely számos újszerű megoldást tartalmaz: szabályozza az adatkezeléshez való elektronikus úton történő hozzájárulás intézményét, a szolgáltatót kötelezi arra, hogy már az általa használt technológia kiválasztásakor az adatvédelmi szempontokra figyelemmel döntsön, s azt a technológiát használja, amelynek alkalmazása adatkezeléssel egyáltalán nem, vagy a lehető legkisebb mértékben jár együtt. A törvény ésszerű kompromiszszumos megoldással tesz eleget az adatvédelmi követelményeknek és biztosítja egyben a hatékony marketing lehetőségét is: a felhasználó használati szokásairól lehet adatokat gyűjteni, s ennek alapján róla személyiségprofilt alkotni, azonban ezen adatok a felhasználó valódi nevéhez nem, csak álnevéhez kötve gyűjthetők, valódi nevével nem is köthetők össze.
Az új szabályoknak pontosan meg kell határozniuk a felhasználó és a szolgáltatói oldalon álló alanyok fogalmát, az adatok kezelésével kapcsolatos jogaikat és kötelezettségeiket, továbbá - a hálózat felhasználásával történő jogellenes támadások elleni fellépéshez - a támadót azonosító adatok rögzítésének és felhasználásának lehetőségét.
III.
A felhasználók és szolgáltatók adatvédelmet illető jogai és kötelezettségei
1. Az általános adatvédelmi követelmények
Minden szolgáltató és felhasználó törvényes kötelezettsége, hogy kizárólag az Avtv. rendelkezéseinek megfelelően végezzen adatkezelést. Az alábbi pontokban kiemelt kötelezettségek nem ölelik fel az adatkezelők összes kötelezettségét. Felhívom a figyelmet arra, hogy a jogszerűtlen adatkezelés kártérítési felelősséget és büntetőjogi szankciókat vonhat maga után.
2. Adatbiztonság
Felhívom a szolgáltatók figyelmét fokozott felelősségükre, amellyel a felhasználók birtokukban lévő személyes adatainak biztonságáért felelnek. Az Avtv. 10. §-a szerint „az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek”. Az adatkezelő a technikai adatvédelem követelményeinek elmulasztásával okozott kárt az Avtv. 18. §-a alapján köteles megtéríteni, s csak akkor mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
3. Tájékoztatás
Az Avtv. rendelkezései szerint az adatkezelés egyes körülményeiről (az adatkezelés célja, önkéntes vagy kötelező jellege, az adatkezelő illetve adatfeldolgozó személye) az adat felvétele előtt kötelezően, illetve egyes további körülményekről az adatalany kérelmére tájékoztatást kell adni. Azoknak a szolgáltatóknak, amelyek természetes személy felhasználóval szerződéses kapcsolatba lépnek, törvényi kötelezettsége, hogy az adatkezelésre vonatkozó kötelező tájékoztatást az adatkezelés megkezdése előtt - célszerűen a felhasználóval kötött szerződés megkötésekor - megadják, s eleget tegyenek a felhasználók további adatokra vonatkozó kérelmének. Azoknak a szerver-üzemeltetőknek, illetve szerveren szolgáltatást nyújtóknak, amelyek birtokába a szolgáltatás nyújtása során személyes adat kerül, a felhasználónak a tájékoztatást az Avtv. szerint az adat felvétele előtt kell megadniuk. Az Európa Tanács R 99 (5) számú, a magánszféra interneten történő védelméről szóló ajánlása szerint a nyitó weboldalon egyértelmű adatvédelmi nyilatkozatnak kell szerepelnie, amelyhez linkelve a kezelt adatok körére, az adatkezelés céljára, módjára, időtartamára vonatkozó tájékoztatást kell elhelyezni.
A saját maguk által végzett adatkezeléssel kapcsolatos tájékoztatáson túl álláspontom szerint a felelős szolgáltatóknak tájékoztatniuk kell a felhasználókat az internet használatával együttjáró, a magánszférát fenyegető veszélyekről, illetve fel kell hívni figyelmüket a bizalmas kommunikáció lehetőségét biztosító technológiákra.
4. A felhasználók jogainak érvényesítése
A felhasználók figyelmét felhívom arra, hogy magánszférájuk a hálózati közegben fokozottan sérülékeny. Arra bátorítom őket, hogy kérjék szolgáltatójuktól az általa követett adatvédelmi szabályzat rendelkezésére bocsátását, s bármely, adatkezelést illető panaszukkal forduljanak hivatalomhoz. Kérjék szolgáltatójuk tájékoztatását a magánszféra védelmét szolgáló technológiákról, levél- és magántitkaik megőrzése, személyes adataik védelme érdekében használjanak titkosító-szoftvereket.
Hálózati szereplőként a felhasználókhoz is kerülhetnek személyes adatok (pl. nevek, e-mail címek), s nekik is mindig ügyelniük kell arra, hogy azokat csak az adatvédelmi törvény rendelkezéseinek megfelelően, általános esetben csak törvényi felhatalmazás alapján illetve csak az érintett hozzájárulásával továbbíthatják, hozhatják nyilvánosságra.
IV.
Az alábbi ajánlásokat teszem:
- Javaslom a jogalkotó számára, hogy:
- Az Avtv. módosításával harmonizálja a külföldre történő adattovábbítás szabályozását a 95/46/EK sz. irányelv rendelkezéseivel. Az elektronikus információszabadság megteremtése érdekében írja elő, hogy a közérdekű adatok meghatározott körét kötelező közzé- vagy elérhetővé tenni elektronikus formában is.
- A kapcsolódó szektorális törvények módosításával gondoskodjon: a kéretlen üzleti célú üzenetekre vonatkozó szabályozás kialakításáról; a forgalmi adatok kezelésének jogszerűvé tételéről; a hackerek elleni védekezés jogi lehetőségeiről.
- Az internetre vonatkozó szabályozások kialakítása előtt minden esetben folytasson konzultációkat az internet-felhasználók és -szolgáltatók képviselőivel.
- A szolgáltatók figyelmét felhívom arra, hogy adatkezelési gyakorlatuk kialakítása során legyenek figyelemmel az adatvédelmi jogszabályokra, tegyék közzé adatvédelmi elveiket és intézkedéseiket, tájékoztassák a felhasználókat a személyes adataik védelmét szolgáló lehetőségekről és teendőkről. A szolgáltatókat a birtokukban lévő személyes adatok védelméért, a technikai adatvédelem biztosításáért fokozott felelősség terheli. Külön felhívom a szolgáltatók figyelmét arra, hogy az adat felvételével egyidejűleg biztosítaniuk kell a megfelelő tájékoztatást a felhasználók számára.
- A számítógépes hálózati felhasználóknak javaslom, kövessék nyomon a szolgáltatók adatvédelmi politikáját; bátorítom őket a magánszféra védelmét biztosító eszközök alkalmazására, ehhez kérem a szolgáltatók segítségét is. Az új körülmények között az adatvédelmi jog csak a magánszféra és a személyes adatok védelmére szolgáló technológiák alkalmazásával együtt lehet hatékony.
Budapest, 2001. február 1.
Dr. Majtényi László
(406/K/2000)
|