1. Az adatvédelem fogalma, története

1.1. Az adatvédelem fogalma

Rendszergazdák, informatikusok a legtöbbször mást értenek adatvédelem alatt, mint amirõl ez a cikk szól: gyakran az adatbiztonságot, az adatok technikai védelmét tekintik “adatvédelemnek”. Az adatvédelem (data protection, Datenschutz) azonban a jogászok számára mást jelent. Az adatvédelmi jog azon jogszabályok összessége, amelyek meghatározott személyekkel összefüggésben hozható adatok (személyes adatok) kezelésének rendjére adnak elõírásokat.

1.2. Adatvédelem és adatbiztonság

A rendszergazdák egyik fõ feladata, hogy megakadályozzák a rendszerükön található adatokhoz való illetéktelen hozzáférést, ezen adatok jogosulatlan megváltoztatását, vagyis minél többet tegyenek a rendszerbiztonságért. Az adatbiztonság érdekében tett lépések sok esetben elõsegítik a személyes adatok védelmét is (hiszen ezek következményeképp normális esetben illetéktelen személy nem olvashatja a felhasználók magánlevelezését, nem szerezhet információkat tevékenységérõl). Máskor a rendszerbiztonság érdekében tett lépések adatvédelmi rendelkezéseket sérthetnek (pl. naplózás során a felhasználó személyes adatai jogszerûtlenül kerülnek rögzítésre). Fontos, hogy a rendszergazda ismerje a személyes adatok védelmére vonatkozó jogszabályi elõírásokat, s a redszerüzemeltetés során betartsa azokat: ezzel súlyos jogi következményektõl kímélheti meg magát.

1.3. Adatvédelmi jog a világban

A személyes adatok védelmérõl törvényt elõször Németországban, az akkori NSZK Hessen tartományában fogadtak el 1977-ben, s ezt a törvényt számos másik követte Nyugat-Európában. A német Alkotmánybíróság egy 1983-as döntésében kimondta: “az Alaptörvény … biztosítja az egyén illetékességét arra, hogy személyes adatainak felfedésérõl és felhasználásáról alapvetõen maga rendelkezzék”, ezzel megalkotva a késõbb a magyar alkotmánybírákra majd törvényhozókra is ható információs önrendelkezési jog-koncepciót (lásd alább).

A nemzetközi szervezetek adatvédelemmel kapcsolatos tevékenysége is igen jelentos: az Európa Tanács 1981-ben fogadott el az adatvédelemmel kapcsolatos egyezményt (az Európa Tanácsnak Magyarország is tagja, és az Egyezmény kihirdetésére az 1998. évi VI. törvénnyel sor is került). Az Európai Unió Parlamentje és Tanácsa 1995-ben fogadta el az adatvédelemrõl szóló EU-irányelvet: az ebben lefektetett – igen szigorú – követelményeket minden EU-tagállamnak 1998. októberéig kellett jogrendszerébe átültetnie.

Az Amerikai Egyesült Államokban nincs az európai értelemben vett adatvédelmi törvény. Az USA-ban jelenleg is folyik a vita arról, vajon megteremthetõk-e a magánszféra védelmének feltételei az egyes, adatkezeléseket tömegesen végzõ szervezetek (direkt marketing cégek, stb.) önszabályozásával, vagy az amerikai hagyományokhoz kevésbé illeszkedõ állami beavatkozásra, törvény alkotására van szükség. A kérdés az EU és az Egyesült Államok közötti kapcsolatokat is érinti: az adatvédelemrõl szóló EU-irányelv szerint ugyanis a tagállamokból csak az “adekvát” védelmet biztosító országba lehet személyes adatot továbbítani. Az “adekvát” védelem megteremtésének amerikai módjáról tárgyalások folynak az EU és az Egyesült Államok képviselõi között.

1.4. Adatvédelmi jog Magyarországon

Az Alkotmány 59. § (1) bekezdése szerint “a Magyar Köztársaságban mindenkit megillet a jóhírnévhez, a magánlakás sérthetetlenségéhez valamint a magántitok és a személyes adatok védelméhez való jog”. Ezt az alkotmányos rendelkezést értelmezte az Alkotmánybíróság 15/1991 (IV. 13.) sz. határozata, amely alkotmányellenesnek nyilvánította a korlátozás nélkül használható, általános és egységes személyazonosító jelet, vagyis a személyi számot. Az Alkotmánybíróság a személyes adatokhoz fûzõdõ alkotmányos jogot nem negatív szabadságjogként, hanem – a német példa nyomán – aktív jogként, mint információs önrendelkezési jogot értelmezte: “az Alkotmány 59. §-ában biztosított személyes adatok védelméhez való jognak … az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról”.

Az alkotmánybírósági határozat után egy évvel megszületett a személyes adatok védelmérõl és a közérdekû adatok nyilvánosságáról szóló 1992. évi LXIII. tv., amely rögzíti az információs önrendelkezési jog gyakorlásának kereteit. Az adatvédelmi törvény mellett születtek törvények egyes szektorok adatkezelésérõl (pl. az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésérõl szóló 1997. évi XLVII. tv.), és számos egyéb jogszabály is tartalmaz a személyes adatok védelmére vonatkozó szabályokat (pl. a rendõrségrõl szóló 1994. évi XXXIV. tv., a hitelintézetekrõl és pénzügyi vállalkozásokról szóló 1996. évi CXII. tv., stb.). A magyar adatvédelmi jog jelenlegi állapotában szinte teljes mértékben eleget tesz az EU adatvédelmi irányelvében foglaltaknak.

1.5. Válságban az adatvédelmi jog?

Az elsõ adatvédelmi törvények elfogadásának célja elsõsorban a legnagyobb adatkezelõ, az állam információs túlhatalmának megelõzése volt. A magyarországi adatvédelem õsforrásának tekinthetõ határozatában az Alkotmánybíróság így fogalmazott:

“a személyi szám elterjedt használata esetén a magánszféra megszûnik, mert a legtávolabb esô különbözõ célú nyilvántartásokból összehozott adatokból elõállítható az ún. személyiségprofil, az érintett tetszõlegesen széles tevékenységi körére kiterjedõ és intimszférájába is behatoló mûvi kép, amely ugyanakkor az adatok kontextusból kiragadott volta miatt nagy valószínûséggel torz is. … A nagy mennyiségû összekapcsolt adat, amelyrõl az érintett legtöbbször nem is tud, kiszolgáltatja az érintettet, egyenlôtlen kommunikációs helyzeteket hoz létre. Megalázó az olyan helyzet, és lehetetlenné teszi a szabad döntést, amelyben az egyik fél nem tudhatja, hogy partnere milyen információkkal rendelkezik róla.”

Az Alkotmánybíróság azonban érzékelte, hogy a személyiségprofil felépítése a már rendelkezésre álló technológiák alkalmazásával egységes azonosító nélkül is lehetséges:

“A személyi szám a személyes adatok megbízható összekapcsolásának – az adatfeldolgozás mai módjait tekintve – technikai szempontból legelõnyösebb eszköze. Személyes adatokat természetesen össze lehet kapcsolni névvel, és szükség szerint kiegészítõ azonosítók segítségével, mint pl. az anya neve, vagy lakcím. A mai számítógép kapacitások mellett ezek terjedelme sem jelent különösebb problémát. A “természetes” adatok azonban változhatnak (pl. a név férjhezmenéssel vagy névváltoztatással), s elõfordulhat, hogy a megkülönböztetéshez további adatok szükségesek; továbbá változó adatok esetén (mint a lakcím) az adatok követése és karbantartása szükséges. Az ezzel járó nehézségek és kiadások jelentõs tételként jönnek számba az adatfeldolgozás költség/haszon elemzésénél, s […] természetes fékjét képezik az indokolatlan adatgyûjtésnek, amire a kéznél lévô személyi szám késztet.”

A testület állásfoglalását a nagy adatbázisokra vonatkozóan fejtette ki, annak megfogalmazásakor még még nem számolhatott azzal, hogy egy évtizeden belül a helyzet gyökeresen megváltozik. Adott számítási teljesítmény ma az 1991-es ár töredékéért elérhetõ, és ennek következtében az Alkotmánybíróság döntésében említett, a totális adatgyûjtés elõtt álló természetes fék már nem áll fenn. Egyre több személyes adat kerül a nemzetközi számítógépes hálózatok közegébe, s ezeket az adatokat igen széles személyi kör érheti el, kapcsolhatja össze.

A hagyományos kommunikációs csatornákon továbbított üzenetek széles körû lehallgatása és feldolgozása nem volt automatizált és csak igen nagy ráfordítással volt megoldható, az ilyen csatornákról történõ totális adatgyûjtést minden államban akadályozták a magas költségek, demokratikus államokban pedig az is, hogy széleskörû adatgyûjtés aligha képzelhetõ el nyom nélkül. A számítógépes hálózatokon azonban igen nehéz ellenõrizni az adatgyûjtés törvényességét (pl. azt, hogy az adatokat meghatározott célból kezelik, csak a szükséges mértékben kezelik, stb.), s annak költségei is jóval alacsonyabbak. Ráadásul az adatok összekapcsolásának és a személyiségprofil felállításának immár csak egyik célja az, hogy az állam hatékonyabban ellenõrizhesse saját vagy más államok polgárait. A napjainkban felvett személyiségprofilok többségének a célja nem a politikai ellenõrzés, hanem a hatékony marketing. A reklámot az teszi hatékonnyá, ha a megfelelõ közönséget célozzák meg vele: az internet használata közben hagyott nyomok alapján már most jobban mérhetõk a felhasználók szokásai, preferenciái, mint más médiumok esetén.

Az új körülményekhez illeszteni kell az adatvédelmi jogot is. A meglévõ, általános adatvédelmi törvények mellett megfelelõ szektorális, a hálózat közegében alkalmazható szabályok elfogadására van szükség (ilyenre van már példa Európában: az Internettel ill. általában az interaktív médiával kapcsolatos szabályokat tartalmazó 1997-es német törvény adatvédelmi rendelkezései példmutatóak lehetnek), másrészt – mivel az illegális adatgyûjtés a korábbinál lényegesen egyszerûbben megvalósítható – megfelelõ eszközöket kell adni a felhasználók kezébe ahhoz, hogy maguk is tehessenek magánszférájuk védelme érdekében, vagyis lehetoséget kell teremteni az erõs rejtjelzés minél szélesebb körû használatára.

2. Az magyar adatvédelmi törvény rendelkezései

A személyes adatok védelmérol és a közérdeku adatok nyilvánosságáról szóló 1992. évi LXIII. tv. rögzíti a személyes adatok kezelésének alapvetõ szabályait, s emellett szól a közérdekû adatok (állami, vagy önkormányzati szervek kezelésében lévõ, személyes adatnak nem minõsülõ adatok) megismerésének jogáról, az ún. információszabadságról is. Az alábbiakban kizárólag a törvény legfontosabb adatvédelemmel kapcsolatos rendelkezéseit ismertetjük.

2.1. Alapfogalmak

Az adatvédelmi törvény lényegében azt szabályozza, milyen feltételek mellett szabad személyes adatokat kezelni. Személyes adat a törvény szerint a meghatározott természetes személlyel kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat mindaddig megõrzi ezt a minõségét, amíg kapcsolata az érintettel helyreállítható.

Ez azt jelenti, hogy a magyar törvény szerint nem lényeges, hogy az adatalany és az adat helyreállítását az adatkezelõ vagy más személy képes elvégezni: ha a kapcsolat helyreállítható, az adat személyes adatnak minõsül. A valamely szolgáltatást nyújtó szerveren naplófájlban rögzített, a szolgáltatást igénybe vevõ felhasználó számára a szolgáltatója által dinamikusan kiosztott IP-cím pl. akkor is személyes adat, ha kizárólag a felhasználó Internet-szolgáltatója képes a személy és az adott idõpontban használt IP-cím között kapcsolatot teremteni, a szerver üzemeltetõje nem. Az adat mindaddig megõrzi személyes adat jellegét, ameddig az Internet-szolgáltató képes az adott felhasználó által adott idõpontban használt IP-cím meghatározására; az ezt lehetõvé tévõ naplófájl törlése után az adat nem személyes adat többé.

A törvény a személyes adatok körén belül megkülönbözteti az ún. különleges adatokat: ilyenek a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyõzõdésre, ill. az egészségi állapotra, a kóros szenvedélyre, a szexuális életre, valamint a büntetett elõéletre vonatkozó személyes adatok. A megkülönböztetésnek az a jelentõsége, hogy különleges adatok kezelésével szemben a törvény szigorúbb követelményeket támaszt.

Adatkezelésnek minõsül az alkalmazott eljárástól függetlenül a személyes adatok gyûjtése, felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése. Adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása is.

A törvényhozó szándéka a törvény miniszteri indokolásból kiolvashatóan az volt, hogy az elképzehetõ összes, az adatokon végezhetõ mûveletet az adatkezelés fogalma alá vonjon, ám a szándékot nem sikerült tökéletesen kivitelezni. A törvény értelmében – az EU adatvédelmi irányelvével ellentétben – nem minõsül adatkezelésnek egy nyilvántartás adattartalmába történõ puszta betekintés.

A törvény külön definíciót is ad az adatkezelés körébe tartozó két cselekményre. Meghatározása szerint adattovábbítás, ha az adatot meghatározott harmadik személy részére hozzáférhetõvé teszik, és nyilvánosságra hozatal, ha az adatot bárki számára hozzáférhetõvé teszik.

A törvény szerint adatkezelõ az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezõ szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetõleg a végrehajtással adatfeldolgozót bízhat meg.

Adatfeldolgozásnak minõsül az adatkezelési mûveletek, technikai feladatok elvégzése, függetlenül a mûveletek végrehajtásához alkalmazott módszertõl és eszköztôl, valamint az alkalmazás helyétõl. Az adatfeldolgozó az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezõ szervezet, aki vagy amely az adatkezelõ megbízásából személyes adatok feldolgozását végzi. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe.

2.2. Az adatkezelés jogalapja

Az adatvédelmi törvény szerint személyes adatot kezelni jogszerûen csak akkor lehet, ha ahhoz az érintett hozzájárul, vagy azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete elrendeli. Különleges adatok esetében a szabály még szigorúbb: ilyen adatok csak az érintett írásos hozzájárulása esetén, a különleges adatok meghatározott köre esetében nemzetközi egyezmény alapján, ill. az Alkotmányban biztosított alapvetõ jog érvényesítése, továbbá a nemzetbiztonság, a bûnmegelõzés vagy a bûnüldözés érdekét szolgáló törvényi felhatalmazás esetén lehet.
Az adatvédelmi biztos egy állásfoglalása szerint nem minõsül írásbeli hozzájárulásnak az elektronikus aláírással ellátott és elektronikus formában elküldött hozzájáruló nyilatkozat.
Mivel esetleges jogvita esetében az adatkezelõ köteles arra, hogy bizonyítsa az adatkezelés jogszerûségét, célszerû az érintett hozzájárulása alapján végzett adatkezelések esetén akkor is azok írásbeli hozzájárulását beszerezni, ha ezt a törvény nem írja elõ. A törvény szerint az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében, valamint az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. A vélelemre az érintett figyelmét fel kell hívni.
A “kérelem” és az “eljárás” fogalmak használatából arra a következtetésre juthatunk, hogy ezt a törvényhelyet csak államigazgatási eljárás esetében kell alkalmazni. A törvény miniszteri indokolása azonban arra utal, hogy e rendelkezés célja, hogy elkerülhetõ legyen a mindennapi ügyletek esetében a szükséges adatok kelezéséhez való hozzájárulás kérése.
A törvény külön is szól az adatok.nyilvánosságra hozataláról ill. külföldre való továbbításáról. Ami az elõbbit illeti, személyes adatok nyilvánosságra hozatalát törvény is csak közérdekbõl, az adatok körének kifejezett megjelölésével rendelheti el. Egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett hozzájárulását nem adta meg.
Érdekes feltételt rögzít a törvény a külföldi adattovábbítással kapcsolatban: személyes adat az az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – külföldi adatkezelõ részére csak akkor továbbítható, ha az érintett ahhoz hozzájárult, vagy azt törvény lehetõvé teszi, feltéve, ha az adatkezelés feltételei a külföldi adatkezelõnél minden egyes adatra nézve teljesülnek.
%%%
2.3. A jogszerû adatkezelés egyéb feltételei, az adatalany jogai

Az adatvédelmi törvény szerint minden adatkezeléssel szemben alapvetõ követelmény a célhozkötöttség: személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet, s csak olyan adat kezelhetõ, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. A törvény külön is elõírja, hogy a személyes adatot törölni kell, ha az adatkezelés célja megszûnt. Ehhez kapcsolódik az a szabály, amely szerint az adatok tárolási módjának olyannak kell lennie, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani

Az adatkezelés csak akkor jogszerû, ha az adatok felvétele tisztességes és törvényes módon történt. A felvett adatoknak pontosnak, teljesnek és ha szükséges, idõszerûnek kell lenniük.

Fentebb szóltunk már az adatvédelem és adatbiztonság fogalmának megkülönböztetésérõl. A törvény az adatbiztonságról is szól: az adatkezelõ, illetve tevékenységi körében az adatkezelõ köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat – kiemelten az államtitokká és szolgálati titokká minõsített személyes adatot – védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetõleg sérülés vagy megsemmisülés ellen.

A törvény e rendelkezése egyébként meglehetõsen talányos. Mivel az adatokhoz való hozzáférés nem adatkezelés, jogosulatlan adatkezelést nem lehet megállapítani olyan esetben, amelyben valaki illetéktelenül fér hozzá az adathoz, azonban az adatkezelés körébe vont egyéb cselekményt nem valósít meg.

Az adatkezelõ ezen feltételek biztosításán túl általános esetben köteles bejelenteni az általa végzett adatkezelés célját, a kezelt adatok fajtáját és kezelésének jogalapját, az érintettek körét, az adatok forrását valamint adattovábbítás esetén a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, valamint az egyes adatfajták törlési határidejét az adatvédelmi biztos által vezetett adatvédelmi nyilvántartásba. A törvény számos kivételt állapít meg a bejelentési kötelezettség alól.

A fenti kötelezettségek teljesítésén túl az adatkezelõnek biztosítania kell azt is, hogy az adatalany élhessen az adatvédelmi törvény által biztosított jogaival. Az érintett tájékoztatást kérhet adatai kezelésérõl az adatkezelõtõl az általa kezelt, valamint az általa megbízott adatfeldolgozó által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról, idõtartamáról, az adatfeldolgozó nevérõl és címérõl és az adatfeldolgozással kapcsolatos tevékenységérõl, továbbá arról, hogy kik és milyen célból kapják ill. kapták meg az adatokat. Ez utóbbi kötelezettség teljesíthetõsége érdekében adattovábbításra vonatkozó nyilvántartás vezetése szükséges. Az adatkezelõ a kérelem benyújtásától számított legrövidebb idõn, legfeljebb azonban 30 napon belül köteles írásban, közérthetõ formában megadni a tájékoztatást, s azt csak törvény által elõírt esetben tagadhatja meg. Az elutasított kérelmekrõl az adatkezelõnek évente tájékoztatnia kell az adatvédelmi biztost. Az érintett másik, a törvény által biztosított joga, hogy személyes adatainak helyesbítését, ill. a jogszabályban elrendelt adatkezelések kivételével törlését kérheti.

2.4. A jogosulatlan adatkezelés következményei

A személyes adatok védelmérol szóló rendelkezések megsértése igen komoly jogi következményekkel járhat. A Büntetõ Törvénykönyv 177/A §-a szerint jogosulatlan adatkezelés vétségét követi el és egy évig terjedõ szabadságvesztéssel, közérdekû munkával vagy pénzbüntetéssel büntethetõ az az adatkezelõ vagy adatfeldolgozó, aki jogosulatlanul vagy a céltól eltérõen személyes adatot kezel, személyes adatot jogellenesen továbbít vagy nyilvánosságra hoz, személyes adatok kezelésére vonatkozó bejelentési kötelezettségét nem teljesíti, személyes adatot az arra jogosult elõl eltitkol, ill. kezelt személyes adatot meghamisít, vagy közérdekû adatot eltitkol vagy meghamisít. A szabálysértésekrõl szóló 1968. évi I. tv. 88/B bekezdése szerint adatvédelmi szabálysértést követ el az, aki a technikai adatvédelem követelményeinek nem tesz eleget ill. az érintettet a személyes adatok védelméhez vagy a közérdekû adatok nyilvánosságához való jogában akadályozza.

Az adatkezelõ mindezen túl kártérítési felelõsséggel is tartozik a jogellenes adatkezelés következményeiért: “az adatkezelõ az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni”. Ez a felelõsségi szabály a Ptk. által szabályozott veszélyes üzemi felelõsséghez hasonlít. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származik.

Az adatvédelmi törvényben meghatározott jogok megsértése esetében az érintett bírósághoz fordulhat. A perben az adatkezelõ köteles bizonyítani, hogy az adatkezelés a jogszabályban foglaltaknak megfelel.

Amennyiben valakit véleménye szerint személyes adatainak kezelésével kapcsolatos sérelem ért, panasszal fordulhat az adatvédelmi biztoshoz is. A biztos eljárása során felvilágosítást kérhet az adatkezelõtõl, megismerheti az adatkezelést, majd – amennyiben álláspontja szerint az adatkezelés jogellenes – annak megszüntetésére szólítja fel az adatkezelõt. A biztos ajánlásainak, állásfoglalásainak kötelezõ ereje nincs, ám ha az adatkezelõ a biztos felszólítására sem szünteti meg az adatkezelést, az tájékoztatja a nyilvánosságot az adatkezelés tényérõl, a kezelõ személyérõl és a kezelt adatok körérõl.

3. Adatvédelem és rendszerüzemeltetés

Bár szektorális adatvédelmi törvény nem szól a számítógépes rendszerek üzemeltetése során végzett adatkezelésekrõl, az adatvédelmi biztos gyakorlatában többször is felmerültek ilyen esetek. Az alábbiakban azt foglaljuk össze, milyen jogszabályok szólnak a rendszerüzemeltetés során végzett adatkezelésekrõl, és ismertetjük az adatvédelmi biztos néhány, a témához kapcsolódó állásfoglalását.

3.1. Irányadó jogszabályok

A magyar jogrendszerben sem általában a számítógépes rendszerek, sem a számítógépes hálózatok felhasználóinak adatait érintõ adatkezeléseket nem szabályozza külön törvény, a rendszergazdának tehát mindenekelõtt az adatvédelmi törvény rendelkezéseit kell figyelem elõtt tartania.

A közelmúltban került a rendõrségrõl szóló 1994. évi XXXIV. törvénybe az a rendelkezés, amelynek értelmében a rendõrség meghatározott esetekben hozzájuthat az e-mailek tartalmához. A törvény szerint a rendõrség “az Interneten vagy más számítástechnikai úton történõ levelezés (e-mail) során keletkezett adatokat és információkat is megismerheti és felhasználhatja”, ha súlyos (pl. gyermekkorú ellen irányuló, kábítószerrel kapcsolatos, fegyveres elkövetéssel megvalósuló, stb.) bûncselekményrõl van szó, s erre bírói engedélye van. Hangsúlyozni kell, hogy ebben az esetben a rendõrség titkos információgyûjtést végez; nyílt információgyûjtés esetében az adatkérésre számos más lehetõség is rendelkezésére áll a rendõrségi törvény és a büntetõeljárási törvény alapján.

A polgári célú kriptográfia használata Magyarországon nem szabályozott. létezik ugyan jogszabály a rejtjeltevékenységrõl (43/1994. (III.29.) Korm. sz. rendelet), ám annak hatálya csak az államtitoknak és szolgálati titoknak minõsülõ, rejtjelzési kötelezettség alá esõ adatokra vonatkozik, így minden további nélkül szabad titkosítóeszközöket, pl. a népszerû PGP-t használni.

A fentiek mellett a számos egyéb jogszabály határozhat meg az adott rendszer üzemeltetése során követendõ adatvédelmi szabályokat, ilyen pl. egészségügyi adatkezelés esetén az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésérõl és védelmérõl szóló 1997. évi XLVII. tv., banktitkok kezelése esetén a hitelintézetekrõl és a pénzügyi vállalkozásokról szóló 1996. évi CXII. tv., stb. Amennyiben valamely adatkezelés jogszerûségét tekintve kétségeink támadnak, mindenképpen érdemes jogi szakértõ segítségét igénybe venni.

3.2. Esetek az adatvédelmi biztos gyakorlatából

Az adatvédelmi biztos gyakorlatában több olyan eset is elõfordult, amely kapcsán a biztos számítógépes rendszerek üzemeltetése során végzett adatkezelés, ill. ilyen rendszerek üzemeltetõitõl való adatkérés kapcsán foglalt állást.

1996-ban a rendõrség bombamerénylet ügyében folytatott nyomozást (ketchupos bomba-ügy). Ennek a nyomozásnak a keretében intézett ügyészi ellenjegyzéssel ellátott adatkérést a merénylet körzetében mûködõ internet-szolgáltatókhoz, hogy azok adják ki elõfizetõik nevét és címét. (A rendõrség álláspontja szerint ugyanis az elkövetõ az internetrõl is beszerezhette a bombakészítéshez szükséges leírást.) Az eset jelentõsége, hogy annak kapcsán az adatvédelmi biztos állásfoglalást kért a Közlekedési, Hírközlési és Vízügyi Minisztériumtól: távközlési szolgáltatónak minõsül-e az internet-szolgáltató. A minisztérium ebben az esetben úgy foglalt állást, hogy az internethez hozzáférést szolgáltató cégek távközlési szolgáltatónak minõsülnek. A távközlési szolgáltatók a rendõrségi törvényben meghatározott feltételek mellett kötelesek az adatszolgáltatásra, így az adott esetben az adatkérés jogszerû volt.

1998-ban ismét egy rendõrségi adatkérés kapcsán foglalkozott a biztos az internet-szolgáltatókkal, mint adakezelõkkel, s egy minden rendszergazda számára ismert témakörrel: a naplózással. A rendõrség egy hálózati lap által web-felületen üzemeltetett fórum egy hozzászólójának adatait kérte a lap szerkesztõségétõl, rongálás felderítése iránti nyomozás keretében. A kérdéses fórumon az üzenetek elõzetes regisztráció (név, lakcím, e-mail cím megadása) nélkül is megjelentek. Mint a biztos megállapította, a szerveren, amelyen a szolgáltatás elérhetõ, a hozzászólás forrására utaló egyes adatok (IP-cím, bizonyos esetekben a felhasználó neve is) azoknak a felhasználó általi megadása nélkül is rögzülhetnek. Ha az ilyen adat a felhasználó természetes személlyel kapcsolatba hozható, akkor a személyes adatok védelmérõl és a közérdekû adatok nyilvánosságáról szóló 1992. évi LXIII. tv. (Avtv.) 2. § 1. pontja szerint személyes adatnak minõsül. Az IP-címnek ill. esetleges más adatoknak a szolgáltatást nyújtó szerveren történõ rögzítése tehát az Avtv. meghatározása (2. § 1.pont) szerint adatkezelés (adatfelvétel, adattárolás).

Az adatkezelõ a kérdéses esetben azonban nem lehetett a hálózati lapot kiadó kft. ill. a lap szerkesztõsége, hiszen az adatkezelésre e szervezeteket törvény nem hatalmazta fel, az adatalany hozzájárulásán pedig – mivel olyan fórumról van szó, amelyben a résztvevõk adataikat nem adják meg – szintén nem alapulhatott az adatkezelés. Az adott esetben tehát nem a szerveren tartalmat közzétévõ cég, hanem a szervert üzemeltetõ cég volt az adatkezelõ. A biztos ezen állásfoglalása szerint “míg tartalomszolgáltató az adatalany hozzájárulása híján nem kezelheti annak adatait, addig az Internet-szolgáltató a szolgáltatás teljesítéséhez szükséges mértékben igen. Aggályos azonban, hogy ez utóbbi adatkezelés törvényi alapját a távközlésrõl szóló 1992. évi LXXII tv. teremti meg, ám e törvény adatkezelésrõl és adatvédelemrõl szóló rendelkezései nem alkalmazhatók megfelelõen az Interneten nyújtott szolgáltatásokkal kapcsolatos adatvédelmi kérdésekre”. Az állásfoglalás lényegi tartalma az volt, hogy a hálózati lap – mivel nem kezelheti jogszerûen az adatokat – nem is továbbíthatja azokat a rendõrség részére. A szerkesztõség eleget is tett a felszólításnak, és megsemmisítette a kérdéses adatokat.

Ebben az esetben a rendõrség valószínûleg sikerrel kérhette volna az adatokat a szerver üzemeltetõjétõl. Az 1996-os ügy és az akkori KHVM-állásfoglalás nyomán az adatvédelmi biztos ezen 1998-as állásfoglalása a szerverüzemeltetõket távközlési szolgáltatónak tekinti. Ennek azért van jelentõsége, mert a távközlési szolgáltatókat a távközlésrõl szóló törvény a szolgáltatás ellátásához szükséges mértékben felhatalmazza személyes adatok kezelésére. Azonban ez az álláspont akár vitatható is, a távközlési törvény szabályozása igen nehezen alkalmazható e területen, s így bizonytalan a naplózás során végzett személyes adatkezelés jogi megítélése is.

A harmadik ismertetett eset nemzetközi elemet is tartalmaz, s arra mutat példát, hogy a jogszabályok, köztük az adatvédelmi törvény rendelkezéseit az interneten végzett bármely tevékenység során is meg kell tartani: a hálózat nem jogmentes tér. Az adatvédelmi biztoshoz forduló panaszos egy terméket bemutató CD-t rendelt egy amerikai cég weblapján. A demo-CD-t a panaszos nem kapta meg, ám az amerikai cég õt úgy tájékoztatta, hogy adatait továbbította termékeik magyarországi viszonteladójának (X Bt.) Az adatvédelmi biztos megkereste az X Bt-t, amely válaszlevelében arról adott tájékoztatást, hogy “idõrõl idõre érkeznek cégükhöz olyan természetes személyek adatai, amelyek külföldi partnercégük általuk forgalmazott termékei iránti érdeklõdésrõl tanúskodnak”. Ezen adatokat a cég elkülönítetten kezeli, és kizárólag saját marketing és üzletpolitikai céljára használja fel, biztosítva azt is, hogy az adatok nyilvánosságra ne kerüljenek ill. azokhoz illetéktelenek ne férjenek hozzá.

Mindez azonban az amerikai cég weblapján az érdeklõdõknek nem volt módja arra, hogy az e cég részérõl a magyar X Bt. részére történõ adattovábbításhoz és az adatoknak az X Bt. által történõ kezeléséhez hozzájáruljanak, az X Bt. általi adatkezelés – az érintettek hozzájárulása hiányában – törvényellenes volt. A biztos felszólította céget az adatok törlésére, s a jövõre nézve javasolta, hogy az amerikai cég honlapján kezdeményezzék olyan tájékoztató szöveg elhelyezését, amely biztosítja, hogy csak azok a magyarországi érdeklõdõk adják meg adataikat, akik az X Bt részére történõ adattovábbításhoz és az adatok általa történõ kezeléséhez hozzájárultak.

4. Összefoglalásul

Mint bemutattuk, az adatvédelmi szabályok megsértése igen komoly jogi következményekkel járhat. A jogosulatlan adatkezelés törvényi tényállása nem csak szerepel a Btk-ban, hanem alkalmazzák is: nagy nyilvántartások kezelõi ellen több büntetõeljárás is folyt már, akár egyes adatok cél nélküli lehívása miatt is (bár a szerzõ álláspontja szerint ebben az esetben bûncselekmény nem valósul meg, lásd fentebb). A felhasználó magánszférája s önmagunk védelmének érdekében tartsuk szem elõtt a következõket:

A felhasználó adatait csak beleegyezésével, vagy olyan esetben szabad kiadni, ha az adatkérõnek törvény (ill. törvényi felhatalmazáson alapuló önkormányzati rendelet) erre felhatalmazást ad. Egyéb esetben SOHA ne adjuk ki a fehasználó adatát, még akkor se, ha a felhasználó vétett a netikett ellen, esetleg betörési kísérlet miatt kéri az adatot valamely más rendszer üzemeltetõje. A számítógépes bûnözés elleni harcot bízzuk az erre hivatott szervekre.
Tájékoztassuk rendszerünk felhasználóit a rendszer igénybevétele során kezelt személyes adatok körérõl, azok felhasználásáról a törvény elõírásai szerint. Célszerû a rendszer használatát olyan szabályzat elfogadásához kötni, amely tartalmazza a szükséges adatkezeléshez való hozzájárulást.
Tájékoztassuk felhasználóinkat arról, milyen veszélyekkel járhat magánszférájukra nézve egy nyílt számítógépes rendszer használata, s teremsük meg a lehetõségét annak, hogy maguk is tehessenek személyes adataik védelme érdekében. Ezek a módszerek mind a redszerbiztonság, mind a felhasználók személyes adatainak védelme szempontjából hasznosak. Installáljuk az elektronikus levelezést, a távoli elérést biztonságosan lehetõvé tévõ programokat (PGP, SSH, stb.), s hívjuk fel a felhasználók figyelmét ezek használatának lehetõségére. Ismertessük azokat a lehetõségeket, amelyekkel a felhasználó módosíthatja azon szolgáltatások beállításait, amelyek használatával tevékenységérõl illetéktelenek is tudomást szerezhetnek (finger, stb).

Ha konkrét esettel kapcsolatban adatvédelemet illetõ kérdése van, forduljon az Adatvédelmi Biztos Irodájához (telefon: 269-3537, fax: 269-3541).
E cikkel kapcsolatos kritikai észrevételeit a jori@mail.datanet.hu címen várja a szerzõ.