Az adatvédelemrõl rendszergazdáknak

2001. március 18. Dr. Jóri András <>
letöltés

1. Az adatvédelem fogalma, története

1.1. Az adatvédelem fogalma

Rendszergazdák, informatikusok a legtöbbször mást értenek adatvédelem alatt, mint amirõl ez a cikk szól: gyakran az adatbiztonságot, az adatok technikai védelmét tekintik "adatvédelemnek". Az adatvédelem (data protection, Datenschutz) azonban a jogászok számára mást jelent. Az adatvédelmi jog azon jogszabályok összessége, amelyek meghatározott személyekkel összefüggésben hozható adatok (személyes adatok) kezelésének rendjére adnak elõírásokat.

1.2. Adatvédelem és adatbiztonság

A rendszergazdák egyik fõ feladata, hogy megakadályozzák a rendszerükön található adatokhoz való illetéktelen hozzáférést, ezen adatok jogosulatlan megváltoztatását, vagyis minél többet tegyenek a rendszerbiztonságért. Az adatbiztonság érdekében tett lépések sok esetben elõsegítik a személyes adatok védelmét is (hiszen ezek következményeképp normális esetben illetéktelen személy nem olvashatja a felhasználók magánlevelezését, nem szerezhet információkat tevékenységérõl). Máskor a rendszerbiztonság érdekében tett lépések adatvédelmi rendelkezéseket sérthetnek (pl. naplózás során a felhasználó személyes adatai jogszerûtlenül kerülnek rögzítésre). Fontos, hogy a rendszergazda ismerje a személyes adatok védelmére vonatkozó jogszabályi elõírásokat, s a redszerüzemeltetés során betartsa azokat: ezzel súlyos jogi következményektõl kímélheti meg magát.

1.3. Adatvédelmi jog a világban

A személyes adatok védelmérõl törvényt elõször Németországban, az akkori NSZK Hessen tartományában fogadtak el 1977-ben, s ezt a törvényt számos másik követte Nyugat-Európában. A német Alkotmánybíróság egy 1983-as döntésében kimondta: "az Alaptörvény ... biztosítja az egyén illetékességét arra, hogy személyes adatainak felfedésérõl és felhasználásáról alapvetõen maga rendelkezzék", ezzel megalkotva a késõbb a magyar alkotmánybírákra majd törvényhozókra is ható információs önrendelkezési jog-koncepciót (lásd alább).

A nemzetközi szervezetek adatvédelemmel kapcsolatos tevékenysége is igen jelentos: az Európa Tanács 1981-ben fogadott el az adatvédelemmel kapcsolatos egyezményt (az Európa Tanácsnak Magyarország is tagja, és az Egyezmény kihirdetésére az 1998. évi VI. törvénnyel sor is került). Az Európai Unió Parlamentje és Tanácsa 1995-ben fogadta el az adatvédelemrõl szóló EU-irányelvet: az ebben lefektetett - igen szigorú - követelményeket minden EU-tagállamnak 1998. októberéig kellett jogrendszerébe átültetnie.

Az Amerikai Egyesült Államokban nincs az európai értelemben vett adatvédelmi törvény. Az USA-ban jelenleg is folyik a vita arról, vajon megteremthetõk-e a magánszféra védelmének feltételei az egyes, adatkezeléseket tömegesen végzõ szervezetek (direkt marketing cégek, stb.) önszabályozásával, vagy az amerikai hagyományokhoz kevésbé illeszkedõ állami beavatkozásra, törvény alkotására van szükség. A kérdés az EU és az Egyesült Államok közötti kapcsolatokat is érinti: az adatvédelemrõl szóló EU-irányelv szerint ugyanis a tagállamokból csak az "adekvát" védelmet biztosító országba lehet személyes adatot továbbítani. Az "adekvát" védelem megteremtésének amerikai módjáról tárgyalások folynak az EU és az Egyesült Államok képviselõi között.

1.4. Adatvédelmi jog Magyarországon

Az Alkotmány 59. § (1) bekezdése szerint "a Magyar Köztársaságban mindenkit megillet a jóhírnévhez, a magánlakás sérthetetlenségéhez valamint a magántitok és a személyes adatok védelméhez való jog". Ezt az alkotmányos rendelkezést értelmezte az Alkotmánybíróság 15/1991 (IV. 13.) sz. határozata, amely alkotmányellenesnek nyilvánította a korlátozás nélkül használható, általános és egységes személyazonosító jelet, vagyis a személyi számot. Az Alkotmánybíróság a személyes adatokhoz fûzõdõ alkotmányos jogot nem negatív szabadságjogként, hanem - a német példa nyomán - aktív jogként, mint információs önrendelkezési jogot értelmezte: "az Alkotmány 59. §-ában biztosított személyes adatok védelméhez való jognak ... az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról".

Az alkotmánybírósági határozat után egy évvel megszületett a személyes adatok védelmérõl és a közérdekû adatok nyilvánosságáról szóló 1992. évi LXIII. tv., amely rögzíti az információs önrendelkezési jog gyakorlásának kereteit. Az adatvédelmi törvény mellett születtek törvények egyes szektorok adatkezelésérõl (pl. az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésérõl szóló 1997. évi XLVII. tv.), és számos egyéb jogszabály is tartalmaz a személyes adatok védelmére vonatkozó szabályokat (pl. a rendõrségrõl szóló 1994. évi XXXIV. tv., a hitelintézetekrõl és pénzügyi vállalkozásokról szóló 1996. évi CXII. tv., stb.). A magyar adatvédelmi jog jelenlegi állapotában szinte teljes mértékben eleget tesz az EU adatvédelmi irányelvében foglaltaknak.

1.5. Válságban az adatvédelmi jog?

Az elsõ adatvédelmi törvények elfogadásának célja elsõsorban a legnagyobb adatkezelõ, az állam információs túlhatalmának megelõzése volt. A magyarországi adatvédelem õsforrásának tekinthetõ határozatában az Alkotmánybíróság így fogalmazott:

"a személyi szám elterjedt használata esetén a magánszféra megszûnik, mert a legtávolabb esô különbözõ célú nyilvántartásokból összehozott adatokból elõállítható az ún. személyiségprofil, az érintett tetszõlegesen széles tevékenységi körére kiterjedõ és intimszférájába is behatoló mûvi kép, amely ugyanakkor az adatok kontextusból kiragadott volta miatt nagy valószínûséggel torz is. ... A nagy mennyiségû összekapcsolt adat, amelyrõl az érintett legtöbbször nem is tud, kiszolgáltatja az érintettet, egyenlôtlen kommunikációs helyzeteket hoz létre. Megalázó az olyan helyzet, és lehetetlenné teszi a szabad döntést, amelyben az egyik fél nem tudhatja, hogy partnere milyen információkkal rendelkezik róla."

Az Alkotmánybíróság azonban érzékelte, hogy a személyiségprofil felépítése a már rendelkezésre álló technológiák alkalmazásával egységes azonosító nélkül is lehetséges:

"A személyi szám a személyes adatok megbízható összekapcsolásának - az adatfeldolgozás mai módjait tekintve - technikai szempontból legelõnyösebb eszköze. Személyes adatokat természetesen össze lehet kapcsolni névvel, és szükség szerint kiegészítõ azonosítók segítségével, mint pl. az anya neve, vagy lakcím. A mai számítógép kapacitások mellett ezek terjedelme sem jelent különösebb problémát. A "természetes" adatok azonban változhatnak (pl. a név férjhezmenéssel vagy névváltoztatással), s elõfordulhat, hogy a megkülönböztetéshez további adatok szükségesek; továbbá változó adatok esetén (mint a lakcím) az adatok követése és karbantartása szükséges. Az ezzel járó nehézségek és kiadások jelentõs tételként jönnek számba az adatfeldolgozás költség/haszon elemzésénél, s [...] természetes fékjét képezik az indokolatlan adatgyûjtésnek, amire a kéznél lévô személyi szám késztet."

A testület állásfoglalását a nagy adatbázisokra vonatkozóan fejtette ki, annak megfogalmazásakor még még nem számolhatott azzal, hogy egy évtizeden belül a helyzet gyökeresen megváltozik. Adott számítási teljesítmény ma az 1991-es ár töredékéért elérhetõ, és ennek következtében az Alkotmánybíróság döntésében említett, a totális adatgyûjtés elõtt álló természetes fék már nem áll fenn. Egyre több személyes adat kerül a nemzetközi számítógépes hálózatok közegébe, s ezeket az adatokat igen széles személyi kör érheti el, kapcsolhatja össze.

A hagyományos kommunikációs csatornákon továbbított üzenetek széles körû lehallgatása és feldolgozása nem volt automatizált és csak igen nagy ráfordítással volt megoldható, az ilyen csatornákról történõ totális adatgyûjtést minden államban akadályozták a magas költségek, demokratikus államokban pedig az is, hogy széleskörû adatgyûjtés aligha képzelhetõ el nyom nélkül. A számítógépes hálózatokon azonban igen nehéz ellenõrizni az adatgyûjtés törvényességét (pl. azt, hogy az adatokat meghatározott célból kezelik, csak a szükséges mértékben kezelik, stb.), s annak költségei is jóval alacsonyabbak. Ráadásul az adatok összekapcsolásának és a személyiségprofil felállításának immár csak egyik célja az, hogy az állam hatékonyabban ellenõrizhesse saját vagy más államok polgárait. A napjainkban felvett személyiségprofilok többségének a célja nem a politikai ellenõrzés, hanem a hatékony marketing. A reklámot az teszi hatékonnyá, ha a megfelelõ közönséget célozzák meg vele: az internet használata közben hagyott nyomok alapján már most jobban mérhetõk a felhasználók szokásai, preferenciái, mint más médiumok esetén.

Az új körülményekhez illeszteni kell az adatvédelmi jogot is. A meglévõ, általános adatvédelmi törvények mellett megfelelõ szektorális, a hálózat közegében alkalmazható szabályok elfogadására van szükség (ilyenre van már példa Európában: az Internettel ill. általában az interaktív médiával kapcsolatos szabályokat tartalmazó 1997-es német törvény adatvédelmi rendelkezései példmutatóak lehetnek), másrészt - mivel az illegális adatgyûjtés a korábbinál lényegesen egyszerûbben megvalósítható - megfelelõ eszközöket kell adni a felhasználók kezébe ahhoz, hogy maguk is tehessenek magánszférájuk védelme érdekében, vagyis lehetoséget kell teremteni az erõs rejtjelzés minél szélesebb körû használatára.

2. Az magyar adatvédelmi törvény rendelkezései

A személyes adatok védelmérol és a közérdeku adatok nyilvánosságáról szóló 1992. évi LXIII. tv. rögzíti a személyes adatok kezelésének alapvetõ szabályait, s emellett szól a közérdekû adatok (állami, vagy önkormányzati szervek kezelésében lévõ, személyes adatnak nem minõsülõ adatok) megismerésének jogáról, az ún. információszabadságról is. Az alábbiakban kizárólag a törvény legfontosabb adatvédelemmel kapcsolatos rendelkezéseit ismertetjük.

2.1. Alapfogalmak

Az adatvédelmi törvény lényegében azt szabályozza, milyen feltételek mellett szabad személyes adatokat kezelni. Személyes adat a törvény szerint a meghatározott természetes személlyel kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat mindaddig megõrzi ezt a minõségét, amíg kapcsolata az érintettel helyreállítható.

Ez azt jelenti, hogy a magyar törvény szerint nem lényeges, hogy az adatalany és az adat helyreállítását az adatkezelõ vagy más személy képes elvégezni: ha a kapcsolat helyreállítható, az adat személyes adatnak minõsül. A valamely szolgáltatást nyújtó szerveren naplófájlban rögzített, a szolgáltatást igénybe vevõ felhasználó számára a szolgáltatója által dinamikusan kiosztott IP-cím pl. akkor is személyes adat, ha kizárólag a felhasználó Internet-szolgáltatója képes a személy és az adott idõpontban használt IP-cím között kapcsolatot teremteni, a szerver üzemeltetõje nem. Az adat mindaddig megõrzi személyes adat jellegét, ameddig az Internet-szolgáltató képes az adott felhasználó által adott idõpontban használt IP-cím meghatározására; az ezt lehetõvé tévõ naplófájl törlése után az adat nem személyes adat többé.

A törvény a személyes adatok körén belül megkülönbözteti az ún. különleges adatokat: ilyenek a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyõzõdésre, ill. az egészségi állapotra, a kóros szenvedélyre, a szexuális életre, valamint a büntetett elõéletre vonatkozó személyes adatok. A megkülönböztetésnek az a jelentõsége, hogy különleges adatok kezelésével szemben a törvény szigorúbb követelményeket támaszt.

Adatkezelésnek minõsül az alkalmazott eljárástól függetlenül a személyes adatok gyûjtése, felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése. Adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása is.

A törvényhozó szándéka a törvény miniszteri indokolásból kiolvashatóan az volt, hogy az elképzehetõ összes, az adatokon végezhetõ mûveletet az adatkezelés fogalma alá vonjon, ám a szándékot nem sikerült tökéletesen kivitelezni. A törvény értelmében - az EU adatvédelmi irányelvével ellentétben - nem minõsül adatkezelésnek egy nyilvántartás adattartalmába történõ puszta betekintés.

A törvény külön definíciót is ad az adatkezelés körébe tartozó két cselekményre. Meghatározása szerint adattovábbítás, ha az adatot meghatározott harmadik személy részére hozzáférhetõvé teszik, és nyilvánosságra hozatal, ha az adatot bárki számára hozzáférhetõvé teszik.

A törvény szerint adatkezelõ az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezõ szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetõleg a végrehajtással adatfeldolgozót bízhat meg.

Adatfeldolgozásnak minõsül az adatkezelési mûveletek, technikai feladatok elvégzése, függetlenül a mûveletek végrehajtásához alkalmazott módszertõl és eszköztôl, valamint az alkalmazás helyétõl. Az adatfeldolgozó az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezõ szervezet, aki vagy amely az adatkezelõ megbízásából személyes adatok feldolgozását végzi. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe.

2.2. Az adatkezelés jogalapja

Az adatvédelmi törvény szerint személyes adatot kezelni jogszerûen csak akkor lehet, ha ahhoz az érintett hozzájárul, vagy azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendelete elrendeli. Különleges adatok esetében a szabály még szigorúbb: ilyen adatok csak az érintett írásos hozzájárulása esetén, a különleges adatok meghatározott köre esetében nemzetközi egyezmény alapján, ill. az Alkotmányban biztosított alapvetõ jog érvényesítése, továbbá a nemzetbiztonság, a bûnmegelõzés vagy a bûnüldözés érdekét szolgáló törvényi felhatalmazás esetén lehet.
Az adatvédelmi biztos egy állásfoglalása szerint nem minõsül írásbeli hozzájárulásnak az elektronikus aláírással ellátott és elektronikus formában elküldött hozzájáruló nyilatkozat.
Mivel esetleges jogvita esetében az adatkezelõ köteles arra, hogy bizonyítsa az adatkezelés jogszerûségét, célszerû az érintett hozzájárulása alapján végzett adatkezelések esetén akkor is azok írásbeli hozzájárulását beszerezni, ha ezt a törvény nem írja elõ. A törvény szerint az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében, valamint az érintett kérelmére indult eljárásban a szükséges adatainak kezeléséhez való hozzájárulását vélelmezni kell. A vélelemre az érintett figyelmét fel kell hívni.
A "kérelem" és az "eljárás" fogalmak használatából arra a következtetésre juthatunk, hogy ezt a törvényhelyet csak államigazgatási eljárás esetében kell alkalmazni. A törvény miniszteri indokolása azonban arra utal, hogy e rendelkezés célja, hogy elkerülhetõ legyen a mindennapi ügyletek esetében a szükséges adatok kelezéséhez való hozzájárulás kérése.
A törvény külön is szól az adatok.nyilvánosságra hozataláról ill. külföldre való továbbításáról. Ami az elõbbit illeti, személyes adatok nyilvánosságra hozatalát törvény is csak közérdekbõl, az adatok körének kifejezett megjelölésével rendelheti el. Egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett hozzájárulását nem adta meg.
Érdekes feltételt rögzít a törvény a külföldi adattovábbítással kapcsolatban: személyes adat az az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - külföldi adatkezelõ részére csak akkor továbbítható, ha az érintett ahhoz hozzájárult, vagy azt törvény lehetõvé teszi, feltéve, ha az adatkezelés feltételei a külföldi adatkezelõnél minden egyes adatra nézve teljesülnek.

  • kapcsolódó anyagok
ADATVÉDELEM
ALKOTMÁNYJOG
INTERNET
INTERNET-JOG
CIKK
INFORMATIKA