Az adatvédelemrõl rendszergazdáknak

2001. március 18. Dr. Jóri András <>
letöltés

2.3. A jogszerû adatkezelés egyéb feltételei, az adatalany jogai

Az adatvédelmi törvény szerint minden adatkezeléssel szemben alapvetõ követelmény a célhozkötöttség: személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet, s csak olyan adat kezelhetõ, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. A törvény külön is elõírja, hogy a személyes adatot törölni kell, ha az adatkezelés célja megszûnt. Ehhez kapcsolódik az a szabály, amely szerint az adatok tárolási módjának olyannak kell lennie, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani

Az adatkezelés csak akkor jogszerû, ha az adatok felvétele tisztességes és törvényes módon történt. A felvett adatoknak pontosnak, teljesnek és ha szükséges, idõszerûnek kell lenniük.

Fentebb szóltunk már az adatvédelem és adatbiztonság fogalmának megkülönböztetésérõl. A törvény az adatbiztonságról is szól: az adatkezelõ, illetve tevékenységi körében az adatkezelõ köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat - kiemelten az államtitokká és szolgálati titokká minõsített személyes adatot - védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetõleg sérülés vagy megsemmisülés ellen.

A törvény e rendelkezése egyébként meglehetõsen talányos. Mivel az adatokhoz való hozzáférés nem adatkezelés, jogosulatlan adatkezelést nem lehet megállapítani olyan esetben, amelyben valaki illetéktelenül fér hozzá az adathoz, azonban az adatkezelés körébe vont egyéb cselekményt nem valósít meg.

Az adatkezelõ ezen feltételek biztosításán túl általános esetben köteles bejelenteni az általa végzett adatkezelés célját, a kezelt adatok fajtáját és kezelésének jogalapját, az érintettek körét, az adatok forrását valamint adattovábbítás esetén a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, valamint az egyes adatfajták törlési határidejét az adatvédelmi biztos által vezetett adatvédelmi nyilvántartásba. A törvény számos kivételt állapít meg a bejelentési kötelezettség alól.

A fenti kötelezettségek teljesítésén túl az adatkezelõnek biztosítania kell azt is, hogy az adatalany élhessen az adatvédelmi törvény által biztosított jogaival. Az érintett tájékoztatást kérhet adatai kezelésérõl az adatkezelõtõl az általa kezelt, valamint az általa megbízott adatfeldolgozó által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról, idõtartamáról, az adatfeldolgozó nevérõl és címérõl és az adatfeldolgozással kapcsolatos tevékenységérõl, továbbá arról, hogy kik és milyen célból kapják ill. kapták meg az adatokat. Ez utóbbi kötelezettség teljesíthetõsége érdekében adattovábbításra vonatkozó nyilvántartás vezetése szükséges. Az adatkezelõ a kérelem benyújtásától számított legrövidebb idõn, legfeljebb azonban 30 napon belül köteles írásban, közérthetõ formában megadni a tájékoztatást, s azt csak törvény által elõírt esetben tagadhatja meg. Az elutasított kérelmekrõl az adatkezelõnek évente tájékoztatnia kell az adatvédelmi biztost. Az érintett másik, a törvény által biztosított joga, hogy személyes adatainak helyesbítését, ill. a jogszabályban elrendelt adatkezelések kivételével törlését kérheti.

2.4. A jogosulatlan adatkezelés következményei

A személyes adatok védelmérol szóló rendelkezések megsértése igen komoly jogi következményekkel járhat. A Büntetõ Törvénykönyv 177/A §-a szerint jogosulatlan adatkezelés vétségét követi el és egy évig terjedõ szabadságvesztéssel, közérdekû munkával vagy pénzbüntetéssel büntethetõ az az adatkezelõ vagy adatfeldolgozó, aki jogosulatlanul vagy a céltól eltérõen személyes adatot kezel, személyes adatot jogellenesen továbbít vagy nyilvánosságra hoz, személyes adatok kezelésére vonatkozó bejelentési kötelezettségét nem teljesíti, személyes adatot az arra jogosult elõl eltitkol, ill. kezelt személyes adatot meghamisít, vagy közérdekû adatot eltitkol vagy meghamisít. A szabálysértésekrõl szóló 1968. évi I. tv. 88/B bekezdése szerint adatvédelmi szabálysértést követ el az, aki a technikai adatvédelem követelményeinek nem tesz eleget ill. az érintettet a személyes adatok védelméhez vagy a közérdekû adatok nyilvánosságához való jogában akadályozza.

Az adatkezelõ mindezen túl kártérítési felelõsséggel is tartozik a jogellenes adatkezelés következményeiért: "az adatkezelõ az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni". Ez a felelõsségi szabály a Ptk. által szabályozott veszélyes üzemi felelõsséghez hasonlít. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származik.

Az adatvédelmi törvényben meghatározott jogok megsértése esetében az érintett bírósághoz fordulhat. A perben az adatkezelõ köteles bizonyítani, hogy az adatkezelés a jogszabályban foglaltaknak megfelel.

Amennyiben valakit véleménye szerint személyes adatainak kezelésével kapcsolatos sérelem ért, panasszal fordulhat az adatvédelmi biztoshoz is. A biztos eljárása során felvilágosítást kérhet az adatkezelõtõl, megismerheti az adatkezelést, majd - amennyiben álláspontja szerint az adatkezelés jogellenes - annak megszüntetésére szólítja fel az adatkezelõt. A biztos ajánlásainak, állásfoglalásainak kötelezõ ereje nincs, ám ha az adatkezelõ a biztos felszólítására sem szünteti meg az adatkezelést, az tájékoztatja a nyilvánosságot az adatkezelés tényérõl, a kezelõ személyérõl és a kezelt adatok körérõl.

3. Adatvédelem és rendszerüzemeltetés

Bár szektorális adatvédelmi törvény nem szól a számítógépes rendszerek üzemeltetése során végzett adatkezelésekrõl, az adatvédelmi biztos gyakorlatában többször is felmerültek ilyen esetek. Az alábbiakban azt foglaljuk össze, milyen jogszabályok szólnak a rendszerüzemeltetés során végzett adatkezelésekrõl, és ismertetjük az adatvédelmi biztos néhány, a témához kapcsolódó állásfoglalását.

3.1. Irányadó jogszabályok

A magyar jogrendszerben sem általában a számítógépes rendszerek, sem a számítógépes hálózatok felhasználóinak adatait érintõ adatkezeléseket nem szabályozza külön törvény, a rendszergazdának tehát mindenekelõtt az adatvédelmi törvény rendelkezéseit kell figyelem elõtt tartania.

A közelmúltban került a rendõrségrõl szóló 1994. évi XXXIV. törvénybe az a rendelkezés, amelynek értelmében a rendõrség meghatározott esetekben hozzájuthat az e-mailek tartalmához. A törvény szerint a rendõrség "az Interneten vagy más számítástechnikai úton történõ levelezés (e-mail) során keletkezett adatokat és információkat is megismerheti és felhasználhatja", ha súlyos (pl. gyermekkorú ellen irányuló, kábítószerrel kapcsolatos, fegyveres elkövetéssel megvalósuló, stb.) bûncselekményrõl van szó, s erre bírói engedélye van. Hangsúlyozni kell, hogy ebben az esetben a rendõrség titkos információgyûjtést végez; nyílt információgyûjtés esetében az adatkérésre számos más lehetõség is rendelkezésére áll a rendõrségi törvény és a büntetõeljárási törvény alapján.

A polgári célú kriptográfia használata Magyarországon nem szabályozott. létezik ugyan jogszabály a rejtjeltevékenységrõl (43/1994. (III.29.) Korm. sz. rendelet), ám annak hatálya csak az államtitoknak és szolgálati titoknak minõsülõ, rejtjelzési kötelezettség alá esõ adatokra vonatkozik, így minden további nélkül szabad titkosítóeszközöket, pl. a népszerû PGP-t használni.

A fentiek mellett a számos egyéb jogszabály határozhat meg az adott rendszer üzemeltetése során követendõ adatvédelmi szabályokat, ilyen pl. egészségügyi adatkezelés esetén az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésérõl és védelmérõl szóló 1997. évi XLVII. tv., banktitkok kezelése esetén a hitelintézetekrõl és a pénzügyi vállalkozásokról szóló 1996. évi CXII. tv., stb. Amennyiben valamely adatkezelés jogszerûségét tekintve kétségeink támadnak, mindenképpen érdemes jogi szakértõ segítségét igénybe venni.

3.2. Esetek az adatvédelmi biztos gyakorlatából

Az adatvédelmi biztos gyakorlatában több olyan eset is elõfordult, amely kapcsán a biztos számítógépes rendszerek üzemeltetése során végzett adatkezelés, ill. ilyen rendszerek üzemeltetõitõl való adatkérés kapcsán foglalt állást.

1996-ban a rendõrség bombamerénylet ügyében folytatott nyomozást (ketchupos bomba-ügy). Ennek a nyomozásnak a keretében intézett ügyészi ellenjegyzéssel ellátott adatkérést a merénylet körzetében mûködõ internet-szolgáltatókhoz, hogy azok adják ki elõfizetõik nevét és címét. (A rendõrség álláspontja szerint ugyanis az elkövetõ az internetrõl is beszerezhette a bombakészítéshez szükséges leírást.) Az eset jelentõsége, hogy annak kapcsán az adatvédelmi biztos állásfoglalást kért a Közlekedési, Hírközlési és Vízügyi Minisztériumtól: távközlési szolgáltatónak minõsül-e az internet-szolgáltató. A minisztérium ebben az esetben úgy foglalt állást, hogy az internethez hozzáférést szolgáltató cégek távközlési szolgáltatónak minõsülnek. A távközlési szolgáltatók a rendõrségi törvényben meghatározott feltételek mellett kötelesek az adatszolgáltatásra, így az adott esetben az adatkérés jogszerû volt.

1998-ban ismét egy rendõrségi adatkérés kapcsán foglalkozott a biztos az internet-szolgáltatókkal, mint adakezelõkkel, s egy minden rendszergazda számára ismert témakörrel: a naplózással. A rendõrség egy hálózati lap által web-felületen üzemeltetett fórum egy hozzászólójának adatait kérte a lap szerkesztõségétõl, rongálás felderítése iránti nyomozás keretében. A kérdéses fórumon az üzenetek elõzetes regisztráció (név, lakcím, e-mail cím megadása) nélkül is megjelentek. Mint a biztos megállapította, a szerveren, amelyen a szolgáltatás elérhetõ, a hozzászólás forrására utaló egyes adatok (IP-cím, bizonyos esetekben a felhasználó neve is) azoknak a felhasználó általi megadása nélkül is rögzülhetnek. Ha az ilyen adat a felhasználó természetes személlyel kapcsolatba hozható, akkor a személyes adatok védelmérõl és a közérdekû adatok nyilvánosságáról szóló 1992. évi LXIII. tv. (Avtv.) 2. § 1. pontja szerint személyes adatnak minõsül. Az IP-címnek ill. esetleges más adatoknak a szolgáltatást nyújtó szerveren történõ rögzítése tehát az Avtv. meghatározása (2. § 1.pont) szerint adatkezelés (adatfelvétel, adattárolás).

Az adatkezelõ a kérdéses esetben azonban nem lehetett a hálózati lapot kiadó kft. ill. a lap szerkesztõsége, hiszen az adatkezelésre e szervezeteket törvény nem hatalmazta fel, az adatalany hozzájárulásán pedig - mivel olyan fórumról van szó, amelyben a résztvevõk adataikat nem adják meg - szintén nem alapulhatott az adatkezelés. Az adott esetben tehát nem a szerveren tartalmat közzétévõ cég, hanem a szervert üzemeltetõ cég volt az adatkezelõ. A biztos ezen állásfoglalása szerint "míg tartalomszolgáltató az adatalany hozzájárulása híján nem kezelheti annak adatait, addig az Internet-szolgáltató a szolgáltatás teljesítéséhez szükséges mértékben igen. Aggályos azonban, hogy ez utóbbi adatkezelés törvényi alapját a távközlésrõl szóló 1992. évi LXXII tv. teremti meg, ám e törvény adatkezelésrõl és adatvédelemrõl szóló rendelkezései nem alkalmazhatók megfelelõen az Interneten nyújtott szolgáltatásokkal kapcsolatos adatvédelmi kérdésekre". Az állásfoglalás lényegi tartalma az volt, hogy a hálózati lap - mivel nem kezelheti jogszerûen az adatokat - nem is továbbíthatja azokat a rendõrség részére. A szerkesztõség eleget is tett a felszólításnak, és megsemmisítette a kérdéses adatokat.

Ebben az esetben a rendõrség valószínûleg sikerrel kérhette volna az adatokat a szerver üzemeltetõjétõl. Az 1996-os ügy és az akkori KHVM-állásfoglalás nyomán az adatvédelmi biztos ezen 1998-as állásfoglalása a szerverüzemeltetõket távközlési szolgáltatónak tekinti. Ennek azért van jelentõsége, mert a távközlési szolgáltatókat a távközlésrõl szóló törvény a szolgáltatás ellátásához szükséges mértékben felhatalmazza személyes adatok kezelésére. Azonban ez az álláspont akár vitatható is, a távközlési törvény szabályozása igen nehezen alkalmazható e területen, s így bizonytalan a naplózás során végzett személyes adatkezelés jogi megítélése is.

A harmadik ismertetett eset nemzetközi elemet is tartalmaz, s arra mutat példát, hogy a jogszabályok, köztük az adatvédelmi törvény rendelkezéseit az interneten végzett bármely tevékenység során is meg kell tartani: a hálózat nem jogmentes tér. Az adatvédelmi biztoshoz forduló panaszos egy terméket bemutató CD-t rendelt egy amerikai cég weblapján. A demo-CD-t a panaszos nem kapta meg, ám az amerikai cég õt úgy tájékoztatta, hogy adatait továbbította termékeik magyarországi viszonteladójának (X Bt.) Az adatvédelmi biztos megkereste az X Bt-t, amely válaszlevelében arról adott tájékoztatást, hogy "idõrõl idõre érkeznek cégükhöz olyan természetes személyek adatai, amelyek külföldi partnercégük általuk forgalmazott termékei iránti érdeklõdésrõl tanúskodnak". Ezen adatokat a cég elkülönítetten kezeli, és kizárólag saját marketing és üzletpolitikai céljára használja fel, biztosítva azt is, hogy az adatok nyilvánosságra ne kerüljenek ill. azokhoz illetéktelenek ne férjenek hozzá.

Mindez azonban az amerikai cég weblapján az érdeklõdõknek nem volt módja arra, hogy az e cég részérõl a magyar X Bt. részére történõ adattovábbításhoz és az adatoknak az X Bt. által történõ kezeléséhez hozzájáruljanak, az X Bt. általi adatkezelés - az érintettek hozzájárulása hiányában - törvényellenes volt. A biztos felszólította céget az adatok törlésére, s a jövõre nézve javasolta, hogy az amerikai cég honlapján kezdeményezzék olyan tájékoztató szöveg elhelyezését, amely biztosítja, hogy csak azok a magyarországi érdeklõdõk adják meg adataikat, akik az X Bt részére történõ adattovábbításhoz és az adatok általa történõ kezeléséhez hozzájárultak.

4. Összefoglalásul

Mint bemutattuk, az adatvédelmi szabályok megsértése igen komoly jogi következményekkel járhat. A jogosulatlan adatkezelés törvényi tényállása nem csak szerepel a Btk-ban, hanem alkalmazzák is: nagy nyilvántartások kezelõi ellen több büntetõeljárás is folyt már, akár egyes adatok cél nélküli lehívása miatt is (bár a szerzõ álláspontja szerint ebben az esetben bûncselekmény nem valósul meg, lásd fentebb). A felhasználó magánszférája s önmagunk védelmének érdekében tartsuk szem elõtt a következõket:

A felhasználó adatait csak beleegyezésével, vagy olyan esetben szabad kiadni, ha az adatkérõnek törvény (ill. törvényi felhatalmazáson alapuló önkormányzati rendelet) erre felhatalmazást ad. Egyéb esetben SOHA ne adjuk ki a fehasználó adatát, még akkor se, ha a felhasználó vétett a netikett ellen, esetleg betörési kísérlet miatt kéri az adatot valamely más rendszer üzemeltetõje. A számítógépes bûnözés elleni harcot bízzuk az erre hivatott szervekre.
Tájékoztassuk rendszerünk felhasználóit a rendszer igénybevétele során kezelt személyes adatok körérõl, azok felhasználásáról a törvény elõírásai szerint. Célszerû a rendszer használatát olyan szabályzat elfogadásához kötni, amely tartalmazza a szükséges adatkezeléshez való hozzájárulást.
Tájékoztassuk felhasználóinkat arról, milyen veszélyekkel járhat magánszférájukra nézve egy nyílt számítógépes rendszer használata, s teremsük meg a lehetõségét annak, hogy maguk is tehessenek személyes adataik védelme érdekében. Ezek a módszerek mind a redszerbiztonság, mind a felhasználók személyes adatainak védelme szempontjából hasznosak. Installáljuk az elektronikus levelezést, a távoli elérést biztonságosan lehetõvé tévõ programokat (PGP, SSH, stb.), s hívjuk fel a felhasználók figyelmét ezek használatának lehetõségére. Ismertessük azokat a lehetõségeket, amelyekkel a felhasználó módosíthatja azon szolgáltatások beállításait, amelyek használatával tevékenységérõl illetéktelenek is tudomást szerezhetnek (finger, stb).

Ha konkrét esettel kapcsolatban adatvédelemet illetõ kérdése van, forduljon az Adatvédelmi Biztos Irodájához (telefon: 269-3537, fax: 269-3541).
E cikkel kapcsolatos kritikai észrevételeit a jori@mail.datanet.hu címen várja a szerzõ.

  • kapcsolódó anyagok
ADATVÉDELEM
ALKOTMÁNYJOG
INTERNET
INTERNET-JOG
INFORMATIKA