Ezen írásom szerkesztett változata az Adatvédelem Napja alkalmából rendezett WORLD WIDE IDENTITY Konferencián 2009. január 28-án tartott előadásomnak.
Amikor a megtisztelő felkérést megkaptam Jóri András adatvédelmi biztostól, akkor hirtelen nagy gondban voltam, hogy miről is beszéljek én ezen a konferencián. Az Adatvédelmi Biztos Hivatala létrejöttekor nem is titkoltan a "Nagytestvér" túlkapásainak visszaszorítását tűzte ki többek közt céljául. Az én tevékenységem, munkásságom a rendőrség kötelékében telt, az adatvédelmi biztos - enyhe túlzással - állíthatom, hogy árgus szemekkel nézte minden egyes tevékenységemet, tekintettel arra, hogy én, mint bűnügyi nyomozó, csak adatokból tudok dolgozni. A nyomozónak az lenne az ideális, ha minél több adat megmaradna minél hosszabb ideig. Látszólag antagonisztikus ellentét van a két terület közt.
Természetesen személyes kapcsolataim is vannak a hivatal munkatársaival, jókat vitatkozunk egy-egy kérdésről, de jellemző, hogy nagyon sokat tanulok tőlük, hiszen más szempontból világítanak meg egyes kérdéseket, és remélem, hogy én is tudok nekik újat mondani. Ismerjük egymás eltérő nézeteit, elveit, és a gyakorlati életben egyes kérdések megítélésében nem egyszer fordulunk egymáshoz tanácsért.
Ezen előzmények után kaptam a felkérést és olyan témát kellett választanom, melyhez értek is, szakterületem, de érdekelheti az ezen a területen dolgozó hivatásos és nem hivatásos jogvédőket, szakembereket. Végül úgy döntöttem, hogy megpróbálok arra rávilágítani, hogy az adatvédelmi munka nemcsak toronyba zárt jogvédők, az élettől elrugaszkodott elméleti "okoskodása", hanem, ha egy kicsit komolyabban belegondolunk, akkor konkrét gazdasági hatásai is kimutathatók.
Teljes mértékben egyetértek azzal, amit dr. Jóri András a konferencia bevezetőjében felvázolt: az emberi szabadságnak, méltóságnak egyik alappillére a személyes adatainkkal való önrendelkezés. Mint rendőr, szívből örülök annak, hogy úgy érzi, hogy az államigazgatás működésében, ha nem is teljesen hibátlanul, de már sokkal jobban figyelnek erre a területre. Abban is egyetértünk, hogy az úgynevezett "Kistestvérekre" is egyre nagyobb figyelmet kell fordítani, mivel egyre nagyobb veszélyt jelentenek már ők is a személyes adatainkkal való önrendelkezésünkre. A "Kistestvérek" legtöbb esetben nem úgy tűnnek fel a szemünkben, hogy el akarnak minket nyomni, sőt általában adatainkat azért gyűjtik, tárolják, hogy ezzel nekünk nagyobb biztonságot, kényelmet biztosítsanak. Bár ez a cél jó, de a mint a "Nagytestvér", az állam esetében, az ő esetükben is igaz, hogy az adatokat nem csak jó célra, hanem rossz, káros dolgokra is fel lehet használni.
Internetezésünk során örülünk annak, ha nem kell minden lépcsőfokon keresztülrágva magunkat eljutni egy-egy aldomain-hez, ahol a minket érdeklő tartalom található, hanem ha azt egyszer megtaláltuk, akkor legközelebb gyorsan, egyszerűen, a gépek és a programok adta lehetőségeket kihasználva, már egyből arra az oldalra jussunk, ahol a minket érdeklő hirdetések, hírek találhatók. Ezekkel a szolgáltatásokkal egyszerűbb, kényelmesebb lesz az életünk, de egyben ki is vagyunk szolgáltatva azoknak, akik ezen programokat készítik, az adatainkat kezelik, mert legalább részleges, de adott esetben akár egy teljes személyiségprofilt is ki tudnak alakítani rólunk.
Miért zavarna ez bárkit, hiszen ennek csak az előnyeit élvezi, gyorsabban juthat hozzá az őt érdeklő témákhoz, hírekhez, hirdetésekhez? Az adatkezelésnek ez a része még talán nem is zavaró, de akkor már igen, ha a megadott adatok alapján személyiségünkkel, adatainkkal visszaélve másnap reggel az elektronikus postaládánk tele van olyan hirdetésekkel, melyeket nem is kértünk. Később egyre több olyan spam levél érkezik, amelyekben a legkülönfélébb módon próbálnak tőlünk pénzt kicsalni, csak egyszerűen a hitelkártya adatainkat próbálják megszerezni, vagy más módon becsapni.
Ezek már számunkra is káros tevékenységek, melyeknek az egyik alapja az, hogy megszerezték a személyes adatainkat, vagy egyéb adatokat az általunk használt informatikai rendszerről, pl. az elektronikus postafiók adatait, vagy azt, hogy milyen operációs rendszert használunk, milyen programokkal.
Az elkövetkezendőkben egy-egy példával világítom meg, hogy a személyes adatainkkal való jogosulatlan kereskedelem, vagy visszaélés milyen bűncselekmények elkövetését segítheti elő, és ezek milyen nagy gazdasági kárral járnak - nemcsak a személyi adat tulajdonosának, sőt néha nem is neki személyesen, hanem össztársadalmi, nemzetgazdasági szinten.
A bűnözők a virtuális térben is arra törekszenek, mint a való életben - anyagi haszonszerzésre. Jellemzőbb formái közül nézzük az alábbiakat: szerzői jogi bűncselekmények, adathalászat, "nigériai" csalás, hálózatbiztonsági bűncselekmények. Mindegyik közös jellemzője, hogy a személyes adataink - jellemzően az elektronikus postafiókunk címének - felhasználásával követik el.
A szerzői jogi bűncselekmények kárértékére jellemző, hogy évente közel 2 milliárd forint a bizonyított kárérték. Természetesen a látencia ennél a bűncselekménynél is igen jelentős. Csak a filmipar számítása szerint 2007. évben 102 millió USD kárt okoztak Magyarországon a filmkalózok. Ma már köztudott, hogy a szerzői jogi bűncselekmények jelentős részét nem a piacokon, CD/DVD és floppy lemezek árusításával követik el, hanem az interneten. Ez a kárérték már igen jelentős, nemzetgazdasági szinten is, nem beszélve arról, hogy a gyártókat mekkora kár éri az elmaradt bevételek miatt. (Azon lehetne vitatkozni, hogy a jogtulajdonosok megtesznek-e mindent annak érdekében, hogy ezen károkat csökkentsék, új kereskedési formákat tegyenek vonzóvá, de ez a jelenlegi témánk szempontjából most lényegtelen.) Egyes szakértők szerint ennek a bűncselekményi kategóriának a nyereségessége vetekszik a kábítószer-kereskedelem, vagy egyéb, hagyományosan a szervezett bűnözéshez kapcsolódó elkövetési formák nyereségességével.
A másik jellemző elkövetési forma az adathalász tevékenység (phishing). Ez a bűncselekményi kategória már kimondottan az internet által létrehozott elkövetési forma. A lényege, hogy nem a bank informatikai rendszerét támadják az elkövetők, hanem a leggyengébb szereplőt - a banki ügyfelet, a felhasználót. Legáltalánosabban itt sem az informatikai rendszert, hanem az emberek, a felhasználók hiszékenységét használják ki. Általában nagy tömegű spam jellegű levelet küldenek ki egy-egy bank nevében, amelyben valamilyen mondvacsinált okra hivatkozva próbálják meg megszerezni a felhasználó szenzitív banki adatait, vagyis a felhasználói nevét és jelszavát. Azzal "fenyegetve" meg a felhasználót, hogy ha ezeket az adatokat nem adja meg, akkor rövid időn belül zárolják a bankszámláját, nem fér hozzá a pénzéhez. A levélben ekkor előzékenyen megadják azt a linket is, melyen ezeket az adatokat meg tudja adni, hogy ne kelljen a bank honlapján keresgélnie ezt az oldalt. Természetesen ez a levélben szereplő link nem a bank honlapjára, hanem az elkövetők honlapjára mutat, ahol az elkövetőkhöz kerülnek ezek az adatok, melyeket utána már ők tudnak felhasználni, így a sértettek pénzéhez is hozzájutni.
Ez a bűncselekményi kategória, elkövetési mód az USA-ban 2003-ban összesen 1,2 milliárd USD kárt okozott. Magyarországon 2006 decemberében volt egy nagy phishing támadás sorozat, melyben 5 magyar nagybank és egy takarékszövetkezet ügyfeleit támadták ezzel a módszerrel. Hazánkban a PSZÁF adatai szerint 1 400 000 banki ügyfél rendelkezik az internetes bankolás lehetőségével, és ahogy a világon mindenhol, úgy hazánkban is terjed a banki ügyek ilyen módon való intézése. Ez a szolgáltatás jó az ügyfeleknek is, de a bankok is preferálják az ilyen fajta ügyintézést, hiszen ezzel tudják költségeiket csökkenteni.
Ezen támadásoknál, mint ahogy a 2006-os támadássorozat is megmutatta, jellemzően nem a bankok szenvedik el a jelentősebb károkat, hanem az ügyfelek. Az igazi kár azonban ennek ellenére a bankokat és közvetve minket ér azzal, hogy egy-egy ilyen támadássorozat után csökken az internetes banki szolgáltatásokba vetett bizalom. Ennek a bizalomvesztésnek az árát közvetlenül a bankok, közvetve pedig mi, az ügyfelek fizetjük meg. Mindannyiunk érdeke, hogy ez a fajta banki tevékenység elterjedjen az egyre jobban felgyorsult világunkban, ezáltal olcsóbb, jobb és kényelmesebb kiszolgálást kaphassunk a bankjainktól. A gazdaságnak is az az érdeke, hogy a pénzügyi kultúránk egyre magasabb szintre kerüljön. Ezt a törekvést támadja az adathalászok tevékenysége.
Az interneten az egyik legelterjedtebb csalási forma az ún. "nigériai" csalás, vagy más néven a 419-es csalások különböző fajtái. Ennek a csalásfajtának a lényege az, hogy spam-ben kérik a levél címzettjét, hogy adja meg bankszámlája adatait és ennek segítségével egy politikai okokból zárolt számláról jelentős összeget tudnak kimenekíteni, melynek egy részét 15-20%-át megkapja a címzett a közreműködéséért. Természetesen soha egyetlen centet se utalnak át a számlájára, de különböző okokra hivatkozva - hivatalos személyek korrumpálása, eljárási és egyéb illetékek stb. - kisebb nagyobb összegeket kérnek tőle, és mindig azzal hitegetik, hogy a végén jelentős összeghez jut majd, amint sikerül a tranzakciót lebonyolítani.
Ezen csalástípus kárértékére jellemző, hogy Nigéria GDP-jének 3. bevételi forrása volt az ilyen csalásokból szerzett bevétel. Ezt csak az olajbevétel és a kakaó kereskedelemből folyó bevétel előzte meg. Komoly nemzetközi összefogás kellett ahhoz, hogy Nigéria büntetőjogi eszközökkel is fellépjen ezen csalók ellen.
Természetesen az ilyen csalásokat nemcsak Nigériában, vagy nigériai állampolgárok követik el, de a kezdeti időszakban az elkövetők egy jelentős része innen került ki. Ma már ezen csalástípusnak különböző formáival is találkozhatunk, pl. spanyol vagy holland lottó néven. Az alapötlet ezeknél is ugyanaz, és sajnos mindig találnak olyan sértetteket, akik a nagy pénz reményében hajlandóak személyes és banki adataikat megadni és még pénzt is utalnak át - először csak a nagy pénz reményében, később már csak futnak a pénzük után.
A klasszikus internetes bűncselekményeknek szokás nevezni a hálózatbiztonsági bűncselekményeket. Ezek alatt azokat a cselekményeket értjük, ha illetéktelen személy a tudtunk és akaratunk ellenére részben vagy egészben átveszi a számítógépünk felett az uralmat, és a gépünk és internetkapcsolatunk erőforrásait saját javára használja fel. Ezt az átlagfelhasználó szinte észre sem veszi. Jellemző a spam levelek nagyságrendjére, hogy szakértők szerint a világ elektronikus levélforgalmának 94%-át a spamek teszik ki 2008 őszén az FBI egy összehangolt akció keretében felszámolt egy olyan informatikai hálózatot, mely arra szakosodott, hogy spam levelekkel árassza el az internetet. Ennek hatására, két-három hónapra visszaesett a spamek aránya 54%-ra, de ezt követően szép lassan, de biztosan közelített megint a korábbi több mint 90%-hoz.
A spam leveleket jellemzően nem a saját elektronikus postafiókcímükről küldik el a spammerek. Ez túlságosan nagy kockázatot jelentene. Ehelyett úgynevezett bothálózatokat használnak fel a levelek kiküldésére. Ezen hálózatok úgy működnek, hogy az interneten található, nem kellően védett számítógépeket megfertőzve az elkövetők átveszik a gép erőforrásai felett az uralmat anélkül, hogy erről a gép használója tudna. Köztudomású, hogy számítógépeink erőforrásait minimális mértékben használjuk csak ki. Ebből követezően észre sem vesszük, ha valaki levelek küldésére használja fel számítógépünket és internetkapcsolatunkat. Az ilyen fertőzött számítógépekből álló hálózatokat nevezzük bothálózatoknak. Az ilyen hálózatok csak egyik felhasználási formája a spam levelek kiküldése. Ugyanígy használják ezeket a túlterheléses támadások (DDoS támadások) végrehajtására is - gondoljunk csak a 2007-es Észtország elleni támadásra, vagy a 2008-as "grúz-orosz internetes háborúra". A legújabb kutatások szerint a legfertőzöttebb ország ebből a szempontból Brazília, ahol az internetet elérő számítógépek 14,6%-a volt bothálózatnak tagja 2008 végén. Természetesen ezeket a gépeket nem csak DDoS támadásra, vagy spam levelek kiküldésére lehet felhasználni, hanem az adathalász tevékenységet is ilyen botnet hálózatok segítségével hajtják végre.
A fent felsorolt bűncselekmények közös jellemzője, hogy igen nagy kárértékűek. Az okozott kár nem csak a sértetteknek, hanem nemzetgazdasági szinten is jelentős összeg. Az ilyen bűncselekmények ellen egyetlen rendészeti szerv se tud önmagában fellépni.
A másik közös jellemzője ezen bűncselekményeknek, hogy egyszerre, közel egy időben vagy folyamatosan sok elektronikus levelet kell szétküldeni az ügyfeleknek, a leendő áldozatok részére úgy, hogy a feladó valódi kiléte (IP címe) rejtve maradjon.
A szerzői jogi bűncselekményeknél a rendészeti szervek eljutottak már arra a szintre, hogy szinte rutin eljárással tudják beazonosítani azt a szervert, amelyen az illegális adattartalom található. Csak idő kérdése, hogy egy-egy újonnan megjelent illegális tartalmakat közzétevő szervert mikor foglal le a nyomozó hatóság. A bűnözők is tudják ezt és tapasztalati úton rájöttek arra, hogy 2-3 hónapnál tovább nem tudnak egy-egy szervert azonos IP címen üzemeltetni. Ez nem azt jelenti, hogy teljesen új szervert állítanak be 2-3 hónap után, hanem azt, hogy ugyanannak a szervernek más IP címet adnak. Ez csak abból a szempontból okoz problémát, hogy a felhasználók, vagyis a letöltők, akikből a szervert üzemeltető él, nem tudják megtalálni a régi IP címen, ezért minden egyes IP cím váltáskor újra kell hirdetni a szervert. Ez a reklám csak spam jellegű levelekben történhet meg hatékonyan.
Az adathalász tevékenység jelentős része úgy valósul meg, hogy spam jellegű levelekkel keresik meg a potenciális áldozatokat. Ilyenkor is lényeges, hogy egyszerre minél több személyt lehessen megkeresni elektronikus levélben, még azelőtt, hogy a bankok észlelnék az ügyfeleket ért támadást és a sajtó útján megtennék a szükséges lépéseket. A 2006-os adathalász támadásoknál is bebizonyosodott, hogy azon bankok ügyfelei közül voltak a legtöbben sértettek, akiket az elsők közt támadtak meg a bűnözők. Az időfaktor azért volt fontos, mert a bankok és a Bankszövetség azt a megelőző taktikát alkalmazta, hogy az első támadásoknál, felhívták a közvélemény figyelmét az adathalászati tevékenység veszélyeire, ezáltal csökkentve a leendő áldozatok számát. Ebből is látható, hogy az elkövetőknek itt is érdeke, hogy minél gyorsabban, minél több potenciális áldozatot meg tudjanak keresni.
A nigériai csalásoknál az időtényező nagyon nem számít az elkövetőknek, viszont a nagy tömegű levelek kiküldése nagyon fontos.
Megállapítható tehát, hogy ha meg lehetne akadályozni, hogy spam jellegű leveleket küldjenek ki ezen bűncselekmények elkövetéséhez, akkor a bűncselekmények elkövetése sokkal nehezebb lenne.
A spam jellegű levelek egyik jellemzője, hogy azokat nagy tömegben küldik ki. Ez csak úgy lehetséges, ha pontos listával rendelkeznek azon elektronikus postafiók címekről, ahova érdemes lehet a leveleket küldeni. Ezen címek beszerzésére két módszer létezik. Az első és leggyakrabban használt, ha kész címlistákat vásárol a spammer. A másik kevésbé hatásos módszer, ha valamilyen algoritmus alapján elektronikus postafiók címeket generálnak. Ennek hátránya, hogy nagyon sok olyan címre is elküldésre kerül a levél, mely a valóságban nem létezik.
A magyar jogszabályok, a jogi gyakorlat és az adatvédelmi biztos állásfoglalásai alapján az egyértelműen megállapítható, hogy az elektronikus postafiók cím személyes adat is lehet, sőt az esetek jelentős részében személyes adatnak is minősül.
Ha Magyarországon megkérdeznénk 100 embert akkor abból egy vagy kettő lenne, aki azt mondaná, hogy tart attól, hogy a sérelmére ilyen bűncselekményt követnek el.
Ugyanígy személyes adatunk, amelyre sokkal jobban is vigyázunk, a banki adataink: pl. a bankkártya számunk, vagy az internetes bankolásnál használt felhasználói nevünk és jelszavunk is. Nyugaton, főleg az USA-ban nagyon félnek az emberek attól, hogy sérelmükre ún. személyiséglopást követnek el. Ugyanazon személyiség élhet a Keleti-parton és a Nyugati-parton is, de a csaló a valódi személy bankszámlájából vagy jó hírnevéből él. Európában ettől nem félnek annyira, és ha Magyarországon megkérdeznénk 100 embert akkor abból egy vagy kettő lenne, aki azt mondaná, hogy tart attól, hogy a sérelmére ilyen bűncselekményt követnek el. Ha a bűnüldözőket kérdeznénk meg, akkor ők sem tartanák ezt olyan nagy veszélynek. Pedig, sajnos, már Magyarországon is találkoztunk ilyen bűncselekménnyel, mely várhatóan egyre gyakoribb lesz úgy hazánkban, mint Európában is.
Igaz, nálunk nem teljes, csak részleges identitásokat lopnak, jellemzően pl. különböző aukciós portálokon azon személyekét, akik már több üzletet kötöttek, hosszabb ideje fenn vannak és megbízható partnernek minősültek. Nem egyszer találkozhatunk olyan esettel, amikor jó hírnévvel rendelkező személy felhasználói nevét és jelszavát ellopták, kizárva őt így az aukciós portál működésből, és a nevében hirdetnek meg egy-egy terméket, melyet aztán soha nem szállítanak le vagy a vásárlásért nem fizetnek soha. Az eredeti felhasználó pedig csak később, sokszor csak a megindult jogi eljárás során szerez tudomást arról, hogy mit tettek az ő jó hírű felhasználói nevével visszaélő csalók.
Nézzük meg, hogy a személyes adatokkal való kereskedelem létezik-e és ha igen akkor milyen elterjedtséggel hazánkban és a nagyvilágban. Megpróbálom ennek a kereskedelmi formának a nagyságát szemléltetni csak az elmúlt időszak sajtóhíreiből és a saját elektronikus postafiókomba érkező levelekből szedve egy két példát.
2008-ban a török hatóságok fogtak el egy Maxik nevű személyt, aki az elmúlt 2 évben bankkártya adatok kereskedelméből 11 millió USD haszonra tett szert. A török hatóságok nem emiatt indítottak ellene eljárást és fogták el, hanem azért mert egy török pénzintézet sérelmére elkövetett betörés során okozott sokkal kisebb értékű kárt. A fenti 11 millió USD kárt okozó kereskedelmi tevékenysége miatt az USA-ban indítottak ellene eljárást. Az FBI nyomozása szerint bankkártya adatokkal kereskedett és ebből szerzett ekkora jövedelmet.
A konferencia előtt pár nappal kaptam meg azt a levelet, melyben egy magyar személy hirdetett meg 750 000 elektronikus postafiók címet azzal a lehetőséggel, hogy ezek garantáltan működő elektronikus postafiókok és kívánságra akár "targetálja" is őket, hogy cégvezetők, férfik, vagy nők vagy egyéb tulajdonságok alapján. Ezért a 750 000 elektronikus postafiók címért mindössze 120 000 forintot kért (0,16 Ft/cím). Piaci ismereteim szerint ez az ár nem is a legolcsóbbak közé tartozik. Arról nincsenek információim, hogy az adatokat honnan szerezte az a személy aki el akarja ezeket az adatokat adni.
Ezen elektronikus postafiók címek begyűjtésének lehetséges módja lehet, hogy az elkövető valamilyen céges adatbázist lopott el, de lehetséges az is, hogy különböző ún. botprogramokkal végigpásztázza az internetet és onnan gyűjti be ezeket a címeket. Az első esetben a rendészeti szerveknek még lenne is valamilyen jogalapja arra, hogy eljárást indítson az eladó személye ellen, gondoljunk csak az elmúlt hetek egyetemi adatbotrányaira, de a második esetben ez kizárt.
Nézzük meg, hogy milyen lehetőségek vannak az adatkereskedelem elleni jogi, illetve büntetőjogi fellépésre.
A spamek elleni fellépéshez a Nemzeti Hírközlési Hatóságnak (NHH) van hatásköre és lehetősége. Ez azonban csak korlátozottan igaz, mert csak a kéretlen reklámlevelek ellen van lehetőségük fellépni, valamint csak azok ellen, akikre a magyar joghatóság kiterjed. Azt ugye nem kell különösebben bizonygatni, hogy az internet és a spammelők sem nagyon tisztelik az országhatárokat - nem jelent gondot úgy küldeni magyarországi elektronikus postafiókokra leveleket, hogy azokat valamilyen külföldi IP címről és postafiókról küldik. Az NHH 2007-ben összesen 989 esetben szabott ki ilyen tevékenységért bírságot összesen 1 680 000 Ft értékben. A legnagyobb kiszabott bírság összege 210 000 Ft volt. Ha belegondolunk, hogy a reklámok közül a spam az egyik leghatékonyabb reklámozási forma akkor könnyen beláthatjuk, hogy ennek az összegnek tulajdonképpen semmilyen visszatartó ereje nincs.
A büntetőjog eszközeivel való fellépésnek két iránya lehetséges. Az egyik esetben akkor lehetne fellépni, ha az adatbázis lopott vagy más jogszerűtlen úton jutott az eladóhoz, és ezt kellene bizonyítani. Ekkor az adatbázis védelme a szerzői jogi keretjogszabály, a Btk. 329/A. §-a alapján lenne lehetséges. A legtöbb esetben ezt nem lehet bizonyítani, vagy az eladó birtokába egyszerűen nem így került az adatbázis.
A másik lehetőség a Btk. 177/A. §-a alapján való eljárás, vagyis a visszaélés személyes adattal bűncselekmény alapján. Ennek a bűncselekménynek két fontos ismérve van. A jogosulatlan vagy céltól eltérő adatkezelés, illetve a jelentős érdeksérelem. Ebből a megfogalmazásból viszont az derül ki, hogy a Büntető Törvénykönyvünk rejtve bevezette a "kvázi magánvád" intézményét.
Igaz, hogy ez a bűncselekmény hivatalból üldözendő, nem szükséges hozzá a sértett indítványa, vagy, hogy ő képviselje a vádat, de a mai joggyakorlat és töretlen ügyészi állásfoglalás szerint a nyomozó hatóság csak akkor indíthat eljárást, ha a sértett, akinek a személyes adatával visszaéltek, legalább valószínűsíti a jelentős érdeksérelmet. Azt már a jogalkalmazói és végső soron a bírói gyakorlat mondja meg, hogy mi minősül jelentős érdeksérelemnek.
A gyakorlat azt eredményezi, hogy egy-egy adatbázis esetében még az eljárás megindítása előtt meg kellene keresni a sértetteket az elektronikus postafiók tulajdonosok közül és legalább egynek nyilatkoznia kellene arról, hogy őt azáltal, hogy a neve felkerült erre a listára és azzal kereskednek, jelentős érdeksérelem érte.
Ez az - álláspontom szerint helyes - gyakorlat azt eredményezi, hogy egy-egy ilyen adatbázis esetében még az eljárás megindítása előtt meg kellene keresni a sértetteket az elektronikus postafiók tulajdonosok közül és legalább egynek nyilatkoznia kellene arról, hogy őt azáltal, hogy a neve felkerült erre a listára és azzal kereskednek, jelentős érdeksérelem érte. Ennek a gyakorlati megvalósíthatósága és realitása majdnem egyenlő a nullával.
A fenti megállapításokból az következik, hogy ma Magyarországon személyes adatokkal büntetlenül lehet kereskedni. A nyomozó hatóságoknak nincs megfelelő jogalapjuk arra, hogy fellépjenek ellene, ha tudomásukra is jut egy-egy esetben, hogy valaki személyes adatokat akar eladni.
Ezzel teljesen szabad kezet adunk annak a bűnözői körnek, akik a korábban felvázolt nagy anyagi károkat okozó bűncselekményeket követnek el, és a nyomozó hatóságok nem tudnak fellépni még akkor, amikor ha megakadályozni nem is, de legalább sokkal nehezebbé tudnák tenni az elkövetők dolgát. Ezen címlisták nélkül, sokkal nehezebb vagy lehetetlen lenne a bűncselekmények elkövetése.
Milyen megoldások lehetségesek erre a problémára? Először is nem a jog eszközeit emelném ki, hanem a tudatosságra hívnám fel a figyelmet. A jogvédőknek, a szakembereknek kell tudatosítani a felhasználókban, hogy adataik értékek, melyekre vigyázni kell. Régebben, az informatika előtti világban a személyes adatok (pl. cím) nem jelentettek értéket, mert a kisközösségben mindenki mindent tudott rólunk. Ha valaki meg szeretett volna tudni valamit, akkor megkérdezte "Mari nénit", az ügyeletes hírvivőt, és máris semmi titkunk nem volt. Igaz, akkor ezekkel az adatokkal nem is lehetett visszaélni ilyen módon, mert nem volt rá meg a technológia.
Napjainkban az adatkezelés sokkal egyszerűbb lett. Sokkal több adatot tudnak rólunk gyűjteni és ezeket az adatokat sokkal egyszerűbb az informatikai eszközökkel feldolgozni. A technikai fejlődés, az új technikai eszközök lehetővé tesznek már olyan adatgyűjtéseket is, melyekre nem is gondoltunk volna pár évvel korábban. Az a laptop, melyen ezt a cikket írom tárolja az ujjlenyomatomat, és azzal azonosít, hogy "jogszerűen" használom-e a gépet. Ez addig jó nekem, míg el nem lopják tőlem a számítógépemet és meg nem szerzik az ujjlenyomati adataimat a gépből. Ha ezt valaki megszerzi és rossz célra akarja felhasználni, akkor már nem örülök annak, hogy ezt a személyes adatomat tároltam. El tudom képzelni, hogy egyesek azért nem mennek például egy divatos élményfürdőbe, mert ott a jegyek személyhez kötése digitális arcképfelvétel alapján történik. Nincs is ezzel semmi gond, addig amíg valakinek eszébe nem jut, hogy megnézze kikkel szoktam odajárni, milyen időközönként mennyi időt töltök ott. Korábban elképzelhetetlen volt az, hogy ezeket az információkat úgy lehet megszerezni, hogy egy számítógépes adatbankból lehívom, mint ahogy az is, hogy mire lehet felhasználni őket akkor, ha ezek az információk rossz kezekbe kerülnek. És itt ne csak a "Nagytestvérre" gondoljunk, hanem akár egyes bűnözői csoportokra.
A társadalmi tudatosság növelése mellett természetesen a jogszabályi környezet módosítását is szükségesnek tartom. Ennek egyik formája lehet a Btk. 177/A. §-nak olyan módosítása, mely meghagyja a "kvázi magánvád" intézményét, de emellett az adatbázisokkal való kereskedelmet, üzletelést vagy csak a megosztást, illetéktelen számára való hozzáférhetővé tételt, és akár az adatbázis jogosulatlan összeállítását is büntetni rendeli.
A jogszabály módosításánál azt kell szem előtt tartani, hogy a személyes adataival mindenki saját maga rendelkezik. Azt összegyűjteni, adatbázisba rendezni sokkal veszélyesebb, mint ha csak az internetre kiteszem valakinek a képmását, vagy más személyes adatait. Lehet, hogy ez utóbbi cselekmény a sértett számára közvetlenebb sérelmet jelent, viszont úgy gondolom, hogy társadalmi szinten sokkal veszélyesebb az, ha ezeket az adatokat gyűjtik, rendszerezik és megindul egy ellenőrizhetetlen kereskedelem velük.
Most még csak a címünkkel kereskednek, de a technika fejlődésével nem kell hosszú időnek eltelnie ahhoz, hogy a képmásunkkal vagy egészségügyi adatainkkal is kereskedjenek. Gondoljunk csak bele, ha a biztosítótársaságok ellenőrizhetnék egészségügyi előéletünket, akkor milyen meglepetések érhetnének minket a díjkalkulációk során. Ekkor még csak az adatok a legalitáshoz közeli felhasználását vetítem előre, de nem tartom elképzelhetetlennek az egészségügyi adataink szervkereskedők általi megvásárlását sem.
A fentiek miatt úgy gondolom, hogy az adatbázisokkal való kereskedelem, vagy bárminemű visszaélés a mostaninál sokkal nagyobb büntetőjogi védelmet érdemelne.
A jogalkotás másik iránya lehetne az, hogy az Adatvédelmi Biztos Hivatala kaphatna a mostaninál nagyobb hatósági jogkört. Jelenleg is rendelkezik hatósági jogkörrel, de ha ezt szélesítenénk, olyan jogosítványokat is kaphatna, melyekkel aktívan és hatékonyan tudna fellépni a személyes adatokkal való bárminemű visszaélés ellen, és akkor megmaradhatna a büntetőjognak a ultima ratio jellege. Nem gondolom, hogy a hivatal munkatársainak kellene nyomozni, de a KET szabályai szerinti tényfeltárást el tudom képzelni a Hivatal hatáskörében. Ezzel elérhető lenne, hogy a kisebb súlyú jogsértések felderítésre kerüljenek.
Természetesen az Adatvédelmi Biztos Hivatala mellett is létrejöhet egy államigazgatási szerv, mely átveszi a mostani hatósági jogköröket, és hatósági jogkörei kiegészülnek a fent vázolt jogkörökkel.
Véleményem szerint az előzőekben felsorolt mindhárom dologra szükség lenne ezen jogsértések visszaszorítására.
Előadásomban és jelen dolgozatomban is azt szerettem volna érzékeltetni, hogy az adatvédelem mára már nemcsak jogállamisági, szabadságjogi kérdés. Komoly gazdasági hatása van annak, ha nem vigyázunk adatainkra és azokkal visszaélnek. Ez személyesen nekünk, de közvetve a nemzetgazdaságnak is jelentős kárt okoznak. ■
Lábjegyzetek:
[1] A szerző a Nemzeti Nyomozó Iroda Csúcstechnológiai Bűnözés Elleni Osztályának munkatársa, PTE ÁJK doktori iskolájának kutatója.
Visszaugrás
