Az elektronikus hírközlési adatvédelmi irányelv (ePrivacy irányelv) az elektronikus hírközlési szolgáltatások előfizetői és a felhasználói személyes adatainak az általános adatvédelmi rendelkezéseken túlmutató, speciális védelmet nyújt a közlések bizalmasságának és a kapcsolódó adatok felhasználásának korlátozása révén. Az ePrivacy irányelvet és módosításait hazánkban az elektronikus hírközlésről szóló 2003. évi C. törvény ültette át. Jelen tanulmánynak a célja, hogy az irányelvben foglalt legfontosabb célok és rendelkezések hazai jogban való megjelenítését, az átültetés eltérésiből, az irányelvet implementáló jogszabályok koherenciájának hiányából fakadó, jogbizonytalanságot okozó, illetve a gyakorlati alkalmazás során leggyakrabban felmerülő kérdéseket elemezze.
Az elektronikus hírközlési adatvédelmi irányelv (vagy ePrivacy irányelv)[1] megalkotásakor három célkitűzés fogalmazódott meg. Egyrészt speciális szabályokat és biztosítékokat kívánt alkotni az Unió az előfizetők és felhasználók magánéletének, közléseik bizalmasságának és személyes adataik védelmének garantálására, az Európai Unió alapjogi chartája 7. és 8. cikkében megállapított jogok védelme érdekében, másrészt harmonizálni akarta a vonatkozó tagállami rendelkezéseket, hogy az elektronikus hírközlési szolgáltatásokkal érintett alapvető jogok és szabadságok védelmének szintje egységes legyen a Közösségen belül. Ezen túl olyan szabályozási környezetet kívánt teremteni, amely biztosítja a személyes adatok Közösségen belüli szabad áramlását a digitális technológiákon alapuló szolgáltatások határokon átnyúló fejlődése érdekében.[2]
Az ePrivacy irányelvet és módosításait[3] hazánkban az elektronikus hírközlésről szóló 2003. évi C. törvény (továbbiakban Eht.) ültette át, de bizonyos szabályait az elektronikus kereskedelmi és az információs társadalommal összefüggő szolgáltatásokról szóló törvényben (továbbiakban: Ekertv.)[4] találjuk meg.
A következőkben az elektronikus hírközlési adatvédelmi irányelv legfontosabb rendelkezéseit és azok hazai átültetését, az átültetés eltéréseiből, az irányelvet implementáló jogszabályok koherenciájának hiányából fakadó, jogbizonytalanságot ébresztő, illetve a gyakorlati alkalmazás során felmerülő dilemmákat elemzem.
Az ePrivacy irányelv az előfizetők és a felhasználók személyes adatainak az általános adatvédelmi rendelkezéseken túlmutató, speciális védelmet nyújt a közlések és a kapcsolódó elektronikus hírközlési adatok bizalmasságának, felhasználásuk korlátozásának garantálása révén. Az elektronikus hírközlési szolgáltatások nyújtása és hálózatok működtetése során az elektronikus hírközlési szolgáltatók rengeteg szenzitív információt - így személyes adatot is - kezelnek az előfizetőikről és felhasználókról, amelyek önmagukban és egymással összekapcsolva lehetőséget teremtenek arra, hogy az érintettek preferenciáiról, érdeklődésükről, viselkedésükről, mozgásukról, döntéseikről, kapcsolatrendszerükről meglehetősen pontos jellemzéssel, illetve előrejelzéssel szolgáljanak, amely jelentős értéket képvisel és információs erőfölényt biztosít az adatkezelő szolgáltatónak, és annak, akivel ezeket az adatokat megosztják.
Az európai elektronikus hírközlési kódex[5] alkalmazandóvá válása óta már az elektronikus hírközlési szolgáltatásokkal funkcionálisan egyenértékű, ún. OTT (over the top) szolgáltatások is a nyilvánosan elérhető elektronikus hírközlési szolgáltatások közé tartoznak. Összefoglaló néven OTT kommunikációs szolgáltatásoknak nevezzük a hagyományos elektronikus hírközlési szolgáltatások mellett megjelenő, nyilvános internetszolgáltatáson, szélessávú adatátviteli elérésen keresztül nyújtott, de attól elkülönülő hang- és üzenetszolgáltatásokat,[6] mint a Teams, FaceTime, WhatsApp, Facebook Messenger, iMessage, Viber stb., amelyek a hagyományos csatornákhoz képest (hanghívás, sms, mms) egyre nagyobb szerepet játszanak az elektronikus kommunikációban (Európai Bizottság, 2017).
Az ePrivacy irányelv tárgyi hatálya a nyilvános hírközlő hálózatokon[7] nyújtott és az Európai Gazdasági Térségben nyilvánosan elérhető hírközlési szolgáltatásokkal[8] összefüggő személyes adatok kezelésére vonatkozik, ezen adatkezelések vonatkozásában az ePrivacy irányelv, és az azt átültető tagállami jogszabályok a lex specialis elvének megfelelően viszonyulnak az általános adatvédelmi rendelethez (másnéven GDPR).[9] Az ePrivacy irányelv ugyanis bizonyos adatkezelések kapcsán pontosítja, konkrétabbá teszi a GDPR-ban foglalt szabályokat, és ezek a speciális rendelkezések elsőbbséget élveznek a GDPR rendelkezéseivel szemben.[10] A pontosító szabályok mellett az ePrivacy irányelv kiegészítő rendelkezéseket is tartalmaz a GDPR-hoz képest. Mivel a nyilvánosan elérhető elektronikus hírközlési szolgáltatás előfizetői természetes vagy jogi személyek is lehetnek, a 95/46 EK irányelv - a GDPR alkalmazandóvá válása óta ez alatt a GDPR-t kell érteni[11] - kiegészítéseként az ePrivacy irányelv jogi személyek jogos érdekeinek a védelmét is szolgálja.[12]
Ilyen különös szabályok hiányában, vagy ha az adatkezelés nem tartozik az ePrivacy irányelv hatálya alá, a GDPR rendelkezéseit kell alkalmazni. Erre utal az ePrivacy irányelv (10) preambulumbekezdése azzal, hogy az elektronikus hírközlési ágazatban a 95/46/EK irányelv (mára a GDPR) alkalmazandó az alapvető jogok és szabadságok védelmével kapcsolatos területekre, amelyet az ePrivacy irányelv rendelkezései nem szabályoznak kifejezetten, például az adatkezelők kötelezettségei és az érintetti jogok. Hasonlóképp az 95/46/EK irányelv (mára a GDPR) alkalmazandó a nem nyilvános hírközlési szolgáltatásokra, mert azok nem tartoznak az ePrivacy irányelv tárgyi hatálya alá. A GDPR lex generalis szerepét a GDPR is megjeleníti a 2002/58/EK irányelvvel való kapcsolatáról szóló (173) preambulumbekezdésben és a 95. cikkben, ahol kimondja, hogy a GDPR nem ró további kötelezettségeket az unióban nyújtott nyilvános hírközlési szolgáltatással összefüggésben személyes adatot kezelő adatkezelője, amennyiben az ePrivacy irányelv speciális szabályai azonos célú kötelezettséget ír elő számukra, de ilyen különös kötelezettségek és szabályok hiányában a GDPR szabályai irányadóak az adatkezelésre.
Az ePrivacy irányelv és az azt implementáló tagállami jogszabályok speciális rendelkezéseket tartalmaznak az elektronikus hírközlési szolgáltatások nyújtása során kezelt adatok tekintetében, többek között ezen adatok kezelését meghatározott célok szűk körére szorítják, és a GDPR 6. cikk (1) bekezdésében foglalt lehetséges jogalapok körét bizonyos jogalapokra szűkítik.
Nyilvános elektronikus hírközlési szolgáltatásról beszélünk, ha az információcserére nyilvános elektronikus hírközlő hálózaton, így interneten, a mobil vagy vezetékes telefonszolgáltatásokon és kapcsolódó hálózatokon keresztül kerül sor (EUR-Lex, 2020).
Az elektronikus hírközlési hálózatok működtetése és a szolgáltatások igénybevétele során gyűjtött és keletkező adatok lehetnek személyes vagy nem természetes személyre vonatkozó adatok is annak függvényében, hogy az előfizető, felhasználó, akire vonatkoznak, természetes személy-e vagy sem.
Ezek az elektronikus hírközlési vagy elektronikus kommunikációs adatok alapvetően két kategóriába sorolhatók. Az első csoportba, a közlések körébe soroljuk az elektronikus hírközlési szolgáltatás útján, véges számú fél között továbbított vagy kicserélt adatokat, szöveget, hangot, képet, videót stb.
A másik csoportba az elektronikus hírközlési forgalmi adatok (vagy más néven elektronikus hírközlési metaadatok) tartoznak,
- 12/13 -
amelyek a közlésnek az elektronikus hírközlő hálózaton keresztül történő továbbítása és az erre vonatkozó számlázás céljából kerülnek kezelésre, mint a kommunikáció típusa, időpontja, időtartama, a közlés küldőjét és feladóját azonosító adatok, az alkalmazott protokollra, a közlést indító vagy végződtető hálózatra, az összeköttetés kezdetére, végére vagy időtartamára vonatkozó adatok. A forgalmi adatok körébe tartoznak továbbá az elektronikus hírközlési szolgáltatás felhasználója által a használt eszköz földrajzi helyzetét - a végberendezés földrajzi szélességét, hosszúságát, magasságát, a mozgásának irányát, a helymeghatározási információk pontossági szintjét, rögzítésének időpontját - jelző, a hírközlési hálózatban keletkező vagy elektronikus hírközlési szolgáltatás keretében kezelt adatok (ún. forgalmi adatnak minősülő helymeghatározási adatok). Ennek azért van jelentősége, mert az irányelv megkülönböztet az elektronikus hírközlési hálózatban keletkező, de forgalmi adatnak nem minősülő helymeghatározási adatokat is, amelyek a közlés továbbításhoz szükségesnél pontosabb adatok, és amelyek csak anonimizálást követően vagy az előfizetőnek, felhasználónak nyújtott értéknövelt szolgáltatások nyújtásához szükséges mértékben használhatóak fel, mint pl. a személyre szabott forgalmi, időjárás-tájékoztatás, útvonaltervezés, navigáció stb., az előfizető/felhasználó előzetes tájékoztatáson alapuló hozzájárulása esetén.[13]
Az elektronikus kommunikáció tartalma és a kapcsolódó metaadatok - bár az általános adatvédelmi rendelet szabályai szerint nem különleges személyes adatok - különösen érzékeny, bizalmas információk, sok hasonlóságot mutatnak a különleges személyes adatokkal.
Míg a különleges személyes adtok kezelése fő szabályként tilos, és csak bizonyos kivételes feltételek fennállása esetén kezelhetőek, addig a közlések és az azokra vonatkozó forgalmi adatok fő szabály szerint titkosak, a felhasználókon kívüli személyek az érintett felhasználó hozzájárulása nélkül csak az irányelv által nevesített esetekben kezelhetik.
Nem csupán maguk a közlések tartalmaznak számtalan bizalmas információt, sőt személyes - sokszor különleges személyes - adatot, de a kommunikációra vonatkozó metaadatok is szorosan kapcsolódnak az érintettek magánszférájához, mert minőségüknél, mennyiségüknél és összekapcsolhatóságuknál fogva sokrétű és meglehetősen pontos információt árulnak el az előfizetők és felhasználók napi szokásairól, az állandó vagy ideiglenes tartózkodási helyeikről, a napi vagy egyéb helyváltoztatásaikról, a gyakorolt tevékenységekről, e személyek társadalmi kapcsolatairól és az általuk látogatott társadalmi közegekről.[14]
Így könnyű belátni annak fontosságát, hogy - bizonyos indokolt kivételektől eltekintve - a közlések bizalmasak maradjanak, és az ezekkel kapcsolatos személyes adatok, kommunikációs profil[15] felett a felhasználó rendelkezése biztosított legyen, azaz indokolt lehet a GDPR szabályainál szigorúbb rendelkezéseket alkalmazni.
Az előfizetői szerződés létrehozásához és teljesítéséhez szükséges azonosító adatok az ePrivacy irányelv fogalmi rendszerében nem tartoznak elektronikus hírközlési adatok közé, ennek ellenére a hazai elektronikus hírközlése szabályozás a forgalmi adatok felsorolásának körében említi az előfizető azonosításához szükséges bizonyos adatokat (pl. előfizető neve, születési helye, ideje, anyja neve, lakóhelye stb.).[16] Ezáltal az ePrivacy irányelv forgalmi adatokra vonatkozó speciális szabályozását az Eht. kiterjeszti olyan adatkörre, amelyek nem osztják a forgalmi adatok szenzitivitását, és amelyekre az uniós jog az általános adatvédelmi rendelet szabályainak alkalmazását írja elő. A gyakorlatban ez problémát jelenthet ezen adatok jogszerű felhasználási céljainak és az alkalmazható jogalapok meghatározásában.
Továbbá az ePrivacy irányelv szabályaiból nem következik sem az azonosító, sem a forgalmi adatok taxatív felsorolása. Mivel az Eht. pontosan meghatározza és előírja az előfizető azonosításához szükséges és az elektronikus hírközlési szolgáltatás nyújtásához és a számlázáshoz szükséges forgalmi adatok körét, egyrészt bizonytalanságot teremt ezen adatok kezelésének jogalapja tekintetében (szerződés teljesítéséhez való szükségesség vs. kötelező adatkezelés), másrészt szükségszerűen előrevetíti az adatok felsorolásának elavulását a szolgáltatásnyújtás és az ügyfélazonosítás technológiai változása következtében.
Az ePrivacy irányelvet átültető tagállami jogszabályoknak biztosítaniuk kell a nyilvános hírközlő hálózatok működtetése és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtása során a továbbított közlések tartalma és az azokra vonatkozó forgalmi adatok titkosságát. Ezeket az adatokat a felhasználókon kívüli személyek nem hallgathatják meg, nem tárolhatják, nem figyelhetik meg más módon sem, az ePrivacy irányelv tehát kimondja az elektronikus hírközlési tartalmak és a vonatkozó metaadatok kezelésének általános tilalmát, amely alól szűk körben enged eltérést.[17] A kivételek közé tartozik:
- ha az érintett felhasználó hozzájárul az adat kezeléséhez;
- ha az elektronikus hírközlési szolgáltatónak a közlés továbbításához műszakilag elengedhetetlenül szükséges az adat tárolása;
- ha a közlések megfigyelése, lehallgatása, az adat kezelése a nyomozó hatóságok és nemzetbiztonsági szolgálatok által nemzetbiztonsági, közbiztonsági célból, továbbá bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használatának megelőzése, felderítése érdekében szükséges;
- ha a közlések és a kapcsolódó forgalmi adatok kereskedelmi ügylet vagy bármilyen más üzleti közlés bizonyítása céljából jogszerűen kerülnek rögzítése.[18]
Az Eht. az ePrivacy irányelv 5. cikkének említett rendelkezései alapján az elektronikus hírközlési szolgáltatókat arra kötelezi, hogy megfelelő műszaki és szervezési intézkedésekkel megakadályozzák a továbbított közlés és a közléshez kapcsolódó forgalmi adatok jogosulatlan lehallgatását, megfigyelését, tárolását, illetve az ezekhez való jogosulatlan vagy véletlen hozzáférését, továbbá az elektronikus hírközlő eszközöket úgy alkalmazzák, hogy biztosítani tudják a közlések bizalmasságát.[19]
Az ePrivacy irányelv 15. cikkének (1) bekezdésében megjelenő tagállami jogalkotási felhatalmazás alapján a nyomozó hatóságok és a nemzetbiztonsági szolgálatok a közléseket megfigyelhetik, lehallgathatják, tárolhatják vagy azok megfigyelése érdekében más módokon beavatkozhatnak a közlésekbe, kérelmükre a szolgáltató bizonyos szolgáltatáshoz kapcsolódó adatokat megőrizni és átadni köteles, amely kivételt jelent a szolgáltatók számára a közlés és a közléshez kapcsolódó forgalmi adatok bizalmasságának biztosítása alól.[20]
Az Eht. alapján a szolgáltatók a továbbított közlések tartalmát csak olyan mértékben ismerhetik meg és tárolhatják, amely a szolgáltatás nyújtásához műszakilag elengedhetetlenül szükséges.[21] A közlés megismerésére vonatkozó fordulat az ePrivacy irányelv vonatkozó szabályában nem szerepel, ezzel szemben az Eht. megfogalmazása arra utal, hogy a közlés továbbításához annak szolgáltató általi tartalmi megismerése bármely mértékben is műszakilag elengedhetetlen, amely eltérés indokoltsága, a hírközlési szolgáltatás nyújtásához való műszaki szükségesség fényében megkérdőjelezhető, a bizalmas adatkezelésre vonatkozó irányelvi követelménnyel való összeegyeztetése pedig problematikus.
Az elektronikus hírközlési hálózatokhoz a felhasználók végberendezéseikkel kapcsolódnak, a közlések továbbításához, illetve az információs társadalommal összefüggő szolgáltatás nyújtásához műszakilag elengedhetetlen e készülékeken adatokat tárolni vagy az ott tárolt adatokhoz hozzáférnie a szolgáltatóknak, de a végberendezésen tárolt adatok kezelésének - ideértve a sütiket és egyéb hasonló "tracking" technológiákat - számos egyéb felhasználási célja lehetséges, amely túlmutat a szolgáltatás nyújtásához való szükségességen.
A sütikre vonatkozó speciális szabályok megalkotását a felhasználó eszközének és az eszközön lévő adatoknak a felhasználó ma-
- 13/14 -
gánszférájához szorosan kapcsolódó jellege miatt látta indokoltnak az uniós jogalkotó.[22]
Az ePrivacy irányelv 5. cikkének (3) bekezdése alapján egy előfizető vagy felhasználó eszközén történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés - kivéve, ha annak kizárólagos célja a közlés továbbítása vagy az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtása - csak az érintett előfizető vagy felhasználó előzetes tájékoztatáson alapuló hozzájárulása esetén megengedett. Amennyiben a tárolt információ egyben személyes adat is,[23] az adatkezelés jogszerűsége érdekében megfelelő jogalapra kell hivatkoznia az adatkezelőnek. Ugyanakkor a tárolására vagy hozzáférésre irányuló adatkezelés jogalapja tekintetében az ePrivacy irányelv 5. cikkének (3) bekezdése speciális rendelkezésként a GDPR 6. cikkének alkalmazását megelőzi, így a felhasználó végberendezéséhez kapcsolódó személyes adatok kezelése, ha az nem elengedhetetlen a szolgáltatás nyújtásához, előfizető vagy felhasználó hozzájárulásához kötött, a 6. cikk többi jogalapja nem alkalmazható.[24] Így hozzájáruláshoz kötött például a honlaptervezés, hirdetések hatékonyságának elemzése[25] vagy az online viselkedésalapú reklámozás céljához szükséges adatkezelés.[26] Fontos hangsúlyozni, hogy az ePrivacy irányelv 5. cikk (3) bekezdésének hatálya - más szakértő véleményével szemben (Kozma, 2016) - az információs társadalommal összefüggő szolgáltatások nyújtóira is kiterjed az elektronikus hírközlési szolgáltatók mellett, ideértendőek pl. honlapok, applikációk üzemeltetői, keresőmotor-szolgáltatók, social media platformszolgáltatók.
Az ePrivacy irányelv hatálybalépése óta a sütik jelentős technológia változáson mentek keresztül, amely szétfeszíteni látszik az irányelv 5. cikk (3) bekezdésének fogalmi kereteit. A sokféle technikai megoldáson alapuló, újabb és újabb nyomon követési megoldásokra való tekintettel az Európai Adatvédelmi Testület (továbbiakban: EDPB) iránymutatás bocsátott ki az ePrivacy irányelv 5. cikk (3) bekezdése fogalmi elemeinek (információ,[27] az előfizető vagy felhasználó végberendezése, az információ tárolása és a tárolt információhoz való hozzáférés), így e rendelkezés tárgyi hatályának értelmezését segítendő.[28]
Az Eht. az irányelv 5. cikk (3) bekezdését csak részlegesen implementálta,[29] a közlés továbbításához vagy az információs társadalommal összefüggő szolgáltatás nyújtásához való szükségesség, mint a végberendezésen tárolt adatokat érintő adatkezelések, a felhasználó hozzájárulása alóli kivételei nem kerültek említésre az Eht.-ban,[30] amely bizonytalanságot okoz a tekintetben, hogy a személyes adatnak minősülő, de műszakilag elengedhetetlen sütik esetében mi a megfelelő jogalap. Az ePrivacy irányelv alapján a hozzájárulást erre az adatkörre vonatkozóan nem szükséges kérni - és a tényleges technikai működéséhez szükséges sütik esetében a GDPR szerinti önkéntes hozzájárulás más szakértő vélekedésével szemben (Boros, 2021. 54.) nem is lenne alkalmazható -, ezzel szemben az azt átültető Eht. nem teszi lehetővé más jogalap választását. Szintén nem szerepel az Eht.-ban expressis verbis az ePrivacy irányelv azon rendelkezése sem, hogy a hozzájárulást az általános adatvédelmi szabályok szerint kell értelmezni,[31] ami pedig személyes adatnak nem minősülő, de a felhasználó hozzájárulását igénylő sütikre irányadó helyes gyakorlat kialakítását nehezíti.
A NAIH egy sütikkel kapcsolatos 2022-es döntésében[32] feltehetően a hírközlési és az adatvédelmi hatósági hatáskörök elhatárolására tekintettel teljesen mellőzte az ePrivacy irányelv sütikre vonatkozó szabályait a hazai jogba átültető szabályok vizsgálatát, és csak a GDPR szabályait vette alapul arra hivatkozva, hogy az eljárásban vizsgált sütik egyedi azonosítást lehetővé tévő személyes adatnak minősülnek. Az eszközön lévő információk tárolása és elérése kapcsán a hatóságnak érdemes lett volna vizsgálnia az Eht. 155. § (4) bekezdését, amely az elektronikus hírközlő végberendezés adatainak kezelését a hozzájárulás jogalapjára korlátozza. Az Eht. szabályai mérlegelésének hiánya vezethetett oda, hogy bár a hatóság a weboldalak működéshez szükséges sütik kapcsán helyesen fogalmilag kizárt jogalapnak tekintette a hozzájárulás használatát, ugyanakkor nem szembesült azzal, hogy az Eht. sütikre vonatkozó szabályának - egyébként szükséges - figyelembevétele a hiányos átültetés következtében ellentmondó következtetésre vezetne.
Bár vitathatatlan, hogy a NAIH elsősorban a honlapok, webshopok adatvédelmi kérdéseivel összefüggésben rendelkezik feladat- és hatáskörrel (Kiss, 2020), elengedhetetlen a többi tagállammal egységes hatósági gyakorlat kialakítása érdekében, hogy a személyes adatnak minősülő sütikkel kapcsolatos határozataiban az ePrivacy irányelvet átültető hazai elektronikus hírközlési jogszabályokat is figyelembe vegye, mert a személyes adatnak is minősülő sütik és egyéb nyomon követésre alkalmas technológiák kapcsán ePrivacy irányelv 5. cikkének (3) bekezdését átültető hazai szabályok speciális rendelkezésként a GDPR 6. cikkének alkalmazását megelőzik, az alkalmazható jogalapok körét szűkíthetik. Az EDPB véleménye alapján, ha az általános adatvédelmi rendelet megsértése egyben a nemzeti elektronikus adatvédelmi szabályok megsértésének is minősül, akkor az adatvédelmi hatóság az elektronikus adatvédelmi szabályok megsértésére vonatkozó megállapítást az általános adatvédelmi rendelet alkalmazásakor veheti figyelembe [pl. amikor a jogszerűség és a tisztességesség elvének való megfelelést értékeli az általános adatvédelmi rendelet 5. cikkének (1) bekezdése értelmében].[33]
Az EDPB az elektronikus hírközlési adatvédelmi rendeletről, valamint a felügyeleti hatóságok szerepéről szóló nyilatkozatában megismételte, hogy jelenlegi ePrivacy irányelv és a jövőbeli rendelet személyes adatok kezelésére vonatkozó rendelkezéseit nem szabad elszigetelten alkalmazni, ha azok összefonódnak a személyes adatok feldolgozásával és az általános adatvédelmi rendelet rendelkezéseivel. A személyes adatok védelmére vonatkozó mindkét szabályrendszer következetes értelmezésének és végrehajtásának zálogát abban látva, ha az általános és hírközlési adatvédelmi szabályok végrehajtásával ugyanazt a hatóságot bíznák meg.[34]
Az forgalmi adatok kezelése a magánélethez szorosan kötődő, az előfizető kommunikációs profilját megrajzoló, szenzitív jellegük miatt csak meghatározott célokból és az ezekhez szükséges mértékig jogszerű, fő szabályként a forgalmi adatokat törölni vagy anonimizálni kell, ha az elektronikus hírközlési szolgáltatás teljesítését jelentő közlés továbbításához már nem szükségesek. Az ePrivacy irányelv 6. cikke határozza meg, hogy az előfizetők és felhasználók forgalmi adatai milyen célból és jogalappal kezelhetők. A közlés továbbítása mellett a forgalmi adatok a szolgáltató számlázás és összekapcsolási díjak megállapítása céljából (a szükséges mértékben és a számlázással összefüggő igények érvényesíthetőségéig), valamint az elektronikus hírközlési szolgáltatások értékesítése vagy értéknövelt szolgáltatások nyújtása céljából kezelhetőek, azonban ez utóbbi két esetben kizárólag akkor, ha az előfizető vagy felhasználó, akire az adat vonatkozik, az adatkezeléshez előzetesen hozzájárult.
Az ePrivacy irányelv pontosítja a GDPR rendelkezéseit azzal, hogy a forgalmi adatok tekintetében az adatkezelés céljait és a GDPR 6. cikke szerinti jogalapokat leszűkíti, a közléstovábbítás és a számlázási célok tekintetében a GDPR 6. cikk (1) bekezdésének b) pontja, míg a saját szolgáltatások értékesítése (közvetlen üzletszerzési cél) és az értéknövelt szolgáltatások nyújtása tekintetében a hozzájárulás a kizárólag alkalmazható jogalap. A forgalmi adatok tekintetében az elektronikus hírközlési adatvédelmi irányelv különös szabályai elsőbbséget élveznek az általános adatvédelmi rendelet rendelkezéseivel szemben.[35]
Az előfizetők és a felhasználók forgalmi adatairól szóló rendelkezéseket az Eht. 157. § ültette át több fogalmi pontatlanság mellett.[36]
- 14/15 -
Ami a jogharmonizáció szempontjából fontosabb azonban, hogy a forgalmi adatokat érintő, megengedett adatkezelések körét az Eht. az ePrivacy irányelv 15. cikkében adott, nemzetbiztonsági, közbiztonsági, bűnüldözési, az elektronikus hírközlési szolgáltatások visszaélésszerű használata megelőzésének és felderítése érdekében adott felhatalmazásra tekintettel kiegészíti a kötelező hatósági adatszolgáltatással, amely viszont jóval szélesebb adatkérő hatósági kört jogosít adatkérésre (ld. közigazgatási szervek,[37] MNB,[38] GVH,[39] KSH[40]), mint amelyet a 15. cikk felhatalmazó rendelkezése indokolna. Bár az Eht. több esetben és sajnos helytelenül az "átadható" igét alkalmazza ezen adatszolgáltatásokra, a szolgáltatónak nincs arra vonatkozó mérlegelési joga, hogy MNB-től vagy a GVH-tól érkező megkeresésnek eleget tesz-e. Ezen adattovábbítások a téves nyelvtani megfogalmazástól függetlenül a GDPR 6. cikk (1) bekezdésének c) pontja szerinti kötelező adatszolgáltatások.
Az Alkotmánybíróság 2022-ben arra a megállapításra jutott,[41] hogy az Eht. 157. § (2), (3) és (10) bekezdése, valamint 159/A. §-a nem áll összhangban az Alaptörvény magánszféra tiszteletben tartásához, valamint a személyes adatok védelméhez való jog alkotmányos elvárásaival.[42] Határozatának indoklásában kifejtette, hogy az Eht. támadott rendelkezései túl tágan, absztraktan határozzák meg, hogy az adatkérésre külön törvény szerint jogosult hatóságok milyen eljárásban, milyen célra és mennyire kiterjedt adatszolgáltatást kérhetnek, hiányoznak belőlük azok a konkrétumok, amelyek az adatkezelést annak céljához tudnák kötni, ezért felhívta az Országgyűlést, hogy a jogalkotói feladatának tegyen eleget 2022 végéig.
Mivel az Eht. kérdéses paragrafusai a mai napig nem módosultak, azok túlzott általánossága, egymással, valamint és a kapcsolódó NMHH rendelet szabályaival való ellentmondásossága folytán az adatkérésre jogosult hatóságok köre,[43] az adatkérések alapjául szolgáló eljárások és az adatkérés jogszerű céljai, a szolgáltatandó adatkör és a kötelező adatszolgáltatási célú adatmegőrzési idő meghatározása nehézséget okoz a szolgáltatók számára. Ez utóbbi arra vezethető vissza, hogy bár az Eht. a forgalmi adatok számlázási célból történő kezelését az ePrivacy irányelv korlátozott tárolhatóságra vonatkozó rendelkezésével összhangban, az előfizetői szerződésekből eredő jogi igények egy éves elévüléséig engedi, az előfizetői szerződések részletes szabályairól szóló NMHH rendelet a forgalmi adatokon alapuló és a számlázási cél körében értelmezhető hívásrészletező kiállítását két évre visszamenőleg írja elő a szolgáltatók számára.[44] Ezáltal a rendelet nemcsak a nála a jogforrási hierarchiában magasabban elhelyezkedő Eht. szabályának,[45] illetve az ePrivacy irányelvnek[46] mond ellent, de bizonytalanságot okoz annak meghatározásában, hogy az elektronikus hírközlési szolgáltatónál rendelkezésre álló forgalmi adatokat meddig kell az adatkérő hatóságoknak biztosítania.
Az Eht. 159/A. §-a a 2006/24/EK irányelvet a hazai jogba átültető módosításával, 2008-ban lépett hatályba, és kötelezte a szolgáltatókat a szolgáltatással összefüggő meghatározott adatoknak nemzetbiztonsági, honvédelmi és bűnüldözési célokból való meghatározott időtartamban való megőrzésére, hogy azok a hatáskörrel rendelkező hatóságoknak, bíróságnak, ügyészségnek az adatkérése esetén rendelkezésre álljanak. Az Eht. 159/A. §-a már az átültetésekor sem felelt meg az 2006/24/EK irányelv az adatmegőrzést és -átadást súlyos bűncselekmények kivizsgálására korlátozó rendelkezéseinek, továbbá arányosság követelményének sem (Szabolcsi, 2012).
Mivel a 2006/24/EK irányelvet az Európai Unió Bírósága 2014-ben érvénytelennek nyilvánította,[47] az abban kifejtett indoklás, az ePrivacy irányelv 15. cikk (1) bekezdésében megfogalmazott követelmények és a GDPR rendelkezései fényében az Eht. 159/A. §-a hatályos rendelkezései nem tesznek eleget a magánszféra és a személyes adatokhoz védelméhez fűződő jog korlátozását illetően a célhoz kötöttség, szükségesség és arányosság követelményének. Ennek okai elsősorban a nemzetbiztonsági, honvédelmi és bűnüldözési feladatokat ellátó hatóságok, szervek, bíróságok, ügyészség törvényben rögzített feladatait érintő konkrét célok (pl. konkrét bűncselekmények, eljárásokra vonatkozó adatkezelés) meghatározását nélkülöző, minden egyes előfizetőre, felhasználóra, szolgáltatásra vonatkozó elektronikus hírközlési metaadatok készletező megőrzését előíró, az adatkérés szükségességének előzetes felülvizsgálatát és a személyes adatok védelmére vonatkozó garanciákat mellőző szabályozás. Az Alkotmánybíróság döntését követően a magyar jogalkotó az Eht. 157. § (2), (3), (10) bekezdését és a 159/A. §-t illető mulasztásban megnyilvánuló alaptörvény-ellenesség orvoslásában kétéves elmaradásban van.
Az ePrivacy irányelv 13. cikke - amelynek személyi hatálya az elektronikus hírközlési szolgáltatókon túl egyéb természetes vagy jogi személyekre is kiterjed, akik elektronikus hírközlési szolgáltatásokat vesznek igénybe közvetlen üzletszerzési célú megkereséshez - a magánszférát fokozottan zavaró, kéretlen reklámoknak (spameknek) kíván gátat szabni azzal, hogy automatikus hívóberendezések, faxok, e-mailek, illetve nyilvános hírközlő hálózaton küldött szöveges, hangalapú vagy képi üzenetek közvetlen üzletszerzési célból történő használatát kizárólag az ahhoz előzetesen hozzájáruló előfizetők vonatkozásában engedi.
Az irányelv kivételt biztosít az adatkezelő meglévő ügyfeleinek elektronikus elérhetőségi adatai elektronikus levelezés céljából történő kezelése tekintetében, ha azokat a saját hasonló termékeivel vagy szolgáltatásaival kapcsolatos közvetlen üzletszerzési célra kívánja felhasználni. E rendelkezés mögött az az észszerű feltételezés húzódik, hogy egy fennálló ügyféli-szolgáltatói viszony keretében átadott elektronikus elérhetőségi adatok hasonló termékekkel és szolgáltatásokkal kapcsolatos ajánlatokról való tájékoztatás céljából történő felhasználását a meglévő ügyfelek is igényelhetik, de legalábbis számítanak rá, és ezért kevésbé érzik zavarónak az ilyen tartalmú megkeresést azon adatkezelőktől, akikkel kapcsolatban állnak. Ez esetben is biztosítani kell azonban a címzett ügyfeleknek, hogy az elérhetőségi adatok gyűjtésének időpontjában, illetve minden egyes üzenet küldésekor, tiltakozzanak az elektronikus elérhetőségi adataik ilyen célú felhasználása ellen. A fenti rendelkezés értelmében, a meglévő ügyfelek kivételt képeznek, nem kell tőlük előzetesen beleegyezést kérni (opt-in), hanem elektronikus elérhetőségi adataik közvetlen üzletszerzésre irányuló elektronikus levelezés céljából kezelhetőek lényegében jogos érdek jogalapon úgy, hogy az érintettek minden egyes kapcsolatfelvétel alkalmával élhetnek a tiltakozás jogával (opt-out).
A hazai jog az irányelv fenti rendelkezésének átültetése során, annak ellenére, hogy az ePrivacy irányelv a 13. cikk (1) és (2) bekezdését érintően nem engedett a tagállamoknak eltérést, nem implementálta az irányelv 13. cikk (2) bekezdésében a meglévő ügyfelekre vonatkozó, az előzetes hozzájárulás alóli kivételként kezelt esetkört, e szigorúbb megközelítése a reklámcélú elektronikus kommunikációnak a gazdasági reklámtevékenységről szóló törvény szabályaiban is megjelenik.[48] A fentieken túl az automatizált eszköz (pl. sms, e-mail) alkalmazására vonatkozó előzetes hozzájárulást a közvetlen üzletszerzésen túl, tájékoztatási célra is kiterjesztette a hazai jogalkotó, amely amellett, hogy az irányelv szabályaiból nem következik, lényegesen megnehezíti az adatkezelő és ügyfele közötti, szerződés teljesítésével, szolgáltatás nyújtásával összefüggő elektronikus kommunikációt, amely kapcsán a szerződés teljesítése vagy a jogos érdek jogalap lenne a megfelelő jogalap.
Az ePrivacy irányelv 13. cikk (3) bekezdése alapján, a fenti esetektől eltérő minden egyéb, elektronikus hírközlési úton továbbított közvetlen üzletszerzési célú tájékoztatás - a tagállami jog szabályozásának függvényében - akkor megengedett, ha az érintett előfizető vagy felhasználó hozzájárult a megkereséshez vagy nem tiltakozott az ilyen jellegű tájékoztatás ellen.
Az Eht. 162. § (2) bekezdése ez utóbbi utat választva, nem enged olyan előfizetővel kapcsolatot kezdeményezni, aki úgy nyilatkozott,
- 15/16 -
hogy nem kíván nem automatizált eszköz,[49] illetve a Grt. 6. §-ának hatálya alá nem tartozó közvetlen üzletszerzés,[50] vagy egyéb, a Grt. szerinti reklámnak nem minősülő[51] kapcsolatfelvételt fogadni, ahogy az Eht. indoklása fogalmaz, az egyéb eszközökkel történő közvetlen piacszerzés korlátja az előfizető visszautasító nyilatkozata (opt-out).
A fenti táblázat foglalja össze a közvetlen üzletszerzés különféle módozatai kapcsán alkalmazandó jogalapok hazai szabályozását, és mutatja az ePrivacy irányelv szabályainak hiányos átültetéséből, és a magyar jog ellentmondásos rendelkezéseiből fakadó a jogbiztonságot érintő problémákat.
| Közvetlen üzletszerzés különféle csatornái | Irányadó jogszabályok | Természetes személy címzett[52] esetén alkalmazandó jogalap az ePrivacy irányelv alapján | Természetes személy címzett esetén alkalmazandó jogalap a hazai jog alapján |
| Személyes csatorna | GDPR | nem alkalmazandó | hozzájárulás (opt-in) vagy jogos érdek (opt-out) |
| Hagyományos, postai levél (címzett reklámküldemény) | GDPR, Grt. | nem alkalmazandó | hozzájárulás (opt-in) vagy jogos érdek (opt-out) |
| Automatizált eszközök[53] | GDPR, ePrivacy irányelv, Eht., Grt., Ekertv. | hozzájárulás (opt-in) | hozzájárulás (opt-in) |
| Automatizált eszközök meglévő ügyfélnek és a hasonló termék hirdetése esetén | GDPR, ePrivacy Irányelv, Eht., Grt., Ekertv. | hozzájárulás (opt-in) vagy jogos érdek (opt-out) | hozzájárulás (opt-in) |
| Nem automatizált eszköz, ld. élő telefonhívás | GDPR, ePrivacy Irányelv, Eht., Grt. | hozzájárulás (opt-in) vagy jogos érdek (opt-out) - (tagállam dönt) | Eht: jogos érdek (opt-out) v. Grt: hozzájárulás (opt-in) |
Az ePrivacy irányelv 12. cikke alapján az előfizetők dönthetnek arról, hogy személyes adataik bekerüljenek-e, illetve mely adatok kerüljenek be a nyilvános előfizetői névjegyzékbe, adataik bekerülése előtt tájékoztatni kell őket a névjegyzék felhasználásának minden céljáról, díjmentesen helyesbíthetik, törölhetik a közzétett adatokat.
Az Eht. vonatkozó szabálya,[54] amely úgy fogalmaz, hogy az előfizetői névjegyzék az előfizető önkéntes és egyértelmű hozzájárulása nélkül csak annyi adatot tartalmazhat róla, amennyi azonosításához feltétlenül szükséges, és ezzel összefüggésben biztosítani kell számára külön költség nélkül a jogot, hogy kimaradjon a névjegyzékből, azt a látszatot kelti, hogy az adatok névjegyzékben való feltüntetésének jogalapja a szolgáltató jogos érdeke, amely eltér az irányelvben meghatározott jogalaptól. Ezzel szemben az Eszr. szabályai alapján és tényleges gyakorlatukban a szolgáltatók hozzájárulást kérnek az előfizetőktől a névjegyzékben való feltüntetéshez és a feltüntetendő adatkörhöz.[55]
A magyar jogalkotó az ePrivacy irányelv névjegyzék felhasználási céljaira vonatkozó előzetes előfizetői tájékoztatás kötelezettségét kiegészítve arra kötelezi a szolgáltatókat, hogy biztosítsák az előfizetőknek a rendelkezési jogot, hogy az előfizetői névjegyzékben feltüntetésre kerüljön, hogy személyes adataik - választásuk szerint - nem használhatóak fel közvetlen üzletszerzés, tájékoztatás, közvélemény-kutatás vagy piackutatás céljából. A gyakorlatban ennek a kiegészítésnek kevés jelentősége van, mert azok az előfizetők, akik a fenti célokból vagy azok valamelyikéből nem kívánnák a névjegyzékben szereplő adataik kezelését, a névjegyzékbe sem kívánnak bekerülni.
Amennyiben a személyes adatok megsértésére nyilvánosan elérhető hírközlési szolgáltatások nyújtásával összefüggésben kerül sor, az ePrivacy irányelv alapján az elektronikus hírközlési szolgáltató indokolatlan késedelem nélkül bejelenti az incidenst az illetékes nemzeti hatóságnak, és az incidens lényeges körülményei, hatásai és a megtett korrekciós intézkedések feltüntetésével nyilvántartásba veszi azt. Az irányelv tartalmilag a GDPR-ral azonosan definiálja a személyes adatok megsértésének fogalmát,[56] a bejelentést azonban
- a tudomásszerzéstől számított indokolatlan késedelem nélkül kell megtenni, nincs 72 órás objektív határidő;
- az illetékes tagállami hírközlési hatóság felé kell megtenni;
- akkor is meg kell tenni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.[57]
A nemzeti hírközlési adatvédelmi jogszabályokkal összhangban bejelentett adatvédelmi incidenst a GDPR 95. cikkének értelmében nem kell az adatvédelmi hatóságoknak is bejelenteni.
A szolgáltatónak - szemben a GDPR által előírt, az érintett jogaira valószínűsíthetően magas kockázattal járó feltételtől eltérően - az érintett értesítésére akkor kell sort kerítenie, ha az incidens várhatóan csupán hátrányosan érinti személyes adatait vagy magánéletét, kivéve, ha igazolni tudja, hogy az alkalmazott technikai védelmi intézkedések következtében értelmezhetetlenek az adatok jogosulatlan személyek számára.[58]
Tekintettel arra, hogy az elektronikus hírközlési adatvédelmi irányelv különös védelmet biztosít bizonyos kategóriákba tartozó adatok számára, amelyek személyes adatoknak minősülhetnek, indokolt az általános adatvédelmi rendelet szabályaihoz képest szigorúbb szabályokat alkalmazni a hírközlési szolgáltatások nyújtásával összefüggő adatvédelmi incidensekre. Ezzel együtt nehezen indokolhatóak az elektronikus hírközlési személyes adatok megsértését érintő incidensek kezelésére vonatkozó uniós rendelkezések hazai átültetésében mutatkozó eltérések.
Az Eht. alapján az előfizetői személyes adatokat érintő incidenseket az NMHH-nak kell egyrészt a fentiektől eltérően az észlelést követően haladéktalanul, de legfeljebb 24 órán belül bejelenteni, másrészt a hazai elektronikus hírközlési jog az előfizetői személyes adatok megsértését a GDPR és az ePrivacy irányelv fogalmi elemeitől eltérően és indokolatlanul tágan definiálja. Ideérti ugyanis a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtásával összefüggésben kezelt személyes adatok véletlen vagy jogellenes kezelését is, nem csupán a személyes adatok megsemmisítésével, elvesztésével, módosításával, jogosulatlan felfedésével, vagy az azokhoz való jogosulatlan hozzáféréssel járó biztonsági sérülést.[59] Az bejelentés megtételére az irányelv alapján irányadó, a tudomásszerzéstől számított "indokolt késedelem nélküli" bejelentés követelménye helyett "az észlelés esetén haladéktalanul" követelménye arra vezet, hogy a szolgáltató az incidens bekövetkezéséről való meggyőződéshez szükséges minimális lépéseket, vizsgálatot sem teheti meg a bejelentés előtt, hanem ha előfizetői személyes adatokat érintő incidensre utaló körülmények merülnek fel, azokat nyomban be kell jelentenie.
- 16/17 -
Ami az előfizetői személyes adatokat érintő incidensek definiálására vonatkozó feltételeket illeti, az elektronikus hírközlési szolgáltatások nyújtásával összefüggésben kezelt személyes adatok véletlen vagy jogellenes kezelése - mint feltétel - olyan tágra nyitja a bejelentendő esetkört, hogy bármilyen jogellenes adatkezelés (pl. nem megfelelő jogalap alkalmazása, tájékoztatási kötelezettség elmulasztása stb.) is incidensnek minősülhet, amely a hatósági incidensbejelentés valós céljával ellentétes gyakorlatot követel meg.
Jelen tanulmánynak nem volt célja, hogy az ePrivacy irányelv összes rendelkezésének hazai átültetését elemezze, hanem hogy példákat hozzon a hazai elektronikus hírközlési jog azon az irányelv implementálásával összefüggő szabályaira, amelyeknek az irányelvtől való eltérése, más hazai jogszabállyal való ellentmondása a legtöbb gyakorlati problémát okozza.
Megoldásként kínálkozik az Eht. és a jelen tanulmányban említett további hazai jogszabályok átfogó felülvizsgálata és módosítása, amelyre bizonyos, korábban említett szabályok esetén az Alkotmánybíróság is felhívta a jogalkotót. A meghatározó változást azonban a jogbiztonság és az egységes közösségi jogalkalmazás érdekében az ePrivacy rendelet megalkotása jelentené, amely az európai adatvédelmi reform harmadik (Nagy, 2019), lassan elfeledetté váló pillére.
Az e-Privacy rendelettel kapcsolatban - amelynek javaslatát az Európai Bizottság 2017 januárjában fogadta el (Európai Bizottság, 2017), és amelynek a GDPR-ral egy időben kellett volna alkalmazandóvá válnia - az a várakozás fogalmazódott meg, hogy az elektronikus hírközléssel összefüggő adatvédelmi szabályokat újraalkossa az irányelv hatálybalépése óta zajló nagy léptékű technikai fejlődésre vonatkozó reflexió, az általános adatvédelmi szabályozással való összhang megteremtése és uniós szabályozás és jogalkalmazás rendeleti formában való egységesítése érdekében (Pók, 2017). Az ePrivacy irányelv egyes szabályainak újragondolását a felhasználók (adatkezeléssel érintettek) visszajelzései indokolják, például a sütikkel kapcsolatos túltelítődés (ún. cookie fatigue) jelensége, amely a hatályos szabályozás, tájékoztatási és hozzájárulási előírások adatvédelmi szerepének alacsony hatékonyságát mutatja (Wein, 2022, 1.).
A tagállamok által 2021 február 10-én elfogadott kompromisszumos tervezet trialógusa (Európai Parlament, 2024) a tagállami szempontokat képviselő Tanács és az adatvédelmi szempontokat előtérbe helyező Parlament között a bűnüldözési és nemzetbiztonsági célú adatmegőrzés és hozzáférés kérdésén zátonyra futott a tervezet visszavonásának lehetőségét is előrevetítve (Bertuzzi, 2023). A Tanács magyar elnökségnek ePrivacy irányelv felülvizsgálatának felélesztésére tett erőfeszítései (Hartmann, 2024) ellenére az Európai Bizottság 2025. február 11-én kihirdetett éves munkaprogramjában jelezte, hogy a javaslat visszavonását tervezi. A visszavonás tervének rövid indoklása szerint egyrészt nem várható az Európai Parlament és a Tanács a javaslatot illető megállapodása, másrészt a javaslat az időközben történt technológiai és jogalkotási fejleményekre tekintettel elavult (Európai Bizottság, 2025). Mivel a végleges visszavonására nagy valószínűséggel lehet számítani, nyitott kérdéssé vált, hogy az európai elektronikus hírközlési adatvédelmi szabályozás megújításának és végső soron Európa digitális versenyképességének a sorsa egy újragondolt ePrivacy szabályozással vagy esetleg a GDPR szabályaira való hagyatkozással kerül-e rendezésre. ■
JEGYZETEK
[1] Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről.
[2] ePrivacy irányelv 1. cikk (1) és (5) preambulumbekezdés.
[3] Európai Parlament és a Tanács 2006/24/EK irányelv és a 2009/136/EK irányelv.
[4] 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről.
[5] Az Európai Parlament és a Tanács (EU) 2018/1972 irányelve (2018. december 11.) az Európai Elektronikus Hírközlési Kódex létrehozásáról.
[6] HTE Infokommunikációs Fogalomtár.
[7] Ld. Eht. 188. § 101.
[8] Ld. Eht. 188. § 16.
[9] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről.
[10] Európai Adatvédelmi Testület 5/2019 vélemény 38.
[11] GDPR 94. cikk (2) bekezdés.
[12] ePrivacy Irányelv (12) preambulumbekezdés.
[13] ePrivacy irányelv 9. cikk (1) bekezdés.
[14] C-293/12. és C-594/12. sz. egyesített ügyek Digital Rights Ireland Ltd v. Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Írország és az Attorney General (C-293/12. sz. ügy), Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl és társai (C-594/12. sz. ügy), EU:C:2014:238. para 27. (továbbiakban: Digital Rights Ireland ügy).
[15] 15/2022. (VII. 14.) AB határozat AH 2022. 20. szám. para 28.
[16] Eht. 157. § (2) bekezdés a) pont.
[17] ePrivacy irányelv 5. cikk (1) bekezdés.
[18] ePrivacy irányelv 5. cikk (1) és (2) bekezdés, 15. cikk (1) bekezdés.
[19] Eht. 155. § (1)-(2) bekezdés.
[20] Eht. 155. § (5) bekezdés, 157. § (2), (10) bekezdés, 159/A. §.
[21] Eht. 155. § (3) bekezdés.
[22] ePrivacy irányelv (24) preambulumbekezdés.
[23] GDPR (30) preambulumbekezdés.
[24] Európai Adatvédelmi Testület 5/2019 vélemény 29-33., 40.
[25] ePrivacy irányelv (25) preambulumbekezdés.
[26] Európai Adatvédelmi Testület 5/2019 vélemény 29. pont.
[27] Az ePrivacy irányelv 5. cikkének (3) bekezdése az angol nyelvű szövegben az információ szót használja, ahol a magyar verzió az adat szót.
[28] Európai Adatvédelmi Testület Guidelines 2/2023.
[29] Eht. 155. § (4) bekezdés.
[30] Az információs társadalommal összefüggő szolgáltatásokat érintően az Ekertv. 13/A. §-a tartalmaz a sütikkel kapcsolatos hozzájárulás alóli kivételszabályt. A (3) és (4) bekezdés kimondja, hogy a szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek, de bármely ettől eltérő célból (pl. szolgáltatás hatékonyságának növelése, elektronikus hirdetés küldése, piackutatás) történő adatkezelés csak a cél előzetes meghatározása mellett és az igénybe vevő hozzájárulása alapján folytatható.
[31] ePrivacy irányelv 2. cikk f) pont.
[32] NAIH-3195-11/2022 sz. határozat 4.4. pont.
[33] Európai Adatvédelmi Testület 5/2019 vélemény 76.
[34] Európai Adatvédelmi Testület nyilatkozata (2020) 2.
[35] Európai Adatvédelmi Testület 5/2019 vélemény 39.
[36] Például az Eht. tévesen a kapcsolódó díjak beszedéséről beszél, amely nem azonos a ePrivacy irányelvben említett összekapcsolási díjakkal (interconnection payments), az "átadható" igét használja, amikor kötelező adatszolgáltatást szabályoz stb.
[37] Eht. 157. § (2) bekezdés.
[38] Eht.157. § (8) bekezdés.
[39] Eht.157. § (8a) bekezdés.
[40] Eht. 157. § (10a)-(10c) bekezdés.
[41] 15/2022. (VII. 14.) AB határozat.
[42] Alaptörvény VI. cikk (1) és (3) bekezdés.
[43] Vö. az Eht. 157. § (2) és (10) bekezdésében felsorolt hatóságok körét.
[44] 22/2020. (XII. 21.) NMHH rendelet - az elektronikus hírközlési előfizetői szerződések részletes szabályairól (továbbiakban: Eszr.) 21. § (7) bekezdés.
[45] Eht. 157. § (2a) bekezdés.
[46] ePrivacy irányelv 6. cikk (2) bekezdés.
[47] C-293/12. és C-594/12. sz. egyesített ügyek. Digital Rights Ireland. EU:C:2014:238.
[48] A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (továbbiakban: Grt.) 6. § (1) és (4) bekezdés.
[49] Ez lényegében az Eht. 162. § (1) bekezdése alá nem tartozó, nem automatizált hanghívás.
[50] Ilyennek minősülhet például a nem természetes személy címzettnek küldött reklámüzenet vagy a személyes csatornán közölt reklám.
[51] Ilyenek lehetnek az ún. "engedélykérő levelek", amelyben hozzájárulást kérnek a meglévő vagy lehetséges ügyfelektől hirdetés küldéséhez.
[52] Az ePrivacy irányelv a nem természetes személyek esetében a tagállami jogra bízza a szabályozást.
[53] Automatizált hívórendszer, e-mail, sms, mms, ezzel egyenértékű OTT-szolgáltatások stb.
[54] Eht. 160. § (2) bekezdés.
[55] Eszr. 31. § (1) bekezdése alapján minden telefonszolgáltató évente valamennyi előfizetőjéről névjegyzéket készít, aki ehhez hozzájárul.
[56] ePrivacy irányelv 2. cikk.
[57] ePrivacy irányelv 4. cikk (3)-(4) bekezdés.
[58] ePrivacy irányelv 4. cikk (3) bekezdés.
[59] Eht. 156. § (2)-(8) bekezdés, és a 4/2012. (I. 24.) NMHH rendelet a nyilvános elektronikus hírközlési szolgáltatáshoz kapcsolódó adatvédelmi és titoktartási kötelezettségre [...] vonatkozó szabályokról 5. §.
Lábjegyzetek:
[1] A szerző az ELTE ÁJK Közigazgatási Jogi Tanszékének elsőéves doktorandusza, a Magyar Telekom adatvédelmi jogi csapatának vezetője és adatvédelmi tisztviselője.
Visszaugrás
