Az interneten elkövetett bűncselekmények felderítésének, nyomozásának és a büntetőeljárás lefolytatásának alapvető feltétele az üzleti szféra és az igazságszolgáltatás szereplőinek együttműködése. A szolgáltatónak felkészültnek kell lennie a rendszere elleni támadásokra, azonban csak olyan mértékben, amennyire azt a rá vonatkozó adatvédelmi előírások, ill. korlátozások lehetővé teszik. Ugyanakkor, a jogszabályok által megfogalmazott adatvédelem célja nem az internet-szolgáltatók védelme, hanem a fogyasztói, felhasználói csoportok érdekeinek kifejezése. Az adatvédelmi rendelkezések azonban a szolgáltatót érintik a leginkább, mert a szolgáltató rendszerében tárolódnak azok a felhasználói adatok, amelyek nélkül a büntetőeljárás nem volna lefolytatható, illetve azt bizonyíték híján meg kellene szüntetni. A szolgáltató ezen a ponton tehát két tűz között áll: teljesítenie kell kötelezettségét az igazságszolgáltatásban való együttműködésre - az adatszolgáltatásra -, ugyanakkor a fogyasztók felé is meg kell felelnie, az adatvédelmi kötelezettségek megtartásával. Kérdés ugyanakkor,
- 107/108 -
hogy mennyiben kötelezettség az adatrögzítés és az adatszolgáltatás, illetve milyen lehetőségeket adnak a jogszabályok a nyomozó hatósággal történő együttműködésre az adatszolgáltatás terén. Az alábbi elemzés a Strafprozessordnung (a továbbiakban StPO) 2004. június 30-án és a Telekommunikationsgesetz (a továbbiakban TKG) 2004. június 26-tól hatályos, nem hivatalos fordítása alapján készült.[1] A téma kidolgozásához az elmúlt évek szakirodalmának elemzésén túl a német tartományi és szövetségi bíróságok legfontosabb döntéseit és azok indokolását, valamint az adatvédelemre vonatkozó szövetségi törvényeket is felhasználtam. A tanulmányban összehasonlításra kerülnek a német és a magyar szabályozás főbb szegmensei.
A távközlési szektor digitalizálódása a világon az 1970-es évektől egyre erősödő mértékben jelentkezik. Ennek a "távközlési konvergenciának" az eredményeképpen megfigyelhető a távközlés, a média és az információ-technológia összefonódása. A világon egyre több nagyvállalat foglalkozik egyszerre több olyan tevékenységgel - a tartalom-kialakítástól az infrastruktúra-szolgáltatáson át egészen a közvetlen felhasználói hozzáférés-nyújtásig -, amelyeket korábban a piac különböző szereplői megosztottak egymás közt. A szolgáltatásbeli összefonódások konzekvensen eredményezték az egyes területek jogi szabályozásának közeledését. Ez a folyamat a német jogban is megfigyelhető.
A német jogban a büntetőeljárási kódex szabályozza a telekommunikációs kapcsolatok felügyeletének (Überwachung des Telemeldeverkehrs), valamint az adatlekérésnek (Auskunft über Telekommunikationsverbindungen) a feltételeit, amennyiben a 2002. január 1-jétől hatályos büntetőeljárási novellával a nyomozó hatóság addig más törvényben (Gesetz über Fernmeldeanlagen - kb. Távközlési kapcsolatok törvénye) szabályozott jogai az új szabályokkal együtt átkerültek a büntetőeljárási jogba - ezzel is jelezvén, hogy nagy mértékben megnövekedett a telekommunikációs szolgáltatók felé érkező, adatlekérésre irányuló megkeresések száma.
A szolgáltatóhoz valamely, a törvényben nevesített, taxációban megállapított bűncselekmények elkövetésének alapos gyanúja miatt indult büntetőeljárásban lehet megkereséssel élni. A megkeresés alapja lehet még a
- 108/109 -
szintén törvényben (a TKG-ben) meghatározott végberendezés[2] útján való elkövetés, de a súlyos "katalógus-bűncselekmény" elkövetésének gyanúja is. Az interneten megvalósuló bűncselekmények általában nem illeszkednek a büntetőeljárási kódexben nevesített "katalógus-bűncselekmények"[3] közé, a végberendezés útján való elkövetés azonban általában megállapítható, mert az internetre kapcsolódás feltétele ilyen eszköz igénybevétele. A végberendezés útján történő elkövetés tehát, ha úgy tetszik a klasszikus internetdeliktumok lényegi eleme. Ugyanakkor igaz, az internetdeliktumok általában nem sorolhatók a "katalógus-bűncselekmények" közé, viszont a védett jogi tárgyukat (pl. a fiatalkorúak egészséges szellemi és erkölcsi fejlődését) tekintve általában súlyosak. A jogalkotó elképzelése szerint olyan bűncselekmény miatt indult büntetőeljárásban lehet megkereséssel élni az adatok kiadása iránt, amely minimális feltételként illeszkedik a törvényben felsorolt bűncselekmények védett jogi tárgyához, valamint tényállási keretéhez.
Az adatlekérésnek a vádlottal (gyanúsítottal) és a vele telekommunikációs kapcsolatot létesítő személyekkel szemben lehet helye, amennyiben feltételezhető, hogy a vádlottól (gyanúsítottól) illetve vele kapcsolatosan telekommunikációs forgalomban üzeneteket kapnak, illetve továbbítanak. További feltétel, hogy a tényállás felderítése vagy a gyanúsított tartózkodási helyének megismerése más módon nem lehetséges vagy csak lényeges nehézséggel lenne kivitelezhető.
A magyar büntetőeljárási törvény lényegesen szigorúbb szabályozást tartalmaz az adatszolgáltatással érintett személyek körét illetően, amennyiben azt a gyanúsítottra (feljelentettre illetve az elkövetéssel gyanúsítható személyre) korlátozza.[4] A nyomozás korai szakaszában azonban elképzelhető, hogy más személy adataira is szükség van, egyáltalán a gyanúsított személyéhez való eljutás érdekében. A Be. ezekben az esetekben adatlekérésre, illetve -szolgáltatásra nem ad lehetőséget.
Az StPO szerint felvilágosítás kérhető bizonyos személy törvényben meghatározott, a szolgáltató által rögzített forgalmi adatairól, valamint a jö-
- 109/110 -
vőre nézve[5] generált telekommunikációs forgalmáról is.[6] Az StPO ugyanakkor lehetővé teszi valamely telekommunikációs adatforgalom személyhez történő visszakövetését is. A jogszabály és indokolása között ehelyütt némi ellentmondás fedezhető fel. A törvény nem tartalmaz kifejezett kötelezést a telekommunikációs forgalmi adatok rögzítésére, tárolására nézve, viszont a jövőbeni forgalmi adatokra kiadható tudakozódás mégiscsak feltételezi a felhasználói adatok egyfajta "rendelésre" történő rögzítését. A szolgáltató tehát mégiscsak kötelezhető olyan felhasználói adatok rögzítésére is, amelyeket egyébként - a szerződés teljesítése, a számlázás érdekében - nem rögzítene. A törvény tehát ezen a ponton ráutaló kötelezést tartalmaz. A jogalkotó ehelyütt figyelmen kívül hagyta az adatátadás technikai feltételét, ti. ahhoz, hogy a szolgáltató teljesíteni tudja a törvényben meghatározott adatok átadását, az adatokat legalább rövid időre, de tárolnia kell. Mivel a törvény indokolása szerint a jogalkalmazó nem kötelezheti a szolgáltatót a felhasználói adatok cél nélküli készletezésére, felemás szituáció adódik, amennyiben a szolgáltató, a tárolás aktusán keresztül tulajdonképpen maga dönti el, hogy a hatóság milyen adatokhoz, milyen terjedelemben férhet hozzá. A szolgáltató tehát - elviekben - alappal megtagadhatja a jövőbeni adatközlés teljesítését, mivel nem kötelezhető az adatok rögzítésére, csak az "átadására". A német jogszabályok nem tartalmaznak a felhasználói adatok minimális tárolására vonatkozó határidőt, így azokat a szolgáltató elviekben bármikor törölheti, illetve nem kell rögzítenie sem.[7] Másképpen: a szolgáltató jogosult arra, hogy a rendszerén átmenő, és működése keretében rövid időre rögzített adatokat bármikor törölje. A Bundesrat által 2003 januárjában előterjesztett, az adatkészlet tárolására kötelező kiegészítő norma bevezetését a Szövetségi Törvényhozó Testület nem támogatta, "a telekommunikációs szolgáltató kriminalizálásának elkerülése végett". A jogalkotó ezzel elejét vette annak, hogy a szolgáltató kötelezhető legyen az átmenő adatforgalom - igazságszolgáltatási, számlázási vagy bármilyen más célból történő - megfigyelésére, a döntés azonban felhasználó-védelmi szempontból is üdvözlendő. Más kérdés, hogy
- 110/111 -
a felemás jogszabályi rendelkezés ugyanúgy alapot adhat a megkeresés teljesítésére, mint annak megtagadására.
Amint látható, a megkeresésre vonatkozó szabályoknak létezik pozitív (az adatok rögzítésére kötelező) és negatív (a megkeresés ellenére az adatok törlésére, illetve nem rögzítésére) vonatkozó értelmezése is. Pozitív értelmezés esetén viszont a szolgáltató olyan volumenű adatforgalom rögzítésére köteles, amely jelentős kiadást okoz. Az adatok tárolásához megfelelő szoftvert kell vásárolni, illetve a már meglévő eszközöket az adattárolási céloknak megfelelően át kell alakítani. A befektetés nem kifizetődő, mert a szolgáltatónak a jogszabály erejénél fogva nem jár kártalanítás illetve egyéb költségtérítés, ha a jogalkalmazó a megkeresés kiadásakor a törvénynek megfelelően járt el.
A büntetőeljárási kódexnek a felhasználói adatok megfigyelését - tárolását, átadását - lehetővé tevő rendelkezései analógiát mutatnak az egyébként jogellenes, illetve csak adott feltételekkel (titkos nyomozati tevékenységként) végezhető szűréssel. A gyanúsítottal kapcsolatba kerülő bármely személy forgalmi, kapcsolódási és egyéb adataira vonatkozóan kiadható tudakozódás, a jövőre vonatkozó olyan rendelvény, amelynek segítségével megfigyelhető, ellenőrizhető a telekommunikációs tevékenység. Ez a gyakorlatban annyit jelent, hogy nemcsak a megfigyelt személy adatai jutnak a hatóság tudomására, hanem minden olyan személy kapcsolódási és egyéb adatai is, aki csak a megfigyelttel kapcsolatba lépett. A jogalkotó ennek a lehetőségnek a privátszféra irányában való sérelmességét azzal kívánta keretek közé szorítani, hogy szubszidiaritás-klauzulát ültetett be a rendszerbe. Eszerint főszabályként ez a fajta megfigyelés csak a vádlottal (gyanúsítottal) szemben alkalmazható. Más - a vádlottal kapcsolatba kerülő - személyek adatai (és on-line közleményei) akkor "felügyelhetők", ha a tényállás felderítése vagy az elkövető tartózkodási helyének megállapítása más módon nem lenne lehetséges vagy csak jelentős nehézségekkel lenne megvalósítható.[8]
A törvény a megkeresés kötelező tartalmi elemeit pontosan meghatározza. Súlyos bűncselekmény esetében azonban kivételt fogalmaz meg, amennyiben a megkereséshez nem szükséges a kérdéses személy nevének, címének ismerete, elegendő a kérdéses telekommunikációs kapcsolat időbeli és térbeli meghatározása. Ezzel egyfajta "visszakeresést" tesz lehetővé a törvény, amikor az elektronikus levélcímből és annak meghatározott időben, meghatározott rendszerben történő használatából kell visszakeresni
- 111/112 -
az IP-címet. Ennek akadálya, hogy gyakran nem lehet pontos tér- és időbeli meghatározást adni az adott IP-címmel végzett tevékenységről. Így például, általában nem lehet megállapítani, hogy az adott weboldalt mikor készítették, ehelyett csak az ott megadott e-mail cím individualizálása (azaz a felhasználó személyével történő egyeztetése) jelent valós alternatívát a kívánt személy meghatározásához.[9] A magyar Be. nem tartalmaz a megkeresés pontos tartalmi elemeire vonatkozó meghatározást, azonban nem is teszi lehetővé az StPO-ban elégségesnek tekintett adatok alapján történő nyomozást, hiszen csak a gyanúsítottal kapcsolatos adatok lekérésére van lehetőség.
A telekommunikációs kapcsolat felügyeletét (azaz valamely személy forgalmi adatainak lekérését illetve megfigyelését) csak bíró rendelheti el, az erre a célra rendelkezésre álló formanyomtatványon, amelynek kötelező elemei szintén adottak. Sürgős esetben az ügyész is kiadhat ilyen megkeresést, azt azonban három napon belül bírói megerősítésnek kell követnie. A megfigyelési "kötelezvény" (Telekommunikationsauskunft) három hónapra adható ki, és ez az intervallum további három hónappal meghosszabbítható.
A törvény szigorú adatvédelmi szabályokat állapít meg a megkeresés útján kapott adatok felhasználhatóságára. Az intézkedés által nyert információk más büntetőeljárásban nem használhatók fel, hacsak nem a törvényben nevesített "katalógus-bűncselekmények" (Katalogtäten) miatt indult büntetőeljárásban van szükség erre mint a felderítés eszközére. A magyar büntetőeljárási kódex valamelyest szigorúbb szabályokat tartalmaz, legalábbis a titkos információgyűjtés illetve a nyomozás elrendelését megelőzően bíró vagy igazságügyi miniszter engedélyéhez kötött információgyűjtés eredményének felhasználhatóságát illetően. Az on-line bűncselekmények felderítése tipikusan ebbe a körbe tartozik, hiszen gyakran a nyomozás elrendelése előtt szükséges az adatszerzés, a szolgáltató haladéktalan megkeresése, az esetleges adatvesztés, illetőleg -törlés elkerülése végett. Az így szerzett információ a büntetőeljárásban az általános szabályok szerint is csak akkor használható fel, ha a törvény által meghatározott bűncselekményi kategóriák egyikében indult a büntetőeljárás, valamint a felhasználás célja megegyezik a titkos adatszerzés vagy titkos információgyűjtés eredeti céljával.[10] Eszerint tehát az információ szigorúan csak abban a büntetőeljárásban, azzal a bűncselekménnyel kapcsolatban használható fel a
- 112/113 -
megszerzett információ, amellyel összefüggésben azt megszerezték. Egyéb bűncselekmény, ill. eljárás vonatkozásában újabb adatszerzésre van szükség.
Azokat az adatokat, amelyeket a hatóság megkeresésére a szolgáltató átad, azonban a büntetőeljáráshoz nem szükségesek, illetőleg az eljárásban nem használtatnak fel, haladéktalanul és visszavonhatatlanul meg kell semmisíteni.
A Bundestag és a Bundesrat 2004. május 5-én jutott konszenzusra az új Telekommunikációs törvény (TKG) elfogadásában. Az új törvény az Adatvédelmi Irányelvhez közelítés szellemében szabályozza a telekommunikációs (így pl. az internet-) szolgáltatásokkal kapcsolatos adatvédelmet, illetve a hatóságnak történő adatszolgáltatást.[11]
Az új szabályozás strukturális változást jelent az adatvédelem szabályozása terén. Míg korábban a TKG csak a fontosabb szabályokat rögzítette, és a részletszabályokat egy rendelet tartalmazta (Telekommunikations-Datenschutzverordnung TDSV), most a kizárólagos szabályozást a TKG-ben találjuk. Az összevont szabályozás világosabb és átláthatóbb körülményeket teremtett.
A telekommunikációs szolgáltatókra vonatkozó adatvédelmi szabályok főbb jellemzői a következők:
- A törvény összevonja a telekommunikációs és a távközlési szolgáltatókra vonatkozó adatvédelmi szabályozást.
- Szigorú felhasználó-, illetve előfizetővédelem.
- Anonimizálás mint adatvédelmi technika.
- A nyomozó hatósággal való kapcsolattartás (adatszolgáltatás, házkutatás, lefoglalás) részletesen kidolgozott, ám helyenként ellentmondásos.
Az Adatvédelmi Irányelv előírásaihoz való közelítés.
A továbbiakban a törvénynek az internet-szolgáltatókat is érintő, főbb jellemzői kerülnek bemutatásra.
- 113/114 -
2.1. A német TKG szabályozza valamennyi telekommunikációs szolgáltatás vonatkozásában a gyűjthető és tárolható felhasználói adatokat, a hatóságnak kiadható felhasználó adatok körét, a szolgáltató tájékoztatási kötelezettségét a felhasználó felé. A szövetségi szintű jogszabálynak a helyhez kötött kapcsolatú szolgáltatásokra, a rádiófrekvencia-alapú szolgáltatásokra, a digitális televízió-szolgáltatásra, valamint az internetes szolgáltatások nyújtóira vonatkozó összevont rendelkezései alátámasztják a telekommunikációs szolgáltatások egységesedésének világméretű tendenciáját: a szektorszeparáció megszűnik, megjelennek az univerzális szolgáltatások (Universaldienstleistungen). Az elmúlt évtizedek jelentős mérvű technikai fejlődése eredményeként a telekommunikációs és távközlési szolgáltatások ma már nem kezelhetők egymástól függetlenül. Mi több, gyakorlatilag nem is választható el ez a két fogalom, minthogy az információtovábbítás immár nemcsak a hagyományos távközlési tevékenységről (vezetékes telefon, telex, telefax stb.) szól. A szektorsemlegesség az alábbi példákkal szemléltethető:
- A nyilvános telefonháló fogalma felöleli a harmadik generációs telekommunikációs eszközöket.[12]
- A törvény hatálya minden olyan telekommunikációs forgalomra kiterjed, amelyet olyan technikai felszerelés vagy rendszer közvetít, amely azonosításra alkalmas elektromágneses vagy optikai jelek küldésére, továbbítására, közvetítésére, fogadására, vezérlésére vagy ellenőrzésére alkalmas (hírszolgáltatás).[13]
A törvény hatálya minden olyan telekommunikációs szolgáltatóra kiterjed, amely telekommunikációs hálózat útján adatokat továbbít.[14] Hatályát tekintve a törvény tükörjogszabálya hazánkban az Eht., amennyiben mindkét jogszabály hatálya alá azok a szolgáltatások tartoznak, ame-
- 114/115 -
lyeket jelek átvitelére használnak.[15] A telekommunikációs hálózat meghatározása, nagyon helyesen, tükrözi az Európai Uniós távközlési irányelvcsomagban megfogalmazott definíciót - ez egyébként a magyar Eht-ban is hasonlóan jelenik meg.[16] A telekommunikációs információtovábbítás telekommunikációs hálózatként történő összegzése ugyanakkor utal az egykor különböző piaci szereplők által biztosított szolgáltatások (infrastruktúrabázis, hálózati hozzáférés-biztosítás, információ-továbbítás, tartalomszolgáltatás stb.) egységesedésére, azaz az információtovábbítás platformsemlegessé válására is. A magyar Eht. kitétele, mely szerint a törvény nem vonatkozik "az információs társadalommal összefüggő, más jogszabályokban meghatározott szolgáltatásokra, amelyek nem elsősorban az elektronikus hírközlő hálózatokon történő jeltovábbításból állnak" - azaz nem vonatkozik például az elektronikus kereskedelmi tevékenységre - ebben a tekintetben indifferens. Mivel a TKG tartalmi elemeinek és céljainak magyar leképeződését leginkább az Eht.-ban találjuk meg, így a német törvényt főbb pontjaiban az Eht.-val hasonlítom össze.
2.2. A TKG a távközlési titok fogalmára a korábbiaknál (TKG-Alt) szigorúbb szabályokat állapít meg. A TKG távközlési titok-fogalma (Fernmeldegeheimnis)[17] kiegészül azon adatoknak a védelmével, amelyek lehetővé teszik a távközlési titoknak minősülő adathoz történő hozzáférést. A PIN és a PUK kódok rendeltetése eredetileg, hogy az általuk védett adatrögzítőn tárolt, távközlési titoknak minősülő adatokat - mint amilyen a felhasználó elektronikus levélcíme, telefonszáma, mobiltelefonon küldött rövid szöveges üzenet tartalma, vagy akár a készülék cellapozíciója - védjék. A törvény azonban nemcsak a távközlési titkot, hanem az azokat biztosító kódolást is fokozott védelem alá helyezi. A manuális adatlekérések szabályozásában ehhez képest a törvény kifejezett védelme alatt álló ada-
- 115/116 -
tok is egyszerűen, bírói határozat nélkül kérhetők le a szolgáltató rendszeréből. (Manuelles Auskunftsverfahren, ld. később)
Az Adatvédelmi Irányelv alapvetően az adatok meghatározott cél nélküli tárolásának tilalmát deklarálja. Az adatok tárolását abban az esetben nem tiltja, amennyiben a tárolás célja kizárólag az elektronikus távközlési hálózaton keresztül történő adatátvitel - feltéve, hogy az információt nem tárolják az átvitelhez és a forgalomirányításhoz szükséges időt meghaladóan, valamint szavatolják az adatkezelés bizalmasságát.[18] A közlemény átvitelének befejezése után a forgalmi adatokat haladéktalanul törölni kell, kivéve a számlázási célokra rendelkezésre álló adatokat, amelyeket a díjak kiszámlázásához szükséges és elégséges ideig, ebből a célból lehet tárolni.[19] A TKG ennek megfelelően szabályozza az adatok kezelhetőségét. Főszabályként, az adattakarékosság elvének megfelelően,[20] az adatok tárolása és kezelése csak a szükséges mértékig lehetséges: a szolgáltató a rendszerén keresztülmenő adatforgalomból csak annyiban emelhet ki adatokat, és csak annyiban használhat fel forgalmi vagy kapcsolódási adatokat, amennyiben a kiemelés ill. a felhasználás a közlemény továbbításához vagy a számlázáshoz, illetőleg a díjak kiszabásához, a műszaki hibák megállapításához és elhárításához, és a szerződés teljesítéséhez szükséges és elégséges.[21] A TKG-ben az adatkezelés célhoz kötöttségére vonatkozó előírás az Adatvédelmi Irányelv rendelkezéseinek megfelelő.[22]
Az Adatvédelmi Irányelv nem tartalmaz konkrét előírásokat az adatok tárolhatóságának minimális és maximális idejére vonatkozóan. A szükségességi-elégségességi klauzula keretein belül a tagállamokra bízza a tárolhatóság és kezelhetőség határidejének meghatározását. A TKG szerint a szolgáltató a kapcsolat befejeztét követően köteles megállapítani a számlázáshoz szükséges adatokat. A forgalmi adatokat a számla postázásától számított legfeljebb hat hónapig lehet megőrizni. Amennyiben a szolgáltatás igénybevevőjének a számla végösszegével kapcsolatban kifogása van, akkor a forgalmi adatokat az ilyen kifogás elbírálásáig lehet megőrizni.[23]
A törvényben külön meghatározott adatkezelési cél - az Adatvédelmi Irányelvnek megfelelően - a hibaelhárítás.[24] A szolgáltatásnyújtó a táv-
- 116/117 -
közlési berendezésekben fellépő hibák vagy zavarások felismeréséhez, lokalizálásához, ill. kiküszöböléséhez szükséges mértékben kiemelheti és kezelheti a felhasználó ill. a szolgáltatást igénybevevő személyes és forgalmi adatait.[25] Az adatkiemelés célja lehet a telekommunikációs hálózat jogellenes használatának, illetve a rendszer zavarásának felderítése. A szolgáltatót a törvény feljogosítja a felhasználói kapcsolódási adatok kiemelésére (erheben), hogy a hat hónapnál nem régebbi forgalmi adatok teljes állományából azon kapcsolódási adatok visszakövethetőek legyenek, amelyek alátámasztják a telekommunikációs hálózat és szolgáltatás meghatározott időpontokban történt jogtalan igénybevételét. Különösen jogosult a szolgáltató a kiemelt forgalmi adatokból álnevesített (pszeudonimizált) adatösszességet képezni, amely felvilágosítással szolgál az egyes résztvevők hívásindításának céljáról. Az egyéb kapcsolódásokra vonatkozó adatokat helyreállíthatatlanul törölni kell. Amennyiben a szolgáltató ilyen, rendszerellenes visszaéléssel kapcsolatos eljárást indít, azt be kell jelenteni a távközlési szabályozó hatósághoz. A szabályozó hatóság ellenőrizheti a szolgáltató adatkiemelési tevékenységét, illetőleg az adatok célnak megfelelő felhasználását.[26]
Az adatok piac- és közvélemény-kutatási célokra való felhasználásánál Németországban kezdettől fogva az opt-in rendszer érvényesül - hasonlóan a magyar szabályozáshoz.[27] Az adatok csak a felhasználók kifejezett, előzetes hozzájárulásával adhatók át piackutatási és reklámcélokra. Az opt-in rendszer bevezetése a fogyasztói adatok szolgáltató általi feldolgozásának szigorítását jelenti - ezzel a rendelkezéssel garantálja a törvény a felhasználói adatok biztonságos kezelését.[28] A piackutatási célokra szol-
- 117/118 -
gáló, felhasználói beleegyezéshez kötött adattovábbítást az Adatvédelmi Irányelv szorgalmazza.[29]
Az új TKG szerint a számlázás helyességének igazolása céljából a forgalmi adatok a felhasználó előzetes beleegyezése nélkül tárolhatók. (A korábbi rendelkezések szerint ehhez a felhasználó előzetes hozzájárulására volt szükség.) A felhasználó ugyanakkor, kifejezett nyilatkozattal megtilthatja forgalmi adatainak tárolását. A rendelkezés az adatvédelem területén vitákat váltott ki, ennek ellenére a szolgáltatói érdekeket képviselők véleményének megfelelő rendelkezés került a törvénybe. Eszerint a forgalmi adatok tárolására azért van szükség, mert megkönnyíti a szerződésszerű teljesítés igazolását és alátámasztja a tartozás-követelést, amennyiben a felhasználó nem teljesíti szerződésszerű kötelezettségét, illetőleg ha kifogással él a számlázott összeg ellen. Ezzel az intézkedéssel a jogalkotó eleget tett az Adatvédelmi Irányelvben megfogalmazott, az új telekommunikációs technológiák elterjedésének előmozdítására vonatkozó célnak, ti. hogy a szolgáltató köteles olyan intézkedéseket tenni, amely a felhasználói bizalom kialakulását, és ezzel a szolgáltatás elterjedését előmozdítja.[30] Továbbra is megválaszolatlan maradt azonban annak a kérdése, hogy az adatok tárolását megtiltó felhasználói nyilatkozat ellenére jogszerű-e mégis az adatok további tárolása, amennyiben a felhasználó nem tett eleget szerződésszerű fizetési kötelezettségének. Ez a megoldás a szolgáltatót védené, amennyiben bizonyíthatóvá válna a felhasználó felé fennálló követelés. A törvény szerint azonban, főszabályként, arra vonatkozó felhasználói nyilatkozat esetén, a szolgáltató az adatok törlésére köteles.
Az új törvény - szintén az Irányelvnek megfelelően - már külön nevesíti a nyilvános telekommunikációs hálózatba kapcsolódó felhasználó tartózkodási helyének (a felhasználói végberendezésnek) a meghatározására vonatkozó adatokat (Standortdaten; helymeghatározási vagy földrajzi adatok).[31] A TKG fogalom-meghatározása szerint a helymeghatározási adatok körébe belefoglaltatnak a kapcsolódási-forgalmi adatok is. Ez helyhez kötött hálózati kapcsolat (pl. vonalas telefonszolgáltatás) esetén természetes, hiszen a szolgáltatás nyújtásához a felhasználó tartózkodási helyének
- 118/119 -
előzetes ismerete is szükséges. Mobilszolgáltatás (minden, helyváltoztatást lehetővé tevő szolgáltatás, tehát IMEI kód használatával vagy IP hálózatban létesített kapcsolat) esetén azonban - a törvény Adatvédelmi Irányelv rendelkezéseivel konform értelmezése szerint - csak azok az adatok esnek ebbe a körbe, amelyek egyúttal nem forgalmi adatok[32] is, azaz, magának a forgalomnak a lebonyolításához, az információ-továbbításhoz nem szükségesek. A törvény éppen azért nevesíti külön a helymeghatározási adatokat, mert ezek olyan pótlólagos információt tartalmaznak a felhasználóról, amelyek egyébként a szolgáltatáshoz nem feltétlenül szükségesek. Azonban a jogalkotó szükségesnek tartotta ezeket is védelem alá helyezni: a pozícióra vonatkozó adatok csak a felhasználó előzetes hozzájárulásával, illetőleg anonimizáltan kezelhetők.[33] A törvény lehetőséget ad arra, hogy a felhasználó az egyes hívásoknál lemondhassa a pozícionálási adatok kezeléséhez adott előzetes beleegyezését. Ez a megoldás kissé nehézkessé teszi a kapcsolat-létesítést, adatvédelmi szempontból viszont üdvözlendő. A kapcsolat-létesítés nemcsak a felhasználó oldaláról bonyolultabb. A szolgáltatónak gondoskodnia kell egy, a lemondást lehetővé tevő technikai alkalmazásról, enélkül ugyanis, a törvény értelmében nem fejtheti ki tevékenységét.
A törvény meghatározza a szolgáltató által kezelhető adatok körét. Az adatkészlet (Bestandsdaten) fogalmába alapvetően a szerződés teljesítéséhez szükséges adatok tartoznak, mint rendesen. Az Adatvédelmi Irányelv az adatállomány tárolhatóságának határidejére konkrét előírásokat nem tartalmaz. Figyelemmel a fogyasztói jogok biztosítására, a szolgáltatói adattárolást csak mint negatív, kivételes jogot határozza meg.[34] Ennek megfelelően, a TKG szerint a forgalmi (azaz a közlemény továbbításához szükséges) adatokat a díjak kiszámlázásától számított hat hónapig lehet megőrizni (maximális határidő), az adatkészletbe tartozó (a szerződés teljesítéséhez szükséges) adatokat pedig először a szerződéses kapcsolat befejezését követő naptári év végén lehet törölni (minimális határidő).[35] A magyar törvény az adattárolásra szigorúbb és konrétabb előírásokat tartalmaz. Az Eht. szerint a forgalmi adatokat főszabályként törölni kell a szolgáltatás teljesítése után, kivéve a számlázás és a kapcsolódó díjak beszedése miatt kezelt adatokat, amelyek a szerződésből eredő igények el-
- 119/120 -
évüléséig kezelhetők.[36] A hívás kezdetére, irányára, befejezésére, mobilkészülék IMEI azonosítójára, illetve IP hálózat esetén az ott alkalmazott azonosítókra vonatkozó adatok hosszabb ideig kezelhetők, minthogy az elévülést követő egy év után, 30 napon belül törlendők.[37] A 2001. évi XL. törvény a hírközlésről (a továbbiakban Hkt.) korábban, a német megoldáshoz hasonlóan határozta meg a felhasználói adatok tárolhatóságát. Az internet-szolgáltatónak mint a távközlési szolgáltatóval analóg tevékenységet végző hostnak a Hkt. alapján "a beszélgetés befejezése", ill. a szerződés megszűnése (teljesedésbe menése) után törölnie (de legalábbis anonimizálnia) kellett az előfizetőkre és a felhasználókra vonatkozó adatokat.[38] A törvény egyes adatok további kezelését lehetővé tette ugyan, de csak a számla teljesítésének határidejét követő hat hónappal ill. a díjtartozás elévülésével (egy év) bezárólag.[39] Így a szolgáltató a Hkt. rendelkezésére hivatkozva tulajdonképpen bármikor törölhette a felhasználó identitását megmutató naplófájlokat - illetőleg hivatkozhatott a nyomozóhatóság felé arra, hogy a követelés teljesítésével az adatokat törölte. Hat hónap elteltével pedig egyenesen törvénybe ütköző volt az adatok kezelése/tárolása. Ez azt jelentette, hogy a szolgáltató elviekben bármikor törölhette a felhasználói (kapcsolódási, forgalmi) adatokat, de hat hónap elteltével a törvény értelmében köteles is volt erre. Az adattárolásra megszabott maximális határidő a nyomozó hatóság részére történő adatszolgáltatás teljesítésének akadályát jelentette, amennyiben a tárolókapacitástól függően - általában egy-három havi tárolás után - törölt adatokat már nem lehetett kiszolgáltatni. Az Eht. szabályozása, amely a hatóságnak kiadott adatok tekintetében külön tárolási határidőt szab meg, már kedvezőbb hatással van az igazságszolgáltatási érdekérvényesítésre.[40] A német TKG ezzel szemben megtartotta az adatok tárolhatóságára vonatkozó "maximalizáló határidőt". E rendelkezés az Adatvédelmi Irányelv elsődleges, a magánélet, a magántitok védelmére vonatkozó céljával mutat összefüggést.[41]
Érdekesség, hogy nem került be a TKG-be a Bundestag prepaid (előre fizetett) szolgáltatásokra kidolgozott, kivételes adatkezelési szabályozása. A prepaid szolgáltatásoknál a felhasználó a jövőbeni szolgáltatás reményében fizet, a szerződés tehát már a szolgáltatás megkezdésekor teljesített-
- 120/121 -
nek tekinthető a felhasználó részéről. A felhasználói adatok további tárolása tehát nem indokolható a törvényben meghatározott számlázási, követelés-érvényesítési céllal. A prepaid szolgáltatásokra az Adatvédelmi Irányelv nem tartalmaz speciális szabályokat.
2.3. Az adatfeldolgozást már a Szövetségi Adatvédelmi Törvény (Bundesdatenschutzgesetz, a továbbiakban BDSG) korlátozta, illetve a szolgáltatónak a felhasználói adatok kezelésével összefüggő tevékenységét a minimálisra szorította. Erre vonatkoznak a BDSG "adatelkerülésre" (Datenvermeidung) és adat-takarékosságra (Datensparsamkeit) vonatkozó előírásai, melyek szerint a szolgáltatói adatfeldolgozó rendszer kialakításánál ügyelni kell arra, hogy az adatkiemelésre (az adatok gyűjtésére), a feldolgozásra és a felhasználásra csak a szolgáltatás ellátásához minimálisan szükséges mértékben kerülhessen sor. A BDSG az adatvédelem céljaira elsősorban az anonimizálást és az ügyfelek pszeudomizálását ("álnevesítését") rendeli alkalmazni.[42]
Az adatvédelmi célú anonimizálással, azaz a felhasználói adatok felismerhetetlenné tételével kapcsolatosan szólnunk kell az anonimizálás-szolgáltatásról, amely - igaz, nem a törvény által meghatározott adatvédelmi rendelkezés, de eredményében hasonló - a felhasználó által igénybe vehető, független szolgáltatás. Az anonimizálás ebben az értelemben a felhasználói üzenetet továbbító szolgáltató technikai intézkedése az üzenetet küldő fél kapcsolódási adatainak azonosíthatatlanná, felismerhetetlenné tételére. A felhasználó kapcsolódási adatai (identifikációja) az internetes bűncselekmények elkövetőire vonatkozó eljárásokban központi jelentőséggel bírnak. Az interneten nincsenek a köznapi értelemben vett, látható nyomok: sok esetben az IP-cím kínálja az egyetlen kiindulási pontot az elkövető visszakövetéséhez. Ám anonimizálás esetén a visszakeresés gyakorlati feltételei kedvezőtlenek, mert az on-line szereplők közötti adatcsere nem közvetlen, hanem számos további szolgáltató rendszerének közreműködésével zajlik. Az anonimizáló szolgáltatás lehetővé teszi, hogy a felhasználó teljesen anonim módon, megfigyelhetetlenül végezze on-line tevékenységeit. A felhasználó, IP-címével a netre csatlakozva rendesen különböző szolgáltatóktól különböző tartalmakat kér le. Az anonimizálás lényege, hogy a felhasználó kérelmeit több közbeékelődő keresztállomáson át közvetíti a megcélzott weboldalhoz, miközben a felhasználó eredeti IP-címét csak az első keresztállomás tárolja, ugyanis onnan a kérelem
- 121/122 -
már egy másik IP-címmel továbbítódik, mintha az nem is a felhasználótól származna. A felhasználó eredeti kérelme a kívánt weboldalhoz tehát több, közbeékelődő szolgáltatón keresztül továbbítódik, és a weboldalhoz már a legutolsó szolgáltató identifikációját használva jut el. Mivel minden közbeékelődő keresztállomás egyben anonimizálja is az általa továbbított üzenek küldőjét, így csak akkor lehetséges egy adott kommunikációs folyamatban visszakeresni a konkrét résztvevő identifikációját, hogyha valamennyi közbejövő szolgáltató (nemcsak közvetíti, hanem) tárolja is a meghatározott kapcsolódási adatokat. Az internet-szolgáltató azonban, a törvény (StPO) szerint nem kötelezhető a felhasználói kapcsolódási adatok tárolására, így az anonimizáló szolgáltató közbenjöttével szinte lehetetlen valamely IP-címmel végzett on-line tevékenység detektálása. Valamely szolgáltatás teljesítéséhez - az üzenetnek a címzetthez való eljuttatásához - azonban elengedhetetlen, hogy a szolgáltató - legalább a kérelem teljesítéséig - tárolja is a felhasználó kapcsolódási adatait. Tehát, amennyiben a hatóság megkeresése a szolgáltatóhoz e rövid idejű tárolás tartama alatt érkezik, a szolgáltató képes lesz azt teljesíteni[43], függetlenül attól, hogy nem köteles az adatok tárolására, és szolgáltatásának lényege a kapcsolódási adatok felismerhetetlenné tétele. Ennek ellenére az anonimizáló szolgáltató nem minden esetben mutat együttműködési hajlandóságot a jogalkalmazó hatóságokkal, másfelől viszont a jogalkalmazó nincs tisztában azzal, hogy milyen felhasználói adatokat kérhet a szolgáltatótól, mely jogszabályhelyekre hivatkozva. A nyomozó hatóságok, de legfőképpen a bíróságok közötti jogértelmezési különbségek, bizonytalanságok a bizonyítékul szolgáló felhasználói adatok megszerzésének akadályát jelenthetik.[44]
Hazánkban ilyen, a felhasználó kapcsolódási adatainak anonimizálásával foglalkozó szolgáltató nem működik. Az anonimizáló programokat egyébként számítógépes rendszerekbe való illegális behatolások alkalmával használják, a nyomok eltüntetésére (helyesebben felismerhetetlenné tételére), illetve erre a célra felhasználhatnak távoli szervert is, amely a kérelmeket már más IP-címeken továbbítja (spoofing). Az anonimizálás - a levéltitokhoz, és más, személyhez fűződő jogokhoz hasonlóan - ésszerű és
- 122/123 -
elfogadható lehet, azonban ennek megengedhetősége vitás, illetve végérvényesen nem tisztázott. Tény, hogy az anonimizált adatokból a nyomozó hatóság csak jelentős nehézségekkel képes visszakeresni a felhasználó identifikációját.
2.4. A törvény a hatóság számára történő adatszolgáltatás tekintetében általános szabályokat tartalmaz. A szolgáltató a felhasználó nevét és címét, a szerződés kezdetének dátumát, természetes személyek esetében a születési dátumot, valamint helyhez kötött (vezetékes) csatlakozásnál az ilyen csatlakozási pont címét megőrizni és a nevesített szervek számára szabadon hozzáférhetővé tenni tartozik még abban az esetben is, hogyha ezek az adatok a működés (a szolgáltatás teljesítése, a hibaelhárítás, a számlázás) céljából nem szükségesek.[45]
A felhasználói adatok már a korábbi törvényi rendelkezések alapján is lekérhetők voltak (TKG-Alt), az adatlekérdezési eljárások azonban teljesen új szabályozást kaptak. Az új TKG kétféle adatlekérdezési eljárást különböztet meg: az automatizált lekérdezési (Automatisiertes Auskunftsverfahren),[46] valamint a manuális, megkeresési eljárást (Manuelles Auskunftsverfahren).[47] Automatizált eljárásban a törvényben meghatározott hatóságok (pl. bíróság és bűnüldöző hatóságok, szövetségi és tartományi rendőrhatóságok, szövetségi és tartományi alkotmányvédő hatóságok, katonai kémelhárítás, Szövetségi Hírszerző Szolgálat stb.) feladataik teljesítése érdekében a szolgáltató közbeékelődése (és értesítése) nélkül hívhatnak le adatokat a szolgáltató által tárolt adatállományból. Az automatizált eljárás azokra a forgalmi, felhasználói adatokra vonatkozik, amelyek egyébként hagyományos nyomozati módszerekkel is megismerhetők lennének. A manuális eljárás szerint a szolgáltató megkeresésével történik az adatok lekérdezése. A manuális (tehát, ha úgy tetszik, "megkeresési") eljárás azokra az adatokra vonatkozik, amelyek az általánosnál szigorúbb védelem alá esnek. Ezek az adatok csak titkos nyomozati tevékenység útján ismerhetők meg. Így például az olyan adatok megszerzése, amelyek a telekommunikációs hálózatba kapcsolódást teszik lehetővé (pl. PIN, PUK kód) valamely végberendezés útján, vagy például a szöveges üzenetek tartalmának "lehallgatása" csak manuális eljárásban lehetséges.[48] Ezek az adatok távközlési titoknak
- 123/124 -
minősülnek, tehát főszabály szerint a nyomozó hatóság csak bírói határozat birtokában ismerheti meg azokat. A törvény azonban, manuális eljárás keretében lehetővé teszi ezeknek az adatoknak a megismerését. Így azok az adatok is kiszolgáltathatók, amelyekkel a szolgáltató az általa tárolt ill. a rendszere által továbbított, nem nyilvános adatokat védi. Ez a szabályozás, érthető okok miatt, alkotmányossági vitákat váltott ki. Az ellenérvek szerint a titkos adatokat védő adatoknak éppolyan védetteknek kellene lenniük, mint az általuk védett adatoknak. A TKG új rendelkezései tehát lehetőséget adnak arra, hogy a nyomozó hatóság (vagy más, a törvényben feljogosított szerv) bírói engedély megkerülésével jusson hozzá különösen védett adatokhoz. Ez egyfelől kényszerhelyzetbe hozhatja a szolgáltatót, amennyiben olyan technikai eszközök beépítésére, közbeiktatására kényszerülhet, amelyek lehetővé teszik a titkos adatok (kódok) kiszolgáltatását. Másfelől, a törvényalkotó nem számolt az ilyen megkeresések technikai okból való ellehetetlenülésével (Unmöglichkeit).[49]
Ebben az esetben az "ellehetetlenülés" leginkább a téves adatszolgáltatás miatt következhet be. "Ellehetetlenülhet" például a mobiltelefonokhoz tartozó SIM kártyák PIN kódjaira vonatkozó megkeresésnek a szolgáltató általi teljesítése, mivel a PIN kódokat nem a telekommunikációs szolgáltató tárolja, így arról sincs tudomása, ha a kódokat esetleg időközben megváltoztatták. A szolgáltató által kiadott kód nem minden esetben vonatkozik arra a személyre, akiről a hatóság ténylegesen adatokat kíván beszerezni, viszont a szolgáltatónak nincs tudomása arról, ha a megkeresésre téves adatokat szolgáltat. Harmadszor, egyes kritikák szerint a német Alkotmány (Grundgesetz, GG) magánélet sérthetetlenségét kimondó rendelkezésére figyelemmel a manuális eljárás (azaz a titkos adatokhoz való hozzáférést lehetővé tevő adatok, kódok kiadása) nem lenne alkalmazható. Egyfelől azért, mert a TKG az Alkotmányhoz képest nem határoz meg speciális alapot a személyes adatok kiszolgáltatására, ugyanakkor az Alkotmány rendelkezése szerint semmi esetre sem szabad az abban meghatározott alapjogot annak lényegi tartalmában érinteni, azaz külön törvényben nem határozhatók meg a magánélet, illetőleg a magántitok sérthetetlenségét derogáló rendelkezések.[50]
A manuális eljárás értelemszerűen azokra a hatóságokra vonatkozik, amelyek nemzetvédelmi, alkotmányvédelmi, honvédelmi, katonai veszély-elhárítási feladatokat látnak el. Az ilyen adatok más (közigazgatási vagy
- 124/125 -
egyéb) hatóságok számára történő kiszolgáltatása, valamint a kiszolgáltatott adatok eltérő célra történő felhasználása nyomatékosan tilos. A hatóság feladatának ellátásához nem szükséges adatok (amelyek indokolatlanul kerültek a hatóság birtokába) haladéktalanul megsemmisítendők.[51]
A forgalmi adatok átadása, a hatóság számára történő adatszolgáltatás további szabályozását a büntetőeljárásjogi kódex tartalmazza.[52]
A törvény a hatóságnak történő adatszolgáltatással kapcsolatosan súlyos terhet ró a szolgáltatóra. Előírja, hogy a szolgáltatónak saját költségére és felelősségére kell megteremtenie a megkeresések teljesítéséhez szükséges technikai feltételeket. Ebbe a körbe tartoznak a jogosulatlan hozzáférési kísérletek elleni védelmet és a hitelességet biztosító megoldások, a készülékek megvásárlása, beépítése, valamint egységes telekommunikációs kapcsolódási rendszer bevezetése, illetőleg ezen berendezéseknek a folyamatos készentartása. A törvény ennek ellentételezéseként gondoskodik a szolgáltató kártalanításáról. Főszabály szerint a megkereső törvényi felelősséggel tartozik az adatoknak a szolgáltatói rendszer sérülése nélküli lekéréséért. Az automatizált adatlekérési eljárások miatt bekövetkező károk ellen a szolgáltató teljes mértékben biztosított: a lekérdező szavatol az eljárás károkozás nélküli lefolytatásáért. Amennyiben a szolgáltatót mégis veszteség érné a lekérdezések nyomán, úgy a törvény erejénél fogva jár ellenszolgáltatás. A manuális, megkeresési eljárásoknál más a helyzet, a külön jogszabályban (az adatlekérdezési eljárás során a szolgáltatónak okozott károk megtérítéséről szóló szövetségi kormányrendeletben)[53] meghatározott összeget meghaladó mértékű károsodásért az ellenszolgáltatás mellőzendő. Ellenben a törvény erejénél fogva, teljes kártérítés jár abban az esetben, ha azért került sor megkeresésre, mert az automatikus lekérdezés nem vezetett eredményre.
Hasonló kötezettséget ró a szolgáltatóra az Eht. is. A szolgáltató biztosítani köteles az általa kezelt adatok titkos információgyűjtéssel, illetve titkos adatszerzéssel történő megismeréséhez szükséges eszközök és módszerek alkalmazási feltételeit, valamint a titkos információgyűjtés illetve a titkos adatszerzés eszközeit. "Az alapkiépítésű monitoring alrendszer" - azaz a megfigyelés eszköze kiépítésének és működtetésének valamennyi költségét a szolgáltató viseli.[54] Az Eht. nem szól külön a lekérdezéssel
- 125/126 -
(megkereséssel) a szolgáltatónak okozott kár megtérítéséről, azonban, mivel főszabályként a szolgáltató viseli a megfigyelés eszközének ki- illetve beépítésével keletkező és a működtetéssel járó valamennyi költséget, nem lehet szó az állami felelősségvállalásról.
A kapcsolódási adatokról történő felvilágosításért való kártérítés mértékét nem közvetlenül a TKG-ben szabályozza. A törvényi szabályozás azonban üdvözlendő lenne a szolgáltató érdekeire nézve - ezzel a szolgáltató közvetlenül a törvényre hivatkozhatna a büntetőeljárás során az adatszolgáltatásért őt ért veszteség ellentételezéseként -, azonban tekintettel a károkozás-károsodás diverzitására, a törvény csak általános szabályt tartalmaz a szolgáltató kártalanítására. A gyakorlat még nem mutat semmiféle konkrét tendenciát a bekövetkező károsodásért járó ellentételezésre. Az ellenszolgáltatásnak, minden esetre legalább megközelítőleg fedeznie kellene a szolgáltató tényleges kárát. A túlságosan alacsony összegű kártalanítás esetén alkotmányossági viták merülhetnek fel a törvénnyel kapcsolatban - a vállalkozás szabadságát illetően. Másfelől, a szolgáltató a megkereséssel felmerülő költségeket, magától értetődően, a felhasználói díjak alakításával (emelésével) éreztetné, amely viszont fogyasztóvédelmi szempontból lehet aggályos.
Az új TKG rendelkezései pozitívak, előremutatóak - az Adatvédelmi Irányelv magánélet védelmét célzó rendelkezéseinek alkalmazása, figyelembe vétele miatt. Ez azonban nem állapítható meg a felhasználói adatok tárolására vonatkozó előírásokkal kapcsolatban, amelyek - különösen a szerződés teljesítéséhez nem szükséges adatok rögzítésének a kötelezettsége, valamint a távközlési titoknak minősülő adatok bírói határozat nélküli megismerhetősége - az információs önrendelkezési jog csorbulását jelentik.
A szolgáltató nyomozó hatósággal történő együttműködése részletesen szabályozott. Az automatizált adatlekérések gyorsabbá, egyszerűbbé teszik az adatokhoz való hozzájutást. A manuális - azaz a szolgáltató közbejöttével történő - eljárás azonban ellentmondást mutat a törvény távközlési titokra vonatkozó meghatározásával, amennyiben a megkeresés lehetővé teszi az adatok titkosítására vonatkozó kódok bírói határozat nélküli megszerzését. A jogállamiság alapvető követelménye, hogy a bizalmas adatokat védő adatokat a védett adatokkal azonos védelemben kell részesíteni.
- 126/127 -
Az Eht. megoldása a felhasználói (kapcsolódási, forgalmi) adatok tárolhatóságára a németnél előnyösebb megoldást jelent a nyomozó hatóságnak történő adatszolgáltatás vonatkozásában, igaz, a TKG - az adatok tárolhatósága maximális határidejének meghatározásával - hangsúlyozottabbá teszi a magántitok védelméhez való jogot.
Ugyanakkor, a Számítástechnikai Bűnözésről szóló Egyezmény[55] adatszolgáltatásra vonatkozó rendelkezései nem kedveznek a felhasználói adatvédelemnek. Az Egyezmény nem tartalmaz rendelkezéseket a lefoglalás és a szolgáltatót kötelező megkeresések limitálása tekintetében. A rendelkezések egyértelműen a hatóság jogosultságait növelik az információs önrendelkezési joggal szemben. Németország az Egyezmény ratifikálására készül, melynek következtében a privátszféra védelméhez való jog könnyen háttérbe kerülhet a büntetőeljárás érdekeivel szemben. A szakértők olyan rendelkezések német jogban történő meghonosításával számolnak, mint amilyen az Egyezmény rendelkezése a felhasználói adatok tárolására, a valós idejű kapcsolatok ellenőrizhetőségére, valamint a kommunikáció tartalmának ellenőrizhetőségére. Az Egyezmény hagy némi "játékteret" a ratifikáló feleknek a szabályok átültetéséhez, hogy a felek a helyi viszonyoknak megfelelően alakíthassák ki az egyensúlyt a hatékony büntetőeljárás és a privát szféra védelme között. Az egyensúly megtalálása azonban nem merül ki a jogalkotásban: a gyakorlatban rendszerint újra kell értelmezni a szabályokat - a technikai vívmányoknak megfelelően. A jogalkotással szemben álló igények az internetes tartalommal kapcsolatban gyorsabb, naprakészebb változtatásokat követelnek, mint az élet egyéb területén.■
- 127 -
JEGYZETEK
[1] A jogszabályok forrása a Max-Planck-Institut für ausländisches und internationales Strafrecht on-line adatbázisa. (Letöltés - 2004. július 1.)
[2] A végberendezés olyan, hálózati végponthoz kapcsolt berendezés, amelyet a felhasználó mint a hálózati hozzáférés eszközét alkalmaz. Ilyen végberendezés például a mobiltelefon vagy a személyi számítógép. Ld.: 2003. évi C. törvény az elektronikus hírközlésről (a továbbiakban Eht.) 188. § 21. pont.
[3] StPO 100a. § 1. bek.
[4] 1998. évi XIX. törvény a büntetőeljárásról (a továbbiakban Be.) 178/A. § (1) bek.
[5] A magyar jogban az ilyen célirányos, mégis, nem szigorúan meghatározott időre vonatkozó adatrögzítés "megfigyelésnek", azaz titkos nyomozási tevékenységnek minősül, amely tevékenység kereteit nem a Be. szabályozza.
[6] StPO 100g. § (1) bek.
[7] Más kérdés, hogy a szolgáltatás teljesítése elképzelhetetlen a felhasználói adatok legalább minimális időre, azaz a kérelemnek a címzetthez (valamely számítógéphez, valamely számítástechnikai rendszerhez) történő eljuttatása idejére történő tárolása - azaz rögzítése - nélkül. Ld. a fenti magyarázatot.
[8] StPO 100c. §.
[9] StPO 100h. §.
[10] Be. 206. § (3) bek.
[11] Az Európai Parlament és a Tanács 2002/58/EC irányelve a személyes adatoknak az elektronikus távközlési ágazatban történő feldolgozásáról és magánjellegének védelméről. (Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector. Official Journal L 201, 31/07/2002. 37-47.) (A továbbiakban Adatvédelmi Irányelv.)
[12] TKG 3. § 16. pont Nyilvános telefonháló (öffentliches Telefonnetz): olyan telekommunikációs háló, amelyet a nyilvánosan elérhető telefonszolgáltatások készenlétbe helyezéséhez használnak, és ezen kívül további szolgáltatásokat, úgy mint a telefaxot vagy az adatok (távolra) továbbítását és egy funkcionális internet-elérést is lehetővé tesz.
[13] TKG 3. § 23. pont Telekommunikationsanlagen.
[14] TKG 3. § 27. pont Telekommunikációs háló (Telekommunikationsnetz): az átviteli rendszerek és a közvetítő- és továbbító berendezések összessége, utóbbi kettő abban az esetben, ha más terjedelmű források (készletek), amelyek jelek kábel, rádióhullám, optikai vagy más elektromágneses berendezések útján történő átvitelére képesek, beleértve a szatellithálózatot, szilárd vagy mobil földi hálózatot, az áramszállító rendszereket, amennyiben azok jelek átvitelére használtatnak, a rádió- és televízióhullámok, a kábeltelevíziós hálózatokig, függetlenül a továbbítandó információ természetétől.
[15] Eht. 1. § (1) bek. a) pont; 188. § 13. pont.
[16] Eht. 188. § 19. pont Elektronikus hírközlô hálózat: átviteli rendszerek és - ahol ez értelmezhetô - a hálózatban jelek irányítására szolgáló berendezések, továbbá más erôforrások, melyek jelek továbbítását teszik lehetôvé meghatározott végpontok között vezetéken, rádiós, optikai vagy egyéb elektromágneses úton, beleértve a műholdas hálózatokat, a helyhez kötött és a mobil földfelszíni hálózatokat, az energiaellátó kábelrendszereket, olyan mértékben, amennyiben azt a jelek továbbítására használják, a műsorszórásra használt hálózatokat és a kábeltelevíziós hálózatokat, tekintet nélkül a továbbított információ fajtájára.
[17] TKG 7. rész 1. fejezet.
[18] Adatvédelmi Irányelv Preambulum (22) pont; 4-5. Cikk.
[19] Adatvédelmi Irányelv Preambulum (26)-(27) pont.
[20] Adatvédelmi Irányelv Preambulum (30) pont.
[21] TKG 7. rész 2. fejezet.
[22] TKG 17. §.
[23] TKG 97. § (3) bek.
[24] Adatvédelmi Irányelv Preambulum (29) pont.
[25] TKG 100. § (1) bek.
[26] TKG 100. § (3) bek.
[27] TKG 94. § (3) bek. Vö. Eht. 162. § (1) bek. Ld. még: 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről 14. § (1), (2) bek.
[28] Az opt-in és az opt-out (on-line reklámról történő "leíratkozás", azaz a felhasználói adatok reklám-célokra való felhasználásának utólagos megtiltása) megítélése nem kezdettől fogva egyértelmű az Unióban. Az Európai Parlament és a Tanács 2000/31/EC Irányelve Az információs társadalom meghatározott jogi kérdéseiről, különösen az egységes belső piacon folyó elektronikus kereskedelemről (Elektronikus Kereskedelmi Irányelv; Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market ('Directive on electronic commerce') Official Journal L 178, 17/07/2000 1-16.) még az opt-out rendszert támogatta. Azonban, figyelemmel arra, hogy az egységes belső piacon hátrányos helyzetbe kerültek az opt-in-t előíró tagállamban bejegyzett reklámcégek az opt-out szabályozást követő tagállamban bejegyzett cégekkel szemben, az Adatvédelmi Irányelv rendelkezéseinek megfelelően ma az Unió egységesen az opt-in-t alkalmazza. Németország - Dánia, Finnország, Ausztria és Olaszország mellett - az elsők között, 2000-ben döntött az opt-in rendszer mellett.
[29] Adatvédelmi Irányelv Preambulum (26) pont.
[30] Adatvédelmi Irányelv Preambulum (5) pont.
[31] TKG 3. § 30. pont és 98. § Standortdaten.
[32] TKG 3. § 19. pont Verkehrsdaten. Vö.: Adatvédelmi Irányelv 9. Cikk.
[33] Az Adatvédelmi Irányelv rendelkezéseinek megfelelően. Ld. Adatvédelmi Irányelv 9. Cikk.
[34] Adatvédelmi Irányelv Preambulum (22), (26)-(28) pont.
[35] TKG 111. § (1) bek.
[36] Eht. 143. § (2) bek.
[37] Eht. 157. § (1), (2), (3) bek.
[38] Hkt. 59. § (1) bek. (Hat. kiv. 2004. január 1.)
[39] Hkt. 59. § (3) bek.
[40] Eht. 157. § (3) bek.
[41] Adatvédelmi Irányelv Preambulum (12) pont; 1. Cikk.
[42] BDSG 3a §.
[43] Az ismertetett helyzet nemcsak az anonimizáló szolgáltatásra, hanem a proxy-szerverekre is jellemző, ti. hogy a felhasználó kérését már egy közbeékelődő szolgáltató teljesíti, amely megnehezíti a kapcsolati adatok visszakeresését.
[44] Ld. erről pl. GERCKE, M.: Die Protokollierung von Nutzerdaten. Zu den Ermittlungsmaßnahmen gegen JAP nach § 100 g/h StPO. DuD - Datenschutz und Datensicherheit 2004/4. 210-214.
[45] TKG 111. § (1) bek.
[46] TKG 112. § Automatisiertes Auskunftsverfahren.
[47] TKG 113. § Manuelles Auskunftsverfahren.
[48] StPO 161. § (1) bek.; 163. § (1) bek.
[49] Német Ptk. (BGB) 275. §.
[50] GG. 19. cikk (1)-(2) bek.
[51] TKG 112. § (1) és (4) bek.
[52] Ld. StPO id. 100a, 100b, 100g, 100h §.
[53] "Regelungen über die den Diensteanbietern zu gewährenden angemessenen Entschädigungen für Leistungen" ld. TKG 110. § (9) bek.
[54] Eht. 92. §.
[55] 2001. november 23. Budapest, Convention on Cybercrime, ETS no. 185, Council of Europe.
Lábjegyzetek:
[1] Parti Katalin, Tudományos munkatárs, Országos Kriminológiai Intézet, doktorandusz hallgató a Pécsi Janus Pannonius Tudományegyetem Állam- és Jogtudományi Kar Doktori Iskolájában, E-mail: parti@okri.hu
Visszaugrás
