A cikksorozat első részében a közösségi oldalakra vonatkozó jogi előírások hatályáról esett szó, most ennek folytatásaként az adatkezelés jogalapjáról, az ehhez szükséges felhasználói hozzájárulás meglétéről, és a szolgáltatókat terhelő kötelezettségekről lesz szó.
Mivel az adatkezelés célját és a gyűjtött adatok körét - kötelezően megadandó, illetve a felhasználó hozzájárulásával kezelt, valamint a szolgáltatónál a felhasználás során generált - alapvetően a szolgáltató határozza meg, ezért az adatvédelmi törvény (a továbbiakban: Avtv.)1 alapján egyértelműen adatkezelőnek minősül.2 Így tehát megilletik mindazon jogok és terhelik mindazon kötelezettségek, amelyeket az Avtv. az adatkezelők számára előír. Ezen túl a közösségi oldalak jellegéből adódóan más jogszabályok is tartalmaznak kötelező rendelkezéseket a szolgáltatókra, így különösen az Ekertv.,3 Eht.,4 és a Grtv.5 A szolgáltatók legfontosabb kötelezettségei mindezen jogszabályi rendelkezések alapján a tájékoztatás és az adatbiztonság garantálása.
A tájékoztatási kötelezettségeiknek a szolgáltatók tipikusan felhasználási feltételeikben, adatvédelmi szabályzataikban és az egyes szolgáltatásaik leírásait tartalmazó használati útmutatóikban tesznek eleget. E dokumentumok vizsgálata és ismerete, illetve a szolgáltató szemszögéből a legteljesebb, de felhasználóbarát kialakítás azért különösen fontos, mert az ezek alapján megadott felhasználói hozzájárulás képezi a szolgáltatók adatkezelésének jogalapját. Vagyis, ha az Avtv.-ben a hozzájárulás kapcsán részletesen megállapított feltételek6 nem teljesülnek, akkor elméletileg nem beszélhetünk jogszerű adatkezelésről. De melyek is ezek a feltételek?
Hozzájárulásnak tekintjük az érintett kívánságának önkéntes és határozott kinyilvánítását, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez - ez az ún. informált beleegyezés. Ám nyilvánvalóan a felhasználónak erre csak akkor van lehetősége, ha a döntése megfelelő információkon alapszik, ha tisztában van azzal, hogy milyen adatai jelennek meg az oldalon, ahhoz ki, miért, milyen mélységben fér(het) hozzá, milyen lehetőségei vannak ezek ellenőrzésére, jogainak orvoslására, s - amit sajnos hajlamosak mind a felhasználók, mind pedig a szolgáltatók nagyvonalúan kezelni - milyen esetleges veszélyekkel néz szembe a felhasználó, ha az adataihoz való hozzáférést nem szabályozza. Az Avtv. 3. § (7) bekezdése szerint, amennyiben az érintett az adatkezeléshez hozzájárulását egy írásbeli szerződés keretei között adja meg, úgy őt e szerződésben tájékoztatni kell minden olyan információról, amely a személyes adatok kezelése szempontjából releváns lehet. Így különösen a kezelendő adatok köréről, az adatkezelés időtartamáról, a felhasználás céljáról, az adatok továbbításáról, esetleges összekapcsolásáról, adatfeldolgozó igénybevételéről, valamint azokról, akik az adatokat megismerhetik, továbbá az érintett adatkezeléssel kapcsolatos jogairól és jogorvoslati lehetőségeiről is. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. A legfontosabb kritériumok tehát a tájékoztatás formális meglétén túl a minőségi információk szolgáltatása és a félreérthetetlen, utólag is bizonyítható belelegyezés.
Utóbbit a gyakorlat akkor tekinti teljesítettnek, ha egyértelműen, megkérdőjelezhetetlenül bizonyítható, hogy a felhasználó a szolgáltatásra jellemző összes - negatív és pozitív - információ birtokában döntött úgy, hogy adatai kezeléséhez hozzájárul, illetve azokat csak bizonyos körben, mélységben teszi megismerhetővé. A mindennapi életben ezeket a kérdéseket két fél szerződése rögzíti, ahol is a fél aláírása bizonyítja, hogy olvasta és ismeri e rendelkezéseket, s maga az aláírt szerződés fizikai megléte szolgál vita esetén bizonyítékul.
A közösségi oldalak esetén sincs ez elvileg másképp, hisz a felhasználó az általános szerződési feltételek, vagy felhasználási feltételek elfogadásával válik a közösségi oldal tagjává. Ugyanakkor írásos szerződés fizikai formában a felek között nem jön létre, aláírás helyett tipikusan csak e feltételek ismeretének bejelölésére, kipipálására van lehetőség. A kérdés, hogy ez teljesíti-e a törvényes feltételeket? Tekinthetjük-e ezt a hozzájárulás kifejezésének megkövetelt maradandó és bizonyítható formájának?
Egyértelmű, hogy az általános polgári jogi elvek alapján igen, hiszen a kipipálás gyakorlatilag ráutaló magatartásként értelmezhető, s ezzel a szerződés érvényesen létrejött. Ugyanakkor az Avtv. említett szabálya7 is egyértelműen írásbeli szerződésről rendelkezik. Ha különleges személyes adatokról van szó - például vallási vagy politikai meggyőződés, szexuális preferenciák, s ezek azért egyes közösségi oldalakon megtalálhatók -, akkor feltétlenül írásbeli hozzájárulást követel meg a törvény.8 Nem is beszélve arról, hogy egy ilyen szerződés akár fogyasztói szerződésként vagy távollevők között kötött szerződésként is értelmezhető lenne, s ez szintén írásbeliséget vagy valamilyen más maradandó formát vonna maga után. Ez a kérdés azért érdekes, mert vita vagy kétség esetén az Avtv. alapján a szolgáltatót terheli annak bizonyítása, hogy a felhasználó a hozzájárulását adta az adatkezeléshez, ezt a kellő információk birtokában tette, és a szolgáltató megtette tőle ésszerűen elvárható lépéseket a jogellenes helyzet kialakulásának megelőzése, elhárítása érdekében. Márpedig erre egy "X" nem feltétlenül elegendő.
Már csak azért sem, mert sajnálatos módon a legtöbb közösségi oldal adatvédelmi szabályzata, illetve felhasználási feltétele nem minden esetben tartalmaz megfelelő mennyiségű és minőségű információt9 - tipikusan hiányzik a veszélyekről való tájékoztatás -, azaz nem teljes. Talán ennél is nagyobb probléma, hogy e feltételek egy átlagos felhasználó számára nem vagy csak nehezen értelmezhetők.10
Informált hozzájárulásról és tudatos felhasználókról mindezek alapján tehát sajnos nem igazán lehet beszélni. S hogy mit lehetne ez ellen tenni? A megoldás véleményem két szintű: egyrészt, mind a szolgáltatóknak, mind pedig a velük együttműködő hatóságoknak, szervezeteknek elő kell segíteni ezen szabályoknak a felhasználókkal való megismertetését és megértetését, másrészt a szabályzatok kialakítása során a szolgáltatókat segíteni kell a teljes és könnyen érthető szabályok kialakításában vagy egyértelmű jogértelmezéssel és ajánlásokkal, vagy pedig e röviden felvázolt problémákat megfelelően rendező jogszabály-módosításokkal.
Az Avtv. alapján egyértelmű, hogy az adatbiztonsági intézkedések megtétele, a megfelelő eszközök biztosítása elsődlegesen a szolgáltató kötelessége és felelőssége;11 más kérdés, hogy tényleges alkalmazásuk nagyrészt a felhasználón múlik. Ez a kötelezettség tehát túlnyomóan technológiai kötelezettségeket ró a szolgáltatókra,12 ugyanakkor ennél többet a törvény - a technológia-semleges szabályozás elvének megfelelően - nem mond. Hogy ezt helyesen teszi-e, már nem feltétlenül egyértelmű.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
