Kiss Attila: A privátszférát erősítő technológiák* (IJ, 2013/3. (56.), 113-119. o.)

1. Mi a PETs?

A "Privacy Enhancing Technologies" (PETs) kifejezésre nem található általánosan elfogadott meghatározás,[1] leggyakrabban azonban az egyén identitását, személyazonosságát védő technikai és szervezeti megoldások gyűjtőneve.[2] A hazai dogmatika a következő terminológiákat alkalmazza: "magánszféravédő technológiák",[3] "privátszférát erősítő technológiák",[4] és "adatvédelmet elősegítő technikai intézkedések."[5] Alkalmazásuknak különös jelentősége van minden olyan technológiai fejlesztés során, amelyek esetében magánszemélyek (érintettek) személyes adatait gyűjtik, elemzik, hasznosítják, tehát adatkezelés történik. Ezen eszközök alapvető célja, hogy ne csak az adatokat általában, hanem az adatalanyokat, az érintetteket is védjék a visszaélések ellen, és elősegítsék az információs önrendelkezéshez való jog érvényesíthetőségét. A megoldások nem jogi védelmet nyújtanak, de alkalmazásuk tömegessé válása és ennek következményei miatt a jogi szabályozás tárgyaivá válhatnak.[6] Az Európai Parlament és a Tanács személyes adatok feldolgozására vonatkozó, 2012 januárjában nyilvánosságra hozott reformcsomagjának tervezetében is szerepelnek közvetve e megoldások. Az új adatvédelmi célok érvényesítésében ugyanis a beépített adatvédelem (privacy by design) elvnek kiemelt szerepet tulajdonít az európai jogalkotó, melynek egyik legfontosabb eleme a PET-ek alkalmazása és azok terjedésének elősegítése.

A nemzetközi tudományos életben számos, szerteágazó projekt foglalkozik a PET megoldásokkal, de elsősorban technikai, fejlesztői oldalról mutatják be azokat, alkalmazásuk jogi szempontból kevésbé vizsgált területet jelent. A tanulmány elsőként ezek főbb típusait, csoportosítási lehetőségeiket, és a technológiákhoz kapcsolódó alapelveket mutatja be, majd vázolja a technikai megoldásokra vonatkozó hazai és európai szabályozást, azok fő hiányosságait, és az ezek orvoslására az adatvédelmi reformcsomag keretében tett kísérletet.

2. A privátszférát erősítő technológiák kialakulása

Már 1981-ben tudományos kutatás vizsgálta a magánszférát erősítő megoldások fejlesztésének lehetőségét, amikor Chaum tanulmányában egy olyan módszert vázolt fel,[7] amellyel névtelenül, és nem ellenőrizhető tartalommal lehet elektronikus üzeneteket küldeni.[8] A PETs evolúciójának következő állomása az volt, amikor már nemcsak az egyszerű kommunikáció, de az üzleti célú online tranzakciók titkosságát is hivatottá vált biztosítani, így fejlesztésük, alkalmazásuk komoly gazdasági jelentőségre is szert tett.[9] A Privacy Enhancing Technologies kifejezést csak 1995-ben, a holland állam és az ontarioi adatvédelmi biztos hivatalának közös projektje során használták először,[10] amikor a privátszféra védelmére jól hasznosítható eszközeként határozták magát a technológiát.

Az azóta eltelt közel két évtized folyamán sem csökkent az igény az egyén identitását, személyazonosságát védő technikai és szervezeti megoldások fejlesztése iránt. Az adatszivárgások, visszaélési botrányok magas száma jól mutatja, hogy önmagában a szabályozás, önszabályozás, és a jogalkalmazás sem tudnak elegendő védelmet nyújtani a felhasználóknak a tömegesen előforduló jogellenes adatkezelési gyakorlattal szemben, de az adatkezelők sem lehetnek biztonságban az egyre újabb, a személyes adatok megszerzésére tervezett műszaki megoldások ellen.[11] Hasonló megállapításra jutott a magánélet védelmének helyzetével kapcsolatban a terület kiemelkedő kutatója, Goldberg, aki öt évente megjelenő tanulmánysorozatban vizsgálta a privátszférát erősítő technológiák fejlődését, az elért eredményeket, és a technológia előtt álló legfontosabb kihívásokat. Első, a témában írt tanulmánya megjelenését követően tíz évvel ismét megerősíti a téma jelentőségét: "Technologies to help users maintain their privacy online are as important today as ever before-if not more so."[12]

3. Alkalmazásuk célja

A különböző hazai és külföldi nemzetbiztonsági szervek mellett a webes szolgáltatások meghatározó része is figyeli a felhasználók online tevékenységét, követi őket, adatbázist épít ízlésvilágukról és az internetes viselkedésükről, teszi ezt sokszor megfelelő jogalap nélkül.[13] A privátszférát erősítő megoldások fejlesztésének egyik célja az, hogy a mai számítástechnikai megoldásokat segítségül hívva, azok összes előnyét megtartva, magával a technológiával mérsékeljék a privátszféránkat fenyegető káros hatásokat, megakadályozzák a jogszerűtlen adatkezeléseket, döntési lehetőséget biztosítsanak a felhasználóknak saját adataik sorsáról,[14] így helyreállítsák a felhasználók online szolgáltatásokba vetett bizalmát. A privátszférát erősítő megoldások segítségével - amennyiben megfelelően alkalmazzák őket - e megfigyelők ellenőrzése nélkül, a magánszféra megőrzése mellett teszi lehetővé az online kommunikációt, böngészést, internetes tranzakciókat,[15] vagy ellenőrizési lehetőséget ad az érintetteknek, hogy az adatkezelők birtokában mely személyes adatok vannak, hogy azok felett a számukra biztosított jogi lehetőségekkel élve rendelkezhessenek.[16]

1. ábra A magánszféra védelme a PET-ek segítségével[17]

Az Európai Bizottság a magánélet védelmét erősítő technológiákról 2007-ben készült jelentésében hasonlóan határozza meg a PET-ek alkalmazásának célját, azaz "nehezebbé váljon bizonyos adatvédelmi jogszabályok megszegése és/vagy könnyebb legyen a szabálysértések leleplezése."[18] A Bizottság ugyanakkor arra is rávilágít, hogy az utólagos jogérvényesítés és egy eljárás lefolytatása nyilvánvalóan költségesebb és kevésbé hatékony, mint a jogsértés megelőzése, ezért komoly segítséget nyújtanak a privátszféra védő technológiák az adatkezelők számára is, hogy szolgáltatásaikat jogszerűen nyújthassák.

113/114

A PETs kifejezés alatt tehát az információs-kommunikációs technológiai intézkedések olyan rendszerét is értjük, amely a magánszféra védelmét, az információs önrendelkezés jogának érvényesítését a személyes adatok kezelésének kiiktatásával vagy minimalizálásával védi, és így megakadályozza a személyes adatok szükségtelen vagy nemkívánatos kezelését, de mindezt anélkül teszi, hogy csökkentené az információs rendszer hatékonyságát, funkcionalitását."[19] Az angol adatvédelmi biztos szerint ennek megfelelően ajánlásokat fogalmaz meg alkalmazási területeire is, kiemelten a biometrikus adatok olyan titkosított tárolását, amelyből nem állítható vissza az eredeti adat (például azok anonimizálásával); valamint az érintettek azon lehetőségét, hogy a saját személyes adataikat egy titkosított internet kapcsolaton keresztül ellenőrizzék és frissítsék; az adat olyan "megcímkézését", amellyel az adatvédelmi felhasználási feltételek közvetlenül az adathoz kapcsolva elérhetőek.[20]

Kolter szintén a PET-ek alkalmazásának gyakorlati oldaláról közelít azok céljának meghatározásakor, szerinte a magánélet védelmében minden felhasználónak szüksége van az adatvédelmi szabályok értelmezésére is, ezért a PET-ek a jogszabályok gyakorlati alkalmazásában segítséget nyújtó technikai megoldások: "average Internet users rely on technical means that protect personal user information and facilitate a more informative decision about personal data disclosures." [21]