Az internet számos olyan jellemzővel bír, amelyet az adatvédelmi kérdések vizsgálatakor figyelembe kell venni, olyan számítógépes világhálózat, amely személyes és közérdekű adatok millióit gyűjti, tárolja, továbbítja, és azokat nyilvánosságra hozza. Olyan rendszer, amely nyilvános, elvileg bárki számára hozzáférhető, nincs tekintettel az országhatárokra, adatvédelmi, adatbiztonsági szempontból igen sérülékeny, megkönnyíti a közvéleményt érdeklő - az állami és önkormányzati szervek működésével összefüggő - közérdekű információk megismerhetőségét, olyan információk, adatok érhetők el általa, amelyek egy része nem valós, vagy nem pontos, továbbá a jogsértő cselekmények elkövetésére is teret enged[2]. Az internet nem jog mentes terület, mivel számos jogszabály irányadó erre a területre, de ezen jogszabályok többször nem adnak megfelelő eligazítást a felmerülő jogvitákra. Az internettel kapcsolatos adatvédelmi követelmények teljesítése érdekében az adatvédelmi biztos 2001-évben ajánlást[3] adott ki.
Az internet elterjedése olyan új adatvédelmi problémákat vetett fel, amelyek gyakran a felhasználók részére nem is tudatosul. Az internet használat lényeges jellemzője, hogy az interneten részvevő szolgáltatók, és felhasználók közötti kapcsolatokban számos személyes adatnak a közlésére kerül sor, mivel a felhasználó minden mozdulatával nyomat hagy maga után. Így a személyes adatként gazdát cserél a felek e-mail címe, esetlegesen a felhasználó internetes azonosítója az IP címe. Az internet-szolgáltatók levelezőszervereiken tárolják az elektronikus levelezések tartalmát, mielőtt ahhoz a felhasználó hozzáférne, mások azt ellenőrizhetik, elolvashatják. A tárhelyszerveken jegyzik, hogy milyen IP címről érkező felhasználó az egyes honlapok nézegetésével mennyi időt töltött, milyen rendszerben lapozgatott, tehát végső soron a felhasználónak az összes internetes aktivitása technikailag feltérképezhető. Az egyedi személyes és a sokszínű felhasználói profilok kialakítása elé igazából csak a költségek állítanak akadályokat. Ezért a személyes adatok védelme érdekében jogi szabályozókkal a technikai eszközök működtetését szabályozni kell. Szükséges azt is meghatározni, hogy milyen feltételek mellett egyes közigazgatási, vagy bűntető eljárásban hatóságok milyen adatokhoz juthatnak hozzá. Az internettel kapcsolatosan több esetben fordultak az adatvédelmi biztoshoz, így amikor magyar gyermekeket ajánlottak fel
örökbefogadásra fényképpel, személyes adatokkal[4] több beadvány érintette a rendőrség internet-szolgáltatóktól történő adatkérésének jogszerűségét[5] az interneten folytatott direkt marketing tevékenységgel kapcsolatban is érkeztek megkeresések[6]; egy magánszemély kifogásolta, hogy a domain-név regisztráció során a szolgáltató nyilvánosságra hozta adatait.[7] Az elmúlt években a hálapénz.hu honlapon folytatott szabad véleménynyilvánítással kapcsolatos probléma irányította rá a figyelmet az interneten történő közlések adatvédelmi korlátaira.
Az interneten bárki közzéteheti a véleményét, ennek során azonban ügyelni kell az egyén személyiségi jogainak, így becsületének, magántitkainak és személyes adatainak a védelmére. E jogok megsértése esetén az érintett bírósághoz fordulhat.[8] A halapenz.hu esettel kapcsolatosan Péterfalvi Attila az adatvédelmi biztos kifejtette a véleményét, mely szerint a honlapon nem egyszerű véleményfórumról volt szó, mert az üzemeltető létrehozott egy olyan adatbázist, amelyben az orvosok neve, mobiltelefon-száma és a vélelmezett hálapénz mértéke egyaránt szerepelt. Az adatvédelmi törvény szerint ezeknek az adatoknak az érintett hozzájárulása nélküli nyilvánosságra hozatala jogellenes. Mint ahogy az is, ha valaki hozzászólásával ezt az adatbázist tovább bővíti. Az adatvédelmi biztos szerint "nagyon félrevezetőnek tartom, hogy egyesek azt képzelik, a világhálóra feltett fórumokra különleges szabályok vonatkoznak. Világos, hogy aki egy fórumban valakit bűncselekménnyel vádol, személyes adatokat hoz róla nyilvánosságra, ellenőrizetlen dolgokat állít, jogellenes tevékenységet folytat, mert megsérti az érintett, jelen esetben az orvos személyiségi jogát. Ebben az esetben persze nem a fórum üzemeltetőjének kell a felelősséget viselni, hanem a fórumba beírónak". Egyébként a nyilvános fórumon regisztráló felhasználó jogosult arra, hogy hozzászólását töröltesse. Az adatvédelmi biztos állásfoglalása szerint nemcsak a regisztrációkor átadott személyes adatokat, hanem az érintett személy hozzászólását[9] is törölnie kell a moderátornak, ha az érintett élni kíván adatvédelmi jogaival az adatkezelő nem tagadhatja meg ennek teljesítését.
Az internetes szolgáltatók kötelezettsége a felhasználók részére adatvédelmi tevékenységéről a tájékoztatást adjanak. A széleskörben és folyamatosan hozzáférhető tájékoztatásban információkat kell adni a az adatkezelés egyes körülményeiről, így az adatkezelés céljáról, önkéntes vagy kötelező jellegéről, az adatkezelő illetve adatfeldolgozó személyéről. Az adat felvétele előtt kötelezően, illetve egyes további körülményekről az adatalany kérelmére tájékoztatást kell adni. Azoknak a szolgáltatóknak, amelyek természetes személy felhasználóval szerződéses kapcsolatba lépnek, törvényi kötelezettsége, hogy az adatkezelésre vonatkozó kötelező tájékoztatást az adatkezelés megkezdése előtt - célszerűen a felhasználóval kötött szerződés megkötésekor - megadják, s eleget tegyenek a felhasználók további adatokra vonatkozó kérelmének. Azoknak a szerver-üzemeltetőknek, illetve szerveren szolgáltatást nyújtóknak, amelyek birtokába a szolgáltatás nyújtása során személyes adat kerül, a felhasználónak a tájékoztatást az Avtv. szerint az adat felvétele előtt kell megadniuk. Az Európa Tanács R 99 (5) számú, a magánszféra interneten történő védelméről szóló ajánlása szerint a nyitó weboldalon egyértelmű adatvédelmi nyilatkozatnak kell szerepelnie, amelyhez linkelve a kezelt adatok körére, az adatkezelés céljára, módjára, időtartamára vonatkozó tájékoztatást kell elhelyezni. A felelős szolgáltatóknak tájékoztatniuk kell a felhasználókat az internet használatával együttjáró, a magánszférát fenyegető veszélyekről, illetve fel kell hívni figyelmüket a bizalmas kommunikáció lehetőségét biztosító technológiákra. Az internet szolgáltatóknak az érintett vonatkozásában egyfajta kitanítási kötelezettsége van, amelynek ki kell arra térnie, hogy felhívja az érintett figyelmét, hogy a személyes adatainak megadásával ő maga is takarékosan bánjon.
A személyes adatok védelmével kapcsolatos az elektronikus kereskedelmi szolgáltatásokkal kapcsolatos adatvédelmi kérdéseket a 2001. évi CVIII. törvény[10] szabályozza (továbbiakban: Ektv). Az információs társadalommal összefüggő szolgáltatás nyújtásáról szóló törvény megengedi, hogy az Ektv hatálya alá tartozó szerződések esetében a megállapodás létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése céljából kezelheti az igénybe vevő azonosításához szükséges és elégséges azonosító adatokat. A szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződésből származó díjak számlázása céljából kezelheti az információs társadalommal összefüggő szolgáltatás igénybevételével kapcsolatos olyan személyes adatokat, amelyek a díj meghatározása és a számlázás céljából elengedhetetlenek, így különösen a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó adatokat. A szolgáltató az igénybevett szolgáltatás nyújtásához kezelheti azon személyes adatokat, amelyek technikailag elengedhetetlenül szükségesek. Az adattakarékosság elve az elektronikus szolgáltatók esetében azt a kötelezettséget tartalmazza, hogy úgy kell megválasztania és minden esetben oly módon kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, azonban ebben az esetben is csak a szükséges mértékben és ideig.
A szolgáltató a szolgáltatás igénybevételével kapcsolatos adatokat bármely, az előzőkben ismertetett céltól eltérően - így különösen szolgáltatása hatékonyságának növelése, az igénybe vevőnek címzett elektronikus hirdetés vagy egyéb címzett tartalom eljuttatása, piackutatás céljából - csak az adatkezelési cél előzetes meghatározása mellett és az igénybe vevő hozzájárulása alapján kezelhet. A szolgáltatást igénybe vevő felhasználó részére az információs társadalommal összefüggő szolgáltatás igénybevételét megelőzően és a szolgáltatás igénybevétele során is folyamatosan biztosítani kell, hogy a piackutatási vagy a szolgáltatáshoz nem kapcsolódó célból történő adatkezelést megtilthassa.
Az elektronikus kereskedelmi szolgáltatás nyújtása céljából kezelt személyes adatokat törölni kell a szerződés létrejöttének elmaradását, a szerződés megszűnését, valamint a számlázást követően. A piackutatási vagy egyéb kereskedelmi célból kezelt adatokat törölni kell, ha az adatkezelési cél megszűnt, vagy az igénybe vevő így rendelkezik. A számvitelről szóló törvény vagy más törvény eltérő rendelkezése hiányában az adattörlést haladéktalanul el kell végezni. Az adatvédelmi törvényben meghatározott tájékoztatáson kívül a szolgáltatónak biztosítania kell, hogy az igénybe vevő az információs társadalommal összefüggő szolgáltatás igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a szolgáltató mely adatkezelési célokból mely adatfajtákat kezel, ideértve az igénybe vevővel közvetlenül kapcsolatba nem hozható adatok kezelését is.
A büntetőeljárási törvényben rögzített kényszerintézkedés alapján kötelezést lehet kiadni számítástechnikai rendszer útján rögzített adatok megőrzésére. A megőrzésre kötelezés a bűncselekmény felderítése és a bizonyítás érdekében a számítástechnikai rendszer útján rögzített adat birtokosának, feldolgozójának, illetőleg kezelőjének a számítástechnikai rendszer útján rögzített meghatározott adat feletti rendelkezési jogának ideiglenes korlátozása. A bíróság, az ügyész, illetőleg a nyomozó hatóság elrendeli annak a számítástechnikai rendszer útján rögzített adatnak a megőrzését, amely bizonyítási eszköz, vagy bizonyítási eszköz felderítéséhez, a gyanúsított kilétének, tartózkodási helyének a megállapításához szükséges. A megőrzésre kötelezett a határozat vele történő közlésének időpontjától köteles a határozatban megjelölt számítástechnikai rendszer útján rögzített adatot változatlanul megőrizni, és - szükség esetén más adatállománytól elkülönítve - biztosítani annak biztonságos tárolását. A megőrzésre kötelezett köteles a számítástechnikai rendszer útján rögzített adat megváltoztatását, törlését, megsemmisülését, valamint annak továbbítását, másolat jogosulatlan készítését, illetőleg az adathoz való jogosulatlan hozzáférést megakadályozni. Ahhoz az adathoz, amelyet a megőrzésre kötelezés érint, az intézkedés tartama alatt kizárólag az elrendelő bíróság, ügyész, illetőleg nyomozó hatóság, valamint az elrendelő engedélyével az adat birtokosa vagy kezelője jogosult hozzáférni. Arról az adatról, amelyet a megőrzésre kötelezés érint, az adat birtokosa vagy kezelője az intézkedés tartama alatt csak az elrendelő kifejezett engedélyével adhat más részére tájékoztatást. A megőrzésre kötelezett köteles haladéktalanul tájékoztatni az elrendelőt, ha a megőrzésre kötelezéssel érintett adatot jogosulatlanul megváltoztatták, törölték, átmásolták, továbbították, megismerték, vagy hogy ezek megkísérlésére utaló jelet észlelt. A megőrzésre kötelezést követően az elrendelő haladéktalanul megkezdi az érintett adatok átvizsgálását, és ennek eredményéhez képest az adatnak a számítástechnikai rendszerbe vagy más adathordozóra történő átmásolásával az adat lefoglalását kell elrendelni, vagy a megőrzésre kötelezést meg kell szüntetni. A megőrzésre kötelezés az adat lefoglalásáig, de legfeljebb három hónapig tart. A megőrzésre kötelezés megszűnik, ha a büntetőeljárást befejezték. A büntetőeljárás befejezéséről a megőrzésre kötelezettet értesíteni kell. Az adatvédelmi biztos állásfoglalása szerint az e-mailek tartalmát a nyomozó hatóság bírói engedély alapján, csak súlyos bűncselekmények esetén ismerheti meg és használhatja fel.
A panaszos azt tudakolta az adatvédelemi biztostól, hogy a honlapján közzétett e-mail címe személyes adatnak minősül-e, és annak direkt marketing célú nyilvántartásba vételét megtilthatja-e. Az adatvédelmi biztos állásfoglalása szerint az e-mail cím akkor személyes adat, ha a kapcsolat a cím és birtokosa között helyreállítható. Így például személyes adat az email cím,ha megegyezik a birtokosa nevével. Személyes adat az e-mail cím akkor is, ha az egy web-oldal üzemeltetőjének a címe, mert az ő adatait az interneten keresztül elérhető nyilvános adatbázisból a domain név alapján bárki megismerheti. A kéretlen üzleti levélküldés esetén az adatkezelési céltól eltérő adatkezelésre kerül sor, amikor az e-mail adatainak a törlése kérhető. Az elektronikus kereskedelmi szolgáltatásokra vonatkozó törvényi előírások megkövetelik, hogy az elektronikus levelezés vagy azzal egyenértékű egyéni kommunikációs eszköz útján kizárólag az igénybe vevő egyértelmű, előzetes hozzájárulásával küldhető elektronikus hirdetés. Hozzájáruló nyilatkozat bármely olyan módon tehető, amely lehetővé teszi a hozzájáruló nyilatkozatot tevő személy azonosítását, valamint a hozzájárulás önkéntes és a megfelelő tájékoztatás birtokában történő kifejezését.
A munkahelyi levelezéssel kapcsolatban az adatvédelmi biztos kifejtette, hogy különbséget kell tenni azok e-mail-ek esetében, amelyeket a munkáltató a munkavégzéshez átadott a cég ügyeinek az intézése érdekében, és ha ezen e-mail címek nem egy-egy munkavállalóhoz kötöttek. Ezen levelezésbe a munkáltató betekinthet, mivel az e-mailek is úgy kell tekinteni, mint a hagyományos levélforgalmat. A munkáltató jogosult egyébként a munkahelyen a magáncélú levelezésnek az előzetes megtiltására. A személyes e-mail postafiókon keresztül folytatott kommunikációt a hagyományos levelezéshez és telefonáláshoz hasonlóan kell megítélni, mivel jogszabályi felhatalmazás hiányában a munkáltató nem hallgathatja le a munkavállalóink a beszélgetését, és nem bonthatja fel a munkavállalói magánlevelezését sem. A munkavállaló által látogatott weboldalak felderítésére ugyanazokat a követelményeket kell alkalmazni, mint az e-mailekre.
Az adatvédelmi biztoshoz több kéréssel fordultak, hogy nyilvános és széleskörű hozzáférést biztosító szolgáltatások tekintetében, amelyek lényege személyes adatok nyilvánosságra hozatala. így a gazdasági társaságok cégadatainak nyilvánosságra hozataláról, illetve adósok listáját illetve hitelezői követelések közzétételével kapcsolatos ügyekben kérték az adatvédelmi biztos állásfoglalását. Az adatvédelmi biztos álláspontja szerint a gazdasági társaságok cégnyilvántartásában szereplő adatok nem személyes adatok arra nem terjed ki a kompetenciája, de az adósok, illetve hitelezői követelések nyilvánosságra hozatalával kapcsolatosan leszögezte, hogy törvényi előírás hiányában kizárólag az érintett előzetes belegyezése alapján lehet a személyes adatokat nyilvánosságra hozni.
Az internet elterjedésével párhuzamosan elmúlt években többször előfordult, hogy a tartalomszolgáltatók, legyenek akár állami, vagy önkormányzati intézmények indokolatlanul nyilvánosságra hoztak személyes adatokat. A közérdeklődésre szánt adatokat úgy kell a nyilvánosság számára hozzáférhetővé tenni, hogy a személyes adatok védelméhez való jog ne sérüljön. A köztisztviselők neve és beosztása közérdekű adat, de arcképűket már nem lehet nyilvánosságra hozni[11], és szakmai pályafutásuk közreadására csak akkor kerülhet sor, ha a nyilvánosságra hozatalhoz az érintettek önkéntesen, tudatosan hozzájárultak. Az elektronikus információszabadságról szóló 2005. évi XC. törvényben meghatározott követelmények, illetve meghatározott adatkörök eligazítás adnak a közérdekű adatok közzététele tekintetében. Az Eitv a bírósági határozatok nyilvánosságra hozatala tekintetében is részletes eligazítást ad, így elkerülhetők azok a korábban elfordult esetek,[12] amikor bírósági honlapon személyes adatok indokolatlanul kerültek nyilvánosságra.
Az internetes szolgáltatások igénybevétele sok esetben regisztrációhoz kötött, amely magában rejti azt az adatvédelmi veszélyt, hogy hibás honlap működés következtében a személyes adatok tömege válik megismerhetővé. Ez fordult elő a BME egyik könyvtára esetében, amikor a regisztráló felhasználó számára összes korábbi olvasó neve, címe, és egyéb azonosító adatai hozzáférhetővé váltak.[13] A honlap üzemeltetők által legtöbbször figyelmen kívül hagyják az Avtv adattakarékossági előírásait, így túlzottan sok személyes adatot követelnek meg a regisztráció során. Egyébként a nyilvános fórumon regisztráló felhasználó jogosult arra, hogy hozzászólását töröltesse. Az adatvédelmi biztos állásfoglalása szerint nemcsak a regisztrációkor átadott személyes adatokat, hanem az érintett személy hozzászólását[14] is törölnie kell a moderátornak, ha az érintett élni kíván adatvédelmi jogaival az adatkezelő nem tagadhatja meg ennek teljesítését. Ha az érintett elfogadja a honlaphoz kapcsolat egyértelmű regisztrációs feltételeket, amelyben hozzájárulását adja adatai kezeléséhez, és az e-mail címének a honlapon történő nyilvánosságra hozatalához, akkor később már nem hivatkozhat adatvédelmi követelmények megsértésére. Az adatvédelmi biztos állásfoglalása szerint nem felel meg a tisztességesség követelményének, ha a regisztráció esetén az érintett a szerződésben lemondatják az adatvédelmi igényeinek érvényesíthetőségéről.
A személyes adatok védelmének az egyik alapvető követelménye, hogy az érintett számára biztosítani kell, hogy az adatainak kezelését, azok továbbítását ellenőrizze, illetve megismerhesse, hogy mely személyek fértek hozzá a személyes adataihoz. Ennek érdekében az adatkezelőnek naplóznia kell, hogy a személyes adatok kezelésével kapcsolatosan milyen események történtek, milyen munkavállalója, mikor és milyen jogosultsági körrel lépett be abba a rendszerben, amelyben a személyes adatokat kezelik. Másrészről szükséges az adatbiztonsági követelmények teljesítése érdekében annak a naplózása, hogy maga a felhasználó az webes kiszolgáló felületen keresztül mikor lépett be, mikor módosította a személyes adatait. A felhasználó adatok jegyzőkönyvezése lényeges kérdés abban az esetben, amikor az interneten elkövetett jogsértő cselekmények bizonyításának a szükségessége merül fel.
Tisztázatlan kérdés, hogy az adatkezelőnek éppen az érintett jogainak biztosítása, illetve az adatbiztonság követelményeinek teljesítése érdekében milyen mértékben lehet a saját ügyfeleinek használati szokásaihoz kapcsolódó adatokat tárolni. A naplózási tevékenység technikai célja, hogy az esetleges visszaéléseket felfedezze, másrészről a működési zavarokról is visszajelzést adjon az adatkezelő részére. Az adatkezelés jogalapjaként talán az Avtv 5.§ (3) bekezdésében meghatározott célt lehet idézni, mely szerint személyes adat az érintett hozzájárulása alapján akkor kezelhető, ha arra az adatkezelő vagy harmadik személy jogos érdekeinek érvényesítése érdekében szükséges. De elfogadható az a megállapítás, hogy kellő pontossággal ez a kérdéskör jelenleg nem szabályozott.
Az elektronikus kereskedelmi szolgáltatásokkal kapcsolatosan a világháló által nyújtott lehetőségek kínálják azt a platformot, amely a távollevő felek közötti kommunikáció biztosításával alkalmas közeget nyújt szerződési nyilatkozatok adására, azok elfogadására, és magara a szolgáltatás nyújtására és annak elfogadására. Az internet technikai működése felvett olyan kérdéseket, amelyeket jogi szempontból értékelni kell, hogy annak használati feltételeit a személyes adatok védelmének követelményeivel össze lehessen egyeztetni.
A szakirodalom felhívja a figyelmet arra, hogy a személyes adatok és a magánszféra veszélyeztetését[15] az internetes környezetben úgy nevezett web-cookies negatív hatásaiban találjuk meg. Egy cookie egy web-szerver által produkált adatsor, amelyet a web-szerver küld és amely a saját egyéni számítógépünk merevlemezén tárolódik. A cookie-t valójában a felhasználó maga telepíti a saját számítógépére, amikor egy szerverrel a gépe kommunikál. A cookie-k normál esetben azt szolgálják, hogy információkat a felhasználóról a honlap tárhelye felé továbbítanak, így van lehetőségünk arra, hogy saját felhasználói névvel és egyedi jelszóval valamilyen távoli szerveren tárolt adatbázisba beléphessünk. De a cookie-k segítségével működnek a webáruházak, ahol a virtuális térben a képzeletbeli bevásárló kosarainkba árukat helyezünk el. A cookie-k nemcsak arra alkalmasak, hogy a kiinduló számítógépet azonosíthassák, hanem arra is a számítógépes felhasználási szokásokról információt szolgáltassanak. A problémát valójában az jelenti, hogy helyi cookie adatokat a web-szerver számára visszatovábbít anélkül, hogy azt a felhasználó észrevenné. Egyes cookie-knak igen sok negatív tulajdonsága van, így vírusprogramok továbbítására, átadására képesek, kikémlelik az e-mail címeket, személyes adatokat, vagy egy merevlemez teljes tartalmát mások számára megismerhetővé teszik. Sok esetben az online-szolgáltatók azért alakítanak ki cookie-kat, hogy vevő specifikus felhasználói profilokat alakíthassanak ki, amely abban az esetben személyes adatnak minősül, ha a felhasználó egy online szolgáltatás igénybevétele kapcsán saját nevére reklám ajánlatot kap, vagy ha saját e-mail címére érkezik a reklám. Egy direkt személyre vonatkoztatott felhasználói profil azonban csak akkor állítható elő, ha a vevőoldali szerver IP címe a felhasználó identitására enged következtetni. Ez abban az esetben fordulhat elő, ha a felhasználó IP címe egy domain névvel áll összeköttetésben. Az adatvédelmi követelményekkel egybehangzó joggyakorlat szerint a cookie-t csak azért lehessen telepíteni, hogy az az online szolgáltatást lehetővé tegye, illetve egyszerűsítse. Ahogy a cookie-k egy személyre vonatkozóan "használati adatokat" tartalmaznak a cookie adatokat lehető leghamarabb, de a mindenkori használat végeztével törölni kell. Ha a cookie nem tartalmaz egy konkrét személyre történő kapcsolódási, azonosítási támpontot, akkor a cookie-kre az adatvédelmi jog nem irányadó, de felmerül a felhasználónak a zavarására vonatkozó polgári jogi szabályok alkalmazása. Az Avtv és Ektv szabályai alapján egy elektronikus szolgáltatáshoz kapcsolódó felhasználói profilok kialakítása csak akkor kerülhet sor, ha ahhoz a felhasználók előzetes, és tudatos hozzájárulásukat adták. Az adatkezelés tisztességének elve megköveteli, hogy a nyújtott elektronikus szolgáltatás igénybevétele nem függhet a felhasználói profil kialakításába történő beleegyezéstől.
Az elektronikus kereskedelmi szolgáltatások speciális területe a web bug szolgáltatások, amikor a weboldalak látogatottságának a felmérése érdekében statisztikai adatokat készítenek, de ebben a munkafolyamatban nemcsak e célú adatkezelés valósult meg, hanem a szoftver egyúttal a felhasználóról is közöl adatokat. A web bug elsősorban egy-egy oldallátogatottságára vagy barrnerre nézve kezel adatokat, de emellett a számítógépbe korábban bevitt és a honlapon közölt adatokat is továbbította a piackutatással foglalkozó cég felé, amely nem felelt meg az adatvédelmi követelményeknek.
Az e-kereskedelemben egyre gyakrabban hangoztatott előnyök szerint, az adatfeldolgozás leányvállalatok számára történő átadása megtakarításokat eredményez, mert a leányvállalat az adatfeldolgozási tevékenysége tekintetében más vállalkozások számára is végez piaci szolgáltatásokat. Az adatkezelő és az adatfeldolgozó között létrejövő vállalkozási tevékenységet outsourcing tevékenységnek nevezi a joggyakorlat. Az outsourcing szerződés keretében az adatkezelő átadja az adatkezelési tevékenységének egy részét, amely az Avtv. módosítása[16] óta a magyar jogban is egyedileg szabályozott vállalkozási tevékenység. 4/A. § (1) Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit e törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg. A törvény előírásai alapján az adatkezelési munkafázis átadható, de az adatkezelésért fennálló jogi felelősség nem. Az adatkezelő és az adatfeldolgozó között az adatfeldolgozásra vonatkozó megbízási szerződést írásba kell foglalni. Egyébként tisztázatlan lenne a felek közötti jogviszony, mivel felmerülhetne, hogy az adatok harmadik személy részére lettek törvényi előírások ellenére átadva. Az Avtv előírásai szerint az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az adatkezelő felel. Az adatfeldolgozó tevékenységi körén belül, illetőleg az adatkezelő által meghatározott keretek között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozó tevékenységének ellátása során más adatfeldolgozót nem vehet igénybe. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni. Az adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.
Az Avtv törvényi fogalom meghatározásában az adatfeldolgozás olyan az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzését jelenti, amelyen nem függnek a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől. Annak a meghatározásában, hogy tiszta adatfeldolgozásról vagy adatkezelési tevékenység átadásáról beszélünk fontos vizsgálni, hogy a harmadik személyek milyen cselekvési lehetőségekkel bírnak az adatfeldolgozás vonatkozásában. Ennek meghatározásában az játszik szerepet, hogy az adatfeldolgozási célból átadott adatok tényleges használatára sor kerül-e. Ezt pedig akkor lehet megállapítani, ha valamilyen feladat teljesítéséhez az átadott személyes adatokat, mint segédeszközt használják.
A német adatvédelmi hatóságok gyakorlata szerint az adatfeldolgozási szerződésekben szükséges lefektetni, hogy a megbízó felel az adatvédelmi követelmények betartásáért, és a megbízott csak a megbízó utasításai szerint dolgozhatja fel a személyes adatokat. Az adatkezelőnek vizsgálnia kell az adatfeldolgozó alkalmasságát az adatbiztonsági követelmények betartása tekintetében, és ennek biztosítékait a szerződésben a feleknek le kell fektetniük. Az adatfeldolgozónak nem lehet mérlegelési jogköre az általa végrehajtandó adatfeldolgozás kialakítása tekintetében. A szerződésben szükséges lefektetni, hogy milyen biztonsági intézkedések kerültek kialakításra az adatfeldolgozó megbízhatósága érdekében. Az adatfeldolgozónak kötelezettséget kell vállalnia, hogy a konkrét adatfeldolgozással megbízott munkatársak kiválasztása során gondosan jár el, tekintettel az érzékeny adatok bizalmasságnak a fenntartására. Az adatfeldolgozónak kötelezettséget kell vállalnia, hogy rendszeresen ellenőrzi azokat a munkatársak megbízhatóságát, akik a tényleges adatfeldolgozást végzik. Az adatkezelőnek lehetőséget kell adni arra, hogy akár az adatfeldolgozó munkatársainak a megbízhatóságát tesztelje. A magyar jogban a német hatósági jogvédelemhez hasonló szabályozás nem létezik. ■
JEGYZETEK
[1] Dr. Mező István, Debreceni Egyetem Állam- és Jogtudományi Kar, tanársegéd, témavezető: Dr. Bragyova András egyetemi tanár.
[2] Adatvédelmi Biztos Beszámoló 2001. Mellékletek 1. pont
[3] Az internettel összefüggő adatkezelések egyes kérdéseiről szóló adatvédelmi biztosi ajánlás 2001. év http://abiweb.obh.hu/abi/index.php?menu=beszamolok/2001 (2007.04.16) [4] Adatvédelmi Biztos Beszámoló 1996 (256/A/1996);
[5] Adatvédelmi Biztos Beszámoló 1998 (394/K/1996, 802/A/1998);
[6] Adatvédelmi Biztos Beszámoló 1998 (577/A/1998, 627/K/1998)
[7] Adatvédelmi Biztos Beszámoló 2000 (295/A/2000)
[8] Adatvédelmi Biztos Beszámoló 2004 1370/A/2004
[9] Adatvédelmi Biztos Beszámoló 2004 351/A/2001
[10] 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
[11] Adatvédelmi Biztos Beszámoló 2003 (162/K/2003, 181/A/2003, 440/A/2003)
[12] Adatvédelmi Biztos Beszámoló 2002 (79/A/2002; 642/A/2002)
[13] Adatvédelmi Biztos Beszámoló 2003 (789/A/2003)
[14] Adatvédelmi Biztos Beszámoló 2003 (351/A/2001)
[15] Thomas Hoeren: Grundzüge des Internetrechts Verlag C.H. Beck München 2002. 262.old
[16] 1999. évi LXXII. törvény a polgárok személyi adatainak kezelésével összefüggő egyes törvények módosításáról
Visszaugrás
