A tanulmányban az üzleti információmenedzsmenttel, azaz informatikai piac egyik legjobban fejlődő szegmensének jogi vonatkozásaival foglalkozom. A dolgozat tagolásában elkülönítettem egy "általános" és egy "különös" részt, ezzel igyekeztem némi rendszerszemléletet vinni a problémakörbe, illetve áttekintő képet alkotni a témáról. Az első nagyobb részben (1.-3.) az információmenedzsment egyes technikai részleteivel (adattárházak kiépítése, az adatbányászat technikai, különböző adatfeldolgozó-rendszerek, stb.), illetve az adatvédelem általános előírásaival foglalkozom. A második, a "különös" részt (4.) potenciális üzleti adatforrásoknak és két nagy adatkezelő szektor szabályozásának és gyakorlatának szenteltem. A távközlési szolgáltatók, és a pénzintézetek olyan gazdasági szereplők, amelyek fejlett informatikai eszközökkel kezelnek tömeges méretekben személyes adatokat, ezáltal tevékenységük kapcsán komoly szabályozásra, garanciákra van szükség az egyének védelme érdekében. Az egyes ágazati szabályozások ismertetése mellett az adatvédelmi biztos éves jelentéseiből és más forrásokból igyekszem igazolni, hogy a jelenségnek komoly jogi relevanciája van és igényli az átgondolt, elemző megközelítést. Végül (5.) a kérdéskörre már létező, de közel sem elterjedt megoldásokat, az adatvédelmi menedzsment-rendszert és az adatvédelmi auditálást mutatom be röviden.
Itt szeretnék köszönetet mondani Dr. Balogh Zsolt György tanszékvezető egyetemi docens, és Dr. Polyák Gábor egyetemi tanársegéd konzulenseimnek hasznos tanácsaikért és segítségükért, melyet a dolgozat elkészítéséhez nyújtottak.
"Az információ a dolgok lelke. Kinyitom vele az ajtót, ami a siker kincseskamrájába vezet." - Herb Cohen[1]
A XXI. századra az információ kulcsfontosságú erőforrássá vált: "amint egyre több ember munkája, kikapcsolódása és mindennapi élete kapcsolódik szorosan az adatfeldolgozáshoz és az adattovábbításhoz, az információs és kommunikációs technológiák alkalmazása a társadalom egyre nagyobb részét járja át."[2] Ezek a kijelentések mára már talán közhellyé váltak, de vizsgáljuk meg mégis egy kicsit jobban, miért is történt ez így. A piaci verseny a globalizációnak, az egyre hatékonyabb termelésnek köszönhetően folyamatosan nő szerte az egész világon, alig maradt olyan termelési tényező, legyen szó természeti kincsről, olcsóbb gyártási technológiáról, képzett, avagy olcsóbb munkaerőről, ami elérhetetlen lenne a gazdasági világ számára, azaz az extenzív piaci stratégiák már nem alkalmazhatók hosszú távon. Minden vállalat piacnyerése általában egy versenytárs veszteségével jár együtt, mivel szinte minden piac telített, gyakran többszörösen is. "Az információs technológiák alkalmazása minden jel szerint radikálisan átformálja a szervezetek, kicsik és nagyok életét, működését. Ha valamely szervezet mindennapi működésének megszervezéséhez és fenntartásához jól alkalmazza az információs és kommunikációs technológiát, akkor képessé válik arra, hogy lényegesen jobb hatásfokkal használja fel a rendelkezésre álló erőforrásokat, mint azt megelőzően."[3]
Ezek a folyamatok azt eredményezték, hogy megjelent egy komplex, információ-központú törekvés, melynek alapvetően három irányát jelölhetjük meg. A vállalatok célja, hogy
- ügyfél- és partnerkörüket megtartsák, igényeiket, szokásaikat alaposan megismerjék,
- folyamatosan terjeszkedjenek a még ki nem aknázott piacok feltérképezésével,
- termelési és más külső és belső információs folyamataikat még (költség)hatékonyabbá tegyék, kockázataikat csökkentsék.
Ezeket a célokat az informatikai fejlődés képes kiszolgálni, így világszerte terjednek az olyan szoftver- és hardvermegoldások (előbbire az ERP-rendszerek, utóbbira a hálózati technológiák jelentenek jó példát) amelyek lehetővé teszik a vállalat működése során összegyűlt adatok és információk gyűjtését, tárolását, kiértékelését és az ennek megfelelő döntések meghozatalát.
Azonban az adatok, és főként a természetes személyek adatainak ilyen tömeges méretű feldolgozása komoly kockázatot jelent az adatalanyok számára, ennek oka pedig abban keresendő, hogy sokszor még azzal sem vagyunk tisztában, hogy ki és mit tud rólunk. Fokozza az egyén, a személyiség alávetettségét, hogy ezen új informatikai eszközök segítségével könnyen, gyorsan előállítható olyan személyiségprofil, amely alkalmas az egyén "átvilágítására", személyes, és üzleti kapcsolatainak, múltjának és jelenének az érintett tudta és beleegyezése nélkül való feltérképezésére. Következtetni lehet terveire, jövőjére, sértve ezáltal szabad akaratát, méltóságát s komoly visszaélések lehetőségét teremtve meg.[4]
Előfordulhat olyan helyzet is, hogy nem helytálló, vagy nem teljes körű ismeretek birtokában építik fel az adott alanyról készített személyiségprofilt, vagy olyan adatokat kezelnek az egyénről, amelyek különösen sértik érdekeit. Ilyen különösen érzékeny adatok az egészségi állapotra, a szexuális életre, illetőleg szokásokra, a kóros szenvedélyre, faji eredetre, nemzeti, etnikai hovatartozásra, a vallási vagy más ideológiai, politikai meggyőződésre és a büntetett előéletre vonatkozó adatok.[5] Ezek a körülmények pedig könnyen eredményezhetnek diszkriminatív, vagy indokolatlanul terhes eljárásokat (pl. hitelkérelmek elbírálásánál, biztosítások megkötésénél). A jognak tehát fontos feladata, hogy kiküszöbölje az egyenlőtlen kommunikációs helyzeteket, amelyek így az érintett rovására létrejönnek, csak így lehet megfelelni a jogállamiság elvárásainak.
"Annak az üzletembernek, aki adatok nélkül tervez, meg kell tanulnia profit nélkül megélni." - Virgil Reed (1935), az USA Népszámlálási Hivatalának helyettes igazgatója[6]
A stratégiai tervezés az USA-ban bukkant fel először, az 1970-es évek elején, majd ezt követően terjedt el. Azt megelőzően (50-es, 60-as évek) a kereslet stabilan növekedett, jó üzleti lehetőségeket kínálva a vállalatoknak, s így a vállalatvezetés az egészen rövid távú tervezéssel is jól elboldogult. Ezen körülmények között gondot inkább csak az operatív működés hatékonyságának és eredményességének növelése jelentett, míg a vállalat környezetével való törődés nem volt jellemző.
Az 1970-es évek válság válságot követett: a közel-keleti háborúk által kiváltott olajválságok, az ebből következő és ezt kísérő alapanyag- és energia-hiány, inflációs tendenciák a fejlett országokban, valamint gazdasági stagnálás és emelkedő munkanélküliség jelentkezett. Ugyanakkor megindult az olcsó és jó minőségű termékek rohamos beáramlása Japánból és más országokból az USA-ba és más fejlett országokba, mely termékek piaci részesedést hódítottak el a legfejlettebb nyugati országok vállalataitól még olyan tradicionális iparágakban is (pl. autógyártás), ahol azok korábban kifejezetten erősek voltak. A nyugati nagyvállalatok döntő többségének tehát belföldön és külföldön is komoly versennyel kellett szembesülniük, ami nehéz és alapvetően újszerű kihívást jelentett számukra.
Ez a gyökeres piaci változás a stratégiai menedzsmentet az addigi, inkább másodlagos szerepéből az előtérbe emelte és olyan új tervezési rendszer bevezetését tette szükségessé, mely lehetővé teszi a vállalat egészséges és előremutató működésének fenntartását akkor is, ha egyes termékek, piacok vagy üzletágak esetében zavarok keletkeznek.[7]
Tisztáztuk tehát, hogy milyen törekvések jelentek meg az üzleti célú információ-kezelésben az utóbbi évtizedben. Ezek a célkitűzések mint piaci igény jelentkeztek a rohamosan fejlődő informatikában, és olyan fejlesztéseket eredményeztek, melyek az adatfeldolgozást soha nem látott mennyiségben és minőségben végzik el, akár automatizáltan is. Ma már egyetlen komolyabb szoftvergyártó, informatikai megoldás-szállító sem hagyhatja figyelmen kívül ezt a szegmenst. Ez olyannyira igaz, hogy az ilyen üzleti alkalmazások fejlesztése, és sikeres bevezetése a velük szorosan összefüggő adatbázis-technológiák, hálózati megoldások, e-business termékek néhány év alatt hatalmas multinacionális cégek kiépülését hozta. Ilyen vállalatok például az Oracle, vagy az SAP.
Nézzük azonban, melyek egy a fentebb megjelölt stratégiai tervezési eszköz, speciális célszoftver sajátosságai. Az integrált információs rendszerben az adatfeldolgozás lépései úgy adják tovább az információt az őt követő lépéseknek, hogy közben nem változik az eszköz, a tároló-közvetítő platform (pl. nem mentik az adatokat cserélhető adathordozóra - pl. floppy lemezre - majd töltik be egy másik számítógépbe és/vagy hálózatba), és nincs többszörös adatbevitel sem, ugyanis ezekre nincs szükség. Az integrált rendszerben a funkciók, tevékenységek nem keverednek és általában nem duplikálódnak.
Az integrált információs rendszert továbbá az különbözteti meg a hagyományos, nem integrált megoldásoktól, vagyis a külön-külön működő, egy-egy rész-funkciót megvalósító, egymással kapcsolatban nem lévő, elszigetelt rendszerektől, hogy az integrált információs rendszerben a különböző alrendszerekben lezajló feldolgozások egyetlen rendszerben történő feldolgozása csak úgy lehetséges, ha az egyes alrendszerek egyrészt szorosan együttműködnek, egymásra épülnek, másrészt pedig ugyanazon, redundanciától mentesen leképzett adatokat használják. Ez a "single data depository", az egyszeres adattárolás.
Integrált vállalatirányítási információs rendszer alatt az egy vállalaton belül lezajló valamennyi műszaki, termelési, kereskedelmi, raktározási, készletgazdálkodási, pénzügyi, vezetési, irányítási és számos egyéb folyamat egységes, integrált számítástechnikai kezelését megvalósító információs rendszert értjük. Ezen alkalmazások tehát egy adott vállalat valamennyi fontos feldolgozását megvalósító, globális, átfogó információs rendszerek, amelyek az egész vállalatra kiterjedő integrációt valósítanak meg.
Az integrált információs rendszer, mint fogalom természetesen nem jelent automatikusan globális, átfogó (legszélesebb vállalati funkcionalitást megvalósító) rendszert is. Léteznek olyan integrált alkalmazások is, amelyek a vállalati folyamatok egy-egy csoportját támogatják integrált módon, így pl. integrált pénzügyi, számviteli, humánerőforrás-menedzsment, vagy logisztikai rendszerek. Ezek az alkalmazások képesek jelentős hatékonyság-növekedést képesek elérni az általuk támogatott folyamat-csoport területén. Ahhoz azonban, hogy vállalati szintű hatékonyság-növekedést tudjunk segítségükkel elérni, a különböző folyamat-csoportokat megvalósító rendszereket vállalati szinten is integrálni kell egymással, vagyis átfogó integrált rendszert kell kialakítani.[8]
Ilyen integrált vállalatirányítási és vezetői döntés-támogató rendszert ma már rengeteg szoftvergyártó készít, és sok ágazat-specifikus termék is készül. Ezekre a szoftverekre, rendszerekre is kialakult már egyfajta "tolvajnyelv", rengeteg rövidítést, betűszót talál, aki a témával foglalkozik. Az átfogó rendszerek egyik jelölője és talán a legtágabb kategória az ERP (Enterprise Resource Programming), ami vállalati erőforrás gazdálkodást jelent. A stratégiai elemet emeli ki, így már specializáltabb az SEM (Strategic Enterprise Management). Az információ feldolgozására és a vezetői döntéstámogatásra koncentrál az EIS (Enterprise Information System) és az O/DSS (Operation/Decision Support System). Még inkább egy külön területre koncentráló szoftverek az SRM (Supplier Relationship Management) a szállítói-kapcsolat menedzsment és az SCM (Supply Chain Management) az ellátási-lánc menedzsment. Az IRM (Inner Resource Management) belsőforrás-menedzsment célja, hogy a vállalat humán erőforrásainak, illetve pénzügyi és tárgyi eszközeinek megfelelő felhasználása útján képes legyen a forgótőke csökkentésére, a ciklusidő rövidítésére és a működés általános javítására. Az IRM rövidítés másik feloldása az Industrial Resource Management, azaz ipari erőforrás-menedzsment. Ezen szoftverek felhasználásával a vállalat képes rögzíteni egyetlen eladás pénzügyi hatását az alapanyagok bevételezésére, a termékszállítási folyamatra a megfelelő raktározáson és szállításon keresztül[9].
Az utolsó alkalmazástípus azért emelkedik ki a sorból - legalábbis a jelen vizsgálódás szempontjából -, mert használatának előfeltétele és kiemelt célja a vállalati ügyfelek személyes adatainak tömeges és hatékony gyűjtése, feldolgozása. Ez a CRM (Customer Relationship Management), az ügyfél-kapcsolat menedzsment. A CRM a marketing eszköze, segítségével megállapítható, hogy ki a vevő, hogy viselkedik, mit akar, és mire van szüksége.[10] Mivel vizsgálódásának központjában az ember áll, az adatvédelem szempontjából kiemelt jelentőséggel bír.
"Öt éven belül kétféle cég fog létezni. Azok, akik a számítógépet marketingeszközként fogják használni és azok, akik a csőd szélén állnak." - Warren McFarlane[11]
Az ügyfélkapcsolat-menedzsment rendszereket is a fokozódó piaci verseny hívta életre, azonban többnek tekinthetők, mint egy, vagy több informatikai rendszer, inkább egy új szemléletmódról, üzleti modellről van szó. Lényege, hogy a vállalatok - piaci pozícióik megtartása és fejlesztése érdekében - a gyártási folyamat- és termék-központúság helyett az ügyfélközpontúság felé fordulnak. Ennek egyik fő oka az a jelenség, hogy a piacon megjelenő termékek és szolgáltatások egyre inkább hasonlítanak egymáshoz, ami azt eredményezi, hogy kompetitív előnyt csak az ügyfél kiszolgálásának magasabb minősége tud nyújtani. Előtérbe került az ügyfél, annak elégedettsége, az ügyfélismeret pedig felértékelődött. Ezért a vállalatoknál olyan módszer, eszköz iránt jelentkezett igény, mely segítségével a vállalati kultúrában és a munkafolyamatokban is középpontba kerül az ügyfélkapcsolatok kiemelt kezelése. A CRM modell alkalmazásának eredményeképpen a kiterjedt ügyfélkörrel rendelkező vállalat is képes egyedi ügyfélkapcsolatok kialakítására és ápolására, melynek keretében az ügyfél mindig kiemelt bánásmódban részesülhet. Ezáltal jelentősen megerősíthető az ügyfél vállalat iránti lojalitása, s ezen keresztül a vállalat szempontjából vett profitabilitása.
A CRM üzleti információs adattárházra és az Internetre épül, s célja, hogy az ügyfelekről meglévő adatok rendszerezése, elemzése révén jelentős mennyiségű és értékes információt szerezzen a vásárlói szokásokról, vevői preferenciákról, s ezáltal módot adjon annak meghatározására, hogy pl. kik a legfontosabb ügyfelek. Ezen információk birtokában, a valós vásárlói igények ismeretében megalapozottabb üzleti döntések hozhatók. További előnyt - költségmegtakarítást - jelenthet nagy ügyfél-forgalmú szervezetek esetében, hogy lényegesen olcsóbb és kényelmesebb lehet az internetes kapcsolatfelvétel az ügyféllel, mint a hagyományos ügyfélszolgálati irodákban.
Általános tapasztalat, hogy a vevők egy viszonylag kis része "hozza" a nyereség legnagyobb részét, bizonyos vevők pedig veszteségesek. A fenti helyzetre tekintettel a vállalatok számára létfontosságú a nyereséget hozó ügyfelek megtartása, már csak azért is, mert általában többe kerül egy új, nyereséges ügyfelet szerezni (magas marketing-költségek, hosszú megtérülési idő, nyereség-kiesés, stb.), mint egy már meglévő megtartása. Ehhez azonban természetesen pontosan ismerni kell, kik a nyereséges ügyfelek, ügyfélcsoportok. Az ügyfelek megtartása, az "ügyfél-tőke" megőrzése szempontjából fontos, hogy azok "jól érezzék magukat" üzleti kapcsolataikban. A kiszolgálás minőségének döntő szerepe van abban, hogy marad-e a cégnél az ügyfél.
Az ügyfélkapcsolat-menedzsment megoldások elvégzik az adatok konszolidálását, strukturálását, majd azokat egy egységes adatbázisba helyezik el. Ezzel elősegítik, hogy az ügyfelekről egységes kép alakuljon ki a különböző csatornákon (kereskedők, ügyfélszolgálati adatok, szerviz-adatok, reklamációk stb.) bejutó információkból. A közös adatbázisban elhelyezett információkat az arra illetékesek másodpercek alatt elérhetik, amikor csak szükségük van rájuk (pl. amikor az ügyféllel kapcsolatban lépnek). Miután az egyes ügyfelekről már sok-sok információ összegyűlik, alaposan megismerik őket, s így lehetőség nyílik, pl. "testreszabott" marketingkampányokra vagy szolgáltatások nyújtására is, amely nagyban elősegítheti a nyereséget hozó vevő megtartását, illetve fogyasztást ösztönző lehet.
A vevőkről felhalmozott információk az előbbieken túlmenően úgy is hasznosíthatók, hogy korszerű eszközök, mint az adatbányászat (KDD) használata révén összefüggéseket tárnak fel a vevők szokásai, különböző paraméterei és jellemzői között. Az így felismert összefüggések azután jól hasznosíthatók a piaci működés során (ügyfelek elhódítása a versenytársaktól, termékek célzott bevezetése, árukapcsolási lehetőségek kihasználása és így tovább).
Az átfogó ügyfélkapcsolat-rendszer kialakítása nélkül nem lehet az ügyfelek számára testre szabott szolgáltatást kialakítani, ami pedig nagyon sok területen a vevők megtartásának, a versenyképesség megőrzésének, növelésének alapfeltétele, nem csak termelési típusú vállalkozások, hanem szolgáltatók esetében is, mint pl. közüzemi szolgáltatóknál, bankoknál, biztosító társaságoknál, vagy távközlési szolgáltatóknál. Így ezen szervezetek jelentős részénél ma stratégiai célkitűzés az átfogó ügyfélkapcsolat-kezelő rendszer kialakítása.
- Az operatív CRM irányítja és szinkronizálja az ügyfél-interakciókat a marketing, az értékesítés és a szerviz területén, feladata a direkt ügyfélkapcsolatok informatikai támogatása, melyhez a legteljesebb körű, egységes információ-bázisra van szüksége. Az operatív CRM által kezelt információ-bázis két forrásból táplálkozik: a közvetlen ügyfélkapcsolatok során keletkező információk, valamint a vállalati adatvagyon feldolgozása, elemzése során nyert információk.
- Az analitikus CRM segítséget nyújt az információforrások optimalizálásában annak érdekében, hogy elősegítse a profitábilis ügyfelek megtartását, az ügyfél- és piaci ismeretek megszerzését, a célzott piaci szegmens meghatározását, a kínálat kialakítását, az ügyfél-magatartás alakulásának elemzését támogatják információkkal, elemzésekkel.
- A kollaboratív CRM elősegíti az együttműködést a szállítókkal, a partnerekkel és az ügyfelekkel a folyamatok tökéletesítése, és az ügyfelek igényeinek kiszolgálása érdekében.
Az átfogó CRM-rendszer megvalósítása általában komoly beruházást jelent. Ugyanakkor a nagy ügyfélforgalmat lebonyolító, kiterjedt ügyfélkörrel rendelkező szervezetek esetében komoly költség-megtakarítás érhető el. Az átfogó rendszer megvalósulása általában egy hosszabb folyamat eredménye, melynek kiinduló pontját a jelentés-készítés, az adatbányászat, az adattárházak képezik. A CRM rendszer kiépítése, ennek megfelelően, gyakran több lépésben történik: először kiépül a széles körű adattárház, az adatbányászat, az információ-kinyerés, jelentés-készítés, majd a CRM további funkciói.[12]
A vevők egyedi választási környezetének megfelelő ajánlatok kidolgozása során a végső feladat az, hogy a vállalat tartós és az igényeket kielégítő kapcsolatot alakítson ki az értékesnek ítélt vevőkkel. Az ügyfélkapcsolat-menedzsment működése elképzelhetetlen a vevők vásárlási szokásait, adatait és beállítódását, illetve a vállalati kapcsolattartókra vonatkozó információkat rögzítő hírszerzési rendszerek nélkül. Az információ rendszerezése, értelmezése és elemzése útján a vállalat új ismeretekkel gazdagodhat. Az efféle tudás megszerzése és átadása érdekében a vállalatok egy része együttműködési hálózatokba tömörül. Vegyünk néhány konkrét példát a CRM alkalmazására:
- A Dell Computer a vevők preferenciáinak megismeréséhez nyomon követi, hogy milyen termékeket és jellemzőket választanak. Ennek ismeretében a cég sokkal agresszívabb árképzési stratégiát és reklámot alkalmazhat az egyes konfigurációk eladása során.
- Az Amazon.com figyelemmel kíséri felhasználói böngészési és vásárlási szokásait, és az innen származó adatokat összeveti más, hasonló szokásokkal rendelkező felhasználók adataival, majd ez alapján egyedi termékajánlatokat dolgoz ki.
- A General Motors részlegeinek adatbázisait egyetlen központi adatbankban egyesítette. Az összesített információkat a cég olyan új autómodellek tervezéséhez használja, amelyek egymást átfedő célpiacok számára készülnek. Adatbázisai összevonásával, valamint a telefonos ügyfélszolgálatok számának drasztikus - hatvanról háromra történő - csökkentésével a GM megbízható és egységes vevőszolgálatot épített ki.
A tudásfeltárás (KDD - Knowledge Discovery in Databases) egy további olyan informatikai részterület, mely a számítástechnika robbanásszerű fejlődése révén jöhetett létre. Lényege, hogy hatalmas adathalmazokból nyer ki statisztikai és matematikai módszerek segítségével olyan információkat, melyek segítik az operatív döntéshozatalt és a stratégiai tervezést. Célja tehát olyan szabályszerűségek, minták feltárása, amelyek segítségével a folyamatok könnyebben átláthatóvá és kalkulálhatóvá válnak. Az adattárház és adatbányászat a tudásfeltárási módszerek közé tartozik, mint az adatbázis-technológia, a statisztika, a szakértői rendszerek, a gépi tanulás, vagy a térinformatika.
E két fogalom vizsgálati tárgy és eszköz kapcsolatban áll egymással és együttes alkalmazásuk olyan üzleti döntéstámogatási módszert jelent, amely segít megtalálni és kiaknázni új üzleti lehetőségeket a nagytömegű adathalmazokban rejlő, nem ismert összefüggések feltárásával. Egyesítik az adatbázis-kezelés, a statisztika és a mesterséges intelligencia kutatások eredményeit. Az adatbányászati algoritmusok meglévő alkalmazásokba való beépítésével (pl. ügyfélszolgálat) intelligens alkalmazások hozhatók létre, melyek olyan komplex összefüggések feltárását biztosítják, amelyek nem nyerhetők ki egyszerű, vagy akár multidimenzionális lekérdezésekkel.
Fő céljuk - melyet változatos eszköztárral érnek el - a vizsgált múltbeli adatokban jellegzetes minták, összefüggések, trendek felfedezése, ezzel új tudás létrehozása. Használják azonban piaci szegmentálásra (fogyasztók, termékek vagy szolgáltatások vonatkozásában is), osztályozásra, előrejelzések készítésére, üzleti tervekhez adatszolgáltatásra, illetve napi rendszerességgel, vezetői döntéstámogatási rendszerekkel (Decision/Operation Support System - D/OSS) összekapcsolva rövid távú problémák megoldására is.
A vezetői információs rendszerek ma már nem képzelhetők el rendszerezett, megbízható minőségű, gyorsan elérhető adatok nélkül. Ezeknek a követelménynek tesz eleget az adattárház koncepció. Olyan módszereket és eszközöket jelent, amelyekkel nagy tömegű adatot lehet hatékonyan kielemezni és az analizálás eredményét jó hatásfokkal eljuttatni a felhasználóhoz, elsősorban természetesen a menedzsmenthez. Ez a technológia multi-dimenziós adatmodellt, multi-dimenziós adatbázis-kezelőt, s ezekhez kapcsolódó megjelenítő eszközöket jelent, vagyis olyan eszköztárat, amely biztosíthatja, hogy a vállalati menedzsment a rendszer-adminisztrátorok, rendszergazdák és fejlesztők közreműködése nélkül is képesek legyenek az őket érdeklő adatokhoz hozzájutni, azokat kielemezni, az analizálás eredményét megjeleníteni, illetve felhasználni. Az adattárházakban a különböző területekről összegyűjtik, integrálják, és speciális sémában tárolják a szükséges részletezettségig visszakereshető adatokat.[14]
Az adattárház bevezetése gyökeresen megváltoztatja a vállalatok életét, munkafolyamatait az addigi adatkezelési rezsimekhez képest. A feladat hatalmas erőforrásokat igényel, és csak hosszútávon hoz kézzelfogható eredményeket. A kockázatot jelentősen csökkenti, ha az adattárház építését lépésenként valósítják meg. Ehhez a feladathoz nyújtanak megfelelő eszközt az adatpiacok, melyek csak a vállalat egyes funkcionális területeinek adatait tartalmazzák. Ezek az adatpiacok az adattárházzal megegyező szerepet töltenek be az adott funkcionális területeken. A külön-külön megvalósuló adatpiacok gyorsabban, olcsóbban, kisebb kockázattal állíthatók elő, majd később könnyedén integrálhatók egyetlen adattárházba. A gyakorlat is azt mutatja, hogy a bonyolult adattárházak több adatpiac projekt együttes eredményeként jöttek, jönnek létre.
Az adattárház a vállalat birtokában lévő releváns, integrált, konzisztens, történeti adatok gyűjteménye, mely a hagyományos, gyenge hatékonyságú információs folyamatot alakítja át gyökeresen az alábbi elvek szerint:
- a különböző forrásokból (számlázó rendszer, integrált vállalatirányítási rendszer, Excel-táblák stb.) származó adatok rendszeres időközönként leválogatásra és betöltésre kerülnek egy központi adatbázisba,
- az alapadatok az üzleti elemzési szempontoknak megfelelően feldolgozásra kerülnek,
- az adatok egy helyen, az üzleti gondolkodásnak megfelelő új struktúrában kerülnek eltárolásra,
- az adatok online elérhetővé válnak a vezetők és elemzők számára,
- az elemzéshez szükséges funkciókat standard elemző eszközök vagy egyedi alkalmazások biztosítják.
Az adatok áramlásának iránya:
1. Operatív adatbázisok:
Ilyenek az ügyfél-szerződések adatai, a számlázás, az ügyfélszolgálat nyilvántartásai, a különböző szolgáltatások naplózása, ügyfélkártyák, hitelkártyák felhasználási története (telefonhívás, pénzfelvétel, vásárlás...).
2. Adatpiacok:
Regionális, vagy üzletági összeállítású, általában speciális céllal létrejött adatbázisok, végezhető rajtuk adatbányászat (mint minden adatbázison), de tulajdonságai miatt még nem elég optimális.
3. Adattárházak:
Sok millió bejegyzéssel, az adatbányászat előre meghatározott, szükséges adattartalmú, speciális kritériumoknak megfelelő adatbázis:
Időfüggőség: az adatok időponthoz kötöttek.
Változatlanság: csak lekérdezéshez használják, sosem módosítják, csak bővítik.
Tematikusság: nem minden adat az operatív adatbázisokból.
Integráltság: az információkat konzisztens, egységes formában tükrözi, egy alany csak egy névvel szerepel.
4. Metaadatbázis:
Az adatbázisok nyilvántartása, kifejezi az adatbázisok relációját, kapcsolódásait. Az adatáramlás és az adatbázisok összefüggéseinek vizsgálatakor jelentős szerepet játszik, térképként használható.
"A megkülönböztetés, vagyis az a képesség, hogy helyesen válasszuk meg, mire, hová és kire irányítjuk figyelmünket, az üzleti siker fontos előfeltétele, mert ez a forrása a szándéknak és az akaratnak, hogy a legfontosabb dolgot tegyük." - Michael E. Gerber[15]
Az adatbányászat kifejezés a 90-es években jelent meg az informatikai rendszerek területén és ma már széles körben használják. A kifejezés az angol "data mining" tükörfordításaként honosodott meg. Az adatbányászat az adattárházban tárolt adatok alapján történik. Célja az adatok közötti, rejtett összefüggések feltárása és a szervezet céljai érdekében történő hasznosítása.[16] Ténylegesen csak egy lépése a tudásfeltárás folyamatának, azonban mint a legfontosabb és legsajátosabb rész, gyakran az egész műveletet jelöli a gyakorlati terminológiában. Az adatbányászat a gazdasági szereplők kezében kiemelten hatékony eszköz a nehezen körülhatárolható és megoldható üzleti kérdések megválaszolására.
A fenti értékes információk megszerzésének útjában azonban szintén számos akadály lehet:
- A hosszú távú elképzelés, perspektíva hiánya
- Az adatállományok elavultak, nem elég frissek
- Cégen belüli ellentétek, kommunikációs zavarok
- Nem megfelelő formában közvetített adatok
- Az állományok összekapcsolásának technikai akadályai - eltérő software, hardware
- Időzítési problémák, késlekedés
- A kapott eredmények értelmezési problémái
- Jogi szabályozásból fakadó akadályok
Az adatbányászati modellek:[17]
A, Verification Model - azonosító modell
A szakértők által megfogalmazott hipotézisekre és kérdésekre különböző lekérdező és analitikus eszközök segítségével keres választ, és az eredményként kapott válaszok tükrében erősíti meg, vagy veti el azokat. Ez a megközelítés megfelel a legtöbb klasszikus értelemben vett statisztikai analízisnek.
B, Discovery Model - felfedező modell
Ebben a megközelítésben már a kiindulási alapot is automatizált úton nyert feltevések képezik. A kutatással egyidejűleg generálódnak a hipotézisek, melyeket azonnal ellenőriz is a folyamat. A közvetlen kutatásban a célváltozó adott, és a függő változókat kell megkeresni, az indirekt kutatásban előzetesen definiált változók nélkül keresnek összefüggéseket, korrelációkat.
1. Adatkiválasztás, tervezés
A konkrét feladat meghatározása, az ehhez szükséges szakemberek, más erőforrások és főként adatok kiválasztása.
2. Tisztítás
A humán munkához kötődő adatbázisokban gyakran előfordulhatnak duplikációk, elírások, hiányok, ezeket a hatékony elemzéshez szükséges kijavítani, ez a data-cleaning folyamata.
3. Bővítés
Amennyiben nem áll rendelkezésre megfelelő mennyiségű adat, külső erőforrások bevonásával bővíthető az adatbázis. Ehhez igénybe vehetők adatbázis-szolgáltatók, adatgazdák egymással cserélhetnek adatokat, de végrehajtható kiegészítő adatfelvétel is.
4. Kódolás:
Célja a gépi feldolgozás és megjelenítés egyszerűsítése, módszerei:
- Pontos címek helyett területi kódok megadása.
- Születési dátumok helyett életkor, vagy életkorosztályok.
- Adatbázisban szereplő nagy összegek elosztása 10 hatványával.
- Eldöntendő kérdések bináris ábrázolása (pl. van-e autója az adatalanynak?).
- Pontos dátumok (pl. szerződéskötés) helyett adott időponttól eltelt hónapok száma.
Fontos lépés, mivel gyakran adatvédelmi jogi szempontból lényeges az adatok végleges anonimizáltsága. Ezzel néhány adatkezelés esetében nem éri hátrány az adatfeldolgozót és csökkenthető a művelet jogi kockázata.
5. Adatbányászat
6. Jelentéskészítés, kiértékelés
A feladat az adatbányászat eredményeinek befogadható, üzleti döntésbe konvertálható formában való prezentálása. Ez többnyire az eredmények vizuális megjelenítésével (grafikonok, diagramok) és a megszerzett tudás rövid összefoglalásával történik. A feltárt mintával szemben támasztott elvárások:
- érthető,
- érvényes és friss adatok alapján készült,
- a feladattal kapcsolatos használható és releváns információ,
- önálló és komplex összefüggések megjelenítése,
- érdekes, fontos és jelentős.
Az adatbányászat nem egyetlen technika, hanem egy alapelv, mely szerint az adatokban több tudás van elrejtve, mint amennyi felszínesen vagy egyenként szemlélve látszik. Ezért az adatbányászatra bármilyen technika alkalmas, melynek segítségével több hozható ki az adatokból. A technikák meglehetősen heterogének, mindegyik rendelkezik valamilyen speciális előnnyel, mindegyik más célra a legalkalmasabb. Nézzük, melyek a leginkább ismert és leggyakrabban alkalmazott eljárások, eszközök:
Az adathalmazok viszonylag durva elemzéséhez, előzetes feltevések tételezéséhez alkalmasak. Segítségükkel általános kép kapható az adatokról, azok szerkezetéről. Az előzetes elemzéshez kiindulhatunk az adathalmaz egyszerű, statisztikai információiból, például megnézhetjük az általános értékeket. Bonyolult algoritmusok használata előtt mindenképp szükséges az alkalmazásuk, mivel képesek lehetünk velük bizonyos előrejelzéseket készíteni, amelyekkel a későbbi, alaposabb és specializáltabb keresések eredményeit, megbízhatósági korlátait is láthatjuk, ellenőrizhetjük.
Szintén hasznos lehet a bonyolultabb eljárások alkalmazása előtt a különböző vizuális megjelenítési lehetőségek bevetése, melynek során az adathalmaz mintáit szabad szemmel próbáljuk felismerni. Segítségükkel - szerencsés esetben - megsejthető, merre érdemes eddig nem ismert összefüggések után kutatni. Háromdimenziós alkalmazásokkal az adatok változásai akár térbeli folyamatokként is ábrázolhatók.
A vállalatok tevékenységének 80%-a helyhez kötött, így adataik közvetve földrajzi tulajdonságokat is hordoznak. A térbeli összefüggések megjelenítését és elemzését a térinformatikai szoftverek támogatják. Az üzleti térinformatika a vállalati adatok értéke és az adatok térbeli elhelyezkedése közötti összefüggések elemzésére szolgáló eszköz. Az üzleti térinformatika előnye, hogy egy térképen egyszerre a földrajzi területek több tulajdonsága, változója jeleníthető meg (tematikus térkép, oszlop vagy kördiagram segítségével). Gyorsan áttekinthetőek, hamar és különösebb szaktudás nélkül értelmezhetőek, látványos elemei lehetnek a tulajdonosi beszámolóknak, valamint vezetői prezentációknak.
Ez a módszer is a térbeli szemléletre épít, amennyiben azt vizsgálja, hogy az egyes rekordok, illetve értékeik milyen távolságra vannak egymástól. Azok, amelyek egymáshoz közel vannak, hasonlítanak egymásra, a távoliak kevés azonos vonással rendelkeznek. Egy többdimenziós adattér pontjaiként vizsgálva a rekordokat és a már említett háromdimenziós ábrázolási eszközöket alkalmazva kaphatunk különböző "adatfelhőket". Néha csupán ez is elég, hogy érdekes osztályokat találjunk, azonban többnyire bonyolult osztályozó (klaszterező) program szükséges az adatcsoportok meghatározására.
A közvetlen elemzésre alkalmazott OLAP technológia atyja Dr. E. F. Codd, aki a relációs adatbázis-kezelési technológiát is feltalálta. Azt meghaladva a multi-dimenzionális elrendezés célja többek között az, hogy a különböző információ felhasználók más-más formátumban és részletezettségben nézhessék, használhassák az adataikat, több adatdimenzióval dolgozhassanak. Az OLAP technológia ezeken az elemzési szempontokon - multi-dimenzionális nézeteken - keresztül biztosít közvetlen, gyors adatelérést a végfelhasználók számára. Elemzési lehetőséget biztosít az egyszerű lekérdezés és lefúrástól a szofisztikált modellezésig és komplex tervezésig, azonban tanulásra, valamint új megoldások keresésére nem képes. Az OLAP-eszközök jellemzően adattárházakon, adatpiacokon tudnak a leghatékonyabban működni. Az adatokat speciális többdimenziós formában, úgynevezett adatkockákban tárolják. Az adattárakból nem csak adatokat importálnak, hanem eredményeiket oda-vissza is töltik ezek az eszközök.
Ez sem intelligens tanulási technika, hanem egyfajta keresési módszer. Előrejelzéseinek alapja, az az elv, hogy minden alany várható viselkedése megegyezik a hozzá leginkább közel állóéval. A módszer egyszerű, azonban nem nyújt elegendő segítséget ahhoz, hogy az adattartományhoz olyan elméletet lehessen társítani, amely segíthet az adatok szerkezetének jobb megértésében. Másik hátránya a nagy számításigénye, ezért csak kisebb méretű adatbázisokra, vagy adatbázisból már valamilyen szempontok szerint kiválasztott mintákra alkalmazzák.
A szabálygeneráló tanuló algoritmusokkal végzett elemzéseknek egy olyan vizuális reprezentálása, amikor a vizsgált kérdés egy lehetséges válaszáig vezető összefüggések rendszere pontról-pontra nyomon követhető, mintha egy fa ágain haladnánk ágról-ágra. Minden elágazás azonosítható egy kérdéssel és a továbbhaladás iránya függ a kérdésre adott választól. Például ha egy ügyfelünk nő, férjezett, és rendelkezik folyószámlával (kérdések), akkor igen (válasz), küldjünk neki a legújabb termék akciónkról direkt marketing levelet, mert valószínűleg pozitívan fog rá reagálni.
Olyan szabályok, amelyek egy adatbázistábla bizonyos attribútumaihoz tartozó értékek statisztikai kapcsolatát írják le. Azaz adott attribútumok alapján megjósolható, megbecsülhető az eredmény. A társító szabályokat mindig bináris attribútumokban határozzák meg. Az ilyen szabályok felfedezése nem nehéz, problémát a sok felfedezett, de mégis érdektelen szabály kiválogatása okoz. Általában akkor használhatók eredményesen, ha már van valamilyen elképzelés arról, hogy mit is keresünk.
A tanuló algoritmusoknak egy típusa, ahol a csomópontok (neuronok) a szinapszisaikon keresztül cserélnek információt egymással. A keletkezett szabályrendszerek nem követhetők nyomon úgy, mint a döntési fák esetében, mivel a neuronhálózatok matematikai háttere nem teszi ezt lehetővé. Erre azonban nincs is mindig szükség. Egy kétértékű változósorra támaszkodó következtetés esetében például, ha nincs szükség arra, hogy melyik változó milyen értéket vett föl, a neuronhálózatok pontosabban és gyorsabban alkalmazhatók. (Az ötlet a biológiából származik, mivel a neurális hálózatok az idegrendszer szerkezetét utánozzák.)
A gépi tanuló algoritmusoknak olyan osztálya, amely a biológiai evolúciós elméleten alapul. Az ilyen számítások lényege, hogy a problémákat evolúcióra hasonlító módszerek alkalmazásával akarjuk megoldani, azaz a feladatként tételezett problémát legjobban kielégítő szabály lesz a vizsgálat "nyertese". A számos alternatív megoldás kidolgozása és ellenőrzése miatt kifejezetten számításigényes technika.
Nézzünk néhány konkrét példát arra, hogyan is lehet alkalmazni ezeket az eszközöket a gyakorlatban:[18]
- A Bank of America vezetői hozzáférhetnek az egyes vevők személyes adataihoz, amelyek alapján rögtön - amíg az ügyfél még a bank épületében - bővített értékesítésbe kezdhetnek.
- Az MBNA bank kitüntetett figyelemben részesíti nyereségesebb ügyfeleit, illetve a bankszférában megszokott átlag felére csökkentette a vevők lemorzsolódási arányát, aminek hatására nyeresége megtizenhatszorozódott.
- A 1-800-FLOWERS.com (online ajándék- és virágbolt) automatikusan figyelmezteti vásárlóit a számukra fontos dátumok (pl. születésnapok, évfordulók) közeledtére, amely jelentős forgalomerősödést jelentett.
- A Hertz (autókölcsönző vállalat) titkos hírszerzési technológiával gyűjt versenytársairól folyamatosan információt annak érdekében, hogy képes legyen gyorsan reagálni a változó piaci feltételekre.
- A Land's End mindegyik vevőszegmentumnak más és más katalógust küld, és a későbbi termékajánlatok csiszolása végett gondosan nyomon követi a vevők vásárlási reakcióit.
A vállalatirányítási rendszerek tudásfeltáró folyamatai során tehát személyes adatokat tömegesen dolgoznak fel, így ez a terület az adatvédelmi jog számára új és jelentős kihívás. Az adatgyűjtés és adatraktározás, majd ezt követve az adatbányászat számos kockázatot rejt, illetve rejthet, hiszen a műveletek, eljárások, az alkalmazott technikák és technológiák éppen az információs önrendelkezési jog alapjait kezdik ki. A jelentősebb kockázatok többek közt:
- Adatraktározás meghatározatlan időre, és célokra: Ez az adattárház-koncepció alapja, lényegében minden elérhető forrásból, minél több és minél értékesebb (érzékenyebb!) adatok és információk gyűjtése a cél, hiszen sosem tudható milyen piaci, illetve fogyasztói szegmensek válhatnak meghatározóvá a jövőben egy vállalat számára. A raktározás egy további jelentősége, hogy a piaci folyamatokra komoly történeti rálátást ad, és lehetővé teszi a trendek kimutatását, illetve a stratégiai tervezéshez elengedhetetlen előrejelzések elkészítését.
- Adatintegráció: Az igazán értékes üzleti információk alapja, amelyben különböző forrásokból származó, de egy adatalanyi körre vonatkozó információkat egy adatbázisban dolgozzák fel. Ennek segítségével válik lehetővé az ügyfélkör igényeinek, szokásainak, elvárásainak megismerése, ami rengeteg fölösleges kiadástól óvhatja meg a vállalatot. Segítségével jól időzítetté és célzottá válhat a termékek fejlesztése és piaci bevezetése, a marketingkampányok, és minden jelentős piaci lépés. Az adatok integrálásával azt is megtudhatják az elemzők kik a legértékesebb és kik a veszteséges ügyfelek, előbbiekre nagyobb odafigyeléssel jobban tud vigyázni, utóbbiakkal szemben pedig szigorúbban léphet fel, illetve megpróbálhatja leépíteni. A lényeg tehát az, hogy egy személyiségprofil készítésével minél átláthatóbb legyen az egyén, ami feltétlenül nem érdeke, mivel sérti törvény által biztosított "átláthatatlanságát", valamint az egyenlő lehetőségek és szolgáltatás elveit.
- "Korlátlan" vállalati adatkezelési rezsimek kialakítása: Önmagukban természetesen nem az információ-menedzsment rendszerek okozzák a problémát. Olyan eszközökről van szó, amelyeket az adott gazdasági környezetben a vállalatok közgazdasági szempontok miatt (elsősorban a költségek visszaszorítása) nem tudnak "nem használni". A hatékony alkalmazáshoz viszont olyan mennyiségű adattömegre és olyan feldolgozási eljárásrendre van szükség, amelyek nagyon gyakran feszítik szét a törvényi kereteket. Így előfordulhat a célhozkötött, illetve adatalany által engedélyezett mértékű felhasználási lehetőségek figyelmen kívül hagyása. Ezzel párhuzamosan pedig növekszik a személy kiszolgáltatottsága, érdekérvényesítési lehetőségei emellett viszont egyre szűkülnek, követhetetlenné válik, hogy ki, milyen adatokat, meddig kezelhet.
Néhány konkrét cél, illetve alkalmazási terület, amelyet a specializált és nagy teljesítményű informatikai eszközök tesznek lehetővé:
- Ügyfélelvándorlás elemzése és előrejelzése
- Marketingakciók tervezésének támogatása, hatáselemzés
- Kereskedelmi forgalomváltozás elemzése
- Keresleti előrejelzés
- Hűségkártya elemzés (pl. Smart és Multipont kártyák)
- Logisztikai problémák megoldása, optimalizálása
- Keresztértékesítés elemzés
- Ügyfél-életciklus érték számítás
- Ügyfél-szegmentáció, ügyfél-értékképzés
- Megszűnő biztosítási szerződések előrejelzése
- Pénzügyi kockázatelemzés
- Hitelelbírálás automatizálása
- Értékesítési jutalékrendszer optimalizálása
- Termék használati, vásárlási, előfizetési szokáselemzés
- Működő és sikeres termékkapcsolatok, termékkapcsolások felfedése
- Munkavállalók értékelése - humán erőforrás menedzsment támogatása
- Élettartamhozam elemzés[19]
- Egy vásárlóra jutó megengedhető marketingkiadás kiszámítása[20]
Az eddig vázolt problémák és kérdések mögött egyetlen alkotmányos alapjog áll - ez az adatvédelem jogintézménye, melyet az Alkotmány 59. § (1) bekezdése tartalmaz:
"A Magyar Köztársaságban megillet a jó hírnévhez, a magánlakás sérthetetlenségéhez, valamint a személyes adatok védelméhez való jog."
Ezt az alapjogot jobban megvizsgálva megállapíthatjuk, hogy a személyes adatok védelme a klasszikus védelmi jogokhoz tartozik, így tartalma a passzív távolságtartás. Azonban az automatizált adatfeldolgozó és az ezzel kombinált kommunikációs rendszereket használó társadalomban az adatvédelemhez való jog a nem kívánt beavatkozás kirekesztésénél többet kell, hogy jelentsen. Tehát a személyes adatok védelméhez való jog kettős természetű. Része egyrészt a passzív kizárás, mintegy ez alkotja a jog "hátországát", és ha ez már nem ad kellő védelmet, másik alkotója a cselekvés, az egyéni információgazdálkodás is, ami az adatfelvételtől kezdve, a feldolgozáson keresztül, az adat törléséig érvényesül. Ezt a kettős tartalmú jogot bevett terminológiával információs önrendelkezési jognak nevezzük, melyet az Alkotmánybíróság a 15/1991. (IV.13.) AB határozatában fejtett ki részletesen:
Az Alkotmánybíróság - a 20/1990. (X. 4.) AB határozat szerinti eddigi gyakorlatát folytatva - a személyes adatok védelméhez való jogot nem hagyományos védelmi jogként értelmezi, hanem annak aktív oldalát is figyelembe véve, információs önrendelkezési jogként.
Az Alkotmány 59. §-ában biztosított személyes adatok védelméhez való jognak eszerint az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról. Személyes adatot felvenni és felhasználni tehát általában csakis az érintett beleegyezésével szabad; mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatfeldolgozás egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát. Kivételesen törvény elrendelheti személyes adat kötelező kiszolgáltatását, és előírhatja a felhasználás módját is. Az ilyen törvény korlátozza az információs önrendelkezés alapvető jogát, és akkor alkotmányos, ha megfelel az Alkotmány 8. §-ában megkövetelt feltételeknek.
Bármilyen jogszabály, amely - az alkalmazott eljárásra tekintet nélkül - személyes adat felvételéről, gyűjtéséről, tárolásáról, rendezéséről, továbbításáról, nyilvánosságra hozásáról, megváltoztatásáról, a további felhasználás megakadályozásáról, az adatból új információ előállításáról, vagy akármilyen más módon történő felhasználásáról (a továbbiakban: a személyes adat feldolgozásáról) rendelkezik, csak akkor felel meg az Alkotmány 59. §-ának, ha garanciákat tartalmaz arra nézve, hogy az érintett személy az adat útját a feldolgozás során követni, és jogait érvényesíteni tudja. Az erre szolgáló jogintézményeknek tehát biztosítaniuk kell az érintett beleegyezését a feldolgozásba, illetve pontos garanciákat kell tartalmazniuk azokra a kivételes esetekre nézve, amikor az adatfeldolgozás az érintett beleegyezése (esetleg tudta) nélkül történhet. E garanciális jogintézményeknek tehát - az ellenőrizhetőség érdekében is - objektív korlátok közé kell szorítaniuk az adat útját.
Az információs önrendelkezési jog gyakorlásának feltétele és egyben legfontosabb garanciája a célhozkötöttség. Ez azt jelenti, hogy személyes adatot feldolgozni csak pontosan meghatározott és jogszerű célra szabad. Az adatfeldolgozásnak minden szakaszában meg kell felelnie a bejelentett és közhitelűen rögzített célnak. Az adatfeldolgozás célját úgy kell az érintettel közölni, hogy az megítélhesse az adatfeldolgozás hatását jogaira, és megalapozottan dönthessen az adat kiadásáról; továbbá, hogy a céltól eltérő felhasználás esetén élhessen jogaival. Ugyanezért az adatfeldolgozás céljának megváltozásáról is értesíteni kell az érintettet. Az érintett beleegyezése nélkül az új célú feldolgozás csak akkor jogszerű, ha azt meghatározott adatra és feldolgozóra nézve törvény kifejezetten megengedi. A célhozkötöttségből következik, hogy a meghatározott cél nélküli, készletre, előre nem meghatározott jövőbeni felhasználásra való adatgyűjtés és -tárolás alkotmányellenes.
A másik alapvető garancia az adattovábbítás és az adatok nyilvánosságra hozásának korlátozása.
Az adattovábbítás szűkebb értelme az, hogy az adatot az adatfeldolgozó meghatározott harmadik személy számára hozzáférhetővé teszi. Az adat nyilvánosságra hozása azt jelenti, hogy az adatot bármely harmadik személy megismerheti. Aki az adatfeldolgozó számára annak megbízásából -rendszerint hivatás- vagy üzletszerűen - végzi az adatfeldolgozás szorosan vett fizikai vagy számítástechnikai teendőit, nem számít adatfeldolgozónak, s az adatok számára hozzáférhetővé tétele nem adattovábbítás. Az ilyen megbízott felelőssége külön szabályozandó, érintetlenül hagyva az adatfeldolgozó teljes felelősségét mind a saját maga által végzett, mind a mással elvégeztetett adatfeldolgozásért.
Személyes adatot az érintetten és az eredeti adatfeldolgozón kívüli harmadik személy számára hozzáférhetővé tenni - s eszerint adatfeldolgozási rendszereket egymással összekapcsolni - csak akkor szabad, ha minden egyes adat vonatkozásában az adattovábbítást megengedő összes feltétel teljesült. Ez tehát azt is jelenti, hogy az adattovábbítás címzettjének (az adatkérőnek) vagy konkrét törvényi felhatalmazással kell rendelkeznie ahhoz, hogy a továbbított adatokat feldolgozhassa, vagy az érintett beleegyezését kell bírnia. A célhozkötöttség természetesen a továbbítás legfőbb akadálya. A célhozkötöttség követelménye, továbbá a cél megváltoztatásának, valamint az adattovábbításnak fent meghatározott feltételei az államigazgatási szervek közötti, vagy azokon belüli adattovábbításnak is gátat szabnak.
Ha kibontjuk ennek a jognak a tartalmát, lényege, hogy az adatkezelőre kötelezettséget ró, hogy a teljes adatfeldolgozási eljárás során biztosítsa az adat sorsának követhetőségét, az erről való érthető tájékoztatást és a megfelelő technikai adatbiztonságot, azaz megfelelő rendszabályok megalkotásával és betartásával gondoskodjon arról, hogy az adatokhoz jogosulatlan személy ne férhessen hozzá.[21]
További fontos eleme a szabályozásnak, hogy az információs önrendelkezési jog csak túlnyomó közösségi érdekből korlátozható.[22] A célhozkötöttség szintén lényeges pont, mely szerint az adatkezelés csak pontosan meghatározott, törvényes célra irányulhat és korlátozott az adattovábbítás és nyilvánosságra hozatal is. Az esetleg törvényellenes adatkezelések esetén a törvény a bizonyítási terhet is az adatkezelőre terheli, és az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével okozott kárt veszélyes üzemi kárfelelősségnek megfelelően határozza meg - azzal, hogy az adatkezelő megbízásából adatkezelési műveletet végző adatfeldolgozó cselekményéért is az adatkezelő felel.
2004. január 1-től hatályos rendelkezése az Avtv.-nek a 25. § (3) bekezdése, amely felhatalmazza az adatvédelmi biztost a jogellenes adatkezelések során keletkezett adatok törlésének elrendelésére - ezzel komoly eszközt adott a törvényhozás az ombudsmann kezébe, mivel az eddig végzett ellenőrző és jelző funkción túl komoly felügyeleti eszközt is kapott, amelyre az adott környezetben szükség is van.
Az adatvédelmi törvényen túl további jogszabályok is biztosítják a személyiség, illetve a személy adatainak védelmét. Ilyen a Btk. 177/A. §-ban foglalt, visszaélés személyes adattal tényállás:
177/A. § (1) bek. Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével
a) jogosulatlanul vagy a céltól eltérően személyes adatot kezel,
b) az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget,
c) az adatok biztonságát szolgáló intézkedést elmulasztja,
és ezzel más vagy mások érdekeit jelentősen sérti, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.
(2) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott cselekményt hivatalos személyként, közmegbízatás felhasználásával, vagy jogtalan haszonszerzés végett követik el.
(3) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha a személyes adattal visszaélést különleges személyes adatra követik el.
Szintén fontos védelmi szerepe van a Ptk. személyiségvédő szabályainak, a személyek polgári jogi védelméről szóló IV. fejezet, a személyhez fűződő jogokról szóló részének. A 75. §-tól a névviselés, a képmás védelme, az egyenlő bánásmód követelménye, a lelkiismereti szabadság, a személyes szabadság, a testi épség, az egészség, a magán- és üzleti titok, valamint a becsület és az emberi méltóság védelméről rendelkezik a törvény. Ezen jogok megsértése esetén az ismert polgári jogi igényekkel élhet a sértett, úgy mint a jogsértés megtörténtének bírói megállapítása, a jogsértés abbahagyása és az attól való eltiltás, elégtétel adása, a sérelmes helyzet megszüntetése, és kártérítés a polgári jog szabályai szerint.
Adatkezelési művelet az adatok gyűjtése, tárolása, rendezése, válogatása, módosítása, hasznosítása, továbbítása, nyilvánosságra hozatala, s végül törlése. Különleges adatkezelési műveletnek számít az adattovábbítás (pl. távadatfeldolgozásra - telematika) és a nyilvánosságra hozatal, e két utóbbi művelet külön szabályozást is igényel.[23] Az általános adatvédelmi szabályozás szerint személyes adatról beszélünk mindaddig, amíg a kapcsolat egy adat és egy természetes személy közt helyreállítható. Az egyes szektorális szabályozásokban pedig (pl. Eht. ) gyakran találunk az adatok kezelésére konkrét határidőket. Ezeket a korlátozásokat az adatkezelők képesek lehetnek az adatalanyok anonimizálásával, vagy pszeudonimizálásával átlépni, mivel az adott kiértékelésekhez, csoportosításokhoz szükséges matematikai úton képzett új azonosítókkal ugyanolyan eredmények érhetők el, az adatvédelmi előírások megsértése nélkül. Ezért fontos volna az információ-menedzsment rendszerek ilyen szellemben való kialakítása.
Az Avtv. 8. § szerint adattovábbításra és adatkezelések összekapcsolására csak az érintett hozzájárulásával, vagy törvény engedélyével kerülhet sor, ha az adatkezelés feltételei minden adatra fennállnak. Az adatintegráció azonban, mint speciális adattovábbítás, új minőséggel és céllal bír. Általa új adatbázis készül, melynek segítségével személyiségprofil készíthető, ami megteremti a személyiség átláthatóságát, és indokolatlan mértékű kiszolgáltatottságát. Adatvédelmi szempontból minden indok amellett szól, hogy az adatbázisok integrációjára generális tiltást kellene alkalmazni. Ez azonban csak szerény óhaj a jelenlegi információs szituációban, mivel gyakorlatilag minden komolyabb pénzügyi, távközlési, közüzemi szolgáltató pontosan tisztában van ügyfeleinek fogyasztói, vásárlói szokásaival, fizetési fegyelmével, hitelképességével, és ezek figyelembevételével működik.
Az automatizált egyedi döntés fogalmát is a 2003. XLVIII. törvény vezette be, idén január 1-től az Avtv. jogintézményei közé, a jogszabály európajogi harmonizációja során. Erre a 95/46/EK irányelv (a természetes személyek védelméről a személyes adatok feldolgozásánál és a szabad adatforgalomról) teremtett kötelezettséget, de már az Európa Tanács 108/81. számú, "az egyének védelméről a személyes adatok automatizált feldolgozása során" című egyezményében megjelent ez az intézmény.[24] Az automatizált döntés olyan automatizált adatfeldolgozás, ahol az érintett jellemzőinek elemzését kizárólag számítástechnikai eszközzel hajtják végre, és az Avtv. új 9/A. § szerint erre csak akkor kerülhet sor, ha ahhoz az egyén kifejezetten hozzájárult, vagy azt törvény lehetővé teszi. Az érintettnek álláspontja kifejtésére lehetőséget kell biztosítani és az érintettet - kérelmére - tájékoztatni kell az alkalmazott matematikai módszerről és annak lényegéről.
Ha próbáljuk jobban megközelíteni a fogalom tartalmát, a törvény miniszteri indokolása ebben sajnos nem sokat segít. Habár a definíció egyszerű tautológia, néhány gyakorlati alkalmazás felsorolásával kicsit közelebb visz a fogalomhoz: "Ezt a módszert egyre elterjedtebben alkalmazzák például a munkavállalók felvételénél vagy teljesítményének értékelésénél, hitelkérelmek elbírálásánál, biztosítási kockázat megállapításánál."
A módosítás alapjául az irányelv 15. cikke szolgált:
Automatizált egyedi döntés
(1) A tagállamok minden személynek biztosítják a jogot arra, hogy ne terjedhessen ki rájuk olyan döntés hatálya, amely rájuk nézve jogkövetkezményekkel járna, vagy őket jelentős mértékben érintené, és amely kizárólag automatizált adatfeldolgozáson alapul, és amelynek célja a rá vonatkozó egyes olyan személyes szempontok kiértékelése, mint például a munkahelyi teljesítmény, a hitelképesség, a megbízhatóság, a magatartás, stb.
(2) Ezen irányelv többi rendelkezésére is figyelemmel, a tagállamok úgy is rendelkezhetnek, hogy az első bekezdésben említett döntés hatálya kiterjedhet a személyre, amennyiben a döntést:
a) valamely szerződés megkötése vagy teljesítése során hozták, feltéve, hogy az érintettnek a szerződés megkötése vagy teljesítése iránti kérelmét teljesítették, vagy jogos érdekének biztosítására megfelelő biztosítékok állnak rendelkezésre, mint például az álláspontjának kifejtését lehetővé tevő intézkedések; vagy
b) olyan törvény teszi lehetővé, amely az érintett jogos érdekeit biztosító intézkedéseket is megállapítja.
A gyakorlatban az automatizált egyedi döntés nem az ügyfél adataiból képzett információk alapján az ügyféllel szemben hozott intézkedések, kommunikáció módját jelenti, hanem közvetlenül az ügyfél besorolását az egyes szegmentált csoportokba. Mivel a fogalom új jelenség a magyar adatvédelemben, így a korábbi ügyél-hozzájárulások nem vonatkozhatnak rá, így alkalmazásához szükséges lenne az ügyfelek kifejezett és tájékozott hozzájárulása.
Az adatraktározás kapcsán az adatkezelésnél már említettek szintén érvényesek. Minden egyes szektorális adatkezelésnél külön vizsgálandó, hogy megállapított-e a törvényhozó valamilyen határidőt az adatok megőrizhetőségére. Az adatbiztonság lényege az Avtv. 10. § szerint az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. További kötelezettségként írja elő a törvény, hogy az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.
Az érintett jogait a 11. §-tól találjuk meg a törvényben. Az adatalany betekinthet a róla vezetett nyilvántartásokba, azokból másolatot, kivonatot kérhet. Megtilthatja, hogy a hivatalok a róla felvett adatokat más személy vagy szerv részére kiadják (lásd törvényileg szabályozott adatforrások). Követelheti a valóságnak megfelelő adatok bejegyzését (helyesbítés), ha pedig egyes adatokat már törölni kellett volna, követelheti a törlés végrehajtását, továbbá töröltetheti azokat az adatokat is, melyeket törvény, vagy a saját engedélye nélkül kezelnek róla.[25]
Az érintett tiltakozhat személyes adatának kezelése ellen, ha a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el, illetve ha a személyes adat felhasználása vagy továbbítása közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás céljára történik. Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el, és azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani (megfordul a bizonyítási teher!).
A modern adatfeldolgozás eszközeinek ismertetése után azzal is tisztában kell lennünk, milyen forrásokból juthatnak adatokhoz a piaci szereplők. Az eddig kifejtettekből kitűnik, hogy a vevőinformációkat a versenyelőny megtartása szempontjából egyre több vállalkozás stratégiai tartaléknak tekinti,[26]és a vállalat fennmaradása, fejlődése szempontjából is vitális jelentőséget tulajdonítanak az ilyen jellegű információknak. Tehát minden személyes adatnak értéke van. Ez az adatalanyok számára inkább eszmei, az adatkezelők részére azonban pénzben pontosan kifejezhető, és jelentősebb mennyiségben már komoly vagyoni értékkel bír. Egy mobiltelefonszám, e-mail-cím, születési dátum vagy lakcím már nem csak a közvetlen üzletszerzési listákat használók számára olyan "dolog", amiért fizetnek, ha lehetőség adódik megszerzésükre.
Magyarországon a központi lakcímnyilvántartás szervei által teljesített adatszolgáltatásokért a belügyminiszter által rendeletben, 25/2000. (IX. 1.) BM rendelet[27] meghatározott igazgatási szolgáltatási díjat kell fizetni. Az adatoknak azonban piaci értékük is van, amelyek a szereplők egymás közt érvényesítenek. Hogy mennyit is ér egy adat, azt az Amerikai Egyesült Államokban piaci viszonyok felmérése alapján igyekeznek privacy-védők az adatalanyok tudomására hozni. Létrehoztak egy interneten elérhető olyan számológépet,[28] amelynek segítségével például egy nyereményjátékra jogosító adatlap kitöltése előtt kiszámolhatjuk, mennyit is nyer az adatkezelő a személyes adatainkon. Egy lakcím, születési idő, telefonszám, társadalombiztosítási szám és a jogosítvány száma Amerikában együttesen 13,75 USD-t ér, ezen adatok megszerzésével ennyit kereshet egy cég.
Az adattárházhoz szükséges forrásként szolgáló lehetséges adatforrások elsősorban az adott vállalat forrásrendszerei, back office és front office alkalmazások adatbázisai. Azonban létezik számos külső forrás is, különböző már szerkesztett, tisztított és célorientált cím- és profiladatbázisok, melyek felgyorsíthatják a szükséges információk megszerzését a releváns piacokon. Nézzük részletesen milyen adatforrásokkal számolhat egy vállalkozás[29]:
A fogyasztóval közvetlen kapcsolatban lévő cégeknél:
- on-line kapcsolatban a vevőszolgálati részleggel (érdeklődés, prospektuskérés, stb.)
- direktmarketing kampányokra válaszok
- könyvelési adatok
- számlázási rendszerek
- értékesítési tranzakciók adatai/megrendelések
A fogyasztóval közvetlen kapcsolatban nem lévő cégeknél:
- a termékek regisztrációs nyomtatványai, garancialevelek
- hitelkártyaadatok
- előfizetői adatok
- kérdőív válaszok
- termékinformációs kérések
- esemény, promóciók, amelyeknél a cég választ vár
- a kialakult közvetlen csatornák
Speciális adatforrás és szívesen élnek is a lehetőséggel a vállalkozások, amikor már kész, konszolidált adatbázisokat vásárolnak, amelyek már leválogatott és megtisztított adatokat tartalmaznak. Ez olyannyira jelentős piac, hogy nemzetközi szabványa is van, ami megkönnyíti ezt a folyamatot. Ez a CPEX, a Customer Profile Exchange. Létrejöttének az a felismerés volt az oka, hogy üzleti szempontból jelentős adatokat nem csak saját érdekből lehet feldolgozni, hanem harmadik félnek is lehet továbbítani[30] - persze nem feltétlenül legálisan. Ez a globális adatáramlás pedig oda vezethet, hogy teljesen átláthatatlanná válik az egyes adatalanyok számára, hogy hol, ki, milyen adatát, és meddig kezeli.
Hasonló jellegű adatbázisok hazánkban is léteznek, bár részletekbe menően csak vállalkozások adatairól lehet standard adatbázisokat vásárolni (legalábbis hivatalosan). A HOPPENSTEDT BONNIER és Társa Információs Kft. által kiadott, CD-n megjelenő cégadatbázisok például ilyenek[31]. Természetes személyek személyes adatait, illetve azok közül a név- és lakcímadatokat pedig a BM-től lehet megvásárolni (lásd lejjebb). Azért ne legyen sok illúziónk azzal kapcsolatban, hogy ezeket az adatokat nem értékesítik időnként tovább.
Magyarországon az 1992. évi LXVI. törvény, a polgárok személyi adatainak és lakcímének nyilvántartásáról, (11.§, 19.§), és a 1999. évi LXXXIV. törvény, a közúti közlekedési nyilvántartásról azok a jogszabályok, amelyek lehetővé teszik, hogy központilag vezetett nyilvántartásokból üzleti céllal bárki adatokat vásárolhasson.
A lakcímnyilvántartásról szóló törvény szerint:
1992. évi LXVI. törvény 17. § (1) bek. A nyilvántartás szervei az e törvényben meghatározott feltételekkel és korlátok között - a polgár, illetve jogi személy és jogi személyiséggel nem rendelkező szervezet kérelmére, a felhasználás céljának és jogalapjának igazolása esetén - adatot szolgáltatnak.
1992. évi LXVI. törvény (2) bek. A nyilvántartásból adatok az alábbi csoportosítás szerint szolgáltathatók:
a) név és lakcím adatok (felvilágosítás a lakcímről);
1992. évi LXVI. törvény 19. § (1) bek. A 17. § (2) bekezdésének a) pontja szerinti adatok szolgáltatását bármely polgár, illetve jogi személy és jogi személyiséggel nem rendelkező szervezet a felhasználás céljának és jogalapjának igazolása mellett jogosult kérni:
a) jogának vagy jogos érdekének érvényesítése érdekében,
b) tudományos kutatás céljából,
c) közvélemény-kutatás és piackutatás megkezdéséhez szükséges minta, valamint
d) közvetlen üzletszerzés (direkt marketing) célját szolgáló lista összeállításához.
Azonban a hozzáférhető adatok köre korlátozott:
1992. évi LXVI. törvény 19. § (2) bek. Az (1) bekezdés b) pont -d) pontja alapján adatigénylésre jogosultak az adatokat az alábbi kiválasztási szempontok szerint igényelhetik:
b) közvélemény-kutatás és piackutatás céljából a 11. § (1) bekezdésének c) pont - d) pont, h) pont és k) pontja szerint,
c) közvetlen üzletszerzés céljából a 1992. évi LXVI. törvény 11. § (1) bekezdésének c) pont -d) pont, h) pont és k) pontja szerint.
1992. évi LXVI. törvény 11. § (1) bek. A nyilvántartás tartalmazza a polgár
a) nevét;
c) nemét;
d) születési helyét és idejét;
h) lakcímét;
k) családi állapotát, a házasságkötés helyét;
A közúti nyilvántartás is hasonló szabályokat fogalmaz meg, bár a kiszolgáltatható adatok körét más logikával, és némileg homályosabban határozták meg:
1992. évi LXVI. törvény 21. § A nyilvántartásból adatot igényelhet a polgár, jogi személy vagy jogi személyiséggel nem rendelkező szervezet (a továbbiakban kérelmező):
a) jogának vagy jogos érdekének érvényesítése érdekében a 1992. évi LXVI. törvény 8. § c) pont és e) pont, h) pont és a 9. § (1) bekezdés c) pontjában megjelölt adatok kivételével;
b) tudományos kutatás céljából személyazonosító és járműazonosító adatok kivételével;
c) közvélemény-kutatás és piackutatás céljára a jármű műszaki adataiból időbeli és területi bontásban;
d) közvetlen üzletszerzés céljára a jármű műszaki adataiból időbeli és területi bontásban.
Mindkét törvény lehetőséget biztosít az adatalanyok számára, hogy adataik ilyen célú árusítását letiltsák, illetve mindkét törvény előírja, hogy az adatigénylőnek bizonyítania is kell, hogy az adott tevékenységet végzi. A letiltás látszólag ex nunc, azonban adatfrissítés esetén, ha egy személy adatai időközben védetté váltak, az adatkezelő köteles a róla vezetett adatokat törölni.
Hazánkban nagyjából egy évtizede, míg más országokban - ahol a távközlési piacot már korábban liberalizáltak és/vagy már azt megelőzően is létezett bizonyos mértékű piaci verseny - már sokkal régebb óta fordult a szolgáltatók figyelme a fogyasztók személyisége, szokásai felé. Ennek a már sokszor említett fogyasztói szokások elemzésén, csoportokba szervezésén túl (pl. céges és magánfelhasználók) a távközlési szektorban kapacitásszervezési indokai is voltak, mivel a szolgáltatás műszaki jellegéből adódóan az igények szezonális, de napi ingadozásaival is tisztában kell lennie egy cégnek, ha előfizetői számára zökkenőmentesen szeretné biztosítani a szolgáltatások elérhetőségét (gondolok itt pl. a napok zónabeosztására, a csúcsidő-intervallumokra, vagy a szilveszteri rendszerzavarokra). Azonban most csak a fogyasztók megismerését célzó tevékenységet vizsgálva az új hírközlési törvényben meghatározott kezelhető adatok körét, és az adatvédelmi biztos gyakorlatát tekintjük át, a dolgozat témája szempontjából.
A szolgáltató által kezelhető személyes adatok köre az elektronikus hírközlésről
szóló 2003. évi C. törvény szerint:
- az előfizető azonosításához szükséges és elégséges személyes adat - 2003. évi C. törvény 154. § (1) bek.
- személyes adat, mely a díj meghatározásához és a számlázáshoz szükséges és elégséges (különösen a szolgáltatások igénybevételének időpontja, időtartama, helye) - 2003. évi C. törvény 154. § (2) bek.
- a szolgáltatás nyújtásához szükséges egyéb adatok, melyekre műszaki szempontok miatt van szükség - 2003. évi C. törvény 154. § (3) bek.
- üzletszerzési célú adatbázis a - 2003. évi C. törvény 157. § (4) bek. alapján, a (2) bek. szerinti tartalommal, de csak az előfizető kifejezett előzetes hozzájárulásával
A 2003. évi C. törvény 157. § (2) bek. szerint a szolgáltató által külön engedély nélkül kezelhető személyes adatok:
a, a 2003. évi C. törvény 129. § (7) bek. b) pont -d) pontjában foglaltak
b, az előfizetői állomás száma vagy egyéb azonosítója
c, az előfizető címe és állomás típusa
d, az elszámolási időszakban elszámolható összes egység száma
e, a hívó és hívott előfizetői számok
f, a hívás vagy egyéb szolgáltatás típusa, iránya, kezdő időpontja és a lefolytatott beszélgetés időtartama, illetőleg a továbbított adat terjedelme, mobil rádiótelefon szolgáltatásnál a szolgáltatást nyújtó hálózat és cella, valamint a szolgáltatás igénybevételekor használt készülék egyedi azonosítója (IMEI), IP hálózatok esetén az alkalmazott azonosítók
g, a hívás vagy egyéb szolgáltatás dátuma
h, a díjfizetéssel és a díjtartozással összefüggő adatok
i, tartozás hátrahagyása esetén az előfizetői szerződés felmondásának eseményei
j, távbeszélő szolgáltatás esetén az előfizetők és a felhasználók részéről igénybe vehető egyéb, nem elektronikus hírközlési szolgáltatásra, különösen annak számlázására vonatkozó adatok
Az adatok kezelhetőségének ideje, ha más törvény eltérő határidőt nem ír elő:
1. az a, szerintiek a szerződés megszűnéséig
2. az f, szerinti, a rendszerben keletkezett CDR-fájlok (forgalmi adatokat rögzítő állományok) az ezek alapján kiállított számlára vonatkozó 2003. évi C. törvény 143. § (2) bek. szerinti elévülést követő 1 évig, utána 30 napon belül törlendő
3. a b-j, szerintiek az előfizetői szerződésből eredő igények elévüléséig (143. § (2) bek.)
A 2003. évi C. törvény 162. §-ban a törvény kifejezetten a direktmarketinggel kapcsolatos intézkedéseket tartalmaz: az automatizált hívórendszer alkalmazása előzetes hozzájáruláshoz kötött (opt-in!). Telefonon, egyéb módon üzletszerzés vagy tájékoztatás nem továbbítható annak, aki úgy nyilatkozott (opt-out), hogy nem kér ilyet (pl. SMS).
A szolgáltató az előfizetőkről évente nyomtatott vagy elektronikus formában előfizetői névjegyzéket köteles készíteni - az egyetemes szolgáltatás keretében készített névjegyzék térítésmentes. A szolgáltató, vagy más információs szolgáltató létrehozhat címtárakat, amelyben az előfizetőkre vonatkozó adatok meghatározott csoportosításban szerepelnek, azonban az előfizető hozzájárulása nélkül (opt-in!) csak annyi adatot tartalmazhat, amennyi az azonosításához feltétlenül szükséges. Az előfizetőnek - további költség nélkül! - joga van kérni, hogy kimaradjon a névjegyzékből, vagy lakcímét csak részben tüntessék fel, vagy hogy feltüntessék a névjegyzékben, hogy az adatai közvetlen hírszerzésre nem használhatók fel.
A névjegyzékben és a címtárban szereplő adatokat a szolgáltatók tájékoztatás nyújtására használhatják fel. A névjegyzék és címtár adatain felül csak az előfizető hozzájárulásával lehet adatot szolgáltatni. Az elektronikus adatbázisokat technikai megoldásokkal kell biztosítani, pl. tömeges lekérdezés ellen.
Adatbányászati szempontból a törvény egyik legfontosabb rendelkezése a 2003. évi C. törvény 161. § (3) bekezdésében található: tilos az elektronikus előfizetői névjegyzékben és címtárakban levő adatok összekapcsolása más adattal vagy nyilvántartással, kivéve, ha a szolgáltató részére működtetési okokból szükséges.
Fontosak az Eht által a személyes adatkezelés körében meghatározott szolgáltatói kötelezettségek is:
1. Nem teheti függővé a szolgáltatás nyújtását a 2003. évi C. törvény 154. § (1) bek. - (3) bek. körén kívül eső személyes adatok közlésétől. - 154. § (6) bek.
2. Ha a szolgáltató a 2003. évi C. törvény 154. § (1) bek. - (3) bek.körén kívül eső személyes adathoz jut, azt köteles haladéktalanul törölni. - 154. § (5) bek.
3. Biztosítania kell, hogy a felhasználó megismerhesse a róla folytatott adatkezelést. - 2003. évi C. törvény 154. § (7) bek.
4. Biztosítania kell - szükség szerint más szolgáltatókkal közösen - a közlések bizalmasságát. - 2003. évi C. törvény 155. §
5. A szolgáltatás teljesítése után törölni kell azokat a személyes adatokat, amelyeket a hívások céljából feldolgoztak, kivétel a 2003. évi C. törvény 157. § (2) bek. és (7) bek. szerintieket
6. Tájékoztatási kötelezettség a szerződéskötéskor, valószínűleg ez a legkevésbé figyelembevett szabálya a törvénynek. - 2003. évi C. törvény 159. § (1) bek.
a. a 2003. évi C. törvény 157. § (2) bek. szerinti adatok kezeléséről,
b. arról, hogy a kezelt adatok mely esetekben és mely szolgáltatóknak adhatók át (pl. a közös adatállomány adatait),
c. ezen adatok alapján a szolgáltatók milyen döntéseket hozhatnak,
d. milyen jogorvoslati lehetősége van az ajánlattevőnek,
e. a közös adatállomány kezelőjéről és adatfeldolgozójáról, az adatkezelés és adatfeldolgozás helyéről (címéről).
Az előfizetőt haladéktalanul tájékoztatni kell az (1) bek. b) pont -e) pontja szerinti körülményekben bekövetkezett változásokról. - 2003. évi C. törvény 159. § (2) bek.
Mivel az egyes szolgáltatók által használt ügyviteli rendszerek értelemszerűen a cégek üzleti titkai körébe tartoznak - főként, ha az adott szoftvereszközök alkalmazásának jogi háttere legalábbis kérdéses -, kénytelenek vagyunk a "barlang falán táncoló árnyékokból" tájékozódni. Esetünkben ez az országgyűlés adatvédelmi biztosának éves jelentése lesz, melyet a 2000. évtől vizsgálva megtalálhatjuk a jeleit annak, hogy már Magyarországon is alkalmazzák a különböző ügyfélértékelő rendszereket.
A 2000-es jelentés bevezetőjében az adatvédelmi biztos leszögezte: "Tapasztalataink szerint a szolgáltatók nehezen tudják összeegyeztetni az adatvédelem követelményeit üzleti érdekeikkel. A szerződéskötéseknél használatos - túlzott mértékű adatéhségről tanúskodó - formanyomtatványok, szerződésminták általában nem biztosítják a tényleges döntés lehetőségét a személyes adatokkal való rendelkezés terén. Ugyanakkor a szolgáltatók az ügyfél hozzájárulásától teszik függővé a szerződés megkötését." A különféle személyazonosító okmányok elkérését, lefénymásolását, közüzemi számlák bekérését a szolgáltatók üzleti kockázataik csökkentés céljából teszik, mindemellett számos olyan adat birtokába jutva, amelyek kezelésére 2000-ben sem voltak jogosultak. A Vodafone Rt.-vel folytatott párbeszéd során a szolgáltató elismerte, hogy előfizetéses ügyfelei esetében "a hitelképesség ellenőrzése során az ügyfél által szolgáltatott adatokat egy - Amerikában és Nyugat-Európában alkalmazott, tapasztalati adatokat figyelembe vevő - számítógépes programmal elemzi."
A 2002-es beszámoló bevezetőjében már pozitív változásokról tájékoztat az ombudsmann, amelyeket a 2001-es hírközlési törvénynek is tulajdonít, amely meghatározta a szolgáltatók által kezelhető adatok körét, bár még mindig problémásnak nevezi a szerződéskötési gyakorlatot, a különböző dokumentumok fénymásolása miatt. Szintén ebben a beszámolóban szerepel egy olyan ügy, amely jelzi, hogy működő CRM rendszerekről is beszélhetünk már: "a Matáv Rt. nyilvántartásának adattartalmát kifogásolta az a panaszos, aki arról kért tájékoztatást, hogy jogában áll-e a szolgáltatónak a számítógépes rendszerében az ügyfélről szubjektív véleményt tükröző információkat kezelni és azt bármely ügyintéző számára hozzáférhetővé tenni. A panaszosról a következő megjegyzés szerepelt az adatkezelő nyilvántartásában: "Az ügyfél minősíthetetlen hangon beszél!" (327/A/2002)" Emellett folyamatos problémaként jelentkezett, hogy a szolgáltatók nem adják meg az elégséges tájékoztatást a felhasználóknak, illetve a róluk kezelt adatokról sem adnak mindig felvilágosítást.
2003-ban már a szolgáltatók által széleskörűen alkalmazott telefonos ügyfélszolgálatok is vizsgálat tárgyai lettek. Egy felhasználó az UPC Magyarország Kft. telefonos ügyfélszolgálatának adatkezelési gyakorlatát azért kifogásolta, mert a különböző menüválasztást követően az ügyfélszám megadásán és visszaigazolásán túl, az ügyintéző a számlareklamációjával kapcsolatos adatokról csak akkor adott volna információt, ha az érintett bediktálja az anyja nevét, születési dátumát, lakcímét, és a telefonszámát. A biztos álláspontja szerint az adatok egyeztetését megelőzően tájékoztatni kellett volna a panaszost az adategyeztetés céljáról, indokáról és jogalapjáról, valamint a reklamáció telefonos érdemi intézése nem tagadható meg a szolgáltató értelmezése szerinti teljes körű adatszolgáltatás hiányában, a szükségszerűen kezelendő adatok körét meghaladó többletadatok szolgáltatására az ügyfél nem kötelezhető. (483/A/2003)
Szintén a 2003-as beszámolóban szerepelt két olyan ügy is, amelyben a szolgáltató a blankettaszerződést, a benne szereplő hozzájáruló nyilatkozatokat (így az adatkezelésről, dm-felhasználásról szólókat is) a szolgáltató számára kedvező módon, előzetesen kitöltve próbálta aláíratni az előfizetővel. (968/A/2003, 973/A/2003)
A hitelintézetek esetében a hitelképesség bírálata, a befektetések kockázatkezelése, az ügyfelek körülményeinek pontos ismerete még inkább vitális érdek, mint az előzőekben tárgyalt távközlési szolgáltatók esetében, ezért az adatvédelmi alapelvként ismert célhozkötöttség is többet enged az adatkezelőknek. Ennek megfelelően az ágazati szabályozást tartalmazó a hitelintézetekről és a pénzügyi vállalkozásokról szóló, 1996. évi CXII. törvény nem is tér ki olyan részletesen a személyes adatok védelmére, ahogy ezt a jóval frissebb Eht. teszi, a vonatkozó szabályokat a banktitok intézményén belül tárgyalja a jogszabály. Az alkalmazott információs rendszerekről való tájékozódást megkönnyíti, hogy a Bankközi Adós- és Hitelinformációs Rendszer, mely a rossz adósok adatait tartalmazza meglehetősen nagy nyilvánosságot kapott. Ez a nyilvántartás ún. negatív lista, és így az adatvédelmi szempontból kevésbé veszélyesnek ítélt forma, mivel a pozitív forma minden ügyfél ügyleti információit tartalmazta volna. Ennek megvalósítására 2002-ben bár tett kísérletet a bankszakma, ez nem járt sikerrel.
Az adatalanyokról kezelhető információk körét a Hpt. banktitokról szóló részében találjuk:
Hpt. 50. § (1) bek. Banktitok minden olyan, az egyes ügyfelekről a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerződéseire vonatkozik.
(2) E törvény banktitokra vonatkozó rendelkezései szempontjából a pénzügyi intézmény ügyfelének kell tekinteni mindenkit, aki (amely) a pénzügyi intézménytől pénzügyi szolgáltatást vesz igénybe.
Hpt. 51. § (1) bek. Banktitok csak akkor adható ki harmadik személynek, ha
a) a pénzügyi intézmény ügyfele, annak törvényes képviselője a rá vonatkozó kiszolgáltatható banktitokkört pontosan megjelölve közokiratba vagy teljes bizonyító erejű magánokiratba foglaltan kéri, vagy erre felhatalmazást ad,
b) e törvény a banktitok megtartásának kötelezettsége alól felmentést ad,
c) a pénzügyi intézmény érdeke ezt az ügyféllel szemben fennálló követelése eladásához vagy lejárt követelése érvényesítéséhez szükségessé teszi.
Az adatok továbbításáról az alábbi - témánk szempontjából - lényeges szabályokat érdemes kiemelni:
Hpt. 54. § (1) bek. Nem jelenti a banktitok sérelmét
a) az olyan összesített adatok szolgáltatása, amelyből az egyes ügyfelek személye vagy üzleti adata nem állapítható meg,
j) a hitelintézet által kiszervezett tevékenység végzéséhez szükséges adatátadás a kiszervezett tevékenységet végző részére.
Az a, pont szerint tehát az anonimizált adatok szabadon kezelhetők (ehhez hasonló a biztosítási törvény szabályozása is), a j, pont pedig a különböző adatbányászati vizsgálatok kiszervezését teszi lehetővé, ami némileg ellentmond az általános adatvédelmi szabályoknak, mivel nem köti az adatalany hozzájárulásához. Az Eht.-hez a Hpt. nem tartalmaz rendelkezést az adatok kezelésének végső határidejére, nem szab meg kötelező törlési időpontot.
A Hpt. 54. § (2) bekezdésében szabályozott, az egész pénzügyi szektorra vonatkozó központi hitelinformációs rendszer több szempontból is kiemelt jelentőségű. Egyrészt számos szolgáltató által kezelt ügyféladat kerül bele (több adatkezelő), másrészt az érintettekre nézve az adatbázis tartalma meglehetősen terhelő, mivel aki a nem fizető adósok listájára kerül szigorúbb feltételekkel, vagy egyáltalán nem vehet igénybe bizonyos banki szolgáltatásokat.
Fontos hogy a Hpt.-ből az adatok törlése hiányzik, addig az Eht.-ben és a biztosítási törvényben ez szerepel, és szintén csak a Bit. tartalmaz rendelkezéseket a létre nem jött szerződések adatainak kezeléséről. A hitelintézetek jelenlegi gyakorlatukban szintén megőrzik az elutasított hitelkérelmek adatait - annak ellenére, hogy az adatvédelmi biztos éves beszámolójában rendszeresen elmarasztalja őket emiatt, látszik tehát, hogy itt is szükséges lenne a jogszabályi háttér átgondolására.
Többéves általános gyakorlat, hogy a hitelintézetek a visszaélések megakadályozása érdekében a személyazonosító igazolványon túl ügyfeleiktől elkérik tb-kártyájukat, valamint az adóazonosító jelről kiállított hatósági igazolványukat, melyekről ezután az ügyfél beleegyezése nélkül fénymásolatot is készítenek. Az adatgyűjtés során az ügyfeleket rendszerint nem látják el megfelelő tájékoztatással, sok esetben az adatkérésre csak fakultatív alapon kerülhetne sor.
A 2000-ben az ABN-Amro Bank Rt. ügyfél-adatlapján a bank az ügyfél és meghatalmazottja alábbi személyes adatait is megkérdezte: foglalkozás, munkahely, családi állapot, gyermekek száma. A biztos megkeresésére a bank vezetése azt a tájékoztatást adta, hogy a foglalkozásra, munkahelyre, családi állapotra vonatkozó adatok kezelése az ügyfél önkéntes hozzájárulásán alapszik. A biztos álláspontja szerint - tekintve, hogy ezen adatok megadása nem feltétele a számlanyitásnak - erre a tényre feltétlenül fel kell hívniuk az adatlapon, illetve a kitöltési útmutatóban az ügyfelek figyelmét.
Az ING Bank lakossági üzletágát 2000-ben megvásárolta a Citibank, és egy személyt, aki az ING-nél egy éve megszüntetette számláját, a Citibank leendő ügyfelei között üdvözölte. A biztos álláspontja szerint az ügyfeleknek lehetőséget kellett volna biztosítani, hogy a szolgáltató változásakor számlájukat megszüntessék, illetve hogy a Citibank ügyfeleivé csak akkor váljanak, ha ehhez külön szerződéssel hozzájárulnak. A biztos megállapította, hogy az ING Bank mint eladó nem jogosult volt ügyfelei adatainak a továbbítására, még kevésbé a már megszüntetett számlákról bármilyen adat vagy információ harmadik személy részére történő továbbítására. Ez az eset is jól jelezte, hogy komoly értéket képviselnek az ügyféladatok. (501/A/2000, 250/K/2000)
Szintén a Citibank Rt. működésével kapcsolatos az, az ajánlás, amelyet a bank adatkezelésével összefüggően adott az ombudsmann. Ebben felhívta a hitelintézetek figyelmét arra, hogy banktitoknak minősülő adatok piackutató szervnek történő továbbításához az ügyfelek közokiratba vagy teljes bizonyító erejű magánokiratba foglalt hozzájárulása szükséges. 2000-ben azonban előfordult olyan eset, melyben a bank az általa megbízott piackutató szervnek úgy adott át személyes adatokat, hogy erre nem volt törvényes jogalapja, vagy nem tette meg a szükséges lépéseket és az ügyfelek hallgatását is belegyező nyilatkozatként értékelte, amint ezt a Raiffeisen Bank Rt. Tette, amikor megbízást adott a Magyar Gallup Intézetnek az ügyfelek elégedettségének vizsgálatára. (755/A/2000)
Az is visszatérő probléma, hogy a hitelintézetek törvényi felhatalmazás hiányában is nyilvántartják - termékfejlesztéshez szükséges statisztikák készítése céljából - elutasított ügyfeleik személyes adatait, pedig ezek őrzése és használata - a PSZÁF elnöke szerint is - az adatvédelmi törvény célhozkötöttségi szabályába ütközik. (129/A/2002)
1994. július 1-jétől kezdte meg működését a BAR, kezdetben kizárólag a vállalkozások adatait tartalmazhatta. 1998-tól a Hpt. 1997. évi módosítása után a rendszer kiegészült a magánszemély adósok adataival, korábban a törvény tiltotta a természetes személyek adatainak nyilvántartását. A BAR tagjai csak bankok, szakosított hitelintézetek, takarékszövetkezetek, hitelszövetkezetek és befektetési társaságok lehetnek. A nyilvántartásába minden természetes és jogi személy, valamint jogi személyiséggel nem rendelkező társaság bekerülhet, ha hitelviszony alanyává válik hitelkérőként, illetve a hitel felvevőjeként.
A rendszer technikai értelemben teljesen zárt és valamennyi hozzá kapcsolódó részére egyforma feltételekkel működik. Legfontosabb eleme a Bankközi Informatikai Szolgáltató Rt. székhelyén elhelyezett központi rendszer, amelyhez az adatgazdáknál, mint adatbevivőknél, illetve a felhasználóknál elhelyezett interface teremti meg az összeköttetés lehetőségét. Az interface-t a BISZ Rt. telepíti, és a használatát is betanítja. A központi egységhez megfelelő jelszó segítségével lehet kapcsolódni, de csak meghatározott kommunikációs csatornán, internetcsatlakozás nincs. A bevitt adatokat a rendszerben tárolják, és a meghatározott szabályok szerint kiszolgáltatják a felhasználóknak. Az adatokat a rendszerben nem alakítják át, kizárólag csak a lekérdezés céljaira használják fel.
A BAR-rendszer két nagy részre tagolódik, a vállalkozói nyilvántartásra és a lakossági nyilvántartásra. A BAR mindkét alrendszere ügyfélorientált szervezésű adatbank. Működtetésének fő célja, hogy lehetővé tegye a felhasználók számára a felhasználók ügyfeleire vonatkozó lekérdezést. Ehhez a BAR tartalmazza a felhasználók ügyfelekkel kötött, a Hpt. rendelkezéseinek megfelelő hitel- és hiteljellegű szerződésének adatait. A törvény rendelkezései alapján alapvető eltérés van a két alrendszer között abban a vonatkozásban, hogy a szerződések mely köréből tart nyilván adatokat. Ebből a szempontból vizsgálva a vállalkozói alrendszer teljes körű, tehát az összes hitel- és hiteljellegű szerződés adatai bekerülnek a rendszerbe. A lakossági alrendszer viszont negatív listás, vagyis nem tartalmazza az összes ilyen típusba tartozó szerződést, hanem csak azokat, amelyek teljesítése során mulaszt az ügyfél. Az ügyfélre vonatkozó lekérdezés eredményeként a lekérdező felhasználó megkapja az ügyfél összes, a felhasználói kör bármely tagjával kötött, a lekérdezéskor a BAR-ban nyilvántartott adatát, az adatgazdát azonosító adattételek nélkül.
Az alrendszerek adattartalma:
Vállalkozói alrendszer:
- hitel- és kölcsönügyletek,
- bankgarancia és bankkezesség vállalása,
- leszámítolt váltó,
- követelés megvásárlása (faktoring, forfait),
- pénzügyi lízing,
- fedezettel nem biztosított akkreditív általános keretszerződés, amelynek alapján az ügyfél külön megállapodás nélkül hitelt vehet fel, a szerződést bankgaranciaként, bankkezesség vállalásaként, akkreditívként vagy valamely egyéb hitel jellegű szolgáltatás igénybevételére felhasználhatja.
(A BAR a jellegük alapján nem tesz különbséget a hitelek között, a rendszer szempontjából közömbös tehát, hogy az adott hitel munkabér-, áthidaló, folyószámla-, rulírozó stb.)
Lakossági alrendszer:
A BAR a lakossági alrendszerben nyilvántart minden olyan szerződést, minden olyan ügyletet (értelemszerűen hitel- vagy hitel jellegű szerződést), amelynek során a természetes személy a szerződésben vállalt kötelezettségeinek kilencven napot meghaladóan, összegszerűségében pedig a minimálbért (jelenleg 53 ezer Ft) meghaladóan nem tesz eleget. Hitel jellegű szerződés a készpénz-helyettesítő fizetési eszköz kibocsátására irányuló szerződés (bankkártyaszerződés).
A BAR a természetes személy hiteladósokra vonatkozóan a hitelszerződés megkötéséhez vagy módosításához szükséges személy- és lakcím azonosító adatot, valamint az érintett szerződésben vállalt kötelezettség mibenlétére és az attól való eltérésre vonatkozó lényeges adatot kezelhet és tarthat nyilván. Az említett feltételek fennállása esetén a nem fizető adós adatai a BAR rendszer adatbankjában rögzítésre kerülnek és a pénzügyi intézmények számára hozzáférhetővé válnak. E tény egy esetleges későbbi hiteligénylés elbírálásakor annak elutasításához vezethet. A BAR a természetes személyekre vonatkozó azonosító adatokat az adós tartozásának megszűnését követően legfeljebb öt évig kezelheti azzal, hogy az adós a róla nyilvántartott adatokba való betekintési jogát a vele szerződő bank közvetítésével gyakorolhatja. Ha az adós igényt tart erre az információra, akkor a banknak kötelessége megadni a felvilágosítást. Idén március végén 150 ezer céghez kötődően 640 ezer bejegyzést tartalmazott a vállalati nyilvántartás, és ezekről az adatokról a felhasználó tagintézmények átlagosan havi 12 ezer alkalommal tudakozódnak. A lakossági alrendszer június végén 180 ezer rossz adóst és 280 ezer hiteltörlesztési mulasztást tartottak nyilván, 2003 közepén 120 ezer adós neve szerepelt a nyilvántartásban. A regisztrált hátralékok, illetve a nem törlesztő ügyfelek száma évi 20-50 százalékkal bővül.
A Magyar Bankszövetség, illetve a teljes érintett szakma a BAR felállítása óta több kísérletet tett arra, hogy a magánszemélyekre vonatkozó nyilvántartást is teljes körűvé tegye, így történt ez 2002. júliusában, illetve 2003. szeptemberében is, amikor az Országgyűlés lakásügyi bizottságának ülésének már csak az adatvédelmi biztos állt útjába az általa alkotmányellenesnek minősített változtatásnak. Augusztus közepén már az IM is foglalkozni kezdett az adóslistával, mivel a gyakorlatban több anomália is kialakult. A hitelintézetek rendszerint mérlegelés - és gyakran indokolás - nélkül elutasítják a listán szereplő magánszemélyek hitelkérelmeit, így sokszor komoly "nyomozásba" kell kezdenie az érintettnek, mire kideríti, milyen okból, milyen hitelügylet folytán került a listára. Gyakran előfordul az is, hogy a bankok hibáznak, és vétlenül kerül fel valaki a listára, azonban a jelenlegi szabályozásban nincs lehetőség a védekezésre. Az sem tekinthető éppenséggel cizellált szabályozásnak, hogy minden tartozást - ügylettípustól és pénzösszegtől függetlenül - tartalmaz a rendszer, és a listáról a törvényben megszabott 5 év előtt lekerülni nincs lehetőség. Sajnos a listán szereplés kiderítése sem nem ügyfélbarát, sem nem egységes, néhány kivételtől eltekintve - jelenleg ugyanis vannak bankok, amelyek egyáltalán nem, vannak pedig amelyek csak 3500 Ft, és egy űrlap kitöltése ellenében hajlandóak közölni az ügyféllel a listán róla szereplő adatokat.
Szeptember közepén a törvény módosítási folyamata az Országgyűlésben azonban sajnos elakadt, pedig a módosítás szerint az érintett a listára kerülés előtt előzetesen írásbeli értesítést kapott volna, lépéseket tettek volna a téves adatok felvitelének elkerülése, illetve a már adósságukat törlesztett adósok kedvezőbb elbírálása érdekében. A jelenlegi rendszert sem az állampolgári jogok biztosa, sem az adatvédelmi biztos, sem a PSZÁF, sem az Igazságügyminisztérium nem tartja elfogadhatónak, úgy alkotmányos (jó hírnév védelme), mint adatvédelmi, és fogyasztóvédelmi szempontokból.
Az eddigiekből láthatjuk egyrészt, hogy az egyén meglehetősen kiszolgáltatott helyzetben van az adatkezelőkkel szemben, és a gazdasági irányítás új módszerei egyre több eszközt bocsát a szolgáltatók részére, amelyek révén egyre hatékonyabb és kiterjedtebb információfeldolgozást végezhetnek. Másrészt fontos tény, hogy a már meglévő szabályozások sem bizonyultak eddig elégségesnek, ez pedig azt jelenti, hogy a jog terén bőven akad teendő a témakörben. Bíztató és a természetes személyek növekvő védelmi szükségletének szempontjából szükséges újítás viszont, hogy az adatvédelmi biztos bizonyos intézkedési jogköröket is kapott az Avtv. fentiekben már elemzett 2004. január 1. óta hatályos módosítása során. A 2003. évi XLVIII. törvény Avtv.-t módosító rendelkezései révén előzetes ellenőrzési lehetőséget kapott az ombudsmann bizonyos adatállományok és új adatkezelési technikák esetében, illetve tiltott adatkezelések megsemmisítésére is utasíthatja adott esetben a jogszabályok ellen vétő szolgáltatót (adatkezelőt).
2003. évi XLVIII. törvény 31. § (1) bek. Az adatvédelmi biztos a nyilvántartásba vételt megelőzően előzetes ellenőrzést végezhet.
2003. évi XLVIII. törvény 31. § (2) bek. Új adatállomány feldolgozását vagy új adatfeldolgozási technológia alkalmazását megelőzően az adatvédelmi biztos előzetes ellenőrzést végezhet a következő adatkezeléseket végző adatkezelőknél:
a) országos hatósági, munkaügyi és bűnügyi adatállományok;
b) pénzügyi szervezetek és közüzemi szolgáltatók ügyfelekre vonatkozó adatkezelései;
c) távközlési szolgáltatóknak a szolgáltatást igénybe vevőkre vonatkozó adatkezelései;
d) külön törvényben meghatározott egyedi statisztikai adatokat tartalmazó adatállományok.
Az adatkezelőnek az új adatállomány feldolgozására vagy az új adatfeldolgozási technológia alkalmazására irányuló szándékát - a tevékenység megkezdését megelőzően 30 nappal - be kell jelentenie az adatvédelmi biztosnak. Az adatvédelmi biztos az előzetes ellenőrzésre vonatkozó igényét - a bejelentéstől számított 8 napon belül - köteles jelezni az adatkezelőnek, és az ellenőrzést - 30 napon belül - köteles elvégezni. Az adatkezelő a feldolgozást csak az adatvédelmi biztos előzetes ellenőrzésének befejezése után kezdheti meg. Az ellenőrzés alapján az adatvédelmi biztos a kezelendő adatok körének, illetőleg az adatfeldolgozás módszerének megváltoztatására hívhatja fel az adatkezelőt. Ha az adatvédelmi biztos az adatkezelést elrendelő jogszabályt kifogásolja, ajánlást tehet a jogszabály módosítására.
2003. évi XLVIII. törvény 25. § (2) bek. Az adatvédelmi biztos a jogellenes adatkezelés észlelése esetén az adatkezelőt az adatkezelés megszüntetésére szólítja fel. Az adatkezelő haladéktalanul köteles megtenni a szükséges intézkedéseket, és erről 30 napon belül írásban tájékoztatni az adatvédelmi biztost.
2003. évi XLVIII. törvény 25. § (3) bek. Ha az adatkezelő vagy adatfeldolgozó a jogellenes adatkezelést (adatfeldolgozást) nem szünteti meg, az adatvédelmi biztos elrendelheti a jogosulatlanul kezelt adatok zárolását, törlését vagy megsemmisítését, illetve megtilthatja a jogosulatlan adatkezelést vagy adatfeldolgozást, továbbá felfüggesztheti az adatok külföldre továbbítását. Az adatvédelmi biztos tájékoztathatja a nyilvánosságot a jogosulatlan adatkezelés (adatfeldolgozás) tényéről, az adatkezelő (adatfeldolgozó) személyéről és a kezelt adatok köréről, valamint az általa kezdeményezett intézkedésekről.
2003. évi XLVIII. törvény 25. § (4) bek. Az adatkezelő, az adatfeldolgozó vagy az adatkezeléssel érintett személy az adatvédelmi biztos intézkedése ellen bírósághoz fordulhat. A bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg, az adatok kezelését azonban fel kell függeszteni és az adatokat zárolni kell.
Jogsértő adatkezelés felfedése esetén ezzel a szankcióval élve az adatvédelmi biztos "jobbik" esetben tetemes vagyoni hátrányt, de előfordulhat, hogy komoly működési zavarokat okozhat(na) a vétkes vállalkozásoknak, hiszen egy cég adatvagyona nemcsak pénzben kifejezhető, jelentős érték, de bizonyos szolgáltatásfajták esetén az egész cég alapja is.
Az ilyen drasztikusnak tekinthető szankciókat elkerülendő három fő teendő vázolható fel a jogalkotók és az érintett adatkezelők számára:
- az Alkotmánnyal, az adatvédelmi törvénnyel összhangban lévő ágazati adatvédelmi szabályok az egyének jogait fokozottabban figyelembe vevő módosítása, illetve a modern gazdasági információmenedzsment törvényi "felfedezése" és a hatékonyság és adatvédelem közti egyensúly megteremtésével történő szabályozása,
- szakmai önszabályozás, azaz ágazati legjobb gyakorlatok kialakítása, a feltétlenül szükséges adatok körének megállapítása, a felhasználók tényleges tájékoztatása, tehát az adatvédelmi menedzsment kialakítása,
- adatvédelmi auditálás, azaz egy cég adatkezelési gyakorlatának külső szakértők általi átvilágítása, minőségbiztosítási szabványok, bizonyítványok kialakítása. (Németországban, Schleswig-Holsteinben ez az alternatíva törvényben szabályozott, azonban természetesen nem tekintendő a probléma egyetlen lehetséges megoldásának.)
Mindezek eredménye a fogyasztói bizalom növekedése lehet - "privacy sells!"[32] - , úgy, hogy ésszerű kompromisszumokkal és körültekintő szabályozással az alkalmazott ügyviteli rendszerek hatékonysága sem csökkenne számottevően, sőt a felhasználható adatfajták és adatkezelési műveletek, módszerek szabványosításával könnyebben átjárható és így - adott esetben - könnyebben eladható és feldolgozható nyilvántartások készülhetnének, ami az adatkezelőknek is érdekében állna.
Az adatvédelmi menedzsment összességében az adatkezelő adatvédelem-konform szervezését jelenti, beleértve az adatvédelmi célok elérésére alkalmas belső szervezet rögzítését, eljárások, adatkezelési hatáskörök, belső szabályzatok rögzítését, valamint a megvalósítás eszközeit. Az adatvédelmi tudatosság erősítésének, a felelősség érvényesíthetőségének, az adatvédelmi szempontokat figyelembe vevő szervezeti és működési rend kialakításának a garanciája lehet egy olyan rendszer, amely integrálja és konkretizálja az adatkezelővel szemben a szabályozás alapján fennálló kötelezettségeket. Ez a rendszer az adott szervnél kereteket szab az adatvédelmi kötelezettségek teljesítéséhez, valamint további adatvédelmi vállalások megfogalmazásához és keresztülviteléhez. Az adatvédelmi menedzsment része és alapja lehet a szervezeten belüli adatvédelmi önszabályozásnak. A célkitűzés minden esetben a jogszabályoknak megfelelő feltételrendszer kidolgozása és működtetése.[33]
Az adatvédelmi menedzsment-rendszerben megfogalmazott eszközöket és intézkedéseket, illetve ezek alkalmazásának feltételeit az adatkezelő az adatvédelmi szervezet tervben, valamint az adatvédelmi és adatbiztonsági tervben vázolja fel. Az adatvédelmi menedzsment célja az adatvédelmi célkitűzések lehető legteljesebb elérése.
Az adatvédelmi szervezeti terv tartalma:
- felelősségi viszonyok rendezése
- adatkezelési jogkörök rögzítése
- az archiválás rendjének meghatározása
- a munkatársak adatvédelmi felkészítése
Az adatvédelmi és adatbiztonsági koncepció áttekinti az adott szervnél végzett adatkezelés jellemzőit, és ez alapján konkrét feladatokat fogalmaz meg az adatvédelmi és adatbiztonsági követelmények érvényesítésére vonatkozóan. Tartalma:
- az adatkezelésre vonatkozó alapvető adatok (adatkezelő adatai, elérhetőségei, az adatkezelés célja, érintettek köre, az adattovábbítás címzettjei, adattörlési határidők, adatbiztonsági intézkedések, az adatfeldolgozó rendszer és folyamat leírása)
- az adatkezelés alapelveinek és célkitűzéseinek érvényesítését szolgáló konkrét intézkedések: adatkezelés arányosságát, célhozkötöttségét, adattakarékosságot biztosító eszközök, érintettek jogainak érvényesítését biztosító eszközök (tájékoztatás, ill. anonim, pszeudonim feldolgozás), adatkezelés technikai biztonsága érdekében tett intézkedések, az adatvédelem érdekében tett szervezeti intézkedések
- az adatvédelmi kérdésekért felelős személy kinevezésének feltételei, jogai, eljárásai
- a jogszabályi feltételek illetve a technikai fejlődés által támasztott adatvédelmi követelmények változásainak figyelemmel kísérésére vonatkozó elképzelések
- biztonsági koncepció: kockázatelemzés, védelmi célok leírása, technikai és szervezeti intézkedések leírása.[34]
Az adatvédelmi auditálás általánosságban az, az eljárás, amelynek során külső szakértő értékeli az adatkezelő adatvédelmi intézkedéseit és elképzeléseit, valamint az elképzelések megvalósításának képességét, és az adatkezelőt az értékelés pozitív eredményének nyilvánosságra hozatalára jogosítja fel. Az adatvédelmi auditálás tehát az adatvédelmi intézményrendszerbe beilleszthető, a felügyeleti eszközöket kiegészítő, az adatkezelők saját kezdeményezéseire épülő összetett ellenőrzési és további fejlesztéseket ösztönző módszer.
Az adatvédelmi audit rendszer-audit, amely adatkezelési folyamatokat és adatvédelmi képességeket ellenőriz és értékel, és az adatvédelmi erőfeszítések jutalmazásával további fejlesztéseket ösztönöz. Az adatvédelmi audit megkülönböztetendő a termék-audittól, amely egy-egy adatkezelési eszköz (elsősorban hardver és szoftver elemek) adatvédelmi és adatbiztonsági szempontú ellenőrzését jelenti. Célja az adatvédelmi színvonal optimalizálása. Az optimális adatvédelmi színvonal az érintettek részére a lehető legnagyobb védelmét garantálja úgy, hogy ezzel nem veszélyezteti a szerv tevékenységét és modernizációs törekvéseit. Az adatvédelmi jogszabályok megtartására vonatkozó kötelezettségvállalás az auditálás során önmagában nem értékelhető. Az auditálás kötelező, törvényben előírt adatvédelmi követelmények, önkéntes többletvállalások értékelése, és további vállalások ösztönzése. Az optimalizálás magába foglalja a változó technikai, szervezeti, jogi feltételekhez való alkalmazkodást. Az audit egyúttal érdekeltté teszi az adatkezelőket az adatvédelmi színvonal folyamatos javításában. Az adatvédelmi erőfeszítések elismerése és jutalmazása, illetve a fogyasztók felé történő megjelenítése az adatvédelmet versenytényezővé teszi.
Az auditálás lényegében az adatvédelmi menedzsment-rendszer elemeinek és érvényesülésének értékelése, amiben az adatkezelő önszabályozása-önellenőrzése szorosan összekapcsolódik külső, független minősítők tevékenységével. Az az adatkezelő felel meg az auditálási követelményeknek, amelynek az adatvédelmi menedzsmentje biztosítja a kitűzött adatvédelmi célok elérését, végső soron az adatvédelmi színvonal optimalizálásának képességét. A rendszer-auditként értelmezett auditálás nem csak a vállalati szektorban, hanem a közszektorban is hasznos, alkalmazása célszerű. Az auditálás egyszerre módszere a rendszeres ellenőrzésnek és a meggyőzésnek. Az auditálás segítségével másrészt olyan adatvédelmi megoldások - "legjobb gyakorlatok" - mutathatók fel, amelyek követendő mintaként szolgálnak más adatkezelők részére. A közszférának magára kell vállalnia az adatvédelmi innovativitást. Az elektronikus közigazgatásban kidolgozott megoldások különösen jól hasznosíthatók az elektronikus kereskedelem területén.
Az auditálásban való részvétel önkéntes. Nem tehető kötelezővé az auditálás, mivel az nem a törvényi követelmények megtartásának ellenőrzését jelenti, hanem alapvetően a törvényi követelményeken felül vállalt adatvédelmi erőfeszítések jutalmazását. Az auditálás tárgya egy meghatározott adatkezelési eljárás, amelynek kereteit egy meghatározott adatkezelési cél jelöli ki. Az auditált eljárás több rész-adatkezelést foglalhat magába, amelyeket több különböző, önálló adatkezelő is elláthat. Az érintett számára nem elsősorban az adatkezelő, hanem az - esetleg több adatkezelőre is kiterjedő - adatkezelési eljárás a releváns auditált egység. Az auditálás ezért alapvetően nem az adott adatkezelési tevékenységére terjed ki, hanem az adott adatkezelési cél által meghatározott minden adatkezelési műveletre.
Elképzelhető olyan megoldás is, amelyben az auditálás tárgya az adatkezelő teljes adatkezelési tevékenysége. Amennyiben az egyes adatkezelési eljárásokat teljes egészében a vizsgált adatkezelő folytatja le, ezzel az auditálási megoldással is releváns információk nyerhetők. Az auditálás az adatkezelőnél feltételezi az adatvédelmi kérdésekkel foglalkozó személy kijelölését. A kijelölt személy - az adatvédelmi felelős - feladata az auditálás alapjául szolgáló ellenőrzés lefolytatásának irányítása, illetve az adatvédelmi elképzelések és eszközök dokumentálása. Az auditálás során az auditorral a kijelölt személy tartja a kapcsolatot. A kijelölt személy csak a saját kötelezettségeinek teljesítéséért felelős, de nem felelős az adott szerv teljes adatkezelési tevékenységéért. A külső auditor lényegében a belső adatvédelmi felelős megállapításait hitelesíti.
Az auditálás alapvetően piaci alapon végzett szolgáltatás, amelyet a megfelelő képesítési és megbízhatósági követelményeket teljesítő adatvédelmi szakértő egy erre kijelölt állami szerv által kibocsátott engedély alapján nyújt. Átmenetileg elképzelhető olyan nem piaci megoldás, amelyben az adatvédelmi biztos - és hivatala - jogköre bővül az auditálás lefolytatásával. Az auditálás eredményeként az adatkezelőt nyilvántartásba veszik, a nyilvántartásba vétel alapján pedig jogosulttá válik az adatvédelmi minőségjelző használatára. Elegendőnek tűnik a differenciálás nélküli címke alkalmazása, amely az ellenőrzés és értékelés részleteinek nyilvánosságra hozatalával együtt megfelelő tájékoztatást ad az érintettek részére, és jobban illeszkedik a rendszer-audit koncepciójába. Ennek alternatívája az értékelést is magába foglaló minőségjelző alkalmazása, amihez azonban pontosan meg kell határozni az egyes értékelési szinthez sorolás követelményeit.
Az auditálásban résztvevők nyilvántartása egységes, és a minőségjelző használata a nyilvántartásba vételen alapul, ezért a minőségjelző is egységes. Az a megoldás is elképzelhető, amely szerint az egyes auditorok (auditor-szervezetek) az általuk auditáltak nyilvántartását maguk vezetik, és az adatkezelőt saját minőségjelzőjük használatára jogosítják fel. Az auditor felelősséggel tartozik azért, hogy az általa kibocsátott minőségjelzőt valóban csak az arra jogosult adatkezelő használja. A piaci szolgáltatásként nyújtott audit is beilleszthető a jelenlegi adatvédelmi ellenőrzési rendszerbe: az adatvédelmi biztos vezetheti az auditálásban részt vett adatkezelők nyilvántartását, és a nyilvántartás alapján ő bocsáthatja ki az adatvédelmi minőségjelzőt; az auditorok akkreditálása és ellenőrzése szintén az adatvédelmi biztos feladata lehet.
Mivel az adatvédelmi auditálás az információs önrendelkezési jogot érinti, keretszabályait törvényben kell meghatározni. Az adatvédelmi auditálást célszerű az alanyára tekintet nélkül egységesen szabályozni. Mivel a törvényi szabályozás nem az auditálás értékelési szempontjait, hanem lefolytatásának kereteit határozza meg, nincs jelentősége a közigazgatási audit külön szabályozásának. A törvényben kellene rendelkezni az audit céljáról és tárgyáról, az auditálás menetéről, a szakértők engedélyezésének rendjéről, a szükséges nyilvántartásról, valamint a minőségjelző felhasználásáról. Az ellenőrzési és értékelési szempontrendszerről legfeljebb ajánlások fogalmazhatók meg, annak részletei az audit tárgya szerint változnak.[35]■
Felhasznált jogszabályok jegyzéke
1. 1949. évi XX. törvény, A Magyar Köztársaság Alkotmánya
2. 1959. évi IV. törvény, A Polgári Törvénykönyről
3. 1978. évi IV. törvény, A Büntető Törvénykönyvről
4. 1992. évi LXIII. törvény, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról
5. 1992. évi LXVI. törvény, a polgárok személyi adatainak és lakcímének nyilvántartásáról
6. 1996. évi CXII. törvény, a hitelintézetekről és a pénzügyi vállalkozásokról
7. 1999. évi LXXXIV. törvény, a közúti közlekedési nyilvántartásról
8. 2003. évi LX. törvény, a biztosítókról és a biztosítási tevékenységről
9. 2003. évi C. törvény, az elektronikus hírközlésről
10. 95/46/EK irányelv, a természetes személyek védelméről a személyes adatok feldolgozásánál és a szabad adatforgalomról
Irodalomjegyzék:
1. Pieter Adriaans - Dolf Zantinge: Adatbányászat, Panem Könyvkiadó, 2002.
2. Balogh Mária: Az adatvédelem hiányosságai, Magyar Rendészet 5-6/2000:175-186.
3. Balogh Zsolt György: Az infokommunikációs jogról, 45. oldal, In: Infokommunikáció és jog, 2. szám, Dialóg-Campus Kiadó
4. Balogh Zsolt György: Jogi informatika, Dialóg-Campus Kiadó, Budapest-Pécs, 1998.
5. Balogh Zsolt György: Az adatvédelmi törvény fejlesztésének kérdései. Adatvédelmi szabályok Magyarországon és az Európai Unióban, Jogtudományi Közlöny 6/97:269-276.
6. Balogh Zsolt, Jóri András, Polyák Gábor: Adatvédelmi legjobb gyakorlat, http://www.ihm.hu/kutatasok_tanulmanyok/l/adatvedelmi_legjobb_gyakorlat_1.pdf
7. Barbara Seidl: Data-mining und Datenschutz, Masther Thesis, Universität Wien, 2003.
8. Hetesy Zsolt: Az Eurokonform adatvédelmi jogalkotás és gyakorlat esélyei, Adatvédelem, adatbiztonság. 1994. 21-34.
9. Hetyei József: ERP rendszerek Magyarországon a 21. században, Computerbooks, Budapest, 2004.
10. Hoffmann Istvánné: Stratégiai marketing, Aula Kiadó, 2000.
11. Philip Kotler - Dipak C. Jain - Suvit Malsincee: Marketinglépések, Park Kiadó, 2003.
12. Christian Koenig, Andreas Bartosch, Jens-Daniel Braun: EC Competition and Telecommunications Law, Kluwer Law International, 2002.
13. Majtényi László: Az információs szabadságok és az adatvédelem határai, Világosság 2-3/2002:56-105.
14. Majtényi László: Az információs szabadságjogok Magyarországon, Világosság 10/98:49-61.
15. Majtényi László: Az adatvédelem és az információszabadság az alkotmányban, Acta Humana. Emberi jogi közlemények 18-19. sz. 1995:87-100.
16. Majtényi László: A személyes adatok védelme, különös tekintettel a bankokra és biztosítókra. Korreferens: Kotulyák Éva, Óvári Győző, Trunkó Barnabás. = Jogászgyűlés 2000. 109-143.
17. Majtényi László: Adatvédelem, információszabadság, üzleti titok. = Kovacsicsné Nagy Katalin-jubileum. 2001. 153-157.
18. Mezey Gyula: A személyiadat-védelem informatikai szemszögből, Statisztikai Szemle 6/97:503-514.
19. Pap Márta, Dúll Mária: Nyilvántartási rendszerek és adatvédelem. Bp. BM K. 1996. 115 p. /Közigazgatási szakvizsga./ Bibliogr. 114.
20. Alan Tapp: Direkt és adatbázismarketing, Műszaki Könyvkiadó, 1999.
21. ULD Schleswig-Holstein: Kundenbindungssysteme und Datenschutz, 2003. http://www.vzbv.de/mediapics/gutachten_kundenbindungssysteme_2003.pdf
Kapcsolódó weboldalak
3. http://www.datenschutz-berlin.de/
4. http://www.datenschutz.hessen.de/tb29/Inhalt.htm
9. http://www.legamedia.net/legapractice/bzt/1999/00-09/9909_freitag_andreas_datamining.ph p
11. http://www.the-data-mine.com/
12. http://www.univie.ac.at/oefai/ml/kdd/wasist.html
13. A listában, és a lábjegyzetben szereplő weboldalak a dolgozat szövegének zárásakor (2004. november 27-én) mind elérhető állapotban voltak.
JEGYZETEK
[1] Hoffmann Istvánné: Stratégiai marketing, 93. oldal
[2] Balogh Zsolt György: Az infokommunikációs jogról, 45. oldal, In: Infokommunikáció és jog, 2. szám, Dialóg-Campus Kiadó
[3] Balogh Zsolt György: Az infokommunikációs jogról, 45. oldal, In: Infokommunikáció és jog, 2. szám, Dialóg-Campus Kiadó
[4] Balogh Zsolt György: Jogi informatika, 169. oldal
[5] Balogh Zsolt György: Jogi informatika, 171. oldal
[6] Hoffmann Istvánné: Stratégiai marketing, 93. oldal
[7] Hetyei József: ERP rendszerek Magyarországon a 21. században, 55. oldal
[8] Hetyei József: ERP rendszerek Magyarországon a 21. században, 49. oldal
[9] Philip Kotler, Dipak C. Jain, Suvit Malcincee: Marketinglépések, 109. oldal
[10] Philip Kotler, Dipak C. Jain, Suvit Malcincee: Marketinglépések, 35. oldal
[11] Alan Tapp: Direkt és adatbázismarketing, 41. oldal
[12] Hetyei József: ERP rendszerek Magyarországon a 21. században, 76-78. oldal
[13] Philip Kotler, Dipak C. Jain, Suvit Malcincee: Marketinglépések, 106. oldal
[14] Hetyei József: ERP rendszerek Magyarországon a 21. században, 66. oldal
[15] Hoffmann Istvánné: Stratégiai marketing, 198. oldal
[16] Hetyei József: ERP rendszerek Magyarországon a 21. században, 66.oldal
[17] Barbara Seidl: Data-mining und Datenschutz, 3. oldal
[18] Philip Kotler, Dipak C. Jain, Suvit Malcincee: Marketinglépések, 108. oldal
[19] Alan Tapp: Direkt és adatbázismarketing, 84. oldal
[20] Alan Tapp: Direkt és adatbázismarketing, 84. oldal
[21] Balogh Zsolt György: Jogi informatika, 176. oldal
[22] Balogh Zsolt György: Jogi informatika, 177. oldal
[23] Balogh Zsolt György: Jogi informatika, 173. oldal
[24] Christian Koenig, Andreas Bartosch, Jens-Daniel Braun: EC Competition and Telecommunications Law, 474. oldal
[25] Balogh Zsolt György: Jogi informatika, 181. oldal
[26] Philip Kotler, Dipak C. Jain, Suvit Malcincee: Marketinglépések, 107. oldal
[27] 25/2000. (IX. 1.) BM rendelet, a polgárok személyi adatainak és lakcímének nyilvántartásából teljesített adatszolgáltatásokért, valamint a kapcsolatfelvétel céljából való megkeresésért, illetőleg értesítésért fizetendő igazgatási szolgáltatási díjról
[28] http://turbulence.org/Works/swipe/swipe_data_cal.html
[29] Alan Tapp: Direkt és adatbázismarketing, 49. oldal
[30] http://www.cpexchange.org/
[31] http://www.adatbazis.com/
[32] ULD Schleswig-Holstein: Kundenbindungssysteme und Datenschutz, 122.oldal
[33] Balogh Zsolt, Jóri András, Polyák Gábor: http://www.ihm.hu/kutatasok_tanulmanyok/l/adatvedelmi_legjobb_gyakorlat_1.pdf
[34] Balogh Zsolt, Jóri András, Polyák Gábor: http://www.ihm.hu/kutatasok_tanulmanyok/l/adatvedelmi_legjobb_gyakorlat_1.pdf
[35] Balogh Zsolt, Jóri András, Polyák Gábor: http://www.ihm.hu/kutatasok_tanulmanyok/l/adatvedelmi_legjobb_gyakorlat_1.pdf
Lábjegyzetek:
[1] * A szerző PTE ÁJK hallgatója ** Konzulens: Dr. Balogh Zsolt György, Dr. Polyák László
Visszaugrás