Megrendelés

Jóri András[1]: Targetált hirdetések, felhasználói profilok képzése és adatvédelem (IJ, 2006/4., (14.), 113-118. o.)

Az elektronikus kereskedelemről szóló törvény adatvédelmi rendelkezéseiről

1. Előzmények

Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal kapcsolatos szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban: Ekertv.) 2003-ban egészült ki az adatvédelemre vonatkozó rendelkezésekkel (13/A §). E rendelkezések célja a harmadik generációs adatvédelmi szabályozás egyes elemeinek átvétele volt a magyar jogba, német minta alapján. A 2003. évi XCVII. törvény által megállapított adatvédelmi rendelkezések többsége máig hatályban van, ám azok közül egyet igen szerencsétlenül módosított az Ekertv. legújabb novellája, a 2005. évi CLXXI. törvény. Ezzel az írással az a célunk, hogy - meglehet, túl későn - bemutassuk a 2003. évi módosítás mögötti megfontolásokat, azokat a problémákat, amelyekre e szabályozás reflektálni kívánt, és a választott megoldásokat[1].

Jelen írásban csak az Ekertv. adatvédelmi rendelkezéseiről lesz szó. Nem lehet eltekinteni azonban attól, hogy az információs társadalommal összefüggő szolgáltatások és a hírközlési szolgáltatások közötti viszony kérdése az adatvédelmi rendelkezések során is gyakran előkérdésként merül fel. A 2002/21/EK sz. irányelv (az ún. keretirányelv) tartalmazza az elektronikus kommunikációs szolgáltatások meghatározását.

A keretirányelv 2. cikkének (c) pontja szerint "az "elektronikus kommunikációs szolgáltatás" olyan, főszabály szerint ellenszolgáltatás fejében nyújtott szolgáltatást jelent, amely kizárólag vagy túlnyomórészt elektronikus kommunikációs hálózaton történő jelátvitelből áll, ideértve a távközlési szolgáltatásokat és a műsorszórásra (broadcasting) szolgáló hálózatokon történő átviteli szolgáltatásokat, ám ide nem értve az elektronikus kommunikációs hálózatokon vagy szolgáltatások segítségével átvitt tartalom nyújtásával vagy az azok feletti szerkesztői irányítás gyakorlásával kapcsolatos szolgáltatásokat; s ide nem értve azokat a 98/34/EK sz. irányelv 1. cikkében meghatározott információs társadalommal összefüggő szolgáltatásokat, amelyek kizárólag vagy túlnyomórészt nem az elektronikus kommunikációval összefüggő jelátvitelből állnak".

A keretirányelv preambulumának 10. bekezdése további támpontot ad a hírközlési szolgáltatások és az információs társadalommal összefüggő szolgáltatások közötti viszony meghatározásához:

"Az Európai Parlament és a Tanács által 1998. június 22-én elfogadott, az információs társadalommal összefüggő szolgáltatásokra vonatkozó technikai szabványok és szabályozás területén történő információnyújtással kapcsolatos eljárást megállapító 98/34/EK irányelv 1. cikkében foglalt, az "információs társadalommal összefüggő szolgáltatásra" vonatkozó meghatározás az online zajló gazdasági tevékenységek igen széles körét felöleli. Jelen irányelv hatálya a legtöbb ilyen tevékenységre nem terjed ki, mivel azok kizárólag vagy túlnyomórészt nem az elektronikus kommunikációval összefüggő jelátvitelből állnak. A távbeszélő szolgáltatásra és az elektronikus levél átvitelével kapcsolatos szolgáltatásra a jelen irányelv hatálya kiterjed. Ugyanazon vállalkozás, pl. egy internetszolgáltató nyújthat elektronikus kommunikációs szolgáltatást, pl. internet-hozzáférést, és olyan szolgáltatásokat is, amelyek nem esnek ezek Irányelv hatálya alá, pl. webalapú tartalomszolgáltatást".

Az információs társadalommal összefüggő szolgáltatások és az elektronikus kommunikációs (hírközlési) szolgáltatások nyújthatók akár egy alany által is, amely alanynak ebben az esetben párhuzamosan kell alkalmaznia a két szabályrendszert. A vonatkozó adatvédelmi jogalkotás során szükséges tehát biztosítani a két szabályrendszer összhangját, ellentmondás-mentességét is. Ez sajnos mindeddig nem történt meg: az elektronikus hírközlésről szóló 2003. évi C. törvény az Ekertv. rendelkezéseit sajátosan torzítva, belső ellentmondásokkal terhelten építette be (ezen túl a jogalkotó aggály nélkül írt elő számos adat tekintetében a nemzetbiztonsági/bűnüldözési célból az Unióban vitát kiváltott szabályozásnál jóval hosszabb megőrzési időt)[2].

2. A személyes adat fogalmának javasolt korrekciója

Az elektronikus kereskedelmi szolgáltatások igénybevételének nagy előnye, egyben nagy

- 113/114 -

adatvédelmi kockázattal járó jellemzője az, hogy a felhasználó tevékenysége forgalmi adatok tömegét generálja, amelyek érdeklődésére, felhasználói szokásaira és azok várható alakulására utalnak. Ezen adatok köre - az Ekertv. széles hatályát tekintve igen változatos - lehetséges szolgáltatásoktól függően változik. Példaképp valamely webszerver-üzemeltető rendelkezésére álló adatokat tekintve lehetnek azok meghatározott, a felhasználó által alkalmazott eszközökre vonatkozó adatok (pl. a használt böngésző típusa, a képernyő felbontása, stb.), a felhasználásra (mely oldalról látogatott a webszerveren tárolt weboldalra), a felhasználó által használt számítógépre (illetőleg az annak kérését közvetítő proxyra) vonatkozó adatok, a felhasználó számítógépét azonosító IP cím, stb. A példa megvilágítja azt, hogy a szabályozás megalkotása során is szembesültünk a személyes adat fogalmával kapcsolatos egyik legjelentősebb értelmezési problémával: azzal, hogy az IP-címhez hasonló adat, amely közvetlenül (tehát az adatkezelő, a példa szerinti webszerver-üzemeltető által) nem kapcsolható a természetes személyhez, ám adott esetben más, harmadik fél által igen, személyes adatnak minősül-e[3].

E problémára a módosítás az eredeti koncepció szerint úgy reflektált volna, hogy az Ekertv. alkalmazásában, eltérve a személyes adat Avtv-beli fogalmától kifejezetten utalt volna a közvetlen és közvetett kapcsolat megkülönböztetésére, hogy a későbbiekben meghatározott esetekben a közvetett kapcsolat esetén megengedőbb szabályozással élhessen (lásd alább a felhasználói profilok képzéséről írtakat). Ezzel kapcsolatban a koncepció javasolta az Avtv. meghatározására épülő - de a közvetett kapcsolat lehetőségét és a "meghatározható személy" fogalmát használva szélesebb kört felölelő - alábbi definíciót:

"személyes adat: a meghatározott vagy meghatározható természetes személy igénybevevővel közvetlenül vagy közvetve kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható"

Sajnos e meghatározás már a 2003. évi XCVII. törvény elfogadott szövegébe sem került be - ez vezetett végül a 2005. évi módosítás azon szerencsétlen rendelkezéséhez, amely törölte a törvényből az e meghatározás szerint közvetett személyes adatokon alapuló profilképzés és az e profilon alapuló célzott hirdetés megjelentetésének (targetálás) lehetőségét (lásd erről alább).

3. Az adatvédelmi szabályok személyi, tárgyi és területi hatálya

A javaslat tárgyi és területi hatályával kapcsolatban több probléma merült fel. A szektorális adatvédelmi jogalkotás célja e területen az, hogy az elektronikus környezetben jelentkező adatvédelmi kockázatokat csökkentse, az automatizált adatképzés- és forgalom mellett is fenntartsa az érintett jogérvényesítési lehetőségeit, miközben módot ad a szolgáltatóknak arra, hogy a technológia által nyújtott lehetőséggel élve kreatív módon fejleszthessék szolgáltatásaikat, akár adatbányászat, adategyeztetés, profilképzés útján is.

A szabályozási tárgy szempontjából irreleváns volt, hogy - az Ekertv. akkor hatályos szabálya szerint - a szolgáltatás a szolgáltató oldaláról az Alkotmány által biztosított véleményszabadság gyakorlásának körébe tartozik-e (hiszen ilyen esetben, pl. egy jogvédő szervezet által üzemeltetett webszerver esetében is biztosítani kell egyrészt a felhasznált technológiák adatvédelmi szempontból való megfelelőségét, másrészt azokat a lehetőségeket - profilképzés -, amelyek az üzleti szereplők számára adottak). Ennek ellenére szerencsétlen megoldás lett volna a törvény adatvédelmi részének tárgyi hatályát eltérően megállapítani a többi rendelkezés tárgyi hatályától, mivel ebben az esetben a szabályozott életviszonyok terjedelme olyan mértékben tért volna el a többi rendelkezésben szabályozottaktól, hogy az valójában külön törvény alkotását indokolta volna. Mivel az új technológia adategyeztetési, adatfeldolgozási lehetőségeinek kiaknázásában a profitorientált szereplők járnak élen, és ebben a kontextusban lényegesen nagyobb a személyes adatok védelméhez fűződő jog érvényesülését érintő veszély, ezért álláspontunk szerint indokolható volt, hogy egy általában az elektronikus adatkezelésre vonatkozó szektorális szabályozás hiányában ezen szabályok a hatályos Ekertv-ben kapjanak helyet, s személyi és tárgyi hatályuk a törvény általános rendelkezéseinek megfelelően alakuljon. A problémát végül megoldotta az Ekertv. harmonizációs célú módosítása, amelynek nyomán az Alkotmány által biztosított véleményszabadság gyakorlására utaló fordulat kikerült a törvényszövegből.

Utalni kell arra, hogy harmadik generációs[4] adatvédelmi szabályozás mintája, a 2003-as módosítás előkészítése során is sok tekintetben ihletőként szolgáló 1997-es német Teledienstedatenschutzgesetz[5] (TDDSG) alkalmazása olyan tapasztalatokat hozott, amelyek alapján a törvény tárgyi hatályát szűkíteni kellett. Ennek oka az volt, hogy a személyes adatok védelmére vonatkozó egyes előírásokat, így adattakarékosság követelményét, valamint az anonim és pszeudonim szolgáltatásnyújtás követelményét munkaviszony keretében a munka végzéséhez rendelkezésre bocsátott távszolgáltatás esetében a jogalkotó indokolatlannak találta (kivéve, ha az ilyen távszolgáltatás használata magáncélból történik). Ezért ezt az esetet a jogalkotó törvénymódosítással kizárta a TDDSG tárgyi hatálya alól (a TDDSG 1. § (1) bekezdése szerint annak rendelkezéseit nem kell alkalmazni "megbízási és munkaviszony esetében, amennyiben a távszolgáltatásokat kizárólag a munkaviszony érdekében vagy hivatalos célból használják").

Az Ekertv. tárgyi hatályának meghatározásában központi szerepet játszik az információs társadalommal összefüggő szolgáltatás fogalma, amely a javaslat készítésekor hatályos szöveg szerint "elektronikus úton, távollevők részére, ellenszolgáltatás fejében nyújtott szolgáltatás, amelynek igénybevételét a szolgáltatás igénybe vevője egyedileg kezdeményezi, továbbá mindazon ellenszolgáltatás nélkül, elektronikus úton, távollevők részére, az igénybe vevő egyedi kezdeményezésére nyújtott szolgáltatások, amelyek a szolgáltató, illetve az igénybe vevő részéről nem az Alkotmány által biztosított véleményszabadság gyakorlásának körébe tartoznak". Álláspontunk szerint a hatályos magyar Ekertv. egészének - tehát nem csak az adatvédelmi tárgyú rendelkezéseknek - a vonatkozásában elképzelhető olyan értelmezés, amelynek értelmében információs társadalommal összefüggő szolgáltatásnak minősül pl. távmunka keretében meghatározott szolgáltatásoknak a munkáltató által a munkavállaló számára történő nyújtása is, s a jogalkotó számára megfontolásra ajánlottuk az Ekertv. törvény hatályának ezen esetet a törvény alkalmazási köréből kizáró módosítását, ami végül nem történt meg.

Az Ekertv. hatálya a 2000/31/EK irányelv nyomán olyan szolgáltatásokra is kiterjed, amelyek a Magyar Köztársaság területére irányulnak, ám amelyek esetében a szol-

- 114/115 -

gáltató nem rendelkezik Magyarországon székhellyel (telephellyel, fiókteleppel) (extraterritoriális hatály). A hazai adatvédelmi jog ezzel szemben a territorialitás elvét követi[6]. A javasolt megoldás szerint ezért a törvény adatvédelmi rendelkezéseinek, mint szektorális adatvédelmi szabályoknak a területi hatályát az adatvédelmi irányelv és az adatvédelmi törvény módosított szövegének megfelelően kellett volna meghatározni, az alábbiak szerint

"1. § (1) E törvény rendelkezéseit kell alkalmazni:

a) a Magyar Köztársaság területéről nyújtott, valamint a Magyar Köztársaság területére irányuló információs társadalommal összefüggő szolgáltatásra;

b) az a) pontban meghatározott szolgáltatás tekintetében igénybe vevőnek, illetve szolgáltatónak minősülő természetes, illetve jogi személyre vagy jogi személyiség nélküli szervezetre.

A. verzió:

(2) A 15/A §-t kell alkalmazni az információs társadalommal összefüggő szolgáltatás tekintetében szolgáltatónak minősülő természetes, illetve jogi személy vagy jogi személyiség nélküli szervezet által végzett adatkezelésre vagy adatfeldolgozásra, amennyiben arra a személyes adatok védelméről szóló törvény hatálya kiterjed.

B. verzió:

(2) A 15/A §-t kell alkalmazni

a) a Magyar Köztársaság területén folytatott, az információs társadalommal összefüggő szolgáltatás tekintetében szolgáltatónak minősülő természetes, illetve jogi személy vagy jogi személyiség nélküli szervezet által a természetes személy igénybevevő személyes adatainak kezelésére vagy feldolgozására;

b) arra a külföldi vagy a Magyar Köztársaság területén kívül adatkezelést folytató információs társadalommal összefüggő szolgáltatás tekintetében szolgáltatónak minősülő természetes, illetve jogi személy vagy jogi személyiség nélküli szervezetre is, aki vagy amely a természetes személy igénybevevő személyes adatainak feldolgozásával a Magyar Köztársaság területén székhellyel, telephellyel (fióktelephellyel) rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja.

(3) E törvény hatálya nem terjed ki a bírósági, illetőleg egyéb hatósági eljárásban nyújtott és felhasznált információs társadalommal összefüggő szolgáltatásra és nem érinti a személyes adatok védelmére vonatkozó jogszabályok alkalmazását.

(4) E törvény hatálya nem terjed ki az elektronikus levélcím fenntartására és az elektronikus magánlevelezésre."

E rendelkezések szintén nem kerültek be a 2003. évi XCVII. törvény elfogadott szövegébe, így a szektorális adatvédelmi szabályozás területi hatálya máig eltér az Avtv.-ben meghatározott főszabálytól.

4. A szolgáltató adatkezelése, az adatelkerülés és adattakarékosság elve

Az információs társadalommal összefüggő szolgáltatások igénybevétele során számos olyan adat generálható, ill. az igénybe vett berendezés beállításaitól függően generálódik, amely személyes adatnak minősül. Ezen adatok kezelésére a felhatalmazás az Ekertv. adatvédelmi rendelkezésének elfogadásáig - amennyiben a szolgáltatás nem minősült hírközlési szolgáltatásnak - nem volt megtalálható a magyar jogban. Az ilyen adatok kezelése növelheti az információs társadalommal összefüggő szolgáltatás hatékonyságát, pl. a korábbi felhasználási szokásoknak megfelelően ajánlhatók fel bizonyos felhasználási módok, ill. a szolgáltató a felhasználók adott csoportja számára tehet elérhetővé tartalmakat, az információs társadalommal összefüggő szolgáltatás finanszírozását teheti lehetővé azzal, hogy célzott reklámüzeneteket magasabb díjon juttat el meghatározott felhasználóknak. A forgalmi adatok kezelése és az ezen adatokból származói fogyasztói profilok felépítése azonban a 2003. évi módosítás elfogadásáig jogi szempontból rendezetlen volt. A szabályozás megalkotása során cél volt tehát, hogy a forgalmi adatok kezelésének az Ekertv-ben megfelelő jogalapot teremtsünk, ill. e törvényben rendezzük a fogyasztói profilok alkotásának szabályozását is.

A forgalmi adatok kezelése és az ezen adatokból származói fogyasztói profilok felépítése a 2003. évi módosítás elfogadásáig jogi szempontból rendezetlen volt. A szabályozás megalkotása során cél volt, hogy a forgalmi adatok kezelésének az Ekertv-ben megfelelő jogalapot teremtsünk, ill. e törvényben rendezzük a fogyasztói profilok alkotásának szabályozását is.

Ami az adatfajtákat illeti, a TDDSG nyomán a javaslat a szerződés teljesítésével, számlázással kapcsolatos adatok és a forgalmi adatok megkülönböztetésére épített, hiszen a két adatkörrel kapcsolatban más adatvédelmi problémák merülnek fel. Mivel a két fogalmat a szabályozás előkészítésekor hatályos 2001. évi XL. törvény (az egységes hírközlési törvény) már használta, az Ekertv. adatvédelmi fejezetében is a "forgalmi adat" és "számlázási adat" terminus alkalmazását javasoltuk.

Ami a szerződéskötéshez szükséges (számlázási) adatokat illeti, az Avtv. máig nem ismeri el az adatkezelés önálló jogalapjaként azt, ha valamely adat kezelése olyan szerződés teljesítéséhez szükséges, amelyben az adatalany fél. Ebből az okból volt szükséges - legalább az információs társadalommal összefüggő szolgáltatások tekintetében - ezen törvényi jogalap megteremtése. Az, hogy a szerződés teljesítéséhez szükséges adatkezelés valójában nem az érintett hozzájárulásán alapul, igen lényeges, hiszen az érintett jogai (pl. törléshez való jog) visszaélésszerű joggyakorlásra ad lehetőséget ellenkező szabályozás esetében.

13/A § (1) A szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződés létrehozatala, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása valamint az azzal kapcsolatos követelések érvényesítése céljából kezelheti az igénybevevő azonosításához szükséges és elégséges azonosító adatokat.

(2) A szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződésből származó díjak számlázása céljából kezelheti az információs társadalommal összefüggő szolgáltatás igénybevételével kapcsolatos olyan személyes adatokat, amelyek a díj meghatározása és a számlázás céljából elengedhetetlenek, így különösen a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó adatokat.

A verzió:

(3) A szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. Külön rendelkezésbe:

Az adatelkerülés és adattakarékosság elve

- 115/116 -

A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és minden esetben úgy kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, és ebben az esetben is csak a szükséges mértékben és ideig.

B verzió

(3) A szolgáltató a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és minden esetben úgy kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, és ebben az esetben is csak a szükséges mértékben és ideig.

A (3) bekezdésben szabályozott elv, az adattakarékosság elve nem csak az Avtv. 5. § (2) bekezdésében szabályozott "szükségesség elvét" konkretizálja a szektorális szabályozás céljának megfelelően, hanem - a TDDSG-ben megjelent, majd abból a BDDSG-be átemelve a német adatvédelmi jog alapelvévé vált - adatelkerülés és adattakarékosság elvét honosítja meg a magyar jogban. Az adattakarékosság elve több, mint az Avtv. 5. § (2) bekezdésében meghatározott alapelv, mert az adatkezelővel szemben azt a kötelezettséget állítja fel, hogy az már az adatkezelés megkezdése előtt szempontként érvényesítse a személyes adatok kezelésének - ha ez lehetséges - elkerülését, ill. az adatkezelés terjedelmének a lehető legkisebb mértékűre szorítását. A követelmény az üzemeltetésre is kiterjed, azaz pl. megsérti ezt az alapelvet az az adatkezelő is, amely valamely szoftvervagy hardvereszközt úgy konfigurál, hogy annak működése a szolgáltatás nyújtásához vagy a törvényben meghatározott egyéb cél teljesüléséhez szükséges mértéken túl eredményezi személyes adatok kezelését.

Az adatelkerülés (a személyes adatok kezelésének lehetőség szerinti elkerülése) követelményét - bár az az adattakarékosság elvéből is levezethető - a jogalkotói cél egyértelmű jelzése végett külön rögzítendőnek véltük.

Az adattakarékosság elvével kapcsolatban problémaként merül fel, hogy a jogi kötelezettség kiterjedjen-e az adattakarékosság elvét érvényre juttató technológia választásának kötelezettségére olyan esetben is, amikor ez a szolgáltatónak többletköltséget okoz. A BDSG szövege szerint akkor köteles az adatkezelő pszeudonim és anonim módon lehetővé tenni a felhasználást, ha "az lehetséges, és az azzal kapcsolatos költség arányban áll az elérni kívánt védelmi céllal". Egy másik, összetettebb megoldás jelenik meg a környezetvédelmi jog által ismert "elérhető legjobb technika" fogalmában (1995. évi LIII. tv. 4. § vb) pont). E fogalom keretében is értékelni kell "az elfogadható műszaki és gazdasági feltételeket" valamint "a költségeket és előnyöket". Külön jogszabályban meghatározott esetekben az elérhető legjobb technológia alkalmazása kötelezettség. Az elérhető legjobb technikához kell hasonlítani az alkalmazandó technológiát a részletes környezeti hatástanulmány kidolgozásakor (1995. évi LIII. tv. 71. §) is.

Mindkét fenti megoldás az előnyök és hátrányok, költségek és hasznok mérlegelését kívánja meg a jogalkalmazótól és a jogkövető személytől, vállalkozástól. Ugyanakkor a szabályozás előkészítése során kialakított álláspontunk szerint hasonló rendelkezés bevezetése a magyar adatvédelmi jogba inkább a jogbizonytalanságot erősítette, mint valós garanciát teremtett volna. Az "elérhető legjobb technika" fogalmának bevezetése, vagy a költésegek mérlegelésének előírása feltételezte volna olyan mechanizmus - az adatvédelmi audit - megteremtését is, amelynek során az adatkezelésre, -feldolgozásra szolgáló eszközök külső fél általi minősítése is megtörténhetne. Az adatvédelmi audit meghonosítását Magyarországon a szabályozás előkészítésekor - mivel azzal kapcsolatban elegendő tapasztalat még Németországban sem halmozódott fel - idő előttinek tartottuk[7]. Az elérhető legjobb technológia alkalmazásának kötelezettségét pedig nem tartottuk előírhatónak egy olyan környezetben, amelyben álláspontunk szerint az adatvédelmi biztos nem rendelkezett a megfelelő szankciók alkalmazásának lehetőségével egy hasonló jellegű rendelkezés megsértése esetén. Az adatvédelmi jog általános felülvizsgálata során kell majd sort keríteni az adatvédelmi audit meghonosításának vizsgálatára, és ennek kapcsán azon kérdés elemzésére, hogy miképp teremthető meg valamely adatfeldolgozási technológia adatvédelmi minősítésének intézményrendszere, ill. miképp írható elő ilyen technológia alkalmazása akár nagyobb költség esetén is. (A rendelkezés meghonosításának feltétele olyan intézményrendszer kialakítása, amelyben az "aránytalan", "arányos", "elérhető" legjobb fogalmak értelmezése megfelelő, az üzleti és az adatvédelmi szempontokat is értékelő, jogorvoslatra is módot adó eljárás keretében történhet meg.)

Az általunk 2003-ban javasolt, és végül a törvény szövegébe került megoldás nem igényel költség/haszon elemzést a jogalkalmazó és jogkövető részéről, viszonylag egyszerűen alkalmazható, és hangsúlyosan jeleníti meg az adatkezelők számára az adattakarékosság elvének érvényre juttatásához szükséges technológia választásának kötelezettségét. A (3) bekezdéssel kapcsolatban felmerülhet a jogalkalmazás során az adatbiztonság kérdése. A szolgáltatás nyújtásához elengedhetetlenül szükséges-e azon adatok kezelése, amelyek a rendszerbiztonság fenntartásához szükségesek? Álláspontunk szerint a biztonság szempontjának a törvényszövegbe való felvétele kitárta volna a kaput az adatkezelések indokolatlanul széles köre előtt, a jelen szöveg azonban lehetőséget ad az eseti jogalkalmazói értelmezésre atekintetben, vajon valamely biztonsági célból végzett adatkezelés szükséges-e a szolgáltatás nyújtásához.

Az "az e törvényben meghatározott egyéb célok teljesüléséhez" fordulat beillesztését azért javasoltuk, hogy a rendelkezés ne ütközzön a (4) bekezdésbe (amely alapján esetleg személyes adatnak minősülő adatok kezelése a szolgáltatásnyújtás technikai biztosításához szükséges mértéken felül is megengedett).

Az adatelkerülés és adattakarékosság olyan új elv, amely kedvező jogalkalmazói tapasztalatok esetén középtávon - a német adatvédelmi joghoz hasonlóan - a személyes adatok védelméről szóló törvényben is rögzíthető lenne, mint általános adatvédelmi alapelv. Ezért "A" szövegjavaslatként megfontolásra érdemesnek tartottuk az elv külön cím alatt történő rögzítését, ám az elfogadott szöveg végül a fenti "B" verzióra alapult.

5. Felhasználói profilok képzése, targetálás

Az általunk javasolt szabályozás fontos eleme volt a később13/A § (4) bekezdéseként elfogadott rendelkezés, amely szerint:

(4) A szolgáltató előzetesen meghatározott bármely, a (3) bekezdésben rögzítettől eltérő célból - így különösen szolgáltatása hatékonyságának növelése, az igénybevevő

- 116/117 -

számára célzott reklám vagy egyéb célzott tartalom eljuttatása, piackutatás céljából a szolgáltatás igénybevételével kapcsolatos adatokat az igénybevevő hozzájárulásának hiányában csak akkor kezelhet, ha azok az igénybevevővel közvetlenül nem hozhatók kapcsolatba (nem azonosított személyhez kötött felhasználói profil).

Az Avtv.-nek a személyes adat fogalmát meghatározó definíciója szerint "személyes adat: a meghatározott természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható" (2. § 1. pont). Az adatvédelmi biztos egy állásfoglalása alapján "a magyar adatvédelmi törvény definíciója szerint [...] minden olyan adat személyes adat, amely természetes személlyel kapcsolatba hozható. Az ilyen adat személyes adat, tekintet nélkül arra, hogy a kapcsolat csak több lépésben építhető fel illetve arra, hogy a kapcsolat megteremtésére valamely adatkezelő önmagában nem képes"[8]. Létezik ettől eltérő jogalkalmazói állásfoglalás is: a BH2001.269 sz. eseti döntés szerint "meghatározott természetes személlyel kapcsolatba hozható adatnak minősül a természetes személy lakáscíme, telefonszáma. Az az adat azonban, hogy az előfizető telefonvonaláról mikor, mely telefonszám hívásával és milyen időtartamban került sor telefonbeszélgetésre, meghatározott természetes személlyel már nem hozható közvetlenül összefüggésbe. A telefonbeszélgetések időtartama, irányultsága alapján meghatározott természetes személyre következtetés sem vonható le."

Abban a kérdésben, hogy az internet-használattal összefüggésben generált forgalmi adatok személyes adatnak minősülnek-e, az EU tagállamainak adatvédelmi hatóságai is más-más álláspontot foglalnak el, sőt, másmás következtetéseket engednek meg olyan adatvédelmi jogszabályok is, amelyeket már a 95/46/EK sz. irányelv rendelkezéseinek figyelembevételével alkottak meg[9]. Ezért szükséges általában megadni ezen adatok kezelésére a törvényi felhatalmazást, ám oly módon, hogy azok a szolgáltatásnyújtástól eltérő célból csak akkor legyenek kezelhetők, ha az igénybevevő "valódi" személyazonosságához az adatkezelő által nem kapcsolhatók. A rendelkezés az azonosíthatóság[10] új szintjét vezette be a hazai adatvédelmi jogba (amely a fent idézettek szerint a bírósági gyakorlatból származik): a közvetlen azonosíthatóság kizárása és a hozzá kapcsolódó letiltási jog együttesen megteremthette a szolgáltatók számára a szolgáltatások fejlesztésének lehetőségét, ám ezzel párhuzamosan lehetőséget adott az információs önrendelkezési jog gyakorlására is.

A rendelkezést nem természetes személy felhasználók vonatkozásában a törvény adatvédelmi rendelkezéseinek hatályából következően nem kellett alkalmazni. Sajnos a "nem azonosított személyhez kötött felhasználói profil" szövegrész végül nem került be az elfogadott törvényszövegbe.

E rendelkezést a 2005. évi CLXXI. törvény új szabályozással váltotta fel, amely szerint: "A szolgáltató a szolgáltatás igénybevételével kapcsolatos adatokat bármely, a (3) bekezdésben meghatározottaktól eltérő célból - így különösen szolgáltatása hatékonyságának növelése, az igénybe vevőnek címzett elektronikus hirdetés vagy egyéb címzett tartalom eljuttatása, piackutatás céljából - csak az adatkezelési cél előzetes meghatározása mellett és az igénybe vevő hozzájárulása alapján kezelhet." Ez a szabály - amelynek az indokolás szerint célja a "nyelvi pontosítás és a belső koherencia megteremtése" - az adatvédelmi biztos vonatkozó gyakorlatának tükrében előzetes hozzájáruláshoz köti, a gyakorlatban ellehetetleníti a "közvetett" adatokon alapuló profilképzést és az ezen a profilon alapuló targetált hirdetések megjelenését[11].

A (4) bekezdésben foglalt adatkezelések vonatkozásában az (5) bekezdés rögzítette a tiltakozási jogot (a 2005. évi módosítás nyomán természetesen e rendelkezés értelme is kétségessé vált):

(5) A igénybevevőnek az információs társadalommal összefüggő szolgáltatás igénybevételét megelőzően meg kell adni és a szolgáltatás igénybevétele során folyamatosan biztosítani kell a lehetőséget arra, hogy a (4) bekezdés szerinti adatkezelést megtilthassa.

(6) A (4) bekezdésben meghatározott adatok nem kapcsolhatók össze az igénybevevő azonosító adataival és az igénybevevő hozzájárulása nélkül nem adhatók át harmadik személy számára.

A javaslatban foglalt, és a törvény szövegébe is bekerült (6) bekezdés az opt-out előírást opt-in-re változtatja abban az esetben, ha az adatokat harmadik félnek adja át a szolgáltató. (Ilyen a jelenlegi technológiák közül az ún. third party cookie-k esete, amennyiben az adatátadás másik személynek történik, tehát a szervereket nem ugyanaz a személy üzemelteti). E rendelkezés hátráltatja meghatározott szolgáltatások működtetését, ám álláspontunk szerint ebben az esetben az igénybe vevő magánszférája fokozottan sérülhet, ezért ilyen esetben - (4) bekezdésben foglalttal ellentétben - valóban indokolt a hozzájárulás alapján történő adatkezelés előírása.

(7) Az (1)-(3) bekezdésben szabályozott célokból kezelt adatokat - ha azok kezelését más törvény nem teszi kötelezővé - törölni kell a szerződés létrejöttének elmaradása, megszűnése, valamint a számlázás megtörténte után. A (4) bekezdésben meghatározott célból kezelt adatokat törölni kell, ha az adatkezelési cél megszűnt, vagy az igénybevevő így rendelkezik.

(8) Az információs társadalommal összefüggő szolgáltatás nyújtása nem tehető függővé az igénybevevőnek valamely e § (1)-(3) bekezdésében nem említett célból történő adatkezeléshez való hozzájárulásától, amennyiben az adott szolgáltatás más szolgáltatótól nem vehető igénybe.

A (7) bekezdés törlési határidőket szab meg, míg a (8) bekezdésben foglalt rendelkezés a TDDSG-ből származó, a monopolhelyzetű szolgáltatóra vonatkozó szabály átültetése, amely szintén az adatvédelmi jog új elemévé vált. A rendelkezés a hozzájáruláson alapuló adatkezelésekkel kapcsolatos visszaéléseket zárja ki abban az esetben, ha a szolgáltatás más szolgáltatótól (az adott igénybevevő által) nem vehető igénybe. Egyéb esetben - mivel a rendelkezés az információs önrendelkezési jogot korlátozza - nem tartottuk indokoltnak a hozzájáruláson alapuló adatkezelések tilalmának előírását.

(9) A személyes adatok védelméről szóló törvényben meghatározott tájékoztatáson kívül a szolgáltatónak biztosítania kell, hogy az igénybevevő az információs társadalommal összefüggő szolgáltatás igénybevétele előtt és az igénybevétel során bármikor megismerhesse, hogy a szolgáltató mely adatkezelési célokból mely adatfajtákat kezel. A tájékoztatásnak ki kell terjednie az e §-ban meghatározott összes adatkezelésre is, ideértve

- 117/118 -

az igénybevevővel közvetlenül kapcsolatba nem hozható adatok kezelését is.

A hatályos Avtv. 6. §-a meghatározott tájékoztatási kötelezettségeket ír elő az adatkezelő számára. A szektorális szabályozás két elemmel bővítette ezen kötelezettséget: egyrészt az információt állandóan elérhetővé kell tenni, másrészt az kiterjed a felhasználóval közvetlenül kapcsolatba nem hozható adatokra (vagyis adott értelmezés esetén az Avtv-ben meghatározott személyes adatok körénél szélesebb körre) is. (Ilyen pl. webszerver üzemeltetése esetén a cookie-technológiára vonatkozó tájékoztatás kötelezettsége.) Mivel a személyes adat meghatározására vonatkozó szabályozás végül nem került be a törvényszövegbe, e rendelkezés jelentősége csökkent. ■

JEGYZETEK

[1] Az Ekertv. 2003. évi módosításának előkészítésében a szerző az Informatikai és Hírközlési Minisztérium megbízásából szakértőként vett részt.

[2] Lásd erről Bocsák Attila: A hírközlési szolgáltatások igénybevétele során felmerülő adatvédelmi kötelezettségek, különös tekintettel a hírközlési forgalmi adatok kezelésére vonatkozó EU irányelvvel kapcsolatos alkotmányossági problémákra, Infokommunikáció és Jog, 2006/2. 49-54. o.

[3] A probléma kifejtését részletesen lásd: Jóri András: Adatvédelmi kézikönyv, Osiris, Budapest, 2005. (a továbbiakban: Kézikönyv), 100-110. o. Az osztrák adatvédelmi törvény megoldásáról, amely az indirekt személyes adat fogalmának bevezetésével kívánja orvosolni a problémát, lásd a 120. oldalon írtakat.

[4] Az adatvédelmi szabályozás generációiról lásd Kézikönyv 21-66. o.

[5] Lásd erről: Polyák Gábor: Az elektronikus szolgáltatások adatvédelme - németországi szabályozás, hazai iránymutatással. Napi Jogász, 2003/3.

[6] Az ezzel kapcsolatban megfogalmazható kritikákra lásd Kézikönyv 92-94. o.

[7] Az adatvédelmi audit intézményének részleteivel kapcsolatban lásd Balogh Zsolt György - Jóri András - Polyák Gábor: Adatvédelmi "legjobb gyakorlat" kialakítása az elektronikus közigazgatásban, Pécsi Tudományegyetem Állam- és Jogtudományi Kar, Informatikai Jogi Műhely, Pécs, 2002 (kézirat) 329-392. o.

[8] ABI 2000, 286. A gyakorlat részletes elemzésére lásd Kézikönyv 100-110. o

[9] Joel R. Reideberg-Paul M. Schwartz: On-line Serives and Data Protection and Privacy, European Commission, DG Internal Market and Financial Services, 1998 (Annex to the Annual Report 1998 of the Working Party established by Article 29 of Directive 95/46/EC)

[10] A Kézikönyvben leírt, később kidolgozott rendszerben ez a probléma nem az azonosíthatóság, hanem a kapcsolatba hozhatóság kérdése.

[11] A hazai adatvédelmi jog területén sajnos már hagyománya van a hasonló, a szabályozás mögött húzódó koncepció teljes hiányáról árulkodó "jogalkotásnak" és a semmitmondó miniszteri "indokolásoknak". Említhetjük az adatfeldolgozás fogalmával kapcsolatos öncélú rendelkezéseket, a közérdekből nyilvános adat fogalmát bevezető zavaros értelmű módosítást (lásd Kézikönyv 133. o.), vagy azt az esetet, amelynek során a Btk. különös részi tényállásai között egyedül a jogosulatlan adatkezelés - már hatályon kívül helyezett - meghatározása során élt a jogalkotó a "büntetendő" helyett "büntethető" szó használatával, rövid ideig a dogmatikailag csiszolt büntetőjog területére is exportálva az adatvédelmi jogi jogalkotás sajátosságait.

Lábjegyzetek:

[1] A szerző ügyvéd.

Tartalomjegyzék

Visszaugrás

Ugrás az oldal tetejére