Hálótitkok, avagy internet és adatvédelem

Aligha vitatható, hogy az internet használata szinte automatikusan hozza magával különböző személyes adatok forgalmát úgy, hogy természetesen nem tudjuk pontosan, ki van a vonal másik végén és adatainkat mire használja. Elég, ha csak a különböző regisztrációs oldalakon megadandó adatokra gondolunk, de az internetes technológia egyik lényegi jellemzője emellett az is, hogy magának a böngészőprogramnak a használatából, a használat egyes jellemzőiből számítástechnikai úton levonhatók bizonyos következtetések, amelyek a felhasználóval azonosítva már a személyes adat kategóriájába esnek.

A személyes adatokat Magyarországon is már tíz éve védi törvény: ennek alapelve, hogy személyes adatot kezelni (ideértve bármilyen eljárással megvalósított gyűjtésüket, tárolásukat, feldolgozásukat, hasznosításukat és törlésüket is) csak törvényi felhatalmazás vagy az érintett (az adatgazda) hozzájárulása alapján szabad. Személyes adat a törvény szerint, az adott természetes személlyel kapcsolatba hozható bármely adat, vagy az adatból levonható következtetés.

Minthogy az adatkezelés törvényi szabályai az alkalmazott eljárástól függetlenül irányadók, az adatvédelmi törvény külön kiterjesztő rendelkezés nélkül is alkalmazandó az internetes adatkezelésekre. Az adatvédelmi biztos már tavaly ajánlásban hívta fel ezzel kapcsolatban a szolgáltatók és a felhasználók figyelmét az alapvető jogokra és kötelezettségekre.

A szolgáltatók oldalán idesorolandó mindenekelőtt az adatbiztonság. Erről úgy kötelesek gondoskodni, hogy minden olyan kárért felelnek, amely nem elháríthatatlan külső oknál fogva következett be. Idesorolandó továbbá a szolgáltatók tájékoztatási kötelezettsége: még az adatok felvétele előtt tájékoztatniuk kell a felhasználót az adatkezelés céljáról, módjáról, illetve esetleges veszélyeiről, sőt az adatkezelő személyéről. A felhasználók, az adatgazdák oldalán pedig ez tulajdonképpen annak megkövetelését jelenti, hogy az említett és az adatbiztonságra is kiterjedő tájékoztatást megkapják. A legtöbb szolgáltató ennek ma az úgynevezett "adatvédelmi nyilatkozat" nyitólapon való közzétételével tesz eleget, de érdemes emlékezni arra a régi bölcsességre, hogy minden ilyen nyilatkozat annyit ér, amennyit betartanak belőle.





>> Szigorúbb adatkezelési feltételek



Nyilvánvaló az is, hogy az interneten továbbított személyes adatokra is alkalmazandó a tudományos, piackutatási és közvetlen üzletszerzési céllal történő adatgyűjtésre vonatkozó törvény, amely igen szigorú (itt most külön nem részletezendő) feltételeket szab a személyes adatok ilyen célú kezelésének. E szabályok kitérnek arra, hogy ha nem az adatgazdától származnak az adatok, akkor legfeljebb milyen körből lehet őket beszerezni, illetve milyen esetekben van szükség az adatkezeléshez való kifejezett hozzájárulásra. Mindezekkel kapcsolatban itt elegendő arra felhívni a figyelmet, hogy ahol a törvény írásbeli hozzájárulást követel meg (ilyen például az az eset, amikor az egyik szolgáltatócég a vele nem konkuráló másik szolgáltatónak kívánja átadni ügyfele név- és lakcímadatait direkt marketing céljából), ott e követelménynek eleget tesz a fokozott biztonságú elektronikus aláírással ellátott, elektronikus formában létező hozzájáruló nyilatkozat is.

Maga az elektronikus aláírásról szóló törvény is megfogalmaz adatvédelmi szabályokat, amikor rögzíti, hogy személyes adatot a hitelesítésszolgáltató csak az aláírótól közvetlenül és csak olyan terjedelemben szerezhet be, ami feltétlenül szükséges a tanúsítvány kiadásához. Harmadik személyek számára pedig - kivéve a hatóságokat - semmilyen célból nem teszi lehetővé az adatok átadását.

Sokkal több fejtörést okoznak azok a gyakorlatban felmerülő kérdések, amelyek első látásra bonyolultnak tűnnek, de amelyek megválaszolása révén többé-kevésbé kikristályosodhatnak az internetes adatvédelem spe-

cialitásai. Ezeket sorra véve jelentős részben támaszkodom az adatvédelmi biztos beszámolóira és ajánlására, figyelembe véve azt is, hogy azok közzététele óta az elektronikus aláírásról, továbbá az elektronikus kereskedelemről szóló törvények is hatályba léptettek adatvédelmi rendelkezéseket.





>> Munkahelyi, vagy magánlevél?



Rendszeresen visszatérő kérdés, hogy a munkáltatónak joga van-e ellenőrizni a munkahelyi internet- és e-mail használatot. Kétségtelen tény ugyanis, hogy - főleg azoknál a cégeknél, amelyek az internetezés díját nem átalányban fizetik - a munkáltató jogos érdeke, hogy költségeit a minimálisra szorítsa le, ezért joggal várja el, hogy munkavállalói ne szaporítsák kiadásait magáncélú internetezéssel és e-mailezéssel.

Az adatvédelmi biztos többször kifejtett álláspontja szerint ebben az esetben viszont a munkáltató ezen elvárásának világosan kifejezésre kell jutnia. Jelesül: vagy engedélyezi a magáncélú használatot, vagy nem. Ha engedélyezi, akkor sem a látogatott oldalakra vonatkozó adatokat, sem pedig azt nem ismerheti meg, hogy a munkavállaló kivel folytat levelezést, nem beszélve a levelek tartalmáról. Az ezzel ellentétes gyakorlat éppolyan jogellenes lenne, mint a dolgozók telefonbeszélgetésének lehallgatása - mondja az adatvédelmi biztos. Konkrét esetekre utalva az adatvédelmi biztos kifejtette, hogy megfelelő törvényi felhatalmazás, illetve a munkavállaló hozzájárulásának hiányában a személyes, csak a munkavállaló számára hozzáférhető postafiókba érkező, illetve onnan kimenő elektronikus küldemények tartalmának megismerése éppoly jogellenes lenne, mint a munkavállaló nevére, de a cég címére érkező postai küldemények feltörése, visszatartása.

Kérdés persze, mi a jogi helyzet, ha a munkáltató előre kikötötte, hogy magáncélra nem lehet az internetet és az elektronikus levelezést használni, sőt kikötötte azt is, hogy e rendelkezés megtartását ellenőrizni fogja. A fentiek alapján - és ez már e sorok írójának az álláspontja - a munkáltató csupán a magáncélú használat tényét ellenőrizheti, éppúgy, mint amikor a telefontársaságtól kapott híváslista alapján azonosítja a magáncélú hívásokat. De még az esetleges meg nem engedett magáncélú e-mailezés esetén sincs joga a levelek tartal-

mát megismerni, amint a tiltott magántelefonokat sem jogosult lehallgatni. A munkavállaló fegyelmezetlenségének legfeljebb munkajogi következményei lehetnek, de nem jogosítja fel a munkáltatót az adatvédelmi jog megsértésére.





>> Személyes adat-e az e-mail cím?



A fenti jogkérdés megválaszolását akár meg is előzhette volna annak tisztázása, hogy maga az e-mail cím, vagyis az elektronikus forgalomban való elérhetőség személyes adat-e olyan értelemben, hogy annak továbbadásához szükség van-e az érintett hozzájárulására. A kérdés azonban önállóan is megállja a helyét.

A gyakorlatban ennek eldöntése annál inkább sürgető, mert a mai elektronikus levelezőprogramok alapértelmezés szerint azonosítják a küldő felet, sőt, ha a kapott küldeményt rajtunk kívül más is megkapta, akkor az öszszes címzett e-mail címe akaratlanul is hozzáférhetővé válik számunkra.

Az adatvédelmi biztos egy tavalyi esetben, amikor a panaszos egy internetes gazdasági hetilaptól kapott olyan levelet, amelyen több száz más felhasználó címe is hozzáférhető volt, még az adatbiztonság oldaláról közelítette meg a kérdést. Kimondta, hogy sérült az adatbiztonság követelménye, és felhívta a szolgáltató figyelmét annak kielégítésére. Egy későbbi esetben azonban már inkább elvi éllel arra mutatott rá, hogy az e-mail cím akkor személyes adat, ha "a kapcsolat a cím és birtokosa között helyreállítható".

Akár azért, mert megegyezik a természetes személy nevével, akár azért, mert például egy domainregisztrációs adatbázisból hozzáférhető. Ebből viszont az is következtethető, hogy ha az azonosítás nem végezhető el, akkor önmagában egy e-mail címmel senki nem megy semmire, ennélfogva az nem is tekinthető személyes adatnak.

Ez át is vezet a következő kérdéshez, a kéretlen reklámok kérdéséhez. A kérdést ma már törvény szabályozza, de a választott megoldás körül ezt megelőzően heves vita folyt. A törvényt előkészítők, ki tudja, miért, az úgynevezett opt-out rendszer mellett tették le a garast, amelyben aki nem kér kéretlen reklámot, annak minden egyes esetben ezt külön jeleznie kell. A szakma érveinek hatására végül képviselői módosító indítvány nyomán a törvény végleges szövege az opt-in rendszert tette magáévá: csak annak lehet közvetlen reklámot küldeni, aki azt előzetesen, kifejezetten kérte. Ez a megoldás felel meg egyébként az adatvédelmi biztos még a törvény megszületését megelőzően kiadott állásfoglalásainak.

Ha már munkáltatónktól és a kéretlen reklámoktól valamilyen óvintézkedésekkel megvédtük titkainkat, még mindig kérdés, miképpen védhetjük meg üzeneteinket a hackerekkel szemben. Kézenfekvő lenne a megoldás, hogy az elektronikus aláíráshoz is használt úgynevezett nyilvános kulcsú titkosítóeljárást alkalmazzuk.

Csakhogy az elektronikus aláírásról szóló törvény kifejezetten kimondja, hogy a magánkulcs kizárólag aláírás létrehozására használható, titkosításra nem. A törvényhez fűzött miniszteri indokolás szerint erre a tilalomra "nemzetbiztonsági érdekből" van szükség.

Túl azon, hogy ezzel a törvényhozó gyakorlatilag nem tett mást, mint ha azt mondta volna, hogy holnaptól tilos borítékot használni, a rendelkezés alkotmányossága egyébként is megkérdőjelezhető. Ezzel ugyanis a törvényhozó az adataink védelmének egy formájától foszt meg minket, ám az ennek magyarázatául szolgáló "nemzetbiztonsági érdek", amint arra az Alkotmánybíróság több határozatban már rámutatott, túlzottan tág fogalom ahhoz, hogy elfogadható indok legyen.

Ezt az álláspontot erősíti az adatvédelmi biztosnak szintén még a törvény kihirdetését megelőzően kiadott, de a problémát már előre sejtő állásfoglalása. Eszerint a nemzetközi példák azt igazolják, hogy "a polgári célú kriptográfia jogszerű használatának korlátozása káros, a bűnüldözés hatékonysága szempontjából előnyei kétségesek, viszont a személyes adatok védelme szempontjából hátrányai kétségtelenek".

Ehhez talán annyit érdemes még hozzáfűzni, hogy a törvény jelenleg semmilyen szankciót nem helyez kilátásba arra az esetre, ha valaki mégis használ virtuális borítékot. Természetesen ez senkit ne bátorítson jogsértésre!

A jogsértés nemegyszer büntetőeljárást von maga után. Igaz, az adott esetben okozhat majd némi fejtörést a nyomozó hatóságnak meg a bíróságnak is, hogy az elektronikus levelezésre vonatkozó információk milyen esetben adhatók ki bizonyítékként.

A rendőrségről szóló törvényben 1999 óta szerepel a bírói engedélyhez kötött titkos információgyűjtés esetei között az internetről származó adatok gyűjtése. Eszerint súlyos (legalább ötévi szabadságvesztéssel fenyegetett) bűncselekmények esetében, bírói engedély birtokában a rendőrség "az interneten vagy más számítástechnikai úton történő levelezés (e-mail) során keletkezett adatokat és információkat megismerheti és felhasználhatja".

Ne legyenek illúzióink: minthogy a törvény nem részletezi, hogy milyen "adatokról" és "információkról" van szó, törődjünk bele, hogy bármilyenről. A nem súlyos bűncselekmények esetében is megkeresheti a rendőrség például az internetszolgáltatót adatszolgáltatásért, de ehhez az ügyész jóváhagyása szükséges. Más kérdés, hogy az internetszolgáltató elméletileg nyilatkozhat úgy, hogy nincs tudomása a megkeresés tárgyáról.

Közös szabály bármelyik esetben, hogy az üggyel össze nem függő személyes adatot haladéktalanul törölni kell. Az persze, hogy ez ténylegesen meg is történik-e, már a "ki őrzi az őrizőket" kérdése.