BUX 139495.62 1,36 %
OTP 44920 2,14 %
economx_logo
Csatlakozás
Keresés
Buksza blog
Video
Promo app

Töltse le az Economx appot!

Letöltés
Az adatvédelmi törvény novellájának szükségességéről
OTP 44920 2,14 %
EUR/HUF 352.6 0,24 %
Csatlakozás
Keresés
Buksza blog
Video

Az adatvédelmi törvény novellájának szükségességéről

Az adatvédelmi biztos mandátumának lejárta, az új biztos személye körüli viták kapcsán napvilágot láttak olyan vélemények is, amelyek szerint meg kellene változtatni a biztos közjogi helyzetét, át kellene szervezni hivatalát. A biztos és hivatala körüli politikai viták mellett érdemes szakmai szempontból is megvizsgálni, milyen gyakorlati tapasztalatokkal járt az 1993. május 1-jével hatályba lépett magyar adatvédelmi törvény alkalmazása. A jogalkotási programról szóló kormányhatározat szerint a törvény módosítására 2001-ben kerül sor – vajon annak csak kisebb módosításnak vagy átfogó novellának kell lennie?

2001. június 25. hétfő, 18:07

Megosztom

Google Állítsd be Google keresőjét, hogy a találatok között biztos ott legyen az Economx!

Az Európai Bizottság 2000. júliusi döntése szerint a személyes adatok védelmének magyarországi szintje az EU adatvédelmi irányelve (a továbbiakban: irányelv) szempontjából megfelelőnek minősül. Álláspontunk szerint az elmúlt évek jogalkalmazási tapasztalatai mégis arra mutatnak, hogy a törvény bizonyos pontokon módosításra szorul, máshol új rendelkezésekkel kell kiegészíteni azt. Ezt nem csak az irányelvhez történő közelítés igénye indokolja: az adatvédelem őshazája, Németország szabályozásában a magyar jogalkotó számára is példamutató új megoldások tűntek fel a szövetségi adatvédelmi törvény ez év májusában hatályba lépett – egyébként szintén az EU-irányelv implementálása céljából történő – módosításával.
A cikk nem törekszik teljességre: a tárgyalt négy téma azonban elegendő arra, hogy igazolja: a törvény átfogó módosításra szorul. Elsőként a hatályos törvény fogalomrendszerének egyes problémáiról szólunk, aztán a szerződésen alapuló adatkezelés feltételeinek kérdését vizsgáljuk, majd a független ellenőrző hatóság hatáskörének lehetséges módosítását tárgyaljuk. Végül ismertetünk néhány, a német adatvédelmi jogban újonnan megjelent megoldást.

1. Az adatvédelmi törvény meghatározásainak problémái

Adatkezelés

A személyes adatokról és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. tv. (a továbbiakban: Avtv.) szerint „adatkezelés az alkalmazott eljárástól függetlenül a személyes adatok gyűjtése, tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és nyilvánosságra hozatalt) és törlése”, valamint „adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása is” . Kérdés, vajon adatkezelés-e valamely adat megismerése, tehát az adatokba történő puszta betekintés. A jogalkotói szándék alapján az: a törvény miniszteri indoklása szerint „az adatkezelés az adatokra alkalmazható minden elképzelhető műveletet felölel”. E betekintést adatkezelésnek minősítő fogalommeghatározás lenne összhangban az irányelv definíciójával is. Ám a hatályos szövegből mégsem ez következik, hiszen a meghatározásban adott felsorolás nem példálózó, hanem taxatív. A jogalkotónak minél előbb fel kell vennie az adatkezelési cselekmények körébe a betekintést is. Igen veszélyes bármilyen értelmezési bizonytalanságnak teret adni e kérdésben, hiszen – tekintettel arra, hogy a Btk. 177/A §-ában foglalt jogosulatlan adatkezelés kerettényállás – az adatkezelés fogalmának terjedelme dönti el azt, hogy az adatokba jogtalanul betekintő, ám adatkezelést nem végző személy cselekménye büntetendő-e.

Adatfeldolgozás

Az „adatfeldolgozó” és az „adatfeldolgozás” fogalma az Avtv. 1999-es módosításakor került be a törvénybe. A módosítás nyomán az Avtv. azon személyt határozza meg adatfeldolgozóként, aki az adatkezelő megbízásából személyes adatok feldolgozását végzi. Adatfeldolgozásnak pedig az „adatkezelési műveletek, technikai feladatok elvégzését” tekinti. A jogalkotó célja az volt, hogy az irányelvben foglaltakkal összhangban az adatkezelő mellett olyan alany is megjelenjen a törvényben, amely pusztán az adatkezelő által meghatározott célból, módon és keretek között kezelhet adatot. Az adatfeldolgozó által végzett jogellenes adatkezeléssel okozott kárért is az adatkezelő felel, mégpedig az Avtv. 18. §-ában foglalt, a veszélyes üzemi felelősségnek megfelelő szabály szerint.
A törvénymódosítás nem szolgálta a magyar adatvédelmi jog fogalomrendszerének átláthatóságát, illetve nem közelítette azt az irányelvéhez. Az irányelv és a magyar törvény kategóriái a következőképpen feleltethetők meg egymásnak:

Irányelv Avtv
data controller adatkezelő
data processing adatkezelés
data processor adatfeldolgozó
– adatfeldolgozás

Az irányelv nem ismeri az „adatfeldolgozás” kategóriáját. Az abban használt fogalmak pontosan tükrözik azt a helyzetet, hogy egy tevékenységről van szó (data processing, melyet magyarul adatkezelésnek fordítunk), az e tevékenységet megbízás alapján végző személy a „data processor”, az a személy pedig, aki az adatkezelés célját és módját meghatározza, a „data controller”. Ezzel ellentétben a magyar törvény fogalomrendszere több értelmezésre is lehetőséget ad.
Az általunk helyesnek vélt értelmezés szerint az adatfeldolgozó bármely adatkezelési műveletet (a törvény szerint ilyennek minősül a személyes adatok gyűjtése, felvétele és tárolása, feldolgozása, hasznosítása – ideértve a továbbítást és a nyilvánosságra hozatalt is – és törlése) végrehajthat, adatkezeléssel kapcsolatos döntéseket azonban az Avtv. 2. § 7.a) pontja alapján nem hozhat. Az adatfeldolgozó tehát tulajdonképpen nem más, mint megbízott adatkezelő: mérlegelési joga az adatkezelésre vonatkozó döntések során nincs.
Az Avtv. fogalomrendszere azonban lehetőséget ad olyan értelmezésre is, amely szerint a különbség adatkezelő és adatfeldolgozó között nemcsak abban áll, hogy az előbbinek van az adatkezelést illető döntési jogosultsága, míg az utóbbinak nincs, hanem az általuk végezhető adatkezelési műveletek köre is más – miért határozta volna meg egyébként a jogalkotó az adatfeldolgozó tevékenységét? Ilyen értelmezés olvasható ki az adatvédelmi biztos által 2000. június 19-én kiadott „Adósság- és követelésbehajtással foglalkozó gazdasági társaságok személyes adatok kezelésének gyakorlatával kapcsolatos adatvédelmi biztosi ajánlás”-ból. Az ajánlás szerint magánszemély ügyfelek adatait az adatkezelő követeléskezeléssel foglalkozó társaságoknak csak az érintettek hozzájárulásával továbbíthatja.
A szóban forgó ügyben a követeléskezelő társaságoknak az adatkezelőként szereplő távközlési cég mint adatfeldolgozónak továbbította a személyes adatokat, s a követeléskezelők e cég nevében és javára eljárva voltak kötelesek a behajtást és az attól elválaszthatatlan adatkezelési műveleteket végezni. A követeléskezelő cég tevékenysége abban állott, hogy az ügyféllel telefonos kapcsolatot létesített, illetve ha ez nem sikerült, akkor legfeljebb két alkalommal tértivevényes levélben kereste meg őt. A követeléskezelő a megbízó nevében részletfizetési lehetőséget ajánlhatott fel. Az adatvédelmi biztosi ajánlás szerint „az adósságbehajtó társaságok nem tekinthetők adatfeldolgozónak, mivel a birtokukba került személyes adatokkal nem adatkezelési végrehajtási technikai műveleteket hajtanak végre, hanem azokat felhasználják és azokra támaszkodva a szerződés keretei között döntéseket hoznak, a polgárral szerződésben álló gazdasági társaság tevékenységébe tartozó feladatot látnak el. Az adatkezelő nem adhat át rendelkezési-döntési jogot az adatok felett.”
Kiemelésre érdemes az ajánlásban foglalt azon értelmezés, amely szerint az adatfeldolgozó kizárólag „adatkezelési végrehajtási technikai műveleteket” végezhet, s nem „használhatja fel” az adatokat. Pedig ez utóbbi művelet sem más, mint egy adatkezelési cselekmény végrehajtása: vagyis ha a célt az adatkezelő határozza meg, illetve az adatkezelésre vonatkozó döntést (kit kell megkeresni, mikor stb.) az adatkezelő hozza meg, magát a felhasználást (megkeresést) az adatfeldolgozó is végezheti. (Természetesen a való életben kevéssé valószínű, hogy valamely tevékenység outsourcing keretében történő ellátásakor a megbízó olyan részletes algoritmust adna a működésre, amely alapján a megbízott adatfeldolgozónak minősülhetne.)
A törvény által használt „adatkezelési műveletek, technikai feladatok elvégzése” fordulat álláspontunk szerint megalapozatlanul változott az ajánlásban „adatkezelési technikai műveletek” elvégzésére. A helyes nyelvtani értelmezés szerint az adatfeldolgozás lehet:
a) adatkezelési műveletek elvégzése vagy
b) technikai műveletek elvégzése.
Mivel a b) körbe tartozó műveletek mindegyike egyben adatkezelés is, valójában az „adatfeldolgozás” fogalmának tartalma megegyezik az adatkezelésével, s annak használata a törvényben felesleges, hatása csupán annyi, hogy értelmezési bizonytalanságokhoz vezet. Célszerű lenne mielőbb az irányelv által használt, a táblázatban bemutatott fogalmi hármas átvétele, például felelős adatkezelő (data controller), adatkezelő (data processor), adatkezelés (data processing) fordításban.
További érdekes kérdés, hogy az adatkezelő és az adatfeldolgozó közötti adatforgalom törvényen (magán az Avtv. rendelkezésén) alapuló adattovábbítás-e (a hatályos magyar szabályozás alapján, amely a harmadik személy fogalmát nem határozza meg, ez a védhetőbb elképzelés), vagy nem is minősül adattovábbításnak. Az irányelv fogalomrendszere szerint ez így van, mivel az – a magyar törvénnyel ellentétben – meghatározza a harmadik személy fogalmát, és abból kizárja az adatfeldolgozót. Amennyiben adattovábbításról van szó, úgy alkalmazni kell a külföldre történő adattovábbításra vonatkozó 9. §-t. Amennyiben nem, akkor lehetséges olyan érvelés, hogy a külföldön történő adatfeldolgozás nem esik a 9. § hatálya alá, tehát az olyan országokban is végezhető, amelyek nem biztosítják a magyar jognak megfelelő védelmi szintet a személyes adatok számára. A kérdésnek óriási jelentősége van a multinacionális vállalatok szervezetén belüli adatforgalom jogszerűségének megítélésekor.

2. A jogszerű adatkezelés feltételei

Az Avtv. szövegezése során a jogalkotó az Alkotmány 59. § (1) bekezdésében foglalt, a személyes adatok védelméhez fűződő jog tartalmát elemző alkotmánybírósági döntésekre támaszkodhatott. E döntések a személyes adatok védelméhez fűződő jogot német mintára nem pusztán védelmi jogként, hanem információs önrendelkezési jogként értelmezték. Ahogy a kulcsdöntésben az AB fogalmaz: „az Alkotmány 59. §-ában biztosított személyes adatok védelméhez való jognak […] az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról. Személyes adatot felvenni és felhasználni tehát általában csakis az érintett beleegyezésével szabad […]”. A magyar törvény legfontosabb jellemzője, hogy az információs önrendelkezési jog koncepciójára épül. Az adatalany rendelkezési joga nyilvánul meg abban, hogy az Avtv. szerint személyes adatot kezelni csak az adatalany hozzájárulása vagy törvény (illetve törvény felhatalmazása esetén az abban meghatározott körben helyi önkormányzati rendelet) rendelkezése esetén lehet, illetve abban, hogy a törvény biztosítja az adatalany részére a tájékoztatáshoz, helyesbítéshez, törléshez való jogot.
A magyar adatvédelmi jog szerint tehát az adatkezelő vagy harmadik személy érdeke nem elegendő személyes adatok jogszerű kezeléséhez, csak abban az esetben, ha törvényben rendezett, közérdekből történő adatkezelésről van szó. Az AB szerint „az ilyen törvény korlátozza az információs önrendelkezés alapvető jogát és akkor alkotmányos, ha megfelel az Alkotmány 8. §-ában megkövetelt feltételeknek” – vagyis mindenekelőtt nem korlátozza az alapvető jog lényeges tartalmát. E korlátozás is csak akkor jogszerű az AB állandó gyakorlata szerint, ha elkerülhetetlenül szükséges és a korlátozás céljára tekintettel arányos.
Az irányelv számos, a magyar adatvédelmi törvény által nem ismert esetben is lehetővé teszi az adatok kezelését. Ilyen eset például az, amikor az adatkezelés az adatalany létfontosságú érdekének védelmében szükséges. Amikor az adatkezelés valamely olyan szerződés teljesítéséhez szükséges, amelyben az adatalany szerződő fél, illetve amikor „az adatkezelés az adatkezelő vagy azon harmadik személy jogszerű érdekeit szolgálja, amely részére az adatokat hozzáférhetővé teszi, kivéve, ha az adatalany magánszférájának védelméhez fűződő érdek erősebb, mint az adatkezeléshez fűződő érdek”.
Mivel a jelenlegi magyar szabályozás a szerződés alapján történő adatkezelés lehetőségét nem ismeri (illetve az ilyen adatkezelés tulajdonképpen az adatalany hozzájárulásán alapul), az adatalanynak bármikor lehetősége van arra, hogy nem törvényben elrendelt adatkezelés esetén az adat törlését kérje. Nyilvánvalóan abszurd ez például akkor, amikor az adatalany hitelelemet is tartalmazó szerződés adósi pozíciójában járul hozzá egyes adatkezelésekhez szerződéses kötelezettségeinek megsértése esetére (például követeléskezelő, hitelreferencia-szolgáltatást végző cég számára történő adattovábbítás), majd amennyiben ez az eset valóban bekövetkezik, törvény által biztosított jogával élve kéri az adatkezelés megszüntetését. Szükséges tehát a szerződésen alapuló adatkezelés lehetőségét megteremtő rendelkezések felvétele a magyar adatvédelmi törvénybe. A lehetőség megteremtése nem jelenti az információs önrendelkezési jog sérelmét – hiszen az adatalany éppen e jogával él, amikor a szerződés megkötésekor hozzájárul az adatkezeléshez. Hasonló rendelkezést egyébként az információs önrendelkezési jog elismerésére alapuló német jog is tartalmaz.

3. Felügyelő hatóság, szankciórendszer

Független, az adatvédelmi jog rendelkezéseinek érvényesülését felügyelő szerv létesítését az irányelv kifejezetten előírja. Az Avtv. megalkotásakor a jogalkotó független ellenőrző szervként adatvédelmi ombudsmant hozott létre, akinek kötelezési jogosítványa nincs. A biztos hamar állandó résztvevőjévé vált a nyilvánosságnak és sikeresen ismertette meg az adatvédelmi jogot a hazai közvéleménnyel. Fellépése máig igen hatékony az állami adatkezelőkkel szemben. Ám azok a magáncégek, amelyek számára az előírásoknak megfelelő adatkezelés többletköltséget jelent, egyre kevésbé vehetők rá ajánlással arra, hogy a biztos útmutatásait kövessék. Ezen túl az adatvédelmi jog már érzékeltetett kidolgozatlansága miatt pedig nem szerencsés, ha az állásfoglalások végsők és megfellebbezhetetlenek. Ha a nyilvános, de nem kötelező erejű ajánlásban foglalt értelmezés helyes, akkor sem biztos, hogy az adatkezelő végrehajtja. Ha helytelen, akkor jóvá nem tehető kárt okozhat egy cég jó hírnevének. Ám jelenleg nem derülhet ki, hogy helyes-e vagy sem: nincs lehetőség fellebbezésre.
Álláspontom szerint az ombudsman-modell az adatvédelem területén felülvizsgálatra szorul: az adatvédelmi biztos hivatalát olyan, a kormányzattól továbbra is független intézményként kellene szabályozni, amelynek eljárása az államigazgatási eljárás szabályai szerint folyik, amely az adatkezelőket határozattal kötelezi, s amely az adatkezelőkre bírságot szabhat ki. Számos nemzetközi példa van az adatvédelmi biztosi hivatalok ilyen működésére. Ebben az esetben megnyílna a határozatok bírósági felülvizsgálatának lehetősége is, így a bíróságok „bejárhatnák” az adatvédelmi jogot, s az adatvédelmi biztos állásfoglalásai mellett a bírósági gyakorlat is segíthetné a jogértelmezést. Ha a jogalkotó a személyes adatok védelméhez fűződő érdeket valóban védendőnek tartja, akkor fel kell ismernie: az ombudsman-modell nem képes hatékonyan működni olyan helyzetben, amikor a személyes adatok védelméhez fűződő érdekkel igen komoly gazdasági érdekek állnak szemben.

4. Új fejlemények az adatvédelmi jogban
Mint már többször is utaltunk rá, az adatvédelmi jog Németországban született. Németország változatlanul élenjár az adatvédelmi jogalkotás területén. 1997-ben fogadták el az információs és kommunikációs szolgáltatásokról szóló törvényt (IuKDG), az internettel s az ahhoz hasonló ún. „távszolgáltatásokkal” kapcsolatos jogviszonyokat szabályozó törvénykönyvet. Ennek egyik cikke a „távszolgáltatási adatvédelmi törvény”. Ez a törvény már tartalmazta azt az alapelvet, amely szerint a távszolgáltatást nyújtónak olyan technikai eszközöket kell használnia, amelyek működtetése nem jár személyes adatok kezelésével, illetve a lehető legkevesebb személyes adat kezelésével jár, sőt, e szempontokat már az eszközök tervezésekor is figyelembe kell venni. Ez a rendelkezés a szövetségi adatvédelmi törvénybe is bekerült ez év májusában hatályba lépett módosításakor. Szintén új a szövetségi adatvédelmi törvényben az adatvédelmi audit intézménye: ennek lényege, hogy az adatkezelést végző eszközök előállítói és használói adatvédelmi és adatbiztonsági szempontból független szervezetekkel auditáltathatják eljárásrendjüket, illetve eszközeiket. Az intézmény a környezetvédelmi audit már az uniós joganyagban is megjelenő példáját követi.
A bemutatott változások érdemesek a magyar jogalkotó figyelmére is. Az önkéntes audit természetesen csak akkor válik majd az adatkezelők valós igényévé, ha tényleges jogi kockázatot jelent az adatvédelmi előírások megsértése: ehhez pedig Magyarországon a törvény szankciórendszerének vázolt átalakítása szükséges.

Dr. Jóri András

A szerzőről
Az ELTE ÁJK-n szerzett diplomát 1997-ben. Az adatvédelmi biztos munkatársaként ő fogalmazta a biztos internet-tárgyú ajánlásait (így az 1998-as Internetto-ajánlást és a 2001 elején megjelent internet-ajánlást is), majd ügyvédi gyakorlatot kezdett. 2000 márciusa óta az Internetszolgáltatók Tanácsa mellett működő Tanácsadó Testület tagja. Rendszerinformatikus szakképesítéssel is rendelkezik.

Megosztom

Kummer Krisztián
Kummer Krisztián

Ez is érdekelhet