Állítsd be Google keresőjét, hogy a találatok között biztos ott legyen az Economx!
Az adatvédelmi jogi megközelítés nehézsége a bizalmi kapcsolat gyakorlata esetén abban áll, hogy a jogszerű adatkezelés alapesete az érintett beleegyezése. Az ügyfél azonban sokszor az adatkezelésbe való, a jog szerint önkéntes beleegyezését előbb-utóbb már kényszernek éli meg, ez pedig bizalomvesztéshez, sőt jogvitákhoz vezet, ami a pénzintézet vagy más szolgáltató számára – a viszony bizalmi jellege miatt – ugyancsak hátrányos lehet. Az ügyfél kiszolgáltatottsága tehát együtt járhat a szerződési szabadságnak forma szerint megfelelő önkéntességgel, és ha utólag mindig mondható is, hogy a szerződéskötésre, az ügyfél által sérelmesnek talált jogkorlátozó általános szerződési feltételek elfogadására a magánszemély ügyfelet senki nem kényszeríti, ennek az ellenkezője is bizonyítható. Az adatvédelmi biztosi gyakorlat például az általános szerződési feltételek betűtengerének aláírását nem tekintette az adatkezeléshez adott informált beleegyezésnek. A piac viszont önmaga – és nem mindig véletlen – logikája miatt alakulhat úgy is, hogy az információs önrendelkezést korlátozó klauzulák mindenütt megjelennek.
Az adatvédelmi biztos gyakorlatában megjelenő jellemző ügycsoportot jelentik azok az esetek, amikor bűnüldöző, ellenőrző (Pénzügyi Szervezetek Állami Felügyelete, Kormányzati Ellenőrzési Hivatal), állami adóbehajtó vagy követelésbehajtó magánszervezetek szerzik meg olykor kétes jogalapra hivatkozva a cégek ügyfeleinek adatait, mint ahogy ezekhez kapcsolódó, de sajátos problémát vetnek fel a hitelinformációs rendszerek működtetései is.
Maradjunk most a magángazdaság alanyainál.
Ha egy bank szűkíti tevékenységét, például megszünteti lakossági üzletágát, ez nem jelentheti azt, még felügyeleti jóváhagyással sem, hogy az üzletággal együtt az ügyfeleit is „eladja” a másik banknak. A banktitoknak minősülő személyes adatokat csak az érintett beleegyezésével lehet átadni. Az adatvédelmi biztosi ajánlást követően az ügyfelek tájékoztatása és nyilatkozatuk kérése a vitatott esetben legalább utólag megtörtént. Később hasonló ügyben az újabban érintett bank a lakossági üzletág felszámolásakor, a másik pedig annak megszerzésekor, az adatvédelmi biztosi ajánlásnak megfelelően járt el. Ennek jogszerű megoldása, valamint az alanycsere a szerződésben, az ügyfél-bank jogviszony tartalmi változásai ugyancsak egy sor adatvédelmi kérdést vetnek fel. Ez az eset is igazolja azt, hogy minden tisztességes üzleti célhoz megtalálhatjuk azokat a jogszerű eszközöket, amelyek megvalósulásához szükségesek.
Általános problémának tekinthető továbbá az, hogy a központi hitelinformációs rendszer mellett vajon működtethetők-e egyéb hitelinformációs rendszerek, és ha igen, milyen feltételekkel. A hitelinformációs rendszer(ek) továbbfejlesztésének feltételei meghatározásra várnak.
Az adósságbehajtással kapcsolatos számos ügyben a bepanaszolt gazdasági társaságok jelentős hányadban távközlési cégek voltak, noha a jogi probléma nyilvánvalóan független a tevékenység tárgyától. Az érintett gazdasági társaságok adósaik (néhány esetben vélt adósok) adatait – tudtuk nélkül – átadták behajtó cégeknek, azok pedig az adóssal szemben saját nevükben léptek fel.
A hatályos magyar jog az „adósságbehajtás”, „követelésbehajtás” vagy „tartozásbehajtás” önálló jogintézményét nem ismeri. A bírósági végrehajtásról szóló törvény rendelkezik arról, hogy a bíróságok és jogvitát eldöntő más szervek határozatait, egyes okiratokon alapuló követeléseket milyen szabályok szerint lehet végrehajtani. A jogosult követelése érvényesítésének másik, a jog által elismert eszköze a szerződéssel megbízott ügyvéd közreműködésének igénybevétele. Az ügyvéd törvényi felhatalmazás alapján jogszerűen juthat hozzá megbízójától az adós személyes adataihoz, ehhez tehát az adós hozzájárulása nem szükséges.
A jogosult igényét a szerződést biztosító mellékkötelezettség kikötésével is erősítheti. Azonban a polgári törvénykönyv megbízási szabályai vagy az atipikus szerződésekre vonatkozó, egyébként megengedő szabályozási filozófiája nem engednek eltérést az Avtv. rendelkezéseitől, tehát a megbízási szerződés alapján végzett adatkezelésre (adósság- vagy követelésbehajtásra) is kiterjed az Avtv. hatálya: az érintettek adatait csak – rendszerint a szerződésbe foglalt – hozzájárulásuk esetén lehet behajtó cégeknek átadni. A követelés – hivatkozott – jogszerű érvényesítése mellett a polgári jog szerint lehetőség van a követelés másra történő átruházására, az engedményezés jogintézményével, erről az érintettet értesíteni kell. Az ajánlás szerint az ügyfelek adatait az adatkezelő követelés- vagy adósságbehajtással foglalkozó gazdasági társaságoknak a követelés érvényesítése céljából csak az érintettek hozzájárulásával – az adatkezelés célhoz kötöttsége elvének betartásával – továbbíthatja. Csakis abban az esetben lenne felvethető, hogy adatfeldolgozónak minősülhetne a követelésbehajtó, ha az adatkezelési részműveletek tekintetében semmiféle önállósággal nem járhatna el.
Visszatérő kérdés, vajon a biztosítóintézet a biztosítási szerződés megkötésekor követelhet-e a biztosítottaktól olyan nyilatkozatot, amelyben az érintettek felmentik valamennyi – a múltban és a jövőben egyaránt – őket vizsgáló orvosukat az orvosi titoktartás alól, és felhatalmazzák ezeket a személyeket, hogy a biztosítók részére egészségi állapotukról adatokat szolgáltassanak. Az adatvédelmi biztosi ajánlások, állásfoglalások számos esetben bírálták ezt a gyakorlatot.
Az érintetteknek a hozzájáruló nyilatkozat megadása előtt tudniuk kell arról, hogy adataikat kik, milyen célból és milyen meghatározott adatkört érintően fogják kezelni, illetve feldolgozni. Az önrendelkezési jog alapján voltaképpen elképzelhetetlen, hogy a biztosítottak a jövőre nézve felmentést adjanak az orvosi titoktartás alól egy olyan személynek, akit a nyilatkozat megtételének időpontjában még nem is ismernek. Ugyanígy nem követelhető az sem, hogy az érintettek olyan adataik kezeléséhez járuljanak hozzá, amelyek csak a felhatalmazást követően keletkeznek. A megfelelő tájékoztatás hiányán túl az ilyen nyilatkozat kérése sérti az Avtv.-ben foglalt azon jogi igényt is, hogy az adatok felvételének tisztességesnek és törvényesnek kell lennie. Kérdés továbbá az is, hogy ez a kikötés olyan általános szerződési feltételnek minősül-e, amely a jogviszony aszimmetriája alapján bíróság előtt eredményesen megtámadható, illetve hogy a szerződés ilyen rendelkezése az Avtv. megsértése miatt semmisnek tekinthető-e. A válasz – irányadó ítéletek hiányában is – feltehetően igenlő, noha az adatvédelmi biztos, hatáskörét megszorítóan értelmezve, nem mondta ezt ki. További kérdés, vajon a hozzájárulás hiánya lehet-e oka a szerződés megtámadásának. Tipikus panasz, hogy az ügyletkötő munkatársa az ügyintézés során elkérte a panaszos személyazonosító igazolványát, valamint a jogosítványát, és azokról fénymásolatot készített. Ilyen jellegű beadványok nem csak a mobilszolgáltatóknál, biztosítóknál és a hitelintézeteknél fordulnak elő – mondhatni általánosak.
Az egyik adatvédelmi biztosi állásfoglalás szerint a Hitelintézeti törvény (Htv) által létrehozott központi hitelinformációs rendszeren kívül, mely az ügyfeleknek törvényi garanciákat is nyújt, a bankok – ügyfeleik beleegyezésének hiányában – nem hozhatnak létre lakossági hitelinformációs rendszert. A korábbi Értékpapír- és Tőzsdefelügyelet pedig (és persze jogutódja), mert nem kapott erre törvényi felhatalmazást, nem adhatja ki az APEH részére a kötvényeket jegyző magánszemély nála törvényesen meglévő adatait.
Az elmúlt években számos olyan tapasztalatot szereztünk, melyek a magyarországi bankrendszer egésze, illetve a piac jól körvonalazható része, valamint egyes bankok működésében jelentkező jogalkalmazási nehézségeket tártak fel. A tapasztalatok szerint az adatvédelem elveinek megfelelő, a magánszemély ügyfelek jogainak tiszteletét szem előtt tartó üzletpolitika a banküzem költséghatékony működését, jó üzleti hírét, a hitelkihelyezés biztonságát, a banktitok oltalmát nem korlátozza, hanem sokkal inkább támogatja. Minden tisztességes üzleti célhoz megfelelő jogi eszközök társíthatók. Jó példát mutat erre, ha a külföldi nemzeti kereteket nézzük, a német banki, biztosítási piac egészében vett kiemelkedő és színvonalas működése, mely az Európában legkidolgozottabb és szigoráról ismert adatvédelmi környezetben tevékenykedik.
A típusos ügycsoportok között talán megemlíthető továbbá – mely az előttünk álló időszakban is számos vitát eredményezhet –, hogy a bankok ügyfelei sokszor okkal túlzottnak találják az egyes ügyletek során a hitelintézetek által igényelt személyes adatok körét. Sem elveiben, sem pedig részleteiben nem megnyugtatóan kidolgozott, hogy az ügylet sajátosságait figyelembe véve, a bank kockázatának és a célhoz kötöttség elveinek megfelelően, az adott ügylethez mely adatkör szükséges és elégséges. A bankok esetenként olyan személyazonosítókat kértek (egy ügylethez többet is) és őrizték fénymásolt formában (pld. taj-kártya), melyek kezelésére törvényi jogosultságuk megkérdőjelezhető.
A személyi igazolvánnyal és egyéb okmányokkal kapcsolatos adatkezelések ügyében ugyancsak gyakori a jogsértés, de előfordul az is, hogy a kifogásolt üzleti gyakorlat jogszerűnek minősül. Nézzünk két példát! Az egyik bank a valutát váltó személy adatait vette jogellenesen nyilvántartásba a személyi igazolványból, egy pénzfelvételnél viszont jogszerűen – törvényi felhatalmazás alapján – jegyezte fel a bank a személyi igazolvány számát. Az adóazonosító jel banki használata pedig akkor jogszerű, ha az ügylet alapján az ügyfélnek adófizetési kötelezettsége keletkezik.
Az általános szerződési feltételek, melyek az adatvédelmen túl is sok gondot okoznak, olykor szembe kerülhetnek az adatvédelem és a Ptk. szabályaival. Ezek rendszeres felülvizsgálata indokolt.
Az ügyfelekkel kötött szerződések nem rendelkeznek megfelelően arról, hogy a hitelelbírálás rendjébe, elveibe az ügyfél milyen mélységig kaphat betekintést, tájékoztatást.
A hitelkérelmével elutasított ügyfél adatait, melyeket a hitelkérelem elbírálása céljából kért, több bank megőrzi. E gyakorlat az információs jogok szerint felülvizsgálandó.
Többször felmerült kérdés, hogy a központi bankközi adós-nyilvántartási rendszerbe milyen terjedelemben kerülhetnek be személyes adatok. Lehet-e, helyes-e ilyen irányban továbbfejleszteni a rendszert és a jogi környezetet?
2000 júliusában az Európai Unió Svájc mellett Magyarországot minősítette az adatvédelem terén adekvát védelmet biztosító országnak (2000/519/EC). Ez a minősítés az unión kívüli országokkal szemben versenyelőnyt biztosíthat az EU-n kívüli országból érkezett, de magyarországi székhelyű cégeknek, ha erről az előnyről tudnak, jelentőségét felismerik. Azonban ezt csak úgy lehet kihasználni, ha az adatkezelés gyakorlata mind a hazai törvényeknek, mind pedig az EU szabályainak megfelel.
A külföldi tulajdonban lévő cégek személyes adatok kezelését is igénylő döntéseiket gyakran külföldön hozzák meg. Hatályos adatvédelmi jogunk már alkalmazza az Európai Unióban is meghonosodott különbségtételt az adatkezelő és az adatfeldolgozó között, mely jogi lehetőséget teremt arra, hogy megfelelő jogi, adatbiztonsági feltételekkel személyes adatkezelési művelet ne csak az adatkezelőnél történjen. Mindazonáltal – különösen a külföldön történő adatfeldolgozás – részletes belső, a törvényekkel összhangban lévő szabályozást igényel.
A hitelintézeteknek, biztosítóknak, távközlési cégeknek egyébként is adatvédelmi szabályzattal kellene rendelkezniük. Ezek az üzleti titok védelmét, a belső informatikai hálózat működését, az alkalmazottak e-mail-használatát, internet-hozzáférését szabályozhatná, valamint a nemzetbiztonsági és bűnüldöző szervekkel, egyéb hatóságokkal történő együttműködésre vonatkozó szabályokat tartalmazhatná.
A piaci önszabályozás szférája fejletlen. Az adatvédelem terén ez, megítélésem szerint is, de az EU szabályai szerint is – esetleg a bankok, biztosítók szakmai szervezeteinek koordinációjában – továbbfejlesztésre (majdnem azt írtam: meghonosításra) szorul.
Azok a külföldi tulajdonban lévő – tipikusan tengerentúli, észak-amerikai központú – gazdasági társaságok, melyek nem az európai jogi kultúrában alakították ki üzleti szokásaikat, saját érdekükben is kénytelenek az európai adatvédelmi jogrend környezetéhez alkalmazkodni, ami adaptációs erőfeszítéseket igényel tőlük.
Adatvédelmi problémák sorát vetik fel az olyan többfunkciós kártyák, melyeket például bankkártyaként és kamarai tagsági jogviszonyt igazoló okiratként is alkalmazni kívánnak. Az intelligens kártyák elterjedése – a rajtuk tárolt adatok mennyisége miatt is – adatbiztonsági, adatvédelmi pénzintézeti szabályozást igényel.
A milliárdos forrásokat igénylő informatikai fejlesztések során a fejlesztés hatékonyságának érdekében feltétlenül indokolt az információs jogi követelményeket már az informatikai rendszer tervezésének stádiumában figyelembe venni.
A gazdasági társaságoktól az adóhatóság, a közigazgatás, a bűnüldözési és nemzetbiztonsági szervek által igényelt személyes adatok körében az adattovábbítás jogszerűsége minden esetben külön vizsgálatot igényel, mivel az ilyen adatkérések számos esetben nem jogszerűek. Az elmúlt években előfordult, hogy nem csak a közigazgatás került jogellenesen személyes adatnak tekinthető üzleti vagy banktitkok birtokába, de ilyen adatok például a Postabank botránysorozatában – ugyancsak jogszerűtlenül – nyilvánosságra is kerültek. A szervezett bűnözés, illetve a nemzetközi terrorizmus elleni küzdelem e körben bizonyosan újabb kérdéseket vet majd fel. Azt azonban el kell utasítanunk, hogy olyan magasztos célok jegyében, mint amilyen a pénzmosás elleni küzdelem, az állam korlátozás nélkül jusson hozzá az üzleti szféra által kezelt személyes adatokhoz, titkos jogszabályokat tartson hatályban, a nemzetgazdaság egészét behálózó informátori hálózatot építsen ki.
A jogosulatlan adatkezelőnek – működjön akár az állami, akár a magánszférában – nem csupán polgári jogi következményekkel kell számolnia.
Az az adatkezelő vagy adatfeldolgozó, aki jogosulatlanul vagy a céltól eltérően kezel személyes adatot, személyes adatot jogellenesen továbbít, vagy jogellenesen hoz nyilvánosságra, vagy a személyes adatok kezelésére vonatkozó bejelentési kötelezettségét nem teljesíti, személyes adatot az arra jogosult elől eltitkol, személyes adatot meghamisít, továbbá közérdekű adatot eltitkol vagy meghamisít, vétségért felel és egy évig terjedő szabadságvesztéssel vagy pénzbüntetéssel büntetendő.
Ha valaki jogszabályban meghatározott adatkezelése során a tudomására jutott különleges adatot jogellenesen nyilvánosságra hozza, jogosulatlanul felhasználja, illetéktelen számára hozzáférhetővé teszi, három évig terjedő szabadságvesztéssel büntethető. Ha pedig különleges adatot maga vagy más részére jogosulatlanul megszerez, vétséget követ el, ami pedig két évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.
Az adatvédelmi biztosi munka felvetette, hogy a személyes adatok védelméhez való jog, valamint az információszabadság büntetőjogi védelme a szabályozás hiányosságaiból következően nem érvényesül megfelelően. A büntető törvénykönyv e két alapjogot védelmező rendelkezései ugyanis egyrészről túlságosan tágan húzzák meg a büntethetőség határát, vagyis olyan cselekményeket is büntetni rendelnek, amelyek elleni fellépés nem igényli a büntetőjog eszközeit, másrészről olyan fogalmakat használnak, amelyek nem pontosan felelnek meg az adatvédelmi jog dogmatikai rendszerének. E tapasztalatok alapján 2001 tavaszán ajánlás készült a büntetőjogi tényállások felülvizsgálatát javasolva.
A Btk. jelenleg hatályos szövege büntetni rendeli az adatvédelmi törvény, illetve az adatkezelésre vonatkozó más jogszabályok bármiféle szándékos megsértését.
Ezzel szemben büntetőjogi fenyegetettség fenntartása csak olyan esetekben indokolt, amikor az adatkezelés jogellenessége az elkövetés bizonyos körülményeivel társul. Ilyen esetekben viszont a büntető igény érvényesítése szigorúan megkövetelendő. A jelenlegi szabályozás túlzott szigora miatt azonban nem indul büntetőeljárás sok olyan esetben sem, amelyekben az elkövetőt indokolt lenne megbüntetni magatartásáért. Ennek megfelelően szükségesnek látszik a büntetendő cselekmények körének szűkítése a törvényi tényállásba való újabb tényállási elemek felvételével.
Ilyenek lehetnek, ha „az adatkezelő az érintettnek jelentős érdeksérelmet okozva kezeli jogellenesen a személyes adatokat; vagy amelyekben az egyes érintetteket ért jogsérelem csekély, azonban oly sok természetes személy személyes adatának jogellenes kezelése valósul meg, hogy a magatartás társadalomra veszélyessége összességében igen nagy. Hasonló a helyzet a különleges adatok jogellenes kezelése esetében – ilyenkor ugyanis a jelentős érdeksérelem rendszerint megállapítható –, illetve ha az adatkezelő a személyes adatokat anyagi előny szerzésére használja fel. Végül szigorúbban kellene büntetni a foglalkozásuknál fogva titoktartásra kötelezetteket, illetve pozíciójuknál fogva személyes adatokkal való visszaélés lehetőségével bíró személyeket, akikhez képest az adatalany kiszolgáltatott helyzetben van (például a munkáltatót, a hivatalos és közfeladatot ellátó személyeket, és azokat is, akik gondozásukra vagy felügyeletükre bízott személyek adataival élnek vissza), és e helyzetüket kihasználva kezelik jogellenesen a személyes adatokat.”
Noha közel hat hónapig volt betöltetlen az adatvédelmi biztos pozíciója, egészen bizonyos vagyok abban, hogy rosszul kalkulált az, aki az adatvédelem követelményeinek megszűntére vagy szigorának enyhülésére várt. A banküzem, a távközlési cég, a biztosító üzleti érdekei rendszerint legfeljebb látszólag ütköznek a magánélet integritását szolgáló joggal. A magánéletbarát üzletpolitika, egészen függetlenül is az állami jogtól, versenyelőnyhöz juttatja a vállalkozót mindenütt, ahol az ügyfél bizalma a jogviszony fontos eleme.
Dr. Majtényi László
Dr. Majtényi László 1975-ben végzett az ELTE jogi karán. Ezt követően a Világosság szerkesztője, majd a szakvizsga letétele után a Mahart jogtanácsosa. A Budapesti Műszaki Egyetemen jogot oktatott. A Magyar Köztársaság első adatvédelmi biztosa. Jelenleg az ELTE győri tagozatának oktatója, valamint ügyvéd a Réti, Szegheő és Társai Ügyvédi Irodában.
