ADATVÉDELMI GARANCIÁK

A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (Atv.) előírása szerint az adatokat védeni kell különösen a

– jogosulatlan hozzáférés,

– megváltoztatás,

– nyilvánosságra hozás vagy törlés, illetőleg

– a sérülés vagy megsemmisülés

ellen.

Lényeges, hogy az adat az MSZ-EN ISO 17799 szabvány szerint bővebb fogalom a személyes adatnál, itt az adat tények, elképzelések, utasítások formalizált ábrázolásaként van megfogalmazva, mégpedig ismertetés, feldolgozás, illetve távközlés céljára.

Adatkezelői feladatok

Az adatkezelő köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket, illetve kialakítani azokat az eljárási szabályokat, amelyek az Atv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

Bejelentési kötelezettség

Az adatkezelő köteles az adatkezelésre irányuló tevékenysége megkezdése előtt nyilvántartásba vétel végett bejelenteni az adatvédelmi biztosnak

– az adatkezelés célját;

– az adatok fajtáját és kezelésük jogalapját;

– az érintettek körét;

– az adatok forrását;

– a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját;

– az egyes adatfajták törlési határidejét, valamint

– az adatkezelő, valamint az adatfeldolgozó nevét és címét (székhelyét), a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét.

Mentességek

Nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely

– az adatkezelővel munkaviszonyban, tagsági, tanulói viszonyban, ügyfélkapcsolatban álló személyek adatait tartalmazza;

– egyház, vallásfelekezet, vallási közösség belső szabályai szerint történik;

– az egészségügyi ellátásban kezelt személy betegségére, egészségi állapotára vonatkozó személyes adatokat tartalmaz, gyógykezelés vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából;

– az érintett anyagi és egyéb szociális támogatását célzó és nyilvántartó adatokat tartalmaz;

– a hatósági, az ügyészségi és a bírósági eljárás által érintett személyeknek az eljárás lefolytatásával kapcsolatos személyes adatait tartalmazza;

– a hivatalos statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy – külön törvényben meghatározottak szerint – az adatok személlyel való kapcsolatának megállapítását véglegesen lehetetlenné teszik;

– a sajtótörvény hatálya alá tartozó társaságok és szervek olyan adatait tartalmazza, amelyek kizárólag saját tájékoztatási tevékenységüket szolgálják;

– a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra;

– az adatkezelőtől levéltári kezelésbe került át; illetve

– a természetes személy saját célját szolgálja.

Adatvédelem a vállalatoknál

A vállalati gyakorlatban az adatvédelem feladata annak a meghatározása, hogy milyen adatot kell védeni, és milyen mértékben. Az adatvédelmi felelősnek a szervezetben a vezérigazgatói titkárság adja a legjobb helyet, elkülönítve őt ezzel a védelem megvalósítását végző informatikai biztonsági vagy adatbiztonsági felelőstől.

Az adatok osztályozásának szükségessége

A védelem megvalósításához ezek szerint úgynevezett biztonságkritikusság szerint minősíteni és osztályozni kell az adatokat. Ehhez támpontot adnak a jogszabályok, amelyek a különböző titokfajtákat csoportosítják, mint például államtitok, szolgálati titok, üzleti titok, banktitok, értékpapírtitok, biztosítási titok, vámtitok stb.

Minősítés

Minősítésről általában az államtitok és szolgálati titok kapcsán lehet beszélni, a többi titokfajtánál az osztályozás fogalma használatos. Mindezeket az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény és a minősített adat kezelésének rendjéről szóló 79/1995. (VI. 30.) Korm. rendeletben leírtak indokolják.

Személyes adatok védelme

Az információs önrendelkezési jog biztosíthatóságának fontos eleme a személyes adatok megfelelő védelme. Személyes adatnak minősülnek a meghatározott személlyel kapcsolatba hozható adatok, az adatokból levonható következtetések is. Mindaddig személyes az adat, amíg visszakövetkeztethető belőle a személy. Ennek megfelelően személyes adatnak tekinthetők egy vállalatnál az alkalmazottak adatai.

Ügyféladatok kezelése

A hatályos jogszabályok a vállalatoknál üzleti titkot képező ügyféladatokat a személyes adatokkal azonosan értelmezik, és azokra a személyes adatokra vonatkozó előírásokkal azonos kezelést írnak elő.

Elektronikus adatok védelme

Az adatvédelemnek számos körülményre kell tekintettel lennie, és új kihívásokkal is szembekerül, elsősorban az elektronikus iratkezelés egyre nagyobb mértékű elterjedése – illetve elfogadottsága – miatt. Titkokat azonban csak olyan dokumentumkezelő rendszerben javasolt kezelni, amely zárt, a kimeneti pontjai megfelelően biztonságosak és ellenőrzöttek, más szóval a rendszernek biztosítania kell a számonkérhetőséget, természetesen a hozzáférés-védelem és a bizalmasság mellett. Ennek nemcsak technológiai, hanem szabályozási feladatai is vannak, és elképzelhető az is, hogy ez a feladat már túlnyúlik az adott vállalaton, és kiterjed a céggel információs kapcsolatban állókra is.

Az adatok védelmét azonban minden esetben a hatályos jogszabályoknak megfelelően kell végrehajtani.

Titkos ügyiratok kezelése

A titkos ügyiratok kezelésére hagyományosan a TÜK-irodák jöttek létre a szervezeteken belül. Papíralapon a kezelés megoldottnak mondható, azonban a mai elektronikus világ az információk kezelését digitálisan valósítja meg, amelyhez fel kell zárkóznia a titokvédelemnek is.

Adattárolási garancia

A titokvédelem megnevezésben a titkolózási szándékot lehet felfedezni, azonban a szabályszerű titokvédelmi gyakorlat azt eredményezi, hogy a hatálya alá vont adatokat nem lehet eltüntetni, hiszen legalább egy példányban a központi TÜK-irodán meg kell lennie minden titkos adatnak. A titokká minősítés tehát egyben garanciát jelenthet az adat meghatározott ideig történő létezésének biztosítására is.

Titokvédelmi utasítás

Az adatok kezelése során szükség van azonban a minősítési kategóriákon kívüli osztályozásra is (üzleti titok, banktitok stb.) Ezeket a vállalatoknak a saját titokvédelmi utasításaikban kell szabályozniuk.

Üzleti titok

Az Atv. például üzleti titoknál csak annyit mond ki, hogy üzleti titok az, amelynek titokban maradásához a vállalatnak méltányolható érdeke fűződik, és a vállalat intézkedéseket is tett a titok védelmére. Megjegyezzük, hogy az Atv. 2003. június 9-i hatályú módosítása alapján az Atv. már a Polgári Törvénykönyvről szóló 1959. évi IV. törvény (Ptk.) szerinti üzleti titok fogalmat használja. (Ezzel kapcsolatban lásd a 61. oldalt!)

Az üzleti titkok védelmének szintén sarkalatos pontja az elektronikus dokumentumok védelme – ideértve nemcsak az iratokat, hanem például az adatbázisokat is. A minősített adatokhoz hasonlóan az üzleti folyamatokat megtámogató adatbázisok elektronikus védelme sem tekinthető megoldottnak – az általános védelmi színvonalon túl.

Adatvédelem a gyakorlatban A következőkben néhány érdekes, az adatvédelemhez kapcsolódó esetet ismertetünk. * Szolgáltató cégek általi adatátadás * Szolgáltató cégek a velük szemben tartozást felhalmozó ügyfeleik személyes adatait átadták tartozásbehajtó cégeknek, amelyek azután különböző módszerekkel eljártak a megbízóik érdekében. Azonban az átadott adatok személyes adatoknak minősültek, így törvényi felhatalmazás hiányában csak az érintettek beleegyezésével és tudtával lett volna erre lehetőség. Az adatvédelmi biztos ajánlásában felszólította a tartozásbehajtó cégeket törvényellenes adatbirtoklásuk megszüntetésére. * Képrögzítő berendezések munkahelyeken, magánterületeken * A képrögzítő berendezések működtetésével kapcsolatos ajánlás megfogalmazza, hogy a rejtetten, törvényi felhatalmazás nélkül működtetett rendszer sérti a személyiségi jogokat; munkahelyen, illetve magánterületeken hozzájárulás és tájékoztatás mellett lehet csak ilyen berendezést alkalmazni, és a hozzájárulás nélkül rögzített adatok törlését lehetővé kell tenni. * Mindezeken túl a rögzített kép őrzési idejét a célhozkötöttség figyelembevételével kell meghatározni, valamint a berendezések üzemeltetését be kell jelenteni az adatvédelmi nyilvántartásba. * Az úgynevezett biometrikus azonosításhoz szükséges adatok tárolásáról és használatáról megfogalmazott adatvédelmi biztosi álláspont szerint csak hozzájárulás és célhozkötöttség mentén lehet ilyen rendszert üzemeltetni, azaz az itt tárolt adatok nem használhatók fel például egy lopási ügy ujjlenyomatainak azonosításában jogszerűen. * Mobilszolgáltatók okmányigénylése * A mobilszolgáltatók okmányigénylésének korlátozhatóságával többször is foglalkozott az adatvédelmi biztos, állásfoglalása szerint az azonosítás céljához elégséges az okmányok megtekintése is, kétség esetén az ellenőrzés – hozzájárulás esetén – ellenőriztethető akár egy külső céggel is. * A lakcímigazolvány másolásától indokolt tartózkodni, hiszen a szolgáltató és a kártyával kapcsolatba kerülő alkalmazottak nehezen tudnák bebizonyítani egy jogvitában, hogy más jogellenesen nem ismerte meg vagy másolta le a személyi azonosítót.

Kárfelelősség

Az adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is.

Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származott.

Intézményes garanciák

Alapesetben mindig az adat alanya dönti el, hogy mi történjék az adataival, ezt a jogát azonban számos törvény és egyéb külső tényező korlátozza. Korlátozó tényező például az is, hogy az adatok feletti rendelkezés csak akkor biztosítható, ha tudomásunk van minden esetben arról, hogy ki, hol és miért kezeli személyes adatainkat. Igen fontos a különleges adatoknak minősülő információk védelme, amelyek például egy személy tulajdonságaira, szokásaira, egészségi állapotára stb. vonatkoznak.

Adatvédelmi biztos

Az adatvédelem megfelelő megvalósulása felett az adatvédelmi biztos hivatala őrködik, ajánlásaival előremozdítja az adatvédelem fejlődését, a magánélet védelmét.

Az adatvédelmi biztos feladatai

Az adatvédelmi biztos tevékenysége keretében

– ellenőrzi az Atv. és az adatkezelésre vonatkozó más jogszabály megtartását;

– kivizsgálja a hozzá érkezett bejelentéseket, valamint

– gondoskodik az adatvédelmi nyilvántartás vezetéséről.

Az adatvédelmi biztos mindezeken túl figyelemmel kíséri a személyes adatok védelmének és a közérdekű adatok nyilvánossága érvényesülésének feltételeit is. Emellett javaslatot tesz az adatkezelést és a közérdekű adatok nyilvánosságát érintő jogszabályok megalkotására, illetve módosítására, véleményezi az ilyen jogszabályok tervezetét. Kezdeményezheti továbbá az államtitokkörben, valamint a szolgálati titokkörben meghatározott adatfajták szűkítését vagy bővítését.

Intézkedések

Az adatvédelmi biztos a jogellenes adatkezelés észlelése esetén az adatkezelőt az adatkezelés megszüntetésére szólítja fel. Az adatkezelő haladéktalanul köteles megtenni a szükséges intézkedéseket, és erről 30 napon belül írásban tájékoztatni az adatvédelmi biztost.

Abban az esetben, ha az adatkezelő a jogellenes adatkezelést nem szünteti meg, az adatvédelmi biztos tájékoztatja a nyilvánosságot az adatkezelés tényéről, a kezelő személyéről és a kezelt adatok köréről.

Jogosítványok

Az adatvédelmi biztos a fentiekben ismertetett feladatai ellátása során az adatkezelőtől minden olyan kérdésben felvilágosítást kérhet, és az összes olyan iratba betekinthet, adatkezelést megismerhet, amely személyes vagy közérdekű adatokkal összefügghet. Lényeges, hogy az adatvédelmi biztos minden olyan helyiségbe beléphet, ahol adatkezelés folyik.

Bejelentés az adatvédelmi biztoshoz

Az adatvédelmi biztoshoz bárki fordulhat, ha véleménye szerint személyes adatainak kezelésével vagy a közérdekű adatok megismeréséhez fűződő jogainak gyakorlásával kapcsolatban jogsérelem érte, vagy annak közvetlen veszélye fennáll, kivéve ha az adott ügyben bírósági eljárás van folyamatban.

A bejelentő védelme

A bejelentő védelmét garantáló rendelkezés, miszerint az adatvédelmi biztoshoz tett bejelentése miatt senkit sem érhet hátrány. A bejelentőt a közérdekű bejelentővel azonos védelem illeti meg.

A bejelentés elmulasztása

A fentiekhez kapcsolódóan érdekességként említjük meg, hogy az államtitokról szóló törvénynek van egy mindenkire vonatkozó passzusa, amely szerint ha valaki államtitok birtokába nem törvényesen jutott (például az utcán találta az azt tartalmazó okiratot), köteles azt átadni a minősítőnek vagy a legközelebbi rendőri szervnek. Mindebből az is következik, hogy ha egy minősített irat illetéktelen kezekbe kerül, az nem jogosítja fel a megtalálót arra, hogy az irat tartalmát bármilyen fórumon nyilvánosságra hozza, vagy ha mégis megteszi, a büntető jogszabályok alapján akár 1-15 évig terjedő szabadságvesztéssel is büntethető.

Az adatvédelemmel kapcsolatos jogszabályok A tőkepiacról szóló 2001. évi CXX. törvény. * A hírközlésről szóló 2001. évi XLIV. törvény. * Az elektronikus aláírásról szóló 2001. évi XXXV. törvény. * A közúti közlekedési nyilvántartásról szóló 1999. évi LXXXIV. törvény. * A hitelintézetekről és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény. * A kutatás és a közvetlen üzletszerzés célját szolgáló név és lakcímadatok kezeléséről szóló 1995. évi CXXV. törvény. * A rendőrségről szóló 1994. évi XXXIV. törvény. * A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény. * A polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény. * A polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény végrehajtására kiadott 146/1993. (X. 26.) Korm. rendelet.

Közérdekű adatok védelme

Tájékoztatási kötelezettség

Június 9-étől az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy a feladatkörébe tartozó ügyekben – így különösen az állami és önkormányzati költségvetésre és annak végrehajtására, az állami és önkormányzati vagyon kezelésére, a közpénzek felhasználására és az erre kötött szerződésekre, a piaci szereplők, a magánszervezetek és -személyek részére különleges vagy kizárólagos jogok biztosítására vonatkozóan – köteles elősegíteni és biztosítani a közvélemény pontos és gyors tájékoztatását.

Közzététel

Június 9-ei hatállyal pontosította a törvényalkotó a közzétételi kötelezettség kritériumait is a következők szerint: a tájékoztatási kötelezettséggel érintett szervezetek, személyek rendszeresen közzé- vagy más módon hozzáférhetővé teszik a tevékenységükkel kapcsolatos legfontosabb – így különösen a hatáskörükre, illetékességükre, szervezeti felépítésükre, szakmai tevékenységükre, annak eredményére is kiterjedő értékelésére, a birtokukban lévő adatfajtákra és a működésükről szóló jogszabályokra, valamint a gazdálkodásukra vonatkozó – adatokat. Az említett szervek hatáskörében eljáró személyek neve, beosztása vagy besorolása és munkaköre – törvény eltérő rendelkezése hiányában – bárki számára hozzáférhető, nyilvános adat. Lényeges, hogy a jövőben a tájékoztatás módját, továbbá a vonatkozó adatok körét jogszabály is megállapíthatja.

A közérdekű adatok megismerhetősége

Az előzőekben meghatározott szervezeteknek a fentieken túlmenően lehetővé kell tenniük, hogy a kezelésükben lévő közérdekű adatot bárki megismerhesse.

Mentesülés

Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv és személy mentesül a közérdekű adatok vonatkozásában az előzőek szerinti megismerhetőségbiztosítási kötelezettség alól akkor, ha az adatot törvény alapján az arra jogosult szerv állam- vagy szolgálati titokká nyilvánította, illetve ha az nemzetközi szerződésből eredő kötelezettség alapján minősített adat, továbbá ha a közérdekű adatok nyilvánosságához való jogot – az adatfajták meghatározásával – törvény

– honvédelmi;

– nemzetbiztonsági;

– bűnüldözési vagy bűnmegelőzési;

– központi pénzügyi vagy devizapolitikai érdekből;

– külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra, illetőleg

– bírósági eljárásra tekintettel

korlátozza.

Kérelem

A közérdekű adat megismerésére irányuló kérelemnek az adatot kezelő szerv a kérelem tudomására jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül, közérthető formában tesz eleget. Az adatokat tartalmazó dokumentumról vagy dokumentumrészről annak tárolási módjától függetlenül – költségtérítés ellenében – a kérelmező másolatot is kérhet.

A közérdekű adat közléséért az adatkezelő szerv vezetője – legfeljebb a közléssel kapcsolatban felmerült költség mértékéig – költségtérítést állapíthat meg, azzal, hogy a kérelmező kérésére a költség összegét előre közölni kell.

A gyakorlatban előfordulhat, hogy az adatkezelő szerv a kérelem teljesítését megtagadja. Ilyenkor arról – annak indokaival együtt – nyolc napon belül írásban kell értesítenie a kérelmezőt. A közérdekű adatok nyilvánosságának egyik, az Atv.-ben meghatározott biztosítéka, hogy a fentiekben felsorolt adatkezelő szerveknek kötelességük évente értesíteni az adatvédelmi biztost az elutasított kérelmekről, valamint az elutasítások indokairól.

A fentiekben ismertetetthez hasonló garanciális rendelkezése az Atv.-nek az is, miszerint, amennyiben a közérdekű adatra vonatkozó kérését nem teljesítik, úgy a kérelmező a bírósághoz fordulhat. Ilyen esetben a megtagadás jogszerűségét és megalapozottságát az adatot kezelő szerv köteles bizonyítani.

A pert a megtagadás közlésétől számított 30 napon belül az ellen a szerv ellen kell megindítani, amely a kért felvilágosítást megtagadta. Lényeges, hogy ebben a perben fél lehet az is, akinek egyébként nincs perbeli jogképessége.

Az egész országra kiterjedő hatáskörű szerv ellen indult per a megyei (fővárosi) bíróság hatáskörébe tartozik. A helyi bíróság hatáskörébe tartozó ügyekben a megyei bíróság székhelyén lévő helyi bíróság, Budapesten a Pesti Központi Kerületi Bíróság jár el. A bíróság illetékességét az adatközlést nem teljesítő szerv székhelye (működési helye) alapítja meg. Az említett ügyekben a bíróság soron kívül jár el.

Abban az esetben, ha a bíróság helyt ad a kérelemnek, határozatában az adatkezelő szervet a kért közérdekű adat közlésére kötelezi.

Döntések előkészítésével kapcsolatos adatok minősítése

Általánosságban elmondható, hogy a közérdekű adatok nyilvánossága kapcsán érintett, korábban felsorolt szervezeteknek a belső használatra készült, valamint a döntés-előkészítéssel összefüggő adataik az azok keletkezését követő harminc éven belül nem nyilvánosak. Az általános szabály alól azonban törvény felmentést adhat.

Lényeges szabály, hogy amennyiben azt kérik, úgy az adott szervezet vezetőjének lehetősége van arra, hogy a döntés-előkészítéssel kapcsolatos adatok megismerését a harmincéves határidő lejártát megelőzően is engedélyezze.

Adatvédelmi fogalomtár Személyes adat * Személyes adat a meghatározott természetes személlyel (azaz az érintettel) kapcsolatba hozható adat, valamint az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi ezt a minőségét, amíg kapcsolata az érintettel helyreállítható. * Különleges adat * Különleges adatnak minősülnek a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyőződésre, illetőleg az egészségi állapotra, a kóros szenvedélyre, a szexuális életre, valamint a büntetett előéletre vonatkozó személyes adatok. * Közérdekű adat * Június 9-étől közérdekű adat az állami vagy a helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv, illetve személy kezelésében lévő (ideértve a tevékenységre vonatkozó adatot is), a személyes adat fogalma alá nem eső adat. * Adatkezelés * Adatkezelésnek minősül az alkalmazott eljárástól függetlenül a személyes adatok gyűjtése, felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése. Adatkezelésnek számít a fentieken túl az adatok megváltoztatása és további felhasználásuk megakadályozása is. * Adatfeldolgozás * Adatfeldolgozás az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől. * Adattovábbítás * Adattovábbítás az a tevékenység, amellyel az adatot meghatározott harmadik személy számára hozzáférhetővé teszik. * Nyilvánosságra hozatal * Nyilvánosságra hozatalról beszélünk, ha az adatot bárki számára hozzáférhetővé teszik. * Adatkezelő * Adatkezelő az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetőleg a végrehajtással adatfeldolgozót bízhat meg. Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, valamint az adatkezelőt az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg. * Adatfeldolgozó * Adatfeldolgozó az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából személyes adatok feldolgozását végzi. * Adattörlés * Adattörlés az adatok felismerhetetlenné tétele olyan módon, hogy a továbbiakban azok helyreállítására már nincs lehetőség