Az adatvédelem főbb területei

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2005. február 1.) vegye figyelembe!

Megjelent a Cégvezetés (archív) 82. számában (2005. február 1.)
Alkotmányunk értelmében a Magyar Köztársaságban mindenkit megillet a személyes adatok védelméhez való jog, amelynek tartalma az Alkotmánybíróság értelmezése szerint [15/1991. (IV. 13.) AB határozat] nem szűkíthető le a "hagyományos védelmi jogoknál" érvényesülő passzív oldalra, vagyis a polgárok nem csak arra tarthatnak igényt, hogy személyes adataikat másokkal szemben az állam megvédje.

A személyes adatok védelméhez való jogról általában

Alkotmányos alapok

Valójában ún. "információs önrendelkezési jogról" van szó, mivel a személyes adatok védelméhez való jog aktív oldalát is figyelembe véve annak tartalma akként ragadható meg, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról. Ebbe beletartozik, hogy – főszabály szerint – az érintett – határozott, tájékozott, önkéntes – hozzájárulása szükséges adatainak bármilyen fajta kezeléséhez, és az adatfeldolgozás egész folyamatát ellenőrizhetővé, követhetővé kell tenni számára. Az ezzel ellentétes szabályok már az alapjog korlátozását jelentik, ami csak akkor megengedett, ha az alkotmányos kritériumoknak megfelel, továbbá a jog gyakorlásának garanciáit nem sérti.

Adatvédelmi kódex

Legyen szó bármilyen eszközzel történő adatkezelésről, az adatvédelmi szabályok alapját a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény képezi, elengedhetetlen tehát alapvető szabályainak, elveinek ismertetése a számítógépes adatvédelem tárgyalásakor is. Az "adatvédelmi kódex" az általános megítélés szerint korszerű, más országok szabályozásához képest általában szigorúbb védelmet biztosít (eltérni például a törvénytől csak kifejezett felhatalmazása alapján lehet), és messzemenően eleget tesz a vonatkozó uniós irányelv követelményeinek is.

Alapvetően csak a természetes személy kizárólag saját célját szolgáló adatkezelés jelent kivételt a törvény hatálya alól, egyébként a hazánkban folytatott minden, természetes személy ("adatalany", "érintett") adataira vonatkozó adatkezelésre, illetve adatfeldolgozásra alkalmazni kell a kódexet.

Adatkezelés, adatfeldolgozás

A törvény az adatkezelés egyik eseteként az érintett hozzájárulása alapján történő adatkezelést teszi tehát lehetővé, különleges adatokra vonatkozóan azzal az eltéréssel, hogy ilyen adatok kezeléséhez írásbeli hozzájárulás szükséges.

Az önrendelkezési jog korlátját jelentő, hozzájáruláshoz nem kötött kötelező adatkezelés garanciális okból a különleges adatoknál kizárólag törvényen alapulhat, egyéb személyes adatoknál törvényi felhatalmazás alapján – az ott meghatározott körben – helyi önkormányzati rendeleten is. A különleges adatok első körét illetően ezenkívül nemzetközi egyezmény, alkotmányban biztosított alapvető jog érvényesítése, továbbá nemzetbiztonsági, bűnmegelőzési vagy bűnüldözési érdek teremthet még alapot az ún. hozzájárulás nélküli adatkezeléshez. A kivételek tehát elvileg szűkre szabottak.

Az érintett jogai az adatvédelmi törvény szerint

Az érintett személyes adatai védelme érdekében a következő jogosítványokkal rendelkezik:

– tájékoztatást kérhet az adatkezelésről, amelyet kötelező megadni (a tájékoztatás kiterjed a kezelt, illetve feldolgozott adataira, az adatkezelés céljára, jogalapjára, időtartamára, az adatfeldolgozó adataira, továbbá hogy kik és milyen célból kapják vagy kapták meg az adatokat; a törvény enged némi kivételt, amikor az adattovábbításról szóló nyilvántartás időtartamának jogszabályi korlátozását lehetővé teszi, de így is 5, illetve 20 év az alsó határ);

–adatainak helyesbítését kérheti, amennyiben azok a valóságnak nem felelnek meg;

– kérheti adatainak törlését – a törlés kötelező esetei: az adatkezelés jogellenessége, adatszolgáltatás önkéntessége, adatok hiányossága vagy téves volta;

– betekinthet az adatvédelmi biztos által vezetett adatvédelmi nyilvántartásba;

–tiltakozási jogot gyakorolhat (azaz tiltakozhat) az adatkezelés ellen;

– bírósághoz fordulhat;

–kártérítést követelhet (erre írásunk későbbi részében még visszatérünk).

Adatvédelmi nyilvántartás

Az adatvédelmi biztos fontos hatósági jellegű feladata az adatvédelmi nyilvántartás vezetéséről való gondoskodás, ami a személyes adatok védelmének garanciális eszközei közé sorolható, különös tekintettel arra, hogy a biztos előzetes ellenőrzést is végezhet, mégpedig az adatkezelés megkezdése előtt. E nyilvántartás tartalmazza az adatkezeléssel kapcsolatos legfőbb adatokat, információkat, az adatkezelés céljától kezdve azok forrásán át az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységéig stb. Az adatvédelmi nyilvántartás bárki által megtekinthető.

Elektronikus kereskedelem, információs társadalom

Az adatvédelem általános alapvetései mellett az adatkezelők különböző köreire, meghatározott adatfajtákra vonatkozóan ún. szektorális törvények tartalmazzák a részletesebb, specifikus szabályokat. Ezek közül a számítógépes adatvédelem szempontjából a 2001-ben kihirdetett, az elektronikus kereskedelmi szolgáltatásokról, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvény (Tv.) ismertetése kívánkozik ide leginkább.

E szolgáltatások törvényi definíciójának értelmében – lásd fogalomtár – a törvény hatálya alá tartozó szolgáltatások lényeges kritériuma az elektronikus út igénybevétele, az egyedi hozzáférés, illetve az e-kereskedelem esetében annak célja. Mivel ilyen szolgáltatásokat előzetes engedély nélkül bárki végezhet – nem érintve ezzel természetesen az egyébként előírt engedélyezést, képesítést, bejelentést vagy minősítést –, a törvény rendelkezései alapján (az adatszolgáltatási, adatvédelmi, elektronikus reklámokra stb. vonatkozó szabályai), ezért az érintett adatkezelők köre is igencsak széles. Kivételt képeznek azonban a bírósági, hatósági eljárások, valamint a "magánjellegű kommunikáció".

Az elektronikus kereskedelmi törvény felöleli többek között az elektronikus úton kötött szerződésekre vonatkozó szabályokat, a szolgáltatók általuk rendelkezésre bocsátott információkért fennálló felelősségének témáját, az internet és a szerzői jog egyes kérdéseit, az elektronikus reklámok szabályait, különös fogyasztóvédelmi szabályokat, és nem utolsósorban sajátos adatvédelmi rendelkezéseket is tartalmaz. A következőkben a szolgáltató felelősségével és az adatvédelemmel kapcsolatos főbb törvényi előírásokat foglaljuk össze.

Szolgáltatói felelősség

A szolgáltató (az információs társadalommal összefüggő szolgáltatást nyújtó természetes, illetve jogi személy vagy jogi személyiség nélküli szervezet) felel az általa rendelkezésre bocsátott, jogszabályba ütköző tartalmú információval okozott jogsérelemért, illetve kárért.

A közvetítő szolgáltató mentesülése a felelősség alól

A közvetítő szolgáltató nem felel a más által rendelkezésre bocsátott, a közvetítő szolgáltató által nyújtott információs társadalommal összefüggő szolgáltatással továbbított, tárolt vagy hozzáférhetővé tett, jogszabályba ütköző tartalmú információval harmadik személynek okozott jogsérelemért, illetve kárért akkor, ha eleget tesz a törvényben meghatározott feltételeknek, és mindemellett úgy jár el, ahogy az az adott helyzetben általában elvárható. Közvetítő szolgáltatónak minősül az információs társadalommal öszszefüggő szolgáltatást nyújtó szolgáltató, amely

– az igénybe vevő által biztosított információt távközlőhálózaton továbbítja, vagy a távközlőhálózathoz hozzáférést biztosít (egyszerű adatátvitel és hozzáférés-biztosítás);

– az igénybe vevő által biztosított információt távközlőhálózaton továbbítja, és az alapvetően a más igénybe vevők kezdeményezésére történő információtovábbítás hatékonyabbá tételét szolgálja (gyorsítótárolás);

– az igénybe vevő által biztosított információt tárolja (tárhelyszolgáltatás);

– információk megtalálását elősegítő segédeszközöket biztosít az igénybe vevő számára (keresőszolgáltatás).

Egyszerű adatátvitelt és hozzáférést biztosító közvetítő szolgáltató

A fentieknek megfelelően az egyszerű adatátvitelt és hozzáférést biztosító közvetítő szolgáltató akkor nem felel a továbbított információ tartalmával okozott kárért, ha

– nem a szolgáltató kezdeményezi az információ továbbítását;

– nem a szolgáltató választja meg a továbbítás címzettjét, és a továbbított információt nem a szolgáltató választja ki, illetve azt nem változtatja meg.

Az információtovábbítás és a hozzáférés előzőek szerinti lehetővé tétele magában foglalja a továbbított információ közbenső és átmeneti jellegű automatikus tárolását is, amennyiben ez kizárólag az információtovábbítás lebonyolítására szolgál, és az információt nem tárolják hosszabb ideig, mint az a továbbításhoz szükséges.

Gyorsítótárolást végző közvetítő szolgáltató

A gyorsítótárolást végző közvetítő szolgáltató akkor nem felel az információ közbenső és átmeneti jellegű automatikus tárolásával okozott kárért, ha

– a szolgáltató nem változtatja meg az információt;

– a tárolt információhoz való hozzáférés megfelel az információ hozzáférésével kapcsolatban támasztott feltételeknek;

– a közbenső tárolóban az információ frissítése megfelel a széleskörűen elismert és alkalmazott információfrissítési gyakorlatnak;

– a közbenső tárolás nem zavarja meg az információ felhasználásával kapcsolatos adatok kinyerésére szolgáló, széleskörűen elismert és alkalmazott technológia jogszerű használatát; és

– a szolgáltató haladéktalanul eltávolítja az általa tárolt információt vagy nem biztosítja az ahhoz való hozzáférést, amint tudomást szerzett arról, hogy az információt az adatátvitel eredeti kiindulási pontján a hálózatról eltávolították, vagy az ahhoz való hozzáférés biztosítását megszüntették, illetve hogy a bíróság vagy más hatóság az eltávolítást vagy a hozzáférés megtiltását elrendelte.

Tárhelyszolgáltatást végző közvetítő szolgáltató

A tárhelyszolgáltatást végző közvetítő szolgáltató akkor nem felel az igénybe vevő által biztosított információ tartalmával okozott kárért, ha

– nincs tudomása az információval kapcsolatos jogellenes magatartásról, vagy arról, hogy az információ bárkinek a jogát vagy jogos érdekét sérti;

– nincs tudomása olyan tényről vagy körülményről, amely valószínűsíti, hogy az információval kapcsolatos magatartás jogellenes, vagy arról, hogy az információ bárkinek a jogát vagy jogos érdekét sérti, és amint az előzőekben foglaltakról tudomást szerzett, úgy haladéktalanul intézkedik az információ eltávolításáról, vagy nem biztosítja a hozzáférést.

Keresőszolgáltatást végző közvetítő szolgáltató

A keresőszolgáltatást végző közvetítő szolgáltató akkor nem felel az információ megtalálását elősegítő segédeszközök hozzáférhetővé tételével okozott kárért, ha

– nincs tudomása az információval kapcsolatos jogellenes magatartásról, vagy arról, hogy az információ bárkinek a jogát vagy jogos érdekét sérti;

– nincs tudomása olyan tényről vagy körülményről, amely valószínűsíti, hogy az információval kapcsolatos magatartás jogellenes, vagy arról, hogy az információ bárkinek a jogát vagy jogos érdekét sérti, és amint az előzőekben részletezettekről tudomást szerzett, úgy haladéktalanul intézkedik az elérési információ eltávolításáról vagy a hozzáférés megtiltásáról.

Lényeges azonban, hogy az előzőekben ismertetettek szerint a szolgáltató nem mentesül a felelősség alól abban az esetben, ha a szolgáltatást igénybe vevő a szolgáltató megbízásából vagy utasításai alapján jár el.

Eljárás jogsértés esetén

Értesítés

Az a jogosult, akinek a szerzői jogi törvény által védett szerzői művén, előadásán, hangfelvételén, műsorán, audiovizuális művén, adatbázisán fennálló jogát a szolgáltató által hozzáférhetővé tett információ sérti, teljes bizonyító erejű magánokiratba vagy közokiratba foglalt értesítésével felhívhatja az írásunk korábbi részében már utalt (közvetítő) szolgáltatót (egyszerű adatátvitelt és hozzáférés-biztosítást nyújtó, gyorsítótárolást, tárhelyszolgáltatást, illetve keresőszolgáltatást végző közvetítő szolgáltató) arra, hogy a jogát sértő tartalmú információt távolítsa el.

Az értesítésnek tartalmaznia kell:

– a sérelem tárgyát és a jogsértést valószínűsítő tények megjelölését;

– a jogsértő tartalmú információ azonosításához szükséges adatokat;

– a jogosult nevét, lakcímét, illetve székhelyét, telefonszámát, valamint elektronikus levelezési címét.

Amennyiben a jogosult meghatalmazottja útján jár el, úgy az előzőek szerinti értesítéshez az értesítési-eltávolítási eljárásban való képviselet ellátására feljogosító teljes bizonyító erejű magánokiratba vagy közokiratba foglalt meghatalmazást is csatolnia kell.

Intézkedés, kifogás

Az értesítés átvételétől számított 12 órán belül a szolgáltató – a jogosult jogát sértő információt biztosító igénybe vevő (azaz az érintett igénybe vevő) írásbeli tájékoztatása mellett (amely tájékoztatást három munkanapon belül kell megadni) köteles intézkedni az értesítésben megjelölt információhoz való hozzáférés nem biztosítása vagy az információ eltávolítása iránt, és feltüntetni, hogy az eltávolítás milyen, jogosulti jogsértést állító értesítés alapján történt. Az érintett igénybe vevő a tájékoztatás átvételétől számított 8 napon belül teljes bizonyító erejű magánokiratban vagy közokiratban a szolgáltatónál kifogással élhet az érintett információ eltávolítása miatt.

Egyéb szolgáltatói intézkedések

A kifogás átvételekor a szolgáltató haladéktalanul köteles az érintett információt újra hozzáférhetővé tenni, és erről a jogosultat a kifogás megküldésével értesíteni, kivéve ha az eltávolítást vagy a hozzáférés megtiltását bíróság vagy hatóság rendelte el.

Ha az érintett igénybe vevő a jogsértést elismeri, vagy a tájékoztatás átvételét követő 8 napon belül nem terjeszt elő kifogást, vagy az nem tartalmazza a törvényben előírt adatokat és nyilatkozatot, a szolgáltató az információhoz való hozzáférés nem biztosításának, illetve az információ eltávolításának hatályát köteles fenntartani.

Igényérvényesítés bíróság előtt

Amennyiben a jogosult a kifogás átvételét követő – előzőekben ismertetett – szolgáltatói értesítés átvételétől számított 10 munkanapon belül az értesítés szerinti jogsértéssel kapcsolatos igényét abbahagyás és eltiltás iránti ideiglenes intézkedés iránti kérelmet is tartalmazó kereset vagy fizetési meghagyás útján érvényesíti vagy büntetőfeljelentést tesz, és az eljárás megkezdését kezdeményező beadványának másolatát annak benyújtásától számított 3 munkanapon belül megküldi a szolgáltatónak, a szolgáltató a beadvány másolatának átvételétől számított 12 órán belül az értesítésben megjelölt információhoz való hozzáférést ismételten nem biztosítja, illetve az információt ismételten eltávolítja. A szolgáltató intézkedéséről a jogosult beadványa másolatának megküldésével az érintett igénybe vevőt az intézkedés megtételétől számított 3 munkanapon belül értesíti.

A törvény a jogosult kötelezettségévé teszi, hogy az előzőek szerinti eljárásban (fizetési meghagyásos eljárás, büntetőeljárás stb.) hozott jogerős érdemi határozatokról – ideértve az ideiglenes intézkedés elrendelését vagy a kérelem elutasítását is – a szolgáltatót haladéktalanul értesítse. Lényeges, hogy amennyiben az érdemi határozat az érintett igénybe vevő javára rendelkezik, úgy a szolgáltató haladéktalanul köteles az érintett információt ismételten hozzáférhetővé tenni, egyébként a hozzáférést megtagadó, illetve az információt ismételten eltávolító szolgáltatói intézkedés hatálya fennmarad.

Jogkövetkezmények, szankciók

Az elektronikus kereskedelmi törvény – mint szektorális jogszabály – kimondja, hogy a törvény hatálya nem érinti a személyes adatok védelmére vonatkozó jogszabályok alkalmazását. Rendelkezéseinek betartatására tehát – a szóba jöhető jogkövetkezmények szempontjából – vissza kell nyúlni az adatvédelmi törvényhez és a büntető törvénykönyvhöz, illetve spamek esetében a gazdasági reklámtevékenységről szóló 1997. évi LVIII. törvényhez. A záró rendelkezések között található szabályok értelmében ugyanis egyrészt az elektronikus reklámszabályok megsértése esetén reklámfelügyeleti eljárás indítható, másrészt az adatvédelmi rendelkezések megsértése azzal a következménnyel jár, hogy az érintett az adatkezelővel szemben az adatvédelmi törvénynek megfelelően az adatvédelmi biztoshoz vagy bírósághoz fordulhat.

Reklámfelügyeleti eljárás

A reklámtörvény értelmében tilos közzétenni – többek között – olyan reklámot, amely sérti a személyes adatok védelméhez való jogot. E tilalom megszegése miatt indítható eljárás az államigazgatási eljárások közé tartozik, amelyet a Fogyasztóvédelmi Főfelügyelőség (illetőleg megyei/fővárosi szerve) folytat le (kérelemre vagy hivatalból), de ez az eljárás nem kizárólagos jogérvényesítési lehetőség a sértettek kezében. Nincs akadálya a törvény értelmében közvetlenül polgári per indításának sem, és természetesen büntetőeljárásnak sem.

A fogyasztóvédelmi szervek mindazonáltal elrendelhetik a jogsértő állapot megszüntetését, megtilthatják a jogsértő magatartás folytatását, illetve bírságot szabhatnak ki.

Az adatvédelmi biztos hatásköre

Az adatvédelmi biztos intézményének fontos jellemzője, hogy bárki fordulhat hozzá, ha úgy véli, hogy sérelem érte, vagy annak közvetlen veszélye áll fenn (és nem folyik bírósági eljárás az adott ügyben), vagyis a beérkezett megalapozott panaszokat kivizsgálja, és ajánlást ad ki, illetve kezdeményezi a megfelelő intézkedéseket.

Intézkedések

A többi ombudsmanhoz képest 2004 eleje óta az adatvédelmi biztos sajátos jogkörrel rendelkezik, feladatai ellátásához igénybe vehető eszköztára bővült. Amíg a biztosok elsősorban kivizsgálnak és kivizsgáltatnak, vagy a nyilvánossághoz fordulnak, az adatvédelmi biztos hatásköre sokkal inkább hatósági jelleget ölt. Az adatvédelmi törvényben felsorolt feladatainak teljesítése érdekében az alábbiakat teheti:

– alapesetben felszólít az adatkezelés megszüntetésére, ha jogellenes adatkezelést észlel, aminek az adatkezelő haladéktalanul köteles eleget tenni;

– ellenkező esetben "újdonságként" elrendelheti a jogosulatlanul kezelt adatok zárolását, törlését vagy megsemmisítését; megtilthatja a jogosulatlan adatkezelést vagy feldolgozást, továbbá felfüggesztheti az adatok külföldre továbbítását, végül

– tájékoztathatja a nyilvánosságot a jogosulatlan adatkezelés, illetve -feldolgozás tényéről, a kezelt adatok köréről, az adatkezelő, -feldolgozó személyéről, illetve a kezdeményezett intézkedésekről.

Jogorvoslat

A fenti, második bekezdésben említett jogosítványok jelentős korlátozást jelentenek, emiatt válik szükségessé, hogy az ombudsman intézkedéseit az érintett adatkezelők, adatfeldolgozók, illetve az adatkezeléssel érintettek vitathassák, és evégett bírósághoz fordulhassanak. Ha ezt teszik, a jogerős döntésig a vitatott adatok nem törölhetők és nem semmisíthetők meg, hogy a döntés eredményéhez képest az eredeti állapot még helyreállítható legyen, azonban az adatkezelés felfüggesztése és az adatok zárolása kötelező.

Polgári jogi jogkövetkezmények

A személyes adatok védelmére vonatkozó szabályok megsértése miatt két okból, két alapon is lehet polgári bírósághoz fordulni.

Jogorvoslat a Ptk. rendelkezései alapján

Egyrészt a Ptk. kimondja, hogy a számítógéppel vagy más módon történő adatkezelés illetve -feldolgozás nem sérthet személyhez fűződő jogokat; ezenkívül a nyilvántartott adatokról tájékoztatást – az érintett személyen kívül – csak az arra jogosult szervnek vagy személynek lehet adni; valamint azt, hogy ha a nyilvántartásban szereplő valamely tény vagy adat nem felel meg a valóságnak, az érintett annak helyesbítését külön jogszabályban meghatározott módon követelheti.

Személyhez fűződő jogok sérelme esetén pedig a következő igények támaszthatók az érintett részéről:

– követelheti a jogsértés megtörténtének bírósági megállapítását;

– követelheti a jogsértés abbahagyását és a jogsértő eltiltását a további jogsértéstől;

– követelheti, hogy a jogsértő nyilatkozattal vagy más megfelelő módon adjon elégtételt, és hogy szükség esetén a jogsértő részéről vagy költségén az elégtételnek megfelelő nyilvánosságot biztosítsanak;

– követelheti a sérelmes helyzet megszüntetését, a jogsértést megelőző állapot helyreállítását a jogsértő részéről vagy költségén, továbbá a jogsértéssel előállott dolog megsemmisítését, illetőleg jogsértő mivoltától megfosztását, illetőleg

– kártérítést követelhet a polgári jogi felelősség szabályai szerint.

Szektorális törvények biztosította bírói út

A másik esetkörbe tartozik, amikor az adatvédelmi törvény, illetve egyéb szektorális törvények biztosítják a bírói utat. Az érintett kódexben biztosított jogait bíróság előtt érvényesítheti. Az ilyen per sajátossága, hogy a bíróság soron kívül jár el, valamint az, hogy a bizonyítási teher itt megfordul. Ez azt jelenti, hogy nem az adatalanynak kell bizonyítania az adatkezelés, adattovábbítás, adattörlés stb. jogellenességét, hanem az adatkezelőnek azt, hogy az adatkezelés megfelel a jogszabálynak. Az eljárás lehetséges kimenetele, hogy a bíróság kötelezi az adatkezelőt a tájékoztatás megadására; az adat helyesbítésére; törlésére; az automatizált egyedi döntés megsemmisítésére; az érintett tiltakozási jogának figyelembevételére stb.

Tiltakozás az adatkezelőnél

A tiltakozási jogról röviden elmondható, hogy itt nem egy külön jogorvoslati eszközről van szó, mivel egyébként jogszerű adatkezelés esetén is lehet vele élni az adatvédelmi vagy más törvény által meghatározott körben (például ha közvetlen üzletszerzés, közvélemény-kutatás vagy tudományos kutatás az adatkezelés célja). A tiltakozást az adatkezelőnek meg kell vizsgálnia, és értesítenie kell az érintettet, hogyan döntött; az érintett végső esetben bírósághoz fordulhat a fent elmondottak szerint, ha nem ért egyet vele.

Kártérítés

A kártérítési kötelezettséget nemcsak a személyiségi jogok megsértése, hanem az adatvédelmi kódex alapján a jogellenes adatkezelés és a technikai adatvédelem (adatbiztonság) követelményeinek megszegése is megalapozza, amennyiben ezzel másnak kárt okoz az adatkezelő, illetve az adatfeldolgozó. Az adatkezelő csak akkor mentesülhet, ha vis maior, vagyis az adatkezelés körén kívül eső elháríthatatlan ok idézte elő a kárt. Részben mentesülhet ezenkívül, ha a károsult szándékos vagy súlyosan gondatlan magatartásával közrehatott a károkozásban.

Fogalomtár

Adatfeldolgozás

Adatfeldolgozás az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.

Adatfeldolgozó

Adatfeldolgozó az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából – beleértve a jogszabály rendelkezése alapján történő megbízást is – személyes adatok feldolgozását végzi.

Adatkezelés

Adatkezelésnek minősül az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (például ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is.

Adatkezelő

Adatkezelő az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.

Adatmegsemmisítés

Adatmegsemmisítés az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése.

Adattovábbítás

Adattovábbítás az a tevékenység, ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik.

Adattörlés

Adattörlés az adatok felismerhetetlenné tétele olyan módon, hogy a helyreállításuk többé nem lehetséges.

Bűnügyi személyes adat

Bűnügyi személyes adat a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat.

Elektronikus kereskedelmi szolgáltatás

Elektronikus kereskedelmi szolgáltatás az olyan információs társadalommal összefüggő szolgáltatás, amelynek célja áruk, illetőleg szolgáltatások üzletszerű értékesítése, beszerzése, cseréje.

Hozzájárulás

Hozzájárulás az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez.

Igénybe vevő

Igénybe vevő az a természetes, illetve jogi személy vagy jogi személyiség nélküli szervezet, aki/amely információs társadalommal összefüggő szolgáltatást vesz igénybe.

Információ

Információ bármely, elektronikus úton feldolgozható, tárolható, továbbítható adat, jel, kép tekintet nélkül arra, hogy annak tartalma jogi védelemben részesül-e.

Információs társadalommal összefüggő szolgáltatás

Információs társadalommal összefüggő szolgáltatás az az elektronikus úton, távollevők részére, rendszerint ellenszolgáltatás fejében nyújtott szolgáltatás, amelyhez a szolgáltatás igénybe vevője egyedileg fér hozzá.

Közérdekű adat

Közérdekű adat az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső adat.

Közérdekből nyilvános adat

Közérdekből nyilvános adat minden olyan, természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet kezelésében lévő vagy rá vonatkozó, a közérdekű adat fogalma alá nem tartozó adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli.

Közvetítő szolgáltató

Közvetítő szolgáltató az információs társadalommal összefüggő szolgáltatást nyújtó szolgáltató, amely

– az igénybe vevő által biztosított információt távközlőhálózaton továbbítja, vagy a távközlőhálózathoz hozzáférést biztosít (egyszerű adatátvitel és hozzáférés-biztosítás);

– az igénybe vevő által biztosított információt távközlőhálózaton továbbítja, és az alapvetően a más igénybe vevők kezdeményezésére történő információtovábbítás hatékonyabbá tételét szolgálja (gyorsítótárolás);

– az igénybe vevő által biztosított információt tárolja (tárhelyszolgáltatás);

– információk megtalálását elősegítő segédeszközöket biztosít az igénybe vevő számára (keresőszolgáltatás).

Különleges adat

Különleges adat a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, valamint az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat.

Magánjellegű kommunikáció

Magánjellegű kommunikációnak minősül az elektronikus levelezés vagy azzal egyenértékű szolgáltatás útján történő önkéntes és kölcsönös üzenetváltás – ideértve az ilyen üzenetváltás útján kötött szerződéseket is –, és az információs társadalommal összefüggő szolgáltatás felhasználásával közzétett információ, amennyiben az információt nem üzleti, gazdasági, kereskedelmi vagy közhasznú tevékenységhez, illetve közfeladat ellátásához kapcsolódóan teszik közzé.

Nyilvánosságra hozatal

Nyilvánosságra hozatalnak minősül, ha az adatot bárki számára hozzáférhetővé teszik.

Személyes adat

Személyes adatnak minősül bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.

Szolgáltató

Szolgáltató az információs társadalommal összefüggő szolgáltatást nyújtó természetes, illetve jogi személy vagy jogi személyiség nélküli szervezet.

Tiltakozás

Tiltakozás az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri.

Az adatkezelés alapelvei

* Célhoz kötöttség * Személyes adatot kezelni csak meghatározott célból, jog gyakorlása vagy kötelezettség teljesítése érdekében lehet, és e célnak az adatkezelés minden szakaszában meg kell felelni. Csak olyan személyes adat kezelhető, amely a cél megvalósulásához elengedhetetlen, illetve annak elérésére alkalmas. Emellett adatkezelésre csak a cél megvalósulásához szükséges mértékben és ideig van lehetőség. * Tájékoztatás * Az adatfelvételt megelőzően az érintettel közölni kell, hogy az adatszolgáltatás kötelező (és azt is meg kell jelölni, hogy mely jogszabály alapján), avagy önkéntes. A törvény szerint ezenkívül egyértelmű és részletes tájékoztatást kell adni az adatkezeléssel kapcsolatos minden tényről, amelynek példálózó felsorolását is megadja a jogszabály: ilyen tény különösen az adatkezelés célja, jogalapja, időtartama, az adatkezelésre, illetőleg -feldolgozásra jogosultak személye, illetve hogy kik ismerhetik meg az adatokat, milyen jogai és jogorvoslati lehetőségei vannak az érintettnek. (E tájékoztatási kötelezettséggel egyenértékű lehetőségeket ír elő a törvény például statisztikai vagy tudományos kutatási adatkezelésekre vonatkozóan.) * Adatminőség * Az adatok minősége akkor "megfelelő", ha eleget tesznek három követelménynek, azaz: * felvételük és kezelésük tisztességes és törvényes; * pontosak, teljesek, és ha szükséges időszerűek, továbbá * tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani. * Adatbiztonság * Adatbiztonságon az adatvédelem technikai szintjét értjük, amelynek biztosítása az adatkezelő, illetve tevékenységi körében az adatfeldolgozó kötelezettsége. Tartalmát tekintve ez olyan technikai és szervezési intézkedések megtételét, illetve eljárási szabályok kialakítását jelenti, amelyek szükségesek az adatok védelméhez – különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés, megsemmisítés, továbbá a véletlen megsemmisülés és sérülés ellen. * A számítógépes adatkezelés szempontjából különösen releváns, hogy ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik, akkor külön védelmi intézkedéseket kell tennie ennek érdekében az adatkezelőnek, illetve -feldolgozónak, valamint a távközlési vagy informatikai eszköz üzemeltetőjének.

Adatkezelési korlátok

* A törvény a szolgáltató adatkezelését jelentősen korlátozza, amikor kimondja, hogy a szolgáltató kizárólag * az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződés létrehozása, * tartalmának meghatározása, módosítása, * teljesítésének figyelemmel kísérése, * az abból származó díjak számlázása, valamint * az azzal kapcsolatos követelések érvényesítése * céljából kezelheti az igénybe vevő azonosításához szükséges és elégséges azonosító adatokat. * Fontos garanciális rendelkezés, miszerint a szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződésből származó díjak számlázása céljából kezelheti az információs társadalommal összefüggő szolgáltatás igénybevételével kapcsolatos olyan személyes adatokat, amelyek a díj meghatározása és a számlázás céljából elengedhetetlenek, így különösen a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó adatokat. * A szolgáltató – az előzőekben foglaltakon túlmenően – a szolgáltatás nyújtása céljából kezelheti azokat a személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. * Végül a szolgáltató előzetesen meghatározott bármely, az előző bekezdésben meghatározottaktól eltérő célból – így különösen szolgáltatása hatékonyságának növelése, az igénybe vevő számára célzott reklám vagy egyéb célzott tartalom eljuttatása, piackutatás céljából – a szolgáltatás igénybevételével kapcsolatos adatokat az igénybe vevő hozzájárulásának hiányában csak akkor kezelheti, ha azok az igénybe vevővel közvetlenül nem hozhatók kapcsolatba

Az igénybe vevő jogosítványai

* Az igénybe vevőnek az információs társadalommal összefüggő szolgáltatás igénybevételét megelőzően és a szolgáltatás igénybevétele során is folyamatosan biztosítani kell, hogy a reklám- és piackutatási célú adatkezelést megtilthassa. Emellett a reklámcélra szolgáló adatokat az igénybe vevő azonosító adataival nem lehet összekapcsolni, illetve ezek az adatok az igénybe vevő kifejezett hozzájárulása hiányában harmadik személy számára sem adhatók át.

Adattörlési kötelezettség

* A reklám- és piackutatási célokon kívül kezelt – fentiekben ismertetett – adatokat törölni kell a szerződés létrejöttének elmaradását, a szerződés megszűnését, valamint a számlázást követően, míg a reklám- és piackutatás érdekében kezelt adatokat akkor kell törölni, ha az adatkezelési cél megszűnt, vagy az igénybe vevő egyébként így rendelkezik. Lényeges, hogy a számvitelről szóló törvény vagy más törvény eltérő rendelkezése hiányában az adattörlést haladéktalanul el kell végezni.

Büntetőjogi következmények

* Bizonyos esetben az adatvédelmi szabályok megsértése olyan mértékű lehet, amely indokolttá teszi az adatkezelő magatartások pönalizálását is. A Btk. 177/A §-ában – a szabadság és emberi méltóság elleni bűncselekmények között – rendeli büntetni a személyes adatokkal való visszaélést is. A kerettényállást a személyes adatok védelméről, illetve kezeléséről szóló törvényi rendelkezések töltik ki, ezek megszegésével követhető el a bűncselekmény, amelynek három elkövetési magatartása lehet: a jogosulatlan vagy céltól eltérő adatkezelés; az érintett tájékoztatására vonatkozó kötelezettség megszegése; valamint az adatok biztonságát szolgáló intézkedés elmulasztása. * Az egyes elkövetési magatartások mindegyikének értelmezésénél vissza kell utalnunk az adatvédelmi törvénnyel kapcsolatban elmondottakra. * A személyes adattal való visszaélés bűncselekménye ún. materiális bűncselekmény, vagyis csak akkor valósul meg, ha a tényállásban szereplő eredmény bekövetkezik, nevezetesen más vagy mások érdekeinek jelentős sérelme. Az érdeksérelem egyaránt lehet vagyoni és személyes jellegű (az anyagi hátrányon kívül például a társadalmi vagy szakmai megbecsültség is sérülhet), illetve nem feltétlenül kell az adatkezeléssel érintett személynél fennállnia, mivel harmadik személy(ek)nek okozott érdeksérelem is elképzelhető. Kulcsfontosságú kérdés viszont a sérelem mértéke: az, hogy jelentős volt-e, hogy az csak a konkrét eset összes körülményeire tekintettel állapítható meg, bár mint objektív kategória természetesen nem a sértett érzetétől függ. Az elkövetési magatartás és az érdeksérelem között ezenkívül szükség van okozati összefüggésre is. * Ami a büntetési tételeket illeti, a cselekmény alapesetben egyévi szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel sújtható. A minősített esetek közé tartozik, ha a fenti cselekményeket különleges személyes adatok sérelmére követik el, ilyen esetben akár háromévi szabadságvesztés büntetéssel lehet számolni. * Személyes adatok sérelmére szabálysértés is elkövethető, bár ez nem a Btk. 177/A §-ának "enyhébb" alakzata. A szabálysértésekről szóló kormányrendelet értelmében adatvédelmi szabálysértést követ el egyrészt, aki a technikai adatvédelem követelményeinek nem tesz eleget, másrészt az is, aki az érintettet adatvédelemhez való jogának gyakorlásában akadályozza. Az elkövető mindezért hatvanezer forintig terjedő pénzbírsággal sújtható

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2005. február 1.) vegye figyelembe!