2011. május 25., szerda

Szabó Endre Győző: A személyes adatok védelmének kérdései a virtuális világban

Szabó Endre Győző: A személyes adatok védelmének kérdései a virtuális világban
(In: Az internet a kockázatok és mellékhatások tekintetében  szerk. Talyigás Judit, Scolar Kiadó, 2010.) szakirodalmi tételről készített bejegyzés, kivonat

Kép forrása: euforus.blogspot.com
Szabó Endre Győző jogász a könyvnek ebben a fejezetében azokra a jogi szabályozásokra vagy épp szabályozatlanságokra hívja fel a figyelmünket, amelyek az interneten közzétett adatokra illetve az adatok kezelésére vonatkoznak.

A személyes adatok védelméhez fűződő jogot Magyarország alkotmánya rögzíti. A jog tartalmát az Alkotmánybíróság információs önrendelkezési jogként határozza meg. Az állampolgár és adatai különleges védelemben részesülnek, hiszen mindenkinek joga van saját személyi adatai fölött rendelkezni. Ez alól kivétel az az eset, ha az Országgyűlés olyan törvényt hoz, ami a személyes adatok kötelező szolgáltatását valamely konkrét esetben előírja, kötelezővé teszi (pl. adóigazgatás, egészségügy, nyugdíj). Minden más esetben az egyén egyedüli jogosult az adatai sorsáról, felhasználásáról dönteni.

Kapcsolataink bizonyos típusait a jog nem szabályozza, így például a barátságot sem. A legtöbb kapcsolatot azonban hol megengedő jelleggel, hol egészen részletesen szabályozza. Ezt nevezzük jogviszonynak (házasság, munkavállalás, adás-vétel, stb.). A jogviszony legalább két vagy annál több szereplős, részvevői lehetnek természetes személyek, gazdasági társaságok, vagy az állam valamelyik szerve. A jog meghatározza és szabályozza a jogviszonyban szereplők jogait és kötelességeit.

A valós társadalmi viszonyok, kapcsolatok közül ma már nagyon sok jelen van és működik a virtuális térben. Az elmúlt években jelent meg az online bankolás, a számlák fizetése, utalása, ügyintézés az interneten keresztül. Felhasználói név és jelszó birtokában a kockázatokhoz mérten védett felületen intézhetjük ügyeinket a virtuális bankfiókban. Az eredeti jogviszony alanyai, a jogok és kötelezettségek rendszere azonosak a való életben fennállókkal. A személyes adatok védelmében és felhasználásában nincs különbség. A bankunkkal fennálló jogviszony folyamatos, függetlenül attól, hogy online vagy személyesen látogattunk el a bankfiókba.

Amikor több szereplő vesz részt egy adott tranzakcióban, akkor a jogi szabályozás is több szereplőssé válik. Amikor bankkártyával repülőjegyet vásárolunk, háromszereplős jogviszony alakul ki, amelyet szerződések rögzítenek, így a polgári törvénykönyv szabályozza azt. Ez esetben a virtuális világ szereplői ugyanazok, mint akikkel valóságban is találkoznánk, csak kapcsolat módja, felülete más. A virtuális ügyletek lebonyolításához  az internetre van szükség, valamint a fizetést biztosító szolgáltatásra és szolgáltatóra. Ezek igénybevétele révén különböző hozzánk tartozó adat (személyes adat) keletkezik, kerül fel az internetre. Ahogy bővül a szereplők köre, úgy nő az adatmennyiség is. A többlet adatigény céljainkkal egy irányba mutat, hiszen nekünk lesz kényelmesebb az ügyintézés, a szolgáltatások igénybe vétele. Ebben az esetben nem bomlik meg a jogok és kötelességek rendszere, nincsenek aggályaink a virtuális világba való belépéssel. Hasonló a helyzet az Ügyfélkapu esetén is. Változatlanok a jogviszony szereplői: állami, önkormányzati szervek, állampolgár, adózó. Mindössze a kapcsolattartás módja változott meg a hagyományosról virtuálisra. A személyes adatok felhasználásának korlátja: a "célhoz kötöttség" és az "adatminimum" elve- a személyes adatok mindennapi alkalmazásai. Személyes adatokat kezelni csak meghatározott célból, jog gyakorlása, vagy kötelezettség teljesítése érdekében lehet. A célhoz kötöttség azt írja elő, hogy a felhasználható adatok köre a jogviszony jellegéhez, tartalmához igazodjon (azon ne mutasson túl). Ezt az adatkezelőnek igazolnia kell a jogviszonyba illeszkedő kötelezettséggel vagy jogszabállyal. Erre példa az, hogy az elektronikus cím (e-mail cím) személyes adat. A bank az ügyfél címét a kapcsolattartás céljából tárolhatja az ügyfél hozzájárulása esetén. De a bank nem teheti meg, hogy csak akkor engedi az online bankolást, ha az ügyfél hozzájárul reklámüzenetek fogadásához. A marketingtevékenység egy önálló jogviszony, amely a felek önkéntes együttműködésén, akaratán alapul. Ha az ügyfél úgy rendelkezik, e-mail címe csak az online bankolással összefüggésben használható, más célra nem is vehető igénybe. Az adatminimum elve az adatvédelmi törvény része, amely szerint csak olyan személyes adat kezelhető, ami az adatkezelés céljának megvalósulásához elengedhetetlen, elérésére alkalmas, de csak a szükséges mértékben és ideig. A cél a jogviszony (az adott tevékenység) megvalósulása, amihez bizonyos adatokra szükség van.

A jog és a jogalkotó úgy tekint az adatok tulajdonosára, mint aki saját adatai sorsának meghatározását illetően a legfelkészültebb, nincs szüksége mások támogatására ebben a kérdésben és csak ő dönthet arról, hogy mások előtt milyen mélységben tár fel vele összefüggésbe hozható adatokat, mérlegelje döntése későbbi következményeit. Ez alól kivételt képez a törvényi előírás. Ha rosszul mérlegelt és döntését később vissza akarja vonni, kérheti, hogy az adatkezelő törölje és/vagy semmisítse meg a vonatkozó adatokat. Itt is kivétel a kötelező adatkezelés, amint azt majd később látni fogjuk. A gyakorlat, különösen az internetes világban ennél sokkal bonyolultabb. Az interneten az örök nyilvánosság közege honol, hiszen a törölt tartalmak is előkerülhetnek bizonyos tárolt verziókból. Éppen emiatt az internetre kikerülő adatok körében nem nagyon lehet szó utólagos mérlegelésről. Adatainkat egyik forrásból törölhetjük, máshol azonban megmaradhatnak. Az adat tulajdonosa csak abban reménykedhet, hogy adatai nem keltik fel mások érdeklődését, és nem fognak azokkal visszaélni. A személyes adatokkal rendelkezés szabadsága kellő körültekintés nélkül a virtuális világban és azon keresztül a való életben utólag nehezen visszafordítható következményekkel járhat. Bár a jogalkotó a felhasználót (az adat tulajdonosát) tudatos és tájékozott személynek feltételezi, ez nagyon sok esetben kérdéses (pl. kezdő felhasználók, gyerekek).

Sok problémát vetnek fel a különböző közösségi oldalakon történő regisztrációk, adat tárolások, kezelések, azoknak a biztonsága. A közösségi portálokon, mint Facebook, Iwiw, My Space, LinkedIn, stb. a profil létrehozásakor irányítottan kell megadnunk az adatainkat. Ilyenkor nagyon fontos, hogy elővigyázatosan bánjunk személyes adatainkkal. Kitöltetlenül is hagyhatunk bizonyos mezőket. Legtöbbször a virtuális világban jóval óvatlanabbak vagyunk és egy-egy közösségbe való bekerülés érdekében a való életben szokatlan, válasz nélkül hagyott kérdéseket is megválaszolunk. Nem tiltja semmi pl.: a vallási hovatartozásra vonatkozó adatokat (a szolgáltató nem is adhatja meg kötelezően kitöltendő mezőként), vagy az általánosnak tűnő, de nagyon beszédes kedvenc film, könyv stb. kérdést. A való életben tudatos polgár különösebb kritika nélkül alkalmazkodik a virtuális világ körülményeihez, hiszen a közösségi szokásjog alapján teszi közzé (azaz, ha más is megtette, akkor én miért ne). Ezzel azonban hozzáférhetővé teszi és megosztja bizalmas személyes adatait olyanokkal is, akikkel a való világban nem tenné (vagy nem is gondol arra, hogy hozzáférhetnek). Érdemes végig gondolni, hogy ki mindenki láthatja a rólunk szóló információkat! Tájékozódunk az interneten jövendő kollégáinkról, tárgyalópartnerünkről és adott esetben ez alapján is alkotunk véleményt. Bizonyos közegben pozitív képek és információk rólunk egy másik közegben éppen negatív üzenetet hordozhat (felekezeti iskola, párt tagja mellett végzett szakmai gyakorlat, stb).

Az interneten az "arctalanság" azaz az adatok valóságának ellenőrizhetetlensége fokozza annak kockázatát, hogy az ebből fakadó szabadsággal adott esetben visszaéljenek. Hivatalos és tényleges azonosítás nélkül beléphetünk a virtuális világba, számos olyan szolgáltatást vehetünk igénybe, ahol a felhasználónak semmilyen módon nem kell magát azonosítania (sőt egyik előnye, hogy adott esetben névtelen maradhat a felhasználó). Így bárki létrehozhat e-mail címet valós adatok nélkül,  akár álnéven, hozzászólhat fórumban  bármilyen becenéven, közösségi oldalon profilt alkothat összelopkodott adatokból, fényképekből. Bárki olyan adatokat tehet közzé rólunk, amik alapján beazonosíthatóak lehetünk a való életben. Gondoljunk bele, hogy társkereső oldalon más, valós személy nevében elhelyezett profil milyen kényelmetlen helyzeteket eredményezhet. Az internet a speciálisan védett felületek (ügyfélkapu, bank) kivételével alkalmatlan a valódi felhasználó kilétének megállapítására. A felelősség utólagos megállapítása az arctalanság miatt szinte lehetetlen. Ez akár rosszindulatú híresztelések, zaklatások terepévé is teheti egy adott felhasználó számára a virtuális világot, ahonnan nehezen tud kilépni a való életbe érdeksérelmek nélkül. Súlyos sérelem érheti azt is, akinek a virtuális közösségekbe való részvételét nehezítik meg. És bár ez nem jellemző, mindenki fel idézhet ismeretségi köréből rosszakarót, megszállott embert, és akkor még nem is léptünk a média vagy a politika ingoványos talajára, ahol névtelen bérírnokok (trollok) igyekeznek adott esetben lehetetlenné tenni embereket, ügyeket.

A német adatvédelmi hatóság vezetője, Peter Schaar,  szerint a XXI. század valutája a személyes adat.  Ez a mondat figyelemfelhívás. Nagyon fontos mindenkiben tudatosítani, hogy személyes adatainknak  komoly értéke van, másoknak is megéri megvásárolni azokat. Az egyén becsülje meg személyes adatait, és csak akkor szolgáltasson adatokat magáról, ha látszik, hogy mit fog nyerni ezáltal, és az „ajánlat” valóban kedvező a számára.

Az internetes közeg és a különböző alkalmazások olyan kommunikációs és tárolási lehetőségeket nyújtanak, amelyek a korábban elképzelhetetlenek voltak. Ilyen a közösségi oldalon való regisztráció, a virtuális közösségben való részvétel. A jog nem határozza meg a jogok és kötelességek rendszerét ezekre a közösségekre nézve, nem mondja meg ki, hogyan viselkedhet. A közösségi oldal üzemeltetője alkothat meg magatartási szabályokat a tagok számára és ügyelhet azok betartására. Ilyenek a különböző moderációs szabályok és erre szolgál az online moderátor (pl. káromkodás, gyalázkodás, spam szűrés, stb.). A személyes adatok kezelésének szabályozása a jog egészén belül a legszigorúbbak közé tartozik. Az adatvédelmi jog nem megengedő módon szabályoz (amikor mindent szabad, ami nem tilos), hanem csak azt tartja jogszerűnek, amire felhatalmazás van. Mindenki köteles az információs önrendelkezési jogot tiszteletben tartani. 

A jogellenes adatkezelés gyakran „jó szándékkal” is megvalósulhat.  "Oszd meg másokkal is!" felkiáltással a felhasználó nem gondolja végig a nyilvánosságra hozás jogi vonatkozásait. Sokan örömmel élnek a lehetőséggel és legritkább esetben gondolják végig, hogy mindenki számára hozzáférhetővé teszik  személyes képeiket, olyanoknak is, akiknek egyébként nem szeretnék megmutatni (pl. bikinis képet a zord főnöknek, stb.). Ha az egyén érdekei sérülnek, erre a jognak különösen figyelnie kell. A személyes adatok engedély nélküli kezelése jelenti azt a határt, amit a jog irányadónak tekint és az ezt átlépő magatartást a jog helyteleníti. Jelenleg zajlik Amerikában egy jogvita arról, hogy pl. a Facebook adatkezelési/adatbiztonsági beállításai nehezen megtalálhatóak, illetve csak a teljes regisztráció megtörténte és az adatok teljes közzététele után(!) állíthatóak. Mások képének nyilvánosságra hozatalával nem feltétlenül valósul meg becsületsértés vagy rágalmazás, de sérülnek az egyén és adatai védelmére vonatkozó szabályok, a sérelmet szenvedettnek a jog támogatást kell, hogy nyújtson. A becsület sérelmével járó cselekményeknél a személyes adatokat eszközként használják. Az internetes közeget gyakran arra használják fel, hogy másokat lejárató üzeneteket sok emberhez juttassanak el. Ezek az információk tipikus eszközül szolgálnak a rágalmazáshoz, becsületsértéshez. Egy másról készült intim fotó közzététele sérti a személyes adatokra vonatkozó szabályokat, de elsősorban a büntetőjog körébe tartozik és ilyenkor „beleolvad” magába a bűncselekménybe.

Sokszor fordul elő, hogy a pereskedő felek a egymást igyekeznek kellemetlen helyzetbe hozni, - elébe menve a jogi procedúrának, mivel nem bíznak az igazságszolgáltatásban. Az önbíráskodó a névtelenség álarcában egész életre kiható kellemetlenséget tud okozni másoknak becsületüket sértő kijelentések közzétételével. Az információs önbíráskodást tiltja a jog, akár bűncselekménynek is minősülhet a tett. Ugyanakkor ha a szolgáltató a felelősségét elhárítja, akkor tehetetlen a sértett. Ilyen esetben a "sajtó-helyreigazításnak" nincs értelme, hiszen egy rágalmazó fórumbejegyzés miatt nem vonható felelősségre a szolgáltató. A nyilvános tárgyalásokról a tényleges sajtó beszámolhat, ismertetheti a vádlott nevét, a vádat, az ítéletet., megfelelően szabályozott keretek között. Ha az információk az internetes médiumokba kerülnek, az adatok eltüntetése utólag nehéz. A névre rákeresve elévült, már az erkölcsi bizonyítványban sem szereplő adatok előkerülhetnek, amelyek hatással lehetnek az egyén életére, munkájára.

Az ellenőrizhetetlenség (arcnélküliség) csak bizonyos körig engedi az internet lehetőségeinek kihasználását. A virtuális világban jogszerűen (de legalábbis nem ellenőrizhető módon) lehet elrejtőzni álszemélyiség mögé. A közösségi oldalakon csak „arccal” élhetünk tényleges közösségi életet, találhatjuk meg valós ismerőseinket. Az életben problémás magatartást a virtuális közegben is kerülni kell  (pl. hazugság)  Ez akár az állásunkba is kerülhet, pl. ha a főnökünk a neki jelentett betegség idejéből bulizós képeket talál a közösségi oldalunk profilján.

Adatvédelmi törvényünk azokat az alapelveket fogalmazza meg a magyar jogi környezethez igazítva, amelyek nemzetközi szinten elfogadottá váltak (alapelvi szabályozás). Ilyen alapelv például az adatok minőségének a kérdése. A személyes adatoknak pontosnak, teljesnek, időszerűnek kell lenniük, az adatkezelésnek pedig törvényesnek és tisztességesnek kell lenni. Ha a felhasználó önmagáról ad meg információkat, nem kell adatai minőségét garantálnia, azaz senkinek nem köteles számot adni az önmagáról elhelyezett adatok valótlanságáról (születési dátumát "elírja", vagy régebbi, előnyös képet tesz fel). Korábban már volt róla szó, hogy a közösségi oldalak profiljainak kialakítása nem jogviszony kérdése. Azonban ha egy külön adatkezelő lép a rendszerbe, akkor már alkalmazandó az adatvédelem minden előírása, pl. az adatminőség, vagy a pontosság követelménye. Arról is esett már feljebb szó, hogy széleskörű gyakorlattá vált, hogy a munkáltató az interneten lévő adatok felhasználásával is tájékozódik az állásra jelentkezők személyéről, egyéb jellemzőiről és így olyan adatokhoz is juthat, amelyek adott esetben további megerősítést igényelhetnek. Jelenthet pozitív tapasztalatot (szakmai anyagok) de negatív benyomásokat is (illetlen fotók, szélsőséges megnyilatkozások, stb.). Ha a munkáltató kizárólag a virtuális tapasztalatokra alapozza döntését, akkor az adatok minőségét illetően nem tanúsítja az elvárható gondosságot, mert az érintett kiszolgáltatott, nem kap lehetőséget az információk megmagyarázására. Ilyen esetben nagyon nehéz tetten érni a jogtalanságot. Szabó Endre Győző szerint a munkáltatónak a jogi korlátozáson túl belső, erkölcsi megfontolás alapján is döntenie kell arról, hogy mikor, hol, milyen számára ismerté váló információt hogyan használ fel, amikor emberek sorsáról dönt. (Jogszerűen megszerezhető adatokon túl betekint-e a jelentkező munkavállaló magánszférájába.) Szerintem ugyanakkor ez egy nehéz elvárás, hiszen önként szolgáltatott adatokról van szó és a munkaadónak a cég érdekeit kell képviselni.

A felhasználók az interneten sok olyan információt, "lábnyomot" hagynak, amelyek bizonyos körökben sokat érnek, így pl. a szolgáltatók, piaci szereplők számára. Az egyénekhez nem kapcsolható információk esetén statisztikai adatgyűjtésről beszélhetünk, ahol nem a felhasználók kiléte, hanem „darabszáma”, jellemzőik előfordulása fontos, így nem esik az adatvédelmi szabályozás alá (pl. hány 20 és 30 év közötti nő használ párkereső oldalt és melyiket, mert akkor ott hirdetnek meg egy ennek a célcsoportnak szóló szolgáltatást). Ha azonban az adatokat már konkrét személyhez kötik, akkor  az adatkezelők átlépnek egy lényeges határvonalat, mert ebben az esetben már anonim adatok helyett személyes adatokra kíváncsiak, amelyek az  adatkezelés teljes időtartamában a jog védelme alatt állnak. Ugyanakkor a személyre szabott kiszolgáláshoz személyes adatokra van szükség, amihez az érintett hozzájárulása kell. Azt, hogy ezt jogszerűen miképp teheti meg, az Európai Unió 29-es Adatvédelmi Munkacsoportja a fejezet írása idején is kutatta.

Adatbányászat (adathalászat?) a kezelt adatokban rejlő, nem nyilvánvaló, addig nem ismert következtetések levonására irányuló eljárás. Az eljárás során személyes adatok kezelése történik, amennyiben az a célja, hogy személyre lebontott következtetéseket vonjon le (pl. fogyasztási szokások vizsgálata). Addig nem tekinthető jogellenesnek, amíg az érintett tud az eljárásról és beszólhat, akár tiltakozhat ellene. Többnyire mi magunk is észrevétlenül segítjük elő ezt a tevékenységet a hobbink, nézeteink, szokásaink kérdésekre válaszolva. Az adatbányászat célja és eredménye a jobb kiszolgálás, nagyobb profit.

Ugyanakkor az interneten hagyott nyomainkra nem csak az üzleti világ, hanem a bűnüldöző hatóság is kíváncsi lehet. Az adatmegőrzési irányelv az elektronikus hírközlési szolgáltatóknak a forgalmi adatmegőrzést írja elő (6-24 hónap nemzeti jogtól függően) bűnüldözési céllal. Ez bár ellentétes a célhoz kötöttség elvével, mivel a jogalkotó olyan feladat kiszolgálására kötelezi a szolgáltatót, amely idegen eredeti feladatától, egy másik szereplő kötelezettségeinek teljesítése érdekében kell adatokat tárolnia meghatározott ideig, mégis a közösség érdekeit szolgálja. Ilyen értelemben a jogi helyzet szabályozott, de kissé ellentmondásos.

Az állampolgár, mint jogkereső egyén az alábbi igényekkel léphet fel:
  1. magyarázzák el, mi zajlik a virtuális világban (oktatás, tömegtájékoztatás) 
  2. milyen jogai és kötelezettségei vannak az ott szereplőknek. 
Ez utóbbi függ a szervezetektől, a magán-és jogi személyektől, akikkel kapcsolatba kerülhetünk a az internetes világban. A virtuális életben megjelenő szerződésekre, adatvédelmi szabályzatokra átolvasás nélkül kattintunk, legtöbbször ezek ismerete nélkül lépünk üzleti kapcsolatba adataink megadásával a szolgáltatóval. (És gyakran így lehet különböző csalások áldozatává válni.) A tájékozódás és a jogviszonyok megválogatása aktív magatartást követel a felhasználótól. Az adatalany maga dönt saját adatairól, a szolgáltatás igénybevételéről, és ez a felelősség alapos körültekintést indokol.
Sokak szemében az internet a személyes adatok kezelését illetően kockázatos környezetet jelent. Az adatainkra, érdekeinkre leselkedő veszélyeket bizony nem árt komolyan venni. Az internetes bűnözés összjövedelme meghaladja a kábítószer-kereskedelemét. Megoldást a felhasználók tájékozódásának és tudatosságának növekedése jelenthet. Ennek része a spamek elleni küzdelem, a digitális tartalmak védelme, jogbiztonság a felhasználónak (mit tölthet le és mit nem). Az EU által létrehozott Digital Agenda kiterjed a magánszféra védelmére, tisztességes szerződéses kikötésekre, fogyatékkal élők joggyakorlásának elősegítésére, kereskedelmi védjegyek világhálón való elterjesztésére, online fizetések iránti bizalom erősítésére, hogy a világháló a közjót szolgálja. Nem az internettől való távolmaradás a megoldás, hanem annak biztonságos használata.  A virtuális világban a magánszféra csak a mi aktív részvételünkkel valósulhat meg. Az andragógiának és pedagógiának nagy szerepe lehet ezen veszélyek és megoldások tudatosításában, terjesztésében.

Nincsenek megjegyzések:

Megjegyzés küldése