Spam: a világháló szemete II. - adatvédelem
Korábbi, a spamek történelmével foglalkozó cikkünk után a sorozat következő részeiben a magyarországi jogi szabályozást próbáljuk megvilágítani. Mai írásunkban az adatvédelmi törvény spamekre, spammerekre vonatkozó kérdéseit válaszolja meg Gulyás Csaba, az Országgyűlési Biztosok Hivatalának munkatársa.
HWSW: Mi tekinthető az elektronikus levelezés során személyes adatnak?
Gulyás Csaba: Az adatvédelmi törvény szerint személyes adatnak kell tekinteni azt az adatot, amely kapcsolatba hozható az érintett személlyel, és amelyből az érintettre következtetés vonható le. Tehát személyes adat az érintettel kapcsolatos bárminemű információ, legyen az minősítés, vélemény, vagy e-mail cím.
HWSW: Személyes adat-e az e-mail cím akkor, ha abban nem szerepel a nevem?
Gulyás Csaba: A törvény szövegét értelmezve nyilvánvaló, hogy személyes adatnak tekinthetők azok az adatok is, amelyek önmagukban ugyan nem, de az adatkezelőnél található egyéb személyes adattal összevetve az érintettel kapcsolatba hozhatók. Például egy 16 jegyű alvázszám a BM központi nyilvántartó szervezeténél -- miután ott hozzá kapcsolhatók a jármű tulajdonosának adatai -- személyes adat.
Mindebből az is következik, hogy egy szolgáltatónál a természetes személy előfizető e-mail címe -- legyen az bármennyire is elvont, névhez nem is hasonlító formátumú -- személyes adat, hiszen az kapcsolatba hozható egy azonosítható személlyel.
HWSW: Összességében tehát akár vissza lehet következtetni az e-mail cím használójának személyére, akár nem, maga az elektronikus levélcím személyes adat, ha azt csak egyvalaki használja?
Gulyás Csaba: Így igaz, hiszen az egy személyhez köthető, kapcsolható, egy meghatározható személy által használt e-mail cím személyes adatnak tekintendő. Ugyanakkor az adatvédelmi biztos 2000. évi jelentése szerint "a munkahelyen folytatott elektronikus levelezés adatvédelmi kérdései tekintetében különbséget kell tenni a munkavállaló személyes használatára adott, esetleg a nevét, vagy nevének töredékét is tartalmazó, valamint az olyan e-mail címek között, amelyek a cég ügyeinek intézését szolgálják, és nem egy-egy munkavállaló személyéhez kötöttek".
[oldal:Az adatkezelésről, adatvédelmi nyilvántartásról]
HWSW: Jól értelmezem, hogy valamennyi cégnek, melyeknél az adatgyűjtés nem tartozik a törvény 30. paragrafusában taglalt kivételek közé, adatvédelmi nyilvántartásba való vételét kell kérnie?
A 30. paragrafus szerinti kivételek |
Nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely |
HWSW: Egy kereskedelmi hirdetés címzettjeként ügyfélnek tekinthetem-e magam?
Gulyás Csaba: Az ügyfélkapcsolatok kérdése nincs tételesen szabályozva az adatvédelmi törvényben. Hogy az adatok kezelőjének be kell-e jelentkeznie az adatvédelmi nyilvántartásba, azt a néhány egyértelmű, a törvényben szabályozott kivételen túl egyedileg kell megvizsgálnunk. Általában a törvénynek az az eszméje, hogy ha valaki saját elhatározásából átadja az adatait egy vállalkozásnak -- és itt szigorúan értendő, hogy mindkét fél számára egyértelmű legyen az adatokat hol, mire, meddig használhatja az adatkezelő -- akkor nem szükséges bejelentkezni az adatvédelmi nyilvántartásba.
HWSW: Nyilvános-e az adatvédelmi nyilvántartásba került cégek listája? Ha kapok egy kereskedelmi célú üzenetet, utánanézhetek-e annak, hogy a feladó szerepel-e a nyilvántartásban?
Gulyás Csaba: Igen! Ha azonban olyan cégről van szó, amelyik csak a vele ügyfélkapcsolatban lévő személyek adatait kezeli, akkor nincs bejelentési kötelezettsége.
HWSW: Mit kell tennie annak cégnek, amelyik az elektronikus levelezés során a munkatársak levelezőprogramjában gyűjti össze a partnerek nevét és levélcímét?
Gulyás Csaba: Ha a kérdését jól értem és a partnerek természetes személyek, akkor a cégnek ezt a tevékenységet sürgősen be kell fejeznie! Az adatvédelmi előírások alapján ugyanis jogellenes, ha az érintettek -- azaz a partnerek -- tudta és beleegyezése, szakszerűbben a hozzájárulása nélkül személyes adatokat, azaz neveket és e-mail címeket gyűjt a cég.
HWSW: Számos kéretlen levélben szerepel az alábbi sor: "Nyilvános weboldalról gyűjtött - aaa@bbb.hu - címére reklámüzenet érkezett". Adatvédelmi szempontból minek tekinthető az, amikor egy weboldalon valaki kapcsolatfelvétel céljából nyilvánosságra hozza e-mail címét, melyet később egy cég vagy magánszemély kereskedelmi üzenetei továbbítására összegyűjt?
Gulyás Csaba: A magyar adatvédelmi előírások szerint személyes adatot kezelni meghatározott célból lehet, és az adatkezelésnek minden szakaszában meg kell felelnie ennek a célnak. Ha valaki kapcsolatfelvétel céljából nyilvánosságra hozza az e-mail címét, és erre a címre kereskedelmi üzenetek érkeznek valakiktől, akkor az ilyen üzeneteket valószínűleg nem lehet kapcsolatfelvételnek tekinteni. Ha tehát az eredeti céltól eltérően kezelik a személyes adatokat, akkor adatvédelmi szempontból jogellenes adatkezelésről beszélhetünk.
HWSW: Ha a honlap-tulajdonosok oly módon tüntetnék fel a kapcsolatfelvételre kitett e-mail címeket, hogy mellette rendelkeznek a felhasználási lehetőségekről (pl: a kereskedelmi üzenetekkel való megkeresést kizárják), elejét vehetik-e a címgyűjtögetésnek?
Gulyás Csaba: Az előző kérdéshez is visszakanyarodva, tudomásul kell vennünk, hogy az internet olyan számítógépes világhálózat, amely személyes és közérdekű adatok, és közérdeklődésre számot tartó reklámok millióit gyűjti, tárolja, továbbítja, és hozza nyilvánosságra. Olyan rendszer, amely nyilvános, elvileg bárki számára hozzáférhető; nincs tekintettel az országhatárokra; mindezért adatvédelmi, adatbiztonsági szempontból igen sérülékeny. Tudnunk kell azt is, hogy a világháló által olyan információk, adatok érhetők el, amelyek egy része nem valós, vagy nem pontos, és -- sajnálatosan -- teret enged jogsértő cselekmények elkövetésére. És a rendszer működtetésének egyik motorja, azaz anyagi alapja a reklám, amelyet valamilyen módon (például e-mail útján) el kell juttatni a potenciális fogyasztókhoz.
Ezért aligha várható, hogy a "címgyűjtögetés", és a kéretlen reklámlevelek küldése a világhálón megszűnne, vagy jelentősen csökkenne. Valamiféle korlátot, szabályozottságot, a spamek csökkenését, mederbe terelését jelentheti, ha -- mint hazánkban történt -- megfelelő jogi szabályok születnek. De a nemzetközi spaminvázió ellen csak nemzetközi szabályozással lehetne fellépni.
Összességében azonban elmondhatjuk, hogy ma Magyarországon az adatvédelmi szabályozás nem tesz lehetővé semmilyen címgyűjtögetést, amelynél nincs beleegyező jóváhagyás az adatok tulajdonosa részéről. Tehát sem a robotokkal begyűjtött címek, sem a bizonyos célra bekért, majd más célra felhasznált e-mail címek kezelése nem jogszerű. Mi nem azt vizsgáljuk, hogy egy levél kiküldése törvényes volt-e, hanem hogy a levél címzettjének az adatai (adott esetben csak az e-mail címe) jogszerűen kerültek-e az adatkezelőhöz, illetve azok felhasználása az adatvédelmi törvénnyel megegyező szellemiségben történt-e.
[oldal:Adattovábbítás külföldre, szankciók]
HWSW: Ön nemrég, az IDG spam konferencián tartott előadásában üdvözölte az adatvédelmi törvény azon változását, mely a külföldre történő adattovábbítás szigorát enyhítette. Tudna valami megnyugtatót mondani azok számára, akik azért örültek ennek a szigornak, mert például az EU-s és a hazai elektronikus kereskedelemről szóló szabályozás homlokegyenest ellenkező: míg Magyarországon az előzetes hozzájárulás, az unióban az utólagos tiltás elve érvényesül?
Gulyás Csaba: A korábbi adatvédelmi biztos, Majtényi László az internettel kapcsolatban kiadott ajánlásában úgy vélte, hogy miután a kéretlen üzleti célú e-mail küldése (ún. spamming) esetén céltól eltérő adatkezelés valósul meg, a jogalkotónak döntenie kellene arról, hogy az ilyen tevékenység tiltása mellett foglal állást vagy azt egyes korlátozásokkal jogszerűvé teszi. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény rendezte a kérdést, hiszen kimondta, hogy a küldött reklámnak világosan és egyértelműen azonosíthatónak kell lennie, és kizárólag az igénybe vevő egyértelmű, előzetes hozzájárulásával küldhető elektronikus úton, levelezés során reklám. E törvény azt is kimondta, hogy nyilvántartást kell vezetni azokról, akik írásban bejelentették például a reklámozónak, hogy kívánnak reklámot kapni.
Az előzetes hozzájárulás megszerzésével történő reklámozás természetesen nem magyar sajátosság; ismereteim szerint az EU néhány tagállamában hasonló szabályozás létezik.
HWSW: Mi lesz így a magyar állampolgárok külföldön gyűjtött személyes adataival, ha azokra bármikor érkezhet kéretlen levél, és a hazai felhasználók nem is panaszkodhatnak, hiszen minden törvényesen zajlott? Valóban olyan pozitív ez a változás?
Gulyás Csaba: Netezőként úgy látom, hogy a külföldi adatgyűjtés és a külföldről érkező kéretlen levelek elleni harcot mindenkinek személyesen kell megvívnia, például úgy, hogy több e-mail címet használunk, és ha egy kecsegtető ajánlatnak, hírlevélre való feliratkozásnak nem tudunk ellenállni, akkor ehhez használjunk egy olyan postafiókot, amelyet gyorsan és gond nélkül törölhetünk. További segítséget jelenthet, ha spamszűrőket használunk, és nem válaszolunk a spamekre.
HWSW: Itt arra is gondolok, mikor multinacionális cégek magyarországi leányvállalatai az előfizetők adatait az anyavállalat központjában tarják nyilván, valahol külföldön, például egy uniós tagországban.
Gulyás Csaba: Adatvédelmi szabályozás az Európai Unió országaiban is van, még ha az nem is egységes. Az adatvédelemmel foglalkozó hivatalok sem mindenütt az állampolgári jogok biztosának szintjén működnek. Ezért konkrét esetben -- például egy magyar és egy EU-tagország közötti adattovábbítás esetén -- meg kell keresnünk az érintett ország adatvédelemmel foglalkozó hivatalát és ott érdeklődhetünk az adatok sorsával kapcsolatban. Fordítva azonban egyszerűbb a helyzet: az uniós országokban tudják, hogy például Svájcba vagy Magyarországra továbbított személyes adatokra vonatkozó szabályozás igen szigorú.
HWSW: Milyen jogkövetkezményei lehetnek annak, ha egy cég nem kéri felvételét az adatvédelmi nyilvántartásba, ám mégis gyűjt és kezel e-mail címeket?
Gulyás Csaba: Miután üzenetet, reklámlevelet jogszerűen csak annak lehet küldeni, aki azt kérte, azaz ügyfélként feliratkozott egy reklámokat küldő szolgáltatónál, ezeknek a szolgáltatóknak -- ha más adatkezelést nem végeznek -- be sem kell jelentkezniük. Azonban ha egy adatkezelő, akinek kötelessége lenne, ám mégsem tesz eleget bejelentési kötelezettségének, akkor nyilvánvalóan megsérti az adatvédelmi törvény előírását, amelynek több következménye is lehet.
Jogosulatlanul (például bejelentés elmulasztásával) végzett adatkezelés esetén az érintett bírósághoz fordulhat, de kérheti az adatvédelmi biztos eljárását is. Az adatvédelmi biztos jogellenes adatkezelés esetén felszólítja az adatkezelőt az adatkezelés megszüntetésére, és ha nem szűnik meg a jogsértő adatkezelés, ez év márciusáig az adatvédelmi nyilvántartásba történő bejelentés elmulasztása miatt akár büntetőeljárás is indulhatott az adatkezelő ellen. Jelenleg ilyen szigorra csak akkor "számíthat" az adatkezelő, ha a bejelentés elmulasztásával más vagy mások érdekeit jelentősen sérti.
Az Országgyűlés elfogadta az adatvédelmi törvény -- uniós jogharmonizációt szolgáló -- módosítását. A módosítások lehetőséget teremtenek az adatvédelmi biztos számára, hogy elrendelje a jogellenes adatkezelések zárolását, törlését vagy megsemmisítését, megtiltsa a jogosulatlan adatkezeléseket vagy feldolgozásokat, és felfüggessze az adatok külföldre továbbítását.
HWSW: Mi a helyzet azokkal, akik magánszemélyként gyűjtenek/kezelnek e-mail címeket? Rájuk vonatkozik-e valamilyen külön szabály, illetve élveznek-e mentességet bármilyen kötelezettség alól?
Gulyás Csaba: Az adatvédelmi törvény előírásait a magánszemély adatkezelőknek is be kell tartaniuk. Egyetlen "mentességet" tudnék említeni, azt, hogy nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely a személy saját célját szolgálja.
HWSW: Az államigazgatás mely más szerveihez lehet még panasszal fordulni jogosulatlan adatkezelés esetén?
Gulyás Csaba: Már korábban szóltam arról, hogy az érintettek jogaik megsértése esetén bírósághoz, vagy az adatvédelmi biztoshoz fordulhatnak. Azt is meg kell említeni, hogy az adatkezelőt kártérítési kötelezettség is terheli, ha jogellenes adatkezeléssel, vagy az adatbiztonsági követelmények be nem tartásával az érintettnek kárt okoz. És nem szabad elfeledkezni arról sem, hogy az adatvédelmi előírások súlyosabb megsértése esetén akár büntetőeljárásra is sor kerülhet.
HWSW: Az adatvédelmi törvény megsértése minek minősül? Bűncselekmény? Szabálysértés? Polgári ügy?
Gulyás Csaba: Az adatvédelmi törvényt többféle módon és mértékben lehet megsérteni, ennek megfelelően a jogsértések elleni fellépések is eltérőek lehetnek. Egyes esetekben elégséges, ha az adatvédelmi biztos kéri a jogellenes adatkezelés megszüntetését, máskor bíróságnak kell eltiltania az adatkezelőt a jogsértés folytatásától, és/vagy kártérítést megítélni, sőt büntetőeljárás lefolytatására is sor kerülhet.