Jelentős eltérések mutatkoznak az uniós és a magyarországi adatkezelés gyakorlatában. Alexin Zoltán adatvédelmi szakértő szerint ez önmagában is kérdéseket vet fel, ráadásul az európai uniós és a hazai joggyakorlat közötti különbségek nem feltétlenül kedvezőek a magyarok számára.
COMPUTERWORLD: Melyek a fő különbségek az Európai Unió és Magyarország adatkezelési, adatvédelmi szabályozása között?
ALEXIN ZOLTÁN: A legkritikusabb pont, hogy Magyarországon hiányzik a bírósági jogorvoslat lehetősége. A polgárok esélytelenek adatvédelmi perek indításakor, hiszen az adatkezelés szinte mindig törvénnyel elrendelt kötelező adatgyűjtés. A bíróságot köti a törvény, így elenyésző az ilyen természetű perek száma. A személyes adatok kezelése felülről vezérelt, a polgárok vagy a bíróságok kezében nincs semmilyen kontroll. Eltér az európai uniós gyakorlattól és szintén nem pozitív kicsengésű, hogy Magyarországon gyakorlatilag hiányzik a személyes adatok kezeléséről szóló tájékoztatás, következésképpen az érintett nem is tud az adatkezelésről, és nem is tud fellépni ellene. Ami például az egészségügyi adatok kezelését illeti, ott is minden adatkezelés kötelező, beleegyezésre soha sincs szükség az állampolgároktól. További nehezítő tényező, hogy Magyarországon túl sok, szám szerint mintegy hétszáz jogszabály vonatkozik a különböző kötelező állami adatbázisok építésére, adattovábbításokra.
CW: Az utóbbi időben megnövekedett terrorfenyegetettség hozott-e változást az Unió, illetve Magyarország adatkezelési, adatvédelmi gyakorlatában?
AZ: Két fontos eseményt említenék meg. Az egyik változás a légi utasok adatainak kezeléséről szóló európai uniós rendelet tervezete, amelyet 2016 elején fogad majd el az Európai Parlament. A tervezetre karácsony előtt áldását adta az Európai Bizottság és az Európai Tanács. Az új szabályozás lényege, hogy az Európai Unióban megforduló - az EU-n belül mozgó, kívülről érkező vagy az EU-ból kilépő - összes légi utas adatait (az úgy nevezett PNR-adatokat) a tagállamok egységes szabályozás szerint kötelesek gyűjteni, illetve az EU biztonsági szolgálatának elérhetővé tenni.
Egy másik eredmény a közelmúltból, 2014-ből az, hogy az Európai Unió Bírósága az Alapjogi Chartával ellentétesnek minősítette a távközlési szolgáltatóknál keletkező metaadatok megőrzésére vonatkozó korábbi uniós szabályozást, a 2006/24/EK számú irányelvet, az úgynevezett megőrzési irányelvet. Az eltörölt szabályozás szerint az EU-ban legfeljebb két évig kellett megőrizni a telefonhívások adatait, beleértve a beérkező és kimenő sikeres és sikertelen hívásokat, valamint mobilhívások esetén a cellainformációkat is. A hazai gyakorlatban egy év volt az adatmegőrzés ideje. Ezen idő alatt a nyomozóhatóság és a bíróság is elérheti a tárolt hívásadatokat. A jogszabályt az Európai Unió Bírósága azon az alapon semmisítette meg, hogy nem lehet mindenkit automatikusan terroristának tekinteni, és 600 millió európai polgárról szisztematikusan adatokat gyűjteni egy adatbázisba.
CW: Milyen gyakorlatot folytatnak a tagállamok a telefonhívások adatainak gyűjtésére vonatkozó korábbi EU-s jogszabály megszűnését követően?
AZ: Miután az Európai Unió Bírósága kimondta a vonatkozó jogszabály megszüntetését, a tagállamok maguk döntik el, hogyan tovább. Németországban például már e döntés előtt indult eljárás, és a német alkotmánybíróság megsemmisítette a német megőrzési törvényt. Hasonlóképpen járt el a román alkotmánybíróság is. Magyarországon szintén volt per, de az Alkotmánybíróság - látszólagos kifogások alapján - nem semmisítette meg a magyar törvényt. Itthon tehát a telefonhívások adatait továbbra is egy évig, a webhasználattal kapcsolatos naplófájlokat pedig fél évig őrzik meg a szolgáltatók.
CW: Nyilván mindannyiunk érdeke, hogy súlyos bűncselekmények gyanúja vagy terrorfenyegetettség esetén a rendőrség hozzáférjen a tárolt hívásadatokhoz.
AZ: Ez így van, de Magyarországon sajnos nemcsak a terroristák utáni nyomozás érdekében fér hozzá az adatokhoz a rendőrség, hanem gyakorlatilag bármilyen nyomozási célból. Nincs korlát, ha nyomozati érdekből szükségesnek ítélik, bárki telefonhívási adatait lekérhetik. A Telenor évente 50 ezer, a Vodafone 80 ezer megkeresést kap a rendőrségtől, amelynek legnagyobb részét teljesítik is. Ez biztosan ellentétes az Európai Unió Alapjogi Chartájával. Kétségtelen, hogy nem könnyű azt a kompromisszumos megoldást megtalálni, ami nem sérti az alapvető emberi jogokat, ugyanakkor a valóban indokolt esetekben lehetővé teszi az adattárolást és a tárolt adatok felhasználását.
CW: Mi a helyzet az adatközpontok üzemeltetőire és a felhőszolgáltatókra vonatkozó jogszabályokkal?
AZ: Az Európai Parlament hét éve dolgozik egy új uniós adatvédelmi jogszabályon. Több forrás megerősítette, de maga az Európai Parlament is kinyilatkoztatta, hogy 2016 első félévében megszavazzák az új adatvédelmi rendeletet. Nagyon fontos változás, hogy míg korábban csak irányelv vonatkozott az adatvédelemre, addig most egy minden tagállamra nézve kötelező, és közvetlenül hatályos adatvédelmi jogszabályt alkot az Európai Parlament. A készülő jogszabály tehát - egy rövid felkészülési időt követően - minden tagállamban hatályba lép. Ez a rendelet kitér a felhőszolgáltatókra és a nagy adatközpontokra is.
CW: Lehet már tudni valami konkrétumot a készülő jogszabályról?
AZ: Előzetes szövegek megtalálhatók már az interneten, de a végleges anyag természetesen még nem ismert. Az például már tudható, hogy a nagy felhőszolgáltatók kötelesek lesznek Európában fiókirodát nyitni, és ez az iroda lesz - az európai uniós szabályokat betartva - az adatok kezelője, a felelős azért, hogy a működésük megfeleljen az EU jogszabályainak. Mivel minden országban azonos lesz a jogszabály, a jövőbeli gyakorlat fontos eleme lesz a fellebbezési lehetőség a nemzeti adatvédelmi hatóság intézkedése ellen. Ha például egy személy vagy szervezet nem ért egyet országa hatóságának döntésével, akkor az Unió felülvizsgálati fórumához fordulhat jogorvoslatért.
CW: Jogosnak tartja azon szervezetek félelmét, amelyek rendszereiket inkább házon belül tartják, és kerülik a felhőszolgáltatásokat?
AZ: Minden cégnek, amely felhőszolgáltatások igénybevételét latolgatja, a következő dolgot érdemes figyelembe vennie: a nemzetközi egyezmények értelmében egy-egy állam joghatóságát a földrajzi határok alapján mondják ki. Másképpen fogalmazva: ha egy szolgáltatást Csehországból, Hongkongból vagy Algériából működtetnek, akkor arra a cseh, a hongkongi vagy az algériai adatvédelmi törvény vonatkozik. Extrém esetben még az is előfordulhat, hogy a számítógépet befogadó államnak egyáltalán nincs is adatvédelmi törvénye. Ez persze nem jelenti azt, hogy egyáltalán nem lehet az adatok kezelésére, védelmére vonatkozó jogokat érvényesíteni, de kétségtelenül problémás a folyamat.
CW: Kaphat-e az adat tulajdonosa írásos garanciát arról, hogy hol, milyen földrajzi térségben tárolják az adatait?
AZ: Nem igazán. A felhőszolgáltatás lényege ugyanis az, hogy a világban elosztott számítóközpontokat használnak, és a feladatok, illetve az adatok az egyes rendszerelemek terheltségétől függően mozognak a különböző szerverek között. Szinte lehetetlen tehát megmondani, hogy az adatok mikor hol találhatóak, illetve pontosan milyen utat járnak be. Természetesen erre a problémára is folyamatosan születnek megoldások. Az egyik globális szereplő például az Európai Uniónak külön felhőrendszert alakított ki, és garantálja az EU-tagállamok céges ügyfeleinek, hogy adataikat az Unión belül, európai számítóközpontokban tartja.
CW: Minek tulajdoníthatók, miben gyökereznek az Európai Unió és Magyarország adatkezelési szabályozásának eltérései?
AZ: Sajnos már a kezdetektől, valamikor 1992 körül félresiklott a folyamat. Tény, hogy Magyarországon korábban, a szocializmusban számos ponton sérültek az alapvető emberi jogok, így hiányoztak a hagyományok. Ilyen múlttal aztán nem talált értő fogadtatásra a nyugati gyakorlat, pontosabban szólva nem is ismerték azt. Tudomásom szerint a nyolcvanas évek végén a KSH kezdeményezte az adatvédelmi törvény létrehozását, ám az még négy-öt évig a fiókban maradt. Alkotói már a kezdetektől úgy gondolták, hogy valamiért jó nekünk, ha csak törvényi felhatalmazás alapján lehet személyes adatokat gyűjteni. Ez az elején, amikor még csak néhány vonatkozó törvény volt, kétségtelenül jó lehetett az állampolgároknak, hiszen azt jelentette, hogy az állam kevés adatot kezel az emberekről. Mostanra azonban megváltozott a helyzet, hiszen már mintegy hétszáz, kötelező adatkezelést előíró jogszabály van hatályban. A jelenlegi jogszabályi háttér egyrészt átláthatatlan, másrészt az érintettek hozzájárulása nélkül, gyakorlatilag átláthatatlanul és kontrollálhatatlanul teszi lehetővé a személyes adatok tömeges gyűjtését, kezelését.
Az Európai Unió és Magyarország adatkezelési szabályozásának összehasonlítása
|
A szabályozás típusa |
Előzetes tájékoztatás |
Arányosság, szükségesség követelménye |
Tiltakozás joga |
Jogorvoslat |
EU |
Magyarország |
|
Kötelező |
Elkerülhető |
Nincs |
Nincs |
Nincs |
20% |
87% |
|
Megengedett |
Van |
Van |
Van |
Van |
70% |
1% |
|
Beleegyezéssel lehetséges |
Van |
Van |
A beleegyezés visszavonható |
10% |
12% |
|
Forrás: Alexin Zoltán
