BAKA PÉTER, DUDÁS GÁBOR, FILIPOVItS VIKTóRIA, FREIDLER GÁBOR, KESZEY GÁBOR, KUTHINÉ NAGY ANDREA, RÉVÉSZ BALÁZS, SOMOGYVÁRI KATALIN, SZABÓ ENDRE GYŐZŐ, SZIKLAY JÚLIA, TRÓCSÁNYI SÁRA, ZOMBOR FERENC
Adatvédelem és információszabadság a mindennapokban Szerkesztő: Péterfalvi Attila
BAKA PÉTER, DUDÁS GÁBOR, FILIPOVITS VIKTÓRIA, FREIDLER GÁBOR, KESZEY GÁBOR, KUTHINÉ NAGY ANDREA, RÉVÉSZ BALÁZS, SOMOGYVÁRI KATALIN, SZABÓ ENDRE GYŐZŐ, SZIKLAY JÚLIA, TRÓCSÁNYI SÁRA, ZOMBOR FERENC
Adatvédelem és információszabadság a mindennapokban Szerkesztő: Péterfalvi Attila
Lap- és Könyvkiadó Kft.
© Baka Péter, 2012 © Dudás Gábor, 2012 © Filipovits Viktória, 2012 © Freidler Gábor, 2012 © Keszey Gábor, 2012 © Kuthiné Nagy Andrea, 2012 © Péterfalvi Attila, 2012 © Révész Balázs, 2012 © Somogyvári Katalin, 2012 © Szabó Endre Győző, 2012 © Sziklay Júlia, 2012 © Trócsányi Sára, 2012 © Zombor Ferenc 2012 © HVG-ORAC Lap- és Könyvkiadó Kft., 2012 Szerkesztés lezárva: 2012. augusztus 31.
A HVG-ORAC a LexisNexis csoport partnere A kiadó számára minden jog fenntartva. Jelen könyvet, illetve annak részleteit tilos reprodukálni, adatrendszerben tárolni, bármely formában vagy eszközzel – elektronikus, fényképészeti úton vagy módon – a kiadó engedélye nélkül közölni. ISBN 978 963 258 163 7 Budapest, 2012 A HVG-ORAC Lap- és Könyvkiadó Kft. kiadása Felelős kiadó: dr. Frank Ádám, a kft. ügyvezetője Internet: www.hvgorac.hu E-mail: info@hvgorac.hu Felelős szerkesztő: dr. Gábor Zsolt Tipográfia és műszaki szerkesztés: Harkai Éva Szedés: HVG-ORAC Lap- és Könyvkiadó Kft.
Tartalom
Jogszabályok rövidítéseinek jegyzéke . . . . . . . . . . . . . . . . . . . .
17
Előszó 1. 1.1. 1.1.1. 1.1.2. 1.2. 1.2.1. 1.2.2. 1.2.3. 1.2.4. 1.2.5. 1.2.6. 1.3. 1.4. 1.4.1. 1.4.1.1. 1.4.1.2. 1.4.1.3. 1.4.1.4. 1.4.1.5.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
A személyes adatok védelme . . . . . . . . . . . . . . . . . . Az adatvédelem szabályozási modelljei . . . . . . . . . . . Eltérő privacy-modellek . . . . . . . . . . . . . . . . . . . . . . . Az Európai Unió és az USA privacy-felfogása közötti különbségek . . . . . . . . . . . . . . . . . . . . . . . . . . . Adatvédelem a nemzetközi jogban és az Európai Unióban . . . . . . . . . . . . . . . . . . . . . . . . Az OECD Irányelvek . . . . . . . . . . . . . . . . . . . . . . . . . Az Európa Tanács adatvédelmi egyezménye . . . . . . Európai Unió adatvédelmi irányelve . . . . . . . . . . . . . Európai Adatvédelmi Biztos . . . . . . . . . . . . . . . . . . . . A 29. cikk szerinti Adatvédelmi Munkacsoport . . . . Az Európai Unió Bírósága . . . . . . . . . . . . . . . . . . . . . Adatvédelem a hazai jogrendben . . . . . . . . . . . . . . . . Az információs önrendelkezési jogról és az információszabadságról szóló törvény . . . . . . . Alapfogalmak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Érintett . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Személyes adat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Különleges adat, bűnügyi személyes adat . . . . . . . . . Közérdekű adat, közérdekből nyilvános adat . . . . . Hozzájárulás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25 25 25 29 35 37 39 39 44 48 49 50 56 59 60 61 62 64 65
6
TARTALOM
1.4.1.6. Tiltakozás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.1.7. Adatkezelő, adatkezelés, egyes nevesített adatkezelési műveletek . . . . . . . . . . . . . . . . . . . . . . . . 1.4.1.8. Adatfeldolgozás, adatfeldolgozó . . . . . . . . . . . . . . . . . 1.4.1.9. Egyéb definíciók . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.2. Az adatkezelés elvei . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.2.1. A célhoz kötöttség . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.2.2. Az adatminőség elve . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.2.2.1. A tisztességes adatkezelés követelménye . . . . . . . . . . 1.4.2.2.2. A pontos, teljes és naprakész adatok kezelésének követelménye . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.2.3. A helyreállíthatóság kritériuma . . . . . . . . . . . . . . . . . 1.4.3. Az adatkezelés jogalapja . . . . . . . . . . . . . . . . . . . . . . . 1.4.3.1. A régi adatvédelmi törvény szabályozása és annak hatása a jelenlegi törvényre . . . . . . . . . . . . 1.4.3.2. Az érintett hozzájárulása . . . . . . . . . . . . . . . . . . . . . . 1.4.3.3. A törvényben elrendelt adatkezelések . . . . . . . . . . . . 1.4.3.4. Különleges adatok kezelése . . . . . . . . . . . . . . . . . . . . 1.4.3.5. Szükséghelyzetben történő adatkezelés . . . . . . . . . . . 1.4.3.6. Az érintett kérelmére indult eljárásokban történő adatkezelés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.3.7. Az Infotv. új jogalapjai . . . . . . . . . . . . . . . . . . . . . . . . 1.4.3.8. A kiskorú személyek nyilatkozata . . . . . . . . . . . . . . . 1.4.3.9. Közszereplés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.3.10. Az Infotv. és az Európai Unió adatvédelmi irányelvének jogalapjai és azok közvetlen hatálya . . 1.4.3.11. Az Infotv. jogalapjai és a külföldre való adattovábbítás kapcsolata . . . . . . . . . . . . . . . . . . . . . . 1.4.4. Az adatbiztonság követelménye . . . . . . . . . . . . . . . . . 1.4.5. Külföldre történő adattovábbítás . . . . . . . . . . . . . . . . 1.4.5.1. Uniós szabályozás . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.5.2. Magyar szabályozás: az Infotv. külföldre történő adattovábbításra vonatkozó rendelkezései . . . . . . . . . 1.4.5.3. Az uniós szabályozás reformja . . . . . . . . . . . . . . . . . . 1.4.6. Az adatkezelés korlátai . . . . . . . . . . . . . . . . . . . . . . . . 1.4.7. Adatfeldolgozás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67 68 70 71 73 73 80 81 83 86 89 90 91 95 96 98 99 100 105 105 106 108 109 118 120 123 124 128 130
TARTALOM
1.4.7.1. Az adatfeldolgozásról általában . . . . . . . . . . . . . . . . . 1.4.7.2. Az adatfeldolgozás szabályai . . . . . . . . . . . . . . . . . . . 1.4.8. Automatizált adatfeldolgozással hozott döntés . . . . . 1.4.9. Személyes adatok felhasználása statisztikai célra . . . 1.4.9.1. Általános szabályok . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.9.1.1. A bűnügyi statisztikai adatok . . . . . . . . . . . . . . . . . . . 1.4.9.1.2. Bírósági statisztika . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.9.2. A népszámlálás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.9.2.1. Az Európai Unió szabályai . . . . . . . . . . . . . . . . . . . . . 1.4.9.2.2. A magyar szabályozás . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.9.2.3. Szemelvények néhány uniós állam 2011. évi népszámlálási kérdőívéből . . . . . . . . . . . . . . . . . . . . . 1.4.10. Érintettek jogai és érvényesítésük, előzetes tájékoztatás, tiltakozás . . . . . . . . . . . . . . . . . . . . . . . . 1.4.10.1. Tájékoztatáshoz való jog . . . . . . . . . . . . . . . . . . . . . . . 1.4.10.1.1. A tájékoztatás alapvető szabályai . . . . . . . . . . . . . . . . 1.4.10.1.2. A tájékoztatáshoz való jog más jogszabályokban . . . 1.4.10.1.3. Az adattovábbítási nyilvántartás . . . . . . . . . . . . . . . . 1.4.10.1.4. A tájékoztatás megadása . . . . . . . . . . . . . . . . . . . . . . . 1.4.10.2. A helyesbítéshez való jog . . . . . . . . . . . . . . . . . . . . . . 1.4.10.3. Törléshez való jog . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.10.4. Értesítési kötelezettség . . . . . . . . . . . . . . . . . . . . . . . . 1.4.10.5. Az érintetti jogok korlátozása . . . . . . . . . . . . . . . . . . 1.4.10.6. Az előzetes tájékoztatás követelménye . . . . . . . . . . . 1.4.10.7. A tiltakozáshoz való jog . . . . . . . . . . . . . . . . . . . . . . . 1.4.11. Bírósági jogérvényesítés, kártérítés . . . . . . . . . . . . . . 1.4.12. Belső adatvédelmi felelős és adatvédelmi szabályzat 1.4.12.1. Belső adatvédelmi felelős . . . . . . . . . . . . . . . . . . . . . . 1.4.12.2. Adatvédelmi és adatbiztonsági szabályzat . . . . . . . . . 1.4.12.3. Belső adatvédelmi felelősök konferenciája . . . . . . . . 2. Információszabadság . . . . . . . . . . . . . . . . . . . . . . . . 2.1. Az információszabadság jelentése, tartalma . . . . . . . 2.2. Nemzetközi szabályozás és gyakorlat . . . . . . . . . . . . 2.2.1. Információszabadság az Európai Unióban . . . . . . . . 2.2.2. Információszabadság az Európa Tanácsban . . . . . . .
7 130 132 137 140 142 143 144 145 145 148 150 151 153 153 155 158 159 160 161 164 164 166 168 171 173 173 177 179 180 180 182 182 183
8 2.2.3. 2.3. 2.3.1. 2.3.1.1. 2.3.1.2. 2.3.1.3. 2.3.1.4. 2.3.1.5. 2.3.2. 2.3.2.1. 2.3.2.2. 2.3.3. 2.4. 2.4.1. 2.4.2. 2.4.3. 2.4.4. 2.4.5. 2.5. 2.5.1. 2.5.1.1. 2.5.1.2. 2.5.2. 3. 3.1. 3.1.1. 3.1.2. 3.1.3.
TARTALOM
Emberi Jogok Európai Egyezménye (1950) és a strasbourgi bíróság gyakorlata . . . . . . . . . . . . . . A hazai szabályozás rendszere . . . . . . . . . . . . . . . . . . Közérdekű adat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Üzleti titok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Minősített adatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . Döntés-előkészítéssel kapcsolatos adatok . . . . . . . . . Szellemi tulajdon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A nyilvánosság korlátozása egyéb törvények alapján Közérdekből nyilvános adatok . . . . . . . . . . . . . . . . . . További nyilvános üzleti adatok . . . . . . . . . . . . . . . . . További közérdekből nyilvános személyes adatok . . A környezeti adatok nyilvánossága . . . . . . . . . . . . . . Közérdekű adat kiadása és közzététele . . . . . . . . . . . Az adatkezelő által adott tájékoztatás általános szabályai . . . . . . . . . . . . . . . . . . . . . . . . . . . . A közérdekű adatok közzététele . . . . . . . . . . . . . . . . . Közérdekű adatok kiadása kérelemre . . . . . . . . . . . . A közérdekű adatok kiadása iránti perek szabályai A közérdekű adatok nyilvánossága jogellenes korlátozásának büntetőjogi szankciói . . . . . . . . . . . . Információszabadság vs. titokvédelem . . . . . . . . . . . Minősített adatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . A minősített adat kezelése, felülvizsgálata . . . . . . . . A Nemzeti Adatvédelmi és Információszabadság Hatóság minősített adatokkal kapcsolatos jogosítványai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Üzleti titok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Jogalkalmazás, adatvédelmi nyilvántartás . . . . . . A Nemzeti Adatvédelmi és Információszabadság Hatóság . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A Nemzeti Adatvédelmi és Információszabadság Hatóság megalakulása és annak előzményei . . . . . . . A Hatóság szervezetének felépítése . . . . . . . . . . . . . . Vizsgálati típusú eljárások . . . . . . . . . . . . . . . . . . . . .
184 188 188 190 190 191 194 194 195 199 201 203 206 206 207 211 216 219 220 221 229 230 230 234 234 234 235 237
TARTALOM
3.1.4. 3.1.4.1. 3.1.4.2. 3.1.4.3. 3.1.4.4. 3.1.4.5. 3.1.4.6. 3.2. 3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.2.5. 3.3. 3.3.1. 3.3.2. 3.3.3. 3.3.4. 4. 4.1. 4.1.1. 4.1.2. 4.1.2.1. 4.1.2.2. 4.1.3. 4.1.3.1. 4.1.3.2. 4.1.3.3. 4.1.3.4. 4.1.4.
A Hatóság hatósági típusú eljárásai . . . . . . . . . . . . . . Az adatvédelmi hatósági eljárás megindítása . . . . . . A hatósági eljárás ügyintézési határideje . . . . . . . . . . A Hatóság határozata . . . . . . . . . . . . . . . . . . . . . . . . . A Hatóság határozatának bírósági felülvizsgálata . . A Hatóság határozatának nyilvánosságra hozatala Titokfelügyeleti hatósági eljárás . . . . . . . . . . . . . . . . . Adatvédelmi nyilvántartás . . . . . . . . . . . . . . . . . . . . . Az adatvédelmi nyilvántartásról általában . . . . . . . . Az adatvédelmi nyilvántartás tartalma [Infotv. 65. § (1) és (2) bekezdés] . . . . . . . . . . . . . . . . . Kivételi szabályok: adatkezelések, melyekről a Hatóság nem vezet nyilvántartást [Infotv. 65. § (3) bekezdés] . . . . . . . . . . . . . . . . . . . . . . A nyilvántartás nyilvánossága, a kérelem tartalma, benyújtásának módja, határideje . . . . . . . . . . . . . . . . Adatvédelmi nyilvántartásba vételi eljárás . . . . . . . . A jogellenes adatkezelés következményei . . . . . . . . . Polgári peres eljárás . . . . . . . . . . . . . . . . . . . . . . . . . . Büntetőeljárás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Felügyeleti eljárás . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reputációs kockázat . . . . . . . . . . . . . . . . . . . . . . . . . . Szektorális adatvédelmi kérdések . . . . . . . . . . . . . Adatkezelés a munkaviszonyban . . . . . . . . . . . . . . . . Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A Munka Törvénykönyvének rendelkezései . . . . . . . A régi Mt. rendelkezései . . . . . . . . . . . . . . . . . . . . . . . A hatályos törvényi szabályok . . . . . . . . . . . . . . . . . . Az adatkezelés jogalapja . . . . . . . . . . . . . . . . . . . . . . . Törvény rendelkezése . . . . . . . . . . . . . . . . . . . . . . . . . A hozzájárulás jelentősége és értelmezése a munkaviszonyban . . . . . . . . . . . . . . . . . . . . . . . . . . . Speciális jogalapok . . . . . . . . . . . . . . . . . . . . . . . . . . . A célhoz kötöttség elve . . . . . . . . . . . . . . . . . . . . . . . . A kezelhető adatok köre . . . . . . . . . . . . . . . . . . . . . . .
9 251 252 254 254 256 257 258 262 262 263 265 272 274 276 277 280 281 282 284 284 284 285 285 286 289 289 289 291 292 293
10 4.1.5. 4.1.6. 4.1.7. 4.1.8. 4.1.9. 4.1.9.1. 4.1.9.2. 4.1.9.3. 4.1.10. 4.1.11. 4.1.11.1. 4.1.11.2. 4.1.11.3. 4.1.11.4. 4.1.11.5. 4.2. 4.2.1. 4.2.2. 4.2.2.1. 4.2.2.2. 4.2.2.3. 4.2.3. 4.2.4. 4.2.5. 4.2.6. 4.3. 4.3.1. 4.3.2. 4.3.3. 4.3.3.1. 4.3.3.2. 4.3.3.3.
TARTALOM
Az adatok továbbítása . . . . . . . . . . . . . . . . . . . . . . . . . Adatkezelés a munkaviszony létesítését megelőzően Adatkezelés a munkaviszony megszűnését követően Adatfeldolgozó igénybevétele . . . . . . . . . . . . . . . . . . . Alkalmassági vizsgálatok . . . . . . . . . . . . . . . . . . . . . . Az alkalmassági vizsgálatokról általában . . . . . . . . . Pszichológiai, grafológiai vizsgálatok . . . . . . . . . . . . Egészségügyi alkalmasság . . . . . . . . . . . . . . . . . . . . . A büntetett előélet és erkölcsi bizonyítvány . . . . . . . A munkavállalók ellenőrzése . . . . . . . . . . . . . . . . . . . Az ellenőrzés általános kérdései és szabályai . . . . . . A munkahelyi kommunikáció ellenőrzése . . . . . . . . . Az internet használatának korlátozása és ellenőrzése A munkahelyi informatikai eszközök ellenőrzése . . Földrajzihelyzet-meghatározás . . . . . . . . . . . . . . . . . . Az elektronikus hírközlési szolgáltatók adatkezelése Az elektronikus hírközlési szolgáltatás fogalma . . . . A hírközlési adatkezelések általános ismérvei . . . . . . Adatkezelés célja, a kezelhető adatok köre . . . . . . . . A közlés titkossága, az adatbiztonság . . . . . . . . . . . . Az adatkezelés időtartama . . . . . . . . . . . . . . . . . . . . . Szolgáltatók közös adatállománya . . . . . . . . . . . . . . . Bűnüldözési, nemzetbiztonsági és honvédelmi célú adatmegőrzési kötelezettség . . . . . . . . . . . . . . . . . . . . Az előfizetői listák, az előfizetői névjegyzékek, címtárak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A hírközlési szolgáltatók adatkezelésével összefüggő jogorvoslati lehetőségek . . . . . . . . . . . . . . . . . . . . . . . Bankok, hitelintézetek adatkezelései . . . . . . . . . . . . . A bankok adatkezelésének általános jellemzői . . . . . Az adatkezelés jogszabályi háttere . . . . . . . . . . . . . . . Az adatkezelés jogalapja . . . . . . . . . . . . . . . . . . . . . . . Törvény rendelkezése . . . . . . . . . . . . . . . . . . . . . . . . . Az érintett hozzájárulása, a szerződésben megadott hozzájárulás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Speciális jogalapok . . . . . . . . . . . . . . . . . . . . . . . . . . .
294 295 296 296 297 297 300 301 302 304 304 307 310 311 312 314 314 315 316 317 318 318 319 321 322 323 323 325 325 325 327 328
TARTALOM
4.3.4. Az adatkezelés céljai, a célhoz kötöttség elve . . . . . . 4.3.5. Az érintettek köre . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.6. A kezelt adatok köre, a banktitok . . . . . . . . . . . . . . . 4.3.7. Az adatok továbbítása . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.8. Kiszervezés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.8.1. A kiszervezés általános szabályai . . . . . . . . . . . . . . . . 4.3.8.2. A kiszervezés korlátai . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.9. Adóslisták, a Központi Hitelinformációs Rendszer 4.3.9.1. Az adóslistákról általában . . . . . . . . . . . . . . . . . . . . . . 4.3.9.2. A Központi Hitelinformációs Rendszer . . . . . . . . . . 4.3.9.2.1. A KHR mint pozitív adóslista . . . . . . . . . . . . . . . . . . 4.3.9.2.2. A KHR mint negatív adóslista . . . . . . . . . . . . . . . . . . 4.3.9.2.3. Ügyfélvédelem és jogorvoslat . . . . . . . . . . . . . . . . . . . 4.4. Biztosítók adatkezelései . . . . . . . . . . . . . . . . . . . . . . . 4.4.1. A biztosítók adatkezelésének általános jellemzői . . . 4.4.2. Az adatkezelés jogalapja . . . . . . . . . . . . . . . . . . . . . . . 4.4.2.1. Törvény rendelkezése . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.2.2. Az érintett hozzájárulása, a szerződésben megadott hozzájárulás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.2.3. Speciális jogalapok . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.3. Az adatkezelés céljai, a célhoz kötöttség elve . . . . . . 4.4.4. Az érintettek köre . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.5. A kezelt adatok köre, a biztosítási titok . . . . . . . . . . . 4.4.6. Az adatok továbbítása . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.7. Kiszervezés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5. Direkt marketing célú adatkezelések . . . . . . . . . . . . . 4.5.1. A direkt marketing Magyarországon . . . . . . . . . . . . 4.5.2. A direkt marketing jogszabályi háttere . . . . . . . . . . . 4.5.3. Általános szabályok . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.3.1. A hozzájárulás követelménye és tartalma . . . . . . . . . 4.5.3.2. A hozzájárulás rögzítése . . . . . . . . . . . . . . . . . . . . . . . 4.5.3.3. Kivétel a hozzájárulás követelménye alól – a címzett reklámküldemény . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.3.4. Az érintett tájékoztatása és jogai . . . . . . . . . . . . . . . . 4.5.3.5. Az adatkezelő kötelezettségei és felelőssége . . . . . . . 4.5.3.6. Nem természetes személyek megkeresése . . . . . . . . .
11 332 336 337 338 340 340 341 343 343 344 345 346 347 348 348 349 349 350 351 353 355 356 356 357 358 358 359 360 361 363 365 366 367 368
12 4.5.4. 4.5.5. 4.5.6. 4.6. 4.6.1. 4.6.2. 4.6.3. 4.6.4. 4.6.5. 4.7. 4.7.1. 4.7.1.1. 4.7.1.2. 4.7.1.3. 4.7.1.4. 4.7.1.5. 4.7.1.6. 4.7.1.7. 4.7.1.8. 4.7.1.9. 4.7.2. 4.7.2.1. 4.7.2.2. 4.7.2.3. 4.7.2.4. 4.7.2.5. 4.8. 4.8.1. 4.8.1.1.
TARTALOM
Direkt marketing postai úton . . . . . . . . . . . . . . . . . . . Telemarketing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Az elektronikus hirdetés . . . . . . . . . . . . . . . . . . . . . . . Közvélemény-kutatás, piackutatás . . . . . . . . . . . . . . . Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Postai úton történő megkeresés . . . . . . . . . . . . . . . . . Telefonos megkeresés . . . . . . . . . . . . . . . . . . . . . . . . . Elektronikus levelezés útján történő megkeresés . . . Közvélemény-kutató, piackutató szerv mint adatfeldolgozó . . . . . . . . . . . . . . . . . . . . . . . . . . . Közszolgáltatók adatkezelései . . . . . . . . . . . . . . . . . . Az egyes szolgáltatókra vonatkozó jogszabályi rendelkezések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gázszolgáltatók . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Villamosenergia-szolgáltatók . . . . . . . . . . . . . . . . . . . Közműves ivóvíz- és csatornaszolgáltatás . . . . . . . . . Távhőszolgáltatás . . . . . . . . . . . . . . . . . . . . . . . . . . . . Települési hulladék gyűjtése, szállítása, kezelése . . . Közösségi közlekedés . . . . . . . . . . . . . . . . . . . . . . . . . Postai szolgáltatások . . . . . . . . . . . . . . . . . . . . . . . . . . Kéményseprési és tüzeléstechnikai szolgáltatások Köztemetők fenntartása és üzemeltetése . . . . . . . . . Egyéb adatkezelési kérdések . . . . . . . . . . . . . . . . . . . . A szerződések megkötéséhez és a mérőóra átírásához szükséges okmányokról . . . . . . . . . . . . . . . . . . . . . . . A mérőórák fényképezéséről, elhelyezéséről . . . . . . . A számlalevelekről és értesítésekről . . . . . . . . . . . . . Az ügyfélszolgálatok által rögzített hangfelvételek készítésének jogalapjáról és a felvétel megismerhetőségéről . . . . . . . . . . . . . . . . . . . . . . . . . . A létfontosságú érdekek védelmével, valamint veszélyhelyzetek elhárításával és megelőzésével összefüggő adatkezelésekről . . . . . . . . . . . . . . . . . . . . Személyes adatok kezelése az egészségügyben . . . . . A betegjog általános szabályai . . . . . . . . . . . . . . . . . . A tájékoztatáshoz való jog . . . . . . . . . . . . . . . . . . . . .
369 371 372 374 374 374 379 380 381 382 382 382 384 386 388 390 391 393 394 395 397 397 398 399 399 400 401 401 403
TARTALOM
4.8.1.2. Az egészségügyi dokumentáció megismerésének joga 4.8.1.3. Az orvosi titoktartáshoz való jog . . . . . . . . . . . . . . . . 4.8.2. Az egészségügyi adat kezelésének szabályai . . . . . . . 4.8.2.1. Fogalmak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.8.2.1.1. Az egészségügyi adat . . . . . . . . . . . . . . . . . . . . . . . . . 4.8.2.1.2. Orvosi titok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.8.2.1.3. Egészségügyi dokumentáció . . . . . . . . . . . . . . . . . . . . 4.8.2.1.4. Betegellátó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.8.2.1.5. Az Európa Tanács Miniszterek Tanácsának ajánlása az egészségügyi adatok védelméről [No. R (97) 5; 1997. február 13.] . . . . . . . . . . . . . . . . . . 4.8.2.1.6. Az Európai Bizottság ajánlása az elektronikus egészségügyi nyilvántartó rendszerek határokon átnyúló átjárhatóságáról [2008/594/EK (2008. július 2.)] . . . . . . . . . . . . . . . . . . 4.8.2.2. Az adatkezelés célja . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.8.2.2.1. Betegellátási célok . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.8.2.2.2. Az adatkezelés további törvényes céljai . . . . . . . . . . . 4.8.2.3. A dokumentáció . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.8.2.3.1. A dokumentáció megismerése . . . . . . . . . . . . . . . . . . 4.8.2.3.2. A pszichiátriai beteg adatainak kezelése . . . . . . . . . . 4.8.3. A dokumentáció kezelésének speciális szabályai . . . 4.8.3.1. Tudományos kutatási célú adatkezelés . . . . . . . . . . . 4.8.3.2. Adatkezelés az emberi felhasználásra kerülő vizsgálati készítményekkel folytatott orvostudományi kutatás (klinikai vizsgálat) során . . 4.8.3.3. Statisztikai célú adatkezelés . . . . . . . . . . . . . . . . . . . . 4.8.3.3.1. Az Európai Parlament és a Tanács 1338/2008/EK rendelete a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.9. Kamerák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.9.1. Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.9.2. A jelenlegi általános és ágazati szabályozás . . . . . . . 4.9.3. A kamerás megfigyelés mint járulékos tevékenység . 4.9.4. A közterületi megfigyelés . . . . . . . . . . . . . . . . . . . . . .
13 405 408 411 411 411 412 413 413 414
414 415 416 417 420 420 421 421 422 422 424
425 425 425 426 427 427
14
TARTALOM
4.9.4.1. A rendőrség által végzett megfigyelés . . . . . . . . . . . . 4.9.4.2. A közterület-felügyelet által végzett megfigyelés . . . 4.9.4.3. Az érintettek tájékoztatása . . . . . . . . . . . . . . . . . . . . . 4.9.4.4. Fegyveres biztonsági őrség . . . . . . . . . . . . . . . . . . . . . 4.9.5. Nyilvános magánterületek megfigyelése . . . . . . . . . . 4.9.6. A magántulajdon védelme és az ehhez kötődő kamerás megfigyelés közterületen . . . . . . . . . . . . . . . 4.9.7. Magánterület . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.9.8. A tömegközlekedési eszközökön létesítendő kamerarendszerek . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.9.9. Temetőkben működő térfigyelő kamerák . . . . . . . . . 4.9.10. Oktatási intézmények . . . . . . . . . . . . . . . . . . . . . . . . . 4.9.11. Egészségügyi intézményekben üzemelő térfigyelő berendezések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.9.12. Sportrendezvényeken alkalmazott kamerás megfigyelés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.9.13. A társasházak, illetve lakásszövetkezetek területén folytatott kamerás megfigyelések . . . . . . . . . . . . . . . . 4.9.14. Munkahelyi megfigyelés . . . . . . . . . . . . . . . . . . . . . . . 4.10. A tudományos kutatás információs jogi kérdései . . . 4.10.1. A kutatás általános szabályai . . . . . . . . . . . . . . . . . . . 4.10.1.1. Az Országos Kriminológiai Intézet (OKRI) kutatási szabályai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.10.2. A levéltári és tudományos kutatás adatkezelési szabályai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.10.2.1. Általános szabályok . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.10.2.1.1. Személyes adatokat tartalmazó levéltári anyag kutatása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.10.2.1.2. Személyes adatot tartalmazó anyag külföldre továbbítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.10.3. Az egykori állambiztonsági szervek által hátrahagyott iratokra vonatkozó szabályok . . . . . . . 4.10.3.1. A Quintana-jelentés . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.10.3.2. A magyar szabályozás . . . . . . . . . . . . . . . . . . . . . . . . . 4.10.3.2.1. Az egyéni iratbetekintés . . . . . . . . . . . . . . . . . . . . . . . 4.10.3.2.2. A tudományos kutatás . . . . . . . . . . . . . . . . . . . . . . . .
428 429 431 432 433 434 435 435 437 438 440 441 442 444 445 446 447 448 448 449 450 453 453 454 455 455
TARTALOM
4.10.3.2.3. A közszereplők adatai . . . . . . . . . . . . . . . . . . . . . . . . . 4.11. Állami alapnyilvántartások . . . . . . . . . . . . . . . . . . . . 4.11.1. Bevezetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.11.2. A bűnügyi nyilvántartás . . . . . . . . . . . . . . . . . . . . . . . 4.11.2.1. A személyazonosító adatok és fényképek nyilvántartása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.11.2.2. A bűnügyi nyilvántartások . . . . . . . . . . . . . . . . . . . . . 4.11.2.2.1. A bűntettesek nyilvántartása . . . . . . . . . . . . . . . . . . . 4.11.2.2.2. Hátrányos jogkövetkezmények alatt álló, büntetlen előéletű személyek nyilvántartása . . . . . . . . . . . . . . . 4.11.2.2.3. A büntetőeljárás alatt állók nyilvántartása . . . . . . . . 4.11.2.2.4. A kényszerintézkedés hatálya alatt állók nyilvántartása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.11.2.3. Az Európai Unió tagállamainak bíróságai által magyar állampolgárokkal szemben hozott ítéletek nyilvántartása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.11.2.4. A bűnügyi és rendészeti biometrikus adatok nyilvántartása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.11.2.5. Adattovábbítás a bűnügyi nyilvántartásokból . . . . . . 4.11.2.6. Hatósági erkölcsi bizonyítvány, hatósági bizonyítvány, állampolgári tájékoztató . . . . . . . . . . . 4.11.3. Személyi adat- és lakcímnyilvántartás . . . . . . . . . . . . 4.11.3.1. A nyilvántartás szervezetrendszere . . . . . . . . . . . . . . 4.11.3.2. A nyilvántartott adatok . . . . . . . . . . . . . . . . . . . . . . . . 4.11.3.3. Adatszolgáltatás a nyilvántartásból . . . . . . . . . . . . . . 4.11.4. Közúti közlekedési nyilvántartás . . . . . . . . . . . . . . . .
15 456 457 457 459 461 461 461 462 462 463 463 463 464 464 466 466 467 467 472
Felhasznált irodalom jegyzéke . . . . . . . . . . . . . . . . . . . . . . . . . . 476 Egyes fejezetek szerzői . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Jogszabályok rövidítéseinek jegyzéke
Irányelv, vagy EU Irányelv
Az Európai Parlament és a Tanács 1995. október 24-i 95/46/EK Irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról Ptk. Polgári Törvénykönyv, 1959. évi IV. törvény Btk. A Büntető Törvénykönyvről szóló 1978. évi IV. törvény régi Mt. A munka törvénykönyvéről szóló 1992. XXII. törvény Avtv., vagy korábbi A személyes adatok védelméről és a közéradatvédelmi törvény dekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény Nytv. A polgárok személyi adatainak és lakcí mének nyilvántartásáról szóló 1992. évi LXVI. törvény Rtv. A Rendőrségről szóló 1994. évi XXXIV. törvény Üsztv. Az ügyészségi szolgálati viszonyról és az ügyészségi adatkezelésről szóló 1994. évi LXXX. törvény
18 Kvtv. Ttv. Ltv.
Kkt.
Hpt. Eüak.
Inytv. Eütv. Be. Ttv. Ktftv. Kknyt. Hgt. Szt.
jogszabályok rövidítéseinek jegyzéke
A környezet védelmének általános szabályairól szóló 1995. évi LIII. törvény Az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény A kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény A hitelintézetekről és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény Az ingatlan-nyilvántartásról szóló 1997. évi CXLI. törvény Az egészségügyről szóló 1997. évi CLIV. törvény A büntetőeljárásról szóló 1998. évi XIX. törvény A temetőkről és temetkezésről szóló 1999. évi XLIII. törvény A közterület-felügyeletről szóló 1999. évi LXIII. törvény A közúti közlekedési nyilvántartásról szóló 1999. évi LXXXIV. törvény A hulladékgazdálkodásról szóló 2000. évi XLIII. törvény A számvitelről szóló 2000. évi C. törvény
jogszabályok rövidítéseinek jegyzéke
Elkertv.
Bit. Eht. Pt. Ket.
Tht. Szvtv.
Gt. Ctv.
Vet. Get. Grt.
19
Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény A biztosítókról és a biztosítási tevékenységről szóló 2003. évi LX. törvény Az elektronikus hírközlésről szóló 2003. évi C. törvény A postáról szóló 2003. évi CI. törvény A közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény A távhőszolgáltatásról szóló 2005. évi XVIII. törvény A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény A gazdasági társaságokról szóló 2006. évi IV. törvény A cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról szóló 2006. évi V. törvény A villamos energiáról szóló 2007. évi LXXXVI. törvény A földgázellátásról szóló 2008. évi XL. törvény A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény
20 Kgtv.
Mavtv. Pszáftv. Infotv.
Khrtv. Nvtv. Mt.
jogszabályok rövidítéseinek jegyzéke
A köztulajdonban álló gazdasági társaságok takarékosabb működéséről szóló 2009. évi CXXII. törvény A minősített adat védelméről szóló 2009. évi CLV. törvény A Pénzügyi Szervezetek Állami Felügyeletéről szóló 2010. évi CLVIII. törvény Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény A központi hitelinformációs rendszerről szóló 2011. évi CXXII. törvény A nemzeti vagyonról szóló 2011. évi CXCVI. törvény A munka törvénykönyvéről szóló 2012. évi I. törvény
Előszó
Az európai adatvédelmi jog csupán néhány évtizedes hagyományra tekint vissza. Az adatvédelem terén a magyar jog a szocialista jogrendszer kényszerű jelenléte ellenére korán bekapcsolódott az európai vérkeringésbe. Az 1977-es Ptk. novella a képmás védelmére vonatkozó szabályai révén olyan újítást hozott, amely világosan illeszkedett a magánszféra védelmét szolgáló jogi törekvések nemzetközi áramába. Szerencsésnek mondhatom magam azért, mert a hazai szabályozás kialakulását és kialakítását közelről kísérhettem figyelemmel. Már a ’80-as évek végén kialakított, első próbálkozásnak tekinthető tervezet előkészítésében is szerepet vállaltam. E munka annak ellenére nem veszít jelentőségéből, hogy végül nem nyert törvényi formát. A hazai jogi gondolkodás már akkor világosan megfogalmazta a privacy szabályozás szükségességét. A rendszerváltozás után ezt az igényt már nem lehetett figyelmen kívül hagyni, a nagy rendszerváltó törvények sorába bekerült az 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról. A törvény koncepciója szakmai megalapozottságát Könyves Tóth Pálnak köszönheti. A politikai akarat melléállt az adatvédelem és információszabadság szabályozására irányuló tudományos igénynek, és az Országgyűlés elfogadta a máig ható jelentőségű jogszabályt. A jogalkotó sokban merített a Sólyom László vezette Alkotmánybíróság határozataiból, amelyek megvetették a hazai adatvédelmi szabályozás alapjait, és máig zsinórmértékül szolgálnak az adatvédelem kérdéseinek alkotmányjogi megítélésében.
22
ELŐSZÓ
Nem az udvariasság vagy szakmai elfogultság mondatja velem, hogy az 1992-es szabályozás hatása a magyar joganyagban máig hat. Elég csupán a 2011-ben elfogadott új törvény, az Infotv. szövegére utalnunk, amely nagyban támaszkodik elődjére. Az új normán látszanak már a változtatás igényei, de alapjaiban a rendszerváltó törvény hagyományait viszi tovább. E kézikönyv megjelenésekor külön ki kell emelni az 1992-ben született magyar szabályozás európai jelentőségét. Ne feledjük: akkor az Európai Unió irányelve még csak az asztalfiókban létezett (1995-ben fogadták el végül), az Európa Tanács 1981-es Egyezményén túl nem volt tehát olyan európai mérce, amelyet a magyar jogalkotó alapul vehetett volna. A korábbi adatvédelmi törvény nem külső nyomásra, hanem a magyar jogi gondolkodásból fakadó meggyőződésből vált valósággá. Az adatvédelem és a közérdekű adatok nyilvánosságának egy jogszabályban való rendezése szintén – nem túlzás – nemzetközi jogi értelemben is fontos állomás és minta volt a jogi kultúra terén nálunk látszólag sokkal előrébb járó országok számára is. A nemzeti és nemzetközi adatvédelmi szabályozások struktúrája mára teljesen kikristályosodottnak mondható. A dokumentumok rögzítik az alapfogalmakat, az adatkezelés jogalapját, az adatkezelés során követendő alapelveket, az adatok külföldre továbbításának szabályait, az érintettek jogait és ezek gyakorlásának módját, valamint a jog érvényesülését figyelemmel kísérő, és a jog kikényszerítésére hivatott állami szervek mozgásterét. Ezeken túl tartalmaznak még az adott szabályozási környezetre jellemző kivételszabályokat, adott esetben pedig ágazati rendelkezéseket is. A nemzetközi szabályozás világos és áttekinthető, mégis, ezekben az években óriási átalakulások mennek végbe. Meggyőződésem, hogy néhány év elteltével még tisztábban fogjuk tudni elemezni, hogy miért ekkor és miért így mentek végbe a hazai változások. Kétségtelen, hogy az 1992-es jogalkotáshoz hasonlóan, nemzeti és nemzetközi hatások egyaránt szerepet játszottak. Ami a hazai körülményeket illeti, az alkotmányozás folyamatában eldőlt, hogy az egy ombudsmanos rendszert vezetik be, ami szükségszerűen vezet a korábbi adatvédelmi biztosi intézmény megszüntetéséhez. Kevéssé ismert, hogy Magyarország az adatvédelem terén az ombudsmani intézményével gyakorlatilag egyedül maradt:
ELŐSZÓ
23
az Unió szinte minden más tagállamban a szó klasszikus értelmében vett hatóságok működnek. Sok érv szólt a hazai intézményváltás mellett is. Bebizonyosodott, hogy az ombudsmani rendszer kizárólag akkor lehet hatékony, ha tudatosan használja a nyilvánosság eszközét, ha a médián keresztül a mindennapok részévé teszi a magánszféra védelméről való gondolkodást. Az ombudsmani működés utolsó évei e megállapítás igazságát különös erővel igazolták, és e felismerés szintén a modellváltás irányába hatott. A hatékonyabb állami működés reményével hozta létre az Infotv. az új adatvédelmi hatóságot, a Nemzeti Adatvédelmi és Információszabadság Hatóságot. A hatóságnak minden eszköze megvan ahhoz, hogy ezt a szerepét a jogalkotói szándéknak megfelelően betöltse. Ami pedig a nemzetközi hatásokat illeti: ezekben az években az európai és globális színtéren alapvető jelentőségű változások figyelhetők meg. Néhány év múlva az Európai Uniónak és az Egyesült Államoknak is új adatvédelmi jogi szabályozása lesz. Az uniós jogi aktus tervezetét az európai jogalkotó már tárgyalja. Bár ennek közvetlen hatása nincs az Infotv.-re, a várható szabályozás irányai már kiolvashatóak, amelyeket a hazai jogalkotónak is figyelemmel kell kísérnie, és a jog alkalmazójának is ismernie kell. Amint a fentiekből is látható, az adatvédelmi jog folyamatos változáson megy keresztül, amely nem csupán önmagán belül értelmezhető, hanem a jog más területeihez való viszonyát is a dinamizmus jellemzi. A néhány évtizedre visszatekintő jogterület keresi végleges helyét a jog rendszerében. Ennek a folyamatnak a magyar jog történetében egyik mérföldköve az Infotv. 2012. januári hatálybalépése. E könyv szerzői azzal a céllal lépnek a szakmai nyilvánosság elé, hogy segítséget nyújtsanak a törvény szabályainak gyakorlati alkalmazásához. Bízom abban, hogy a kiadvány betölti szerepét, és a jog alkalmazói haszonnal forgatják majd munkájuk során. Péterfalvi Attila
1. A személyes adatok védelme
1.1. Az adatvédelem szabályozási modelljei 1.1.1. Eltérő privacy-modellek1 Nemzetközi összehasonlításban a jogalkotók és jogalkalmazók többféle szabályozási modellt vagy módszert alkalmaznak a privacy különböző területeinek mint jogi tárgyaknak a védelmére2 az adott nemzeti jogrend (és az annak alapjául szolgáló alkotmányos értékválasztás) jellegére tekintettel akár kizárólagos, akár egymást kiegészítő módon3. Földrajzilag is jól elkülöníthetően az alábbi modellek különböztethetők meg. Egységes szabályozási modell („comprehensive law”): az Európai Unió tagállamaiban követett gyakorlat a köz- és magánszféra egységes adatvédelmi szabályozására általában egyetlen adatvédelmi kódex alapján. 1970-ben Németország Hessen tartományában fogadták el a világ első adatvédelmi törvényét, ezt követte Svédország (1973), Németország (1977) és Franciaország (1978). Mára majd 40 európai országnak van hatályos adatvédelmi kódexe és a többiben is már készítik a szövegezést. Az adatvédelmi törvények elterjedésére döntő hatással volt az 1995-ös uniós adatvédelmi irányelv: az Európai Parlament és Tanács 1995. október 24-i 95/46/EK Irányelve „a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról” (továbbiakban: Irányelv, vagy EU 1 David Banisar: A privacy védelmének modelljei in: Az odaátra nyíló ajtó, ABI Bp. 2001 9–31. o. tanulmánya szerinti felosztás alapján. 2 Ferenczy Endre: Az adatvédelem külföldi szabályozása in.: Jogtudományi közlöny 2010. március, 135–146. o. 3 Models of Privacy Protection in.: http://www.privacyinternational.org/survey/ phr2003/overview.htm#Models of Privacy Protection, 2010-04-15.
26
1. A személyes adatok védelme
Irányelv), mely alapvetően meghatározta a normaszöveg által alkalmazott standardokat és paneleket (az Irányelv felülvizsgálata jelenleg folyamatban van). Az egységes szabályozási modell Ausztráliában és Kanadában kifejlesztett változata a kifejezetten az ipari szektorra alkalmazott együttszabályozó („co-regulatory”) modell, melynek lényege, hogy a szabályokat a gazdaság szereplői fogalmazzák meg és tartatják be az adatvédelmi hatóság felügyelete mellett. Technológiákhoz kötődő szabályozás („technologies privacy”), mely különösen a határon átnyúló adatforgalom szabályozására alkalmazható például az internet vagy a nemzetközi pénzügyi tranzakciók esetében. Az önszabályozási modell („self-regulation”) külső jogi kényszer hiányában, végső soron az adatkezelő saját jól felfogott érdekeinek felismerésén alapuló egyfajta önkorlátozásként működik. Legfontosabb minőségvédelmi eszközei az átláthatóságot biztosító előzetes adatvédelmi audit, a nagyobb adatkezelőknél alkalmazott adatvédelmi felelősök tevékenysége és az USA-ban a Kötelező Vállalati Szabályozás (Binding Corporate Rules – BCR) alkalmazása. Az adatvédelmi átvilágítás vagy audit gyakorlati feltétele, hogy a vizsgált szervezetnél az adatkezelések vagy az érintett személyek nagy száma (esetleg a tőlük érkező panaszok mennyisége) és minősége elérjen egy olyan szintet, ami már indokolhat egy ilyen külön eljárási rendet. Más módon fogalmazva, az érintett adatkezelőnek érdekében áll – vagy a jogalkotó által kötelezett arra –, hogy a kérdéssel foglalkozzon, erre anyagi és más erőforrásokat is áldozzon. Az adatkezelés rendszerének szisztematikus, saját kezdeményezésből történő átvilágítása a gyakorlatban a kiterjedt ügyfélkörrel (pl. közüzemi szolgáltató), munkaerő-gazdálkodással vagy marketingtevékenységgel összefüggésben tömeges adatkezelést folytató szervezeteknél lehet indokolt. A minőségbiztosítás körébe tartozó tevékenységre számos önálló kezdeményezés példája is felhozható, így például az Európai Bizottság által adományozható EuroPrise „privacy seal”4 – adatvédelmi címke az egységes adatvédelmi standardoknak való 4
http://www.european-privacy-seal.eu/ -2010-09-20.
1. A személyes adatok védelme
27
megfelelést tanúsítja számítástechnikai szolgáltatások vagy termékek esetében. Míg külföldön, elsősorban Nyugat-Európában az adatvédelmi auditnak kialakult intézményei vannak – cégek, tanácsadó vállalkozások, illetve adatvédelmi hatóságok, melyek akár törvény alapján (például Nagy-Britannia vagy Németország), vagy díj ellenében, akár üzleti alapon –, Magyarországon az informatikai biztonság vizsgálatával számos vállalkozás foglalkozik, de egyelőre többnyire csak technikai szempontból.5 2013-tól azonban a NAIH is aktív szerepet fog vállalni az adatvédelmi audit terén6. A belső adatvédelmi felelősök az adott adatkezelő szervezetnél az adatkezelő megbízásából az adatkezelések törvényessége felett őrködnek és optimális esetben az információbiztonságért megbízott vezetővel együttműködnek, kiegészítik egymást. Európában az adatkezelő által kidolgozott és követendő adatvédelmi kritériumok a nemzeti adatvédelmi törvény rendelkezésein alapulnak, betartásukról pedig egy független külső hatóság gondoskodik. Egészen más szabályok uralkodnak az USA-ban, ahol eleve hiányzik az adatvédelmi alapnorma és a független ellenőrző hatóság, ezért a nagy vállalatkomplexumok gyakran BCR-megállapodás keretében részletesen szabályozzák és magukra nézve kötelezőnek ismernek el belső intézkedéseket rögzítő adatkezelési szabályzatokat (például az ellenőrzésre, a panaszkezelési rendszerre, a képzési programokra, az adatvédelmi felelősök hálózatára vonatkozóan). Az önszabályozásnál az adatkezelő szervezet (és minden egyes vállalatrész) az ellenőrzésnek önként aláveti magát és a megállapításokat magára nézve (többékevésbé) kötelezőnek ismeri el. Szektorális modell („sectoral law”): szintén az USA-ra jellemző módon az egyes nagy adatkezelő szektorokra – például telekommunikáció, bankszektor, rendőrség, fogyasztói hitelek – önálló szabályozási kódexek érvényesek, melyek nem állnak egymással koherens kapcsolatban. Önmagában egyik modell sem jelent garanciát a hatékonyságra. Az átfogó adatvédelmi törvény ellenére az adatvédelmi elvek megfe5 6
2585/H/2007. sz. adatvédelmi biztosi állásfoglalás. Infotv. 38. § (4) bek. g)–h) pont.
28
1. A személyes adatok védelme
lelő végrehajtás vagy felügyelet nélkül önmagukban nem sokat érnek.7 A szektorális túlszabályozottság könnyen vezethet rugalmatlansághoz, ami a technológia rohamos fejlődésére épített iparágaknál (például kommunikáció) hatékonyságromlást is eredményezhet, az önszabályozási modellnél az adatvédelem szintjét gyöngítheti a profitérdekeltség, a technológiai megoldások túldimenzionálása pedig elfedheti a valódi veszélyeket.8 A megoldást az egyes modellek helyi igényeknek megfelelő ötvözése, párhuzamos alkalmazása jelenti, illetve legoptimálisabb megoldás az átfogó törvényi szabályozás megfelelően átgondolt végrehajtási rendszerrel és a törvény betartását ellenőrző hatékony felügyeleti mechanizmusokkal. Valamennyi modell sikerének kulcsa azonban a gyakorlati megvalósíthatóság, hatékonyság, melynek egyik garanciáját az elszámoltathatóság jelenti. Az „elszámoltathatóság” (accountability) angolszász eredetű fogalom, nehéz más nyelvekre lefordítani („megerősített felelősség”, „biztosítás”, „megbízhatóság”, „elszámolási kötelezettség”?), vagy pontosan meghatározni. Általános és specifikus belső mechanizmusok – jogi keretek – kiépítésének kötelezettségéről van szó a tényleges védelem biztosítása érdekében, melyek alapján az adatkezelési elvek, folyamatok, jogok és kötelezettségek érvényesítése mindenki számára – ideértve az érintetteket és a nemzeti adtavédelmi hatóságot is – jól érthető, nyomon követhető és érvényesíthető.9
7 David Banisar az orosz és a chilei negatív példákat emeli ki tanulmányában, lásd David Banisar: A privacy védelmének modelljei in: Az odaátra nyíló ajtó, ABI Bp. 2001, 17. o. 8 Az American Express által kifejlesztett, egyszeri internetes vásárlásra tervezett hitelkártyaszám megelőzi ugyan a lopott kártyákkal való visszaélést, de a tulajdonos személyes adatait a rendszer ugyanúgy rögzíti. 9 A 29. cikk szerinti munkacsoport 3/2010. sz. véleménye az elszámoltathatóság elvéről, WP 173. in.: ec.europa.eu/justice/policies/privacy/docs/wpdocs/.../wp173_ hu.pdf, 2012-03-07.
1. A személyes adatok védelme
29
1.1.2. Az Európai Unió és az USA privacy-felfogása közötti különbségek „American law is sporadic and partial – incomplete, from the perspective of data privacy in Europe, and inconsequential for most real protections.” – „Az amerikai jogi szabályozás európai adatvédelmi nézőpontból szemlélve részleges és esetleges, ezért valódi teljes védelmet nem is tud nyújtani.”10 Az egyes privacy-modellek elemzésénél érdemes egy rövid kitérőt tenni az Amerikai Egyesült Államokhoz, mert a magánélet védelmének jogi megközelítése teljesen eltérő az európai mintától, ennek megfelelően az USA adatvédelmi szabályozása is más elvek és gyakorlat mentén szerveződik. James Q. Whitman privacy-kutató szerint az amerikai privacy-felfogás nem gyengébb, mint az európai, csak más alapjogi felfogásra épül.11 Ennek alapja az eltérő alkotmányos értékválasztás: az európai alkotmányosság központi elemévé az emberi méltóságot, míg az amerikai legfontosabb alkotmányos értékként az emberi szabadságot állítja.12 A liberális piacgazdaság mellett elkötelezett amerikaiak szerint a szabadságra az állam tevékenysége jelenti a legnagyobb veszélyt, ugyanakkor Európában a személyiséget nem csak az állam ellen kell védeni. Az amerikai magánélet az „otthon szentségének” elvére épül, míg Európában az egyénről kialakított nyilvános kép feletti kontroll elvesztésétől tartanak leginkább. Az USA-ban a magánszféra védelme a (rabszolgatartás történelmi hagyatékából fakadó) diszkrimináció tilalmára fokuszál és nem enged teret a magánfelek közötti viszonyok korlátozására, az európai alap10 Lessig, Lawrence: The Architecture of Privacy in: 1 Vanderbilt Entertainment Law and Practice, 1999. 11 James Q. Whitman: The Two Western Cultures of Privacy: Dignity versus Liberty, Yale Law Journal, Vol. 113, April 2004 in.: http://papers.ssrn.com/sol3/papers. cfm?abstract_id=476041, 2010-07-07. 12 Ennél is nagyobb a különbség az ún. „nyugati demokráciák” és az ázsiai kultúra értékválasztásában: a nyugati demokráciák a szabadság, egyenlőség, közösséggel szemben érvényesíthető jogok értékeit vallják, míg az ázsiai értékek listáján a rend, fegyelem, család és közösség iránti elkötelezettség, közösséggel szembeni kötelezettségek teljesítése áll első helyen.
30
1. A személyes adatok védelme
jogvédelem felfogás szerint ugyanakkor az alapjogoknak az egész jogrendszert át kell hatniuk13, kiemelkedő „anyajogként” legfeljebb az élethez vagy az emberi méltósághoz való jog értelmezhető. Az 1776-os Függetlenségi Nyilatkozat szerzője, Thomas Jefferson alapvető igazságként és emberi jogként fogalmazta meg az élethez, a szabadsághoz és a boldogságkereséshez (egyéni boldoguláshoz) való jogot. 1787-ben megszületett az USA alkotmánya, melyhez 1791-ben a tíz alkotmánymódosítással csatlakozott az alapvető szabadságjogokat tartalmazó Bill of Rights, és azóta mindössze 17 alkalommal történt alkotmánymódosítás.14 Az USA alkotmánya közvetlenül nem nevesíti a magánélet védelméhez való jogot, bár számos meghatározott privacy-szegmens áll kifejezett (szövetségi szintű) alkotmányos védelem alatt a vonatkozó alkotmánymódosítások és a Legfelsőbb Bíróság konkrét döntései alapján. Így megfelelő jogalapi hivatkozás lehet az első (szólás-, sajtó- és vallásszabadság), a negyedik (megalapozatlan házkutatás elleni védelem) és az ötödik (magántulajdon szentsége, önrendelkezés) alkotmánykiegészítés15, és a következő legfelsőbb bírósági ítéletek: – jog a hatósági megfigyelés alóli mentesülésre olyan helyeken, ahol ez elvárható („right to privacy from government surveillence into an area where a person has a reasonable expectation of privacy”); – intim magánügyek, mint házasság, szexuális élet, gyermeknevelés, családi viszonyok; – névtelenséghez való jog („right to anonimity”); – politikai csoportosulások joga, hogy az állami hatóságok előtt a tagok nevét titokban tartsák („right of political groups to prevent disclosure of their members’ names to government agencies”). 13 Szigeti Tamás: Az információs hatalom korlátozása tengeren innen és túl in: Infokommunikáció és jog, hvg-orac Lap- és Könyvkiadó Kft. 33. sz. 2009. aug. 159. o. 14 U.S. Department of State Publication, Human Rights in Brief in.: http://www. america.gov/st/hr- english/2008/March/20080325141735myleen0.5100214.html, 201003-02. 15 Ferdinand Schoeman: Privacy: philosophical dimensions of the literature in.: Philosophical Dimensions of Privacy: An Anthology, Cambridge University Press, 1984, 10. o.
1. A személyes adatok védelme
31
Megjegyzendő, hogy tíz tagállam alkotmányában a magánélethez való jog explicit módon is szerepel és két állam ismeri el a polgári jogi keresetindításhoz való jogot privacy-sérelem esetén16. A személyes adatok védelméhez való jog tehát – az európai megközelítéssel ellentétes módon – a magánélet védelmének alkotmányos jogából nem vezethető le közvetlenül és általános érvénnyel. Ennek egyik fontos következménye, hogy az amerikai adatvédelem általános szintje nem éri el az Európai Unió (és a magyar adatvédelmi norma) által előírt ún. megfelelő védelmi szintet („level of adequacy”), mert hiányoznak azok a fontos kritériumok – pl. az adatkezeléseket felügyelő független ellenőrző fórum, adatvédelmi jogsértés esetén az általános jogorvoslathoz való jog stb. – , amiket az Európai Bizottság, az európai törvények és adatvédelmi hatóságok az ún. harmadik országok számára kötelező feltételként előírnak az EU-n kívüli adattovábbítások esetén. Az USA-ban nem működik általános hatáskörrel a polgárok magánéletét vagy információs jogait védő megbízott személy vagy szervezet sem, bár a kereskedelmi célú adatkezelések, illetve a gyermekek internetes jogaival kapcsolatban a Szövetségi Kereskedelmi Bizottság (Federal Trade Commission) ellát hasonló védelmi feladatokat. A hozzájuk beérkezett panaszok között első helyen a személyiséglopás (identity-theft) szerepel, ami a hitelkártyákra alapozott amerikai hétköznapokban komoly jog- és érdeksérelmet jelent egyéni szinten. Ugyanakkor a személyes adatok kezelésének számos területét lefedik az egyes szektorális jogszabályok.17 Ezek közül is kiemelendő Privacy International PHR 2006-US United States of America in.: http:/www.privacyinternational.org/, 2010-03-02 17 A legfontosabb szektorális jogszabályok az USA-ban: APEC Privacy Framework, Bank Secrecy Act, Cable Communications Policy Act, California Breach Notification Statute, California’s SB1, CAN-SPAM Act, Children’s Online Privacy Protection Act, Computer Fraud and Abuse Act, DNA Identification Act, Drivers Privacy Protection Act, Electronic Communications Privacy Act, Employee Polygraph Protection Act, Fair Credit Reporting Act, Family Educational Rights and Privacy Act Foreign, Intelligence Surveillance Act, Freedom of Information Act, FTC Act, Gramm-Leach-Bliley Act, HIPAA Regulations, Identity Theft Assumption and Deterrence Act, Privacy Act, Privacy Protection Act, Real ID Act, Right to Financial Privacy Act, Telecommunications Act, Telephone Consumer Protection Act, Video Privacy Protection Act. 16
32
1. A személyes adatok védelme
az 1974-es Privacy Act18, mely a hatósági adatkezelések („records held by United States government agencies”) általános szabályait tartalmazza ugyan, de a számos kivétel az adatvédelem szintjét igen meggyengíti (az eredetitől eltérő célra is fel lehet az adatokat használni, az 1936 óta használatos Társadalombiztosítási Szám (Social Security Number) egyre inkább általános PIN-szám funkciókat tölt be az egyes hatósági adatkezeléseknél, az adatkezelés minőségi követelményei alól sok a törvényi kivétel stb.). A magánszféra adatkezeléseire a törvény egyáltalán nem alkalmazható. 2003 márciusában az Igazságügyi Minisztérium bejelentette, hogy a Nemzeti Bűnügyi Nyilvántartás (National Crime Information Center – melynek 39 millió bűnügyi adatához több mint 80 000 jogalkalmazó szerv férhet hozzá) a Privacy Actben lefektetett, az adatkezelés minőségére vonatkozó követelmények alól mentesülést élvez. A szövetségi törvényhozás szintjén a szektorális szabályozás keretében megemlítendő még a 2000-től hatályos gyermekek internetes jogainak védelméről szóló ún. COPPA (Children’s Online Privacy Protection Act19) törvény, valamint a hitelnyilvántartásokkal kapcsolatos szabályozás. A jogi aktusok sorában rendkívül fontos helyet foglal el az 1966-os (modellértékű) Információszabadság Törvény (Freedom of Infor mation Act20), ami a Fehér Ház iratai és a bírósági ügyek kivételével a szövetségi szintű dokumentumokat főszabályként mindenki számára elérhetővé teszi, függetlenül attól, hogy ezek a dokumentumok tartalmaznak-e személyes adatokat vagy sem. Ugyanakkor egy 2004es legfelsőbb bírósági ítélet szerint az Információszabadság Törvény hatálya alól kivételt jelent a magánélethez való jog tiszteletben tartása.21
Privacy Act of 1974, 5 U.S.C. § 552a, Public Law No. 93-579, (Dec. 31, 1974) Children’s Online Privacy Protection Act of 1998 (COPPA) 15 U.S.C. §§ 6501–6506 (Pub.L. 105-277, 112 Stat. 2581-728, enacted October 21, 1998). 20 Freedom of Information Act (FOIA) 5 U.S.C. § 552 (Pub L 89-554, 80 Stat. 383; enacted 4 July,1966, Amended 1996, 2002, 2007). 21 National Archives & Records Administration v. Favish-ügy – lásd vonatkozó legfelsőbb bírósági ítéletet. 18
19
1. A személyes adatok védelme
33
Az Információszabadság Törvény szellemében született az 1996-os (szintén úttörő szerepet játszó) Elektronikus Információszabadság Törvény (Electronic Freedom of Information Act22), amely az adatok elektronikus úton történő kötelező és napi szintű nyilvánosságra hozatalát írja elő. 2002-ben az Információszabadság Törvény hatálya alól kivették a Belbiztonsági Minisztérium által kezelt alapvető hálózati adatok („critical infrastructure information”) adatkategóriát és egy új titkosítási hullámban elnöki utasításra újból titkosítottak olyan dokumentumokat is, amik sok éve már nyilvánosan elérhetők voltak. Az amerikai jog nem érthető és értelmezhető az alkotmánybíróság szerepét is betöltő Legfelsőbb Bíróságnak az angolszász esetjogban rendkívül fontos ítélkezési tevékenysége nélkül. A privacy körét érintő döntések23 közül kiemelkedő jelentőségű az a 2003-as ítélet, mely 22 Electronic Freedom of Information Act (EFOIA) 110 STAT. 3048 (Pub L104– 231–enacted Oct. 2, 1996) 23 – Reno v. Condon eset: a közlekedési hatóság által nyilvántartott jogosítvány adatok (drivers’ records) kereskedelmi értékkel bírnak, ezért a szövetségi kormány szabályozhatja kezelésüket (2000). – Kyllo v. USA: hődetektorok magánházaknál történő titkos alkalmazása sérti a zavartalan magánélethez való jogot (2001). – City of Indianapolis v. Edmond: megalapozott gyanú nélkül, illegális kábítószerek felkutatásának okából jogsértő a közlekedési ellenőrzési pontok működtetése (2000). – Ferguson v. City of Charleston: állami kórházakban a beteg hozzájárulása nélkül nem lehet diagnosztikus teszteket végezni bűnügyi bizonyítékszerzés végett (2001). – Watchtower Bible v. Village of Stratton: a névtelenséghez való jogot sérti, ha Jehova Tanúinak „házaló” hittérítő tevékenységét előzetes állami regisztrációhoz kötik (2001). – Bord of Education v. Earls: diákok véletlenszerű, megalapozott gyanú nélküli drogtesztelése sérti a zavartalan magánélethez való jogot (2002). – Owasso Independent School District v. Falvo: a tanulótársi nyilvános osztályozás (peer grading) nem jogsértő (2001). – Gonzaga Univ. V . Doe: az oktatási jogokról szóló törvény megsértése miatt nem lehet privacy-sérelemre hivatkozva perelni (2002). – Connecticut Dept. of Public Safety v. Doe: a szexuális bűncselekmények elkövetőinek nyilvános regisztere (illetve egy korábbi döntés szerint fényképük és címük in terneten való közzététele) nem alkotmánysértő (2003). – Lawrence v. Texas: felnőttek homoszexuális viselkedése – a Legfelsőbb Bíróság saját korábbi döntéseit felülbírálva – a szigorú magánszférához tartozik, amit az állam nem ellenőrizhet vagy minősíthet bűncselekményként (2003).
34
1. A személyes adatok védelme
szerint a szexuális bűncselekmények elkövetőinek nyilvános regisztere, fényképük és címük interneten való közzététele nem alkotmánysértő (sőt Kaliforniában például maga az ügyészség vezet ilyen on-line elérhető nyilvános listát). Elsődleges elv tehát a nyilvánosság és az információkhoz való hozzáférhetőség, és e tekintetben a személyes adatok tulajdonképpen nem jelentenek korlátot, sőt sokszor kifejezetten maguk a polgárok igénylik, hogy megtudhassák, szomszédjuk vajon büntetett előéletű-e, vagy, hogy előző nap a rendőr kit fogott el a kisvárosban randalírozása, verekedése vagy gyorshajtása miatt. Ezen a helyzeten pedig csak rontott a 2001-es terrortámadás utáni kormányzati akciótervek és cselekvési programok sorozata. Az USA-ban így nem alakult ki univerzális adatvédelmi jogi szabályozás az amerikai alkotmányos jogi tradíció, az állampolgárok millióinak személyes adatait „adathalász” módjára rendszeresen felhasználó kormányzati gyakorlat, a liberális gazdasági érdekek és a kulturális ellenérzések miatt. Még a privacy-érzékeny társadalomtudósok is legfeljebb addig mennek el, hogy az információs technológiák által felkínált abszolút nyilvánosság elé kompromisszumos alapú korlátot állítsanak. Helen – Doe v. Chao: a Privacy Act alapján indított keresetnél a felperesnek bizonyítania kell a tényleges kárát (2004). – National Archives & Records Administration v. Favish: az Információszabadság Törvény hatálya alóli kivételt jelent a magánélethez való jog tiszteletben tartása. Clinton elnök tanácsadójának öngyilkosságával kapcsolatban öt lefolytatott vizsgálatot követően az elhunytról készült fényképek újbóli kiadását a bíróság megtiltotta (2004). – Hiibel v. Sixth Judicial District Court: a rendőri igazoltatáshoz szükséges egy konkrét bűncselekményhez kapcsolható gyanú, de az igazoltatott kötelezettsége csak a nevének bemondására terjed, igazoló iratokat nem köteles átadni (2004). – Illinois v. Caballes: egy autó nyomozókutyával való „átszimatoltatása” nem sérti a magánélethez való jogot, mert a csempészáru nem tartozik a magánélet védendő tárgyai közé (2003). – Brendlin v. California: egy jármű utasának magánszféráját ugyanúgy korlátozza egy rendőri igazoltatás, mint a vezetőét, ezért az utasnak is joga van megkérdőjelezni az igazoltatás jogszerűségét (2007). Forrás: http:/www.privacyinternational.org/articéle.shtml?cmd{347}=x-347559478, Privacy & Human Rights, an international survey of privacy laws and developments, 2003 by the Electronic Privacy Information Center and Privacy International, 2007-05-02
1. A személyes adatok védelme
35
Nissenbaum „privacy in context” elmélete az adatkezelés céljától24, Lawrence Lessig „architecture of privacy” elmélete az adatáramlás helyétől és módjától25, míg Irwin Altman „people environment unit” elmélete az adott emberi környezettől26 teszi függővé, hogy a személyes adatok mások által történő megismerése a konkrét helyzetben helyes-e vagy sem. Az állami információpolitika egyensúlyhiányos voltára a társadalmi, közhatalmi viszonyok nyilvánossága ugyanakkor valamelyest ellensúlyt vagy elégtételt jelent az adatvédelem mellőzöttsége mellett is.
1.2. Adatvédelem a nemzetközi jogban és az Európai Unióban A második világháború után kialakult modern nemzetközi emberi jogi felfogás szerint az egyes emberek egyénekként és nem egy adott állam polgárainak jogán rendelkeznek alapvető emberi jogokkal. A nemzetközi jogi dokumentumokban gyakran találkozunk a tradicionális magánszféra-védelem (privacy-protection), vagy még pontosabban az információs privacy vagy személyes privacy kifejezéssel is. Ennek információs oldala az egyénre vonatkozó információk feletti ellenőrzés jogának garantálása. Az adatvédelem nyelvére lefordítva ez nem más, mint az információs önrendelkezési jog. A magánszféra védelmével való összefüggést több nemzetközi jogi doku-
24 „What people care most about is not simply restricting the flow of information but ensuring that it flows appropriately, and an account of appropriate flow is given here through the framwork of contextual integrity” in: Nissenbaum, Helen: Privacy in Context, Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2009, 2. o. 25 „Thus understanding the technologies of these two different ideas – understanding, as it were, their architecture – is to understand something of the privacy that any particular context makes possible.” In: Lessig, Lawrence: The Architecture of Privacy in: 1 Vanderbilt Entertainment Law and Practice, 1999, 56. o. 26 „the appropriate unit of study is the people-environment unit” in: Altman, Irwin: The Environment and Social Behaviour, Belmont, Wadsworth Publishing Co, 1975, 60. o.
36
1. A személyes adatok védelme
mentum is deklarálja, így az EU Irányelv és a 2002/58/EK irányelv27 1. cikke egyértelműen meghatározza az adatvédelmi irányelvekben foglalt szabályok végső célját: védeni a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása tekintetében. A szoros kapcsolódás mellett azonban fontos megjegyezni, hogy a magánszféra védelmével nem teljesen azonos az adatvédelem – „twins but not identical28” –, elég, ha csak arra gondolunk, hogy számos személyes adat nem tartozik a magánélethez, ezért fontos indokok szólnak az önálló jogi megjelenítés mellett. A nemzetközi dokumentumok sorában meg kell említeni az 1948. december 10-én az ENSZ Közgyűlése által elfogadott és kihirdetett (de egyébként jogi értelemben nem kötelező) Emberi Jogok Egyetemes Nyilatkozatát29, az Európa Tanács által 1950. november 4-én Rómában elfogadott Emberi Jogok Európai Egyezményét30, az ENSZ Közgyűlése által 1966-ban elfogadott Polgári és Politikai Jogok Nemzetközi Egyezségokmányát31. Az Európai Unió (korábban: Európai Közösségek) fejlődésének kezdeti szakában – még az alapító szerződések jellege folytán – alapjogvédelemmel külön nem foglalkoztak. 1999 júniusában kölni ülésén adott ki következtetést az Európai Tanács arról, hogy az EU szervei és intézményei által alkalmazandó 27 Az Európai Parlament és a Tanács 2002. július 12-i 2002/58/EK irányelve az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről. 28 Paul De Hert és Eric Schreuders: The Relevance of Convention 108 in.: Proceedings of the Council of Europe. Conference on Data Protection, Warsaw, 19–20 November 2001, 42. o. 29 12. cikk: Senkinek magánéletébe, családi ügyeibe, lakóhelye megválasztásába vagy levelezésébe nem szabad önkényesen beavatkozni, sem pedig becsületében vagy jó hírnevében megsérteni. Minden személynek joga van az ilyen beavatkozásokkal vagy sértésekkel szemben a törvény védelméhez. 30 8. cikk: Mindenkinek joga van arra, hogy magán- és családi életét, lakását és levelezését tiszteletben tartsák. E jog gyakorlásába hatóság csak a törvényben meghatározott, olyan esetekben avatkozhat be, amikor az egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges”, Magyarországon kihirdette az 1993. évi XXXI. törvény. 31 Magyarországon kihirdette az 1976. évi 8. tvr.
1. A személyes adatok védelme
37
alapjogokat katalogizálni kellene. Célul tűzték ki az Európa Tanács és az ENSZ hivatkozott egyezményéből és a tagállamok nemzeti hagyományaiból eredő elvek összefoglalását. A munka befejezéseként az Európai Parlament, a Tanács és a Bizottság 2000 decemberében a nizzai csúcson hirdette ki az Alapjogi Chartát. A Charta kötelező erőt csak a Lisszaboni Szerződés 2009. december 1-jei hatálybalépésével kapott és nagy jelentősége, hogy önállóan tartalmazza a személyes adatok védelméhez való jogot32.
1.2.1. Az OECD Irányelvek Kifejezetten az adatvédelmi kritériumokra koncentráló első nagy nemzetközi dokumentum az 1980-ból származó OECD Irányelvek33. A gazdaságpolitikai fórumként működő Gazdasági Együttműködési és Fejlesztési Szervezet34 az információs technológia és a számítógépes adatfeldolgozás elterjedését észlelve kiadta nemzetközi irányelveit a magánélet védelmének és a személyes adatok határokon átívelő áramlásának tárgyában, melyek a később megalkotott nemzeti normákra is nagy hatással voltak. A nemzeti és nemzetközi szinten egyaránt alkalmazható – de nem kötelező – elvek az egyénekről szóló adatok számítógépes feldolgozásának minden médiumát (a helyi számítógépektől az összetett nemzeti és nemzetközi leágazásokkal bíró hálózatokig), a személyes adatfeldolgozás minden típusát (a munkaerő-adminisztrációtól a fogyasztói profilok összeállításáig), valamint minden számba jöhető adatkategóriát felölelnek (a változó természetű adatoktól az aktuális tartalmi adatokig, a leghétköznapibbtól a legérzékenyebbig). A nemzeti alkalmazásnál irányadó alapelvek a következőek: 32 8. cikk: Mindenkinek joga van a rá vonatkozó adatok védelmére. A személyes adatokat méltányosan, meghatározott célból, és az érintett beleegyezésével vagy törvény által meghatározott jogos célból lehet kezelni. Mindenkinek joga van a róla gyűjtött adatokat megismerni, és azokat helyesbíteni. E szabályok teljesítése független hatóság ellenőrzése alatt áll. 33 OECD Irányelvek a magánélet védelméről és a személyes adatok határokon átívelő áramlásáról, in.: http://www.oecd.org/dataoecd/16/9/15590228.pdf, 2010-03-11. 34 Magyarország 1996. május 7. óta hivatalos tagja a koordinatív szervezetnek.