A fenti címmel ugyan kicsit túlzásba estem, de az tény, hogy az Országgyűlés által nyár közepén elfogadott adatvédelmi törvény (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) ekkora büntetési tétellel riogatja többek között a személyes adatokkal dolgozókat.
Legyen az egy adatkezelő óriás(pl. a facebook csapata) vagy Jóska bácsi elvetemült bolgárkertész, aki a káposztalepkék káposztaleveleken történő párzási szokásairól küld hetente körlevelet hasonló érdeklődésű agyvérzésből hirtelen kilábalt honfitársainak.
Az új törvény 2012 januárjától hatályos, tehát így december környékén(amikor ezt a bejegyzést írom) jó ha az érintettek elkezdenek gondolkozni azon, hogy vajon megtudnak-e egyáltalán felelni ennek az új kihívásnak. Tapasztalatom szerint a túlnyomó többség még e jogszabály létét sem ismeri. A törvény megtalálható a következő linken: www.magyarkozlony.hu > Magyar Közlöny 88. szám, 2011. julius 26!
A törvénynek több vonatkozása is van, de most itt csak a személyes adatokra, az internetes aktivitásokra vonatkozó fejezetekkel próbálok foglalkozni.
Először is kijelenthető, hogy ez egy nagy szívásnak tűnik és majdnem mindenkire vonatkozik, aki a weben érdemben jelen van. A törvény mindenkire vonatkozik, aki Magyarországon személyes adatot kezel bármilyen technológiával, még arra is aki a kéményben korommal vezet nyilvántartást partnerei személyes adatairól.
Személyes adat(a törvény szépen definiálja is) például egy ügyfél neve, címe, születési adata, telefonszáma, e-mail címe, fotója, hangfelvétele, de akár az otthoni(bizonyos esetben nemcsak az otthoni) számítógépének IP címe, az IP és egy honlapra történő belépés dátuma, ideje, a meglátogatott oldalak listája és még sorolhatnánk. Aki pedig ezeket az adatokat kezeli – akár természetes, vagy jogi személy- azt a törvény adatkezelőnek hívja, az ezirányu tevékenységet pedig adatkezelésnek. Tehát levonható a következtetés: ez a szabály bizton érintheti a következőket: webáruházak, fórumok, közösségi site-ok, hírlevél küldő rendszerek, minden honlap ahol van regisztráció, honlapra belépés, ahol személyes adattal kell fizetni mondjuk egy cikk elolvasásáért, nyereményakciók, stb.
A törvény azonban tovább nehezíti mindenki ez irányú tevékenységét, hiszen megtiltja, pontosabban feltételekhez köti az adatkezelést, 4 feltételt nevesít.
1., célhoz kötöttség elve
Ezen a jogászok vélhetően halálra keresik magukat. Személyes adat kizárólag előre meghatározott célból, valamely jog gyakorlása, vagy kötelezettség teljesítése érdekében kezelhető, de csupán a cél megvalósulásához elengedhetetlenül szükséges legszűkebb, még indokolható mértékben. Például egy webes apróhirdetési rendszerben, ha a rendszer elkéri a hirdető címét, az akár lehet jogszerűtlen, hiszen egy használt ipod-ot el lehet adni a hirdető lakcímének rögzítése nélkül.
Vagy például egy hírlevélre feliratkozáshoz nem kell más mint az e-mail cím, tehát ha mi elkérjük a nevet és a telefonszámot, már megbüntethet minket egy hatóság ha akar. Le lehet jövőre húzni mindenkit e jogszabály alapján.
És akkor még az adatok megőrizhetőségének idejét nem is vettük górcső alá; a korlátlan ideig történő adatkezelés tudniillik tilos. Tehát pl. egy apróhirdetési rendszerben valamennyi?? időközönként törölni kellene a nem aktív felhasználók adatait!!??
2., az adatkezelés jogalapja
Itt is van olvasnivaló a törvényben, de a legfontosabb ide vonatkozó értelmes, értelmezhető és jogos elv, hogy az érintettnek hozzá kell járulnia adatainak kezeléséhez. Fontos részlet, hogy a nem részletes tájékoztatáson alapuló adatkezelés szintén jogellenes!!
3., egyértelmű részletes tájékoztatás
Ez is viszonylag egyszerű szabály: még az adatkezelés megkezdése előtt részletes tájékoztatást kell adni az adatbirtokosnak mindenről: adatkezelő kiléte, adatkezelés célja, jogalapja, adatkezelés időtartama, az érintett jogai, jogorvoslat, és minden ami a részletes tájékoztatást szolgálja.
4., adatvédelmi nyilvántartás
Az adatkezelőnek az adatkezelés megkezdését megelőzően nyilvántartásba kell vetetnie magát a Hatóságnál! Tehát ilyen jellegű tevékenységet nem szabad végezni addig, amíg a Hatóság nyilvántartásba nem vette az adatkezelőt, a vállakozást, a természetes személyt.
Minden eltérő célú adatkezelést külön be kell jelenteni, még ha a kezelt adatok köre azonos is.!!!???
Ez a papírmunka természetesen díjköteles, bár most még nem tudni mekkora sápot akarnak lehúzni a hazai honlap tulajdonosok nagy részéről mivel erről információ még nem áll rendelkezésre. A jövendő hivatal honlapján (kevesebb mint egy hónappal a törvény hatályba lépése előtt) ez áll: “A hatóság honlapja a www.naih.hu oldalon 2012. januárjában lesz elérhető.” Szuper!!!
Mit is kellene most tenni?
Mivel nem lehet tudni a januártól fungáló új hatóság álláspontját e jog alkalmazásának kérdésében, így nagyon sok biztosat nem lehet kijelenteni. Az interneten több helyen lehet találkozni azzal az érveléssel, hogy még idén(mivel idén még egy 1992-es törvény, az LXIII. törvény van adatvédelmi nyilvántartás ügyben érvényben) vegye magát mindenki nyilvántartásba. Idén ez még ingyenes. Továbbá, január elsejétől már él a jogszabály és ekkor már a 10 misis pallos is ott van a nyakunk környékén. A jelenlegi adatvédelmi biztos honlapja: http://www.adatvedelmibiztos.hu/abi/index.php?menu=fooldal; a bejelentkezési űrlap is ott lehet valahol, bár elsőre én nem találtam meg.
Mégis megtaláltam: http://abiweb.obh.hu/abi/index.php?menu=179
Hőbör Tamás
Kapcsolódó jogszabály:
2011. évi CXII. törvény (adatvédelmi törvény)
az információs önrendelkezési jogról és az információszabadságról
Ha a fenti gondolatmenet igaz, akkor minden céges pc vagy mac, ahonnan levelezés folyik egy adatkezelőnek számít! Hiszen nem magáncélból személyes adatokat tartanak nyilván a munkatársak. Tehát minden magyar vállalkozásnak tejelni kell! Ez aztán a sunyi, de hatékony adóztatás. Hajrá Magyarország!!
Itt van egy normális és érthető segítség. Használjátok ezt: http://internetvallalkozas.com/blog/2010/05/kitoltesi-utmutato-adatvedelmi-nyilvantartasi-szam-igenylese/
Ez a régi 1992-es adatvédelmi törvény bejelentő lap kitöltési segédlete, de a fullos(ezer oldal magyarázattal) fenn van az http://abiweb.obh.hu/abi/index.php?menu=fooldal oldalon. Jó olvasgatást!
A weblabor egyik hozzászólója kereste ki a törvénnyel kapcsolatban:
Nem vezet adatvédelmi nyilvántartást a Hatóság arról az adatkezelésrõl, amely
a) az adatkezelõvel munkaviszonyban, tagsági viszonyban, óvodai nevelésben való részvételre irányuló, tanulói vagy tanulószerzõdéses jogviszonyban, kollégiumi tagsági viszonyban vagy – a pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók ügyfelei kivételével – ügyfélkapcsolatban álló személyek adataira vonatkozik;
Tehát a webshop esetén megúszható a bejelentés(de a többi törvényi előírás nem!), ha csak az ügyfelek adatait tartjuk nyilván. Itt csupán annak az eldöntése várat még magára, hogy kit lehet ügyfélnek nevezni. Aki vásárolt a shopban az ügyfél, de aki csak beregisztrált és egyszer majd lehet hogy vesz valamit, azt minek szabad nevezni? Ha ő is lehet ügyfél, akkor ez egy felesleges szabály és nyert az ügy: innentől mindenki ügyfél!!!
Bár ha van hírlevélre feliratkozás is a shopon és egy emaillel feliratkozhatok!!!??
És ha van a shop mögött pl. google analitika, amelyik csendben adatokat gyűjt a látogatókról(nem ügyfél!!) és még csak nem is kér engedélyt a shop látogatóitól erre?? Ezt hová kell tenni?
December 15.ei hír, hogy egy osztrák joghallgató az uniós adatvédelmi irányelvekre hivatkozva fordult a Facebookhoz, azt követelve, hogy az amerikai vállalat adja ki számára az összes adatot, amit tárolnak róla. A Facebook képviselői teljesítették kérését, és egy 1222 darab pdf fájlt tartalmazó cd-t küldtek az osztrák joghallgatónak. A tárolt logfájlok tartalmazzák a be- és kijelentkezési adatokat, az elküldött üzenetek időpontját és tartalmát, az összes lájkot, az üzenőfali bejegyzéseket, a felkéréseket, a régebben használt mailcímeket, fényképeket, illetve gps-adatokat.
És ami az elgondolkodtató, hogy a felhasználó által törölt adatok is elérhetőek a CD-n és a szervereken. A FB úgy tűnik tesz az EU-s (így a magyar) irányelvekre is.
Tök jó, hogy “részletes” tájékoztatást adnak a kitöltéshez, miszerint letöltöd a dokumentumot, majd fogod a billentyűzetet és az ujjaiddal a megfelelő a karaktereket leütve kitöltöd…
De ha ki van töltve, pontosan hová is el kell elküldeni?
Be lehet küldeni email-ben is?
Ez egy 1992-es törvény, akkor még nem volt net Magyarországon, amikor ez a jogszabály készült, így nem volt e-mail sem! Csak a királyi posta létezett.
“A kitöltött adatlapot nyomtassa ki, cégszerűen írja alá és küldje be hozzánk.” olvasható a hivatal honlapján.
Az adatlapot cégszerűen aláírva, az adatvédelmi biztosnak címezve postai úton (1051. Budapest, Nádor utca 22., vagy 1387. Budapest, Pf.: 40.) kell megküldeni. De ez csak idénre érvényes, jövőre bizton valami új módszert talál ki az új hivatal.
Azzal egyetértek, hogy a jogszabály egy régebbi időszakban íródott, de azóta van jópár módosítása. Azzal viszont nem értek egyet, hogy 1992-ben nem volt net Magyarországon. De, volt. Sőt, akkoriban indult fejlődésnek az infrastruktúra pont a böngészés miatt. Fizettem is a több 10 ezres adathívásokat…
Ettől függetlenül az egész téma, a hozzá (nem) kapcsolódó szolgáltatásokkal egy elkapkodott, elhamarkodott, előkészítetlen jogalkotás benyomását kelti, és visszásságot szül. Egy tisztább, szárazabb, boldogabb érzés 😉
Oké, pontosabban próbálok fogalmazni: 1992-ben az átlag magyar, a társadalom nem használta(nem ismerte) a netet (az első IP ugyan 91-es ha jól emlékszem, de 95-ben .hu-s domainok száma még alig kapaszkodott a zéró fölé :nic.hu:)ebből következően a jogalkotó – még ha volt is információja(bár erőst kétlem) – nem erre a technológiára szabta a jogszabályt.
Azt ne feledd, hogy a törvényt azóta legalább 1x módosították (2003. évi XLVIII tv.) – ekkor meg volt a lehetősége a jogalkotónak alkalmazkodni az “új kor” kihívásaihoz.
És most kapunk egy újabb upgrade-t, verzióváltással…
Én úgy fogalmaznék, hogy lett volna lehetősége alkalmazkodni..
És egy kedvenc fogalom meghatározásom(pontosan idézve) a legújabb(2011-es) upgradelt verzióból:
“16. adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes megsemmisítése;”
Nemcsak hogy nincs hozzápasszítva a jelen kor technológiájához, de még tán hülyeség is.