Ugyan tavaly megjelent és ma már hatályos az új adatvédelmi törvény (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról), de azért ha jól körülnézünk találunk még élő jogszabályokat, törvényeket amelyek szintén ezt a területet – személyes adatok kezelése – próbálják szabályozni. Például ebben a témakörben van még egy hatályos jogszabály, a 2001. évi CVIII. törvény, amely az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről címet viseli, és szintén szentel egy egész fejezetet az adatvédelemnek.
Először is nézzük meg kire, mire vonatkozik ez a 2001. évi törvény!
Mint ahogy a címe is mutatja az elektronikus kereskedelmi szolgáltatásokra, amelynek definíciója a törvény szerint a következő:
„2. § E törvény alkalmazásában:
a) Elektronikus kereskedelmi szolgáltatás: olyan információs társadalommal összefüggő szolgáltatás, amelynek célja valamely birtokba vehető forgalomképes ingó dolog – ideértve a pénzt és az értékpapírt, valamint a dolog módjára hasznosítható természeti erőket -, szolgáltatás, ingatlan, vagyoni értékű jog (a továbbiakban együtt: áru) üzletszerű értékesítése, beszerzése, cseréje vagy más módon történő igénybevétele;”
Ugyan az is megérne némi tintát, hogy mely weboldalakra vonatkozik ez a szabály(mármint a webshopokon kívűl), de induljunk most csak abból ki, hogy webshopokra, webáruházakra biztos kötelező érvénnyel bír.
Vannak a törvénynek teljesen normális, logikus, egyszerűen értelmezhető fejezetei és a jelenlegi gyakorlat, technológia, józan ész szempontjából könnyen megvalósítható előírásai, de a 13. fejezet – egyébiránt az Adatvédelem címet viseli – az annyira meghökkentett, hogy először azt gondoltam biztos rosszul értelmezem, vagy ezt a fejezetet már bizton törölte a jogalkotó. De nem törölte, él még!
És persze az értelmezéssel is probléma volt.
Akkor nézzük mi itt a jogértelmezési probléma?
Az első három bekezdés az alap, amelyre épül a későbbi katarzis, imigyen:
13/A. § (1)A szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, az abból származó díjak számlázása, valamint az azzal kapcsolatos követelések érvényesítése céljából kezelheti az igénybe vevő azonosításához szükséges természetes személyazonosító adatokat és lakcímet.
(2)A szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtására irányuló szerződésből származó díjak számlázása céljából kezelheti az információs társadalommal összefüggő szolgáltatás igénybevételével kapcsolatos természetes személyazonosító adatokat, lakcímet, valamint a szolgáltatás igénybevételének időpontjára, időtartamára és helyére vonatkozó adatokat.
(3) A szolgáltató – a (2) bekezdésben foglaltakon túlmenően – a szolgáltatás nyújtása céljából kezelheti azon személyes adatokat, amelyek a szolgáltatás nyújtásához technikailag elengedhetetlenül szükségesek. A szolgáltatónak az egyéb feltételek azonossága esetén úgy kell megválasztania és minden esetben oly módon kell üzemeltetnie az információs társadalommal összefüggő szolgáltatás nyújtása során alkalmazott eszközöket, hogy személyes adatok kezelésére csak akkor kerüljön sor, ha ez a szolgáltatás nyújtásához és az e törvényben meghatározott egyéb célok teljesüléséhez feltétlenül szükséges, azonban ebben az esetben is csak a szükséges mértékben és ideig.
Ezen bekezdésekben foglaltakkal nincs is különösebb gond, védi a személyes adatokat és iránymutatást ad az elektronikus kereskedelmi szolgáltatások nyújtását végző vállalkozásoknak, szakembereknek.
(Az új idei személyes adat fogalom magyarázatát itt találja: személyes adat)
Na de a 7. bekezdés, az szíven tudja ütni a gyanútlan webshop üzemeltetőket.
(7) Az (1)-(3) bekezdésben meghatározott célokból kezelt adatokat törölni kell a szerződés létrejöttének elmaradását, a szerződés megszűnését, valamint a számlázást követően. Törvény eltérő rendelkezése hiányában az adattörlést haladéktalanul el kell végezni.
Ez a szakasz már nehezen érthető komolyabb meggondolások nélkül, igencsak meredek lehet az értelmezése!!!
Az 1-3 bekezdés megengedi, hogy kezeljük a webshop használóinak adatait (akár regisztrálva történik a vásárlás, akár nem), de a 7. pedig előírja, hogy ezen adatokat törölni kell, mégpedig három esetben:
1., a szerződés létrejöttének elmaradását követően
Különböztessünk meg két vásárlási folyamatot, aképpen, hogy a vevő regisztrál-e, avagy nem!
a) Ha a vevő nem regisztrál a webáruházban(regisztráció nélkül akar vásárolni) és nem jön létre szerződés(nem történik vásárlás), akkor az adatokat azonnal(haladéktalanul) törölni kell!
b) A vevő beregisztrál a webshopba és létrehozza a profilját. Mivel a regisztrációkor elfogadja a felhasználási feltételeket ezáltal létrejön egy szerződés a webáruház használatára vonatkozóan és a létrejött szerződés elvei mellett tárolható a személyes adat.
2., a szerződés megszűnését követően
Az előbbieket és a törvény “szellemét” követve általában két szerződés megszűnését is érdemes vizsgálni egy webáruház esetén.
a) Megszűnik a vevő/látogató ÁSZF szerinti jogviszonya a webáruházzal.
Mondjuk mert megszünteti(törli a profilt), vagy mert időben korlátos az ÁSZF(mert mondjuk van olyan kitétel, hogy 1 év inaktivitás után megszűnik a profil, a használati jog) amit a vásárló elfogadott a regisztrációkor.Ez esetben az adatok törlendőek.
b) Megszűnik az adásvételi szerződés, mert mondjuk a vevő 8 napon belül visszaküldte a megrendelt terméket.
Ebben az esetben, ha regisztráció nélkül(nem volt ÁSZF, amit a vevő elfogadott) történt a vásárlás az adatok törlendőek.
Ha ellenben regisztrált a vevő, annak ellenére hogy az adásvételi szerződés megszűnt, az ÁSZF elfogadásával járó jogviszony védi az adatokat, tehát nem kell azokat törölni.
3., a számlázást követően
Na ez a király szakasz: leszámlázom, törlöm a regisztráltak közül a vevő adatait és természetesen megsemmisítem a számlát is!?
Még szerencse, hogy ott van a következő mondat: “Törvény eltérő rendelkezése hiányában az adattörlést haladéktalanul el kell végezni.” Így értelmezhető úgy e passzus, hogy a számviteli törvény rendelkezik arról, hogy a számla megőrzendő, tehát nem kell törölni az adatokat. Persze vigyázni kell, hogy a számviteli törvény nem rendelkezik mindenféle adat kötelező tárolásáról, tehát az adatok bizonyos körének tárolásakor ezzel nem lehet takarózni.
Itt már csak egy elvi kérdés maradt: van-e egyáltalán eset ma Magyarországon, amire ez a jogszabályrészlet vonatkozik?
Hőbör Tamás
Kapcsolódó jogszabályok:
2001. évi CVIII. törvény (ekereskedelmi törvény)
az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
2011. évi CXII. törvény (adatvédelmi törvény) [Kapcsolódó cikkünk ►►]
az információs önrendelkezési jogról és az információszabadságról