Biztonságos-e az adatvédelem?

Tibor Husár: „Szeretném hangsúlyozni, hogy adatgyűjtés csak törvényből kifolyólag vagy önkéntes alapon történhet.” TASR-felvétel Mit tartalmaz a jelentés?

Beszámol a hivatal 2000 októberétől 2001 októberéig kifejtett tevékenységéről, tartalmazza a személyi adatok védelméről szóló törvény módosítására tett javaslatunkat, a lakossági bejelentések kivizsgálásának eredményeit, valamint a közszolgálati és a magánszférában végzett ellenőrzéseink eredményét. Ebben az időszakban tevékenységünk jelentős részét az úgynevezett megelőzés tette ki; ez az adatbázisokat működtető vállalatok előzetes figyelmeztetését, tájékoztatását jelentette.

Hogyan értékeli a múlt évet az adatvédelem szempontjából? Mely vállalatokat, illetve állami szerveket ellenőrizték leggyakrabban?

Többször bukkantunk törvényellenes adatgyűjtésre és -feldolgozásra. Az üzleti szférából főleg a biztosítók, a bankok ellenőrzését említeném elsősorban, mivel ezek az intézmények hatalmas mennyiségű adatot kezelnek, melyek nagyon sok embert érintenek. De ugyanúgy említhetném az önkormányzatokat, hiszen minden település önállóan vezeti például a szavazók jegyzékét vagy a lakossági nyilvántartást. Az állami szervek is jelentős mennyiségű személyi adatot tartanak nyilván.

Milyen adatok gyűjtését, nyilvántartását ellenőrizhetik a törvény értelmében?

A személyi adatok két csoportjára vonatkozik a jogszabály: az azonosító adatokra – név, lakcím, személyi szám, személyi igazolvány száma –, valamint az emberek önazonosságával összefüggő adatokra: például politikai nézet, nemzetiség, egészségi állapot, vagyoni viszonyok, tehát minden, ami az egyént a társadalmon belül meghatározza.

Ki és milyen alapon gyűjtheti, tárolhatja a lakosság személyi adatait?

Ez nagyon fontos kérdés, és sokan ennek ellenére nem figyelnek rá eléggé. Szeretném hangsúlyozni, hogy adatgyűjtés csak törvényből kifolyólag vagy önkéntes alapon történhet. Ha törvény szabályozza, akkor a polgároknak kötelességük az adatokat közölni az adatgyűjtővel, ha önkéntes alapon folyik, akkor mindenkinek saját belátásán múlik, hogy közli-e adatait. Szeretném, ha mindenki tudatosítaná, ha személyes adatait kérik tőle, akkor a kérdezőnek közölnie kell, hogy milyen okból, milyen törvény alapján teszi ezt. Ha önkéntes alapon folyik az adatgyűjtés, akkor mérlegelheti az érintett, hogy az ellenszolgáltatatás megéri-e neki adatainak elárulását.

Megtörténhet, hogy valamely jogszabály, amelynek alapján adatgyűjtés folyik, ellentétben áll az adatvédelmi törvénnyel?

Az adatvédelmi törvény 1998. március 1-jén lépett érvénybe, ezt megelőzően több olyan rendelkezés is született, amely feljogosít adatgyűjtésre, ám nincs összhangban az adatvédelmi szabályokkal. Az emberi jogok nyilatkozata, melyen az adatvédelmi törvény alapszik, ugyanis kimondja, hogy a személyi adatok gyűjtése csak olyan törvény alapján lehetséges, mely tartalmazza a gyűjthető adatok pontos listáját. Hivatalunk ellenőrzi és véleményezi az új javaslatokat is, és kezdeményezzük a régebbi törvények módosítását. A mi feladatunk az is, hogy az új jogszabályokat összevessük az általános európai egyezményekkel.

Hogyan ellenőrizhetik az emberek, hogy az adatfeldolgozók védik-e és mire használják fel adataikat?

Minden adatfeldolgozónak kötelessége harminc napon belül közölni a hozzá fordulóval, hogy nyilvántartja-e személyes adatait, és ha igen, akkor milyen célra használja őket, milyen eszközökkel védi az illetéktelen felhasználás ellen. Ha az állampolgár a válasz ellenére is tart attól, hogy adatait jogtalanul használja valaki, akkor hozzánk fordulhat; nekünk kötelességünk panaszát kivizsgálni. A törvény feljogosít bennünket a megnevezett adatfeldolgozó nyilvántartásának ellenőrzésére. Ha a panaszos gyanúja beigazolódik, akkor jogunkban áll betiltani a törvényellenes tevékenységet, és egyben arra is kötelezzük az üzemeltetőt, hogy semmisítse meg az illetéktelenül nyilvántartott adatokat.

Kiszolgáltathatók a nyilvántartott adatok harmadik félnek?

Ez csak két esetben lehetséges: vagy törvény alapján, vagy az érintett fél beleegyezésével. Az adatbázisokkal nem lehet engedély nélkül kereskedni. Csehországban nemrégiben egy iskola eladta diákjai adatait egy biztosítónak. Az ügyet már vizsgálja a cseh adatvédelmi biztos, mivel az iskola a tanulók tudta és beleegyezése nélkül, tehát törvényellenesen cselekedett. Ugyanez a szabályozás érvényes nálunk is.

Melyek a leggyakoribb törvénysértések?

A legtöbb panasz a direktmarketingot végző cégekre érkezik; sok emberrel megesik, hogy névre szóló küldeményt kap, mely valamilyen terméket népszerűsít, és azt sem tudja, honnét ismerik a pontos címét. Gyakran a közszféra is vét az adatvédelmi törvény ellen. A múlt évben az oktatásügyet ellenőriztük, átvizsgáltuk a pedagógiai dokumentációt, melyben több ellentmondásra bukkantunk. Figyelmeztettük az oktatási minisztériumot, most folyik a hibák eltávolítása. De ellenőriztük a Szlovák Biztosítót és a Szociális Biztosítót is.

Ellenőrzik az adatbázisok biztonsági színvonalát is?

Igen, ellenőrizzük, hogy a működtető milyen biztonsági intézkedéseket alkalmaz, vizsgáljuk a hardver- és a szoftvervédelmet is. Olyan részletekre is figyelünk, hogy a nyílt, pultos ügyfélfogadás esetén (például bankokban) a monitor úgy van-e beállítva, hogy az ügyfél ne olvashassa le más ügyfelek adatait.

Tavaly folyt a legtöbb embert érintő adatgyűjtés, a népszámlálás. Ellenőrizték ennek lebonyolítóját, a statisztikai hivatalt is?

Természetesen. Még a népszámlálás előtt felkértük a statisztikai hivatalt, hogy dolgozza ki az adatfeldolgozás biztonsági rendszerét. Ellenőriztük a népszámlálást, majd az azt követő számítógépes adatfeldolgozást is. Különösen azt figyeltük, hogy az azonosító adatokat ne tárolják tovább a megengedettnél. Jelen voltunk, amikor a feldolgozást követően ezeket az adatokat megsemmisítették.

Összehasonlítva az emberjogi biztossal hogyan értékeli saját hatásköreit?

Bizonyos szempontból nagyobb a hatásköröm, mivel mi bírságot is kiszabhatunk, igaz, ez legfeljebb egymillió korona lehet. Az Európai Unió két okból bírálja az adatvédelmi törvényt: alacsonynak tartja a kiszabható bírság összegét, és kifogásolja, hogy a biztost a kormány nevezi ki. Az általunk kidolgozott törvénymódosítás szerint a kiszabható bírság a tízszeresére emelkedne, és az adatvédelmi biztost a kormány javaslatára, a parlament jóváhagyásával a köztársasági elnök nevezné ki. Terveink szerint – és ha a parlament is úgy akarja – már május 1-jén életbe léphetne az új törvény.