1998. évi tevékenységünk számadatai arról tanúskodnak, hogy a vizsgált ügyek mennyisége az előző évhez képest nem emelkedett, azonban az alfejezetekben bemutatott szektorális adatkezelő szervek és intézmények szerint megkülönböztetett ügytípusok köre bővült (biztosítótársaságok, Internet). 1998-ban számottevően nőtt a sajtószervek elleni panaszok száma, ezek az ügyek sokszor a polgárok emberi méltóságának, személyiségi jogainak teljes figyelmen kívül hagyásáról szólnak. Az ilyen jogsértéseket legtöbbször sem a közösség információigénye, sem a sajtónak a korrekt tájékoztatás követelményével kapcsolatos feladatai nem indokolják.
A vizsgálatok alapján megfigyelhető, hogy a jogállami rendszerváltást megelőző, nagyjából egydimenziós hatalmi alávetettség (állam versus állampolgár) mára többpólusúvá vált annyiban, hogy immár a polgárok magánszféráját több hatalmi tényező fenyegeti. Ezek között egyre inkább a gazdasági élet olyan szereplőit lehet említeni, mint a bankok, közüzemi szolgáltatók, távközlési szervezetek. Mindezek mellett azonban egyes állami (és az előző évhez hasonlóan újcentralizációs) törekvések is határozott fellépést kívánnak az adatvédelmi biztostól.
A személyes adatok védelméhez való jog ugyan nem abszolút jog, kivételesen törvény elrendelheti korlátozását, ez azonban csak abban az esetben minősíthető alkotmányosnak, ha megfelel az alkotmányban a korlátozásokkal szemben támasztott követelményeknek: tehát ha ez más alkotmányos jog vagy érték érvényesítéséhez elkerülhetetlen. A védelmi szint csökkentésének mértéke az elérni kívánt célhoz képest ekkor sem lehet aránytalan. Komoly törekvésekkel találkozunk azonban e védelmi szint aránytalan csökkentésére.
Bibó István nagyívű
“Kényszer, jog, szabadság” című tanulmányában a jogot az objektiválódás
legmagasabb fokát elért kényszernek és szabadságnak
tekinti. Az egyoldalúan korlátozó, védelmi szint csökkentésével járó hatalmi
– főként jogalkotói – igények álláspontunk szerint ütköznek azzal a helyes
jogi követelménnyel, mely szerint a kényszer- és szabadságélmények
(és társadalmi objektivációk) közötti egyensúly jelenti a jog sajátos
értékmérőjét.
Az elmúlt esztendőben is jelentős számú, a nagy adatkezelő szervezetek tevékenységével és törekvéseivel összefüggő beadvánnyal foglalkozott az Adatvédelmi Biztos Irodája. A polgárok személyes adatait nagy mennyiségben felvevő, tároló, feldolgozó állami vagy önkormányzati szervek nyilvántartási rendszereit érintő egyes beadványok vizsgálata mellett számos esetben véleményeztük az egyes nyilvántartásokkal kapcsolatos elképzeléseket, jogszabály-tervezeteket, tartottunk e szervezetek adatkezeléséről konzultációt, helyszíni vizsgálatot, ezenkívül az adatvédelmi biztos több – nagy nyilvántartást irányító, felügyelő – közigazgatási vezetővel folytatott írásban és szóban eszmecserét.
Néhány nagy adatkezelő szervezet
[például a Belügyminisztérium (BM), a rendőrség, az Adó- és Pénzügyi Ellenőrzési
Hivatal (APEH), a Központi Statisztikai Hivatal (KSH), a társadalombiztosítási
szervek] nemcsak a kezelt adatok mennyisége, vagy az adatkezelésüket kifogásoló
beadványok jelentős száma miatt kapott kiemelt figyelmet, hanem mert az
általuk kezelt nyilvántartásokkal kapcsolatban újabb és újabb – az alapvető
adatvédelmi követelményeket érintő – tervek készültek, a korábbitól eltérő
gyakorlat alakult ki.
Az állami ellenőrző és felügyeleti szervek által működtetett információs rendszerek összekapcsolási lehetőségének vizsgálatakor a jelenleg hatályos jogi szabályozásból lehet kiindulni. Az adatvédelmi törvény alapján nyilvántartási rendszerek összekapcsolására – az érintettek hozzájárulásának hiányában – csak törvényben megjelölt célból, pontosan meghatározott személyekre és adatkörökre vonatkozóan, és csak a cél elérésének idejéig van lehetőség.
E szigorú előírások értelmezése
érdekében talán nem felesleges utalni néhány olyan gondolatra is, amelyeket
a személyiségi jogok védelme, az adatvédelem alkotmányos követelményeivel
összefüggésben az Alkotmánybíróság fogalmazott meg. A 15/1991. (IV. 13.)
AB határozatban egyebek mellett szerepel, hogy:
Az Alkotmánybíróság több határozatában
azt is kifejtette, hogy a szabadságjogok biztosítását egyirányú utcának
kell tekintenünk, ahol csak előre haladhatunk, azaz az elért védelmi szint
alkotmányos védelem alatt áll. Ettől a szabálytól, alkotmányos indok alapján,
kivételesen lehet csak eltérni. A személyes adatokat tartalmazó állami
információs rendszerek összekapcsolására irányuló tervek könnyen figyelmen
kívül hagyhatják az adatvédelem nemzetközileg elfogadott, és az Alkotmánybíróság
által is többször megfogalmazott elveit (például az adatkezelések célhoz
kötöttségének elvét vagy az osztott információrendszerekre vonatkozó követelményeket),
és olyan rendszer(ek) létrehozását eredményezhetik, amelyek az állampolgárok
totális ellenőrzését szolgálják. (370/K/1998)
Az adatvédelmi biztos – folytatva
korábbi gyakorlatát – arra is törekedett, hogy a beadványokkal nem, vagy
alig érintett, jogi környezetében megváltozott nagy adatkezelő szervezetek
tevékenységéről további tapasztalatokat szerezzen. Helyszíni vizsgálat
keretében tanulmányoztuk a kárrendezést, illetve az illetékügyeket intéző
területi szervezetek, továbbá a Központi Statisztikai Hivatal, és a Nemzetbiztonsági
Hivatal megyei szervezetei működését. (Tapasztalatainkat a Megyei vizsgálatok
című
fejezet tartalmazza.)
A nagy szervezetek adatkezelési
gyakorlatában – az elmúlt évekhez viszonyítva – figyelemre méltó kedvező
változásokat is tapasztaltunk.
A megfelelő jogi szabályozásra
építve, az adatvédelmi kérdésekben szerzett nagyobb jártasság birtokában
mind határozottabban “védték” e szervezetek adatállományaikat; többször
– az adatvédelmi biztossal is konzultálva – más állami, önkormányzati szervek
által kért tömeges adatigényléseket is határozottan visszautasítottak.
A Belügyminisztérium nagy adatkezelő szervezetei
A minisztérium legnagyobb adatkezelő szervezetei, a Központi Nyilvántartó és Választási Hivatal (KÖNYV), illetve a BM Adatfeldolgozó Hivatal (BM AH) adatkezelését közvetlenül érintő panasz alig érkezett az elmúlt évben, annak ellenére, hogy e szervezetek több millió polgár személyes, sőt különleges adatait kezelik. A panaszok egy részében – például a közvetlen üzletszerzést folytató cégeket is érintő beadványok, vagy az útlevelek kiadásával kapcsolatos, illetve a közlekedési nyilvántartásból történő egyes adatkérések elutasítását kifogásoló panaszok esetében – jogszerűnek minősítettük e szervezetek eljárását. (52/A/1998, 140/A/1998, 463/A/1998)
E szervezetek adatkezelését érintő néhány panasz esetében az érintettek jogi lehetőségeiről kellett felvilágosítást adni. Egy állampolgár a kártérítési lehetőségek után érdeklődött, miután személyes adatainak letiltását követően a KÖNYV Hivatal – feldolgozási hibára hivatkozva – kiadta adatait egy ügyfélszerzést végző banknak. (300/A/1998)
A nagyértékű, lízingelt, elidegenítési tilalom alatt álló gépjárművekkel kapcsolatos biztosítási csalások megakadályozása érdekében a BM Határőrség az elmúlt években több – állampolgárok által kifogásolt, sőt bíróság ítéletében is jogellenesnek minősített – intézkedést hozott. A határőrök fellépésének jogszerűvé tételére azt tervezte a Határőrség vezetése, hogy a jövőben az ilyen járművel kilépő személyeket igazoltatja, és az igazoltatás adatait a gépjárműnek az országba történő visszaérkezéséig tárolja. Elképzelésükről kérték az adatvédelmi biztos véleményét, aki – egyebek mellett – úgy foglalt állást, hogy “jogellenesnek tekinthető, ha a lízingelt gépjárművel kilépő polgár adatait a Határőrség (ha viszonylag rövid ideig is) tárolja, miközben más határátlépő személyek esetében erre – törvényi felhatalmazás hiányában – nem kerülhet sor.”
Az ombudsman az üggyel összefüggésben arra is felhívta a Határőrség vezetésének figyelmét, hogy a közúti közlekedés rendőrhatósági igazgatásáról szóló 48/1997. (VIII. 26.) BM rendelet 28. §-ának (4) bekezdése – amely szerint “A Magyar Köztársaság területét – a 25. § (9)–(10) bekezdésében meghatározott járművek kivételével – Magyarországon forgalomba helyezett járművel a forgalmi engedélyben feltüntetett tulajdonos, illetve üzemben tartón kívül más személy csak írásos hozzájárulásukkal hagyhatja el” – egyebek mellett adatvédelmi szempontból is kifogásolható. A Határőrség nincs ugyanis törvényben felhatalmazva arra, hogy a meghatalmazó, a meghatalmazott és a tanúk adatait tartalmazó okmányok készítésére kényszerítsen polgárokat, illetve hogy ezen adatokat kezelje. (453/K/1998)
A rendőrség adatkezelésével összefüggésben 1998-ban is sok beadvány érkezett az adatvédelmi biztoshoz. Az ügyek egy részében a rendőrség által a polgároktól vagy szervezetektől igényelt, vagy beszerzett adatok, iratok jogszerűsége kapcsán, másik részében pedig a rendőrség rendelkezésére álló nyilvántartások adatainak felhasználásával kapcsolatban érkeztek beadványok.
Hasonlóan az előző évekhez a – megfelelő jogszabályi háttér nélkül működő – gépjármű-nyilvántartással, illetve az e nyilvántartáshoz is kapcsolódó közlekedésrendészeti, szabálysértési vagy büntetőeljárásokkal kapcsolatban több panasz is érkezett. Néhányan azt kifogásolták, hogy a rendőrség e nyilvántartásból nem szolgáltatott számukra – például a végrehajtási eljáráshoz – adatokat, többen pedig azt, hogy a közlekedési balesetükkel összefüggésben nem tudták a szükséges adatokat a rendőrségtől megkapni. (52/A/1998, 416/A/1998, 436/A/1998, 472/A/1998, 896/A/1998)
Az adatvédelmi biztos kérte a rendőrség vezetőit, hogy a jogellenes adattovábbítások megszüntetéséről gondoskodjanak. Az országos rendőrfőkapitány válaszában jelezte, hogy kezdeményezte az együttműködési megállapodás felülvizsgálatát, és felfüggesztette az intézkedés kifogásolt rendelkezésének végrehajtását.
Az adatvédelmi biztos észrevételeit az ügyfeleikkel szemben információs előnyre szert tett biztosítók képviselője igyekezett úgy értelmezni, mintha az adatvédelem törvényi követelményei akadályoznák a polgárok kárigényének érvényesítését. Egyes biztosítótársaságok, az Állami Biztosításfelügyelet és a Magyar Autóklub is kérte az adatvédelmi biztos segítségét olyan megoldások kidolgozásához, amelyek az adatvédelmi követelményeket nem sértik, de segítik a kárrendezési eljárások gyorsítását.
Az adatvédelmi biztos ajánlásban
megfogalmazott álláspontja szerint a közúti balesetekkel összefüggő adatok
kezelésére alkotmányossági szempontból az a megfelelő megoldás, ha a jogalkotó
törvényben határozza meg egyes személyes adatok kötelező átadását, továbbítását,
a személyes adatoknak a kárrendezési eljáráshoz, vagy az egészségbiztosítási
ellátás igénybevételéhez szükséges és elégséges körét, valamint az adattovábbítás
módját. Ezért felkérte az igazságügy-minisztert és a belügyminisztert,
hogy kezdeményezzék a szükséges törvényi szabályozást. Az ügy más vonatkozásairól
a Biztosítók alfejezetben szólunk. Az ajánlás a mellékletben található.
(89/H/1198)
Több beadványban kifogásolták a közúti közlekedés rendőrhatósági igazgatásáról szóló 48/1997. (VIII. 26.) BM rendelethez kapcsolódó rendőri eljárásokat. Az ügyek többségében a panasz lényege az volt, hogy e rendeletre hivatkozással az eljáró rendőri szervek – a gépjármű forgalomból való kivonásának kilátásba helyezésével – azt kérték a jármű tulajdonosától: közölje, hogy egy adott időben ki vezette a járművet. Az év végén két panaszos pedig azt jelezte, hogy az adatközlés elmaradása miatt gépjárművüket kivonták a forgalomból, jelentős kárt okozva nekik, illetve vállalkozásuknak.
A beadványok vizsgálata során kitűnt, hogy az eljáró rendőri szervek által rendszeresített “Felszólítás adatközlésre” tárgyú levélben – hiányosan idézve a BM rendeletet – nem hívták fel arra a gépjármű-tulajdonosok figyelmét, hogy a kivonásra csak akkor kerülhet sor, ha az adatközlést a tulajdonos jogos indok nélkül tagadja meg, továbbá azt sem jelezték, hogy milyen célból igénylik ezen adatokat. Arra is volt példa, hogy egy hiányosan kitöltött adatközlési lap miatt az eljáró rendőri szerv a tulajdonos titkos számát megszerezve, telefonon kívánta az adatokat pontosítani. Néhány esetben pedig, figyelmen kívül hagyva egy – a korábbi országos rendőrfőkapitány által elfogadott – adatvédelmi biztosi ajánlást, az eljárás lefolytatása érdekében a járművezető azonosító adatain túl a munkahelyére és jövedelmére vonatkozó adatokat úgy igényelték, hogy nem jelezték ezen adatok közlésének önkéntes jellegét. Egyes rendőrkapitányságok az adatszolgáltatásra, adatközlésre felszólító levélben még azt is jelzik, hogy “az adatkérés okáról a 16/1997. ORFK-i utasítás 185. pontja alapján információt adni nem áll módunkban.” (380/A/1998, 486/A/1998, 574/A/1998, 665/A/1997, 796/A/1998, 882/A/1998)
A panaszokra is tekintettel 1998 májusában a korábbi, december 11-én pedig a jelenlegi belügyminiszter sürgős intézkedését kérte az adatvédelmi biztos, hogy “a közlekedésigazgatással összefüggő nyilvántartásokban (például a gépjármű- és vezetői engedély nyilvántartásban) záros határidőn belül megszűnjenek a törvényi felhatalmazás nélküli adatkezelések”. Kérte azt is, hogy “e jogellenes adatkezelések legalizálására kiadott – a polgárokat törvényben elő nem írt adatszolgáltatásra és e kötelezettség elmulasztása esetén joghátránnyal fenyegető –, a közúti közlekedés rendőrhatósági igazgatásáról szóló 48/1997. (VIII. 26.) BM rendelet átdolgozására is szíveskedjen intézkedni.”
A szükséges intézkedéseket a Belügyminisztérium illetékesei nem tették meg, sőt november közepén a 48/1997. (VIII. 26.) BM rendelet olyan módosítására tettek javaslatot, amely a személyes adatok újabb körének jogellenes kezelését írta volna elő. Annak ellenére, hogy az adatvédelmi biztos a jogszabálytervezet véleményezése során is kifejtette, hogy a “rendőrségi törvény nem ad felhatalmazást a tervezett szabályozások többségéhez”, a belügyminiszter módosította az említett rendeletet, sőt ezen rendeletre is hivatkozással 1999. január elején a Belügyminisztériumban megkezdték a – személyes adatokat is tartalmazó – járműtörzskönyvek kiadását.
A 48/1997. (VIII. 26.) BM rendelettel összefüggő adatkezelésekkel kapcsolatos ajánlásában az adatvédelmi biztos ismételten felszólította a belügyminisztert, hogy egyrészt a BM rendeletnek a személyes adatok kezelésére vonatkozó részeit – a megfelelő törvényi felhatalmazás megszületéséig – helyezze hatályon kívül, másrészt – a közúti közlekedési nyilvántartásról szóló törvény megalkotásáig – a törzskönyvek kiadásakor a gépjárművek tulajdonosaitól kérjenek írásbeli nyilatkozatot arról, hogy hozzájárulnak személyes adataik kezeléséhez. Felkérte az országos rendőrfőkapitányt, hogy saját hatáskörében tegyen olyan intézkedéseket, amelyek megakadályozzák a rendőri szervezetek további jogosulatlan adatkezelését. (936/H/1998)
A rendőrség adatkezelését érintő beadványok egy része továbbra is olyan tevékenységet kifogásol, amikor a rendőrség törvényi felhatalmazás alapján gyűjt személyes adatokat, kér vagy foglal le iratokat, dokumentumokat, de ennek során az indokolt mértéket túllépve olyan adatokat is beszerez, melyek nem szükségesek az adott bűncselekmény elkövetőjének felderítéséhez, sőt nem is alkalmasak arra.
Sajnálatos, hogy az adatvédelmi biztos ajánlásai ellenére még mindig előfordul, hogy kábítószer-függőséggel kezelt betegek adataihoz jogosulatlanul kívánnak hozzájutni a nyomozó szervek.
Néhány beadvány vizsgálata során azt állapította meg az adatvédelmi biztos, hogy az érintett rendőri szervezet jogszerűen járt el, amikor személyes adatokat igényelt vagy továbbított. Egy panaszos a jegy nélküli utazásához, “bliccelés”-éhez kapcsolódó események nyomán a BKV-ellenőrök, illetve a rendőrség eljárásának jogszerűsége iránt érdeklődött. A válaszlevelet a melléklet tartalmazza. (727/A/1998)
Egy másik ügyben a panaszos azt kifogásolta, hogy férjéről a rendőrség adatokat közölt a szomszédjukkal. Az adatvédelmi biztos vizsgálata megállapította, hogy a levélben említett esetben a szomszéd írásos – és a panaszossal való vitára utaló indoklással előterjesztett – kérésére küldte a rendőrkapitányság a kifogásolt válaszlevelet. A biztos rámutatott arra, hogy a kérelmező jogainak érvényesítését szolgáló, azon túl nem mutató, a rendőrkapitányság iktatási rendszeréből származó, nemleges információ továbbítása adatvédelmi szempontból nem kifogásolható. (549/A/1998)
Egyes nyomozó szervek – telefonon és írásban – igényelték az adatvédelmi biztos segítségét egy-egy ügy jogi minősítéséhez, sőt arra is volt példa, amikor azt kérték, hogy “az ügy adatvédelmi szempontból való kivizsgálására intézkedni, és annak eredményéről osztályomat tájékoztatni szíveskedjen”. (112/K/1998) Az adatvédelmi biztos az ilyen esetekben – leszögezve, hogy a vonatkozó törvényi előírások alapján az országgyűlési biztosoknak nem feladatuk az állami szervezetek, hatóságok által folytatott egyes eljárások előzetes szakmai véleményezése – az adott ügy általános adatvédelmi vonatkozásairól tájékoztatást adott.
Az elmúlt évben csak néhány beadvány érintette a nemzetbiztonsági szolgálatok tevékenységét. Két panaszos – minden konkrétum nélkül – azt jelezte, hogy őket, illetve családjukat “megfigyelik”, “lehallgatják”. Azt javasoltuk, hogy elsô lépésként – néhány konkrét tény, körülmény jelzésével – forduljanak a titkos információgyűjtésre felhatalmazott szervezetekhez, és ha nem tartják kielégítőnek az onnan kapott választ, azt jelezzék nekünk. (45/A/1998, 743/A/1998)
Annak ellenére, hogy a Magyar Honvédség a legnagyobb adatkezelôk közé tartozik – hasonlóan a korábbi évekhez – 1998-ban is csak néhány olyan beadvány érkezett, amely a honvédség adatkezelését érintette.
Egy másik ügyben a Heves megyei Hadkiegészítő Parancsnokság, illetve az aszódi laktanya jogszerűen járt el, amikor egy volt katonatárs adatait nem adta ki a panaszosnak. Ugyanakkor a biztos arról is tájékoztatást adott, hogy az adott körülmények között milyen módon lehet kapcsolatba lépni egy személlyel. (460/A/1998)
Az Adó- és Pénzügyi Ellenőrzési Hivatal (APEH) adatkezelésével kapcsolatban az elmúlt évben is számos panasz érkezett az Adatvédelmi Biztos Irodájához. A beadványok többsége adatvédelmi szempontból nem volt kellően megalapozott, mivel a panaszosok – megfelelő tájékozottság hiányában – vagy olyan adatkezelést kifogásoltak, amelyhez az adóhatóság rendelkezett a megfelelő törvényi felhatalmazással, vagy az indítvány félreértésen alapult.
Az adóhatóságnak történő adattovábbítás jogszerűségével kapcsolatban az elmúlt évben nem csak magánszemélyek, hanem szervezetek is érdeklődtek. Például a Központi Kárrendezési Iroda az iránt érdeklődött, hogy az APEH egyik igazgatósága kérésére – a mezőgazdasági vállalkozási támogatást igénybe vevők ellenőrzése céljából – kiadhatják-e a termőföldet árverés útján vásárolt személyekre vonatkozó adatokat. Az adatvédelmi biztos úgy foglalt állást, hogy “a témával összefüggő hatályos törvények (a tulajdonviszonyok rendezése érdekében, az állam által az állampolgárok tulajdonában igazságtalanul okozott károk részleges kárpótlásáról szóló 1991. évi XXV. törvény, illetve az adózás rendjéről szóló 1990. évi XCI. törvény) nem tartalmaznak olyan rendelkezést, amely szerint a kárpótlással, kárrendezéssel foglalkozó szervezet(ek)nek a mezőgazdasági támogatásban részesült polgárok meghatározott személyes adatait az adóhatóság számára kell továbbítaniuk, ezen adatok átadására jogszerűen jelenleg nem kerülhet sor.” (669/K/1998)
A Központi Statisztikai Hivatal (KSH) tevékenységét érintő néhány panasz nem, illetve csak áttételesen érintette a személyes adatok kezelésére vonatkozó törvényi előírásokat.
Két alkotmányos jog, a személyes adatok védelméhez, illetve a kutatás szabadságához fűződő jog sajátos ütközésére mutatott rá az a beadvány, amely az 1976. évi mikrocenzus adatainak kutatási célú átadása kapcsán azt kifogásolta, hogy a KSH az adatok átadása során visszatartotta a településkódokat. Az adatvédelmi biztos állásfoglalását a melléklet tartalmazza. (170/K/1998)
A társadalombiztosítás nyilvántartásai
A társadalombiztosítás reformjával összefüggésben az 1997-ben született törvények – adatvédelmi szempontból is – új helyzetet teremtettek azzal, hogy például a 1997. évi LXXX. törvény 40. § (1) bekezdése megfogalmazta: “Az egészségbiztosítási, a nyugdíjbiztosítási és a magánnyugdíjrendszer működése érdekében olyan egységes nyilvántartás működik, amely biztosítja a befizetések nyilvántartását, beszedését és az ellátások megállapításához szükséges adatokat.” A 41. § (2) bekezdés úgy rendelkezik, hogy: “A nyilvántartás adatokat szolgáltat – törvényben meghatározott feladataik teljesítéséhez – [...] a nyugdíjbiztosítási és az egészségbiztosítási önkormányzatnak (a továbbiakban: a biztosítási önkormányzatoknak) és azok igazgatási szervei részére“ míg a 42. § (3) bekezdés szerint: “Az igazgatási szerv, valamint a társadalombiztosítási feladatokat ellátó foglalkoztatók és egyéb szervek nem társadalombiztosítási szerv és természetes személy részére adatot csak törvény, illetve törvény felhatalmazása alapján – a felhasználás céljának és jogalapjának egyidejű megjelölése mellett – jogszabályban meghatározott módon szolgáltathatnak.”
A fentiekben idézett törvényi előírások jól mutatják, hogy a társadalombiztosítási szervek közötti, feladataik ellátásához kapcsolódó adattovábbítások – a nyugdíjreformmal összefüggő törvényekben – nincsenek szigorúan korlátozva, részletesen szabályozva. A KATOR létrehozásához kapcsolódó intézkedések és a hiányos törvényi szabályozás is hozzájárult ahhoz, hogy az elmúlt évben a működő nagy társadalombiztosítási nyilvántartásokkal, illetve a kialakuló új információs rendszerekkel kapcsolatban több – mindenekelőtt konzultációs kérdést megfogalmazó – beadvány érkezett az adatvédelmi biztoshoz.
Az Országos Egészségbiztosítási Pénztár (OEP) több esetben kérte az adatvédelmi biztos állásfoglalását. Például arról, hogy a számítógépes nyilvántartásuk adatszerkezete – amelyből véleményük szerint az adatok jellege megállapítható – más szervezet számára – például ellenőrzés céljából – rendelkezésre bocsátható-e. (253/K/1998) Egy másik alkalommal azt kérdezték, hogy az Országos Nyugdíjbiztosítási Főigazgatóság jogosan igényli-e “az állampolgárokra vonatkozó teljes adatállományt taj-számmal együtt”. (439/K/1998) Egy alkalommal pedig a Népjóléti Minisztérium azon adatszolgáltatási kérése kapcsán kellett véleményt nyilvánítani, amelynek során a gyógyszertámogatások összegéről igényelt összesítésben a rendelő orvos kódját, a beteg azonosítóját, és a patika kódját fel kellett volna tüntetni. Az adatvédelmi biztos úgy foglalt állást, hogy “a miniszter által meghatározott összesítések – törvényi felhatalmazás hiányában – személyes adatokra nem terjedhetnek ki”. (522/K/1998)
Az új nyugdíjrendszer bevezetésével összefüggésben is felmerültek adatvédelmi kérdések. Néhány magánnyugdíjpénztár telefonon és írásban kérte az Adatvédelmi Biztos Irodájának véleményét saját nyilvántartási rendszerük kialakításához a taj-szám egyedi azonosító számként való felhasználhatóságáról. (299/K/1998)
A magánnyugdíjpénztárak működéséhez kapcsolódott az a panasz, amelyben – hivatkozva az Állami Pénztárfelügyelet nyilvántartási és informatikai főosztály által a foglalkoztatók tb-ügyintézői számára küldött levélre – egyebek mellett azt sérelmezték, hogy a munkavállalók pénztárválasztással kapcsolatos adatait a területileg illetékes megyei KSH-igazgatósághoz kell benyújtani. (251/A/1998)
Az Állami Pénztárfelügyelettől az adatvédelmi biztos azon érdeklődésére, hogy “milyen jogszabályi felhatalmazás alapján kell a foglalkoztatóknak a pénztárválasztással kapcsolatos adatokat a KSH megyei igazgatóságainak továbbítani; milyen jogszabályi felhatalmazás alapján, és hogyan dolgozzák fel a KSH megyei igazgatóságai a beérkező adatokat, azokat kiknek és hogyan továbbítják”, azt válaszolták, hogy a vonatkozó kormányrendelet alapján, a pénztárfelügyelet és a KSH közötti együttműködési megállapodás szerint “delegálta szerződéses jogviszony keretében a KSH-ra” az adatkezelés egy részét.
Az adatvédelmi biztos levelében jelezte az Állami Pénztárfelügyelet vezetőjének, hogy az adatvédelmi törvény nyilvánvaló félreértésére utal, ha úgy vélik: a meghatározott célú és adattartalmú adatkezelést törvényi felhatalmazással végző Állami Pénztárfelügyelet egyes adatkezelési folyamatokat (például a személyes adatok fogadását, rögzítését, továbbítását) “szerződéses jogviszony keretében” jogszerűen “delegálta” egy olyan szervezetnek, amelyet ezen személyes adatok kezelésére törvény nem hatalmaz fel. Téves az a feltételezés is, hogy az adatvédelmi törvény hivatkozott 5. §-ában – az adatkezeléssel szemben általánosságban – megfogalmazott követelményeknek való esetleges megfelelés elégséges jogalapot teremt ahhoz, hogy az Állami Pénztárfelügyelet egyes adatkezelési feladatait más szervezettel végeztesse, továbbá, hogy a pénztártagok központi nyilvántartásának technikai eszközei jogszerűen üzemelnek a KSH-ban. Kifejtette: ellentétben a levélben állítottakkal, az érintettek nem bírhatnak tudomással arról, hogy a magán-nyugdíjpénztári tagsággal kapcsolatos személyes adataikat a KSH valamelyik szervezete kezeli, hiszen a 1997. évi LXXXII. törvény 120. §-a egyértelműen és kizárólag a pénztárfelügyeletet jelöli meg központi nyilvántartó szervként. A társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény 41. § (2) bekezdése azonban csak a “biztosítási önkormányzatok, azok igazgatási szervei, valamint a magánnyugdíjpénztárak” számára teszi lehetővé, hogy más szervezetet bízzanak meg adatok kezelésével.
Válaszlevelében a PF vezetője a KSH bevonását az adatfeldolgozásba – a vonatkozó jogszabályok szemantikai elemzése és a jogalkotó szándék értelmezése mellett – azzal indokolta, hogy az “adatvédelmi biztos hivatalának így megküldött, az “Adatvédelmi Nyilvántartásba bejelentkezéshez” címet viselő adatlap “Adatfeldolgozás” elnevezésű rovatánál a KSH megjelölésre került feldolgozóként.” A jogellenes állapot megszüntetésére végül is a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről szóló 1997. évi LXXX. törvény múlt év végi módosítása teremtett lehetőséget azzal, hogy az Állami Pénztárfelügyelet is felhatalmazta, hogy “az adatok kezelésével más szervezetet is megbízhatnak”, amennyiben az adatvédelem azonos szintjét az adatvédelmi törvénynek megfelelően biztosítják.
A társadalombiztosítás nyilvántartásaival összefüggő, egyéni sérelmeket érintő beadvány csupán néhány érkezett az elmúlt évben.
Az önkormányzatok eljárását, döntéseit sérelmező indítványok száma változatlanul a panaszbeadványok 10%-a. Ez az állandóság azonban az ügyek jellegére, a sérelmezett eljárások igazgatási ágak szerinti megoszlására már nem vonatkozik. Az 1997. évi beszámolóban még azt állapítottuk meg, hogy a beadványok az önkormányzatok teljes tevékenységi körét és az ehhez kapcsolódó valamennyi nyilvántartást érintették. 1998-ban kirajzolódtak “markáns”, hangsúlyos területek, míg mások – meggyőződésünk szerint csak átmenetileg – háttérbe szorultak.
Ilyen hangsúlyos terület lett a szociális igazgatás, ezen belül a szociális ellátások körébe tartozó segélykérelmek elbírálásához szükséges személyes adatok kezelése, valamint a helyhatósági választásokat követően megalakult új képviselő-testületek, bizottságok tagjainak, a polgármestereknek az adatkezelése, ami egyaránt érintette az állampolgárokat és a polgármesteri hivatalban dolgozó köztisztviselőket.
Számos olyan beadványt is kaptunk, melyben nem – vélt vagy valós – állampolgári sérelmek orvoslásáról volt szó, hanem egy-egy tervezett döntés vagy határozat meghozatala előtt önkormányzati köztisztviselők kérték az adatvédelmi biztos állásfoglalását, az Avtv. szabályainak értelmezését. Ezeket a beadványokat konzultációs ügyként kezeljük, számuk és arányuk az önkormányzati ügyeken belül – az 1997. évi adatokhoz viszonyítva – megnövekedett. Ez a felerősödött tendencia, illetve folyamat annak tulajdonítható, hogy az adatvédelmi biztos intézménye egyre szélesebb körben vált ismertté, valamint annak, hogy az önkormányzatok köztisztviselői az adatvédelmi törvény gyakorlati alkalmazása során olyan problémákkal szembesülnek, amelyek megoldásában számítanak az adatvédelmi biztos segítségére.
E tapasztalattól vezéreltetve az önkormányzatok – általunk ismert – adatkezelésének bemutatása során elsősorban arra törekedtünk, hogy az általános jellegű megállapításokon túl inkább az ügyek bővebb ismertetésére helyezzük a hangsúlyt. A jogalkalmazásban felmerülő problémák bemutatásával, az azok megoldására vagy értelmezésére, a jogszerű eljárás betartására vonatkozó adatvédelmi biztosi állásfoglalások ismertetésével – reményeink szerint – hasznos támpontot nyújthatunk a közigazgatásban dolgozóknak.
Konzultációs ügyek
Az adatvédelmi biztos eddigi két beszámolójában külön alfejezetként nem szerepeltek az ilyen típusú ügyek. A kiemelést az ügyek magas száma és a beadványokban foglalt problémák jelentősége indokolja.
Válaszában az adatvédelmi biztos arról tájékoztatta a jegyzőt, hogy ebben a kérdésben a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény (Nytv.) és a végrehajtására kiadott 146/1993. (X. 26.) kormányrendelet (vhr.) szabályai irányadók elsősorban. Az érintett ügyintézők körét az Nytv. 21. §-a alapján lehet meghatározni. A vhr. 27 §-a lehetőséget ad a jegyzőnek arra, hogy a polgármesteri hivatal ügyintézőjének kérelem nélkül szolgáltasson a nyilvántartásból adatokat 44. §-ában pedig a közvetlen (on-line) lekérdezés útján történő adatszolgáltatás technikai megvalósításáról rendelkezik.
Az adatvédelmi biztos felhívta
a jegyző figyelmét arra, hogy a népesség-nyilvántartásnak továbbra is védettnek
kell lennie, korlátlan hozzáférés nem valósítható meg, az Avtv. alapján
az adatkezelésnek célhoz kötöttnek kell lennie. Célszerű egy – csak ezt
a kérdéskört szabályozó – rendelet megalkotása, mely az adatvédelem szabályait,
az adatszolgáltatási mechanizmus elveit, főbb elemeit tartalmazza.
A technikai jellegű részletszabályozás
a jegyző által kiadott adatvédelmi szabályzatban oldható meg, melynek megalkotását
az Nytv. kötelezővé teszi. (859/K/1998)
Egy községi polgármesteri hivatal jegyzője az adatvédelmi biztos állásfoglalását kérte abban a kérdésben, hogy a Központi Statisztikai Hivatal “Kérdőív a megválasztott helyi önkormányzati képviselőkről és polgármesterekről, 1998” című adatszolgáltatási nyomtatványának adattartalma, illetve az adatgyűjtés módja sérti-e az Avtv. rendelkezéseit.
Az adatvédelmi biztos az alábbi tájékoztatást adta: mivel a kifogásolt kérdőív kitöltése névtelen volt, csak a megye és a település nevét kellett megjelölni, így a közölt információk meghatározott természetes személlyel nem hozhatók kapcsolatba. Az adatszolgáltatás önkéntes volt, az érintett saját belátása szerint, szabadon dönthette el, hogy válaszol-e és mely kérdésekre, vagy sem. A jegyzők közreműködése a kitöltött kérdőívek összegyűjtésében (mely a KSH kérése volt) adatvédelmi szempontból aggályos, különösen azokban az esetekben, amikor az érintett az adatkezeléshez hozzájáruló “Nyilatkozatot” is kitölti, hiszen ezen már a neve is szerepel. Ennek következtében a jegyzők beazonosítható, meghatározott személyekkel kapcsolatba hozható információk birtokába jutnak – többek között az érintett pártállására, vallásos vagy más meggyőződésére vonatkozó különleges adatok birtokába, melyek az Avtv. alapján fokozottan védendő adatok. Az adatvédelmi biztos javasolta, hogy az érintettek közvetlenül a területileg illetékes KSH-igazgatóságnak juttassák el a kitöltött nyomtatványokat, vagy kitöltés után zárt borítékban adják át a jegyző részére. A KSH a felmérés során formailag helyesen járt el, hiszen az adatszolgáltatási eljárásra vonatkozó jogszabályok maradéktalan betartására törekedett, a konkrét esetben azonban az adatfelvétel módja nem tette lehetővé az érintettek azonosítását, így a mellékelt “Nyilatkozat” kitöltése szükségtelen volt. (795/K/1998)
Az egyik városi jegyző állásfoglalást kért abban a kérdésben, hogy az önkormányzat pénzügyi bizottsága – az éves költségvetési javaslat elkészítése érdekében – jogosult-e a közszolgálati nyilvántartásba betekinteni, és a polgármesteri hivatal köztisztviselőinek illetményét megismerni, illetve van-e lehetőség a Ktv. 63. § (1) bekezdésében felsorolt jogosultak körét helyi szabályozással kiterjeszteni. Az ügy vizsgálatának lezárását követően az adatvédelmi biztos állásfoglalása az volt, hogy az önkormányzat pénzügyi bizottságának tagjai a közszolgálati nyilvántartásba nem tekinthetnek bele, törvény pedig nem ad felhatalmazást a képviselő-testületnek arra, hogy a jogosultak körét helyi szabályozással kiterjessze. Megállapította azt is, hogy a tervezett adatkezelés abban a tekintetben is jogszerűtlen, hogy nem tesz eleget az Avtv.-ben követelményként meghatározott célhoz kötött adatkezelésnek. Az éves költségvetés tervezéséhez szükségtelen a polgármesteri hivatalban foglalkoztatott köztisztviselők bérének név szerinti bontásban való megismerése. (798/K/1998)
Az egyik fővárosi kerület adóügyi osztályának vezetője azzal a beadvánnyal kereste meg az adatvédelmi biztost, hogy az adóhatóság folyamatosan ellenőrzi az építményadóról szóló helyi rendeletében, valamint a kapcsolódó jogszabályokban foglaltak betartását és teljesítését. Előfordult, hogy az ellenőrzés során újsághirdetésből szereztek tudomást az adóköteles vagyontárgyról. Ezt követően a hirdetésben megadott telefonszám tulajdonosának adatait megkérdezték a tudakozótól, és levélben megkeresve az érintettet tájékoztatták arról, hogy amennyiben ő a vagyontárgy tulajdonosa, akkor adóbevallási kötelezettsége van, amennyiben nem, akkor nevezze meg a tulajdonost. Az adatvédelmi biztos válaszáig a folyamatban lévő ügyeket felfüggesztették.
Az adatvédelmi biztos álláspontja szerint az önkormányzati adóhatóság által követett módszer, hogy a telefontársaság tudakozójának – egyébként nyilvános, de semmiképpen sem közhitelű – adatbázisából szereznek információt az adótárgy birtokosáról, a törvény által nem megengedett, tehát tilos. Az eljárás nem felel meg a törvényesség követelményének. (624/K/1998)
Az 1998-as év folyamán mindössze egy szabálysértési eljárással kapcsolatos beadvány érkezett, tekintettel azonban arra, hogy a beadvány az egészségügyi állapotra vonatkozó különleges adatok kezelésére vonatkozott, indokolt az ismertetése.
Az adatvédelmi biztos válaszában arról tájékoztatta a vezető főorvost, hogy a polgármesteri hivatal szabálysértési irodája jogszerűen járt el, hiszen törvény felhatalmazása alapján kérte az elkövetők személyes adatait. Ugyanakkor az adatvédelmi biztos felhívta a jegyző figyelmét arra, hogy – amint azt a hivatkozott törvény, valamint az Avtv. is előírja – a megkeresésnek írásban kell történnie, a megkeresésben fel kell tüntetni a megismerni kívánt egészségügyi és személyazonosító adatokat, valamint az adatkérés alapjául szolgáló jogszabályi felhatalmazást. (865/A/1998)
Az önkormányzatok szociális ellátással, támogatásokkal, segélyezéssel kapcsolatos gyakorlatát számos beadványban sérelmezték a panaszosok. Tekintettel arra, hogy ezekben az ügyekben nehéz helyzetben lévő, és sok esetben kiszolgáltatott emberek fordulnak kérelemmel a hivatalhoz, rendkívül fontos, hogy az eljárás teljes ideje alatt megőrizhessék emberi méltóságukat, állampolgári jogaik ne sérüljenek, személyes adataik kezelése tisztességes és törvényes legyen.
Vidéki vizsgálataink tapasztalatai, valamint a beadványok alapján megállapítható, hogy ezek az alkotmányos jogok sok esetben sérülnek.
Több panaszos kifogásolta, hogy személyes adataik a kérelem elbírálását követően, a polgármesteri hivatal intézkedése nyomán nyilvánosságra kerültek, továbbá a segély megállapításához indokolatlan körben kért adatokat a hatóság.
Egy panaszos beadványában sérelmezte, hogy az oroszlányi polgármesteri hivatalban kifüggesztették a rendszeres gyermekvédelmi támogatásban részesülők személyes adatait tartalmazó listát. A panaszos a gyermekvédelmi támogatás rendszerét is kifogásolta, mivel a támogatást mindenki egységesen természetbeni juttatásként, bónokban kapta meg, melyeken feltüntették a segélyezett nevét, személyi igazolványának számát. A bónok csak a személyi igazolvány felmutatásával használhatók.
Az adatvédelmi biztos a vizsgálat lezárását követően ajánlást adott ki, melyben többek között megállapította, hogy a szociális támogatásban részesülő egyén személyes adataihoz fűződő alkotmányos jogának fokozott védelmet kell élveznie az önkormányzatok jogalkotásában és jogalkalmazásában. Megengedhetetlen az, hogy a támogatás bármelyik szakaszában a segélyezett kiléte a beleegyezése nélkül kívülállók számára megismerhető legyen. A “segélyezési lista” nem függeszthető ki – ez nyilvánosságra hozatalnak minősül –, és a természetbeni ellátási forma alkalmazása sem történhet úgy, hogy az érintettek személye azonosítható legyen. Az ajánlás a mellékletben található. (29/A/1998)
Több panaszos is sérelmezte, hogy a gyermeknevelési támogatás vagy a munkanélküliek jövedelempótló támogatásának igénylésekor vagyonnyilatkozatot kér tőlük az önkormányzat. Az Sztv. alapján a szociális ellátásra való jogosultság elbírálásához a kérelmező kötelezhető arra, hogy családja vagyoni, jövedelmi viszonyairól nyilatkozzon, illetve azokat igazolja. Az Avtv. 5. § (2) bekezdése szerint azonban csak olyan adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, s csak a cél megvalósulásához szükséges mértékben és ideig. Az Sztv. 27. § (1) bekezdése alapján a gyermeknevelési támogatás folyósításának feltétele – többek között – az, hogy a havi nettó jövedelem nem haladhat meg egy bizonyos értékhatárt. E szakasz (3) bekezdése szabályozza azokat az eseteket, amelyekben nem állapítható meg támogatás, ám ezek között nem szerepel a vagyoni helyzettel kapcsolatos kizáró ok. Gyermeknevelési támogatás igénylésekor tehát a polgármesteri hivatal csak a jövedelem megállapításához szükséges adatokat, illetve azokat az adatokat kezelheti, amelyek a kizáró okok fennállásának hiányát igazolják. A támogatás igényléséhez a polgár kötelezhető arra, hogy jövedelmi adatairól tájékoztatást adjon, de nem kötelezhető vagyonnyilatkozat tételére. Ugyanezek a szabályok érvényesek a munkanélküliek jövedelempótló támogatásának igénylése során követendő eljárásra is. (329/A/1998, 153/A/1998, 226/A/1998)
Népesség-nyilvántartás
A köztudatban az rögződött, hogy az Alkotmánybíróság a személyi szám használatát alkotmányellenesnek mondta ki, ezért különösen érzékenyen reagálnak az állampolgárok – akár szóban, akár írásban – az olyan adatkérésekre, amikor ennek átadását kéri a hatóság. A személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvény alapján – többek között – az önkormányzat népesség-nyilvántartó szerve és az anyakönyvvezető is jogosult a személyi azonosító jel használatára.
A panaszos sérelmezte, hogy a lakóhelye szerinti népesség-nyilvántartó hivatal értesítése alapján neve névváltoztatás folytán leánykori nevére változott, holott ő ilyen kérelmet nem adott be, nem érti, hogy 30 éve viselt férjes nevétől miért fosztották meg. A vizsgálat során kiderült, hogy a személyazonosító igazolvány nyilvántartásának 1997. évi adategyeztetése során a KÖNYV Hivatalban észlelték, hogy a panaszos leánykori neve tévesen – második utóneve nélkül – szerepel, ezért a születési hely szerinti polgármesteri hivatal anyakönyvvezetőjét az adathiba megszüntetésére utasították. Az anyakönyvvezető – tévedés folytán – a javításkor felcserélte a leánykori, illetve a családi név adatait, így a házasságkötés utáni névviselés tévedésből a leánykori nevére változott. A vizsgálat megállapította, hogy a polgármesteri hivatalban nem tartották be az Avtv. 14. § (1) bekezdésében, valamint 15. §-ában foglaltakat, mely szerint a valóságnak nem megfelelő adatot helyesbíteni kötelesek, és erről az érintettet értesíteni kell. A biztos megkeresését követően a hivatal jegyzője elismerte a tévedést, az iratot kijavították, és a panaszostól elnézést kértek az okozott kellemetlenség miatt. (568/A/1998)
Az e körbe tartozó beadványokban a panaszosok leggyakrabban azt kifogásolták, hogy az önkormányzati adóhatóság eljárása során “nyomoz” utánuk, más szerveket keres meg, és adatokat gyűjt róluk, vagy a rendelkezésre álló adataikat más szerveknek továbbítja.
Egy másik beadványban azt kifogásolta a panaszos, hogy az önkormányzati adóhatóság adatait továbbította az állandó lakóhelye szerinti önkormányzatnak. Tekintve, hogy a gépjárműadó-hátralék miatt küldött levelek “elköltözött“ jelzéssel visszaérkeztek a polgármesteri hivatalba, a panaszos lakcímét a KÖNYV Hivataltól kérték meg, a gépkocsi tulajdonjogának tisztázása érdekében pedig a BM Adatfeldolgozó Hivatal által vezetett gépjármű-nyilvántartás adataival egyeztettek. Ezt követően, mivel a panaszos valóban elköltözött, a további adóztatás érdekében hivatalból értesítették az állandó lakóhely szerinti adóhatóságot. A panaszos által sérelmezett esetben adatainak kezelését az adózás rendjéről szóló 1990. évi XCI. törvény rendeli el. A 45. § (3) bekezdése határozza meg, hogy az adóhatóság mely nyilvántartásokból jogosult adatokat kérni, ezek között a személyi adat- és lakcímnyilvántartás, valamint a gépjármű-nyilvántartás is szerepel. Az adatvédelmi biztos megállapította, hogy a polgármesteri hivatal a jogszabályi előírásoknak megfelelően járt el, törvénysértést nem követett el. (746/A/1998)
Az 1998. évi önkormányzati választásokat követően mind az írásban, mind a szóban előadott beadványok száma megnövekedett. Az újonnan megválasztott testületek és bizottságok egyrészt azért, hogy a korábbi testületi, önkormányzati működésről pontos képet kapjanak, másrészt azért, hogy döntéseiket megalapozzák, az önkormányzatoknál vezetett – különböző személyes adatokat tartalmazó – nyilvántartások adatait igényelték. Az adatigénylések számos esetben sértették az Avtv. szabályait.
Az adatvédelmi biztos eddig kiadott állásfoglalásai szerint a polgármester, alpolgármester, képviselők bére, juttatásai, egyéb költségtérítései közérdekű adatok. Egy indítvány alapján vizsgálta az adatvédelmi biztos azt, hogy személyes vagy közérdekű adatnak minősül-e a jegyző fizetése, az állampolgárok megtudhatják-e ennek összegét. Ez az állásfoglalás a közérdekű adatokról szóló fejezetben található.
A tavalyi beszámolóban már ismertettük az adatvédelmi biztos állásfoglalását, mely az önkormányzatok tulajdonában lévő vagy általuk fenntartott intézményekben dolgozó közalkalmazottak adatainak kezelésére vonatkozott. Ezt az adatkezelési kört 1998-ban is számos beadvány érintette. A közoktatásról szóló törvény 3. számú melléklete rendelkezik arról, hogy a képviselő-testület, illetve a fenntartó részére továbbíthatók az intézményekben foglalkoztatottak bér- és munkaügyi adatai. Az említett törvényhely nem ír elő kötelező adatszolgáltatást, csak a felhatalmazást adja meg ezen adatok továbbítására.
Ahhoz, hogy a képviselő-testület mint fenntartó megalapozott döntést tudjon hozni, nem feltétlenül szükséges név szerinti bontásban közölni az adatokat, elegendő csak a létszám, képzettség és béradatokat közölni. Itt elsősorban a célhoz kötöttség elvét kell szem előtt tartani, mi az az adatmennyiség, ami a cél eléréséhez szükséges és elegendő. Az adatvédelmi biztos álláspontja – természetesen a konkrét tényállások ismeretében – rendszerint az volt, hogy az alkalmazottak nevének ismerete nem szükséges a döntéshozatalhoz.
Az adatvédelmi biztos arról tájékoztatta
a panaszost, hogy a köztisztviselő neve és beosztása, munkahelye közérdekű
adat, illetménye azonban nem. A konkrét ügy megítélése szempontjából lényegtelen,
hogy az igazolást – az ügyben egyébként érintett személy – mire használta
fel, hiszen maga az igazolás kiadása volt jogalap nélküli.
E tekintetben tehát nem feltétlenül
csak a személyes adatok nyilvánosságra hozatala lehet jogszerűtlen, hanem
maga az adattovábbítás is. A polgármester a köz szolgálatában álló személy,
e tisztség speciális jellegéből fakad a sajátos jogi szabályozás is, amely
szigorával a közhatalmi működés tekintélyét, a működéshez szükséges bizalmat
hivatott megteremteni. A jog tartalmára vonatkozó jóhiszemű tévedés nem
mentesíti az elkövetőt a büntetőjogi felelősségrevonás alól; a jogosulatlan
adatkezelés vétségének egyébként nincs gondatlan alakzata. A cselekmény
súlyának, az eset körülményeinek mérlegelése a független bíróságok feladata,
ebben a kérdésben az adatvédelmi biztos nem foglalhat állást. (20/A/1998)
A papír alapú nyilvántartások, ügyiratok esetében az irattározás, selejtezés rendjének megvannak a szabályai, amelyeket minden közigazgatási szervnek be kell tartania. A számítógépes nyilvántartások, elektronikus iratok esetében a belső szabályozás sok esetben nem terjed ki a selejtezési időre, a hivatal törlési kötelezettségére, ennek következtében a nyilvántartott adatok mennyiségének szinte semmi sem szab határt. Előfordult, hogy a szabálysértési iratokat, illetve az elkövetők személyes adatait a törvényben előírt két év után is tárolták a számítógépes adatbázisban.
A személyes adatok felvétele, tárolása, továbbítása, tehát az adatkezelés teljes időtartama alatt tisztességes és törvényes eljárást követel meg az adatvédelmi törvény. Gyakran tapasztaltuk, hogy a közigazgatási szervek, akár állampolgároktól, akár hivatalból kérnek személyes adatokat, elmulasztják feltüntetni, hogy milyen jogszabályi felhatalmazás alapján, milyen célra történik az adatkérés, sokszor teljesen meghatározatlan a kért adatok köre. Az adatvédelmi törvény alapján a kötelezően elrendelt adatkezelések során mindig meg kell jelölni az azt elrendelő jogszabályt, és ezt a kötelezettséget nem csak az érintett tájékoztatása során kell betartani. Az érintett kérelmére indult eljárásban az adatai kezeléséhez való hozzájárulását vélelmezni kell, azonban a megfelelő tájékoztatást ezekben az esetekben is meg kell adni számára.
A bíróságokat ebben az évben 21 beadvány érintette. Az adatvédelmi biztos álláspontja szerint a bírói függetlenség egyike a legfontosabb alkotmányos értékeknek, ezért a bíróságokkal kapcsolatos hatáskörét megszorítóan értelmezi, így az eljárásjogokban szabályozott adatkezelések körében erre irányuló panasz esetén sem jár el. Míg a korábbi tapasztalat az volt, hogy a legtöbb esetben a jogvita érdemére vonatkozó, “rendkívüli jogorvoslatként” kívánták igénybe venni az adatvédelmi biztos segítségét, mely esetekben hatásköre hiányát állapította meg, jelenleg emelkedik azoknak az ügyeknek a száma, amelyek kifejezetten a bíróság adatkezeléséhez kapcsolódnak.
Lényeges különbség az eddigiekhez képest az is, hogy a bíróságok merev elzárkózása helyett – mellyel olykor az Avtv. által előírt adatkérés tényét is az érdemi ügyintézésükbe való beavatkozásnak tekintették – a bíróságok igazgatását ellátó Országos Igazságszolgáltatási Tanács (a továbbiakban: OIT) részéről igény mutatkozik az elvi álláspontok közös kialakítására. Erre jó példa az OIT “sajtószabályzat-tervezetének” megküldése, mely azzal a céllal készült, hogy a folyamatban lévő bírósági eljárásokban a közvélemény tájékoztatását az adatvédelmi törvény előírásaira figyelemmel végezzék. (342/K/1998)
Ez a törekvés azonban feltételez egy olyan törvényi szintű szabályozást, mely a bírósági adatkezelésben a jelenleg hatályos, de alkotmányossági szempontból aggályos 10/1986.(IX. 1.)IM-BM együttes rendelet, illetve a 123/1973.(IK 1974. 1.)IM utasítás (a továbbiakban: BÜSZ) helyett az információs önrendelkezési jog két oldalát, az adatvédelmet és az információszabadságot egymással és az eljárási szempontokkal is összhangban juttatja érvényre. A helyzetet tovább súlyosbítja az a tény, hogy az új szervezeti renddel megszűnt a miniszteri utasításnak – mint eleve vitatott jogforrásnak – a bíróság jogalkalmazására vonatkozó kötelező ereje.
Az ügyek többségében a személyes adatok védelmét sértő eljárást kifogásolnak a beadványozók.
Egy másik ügyben arról kérték az adatvédelmi biztos álláspontját, hogy maga az elkészített szakvélemény nyilvánosságra hozható-e, és ezzel további eljárásokban is felhasználhatóvá válik-e, különös tekintettel arra, hogy a pszichológus szakértőt gyermekelhelyezési perben rendelték ki, így a szülőkön kívül a kiskorú is érintett. Ezzel kapcsolatban azt kell hangsúlyozni, hogy az eljárás nyilvánossága nem azonos az eljárásban keletkezett iratok nyilvánosságával. Az eljárás nyilvánosságának alkotmányos elve a törvényesség garanciájaként a folyamatos kontroll lehetőségét jelenti, míg a keletkezett és minden részletükben nem ismertetett iratoknak elsősorban az eljárásban résztvevő személyek számára kell hozzáférhetővé válniuk azért, hogy eljárási jogaikat megfelelően gyakorolhassák (666/K/1998).
A bírósági eljárásokban főszabályként érvényesülő nyilvánosság elve a személyiség védelme miatt vagy a törvény által elismert más érdekből (államtitok, szolgálati titok) az eljárási törvényekben meghatározott keretek között korlátozható, továbbá a tárgyalás rendjének fenntartása érdekében a bíróság a nyilvánosan vezetett tárgyaláson is hozhat korlátozó intézkedést. Mivel ez utóbbi esetben a bíró a körülményeket szabadon mérlegelve dönt, ezért a biztos hatáskör hiánya miatt érdemben nem vizsgálhatta azt a panaszt, amelyben egy polgári perben eljáró bírónak a tárgyaláson folytatott jegyzetelést rendzavarásnak minősítő és kitiltó határozatát sérelmezték. Attól azonban, hogy az adatvédelmi biztos fellépése elmarad, az alkotmányos jogokat is érintő jogsérelem megtörténhet (209/A/1998).
Az érintett által kezdeményezett eljárás speciális esetéről van szó a pszichiátriai kezelésre önként jelentkező betegeknél, akik külön kérhetik ennek – az intézetbe kerülést követő 72 órán belüli – bírósági kontrollját mind orvosi-szakmai (indokoltság), mind jogi szempontból (nyilatkozat érvényessége). Miután ezt a jogintézményt az egészségügyről szóló 1997. évi CLIV. törvény (Eüt.) 1998. július 1-jei hatálylyal vezette be, a Pszichiátriai Szakkollégium és az Országos Pszichiátriai és Neurológiai Intézet közösen kért előzetes konzultációt azzal kapcsolatban, hogy a korábbi, 1972. évi II. törvény szerint kialakított gyakorlatban ez milyen változást eredményez.
Az 1972-es szabályozás ugyanis a pszichiátriai gyógykezelés szükségességének utólagos, időszakonként kötelezően elvégzendő bírósági felülvizsgálatát vezette be. Ezt a rendszeres bírói kontrollt a jelenleg hatályos törvény egy lényeges változtatással tartotta meg, mely a betegek fentiek szerint elismert különböző státusából fakad. Az (Eütv.) 198. § (2) bekezdésében látszólag kivételként szabályozott “tiltakozás” az ilyen utólagos bírósági felülvizsgálat ellen csak a korábbi gyakorlathoz képest jelent kivételt, hiszen a gyógykezelést önként vállaló cselekvőképes személy önrendelkezési jogának sérthetetlenségéből következik, hogy ilyenkor a bírósági felülvizsgálat az, amire kivételesen, a beteg tiltakozása hiányában kerülhet sor. Erre, az állampolgári jogok országgyűlési biztosával közösen kialakított álláspontra figyelemmel jelenleg az ellátást végző intézmény csak akkor továbbítja a bíróságnak az érintett személyes adatait, ha – az erre vonatkozó előzetes tájékoztatást követően – a beteg erről külön írásbeli nyilatkozatot tett. (212/A/1998)
Az adatvédelmi törvény az egészségi állapotra vonatkozó adatokat különleges adatnak tekinti, és kiemelten védi. Ez az oltalom akkor válhatott teljessé, amikor megszületett az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló törvény (1997. évi XLVII. tv.) és nem sokkal később az új egészségügyi törvény (1997. évi CLIV. tv.). Megalkotásukkal sok egészségügyi adatkezelési kérdés rendeződni látszott.
A törvényi szabályozás szintjén valóban sok a változás, az új rendelkezések szerint a betegek információs önrendelkezési jogát immár szektorális törvény is védi. Joguk van a gyógyításukkal kapcsolatos teljes körű tájékoztatásra, dönthetnek a javasolt kezelések, beavatkozások tekintetében, továbbá megismerhetik az egészségi állapotukra vonatkozó dokumentációt, és arról – a költségek megtérítése ellenében – másolatot is kaphatnak. Ugyanakkor az új törvények természetesen nem változtatták meg egy csapásra az eddig is gyakran sérelmezett orvosi hozzáállást; az orvosok gyakran nem vonják be a betegeket az őket érintő döntések meghozatalába, a betegek pedig nem mindig ismerik a lehetőségeiket. Az állampolgárokat tehát tájékoztatni kellene a jogaikról ahhoz, hogy kialakulhasson egy más típusú, a releváns információk kölcsönös ismeretén alapuló, egyenrangú orvos-beteg kapcsolat, melynek következményeként a beteg megalapozott döntést hozhat a gyógykezelését érintő kérdésekben.
Az új törvények pontosították az egészségügyi intézmények szigorú adatvédelmi és információ-szolgáltatási kötelezettségeit, de ez nem tükröződött a panaszok számának csökkenésében, a tavalyi évhez hasonlóan idén is sokan fordultak az Adatvédelmi Biztos Irodájához az egészségügyi adataik kezelésével kapcsolatos kérdésekkel. Úgy tűnik, a legtöbb nehézséget még mindig az egészségügyi iratokhoz való hozzáférés jelenti, pedig a törvény egyértelműen biztosítja az ezek megismeréséhez fűződő jogot. Amíg a betegek néha többszöri kérés után sem kapják meg a rájuk vonatkozó, róluk készült dokumentumokat, addig mások – törvénytelenül és valószínűleg ellenszolgáltatás fejében – néha nagyon is könnyen hozzájuthatnak üzleti célra is jól hasznosítható adatokhoz.
Egy beadványban az APEH egészségügyi alkalmassági vizsgálatával kapcsolatos gyakorlatát kifogásolták. A felvételre jelentkező dolgozóknak háziorvosuktól kellett igazolást vinniük, melyben eddigi betegségeikről, esetleges kórházi kezelésükről, az előző évben betegállományban töltött napok számáról kellett beszámolniuk. Megállapítást nyert, hogy az APEH-nek nincs törvényi felhatalmazása arra, hogy a leendő dolgozó egészségügyi adatait megtudja, erre csak az alkalmasságot megállapító orvosnak van joga. Az orvos pedig csupán azt az információt továbbíthatja, hogy a jelentkező a munkára egészségileg alkalmas-e, vagy sem. A fel nem vett pályázók számára az iratokat vissza kell küldeni. Az APEH elnöke az állásfoglalást elfogadta, a jövőben nem követi a kifogásolt gyakorlatot. (689/A/1998.) Ez az ügy egyébként túlmutat önmagán; félő, hogy nálunk is egyre szélesebb körben terjed az a munkáltatói hozzáállás, amely a leendő munkavállaló képességeinek és személyiségjegyeinek vizsgálatán kívül annak egészségi állapotát is igyekszik – akár törvényt sértve és a munkavállaló kiszolgáltatott helyzetét kihasználva – minél alaposabban feltérképezni, majd a legmegfelelőbb “egyedeket” kiválasztani.
Nagyon érdekes az a kecskeméti ügy, amellyel kapcsolatban panasz is érkezett és konzultációs céllal is megkeresték a biztost. A Kecskeméti Egészségügyi Alapellátási Intézmények Igazgatóságának vezetője úgy döntött, hogy a háziorvosok saját – betegeik adatait tartalmazó – adatbázisáról páncélszekrényében biztonsági másolatot kíván őrizni, és a háziorvosok tiltakozása ellenére meg is kezdte ezek összegyűjtését. A megyei ÁNTSZ vezetője ugyanakkor úgy foglalt állást, hogy az alkalmazott háziorvosokkal ellentétben a vállalkozó háziorvosok – mint “intézményvezetők” – egy személyben felelnek a betegek adatainak védelméért, vagyis az alapellátás vezetőjének semmilyen megfontolásból nincs joga a náluk keletkezett adatokat összegyűjteni és magánál tartani. Az adatvédelmi biztos tájékoztatta az igazgatót arról, hogy az adatbiztonságról való gondoskodás valóban alapvető követelmény az adatkezelővel szemben, ez azonban – minden egyéb ok és cél nélkül – nem lehet alapja egy indokolatlan adatkoncentrációnak. Amennyiben tehát az igazgatóság vezetője az adatbiztonságra nagyobb figyelmet kíván fordítani – ez egyébként mint intézményvezetőnek kötelessége is, akkor segítséget kell nyújtania az orvosoknak ahhoz, hogy megtehessék azokat az óvintézkedéseket, amelyekkel az esetleges visszaéléseket megelőzhetik. Egyébként a háziorvosok döntő többsége Kecskeméten vállalkozási formában végzi tevékenységét, így ők mint intézményvezetők egy személyben felelnek az adatok biztonságáért, és ennek módjáról is maguk kell hogy gondoskodjanak. (840/A/1998)
Egy panaszos arra hívta fel a figyelmet, hogy az egészségbiztosítás által támogatott utazási költségtérítés igénybevételekor a rendelésről hazautazó beteg olyan utalványt kénytelen felhasználni, melyen szerepel a szakrendelés megnevezése, ezáltal betegségéről bárki tudomást szerezhet. Az OEP főigazgatója arról tájékoztatta a biztost, hogy a közeljövőben új nyomtatvány készül, mely az intézmény adatait már nem fogja tartalmazni, így az egészségügyi kezelést végző szakosított intézmény neve nem lesz hozzáférhető olyanok számára, akikkel azt a beteg nem kívánja megosztani. (66/A/1998)
A Főpolgármesteri Hivatal kérésére vizsgálta meg a biztos a Fővárosi Szent István Kórház iratkezelési szabályzatát. Ennek során megállapította, hogy a szabályzat nem garantálja az egészségügyi adatok kezeléséről szóló törvény rendelkezéseinek érvényesülését. Az adattovábbításra vonatkozó előírásokat sérti ugyanis az, hogy az egyes kórházi osztályok az egészségügyi adatokat tartalmazó iratokat a megcímzett borítékkal együtt nyitva küldik el az iktató irodába, ahonnan a postázás történik. Így ezekbe gyakorlatilag bárki betekinthet, ebből következően az esetleges visszaélések felderítése is lehetetlenné válik. Javasolta a törvény előírásainak megfelelően olyan szabályozás kialakítását, amely biztosítja, hogy az adatokhoz valóban csak az arra jogosultak férhessenek hozzá. (218/K/1998)
A közelmúltban mások mellett egy amerikai fiatalember kereste meg az adatvédelmi biztost, aki korábban hosszabb időt töltött Magyarországon, és meglepődve értesült az anonim HIV-szűrés lehetőségének részleges megszűntéről. Meggyőződése szerint az egészségügyi adatok kezeléséről szóló törvény erre vonatkozó rendelkezése inkább visszaveti, mintsem segíti az AIDS elleni küzdelmet. Tájékoztatást kapott arról, hogy a törvényjavaslat előkészítése és parlamenti vitája során is a biztos mindvégig az anonim HIV-szűrés fenntartása mellett érvelt. Álláspontját nem vették figyelembe, a jelenlegi szabályozást azért helyteleníti, mert nem biztosít névtelenséget annak, akinek tesztje pozitív. Ez az információs önrendelkezési jog sérülése mellett azzal a veszéllyel is járhat, hogy sokan inkább távol maradnak a szűréstől, ami viszont hosszú távon éppen a fertőzöttek számának emelkedésével járhat. (620/A/1998)
A közüzemi szolgáltatási szerződések kötelezővé tett írásbeli formája miatt az egyes közművek által kidolgozott blankettaszerződések adattartalmát számos beadványban kifogásolták. A panaszok többsége a Fővárosi Vízműveket érintette, melynek vezetői – megkeresésünk nyomán – konzultációt kezdeményeztek a gyakorlat megfelelő kialakítása érdekében. Ennek során a konkrét eseten túlmutató, lényeges megállapítások is születtek.
A vizsgálat abból indult ki, hogy a szerződések tartalmát a felek szabadon állapítják meg, de a közműveknek – szerződéskötési kötelezettségükre figyelemmel – a tömegesen megkötött fogyasztási szerződésekkel kapcsolatban méltányolható az az érdekük, hogy a fogyasztó személyét a név és a lakcím, illetve a fogyasztási hely adatain túl egyéb, a személyi adat- és lakcímnyilvántartásban szereplő adatok segítségével azonosítsa. A biztos által javasolt adatkör az érintett születési helyére, idejére és az anyja nevére terjed még ki, ugyanis ezek a fenti adatokkal együtt a fogyasztót az őt terhelő változás-bejelentési kötelezettség elmulasztása esetén is azonosíthatóvá teszik a személyi adat- és lakcímnyilvántartásból.
Mivel a közszolgáltatók tevékenységét szabályozó törvények végrehajtási rendeletei a közmű-szolgáltatási szerződések tartalmát illetően egymástól is eltérő és esetenként homályos megállapításokat tartalmaznak, azt a látszatot keltik, hogy a közművek tetszőlegesen határozhatják meg a blankettaszerződésben kért adatokat. Jelenleg azonban még az előbbiek szerint indokolt mértékű adatgyűjtéshez és felhasználáshoz sincs közvetlen törvényi felhatalmazásuk, így azok megadására a fogyasztókat kötelezni nem lehet.
Az így kezelt személyes adatokat – a célhoz kötöttség elvének megfelelően – csak a szerződésből folyó jogok gyakorlása, illetve kötelezettségek teljesítése érdekében lehet felhasználni az ehhez szükséges mértékben és ideig. Mivel széles kört érintő adatbázisról van szó, az adatkezelés törvényességének folyamatos ellenőrzése érdekében a vízművek iratkezelési szabályzata módosításával kívánja beépíteni az adatvédelmi garanciákat, mely akár ilyen formában, akár külön adatvédelmi szabályzat kidolgozásával követendő példa nemcsak a közművek, hanem minden szektorális adatkezelő számára.
Ugyanilyen panasszal fordult a biztoshoz egy elvált asszony, aki a közüzemi számlákon korábban a férj mellett tulajdonostársként úgy szerepelt, hogy a volt férj neve után “...és neje” megjelölést használtak. Mivel a válást követően ő maradt az ingatlan egyedüli tulajdonosa, kérte, hogy a számláit ezen túl a saját nevében fizethesse. A Díjbeszedő Rt. – amely megbízás alapján látja el a közüzemi díjak beszedésével kapcsolatos ügyeket – az átírásnál ragaszkodott ahhoz, hogy az asszony a tulajdonostársi jogviszony megszűnését a válóperben hozott jogerős ítélettel igazolja. A fentiek szerint a díjbeszedőnek nincs jogalapja az ítélet adattartalmának megismerésére, hiszen a tulajdonosváltozást más módon – például a tulajdoni lap másolatával – is lehet igazolni. (623/A/1998)
Adatvédelmi jellegű problémák a munkajogi jogviszony bármely szakaszában előfordulhatnak. Részletes adatkezelési szabályokat a köztisztviselők jogállásáról szóló 1992. évi XXIII. törvény és 3. számú melléklete tartalmaz. A közalkalmazottak és a gazdálkodó szervezetek munkavállalói személyes adatainak kezelését a jogalkotó néhány általános elvet deklaráló törvényi szakasz megalkotásával szabályozta, melyek a jogalkalmazásban értelmezési nehézséget okoznak. Az információs jogok szempontjából is érvényesülnie kell az egyik fontos munkajogi alapelvnek, mely szerint a munkáltató, az üzemi tanács és a munkavállaló a jogok gyakorlása és a kötelezettségek teljesítése során köteles együttműködni. Sok esetben tapasztaltuk, hogy a munkáltató – egyenlőtlen információs pozíciót kihasználva – még az általános együttműködési kötelezettségének sem tett eleget.
Egy másik beadvány arra a kérdésre keresett választ, hogy a munkáltató a munkavállaló adóbevallását hozzájárulása nélkül megismerheti-e. A törvény szerint adótitok az adózást érintő tény, adat, körülmény, határozat, igazolás vagy más irat. Adótitoknak minősülő adatokat tartalmaz az adózó által elkészített adóbevallás is. Az adóhatóságot a hivatali eljárása során tudomására jutott minden irat, adat, tény tekintetében titoktartási kötelezettség terheli. A törvény meghatározza azon szerveket, melyek megkeresésére az adóhatóság jogszerűen szolgáltathat adótitoknak minősülő adatokat. E szervek között a törvény nem sorolja fel az önadózó munkáltatóját, így az adóbevallásban szereplő adatokat a munkáltató (kifizető) csak az adózó hozzájárulásával ismerheti meg. (355/A/1998)
Adatvédelmi szempontból nem csak annak van jelentősége, hogy a munkáltató olyan adatokat kezeljen, amelyre törvényi felhatalmazással bír, hanem annak is, hogy azokat törvényes módon tárolja. A munkáltató jogosult az adóazonosító jel, taj-szám és a személyi azonosító használatára, ám ezek elkülönített vezetéséről gondoskodnia kell. Mindhárom azonosító együttes feltüntetése a bérkartonon jogszabályt sért. (272/A/1998)
A bepanaszolt kft. megbízott egy személy- és vagyonvédelmi vállalkozót a kft. ipartelepének vagyonvédelmi okokból történő folyamatos őrzésével, mert a cég sérelmére rendkívüli módon elszaporodtak a lopások. A megbízás alapján felállításra került videokamera-rendszer célja a telepen tárolt és raktározott termékek őrzése volt, nem pedig a dolgozók videokamerával történő megfigyelése. A kamerák elhelyezkedése is ezt támasztotta alá. A kamerák által sugárzott képeket rögzítették, és azt az őrszemélyzet egy hétig tárolta. Tekintettel arra a tényre, hogy a videokamera-rendszer személyes adatok felvételét és tárolását is jelentheti, a kamerák felállításáról feltétlenül szükséges előzetesen tájékoztatni a dolgozókat. A tájékoztatásnak arra is ki kell terjednie, rögzítik-e és tárolják-e a kamerák által sugárzott felvételeket, és ha igen, milyen célból. Ez utóbbi tájékoztatás az adott esetben elmaradt, így a biztos felhívta az igazgató figyelmét annak pótlására. Véleménye szerint csak olyan esetben tárolhatók a kamerák által rögzített felvételek (a dolgozók képmása), ha azt bűncselekmény, szabálysértés, vagy fegyelmi vétség elkövetésének alapos gyanúja indokolttá teszi. Az, hogy a felvételeket korlátozás nélkül minden esetben rögzítik, nem egyeztethető össze az adatvédelmi törvénnyel. Ezzel kapcsolatban ugyancsak felhívta a kft. igazgatójának figyelmét a szükséges intézkedések megtételére. (461/A/1998)
Egy másik ügyben a biztosító a bekövetkezett biztosítási eseménynyel kapcsolatban kereste meg a panaszos munkáltatóját, az iránt érdeklődve, hogy a panaszos a munkáltatónál dolgozik-e, s ha igen, volt-e a kérdéses munkahéten szabadságon vagy betegszabadságon. A munkáltató a feltett kérdések közül a munkaviszony fennállásáról nyilatkozott, azonban azt már előzően a panaszos közölte a biztosítóval. A munkáltató a második kérdésre megtagadta a válaszadást. Ebben a vonatkozásban tehát jogsérelem nem történt. A biztosító azonban közölte a munkáltatóval a biztosítási jogviszony fennállását, mely a biztosítási titok megsértését jelenti.
Természetesen méltányolható a biztosítónak az az érdeke, hogy a káresetről a valóságnak megfelelő képet igyekszik kialakítani. A Polgári törvénykönyv alapján a biztosított köteles a biztosítási esemény bekövetkezését a szabályzatban megállapított idő alatt a biztosítónak bejelenteni, a szükséges felvilágosításokat megadni, és lehetővé tenni a bejelentés és a felvilágosítások tartalmának ellenőrzését. Az adatvédelmi biztos álláspontja szerint ebbe a körbe tartozhatnak olyan megoldások (munkáltatói igazolás a szabadságról, melyet a munkavállaló kér; illetve az egyéb bizonyítékok, melyeket ugyancsak a biztosított csatol), melyek – összhangban az adatvédelmi törvénnyel – nem sértik az állampolgár információs önrendelkezési jogát. Felhívta a biztosító figyelmét arra, hogy maga is tájékozódhat a munkáltatónál, de ehhez a munkavállaló beleegyezése szükséges. (105/A/1998)
A Legfőbb Ügyészség által meghatározott munkatervi feladatként a budapesti XX., XXI. és XXIII. kerületi ügyészség törvényességi vizsgálatot folytatott az egyik budapesti gimnáziumban. A vizsgálat célja többek között a kinevezések áttekintése, a túlmunka, a fegyelmi ügyek és a kártérítési felelősségre vonással kapcsolatos munkáltatói intézkedések ellenőrzése. A vizsgálat során az ellenőrzést végző ügyész felszólította az intézmény vezetőjét, hogy az ezzel összefüggő iratokat bocsássa rendelkezésére. Az igazgató a kért dokumentumok átadását megtagadta, azzal az indokkal, hogy az eljárásra az ügyésznek nincs jogköre. Az adatvédelmi biztos tájékoztatta az igazgatót: az ügyészségi törvény feljogosítja az ügyészséget, hogy a törvényességi felügyelet során a szervek vezetőitől iratok és adatok rendelkezésre bocsátását, illetőleg megküldését, továbbá felvilágosítás adását kérje. A szerv vezetője ezen ügyészi felkérésnek köteles eleget tenni. (204/K/1998)
A közigazgatási szervek levélforgalmában és iktatási rendjében két igen fontos érdeknek kell érvényesülnie: az egyik, hogy a beérkező magánlevelek címzettjeinek a levéltitokhoz fűződő jogát biztosítani kell, a másik, hogy a hivatalos levelek – beleértve a valamilyen minősítéssel ellátottakat is – hivatali iktatását és titokvédelmét is biztosítani kell.
A kormány a minisztériumok és az országos hatáskörű államigazgatási szervek iratkezelési mintaszabályzatát a 40/1998. (III. 6.) Korm. rendeletben alkotta meg. A jogszabály nemcsak a sk. felbontásra szóló, hanem a névre szóló, megállapíthatóan magánjellegű levelek felbontását is tiltja. A kormányrendelet nem szabályozza azt a kérdést, hogy melyek a magánjelleg megállapításának kritériumai. Ennek megítélése a helyi sajátosságoktól, tapasztalatoktól is függ. A kormányrendelet IV. fejezete tartalmazza azt is, hogy a “küldemények téves felbontásakor, valamint ha később derül ki, hogy a küldeményben minősített irat van, a borítékot újból le kell ragasztani, rá kell vezetni a felbontó nevét, majd a küldeményt a felvett jegyzőkönyvvel sürgősen eljuttatni a címzetthez, illetve a minősített iratokat az iratkezelőhöz. A felbontó a kézbesítőkönyvben az átvétel és a felbontás tényét köteles rögzíteni az átvétel dátumának megjelölésével.”
Az adatvédelmi biztos eddigi beszámolóiban nem taglalta külön fejezetben az oktatásügyet érintő, kérdéseket. A korábbi években a kérdéskört érintő beadványok száma nem volt jelentős. 1998-ban azonban több olyan, a témát érintő említésre méltó ügyet vizsgált, melyekből az elmúlt három év alatt vizsgált eseteket is figyelembe véve levonhatók bizonyos tanulságok.
Jellemző ügytípus az, hogy az alsó- és középfokú intézményekben tanulók és foglalkoztatottak személyes adatait milyen körben, milyen célra kérheti a fenntartó helyi önkormányzat vagy más intézmény.
Más a helyzet az intézmények saját tevékenységével összefüggő adatkezelésekkel. A megfelelő szakirányú ismeretek hiánya olykor súlyos visszásságokat eredményez, ha nem a közoktatásról szóló 1993. évi LXXIX. törvényben előírt kötelezettség alapján vezetett nyilvántartásokról van szó. Az egyes iskolák által bevezetett szociális támogatásokhoz használt kérdőívek esetenként emlékeztettek a Xénia Láz Egyesület adatgyűjtésére. A segítő jellegű tevékenység sem hatalmazhatja föl az adatkezelőt az Avtv. alapelveinek megsértésére, célhoz nem kötött, totális adatgyűjtésre. (392/A/1998)
A felsőoktatási intézmények adatkezelői tevékenységét érintő beadványok vegyes képet mutatnak, ettől függetlenül felfedezhető bennük némi azonosság is. A problémák magva a jogi háttér rendezetlenségében rejlik. Azokra a kérdésekre, amelyek az intézmények iratkezelési – selejtezés, raktározás, adattörlés, frissítés, stb. – gyakorlata során keletkeznek, az adatvédelmi biztos álláspontja szerint a válasz a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény rendelkezéseiben található. (463/K/1998, 817/H/1998)
Az adatvédelmi biztos ajánlása szerint törvénysértő volt az Oktatási Minisztérium felügyelete alatt álló Országos Felsőoktatási és Felvételi Iroda (OFFI) egy magáncéggel kötött szerződés alapján folytatott gyakorlata. Ennek során a felsőoktatási intézményekbe felvételt nem nyert pályázók személyes adatait továbbították egy gazdasági társaságnak, és a törvényben előírt céltól eltérően direkt marketing célra használták azokat. Az adatvédelmi ombudsman ajánlását követően az OFFI megszüntette a szerződést a magáncéggel. (652/A/1998)
Többen kifogásolták az intézmény által a felvételizőktől kért adatok körének nagyságát. A felsőoktatásról szóló 1993. évi LXXX. törvény szerint a felsőoktatási intézmények a szervezetükről és működésükről szabályzatot alkotnak, melynek részét képezi a hallgatók felvételi eljárása. Ez a szabályzat tartalmazhat előírásokat arra vonatkozóan, hogy a felvételi során milyen szempontokat vesznek figyelembe; továbbá az esetleg csatolandó egyéb iratokról, például kézzel írott önéletrajz elküldéséről is ez rendelkezhet.(167/A/1998)
A felvételi vizsgák eredményeinek közzétételére vonatkozó előírásokat – az említett törvény felhatalmazása alapján – szintén a helyi SzMSz-ben kell rendezni, s azoknak az intézményben szokásos módon kell eleget tenni. Ez egyfajta szűkebb körű nyilvánosságot eredményez, mint ahogy a zárthelyi vizsgák és írásbeli évfolyamdolgozatok eredményeinek kifüggesztése is. (504/A/1998) Szerencsésebb esetben az intézmény az általa kialakított kódrendszerrel oldja meg a közzétételt, erre az iroda munkatársai a gyakorlatban is láttak példát a Veszprémi Egyetemen tartott helyszíni vizsgálatukon. (817/H/1998)
Milyen adatokat kérhet az intézmény a már felvételt nyert hallgatókról beiratkozáskor, s milyen célokra használhatja azokat? Ha törvény másként nem rendelkezik, csak az oktatással összefüggő területekről nyilatkoztathatja hallgatóit. A személyi jövedelemadóról szóló 1995. évi CXVII. törvény alapján az összevont adóalap adóját csökkenti a tandíj címén megállapított összeg meghatározott része. Az erre szolgáló igazolást a felsőoktatási intézmény állítja ki.
Az adózás rendjéről szóló 1990.
évi XCI. törvény a magánszemély kötelezettségévé teszi az adóazonosító
jel közlését az adókedvezmény igénybevételére jogosító igazolást kiállító
szervvel – jelen esetben a felsőoktatási intézménnyel –, amely adatszolgáltatásra
kötelezett.
A fentiek alapján a hallgatók
adóazonosító jelét nyilván kell tartani. (41/A/1998, 387/K/1998)
A tandíjhátralékosok nevének kifüggesztése viszont ellentétes az Avtv.
rendelkezéseivel. A hallgatók tandíjfizetésének elmaradása családi, szociális
és egyéb körülmények függvénye, melynek nyilvánosságra hozatala sérti az
érintettek jogait. Ilyen esetekben a jogszerű eljárás az, ha az érintetteknek
névre szóló fizetési felszólító levelet küldenek, hiszen ezek még az adott
közösség számára sem nyilvános adatok. (504/A/1998)
A már idézett Szaz. tv. határozza meg a társadalombiztosítási szervek, a kifizetőhellyel rendelkező munkáltató, valamint az adatszolgáltatásra kötelezett szervek taj-szám nyilvántartási jogosultságát. A felsőoktatási intézmények, hallgatóik tekintetében, egyik kategóriába sem tartoznak. Egyes hallgatók esetében előfordulhat, hogy hallgatói jogviszonyuk közben keletkezik tb-ellátásra jogosultság (például gyes), és erre vonatkozóan a tb-szervvel szemben jelentési kötelezettségük van. Ekkor természetesen be kell kérni a hallgatótól a taj-számát. A felsőoktatási intézményeknek nincs felhatalmazásuk az összes hallgató taj-számának nyilvántartására, erre őket a társadalombiztosítás szervei nem kötelezhetik. (378/K/1998)
Egyéb harmadik személy számára történő adattovábbításokhoz törvényi felhatalmazás híján mindig az érintett hozzájárulása szükséges. Célszerű a félévenkénti beiratkozáskor tájékoztatni az esetlegesen felmerülő igényekről a hallgatókat, és nyilatkoztatni őket, hogy hozzájárulnak-e a név- és lakcímadataik továbbításához, például állásközvetítő tevékenységet folytató szervezetek számára. (90/K/1998) Másik megoldásként (például fordítási, tolmácsolási vagy egyéb szakismeretet igénylő munkavégzésre irányuló ajánlat esetén) a konkrét esetben az intézmény megkeresett szerve kiválogathatja a szerinte érintett hallgatókat, és egyenként megkeresheti őket. (817/H/1998)
Felmerülhet a kérdés a felsorolt példák kapcsán, hogy a felsőoktatási intézményen belül mely szervezeti egység jogosult a hallgatók személyes adatainak kezelésére, azaz ki tekinthető felelős adatkezelőnek. Bár konkrét beadvány ezzel kapcsolatban nem érkezett az adatvédelmi biztoshoz, a már említett helyi vizsgálat során a Veszprémi Egyetemen az iroda munkatársai egy rokonszenves megoldással találkoztak (817/H/1998). Eszerint az egyetem kari szintjén elhelyezkedő dékáni hivatal és a közvetlen irányítása alá tartozó tanulmányi osztály tartja a kapcsolatot a hallgatókkal, kezeli azok személyes adatait. Koordinációs munkájuk során még az egyetem többi szervének sem továbbítják azokat. Inkább vállalják a többletmunkát, csak a hallgatók személyiségi jogain ne essen csorba.
Remélhetőleg a kész igazolványok, a kiállításukhoz szükséges adatlapok és a nyomtatványokból mind az adott intézményben, mind a minisztériumban létrejövő adatbázisok meg fognak felelni az Avtv. előírásainak.
A Magyar Posta Rt. adatkezelésével kapcsolatos adatvédelmi biztosi vizsgálatok száma és jelentősége az elmúlt évhez képest megnövekedett. A Magyar Posta Részvénytársaság az ország nagy adatkezelői közé sorolható. Jelentőségénél fogva e témakört részletesen tárgyaljuk.
Egy másik indítványban a panaszos az iránt érdeklődött, hogy az általa küldött levél kábítószer-ellenőrzés céljából felbontható-e, s ha igen, milyen eljárási garanciákkal.
A levelek és egyéb postai küldemények felbontására lehetőséget biztosít a rendőrségről szóló 1994. évi. XXXIV. törvény. A rendőrség bírói engedéllyel bűncselekmény elkövetésének megelőzésére, felderítésére, megszakítására, az elkövető kilétének megállapítására, elfogására, körözött személy felkutatására, tartózkodási helyének megállapítására, bizonyítékok megszerzésére a postai küldemény tartalmát megismerheti, azt technikai eszközzel rögzítheti.
A küldemények kézbesítésével kapcsolatban egy másik indítványozó arra kérdezett rá, melyek azok a küldemények, amelyeket a posta kizárólag a címzett kezéhez kézbesíthet. A beadványozó arra a kérdésre is választ várt, hogy az elmeszakértői vizsgálatra szóló idézés adatnak minősül-e, s ha igen, akkor a személyes vagy a különleges adat kategóriájába tartozik-e.
A postáról szóló törvény értelmében a saját kézhez történő kézbesítés feltétele, hogy a feladó ekként rendelkezzen. A törvény nem szól arról, milyen tartalmú leveleket kell e jelzéssel feladni, hanem azt a feladóra bízza. Ez a helyzet az elmeszakértői vizsgálatra szóló idézés esetén is. Maga az idézés személyes adat, de nem tekinthető különleges adatnak. Az adatvédelmi biztos megállapította, hogy az idézés nem egészségügyi adat, az csak a vizsgálat eredménye lehet. (864/A/1997)
Egy kábeltelevíziós közösségi egyesület indítványában jelezte az adatvédelmi biztosnak, hogy a Magyar Posta azzal a kéréssel kereste meg, hogy előfizetőire vonatkozóan szolgáltasson számára adatot. A rádiózásról és a televíziózásról szóló 1996. évi I. törvény 82/A. § (2) bekezdése szerint a televíziókészülékek üzemben tartási díjának beszedésével megbízott – jelenleg a Magyar Posta – a díj fizetésére kötelezetteket a bejelentés, az ellenőrzés vagy az adatszolgáltatás alapján nyilvántartásba veszi. A fent említett adatszolgáltatási kötelezettség a hálózati műsorszolgáltatókra és az AM-mikro műsorszolgáltatókra vonatkozik. A posta törvényi felhatalmazás birtokában járt el, így az adatkérés jogszerű volt. A médiatörvény garanciális szabályként rögzíti, hogy a posta az üzemben tartási díj beszedése érdekében hozzá került személyes adatokat köteles adótitokként kezelni. (516/K/1998)
A gazdasági verseny növekedésével és a szolgáltatók, szolgáltatások bővülésével, új technikák valamint marketing-, kereskedelmi módszerek alkalmazásával az Adatvédelmi Biztos Irodájának tapasztalata szerint nő a személyes adatokkal való visszaélés veszélye.
Egy beadványozó azt kérdezte az adatvédelmi biztostól: jogszerű-e, hogy a távközlési szolgáltatók új digitális központjai lehetővé teszik a beérkező előfizetői hívások telefonszámainak megjelenítését. A digitális adattárolás és -továbbítás széles körű felhasználása számos új adatvédelmi problémát vet fel. A hívás kezdeményezőjének telefonszáma általános esetben személyes adatnak minősül, így hozzájárulása nélkül nem válhat hozzáférhetővé a hívott fél vagy harmadik személy számára. Egyes esetekben – közérdekből – a hívó fél személyes adatokhoz fűződő alkotmányos joga törvény által korlátozható, így például nem lehet aggályos a tűzoltóságokra beérkező tűzjelzéseknél a hívó fél azonosítása. A GSM-telefonok esetében csak akkor juthat a hívott fél tudomására a hívó fél száma, amennyiben a hívó fél ehhez hozzájárult. (140/A/1998)
A beadványozó titkosított – a tudakozó nyilvántartásában és a telefonkönyvben sem szereplő – telefonszámára hívás érkezett, melyben egy gazdasági társaságot képviselő telefonáló a MATÁV megbízására hivatkozva a panaszos telefonálási szokásaira vonatkozó kérdéseket tett fel. A panaszos a válaszadást megtagadta, és az adatvédelmi biztoshoz fordult, azt sérelmezve, hogy a MATÁV Rt. kiadta titkosított telefonszámát és nevét egy gazdasági társaságnak. A telefontársaság belső vizsgálata kimutatta, hogy a kérdéses időpontban a Budai Távközlési Igazgatóságuk végeztetett regionális piackutatást egy külső céggel. Az adatátadás nem felelt meg a jogszabályoknak, de a belső szabályzatuknak sem, mivel az átadott előfizetői adatok a telefonszámokon túl az előfizetők adatait is tartalmazták, titkos előfizetők adatai is bekerültek a listába, és mindez a felettes szerv jóváhagyása nélkül történt. A MATÁV Rt. a vizsgálatot követően felfüggesztette a piackutatást, a panaszosnak ingyen számcserét ajánlottak fel. (466/A/1997)
Több panasz érkezett az adatvédelmi biztoshoz a HUNGAROTEL Rt.-vel szemben, mivel az általa végzett távbeszélőhálózat-fejlesztés során nem járt el kellő gondossággal. A társaság az előfizetői szerződéseket késedelmesen, csak a tényleges bekötés után kézbesítette. Az előfizetőket jogaikról – köztük arról, hogy kérhetik nevük és telefonszámuk titkosítását – csak a helyi sajtóban közzétett felhívásokban tájékoztatták, ez azonban nem pótolhatta az előfizetők pontos tájékoztatását jogaikról, ide értve adatkezelési rendelkezéseiket is. A szolgáltatást igénybe vevő személyekkel kötött előszerződés erre vonatkozó rendelkezésének hiányában az előfizetők személyes adatainak nyilvánosságra hozatala – erre irányuló kifejezett hozzájáruló nyilatkozatuk hiányában – jogsértő volt. A HUNGAROTEL Rt. az általa kiadott telefonkönyvben jogosulatlanul, az Avtv.-be ütköző módon hozta nyilvánosságra azon polgárok személyes adatait, akik a helyi sajtóban megjelent közleményekre nem nyilatkoztak. A szolgáltatás megkezdése előtt meg kellett volna már kötni az egyéni előfizetői szerződéseket, a szerződéskötés során figyelembe kellett volna venni az előfizetők adatkezelési rendelkezéseit. (254/A/1998, 478/A/1998)
Az ügy tapasztalatai alapján az adatvédelmi biztos a Westel 900 Rt.-nél is kezdeményezte, hogy a hozzájárulási nyilatkozatukon szerepeltessék, kivel ellenőriztetik az ügyfelek adatait. A Westel 900 Rt. jogi osztálya az adatvédelmi biztos véleményét kérte arról, hogy jogszerű-e az ügyfélszolgálattal folytatott előfizetői hívások rögzítése. A társaság szerint későbbi jogviták elkerülése érdekében szükséges a rögzítés. Az ombudsman válaszában kifejtette, hogy az adatvédelmi követelményeknek olyan megoldás felel meg, amely biztosítja, hogy az előfizető ügyfél előzetes ismeretekkel rendelkezzen beszélgetése esetleges rögzítéséről, a megőrzés idejéről és felhasználásának – számára is biztosított – lehetőségéről. Lényeges, hogy az ügyfélnek lehetősége legyen egyértelműen kinyilvánítani hozzájárulását a beszélgetések rögzítéséhez, ehhez nem elegendő az automata hangbemondás útján történő előzetes tájékoztatás. (361/K/1998)
Az 1996-os ketchupos bomba ügyet (Az adatvédelmi biztos beszámolója 1995–1996., 76. oldal), követően az adatvédelmi biztos 1998-ban ismét szembesült az Internet széles körű használata nyomán felszínre kerülő adatvédelmi kérdésekkel. Az 1996-os ügy során a rendőrség az Internethez díj ellenében hozzáférést biztosító cégektől kért nyomozás keretében – ügyészi ellenjegyzéssel – az előfizetőkre vonatkozó adatokat. (394/K/1996) A hozzáférést biztosító cég a KHVM szerint távközlési szolgáltatónak minősül (a távközlési törvény nem ad iránymutatást erről), s mint ilyentől, a rendőrség a rendőrségi törvény rendelkezéseinek megfelelően (melyek értelmében a rendőrség nyomozó szervének vezetője kétévi, vagy annál súlyosabban büntetendő, szándékos bűncselekmény felderítése érdekében az ügyész előzetes jóváhagyásával az üggyel összefüggő adatok szolgáltatását igényelheti a szolgáltatást nyújtó távközlési szervezettől) adott esetben jogszerűen kérte adatok továbbítását. Ki kell emelni, hogy az adatvédelmi biztos egy 1996-os ajánlása szerint (“Szolgáltatást nyújtó távközlési szervezet rendőrség részére történő távközlési adatszolgáltatásával kapcsolatos ajánlás”, Az adatvédelmi biztos beszámolója 1995–1996, 152–155. oldal) távközlési szervezettől a rendőrség kizárólag e törvényhely alapján, az abban rögzített feltételek mellett – meghatározott súlyú bűncselekmény elkövetésének gyanúja esetén, előzetes ügyészi jóváhagyással – kérhet információt.
1998 novemberében az iNterNeTTo hálózati folyóirat főszerkesztője fordult az adatvédelmi biztoshoz. Egy futballpályán történt rongálás ügyében folytatott nyomozás keretében az illetékes rendőri szerv a http://internetto.tiszanet.hu/sport/foci.htm címen elérhető Focifórum egy hozzászólójának adatait kérte. A kérdéses fórumban megjelenő üzenetekhez a hozzászólónak nem szükséges előzetesen nevét és elérhetőségét megadnia: az üzenetek névtelenül illetve álnéven is küldhetők; a felhasználó szándékától eltérően, sőt, tudtán kívül azonban a szerveren, amelyen a szolgáltatás elérhető, a hozzászólás forrására utaló adatokat is ((számítógép-azonosítási kód), bizonyos esetekben a felhasználó neve is) rögzíthetnek. Ezen adatok alapján egyes esetekben a hozzászóló személye meghatározható: ezekben az esetekben a szerveren tárolt adatok az Avtv. 2. § 1. pontja szerint személyes adatnak minősülnek, s csak akkor kezelhetők, ha ahhoz az érintett hozzájárul, vagy azt törvény, illetve – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete előírja.
A “ketchupos bomba”-ügy és a Focifórum hozzászólója adatainak a nyomozóhatóság részére történő továbbítása ügyében lényeges különbség, hogy az előbbi esetben a rendőrség elérési szolgáltatótól kért adatot; az ilyen szolgáltatónak a távközlési törvény lehetőséget ad a szolgáltatás ellátásához szükséges mértékben az adatok kezelésére, s a fent ismertetett korlátok mellett a rendőrségi törvény is felhatalmazza a rendőri szerveket, hogy ezeket az adatokat megismerjék. Az iNterNeTTo azonban nem elérési szolgáltató (access provider), hanem tartalomszolgáltató (content provider); nem minősül távközlési szolgáltatónak. Mivel az adott fórum hozzászólóinak hozzájárulása szintén nem állt rendelkezésre, a tartalomszolgáltató a hozzászólók adatait jogszerűen nem kezelhette, s nem is továbbíthatta.
Értelmezési nehézség állhat elő az anonimitást biztosító e-mail-szolgáltatóknál igénybe vett címekkel kapcsolatban, amelyek használója nem feltétlenül azonosítható: ezen címek jogi megítélésével kapcsolatban is érkezett a biztoshoz beadvány 1998 végén. (883/A/1998)
A kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatokról szóló 1995. évi CXIX. tv. előírásai az elektronikus levélcímekre nem vonatkoznak; ez azt jelenti, hogy a magyar adatvédelmi jogi szabályozás szerint csak az Avtv. rendelkezéseinek a keretei között lehet direkt marketing tevékenység céljából az érintett e-mail-címét valamely listára felvenni, s számára ilyen üzeneteket küldeni: vagyis akkor, ha – a direkt marketing törvény alapján végzett adatkezelések esetétől eltérően – az érintett ehhez előzetesen hozzájárult (Avtv. 3. § (1) a)).
Egy másik Internet-felhasználó beadványában azt sérelmezte, hogy nem kapta meg az általa adatainak megadásával egy amerikai cég weblapján keresztül igényelt reklámanyagot, ugyanakkor adatait, melyeket igényléskor elektronikus úton bocsátott az amerikai cég rendelkezésére, e cég magyar partnercége kezeli. Mint a magyar partnercégnek a biztos megkeresésére adott válaszából kiderült, az valóban kezeli a kérdéses személyes adatokat. Mivel az amerikai cég által üzemeltetett weblapon az érdeklődőknek nincs módja arra, hogy e cég részéről a magyar partnernek történő adattovábbításhoz és a magyar cég által végzett adatkezeléshez hozzájáruljanak, az adatkezelés – az érintett hozzájárulásának hiányában – törvényellenes. A biztos felszólította a társaságot, hogy az érintettek adatkezeléshez való hozzájárulását haladéktalanul szerezze be, hozzájárulás hiányában pedig az adatokat semmisítse meg. A jövőre nézve javasolta, hogy az amerikai cég honlapján kezdeményezzék olyan tájékoztató szöveg elhelyezését, amely biztosítja, hogy csak azok a magyarországi érdeklődők adják meg adataikat, akik a cégüknek történő adattovábbításhoz és az adatok cégük általi kezeléséhez hozzájárultak. (577/A/1998)
1998-ban is számos panasz érkezett olyan polgároktól, akik hitelintézetek ügyfeleiként túlzottnak találták az egyes ügyletek során a másik fél által kezelni kívánt személyes adataik körét. Sajnos továbbra sem alakult ki a személyazonosság igazolásának egységes, a polgár számára választási lehetőséget biztosító módja. A bankok adatkezelési gyakorlatával kapcsolatos újdonság az is, hogy a központi hitelinformációs rendszer mellett megkezdték működésüket más (nem törvényben létrehozott, gazdasági társaságok által üzemeltetett) hitelinformációs rendszerek is, ám ezen rendszerek tevékenységét a központi rendszertől eltérően nem korlátozzák törvényi rendelkezések.
Az egyes ügyletek során kezelt adatkör kérdése azért merül fel igen gyakran, mert a kért adatokat és a polgár adatainak kezeléséhez való hozzájárulását ezekben az esetekben legtöbbször általános szerződési feltételek tartalmazzák. Az ilyen feltételek használatával kötött szerződéskötéseknél hiányzik az alkufolyamat: a feltételeket kidolgozó – általában gazdasági erőfölényben és sok esetben monopolhelyzetben lévő – fél sokszor nincs tekintettel a célhoz kötöttségnek az adatvédelmi törvényben foglalt követelményére.
Természetesen felmerül a kérdés, ki dönti el: mely adatok kezelése szükséges és elégséges az adott célhoz. Az adatvédelmi biztos a nyilvánvalóan cél nélküli adatkezelések esetén figyelmezteti az adatkezelőt, esetleg felhívhatja az arra jogosultakat, hogy a tisztességtelen feltételt a Ptk. 209. §-a alapján támadják meg. A sérelmek meg is előzhetők: az adott szektor önszabályozása és törvényi szabályozás egyaránt kifejtheti, mi is értendő az egyes esetekben “szükséges” adatkörön. Az egyes szektorok önszabályozó tevékenysége közelítené az adatvédelem hazai szabályrendszerét az Európában szokásoshoz: az Európai Parlament és a Tanács által kibocsátott, az egyénnek a személyes adatok feldolgozásával kapcsolatos védelméről és ezeknek az adatoknak a szabad áramlásáról szóló 95/46/EC sz. irányelv 27. cikkének 1. pontja szerint “a Tagállamok és a Bizottság bátorítja olyan etikai szabályzatok készítését, amelyek – figyelemmel a különböző ágazatok sajátos jellegére – elősegítik a jelen Irányelv értelmében hozott belső rendelkezések megfelelő alkalmazását”; az etikai szabályzatot az irányelv szerint a független adatvédelmi hatóság is véleményezheti. 1998 novemberében az adatvédelmi biztos javasolta a Magyar Bankszövetségnek szektorális adatvédelmi szabályzat kidolgozását. Amennyiben az önszabályozás nem hoz eredményt, az államnak szektorális adatvédelmi törvény megalkotásával kell szavatolnia a banki szférával kapcsolatba kerülő polgárok személyes adatokhoz fűződő alkotmányos jogának védelmét.
A kezelt adatkörrel, a személyazonosság igazolásával kapcsolatos esetek
Az OTP Bank Rt., a Kereskedelmi és Hitelbank Rt., a Postabank és
Takarékpénztár Rt. munkatársai a lakossági pénzügyek intézésekor (lakossági
bankszámla, devizaszámla, részvényjegyzés) az ügyfelek személyazonosító
igazolványát elkérik, és azt hosszabb-rövidebb ideig maguknál tartják.
A fenti probléma olyan esetekben merül fel, amikor az ügyfél azonosítását
igénylő ügylet készpénzkifizetéssel,
vagy
-befizetéssel jár. A kétügyintézős
rendszerben a személyi igazolványt az ügyféltől a pultos ügyintéző kéri
el, melyet a tranzakciós bizonylatokkal együtt átad a pénztárosnak. Az
okmányt az ügylet lebonyolítását követően a pénztáros adja vissza az ügyfélnek.
Az említett eljárás során az ügyfél
személyi igazolványa egy időre kikerül az ellenőrzése alól. A személyi
igazolvány átadására kötelezettséget jogszabály csak a hivatalos személyek
irányában állapít meg.
A bank a személyazonosság ellenőrzése
érdekében jogosult az ügyfelet a személyi igazolvány bemutatására felszólítani.
A biztos álláspontja szerint a bank akkor jár el jogszerűen, ha a személyi
igazolvány “visszatartásához” az ügyfél beleegyezését
kéri. Felhívta az említett bankok
figyelmét, hogy hozzájárulás hiányában lehetővé kell tenniük, hogy az ügyfél
a pultos ügyintézőtől kívánságának megfelelően visszakaphassa személyi
igazolványát, melyet a későbbiekben a pénztárosnak ismételten bemutat.
A hitelintézetek vezérigazgatói az ajánlással egyetértettek, és ígéretet
tettek, hogy az adatvédelmi követelményeket is kielégítő ügyvitelt alakítanak
ki. (848/A/1997)
A személyazonosság igazolásának módját kifogásolta az a panaszos is, aki arra hívta fel a biztos figyelmét, hogy – mint reklámanyagaiból kiderül – egy lakossági bank “kéri” ügyfeleit, hogy a kölcsönigényléshez hozzák magukkal személyi igazolványukat és valamely más, személyazonosság megállapítására alkalmas okiratot, illetve a legutolsó havi, kiegyenlített közüzemi számlát. Az adatvédelmi biztos álláspontja szerint önmagában nem kifogásolható, hogy egyes cégek ügyfeleik személyazonosságának igazolására a viszonylag egyszerűen hamisítható személyi igazolvány mellett más okiratokat is kérnek, ám az általa javasolt, s egyes távközlési szolgáltatóknál alkalmazott gyakorlat szerint az ügyfélnek fel kell ajánlani, hogy amennyiben személyi igazolványán kívül más okiratot nem kíván bemutatni, akkor a cég a személyi adatokat a Központi Nyilvántartó és Választási Hivatal nyilvántartása segítségével ellenőrzi. A bank vezetése ígéretet tett arra, hogy a jövőben biztosítani fogja az ügyfélnek a választási lehetőséget a személyazonosság igazolásának módját illetően. (330/A/1998)
A biztos vizsgálta a Dunaholding Brókerház Kft. által rendszeresített “Ügyfél azonosítási adatlap”-ot is. Az adatlapon szerepel többek között a magánszemély adóazonosító száma, taj-száma, útlevélszáma, személyi igazolványszáma, más hitelintézetnél vezetett bankszámlájának száma, egyéb befektetései, családi állapota, munkáltatója, foglalkozása, éves nettó jövedelme, eltartottai száma, ingó és ingatlan vagyona, biztosításai, önkéntes kölcsönös biztosító pénztári tagsága. Az ügyfél személyes adatain kívül az adatlap a házastárs, élettárs nevére, születési idejére, foglalkozására és munkahelyére is rákérdez. A szerződés megkötésekor a társaság az ügyfél személyi igazolványáról, az adóazonosító jelről kiállított hatósági igazolványáról és tb-kártyájáról fénymásolatot készít, melyet csatol az ügyfélről vezetett nyilvántartáshoz. A fenti adatkezelés több szempontból is kifogásolható.
Az információs önrendelkezés elve sérül abban az esetben, ha a házastárs, élettárs személyes adatairól az ügyfél tesz nyilatkozatot. Az ügyfél anyagi környezetének, egzisztenciális hátterének áttekintéséhez valóban hozzátartozhat a házastárs, élettárs foglalkozásának, munkahelyének megismerése is, azonban – tekintettel a fenti alkotmányos alapjogra – a jogszerű megoldás az lenne, ha az említett személyek erről külön nyilatkoznának, vagy az ügyfél-azonosítási adatlap aláírásával hozzájárulnának adataik felvételéhez. A biztos álláspontja szerint az adatlap számos olyan személyes adatot tartalmaz, mely az ügyletkötés, valamint az ügyfél kockázatviselő képessége szempontjából lényeges információval nem szolgál: például családi állapot, biztosítások, önkéntes kölcsönös biztosító-pénztári tagság, taj-szám.
A dokumentumok fénymásolása sem indokolt. A fénymásolat készítése a brókerház vezérigazgatója szerint “az adatfelvétel hitelességét hivatott alátámasztani”. Az így készült másolatok azonban nem rendelkeznek bizonyító erővel, hiszen nem hitelesített másolatokról van szó. Magánszemély ügyfelek személyi igazolványáról és más okmányairól csak abban az esetben készíthetnek fénymásolatot, ha ahhoz az érintett hozzájárult. Az ügyfél a személyi igazolványán túl a személyazonosságának igazolására egyéb okmányok bemutatására nem kötelezhető, hiszen a személyi igazolvány a személyazonosság hitelt érdemlő igazolására önmagában alkalmas.
Hitelinformációs rendszerek
A hitelintézetekről és pénzügyi vállalkozásokról szóló 1996. évi CXII. tv. (Hpt.) az 1997. évi CLVIII. tv. által megállapított illetve beiktatott, és 1998. január 1-jén hatályba lépett, a Hpt. 54. § (1) bek. c) pontjában, ill. az 54. § (2)-(7) bekezdéseiben foglalt új rendelkezései szerint lehetőség nyílt arra, hogy a pénzügyi intézmények és a befektetési társaságok az “általuk működtetett központi hitelinformációs rendszernek” [54. § (1) bek. c)] meghatározott adatokat adjanak át a természetes személy hiteladósokról, amennyiben ezek szerződésben vállalt kötelezettségeiknek kilencven napot meghaladóan, összegszerűségében pedig a minimálbért meghaladóan nem tesznek eleget [54. § (3) bek.]
A törvény által szabályozott “központi hitelinformációs rendszer” üzemeltetője a Bankközi Informatika Szolgáltató Rt., a rendszer elnevezése Bankközi Adós- és Hitelinformációs Rendszer (BAR). A BISZ Rt. mellett a múlt év folyamán egy másik társaság is megkezdte a felkészülést hitelinformációs szolgáltatás nyújtására.
Az ügyben az adatvédelmi biztos megkereste az Állami Pénz- és Tőkepiaci Felügyeletet. Az ÁPTF elnökének a biztos megkeresésére válaszul adott tájékoztatása szerint a felügyelet álláspontja az, hogy “csupán egy központi hitelinformációs rendszer működhet állami elismeréssel, de annak nincs akadálya, hogy a hitelintézetek hitelezési kockázatuk csökkentése érdekében üzleti alapon más hitelinformációs rendszert is kiépíthessenek”.
A felügyelet által
“üzleti
alapon működtetett hitelinformációs rendszer”-ként
emlegetett nyilvántartások üzemeltetői, mivel az általuk kiépítendő hitelinformációs
rendszerek nem minősülhetnek a Hpt. szerint központi hitelinformációs rendszernek,
nem működtethetik e rendszert a Hpt. 54. §-a alapján. Valószínűsíthető,
hogy ezen rendszerek üzemeltetői a Hpt. 51. § (1) bekezdése alapján kívánják
igazolni az adatszolgáltatók
és a rendszer közötti adatszolgáltatást; e törvényhely szerint banktitok
kiadható harmadik személynek, ha a pénzügyi intézmény ügyfele, annak törvényes
képviselője a rá vonatkozó kiszolgáltatható banktitokkört pontosan megjelölve
közokiratba vagy teljes bizonyító erejű magánokiratba foglaltan kéri, vagy
erre felhatalmazást ad.
A felhatalmazás
várhatóan a rendszerhez adatszolgáltatóként csatlakozó hitelintézetek és
pénzügyi vállalkozások által hitel- és hitel jellegű szerződések kötésekor
használt általános szerződési feltételek között szerepel majd. Az adattovábbítás
jogalapja valószínűsíthetően a feltételeket elfogadó ügyfél hozzájárulása
lesz.
A központi hitelinformációs rendszer hiteladat-szolgáltatóitól eltérően a többi rendszerhez kapcsolódó adatszolgáltatókat nem kötik a Hpt. 54. §. (3) bekezdésének rendelkezései, amelyek a polgárok személyes adatokhoz fűződő alkotmányos jogát érintő korlátozás arányosságát biztosítják azzal, hogy csak meghatározott súlyú szerződésszegés esetén teszik lehetővé a hiteladat-szolgáltató számára, hogy a természetes személy hiteladós adatait a rendszer számára továbbítsa. Az e rendszerekhez csatlakozó társaságok az általuk használt általános szerződési feltételekben az adattovábbítás feltételeit szabadon határozhatják meg. Az új hitelinformációs rendszerek létrejöttével a 54. § által meghatározott korlátok funkciójukat vesztették (hatásuk annyi, hogy a központi hitelinformációs rendszer versenyhátrányba kerül általuk), s adatvédelmi szempontból igen veszélyes helyzet állt elő.
Az adatvédelmi biztos
mindezek alapján javasolta a pénzügyminiszternek a Hpt. olyan módosítását,
amely a törvény 54. § (3) bekezdésében foglalt korlátozásokat valamennyi
hitelinformációs rendszerre kiterjeszti. A miniszter válaszában arról tájékoztatta
a biztost, hogy a Hpt. 1999-ben esedékes módosításakor várható a kérdés
rendezése.
A miniszter szerint
a kérdést újra kell gondolni, “egy olyan hitelinformációs rendszer működtetése,
amelybe csak a nem teljesítő adósok kerülnek, hitelképességük csökkenése
miatt a benne szereplőkre csak negatív következményeket hordoz [...] egy
olyan nyilvántartási rendszer azonban, amely azt is nyilvántartja, aki
pontosan teljesíti kötelezettségeit, pozitívan befolyásolja a hitelkérő
hitelképességét”. A PM tehát az eddigi adósnyilvántartás helyett valódi
hitelinformációs rendszerré akarja alakítani a központi rendszert. Vitára
érdemes a kérdés, hogy nem jelentene-e túl nagy árat a hitelképesség növekedéséért
cserébe a magánszféra újabb korlátozása: az adatvédelmi biztos a külföldi
modellek tapasztalatai alapján mindent megtesz majd azért, hogy a rendszer
átalakítása ne eredményezzen a jelenleginél kedvezőtlenebb helyzetet. Az
“üzleti
alapon működő” hitelinformációs rendszerek a törvénymódosításig továbbra
is korlátok nélkül működhetnek: sajnálatos, hogy tényleges működésük megkezdése
előtt – a biztos javaslata ellenére – nem született törvényi szabályozás.
Az Adatvédelmi Biztos Irodájához a közelmúltban számos panasz érkezett a biztosítótársaságok adatkezelésével összefüggésben. A biztosítók és ügyfeleik kapcsolatának igen érzékeny területe az egészségügyi adatok felvétele és továbbítása. Az adatvédelmi törvény és a vonatkozó egészségügyi jogszabályok is többletgaranciákhoz kötik az egészségi állapotra vonatkozó, szenzitív információk felhasználását. Ilyen jellegű adatvédelmi problémák jellemzően a baleset- és életbiztosítási szerződések megkötésekor merültek fel.
Az Avtv. alapján az adatkezelés jogszerűségének feltétele az adatalany informált beleegyezése. Az állampolgárnak tudnia kell, hogy pontosan mely adatait, milyen célból és kinek adják át. A biztosítási szerződés fent említett pontja ezen követelménynek nem felel meg, és az is kétséges, hogy az adatfelvétel módja tisztességes-e. Általános szerződési feltétel – melyet az egyik fél több szerződés megkötése céljából egyoldalúan, előre meghatároz, és amelynek meghatározásában a másik fél nem működhetett közre – a feleknek a szerződésből eredő jogosultságait és kötelezettségeit egyoldalúan és indokolatlanul az egyik fél hátrányára nem állapíthatja meg (Ptk. 209. §). A biztos álláspontja szerint ez a szabály az állampolgárok információs jogainak védelmét is magába foglalja.
Az egészségügyi adatok kezeléséről és védelméről szóló törvény az adatkezelőt az orvosi titkok megtartására kötelezi. Az adatkezelő abban az esetben mentesül a titoktartási kötelezettség alól, ha az egészségügyi és személyazonosító adat továbbításához az érintett, illetve törvényes képviselője írásban hozzájárult, az abban foglalt korlátozásokon belül. Az Alkotmányban biztosított információs önrendelkezési joggal ellentétben áll a fent említett szerződési feltétel, hiszen azt általános felhatalmazás formájában a másik fél egyoldalúan határozta meg. A szerződő fél szerződési nyilatkozatában az adatkezeléssel összefüggésben korlátozó feltételeket nem köthetett ki. Vagy elfogadta a biztosító által kínált megoldást, vagy elállt szerződéskötési szándékától.
A célhoz kötöttség elvével is ellentétes a fenti nyilatkozat, hiszen az adatkezelés így olyan személyes és különleges adatokra is kiterjedhet, melyek a szerződésben meghatározott biztosítási eseménnyel nem függnek össze. Az adatvédelmi biztos konzultációs céllal megkereste az Állami Biztosításfelügyeletet és a Magyar Biztosítók Szövetségét, a vizsgálat folyamatban van. (242/A/1998.)
Ugyancsak az életbiztosítási ágazattal kapcsolatban kereste meg a biztost egy egészségügyi gyakorlatot folytató magánintézmény, mely szerződéses viszonyban áll több hazai biztosító társasággal. A klinika vállalta, hogy a biztosítóval életbiztosítási szerződést kötni szándékozó ügyfelek előzetesen szakorvosi vizsgálatát elvégzi. A biztosítók az intézmény vezetőjének elmondása szerint abból a megfontolásból, hogy az egészségügyi vizsgálatok elvégzését ők finanszírozzák, arra szerették volna kötelezni a klinikát, hogy a vizsgálatok adatait ne adja ki az orvosi vizsgálatok alanyainak. A biztos tájékoztatta a klinika vezetőjét: mivel tevékenységük az ügyfelek egészségi állapotának megállapítására irányul, a tág értelemben vett gyógykezelés fogalomkörébe tartozik, így vonatkoznak rá az egészségügyi adatok kezelésének szabályai. Mind az Avtv., mind az ágazati szabályozást nyújtó törvény biztosítja az érintettek számára egészségügyi adataik megismeréséhez fűződő jogukat. Az adatvédelmi biztos álláspontja szerint irreleváns, hogy a vizsgálatokat a biztosító vagy maga az ügyfél finanszírozta-e. (255/K/1998)
A vagyonbiztosítás körében hasonló problémával találkozott egy másik állampolgár. A beadványozó hozzáférési jogával kívánt élni, amikor a biztosítótól kérte, hogy betekinthessen a részletes kármegállapítási jegyzőkönyvbe. A biztosítóintézetekről és a biztosítási tevékenységről szóló 1995. évi XCVI. törvény értelmében a biztosító köteles a biztosított (szerződő, kedvezményezett) kérésére a biztosító által vezetett nyilvántartásokban tárolt saját adatairól tájékoztatást adni. Az adatvédelmi törvény alapján a tájékoztatást az adatkezelő csak akkor tagadhatja meg, ha azt számára törvény előírja. Az adatkezelő ilyen esetben köteles az érintettel a felvilágosítás megtagadásának indokát pontosan közölni, megjelölve az adatalany jogait korlátozó jogszabályt. “A jogi állásfoglalásunk szerint tételes kármegállapítási tájékoztatást nem vagyunk kötelesek adni” formula a fenti követelménynek természetesen nem tesz eleget. (706/A/1998)
A sajtóban is nagy visszhangja volt annak az ügynek, melyben egy ismert hazai biztosítótársaság üzletkötőinek adatkezelési gyakorlatát vizsgálta az adatvédelmi biztos. A vizsgálat középpontjában “a biztosítás szerzőjének nyilatkozata” elnevezésű űrlap állt, melyet az ügyfelek tudta nélkül, az ajánlat mellékleteként kellett az üzletkötőknek kitölteniük és leadniuk. A vizsgálat eredményeként megállapította, hogy az olyan adatfelvétel, amely az ügyfél tudta nélkül folyik, ellentétes az adatvédelmi törvény rendelkezéseivel. A biztos felhívta a társaság vezetésének figyelmét, hogy a jövőben tevékenységük során fordítsanak fokozott figyelmet az adatvédelmi rendelkezések tiszteletben tartására. Válaszában a biztosító igazgatója azt a tájékoztatást adta, hogy a kifogásolt űrlapokat az életbiztosítási iratanyagokból kigyűjtötték és megsemmisítették. A megsemmisítéskor készített jegyzőkönyv másolatát megküldve az igazgató levelében ígéretet tett, hogy a jövőben az adatvédelmi rendelkezéseknek is megfelelő kockázatelbírálási nyomtatványokat fognak használni. (846/A/1997)
Az adatvédelmi nyilvántartásba történő bejelentkezés alkalmával egy betéti társaság, mely megbízási szerződést kötött egy ismert hazai biztosítótársasággal, a következő adatkezelést jelentette be: újszülöttek családi és utónevét, születési helyét, lakóhelyét és a szülők családi és utónevét veszi át közvetlen üzletszerzés céljából a Központi Nyilvántartó és Választási Hivataltól, majd azokat a lekérést követően két hónapon belül továbbítja a biztosítótársaságnak. A bejelentés jogszerűségét megvizsgálva az adatvédelmi biztos megállapította, hogy a direkt marketing törvény és a nyilvántartási törvény rendelkezései alapján üzletszerzési listákat nem, születési hely és idő, lakcím és családi állapot szerint lehet igényelni, tehát az újszülöttek név- és lakcímadatait át lehet venni, más adatokat (például a szülők adatait) nem. Bár a bt. az adott ügyben megbízottként járt el, azonban az adatkezelés szempontjából nem megbízott adatfeldolgozónak, hanem önálló adatkezelőnek minősül. E tényre tekintettel a biztos felhívta a cég ügyvédjének figyelmét, hogy a cégnek tájékoztatnia kell az érintetteket, mielőtt adataikat továbbítja a biztosítónak, s az adattovábbításra csak abban az esetben kerülhet sor, ha azt az állampolgárok nem kifogásolják. (286/H/1998)
A biztosítóintézetekről és a biztosítási tevékenységről szóló törvény alapján biztosítási titok harmadik személynek csak abban az esetben adható ki, ha a biztosító ügyfele vagy annak törvényes képviselője a kiszolgáltatható biztosítási titokkört pontosan megjelölve, erre vonatkozóan írásban felmentést ad. Az adott ügyben a társasházközösség tulajdonosai, illetve lakói nyilatkozatukban egyrészt megjelölték a biztosítótársaságukat, másrészt hozzájárultak a kártérítés összegének a társasház számlájára történő átutalásához, és egyúttal lemondtak a kártérítés összegének a tulajdoni hányadukra eső részéről. A vizsgálat során a biztos megállapította, hogy az említett nyilatkozatok nem adnak a biztosító társaságok részére a titoktartási kötelezettség alól egyértelmű felmentést a biztosítási titokkörök egyikére sem. (599/A/1998)
Az adatvédelmi biztos 1998 márciusában több kérdésről megbeszélést folytatott a Magyar Biztosítók Szövetségének (MABISZ) főtitkárával. Az első kérdés arra irányult, hogy mely esetekben juthat jogszerűen a rendőrség a totálkárossá minősített gépjárművek adataihoz. Az Avtv. szerint a gépjármű rendszáma – magánszemély tulajdonos esetén – személyes adatnak minősül, így az törvényi felhatalmazás alapján, vagy a tulajdonos beleegyezésével továbbítható. A tulajdonos a jármű üzemeltetésének végleges megszűnését maga is jelentheti. Az 58/1991. (IV. 13.) Korm. rendelet alapján a biztosítótársaságok rendszeresen adatot szolgáltatnak a megkötött, illetve érvényességét vesztett biztosítási szerződésekről a Belügyminisztérium központi gépjármű-nyilvántartó szervének, mely értesíti erről az illetékes rendőrhatóságot. További megoldásként jöhet szóba, hogy a biztosító megszerzi az érintett hozzájárulását ahhoz: járműve totálkárossá válásáról közvetlenül tájékoztassa a rendőrséget. (482/K/1998)
A találkozón szó volt a közlekedési balesetek ügyintézéséről és a rendőrség helytelen adattovábbítási gyakorlatáról is. Ezt részletesebben a Rendőrségi adatkezelés című fejezetben tárgyaljuk. A találkozón a felek egyetértettek abban, hogy az ügy végleges rendezéséhez törvényi szabályozás szükséges, melynek előkészítése egy-két hónap alatt elvégezhető. A biztos álláspontja szerint a törvény-előkészítésben a biztosítótársaságok és a MABISZ érdemi segítséget tudnának nyújtani.
Szóba került a MABISZ által létrehozni kívánt Biztosításügyi Regiszter (BÜR) is. A BÜR-ben kezelt adatok a természetes személyazonosító adatok, az ügynöki vizsga letételének időpontja, az ügynöki gyakorlat tartama, valamint az ügynök esetleges tartozásai. A koncepciót, mely az önkéntes adatszolgáltatásra épít, az adatvédelmi biztos egy ponton kifogásolta. Az ügynök tartozásainak nyilvántartása a tervezet szerint külön írásbeli hozzájárulás alapján kerülhet be a rendszerbe, azonban arról nem tesz említést a javaslat, hogy ezeket az adatokat meddig kívánják őrizni, és ki gondoskodik azok törléséről, miután a tartozás megszűnt. A biztos felhívta a MABISZ főtitkárának figyelmét e hiányosság megszüntetésére.
A sok állampolgár adatait kezelő direkt marketing cégek alkotta szakma egyre inkább kétpólusúvá válik. Egyik oldalon állnak a jogszerű működés alapeszméjét magukénak valló, az ügyfeleikkel való korrekt bánásmódra törekvő vállalkozások, melyek saját adatkezelésükben tisztességes eljárásra törekednek. Ezek sokszor olyan – hagyományokkal, üzleti kultúrával rendelkező – nyugati cégek magyarországi képviselői, melyek már itthon is létrehozták tagjaikat tömörítő szervezeteiket. (Magyar Áruküldők Egyesülete, Direkt Marketing Egyesület)
A másik tábort viszont az olyan csomagküldő, “közvélemény-kutatással” foglalkozó, listabrókeri tevékenységet folytató, valamint álnyereményjátékokat szervező cégek alkotják, melyek tevékenysége a jogszabályokat is sérti. A hozzánk érkező állampolgári beadványok is javarészt ezeket a társaságokat panaszolják be, noha sokan magát a DM tevékenységet támadják, és számos beadványt kapunk az általában magasabb jogi-erkölcsi színvonalat hirdető cégekkel szemben is. Követhetetlen adatmozgás, megbízásokon alapuló adatátadások, hiányos, nem megfelelő tájékoztatások jellemzik azt a kört, melyből a megalapozott panaszok kikerülnek.
Elsősorban az utóbbi kategóriába tartozó cégekkel kapcsolatban szerzett rossz tapasztalatok miatt a lakosság egy része előítélettel viseltetik az áruküldő vagy direkt marketing tevékenységet folytatókkal szemben. Ugyanakkor a megbízható cégek ügyfélköre valószínűleg már felismerte a kínált szolgáltatások előnyeit. Magyarországon a piac önszabályozó tevékenysége még nem elég erős ahhoz, hogy kiszorítsa a meg nem engedett eszközöket alkalmazókat, ezért hazánkban viszonylag szigorúbb törvényi rendezésre van szükség.
Az 1998-ban vizsgált ügyek nagy többségére továbbra is azok a panaszok jellemzőek, melyekben a beadványozók jogszerűtlennek ítélik vagy vélik adataik megszerzését. Olyan esetekben, mikor a vizsgálat jogsértést nem állapított meg, a panaszosok arról kaptak tájékoztatást, hogy adataik milyen lehetséges módokon kerülhettek a kérdéses adatbázisba, valamint arról, hogy a jövőben milyen eszközökkel élhetnek a nem kívánt küldemények elhárítására, hogyan élhetnek letiltási jogukkal. (22/A/1998, 58/A/1998, 621/A/1998)
1998-ban előfordult két olyan ügy, melyben a direkt marketing törvény hatálya alá tartozó cégek olyan kéréssel fordulnak hozzánk, hogy tervezett tájékoztató szövegüket véleményezzük, vagy egyéb előzetes állásfoglalást adjunk a jogszerű és etikus gyakorlat kialakítása érdekében. Ezek természetesen üdvözlendő kezdeményezések, azonban az adatvédelmi biztos – közjogi helyzetére és törvényben meghatározott feladatkörére tekintettel – nem vállalkozhat arra, hogy szakvéleményekkel segítse a gazdasági élet szereplőit, s konkrét állásfoglalást adjon adatkezelési kérdésekben. Különösen nem vállalkozhat erre abban az esetben, ha ezzel – közvetve vagy közvetlenül – versenyelőnyhöz juttatná a hasonló feladatra vállalkozó versenytársak valamelyikét. Tekintettel arra, hogy az adatvédelmi biztos elsősorban panaszokat vizsgál, nem legitimálhatja előzetesen egy adatkezelés elemeit, hiszen álláspontját a konkrét panasz ismeretében kell kialakítania. Ilyen jellegű ügyekben a megengedett mértékig együttműködve a jövőben is olyan iránymutatást tud adni a konzultációkéréssel hozzá fordulóknak, mely úton elindulva az adott cég kialakíthatja a törvényeknek megfelelő gyakorlatot.
A polgárok adatainak direkt marketing célokra történő felhasználását rendező hatályos törvényi szabályozásban tapasztalhatók bizonyos problémák. Alkotmányos jogaink védelme szempontjából sokkal megnyugtatóbb lenne, ha adatainkat csak beleegyezésünkkel lehetne kereskedelmi célokra felhasználni. A direkt marketing törvény azonban megengedi a kereskedőknek és a reklámcégeknek, hogy beleegyezés nélkül is használjanak címlistákat, ha felkínálják az érintetteknek a tiltakozás jogát. Ugyanakkor ezt a lehetőséget más demokratikus országokban is elérték a kereskedők, s e gyakorlat – a törvényes garanciák betartásával – nincs ellentétben az Európai Unió adatvédelmi normáival sem. A letiltási jog szabályozása is igényelne bizonyos korrekciókat. Az állampolgár a KÖNYV hivatalnál csak egy általános letiltást jelenthet be, amelyben mindenféle további küldeménytől elzárkózik, és nincs lehetőség arra, hogy bizonyos, őt érdeklő kérdéskörökben a direkt marketing cégek elérhessék.
Az adatvédelmi biztosi intézmény megalakulása óta folyamatosan ügyfélnek számítanak a sajtó képviselői. Bár a sajtó – legyen szó akár az írott, akár az elektronikus sajtóról – nem tartozik a nagy adatkezelők közé, mégis kiemelt figyelmet fordítunk azokra az ügyekre, melyekben a sajtó mint adatkezelő szerepel. Ennek oka az, hogy a sajtótermékek a legszélesebb körű nyilvánosság számára hozzáférhetőek, így a személyes és egyéb adatok sajtóban való megjelentetése esetén azok valóban bárki számára hozzáférhetővé válnak, esetleg súlyosan megsértve az adatvédelmi törvény előírásait, az érintettek jogait, jogos érdekeit.
A sajtóval kapcsolatos ügyek stabil hányadot foglalnak el az ügyek összességét tekintve. 1998-ban 24 írott sajtót, 7 közszolgálati médiát, 4 kereskedelmi, vagy nonprofit elektronikus médiát érintő ügyben járt el az adatvédelmi biztos. Ez az összes ügy mintegy 3%-a. A sajtó képviselői általában tisztában vannak azzal, hogy tevékenységük adatvédelmi szempontból igen érzékeny. Általában figyelembe veszik az adatvédelem követelményeit; és örvendetes az is, hogy számos esetben ők keresik meg az adatvédelmi biztost, állásfoglalást kérve tőle. Az ügyek tartalmi megoszlását tekintve megfigyelhető, hogy a beadványtevők továbbra is elsősorban a nevek, címek és egyéb személyes – esetenként különleges – adatok sajtó általi nyilvánosságra hozatalát kifogásolják. E tekintetben két megjegyzést érdemes tenni:
Tipikus ütközési pontja a személyes adatok védelme és a közérdekű adatok nyilvánossága alkotmányos elvének a levéltári kutatás.
A kutatással kapcsolatos indítványokat két csoportra lehet osztani. Az első és adatvédelmi szempontból minden esetben összetettebb feladat a tudományos kutatás, amikor a kutató a közelmúlt történetét kutatva a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvényben (Ltv.) meghatározott védelmi idő előtt kíván az irathoz hozzáférni. Különbséget kell tenni ebben az esetben is a közszereplő, a politikus és az “átlag” polgár személyes adatai között.
Szintén az 56-os Intézet kutatója fordult indítvánnyal a biztoshoz, melyben egy 1960-ban lefolytatott politikai per anyagát kívánta – az azóta már elhunyt – egykori elítélt felhatalmazása alapján megismerni. Kérelmét – melyet még a Történeti Hivatal felállítása előtt nyújtott be – a Belügyminisztérium a polgári nemzetbiztonsági szolgálatokat felügyelő tárca nélküli miniszter kabinetfőnökének állásfoglalása alapján – államtitokra, valamint arra hivatkozva, hogy az mintegy 50 magyar állampolgár személyes adatait tartalmazza – elutasította.
Az ügyben a biztos megkereste a polgári nemzetbiztonsági szolgálatokat felügyelő tárca nélküli minisztert, aki utasította a Nemzetbiztonsági Hivatalt (NbH) az anyag titkosításának felülvizsgálatára. Ennek alapján az NbH a kérdéses irategyüttesből kiválogatta azokat az iratokat, melyeknek önmagában történő megismerése nem sérti az államtitok védelméhez fűződő érdeket. Az NbH ezekbe az iratokba engedélyezte a kutatónak a betekintést, aki azonban korábbi kutatási kérelme alapján az iratokat már ismerte, így lényegi előrelépés kutatásaiban nem történt. (396/A/1998)
Az Ellenzéki Kerekasztal tárgyalásain készült felvételek nyilvánosságával kapcsolatos 1997. évi adatvédelmi biztosi ajánlásra hivatkozva a Magyar Országos Levéltár (MOL) ellen fordult panasszal egy másik kutató. Beadványában kifogásolta, hogy a Nemzeti Kerekasztal (Háromoldalú Politikai Egyeztető Tárgyalások) tárgyalásai anyagának kutatását a MOL főigazgatója az Ltv. alapján a kutatási kuratórium engedélyéhez kötötte.
A biztos felhívta a MOL főigazgatójának figyelmét arra, hogy a Politikai Egyeztető Tárgyalásokról nem lehet azt állítani, hogy magánemberek összejövetele lett volna, hiszen az a demokratikus átmenet egyik legfontosabb tárgyalássorozata volt. Ezért tehát az átalakulásnak ebben a fázisában már nem hivatkozhatnak a tárgyaláson részt vevők arra, hogy magánvéleményüket adták elő. A Nemzeti Kerekasztalnak ugyanúgy nem volt közjogi státusa, ahogy az EKA-nak sem; különböző szinten, de a hiányzó közjog restituálása volt mindkettő feladata. Az Ltv. értelmében nem vonatkoznak a védelmi határidők azokra a levéltárban elhelyezett iratokra, melyek közérdekű mivoltuk miatt levéltárba kerülésük előtt is bárki számára megismerhetők voltak. Az ügy vizsgálata folyamatban van. (715/A/1998)
Az Ltv. 24/A §-ának rendelkezése szerint a személyes adatok azonos védelmét biztosító ország kutatója számára tudományos célból, a védelmi idő lejárta előtt is engedélyezhető a személyes adatot tartalmazó levéltári anyag kutatása, feltéve, hogy a 22. § (1) bekezdésében meghatározott 30, illetőleg 15 év már eltelt. A kutatás akkor engedélyezhető, ha a személyes adatok azonos védelmét az adott országot illetően az igazságügy-miniszter az adatvédelmi biztossal egyetértésben megállapítja. Ennek érdekében az igazságügy-miniszterrel közös tájékoztatóban kívánják közzétenni az azonos védelem megállapításának általános feltételeit. (732/K/1998)
A társadalmi szervezetek tekintetében változatlanul érvényesülnek az 1997. évi beszámolóban említett tendenciák. A különböző közérdekű célok megvalósítása érdekében tevékenykedő, nonprofit szervezetek ügyeinkben továbbra is jellemzően indítványozóként és nem bepanaszolt adatkezelőként jelennek meg. Ismételten szükséges azonban felhívni a figyelmet arra, hogy semmilyen össztársadalmi érdekű célkitűzés nem szolgálhat alapul az érintettek magánszférájába történő túlzott mértékű beavatkozásra, erre az érintett személyek vélt érdekeinek képviseletében sincs lehetőség.
A törvényalkotó a korábbiakban tett többszöri felhívások ellenére továbbra sem orvosolta azt a visszás jogszabályi megoldást, amelynek alapján a szociális és karitatív célú szervezetek feladataik teljesítése során indokolatlanul hátrányosabb helyzetbe kerülnek, mint a profitorientált direktmarketing tevékenységet folytató vállalkozások. Bár léteznek olyan lehetőségek (például nyilvános felhívás, újsághirdetés), amelyek alkalmazásával a társadalmi szervezetek megszerezhetik a kívánt adatokat, azonban mindenképpen szükséges e kérdés mielőbbi törvényi rendezése.
A fentiek mellett újabb jelenségként
említhető, hogy egyre szaporodik azoknak a beadványoknak a száma, amelyek
valamely párt adatkezelési gyakorlatával kapcsolatos kérdéseket érintenek.
Egyesületek, alapítványok
1998-ban az egyesületekkel kapcsolatban a közfigyelmet leginkább felkeltő ügy a Társaság a Szabadságjogokért emberi jogi jogvédő szervezet beadványára indított vizsgálat, közkeletű nevén a “dávodi ügy” volt. (A helyszíni vizsgálat egyéb tapasztalatairól a Krízis-intervenció alfejezetben számolunk be.) Az ügy irataiból megállapíthatóan a Dávodon élő 13 éves P. K. nem kívánt terhessége megszakítását kérte édesanyja egyetértésével. A terhességről tudomást szerzett az Alfa Magzat- Csecsemő, Gyermek- és Családvédelmi Szövetség (a továbbiakban: Alfa Szövetség). A terhességmegszakítás megakadályozása céljából dr. Téglássy Imre, az Alfa Szövetség főtitkára a születendő magzat javára százezer forintot helyezett letétbe, amely összeg a magzatot csak élveszületés esetén illette volna meg. Ezután az Alfa Szövetség a méhmagzat és az anya közötti érdekellentétre való hivatkozással méhmagzati gondnok kirendelését kérte Baja Város Polgármesteri Hivatal Gyámhivatalától. Ezt követően a gyámhatóság által kirendelt gondnok keresetlevelet terjesztett a Bajai Városi Bíróság elé, melyben az anya és törvényes képviselője által a terhesség megszakítása érdekében tett jognyilatkozatok megsemmisítését kérte. A kereseti kérelemnek helyt adó elsőfokú bírósági ítélet ellen P. K. és édesanyja ügyvédjük útján fellebbezést jelentettek be. Mivel a korábbi – és változatlanul hatályban lévő – határozat alapján a terhesség-megszakításra időközben sor került, ezért a Bács-Kiskun Megyei Bíróság másodfokú döntésével az elsőfokú bíróság ítéletét hatályon kívül helyezte, és az eljárást megszüntette.
Az indítványozók, valamint az adatvédelmi biztos megkeresésére P. K. törvényes képviselője is azt kérte, hogy az adatvédelmi biztos vizsgálja meg: az Alfa Szövetség visszaélt-e a kislány személyes adataival, jogszerűen kerültek-e a birtokába az adatok, kit és milyen felelősség terhel az esetleges törvénysértésért. Javaslat érkezett büntetőeljárás kezdeményezésére is.
Az adatvédelmi biztos a vizsgálatot követően kibocsátott ajánlásában megállapította, hogy az adatvédelmi törvény alapján a szociális és karitatív tevékenységet folytató társadalmi szervezeteknek is be kell szerezniük az érintettek hozzájárulását az adattovábbításhoz, a törvényben el nem ismert érdekekre hivatkozással ezen szervezetek sem sérthetik magánszemélyek személyes adatainak védelméhez fűződő jogát, valamint egyéb személyiségi jogait. Az adatvédelmi biztos ajánlásában kifejtette, hogy a szociális és karitatív célú szervezeteknek az érintettek lehető legnagyobb kíméletével kell eljárniuk, példát kell adniuk a személyes méltóság tiszteletéből. Működésük alapeszméjével ellentétes, ha a szervezet az érintettekkel való együttműködés, valamint azok beleegyezése nélkül kezdeményez peres eljárást. Az adatvédelmi biztos ajánlása szerint az ügyben indult büntetőeljárásnak ki kell terjednie a Btk. 177/A. §-ában foglalt jogosulatlan adatkezelés és a Btk. 177/B.§ szerinti különleges személyes adatokkal visszaélés bűncselekmények elkövetésének vizsgálatára, a gyanúsítható személyek felelősségének tisztázására is. Felhívta egyben az Országgyűlést, hogy alkosson törvényt a társadalmi szervezetek karitatív célú adatkezeléséről, különös tekintettel a kiemelt védelmet élvező különleges személyes adatokra. (231/A/1998)
Az ügy utóéletéről érdemes megemlíteni, hogy az ajánlás kibocsátását követően az Alfa Szövetség beadványban fordult az újonnan megválasztott Országgyűlés elnökéhez az adatvédelmi biztos eljárása jogszerűségének kivizsgálására. Az Alfa Szövetség álláspontja szerint egyfelől a biztos vizsgálata során hatáskörét túllépve járt el, másfelől pedig az ajánlás egyes megállapításainak megalapozottsága is kérdésesnek tekinthető. Az Országgyűlés elnöke a beadványt – hatáskörének hiányában – az Országgyűlés Emberi jogi, kisebbségi és vallásügyi bizottsága elé utalta, amely ugyancsak elutasította a panasz kivizsgálását. A bizottság 1998. november 11-én tartott ülésén a bizottság megtárgyalta a beadványt, és úgy határozott, hogy “hatáskör hiányában nem kíván foglalkozni az Alfa Szövetség beadványával, és nem kíván precedenst teremteni arra, hogy egy-egy konkrét ügy kapcsán beszámoltassa az országgyűlési biztosokat. A bizottság hatáskörét az állampolgári jogok országgyűlési biztosáról szóló 1993. évi LIX. törvény szellemének megfelelően az országgyűlési biztosok éves beszámoltatására korlátozza”.
Egy másik beadvány szerint az Ybl Miklós Műszaki Főiskola Egyesülete abban a kérdésben kérte az adatvédelmi biztos állásfoglalását, hogy kiadhatja-e a tagok személyes adatait tartalmazó címlistát valamelyik egyesületi tag részére. Válaszában az adatvédelmi biztos kifejtette, hogy az adatvédelmi törvény alapján csak az adattovábbításban érintett tagok hozzájárulása esetén van lehetősége az egyesületnek a kért adatok kiadására. Mivel ezek az adatok nem minősülnek különleges személyes adatnak, ezért az érintettek hozzájárulása érvényességének nem feltétele az írásbeliség. Az egyesület a tagok ilyen hozzájáruló nyilatkozatát körlevél útján is beszerezheti, illetve jogszerű megoldásnak számít az is, ha az egyesület alapszabálya rendelkezik a tagok részére történő adattovábbításról. (246/A/1998)
Pártok
A pártokkal mint adatkezelőkkel kapcsolatos egyik esetben a beadványozó szerint a Magyar Igazság és Élet Pártja a párt országgyűlési képviselőjelöltjeivel olyan szerződést kötött, amelyben a jelölteknek különleges adataikról, nevezetesen arról kellett nyilatkozniuk, hogy nem szenvednek alkohol és/vagy kábítószer-függőségben, valamint nem homoszexuálisak. Mivel a MIÉP elnöke a kérdéses szerződésről többszöri megkeresés ellenére sem nyilatkozott, ezért az adatvédelmi biztos az üggyel kapcsolatos álláspontját csak elvi alapon alakíthatta ki. Eszerint a szerződési szabadság elvéből fakadóan a párt a képviselőjelöltjével bármilyen, jogszabályi tilalomba nem ütköző tartalmú szerződést köthet. Ha a szerződést megkötése során írásba foglalták, a jelölt tehet olyan jognyilatkozatot, amely alapján a párt különleges adatai kezelésére jogosulttá válik. A különleges adatokkal kapcsolatos szerződési feltételek a szerződés tartalmától függően járhatnak a jelölt személyhez fűződő jogai sérelmével, ennek megállapítása azonban a konkrét szerződés ismerete nélkül nem lehetséges. (234/K/1998)
Egy másik esetben a beadványozó szerint az Együtt Magyarországért Unió anyagi nehézségei miatt ingatlanközvetítő kft. felállítását tervezi, és a kft. pontenciális ügyfélköre kialakításához a panaszos állítása szerint az unió képviselőjelöltjeit ajánlószelvénnyel támogatók személyes adatait is felhasználja. Az ügyben a vizsgálat folyamatban van. (678/A/1998)
Kamarák
A Győr-Moson-Sopron Megyei Agrárkamara
titkára abban a kérdésben kért vizsgálatot, hogy köteles-e a kamarai alkalmazottak
munkabérét, költségtérítését és egyéb juttatásait névre szóló bontásban
a kamara elnöksége részére átadni. A válaszlevél szerint a Munka törvénykönyve
az adatvédelmi törvénnyel egyezően a munkavállalókra vonatkozó adatok harmadik
személy részére történő továbbítását az érintettek hozzájárulásának beszerzését
követően teszi csak lehetővé. Ilyen tartalmú hozzájárulás hiányában a kamara
titkára mint munkáltató jogszerűen jár el akkor, ha a kamara elnöksége
által kért adatszolgáltatást megtagadja.
(298/A/1998)
Az adatvédelmi biztosnak küldött levelében egy panaszos azt kifogásolta, hogy a Pécsi Körzeti Földhivatal több olyan adásvételi szerződés másolatot küldött meg a Baranya Megyei Ügyvédi Kamarának, amelyben ő félként szerepel. A vizsgálat megállapította, hogy az ügyvédi kamara egy ügyvéd ellen indítandó fegyelmi eljárásban tárgyi bizonyítékként kívánta a szerződéseket felhasználni. Az ügyben kialakított álláspont szerint a földhivatal nem sértette meg a panaszos személyes adatai védelméhez fűződő jogait, amikor a kért szerződéseket az ügyvédi kamara részére továbbította, mert az ügyvédi kamarát a fegyelmi eljárás lefolytatása során a panaszossal kapcsolatos adatokra vonatkozóan minden más személlyel szemben titoktartási kötelezettség terheli. Másfelől pedig az ügyvédi kamara adatkezelésének célja is megfelelőnek tekinthető, hiszen a szerződések a fegyelmi vétség megállapításához nélkülözhetetlenek. (173/A/1998)
Egyházak
Az RTL Klub Televízió 1998. augusztus 31-i esti híradójában közölt tudósítás szerint a Magyarországi Szcientológia Egyház (a továbbiakban: MSE) Miskolci Dianetikai Központja több, az egyházhoz nem tartozó személy adatait kezeli, annak ellenére, hogy az érintettek közül néhányan kifejezetten kérték adataik törlését. A tudósítás alapjául egy, a miskolci misszió tulajdonában lévő, személyes és különleges adatokat tartalmazó számítógépes mágneslemez szolgált, amelyet ismeretlen személy juttatott el az RTL Klub Televízió miskolci kirendeltségéhez. Mivel az előző évben több olyan beadvány (199/A/1997, 252/A/1997) érkezett az adatvédelmi biztoshoz, amelyben a beadványozók az MSE adatkezelési gyakorlatát kifogásolták, ezért a fenti ügyben hivatalból indított vizsgálatot. A helyszínen tartott ellenőrzéssel egy időben az eset kapcsán a Miskolci Városi Rendőrkapitányság is állásfoglalást kért, tekintettel arra, hogy a miskolci misszió vezetőjének feljelentésére jogosulatlan adatkezelés vétségének alapos gyanúja miatt ismeretlen tettessel szemben nyomozást rendeltek el. A lefolytatott vizsgálat megállapításairól a Krízis-intervenció alfejezetben számolunk be részletesen. (618/A/1998)
Származásra, etnikai hovatartozásra vonatkozó ügyek
Az előző évhez képest 1998-ban kevesebb beadvány érkezett a származásra, etnikai hovatartozásra vonatkozó jogok megsértése miatt, de jelentőségük és precedens jellegük továbbra is indokolja önálló fejezetben történő ismertetésüket. A faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra vonatkozó személyes adatok az Avtv. szerint különleges adatnak minősülnek. A különleges adatok a személyiség mások (és a hatalom) elől védendő rétegeit tárhatják fel, ezért szükséges megkülönböztetett védelmük biztosítása.
1998 áprilisában a Nemzeti és Etnikai Kisebbségi Hivatal (NEKH) arról tájékoztatta a nemzeti és etnikai kisebbségi jogok országgyűlési biztosát és az adatvédelmi biztost, hogy a Józsefvárosi Roma Önkormányzat cigány származásról szóló “Igazolás”-okat ad ki. Az elnökaszszony az országgyűlési biztosok állásfoglalását kérte arra vonatkozóan, hogy az “Igazolás” kiadása jogszerű-e. Az ombudsmanok válaszát követően a NEKH időközben megválasztott új vezetése és az érintett kisebbségi önkormányzat kérésére a biztosok közös állásfoglalást adtak ki az ügyről. A közös munka a vonatkozó jogszabályi rendelkezések bemutatásán túl foglalkozik a kisebbséghez tartozás igazolásának elvi lehetőségeivel, a közigazgatási vagy társadalmi szervezetek által kiállított dokumentumok kezelése során jelentkező adatkezelési kérdésekkel.
A Magyarországi Zsidó Örökség Közalapítvány (MAZSÖK) kuratóriuma 1998 október végén kelt beadványában arról tájékoztatta az adatvédelmi biztost, hogy a párizsi békeszerződésről szóló 1947. évi XVIII. törvény 27. Cikke 2. pontjában foglaltak végrehajtásáról szóló 1997. évi X. törvény felhatalmazása alapján életjáradékot folyósítanak a holocaust magyarországi túlélői javára. A jogosulti kört a sajtóban közzétett felhívásban kérték a jelentkezésre, adatszolgáltatásra. Az így létrejött címlista alapján kereste meg a MAZSÖK a lehetséges jogosultakat, s a Jewish Claims Conference (JCC) budapesti irodájának felkérésére kiküldte az általuk rendszeresített kérdőívet. A panasz szerint az “Europa – Ost International” nevű magáncég név szerint megkeresett több, életjáradékra jogosult személyt. Levelében az áll, hogy a kitöltött adatlapokat a Claims Conference budapesti kirendeltségéhez továbbítják, innen küldik tovább Németországba. A magáncég nem jelölte meg a levélben, hogy milyen forrásból jutott hozzá a magánszemélyek adataihoz. A kuratórium vezetése szerint másnak nem adták ki az adatbázist, a hivatkozott magáncégnek sem ők, sem a JCC nem adott megbízást az adatgyűjtésre. A JCC kizárólag a MAZSÖK-öt kérte fel az ügyfelek megkeresésére. Az ügy vizsgálata folyamatban van. (755/A/1998)
A Magyarországi Zsidó Hitközségek Szövetsége (MAZSIHISZ) az adatvédelmi biztos vizsgálatát kezdeményezte egy Magyarországon letartóztatott brit állampolgár személyes adatok védelméhez fűződő jogának megsértése miatt. A Kossuth Rádió Esti Krónika című hírműsorában május 5-én a Vám- és Pénzügyőrség Fővárosi nyomozóhivatalának parancsnokhelyettese úgy nyilatkozott, hogy a brit üzletembert korábban a BRFK a Gyorskocsi utcai fogdában helyezte el, ott azonban nem volt megoldható az étkeztetése, illetve “hitgyakorlata”. Nem volt biztosítva, hogy “őhozzá mindennap bejárjanak a rabbik”, emiatt átszálították a Fővárosi Bíróság Büntetés-végrehajtási Intézetébe, “ugyanis ő izraelita vallású”. Az adatvédelmi biztosi vizsgálat megállapította, hogy nyilatkozatával a Vám- és Pénzügyőrség Fővárosi nyomozóhivatalának parancsnokhelyettese törvényi felhatalmazás nélkül, az érintett Avtv.-ben megkövetelt írásbeli beleegyezésének hiányában hozta nyilvánosságra az üzletember különleges személyes adatait. Az adatvédelmi biztos tájékoztatta az indítványozó MAZSIHISZ-t, hogy az Avtv. 17. §-a alapján az érintett, jogainak megsértése esetén a különleges adatait jogellenesen nyilvánosságra hozó személy ellen bírósághoz fordulhat, és kártérítést követelhet. Az ombudsman felhívta a nyilatkozó parancsnokának és a Vám- és Pénzügyőrség Országos parancsnokának a figyelmét az esetleges további jogsértések elkerülése érdekében a szükséges intézkedések megtételére. (363/K/1998)
Az 1997-es beszámolóban szerepeltek először önálló alfejezetként a magánszemély adatkezelők. E kategória sajátossága, hogy az adatkezelő – aki az alkalmazott eljárástól függetlenül a személyes adatokat felveszi, tárolja, feldolgozza, hasznosítja (ideértve a továbbítást és a nyilvánosságra hozatalt), valamint aki az adatokat megváltoztatja, vagy további felhasználásukat megakadályozza – magánszemély. Az adatvédelmi biztos az adatvédelmi törvény által meghatározott jogának és kötelességének eleget téve a panasz kivizsgálását vagy elutasítja (hatáskör, illetve nyomozati jogkör hiányában), és tájékoztatja a panasztevőt a további jogorvoslati lehetőségekről, vagy átteszi az ügyet más szervezethez, vagy – amennyiben az Avtv. lehetővé teszi – a panaszt kivizsgálja, s megállapítja a jogsértés tényét. Amennyiben a jogsértő személye ismert, felszólítja őt a jogsértő tevékenység abbahagyására, illetve a jogsértő állapot megszüntetésére. Ha a felszólított személy a felszólításnak 30 napon belül nem tesz eleget, az adatvédelmi biztos a nyilvánossághoz fordulhat. Magánszemélyek esetében ez nem mindig vezethet eredményre, a nyilvánosság ténye és a nyilvánosság okozta hátrány nem minden esetben állna arányban a jogosulatlan adatkezelés által okozott hátránynyal. Magánszemély adatkezelőknél ezért erre még nem volt példa. Változás az előző évhez képest, hogy a magánszemély adatkezelők által elkövetett jogellenes adatkezelések tényállása tisztázható volt, megállapítható volt a jogsértő személye, valamint a jogellenes adatkezelés ténye is.
Egy másik panaszos ellen felesége válókeresetet nyújtott be a bíróságon, és megbízta ügyvédjét, hogy ehhez szerezze be a férjére vonatkozó személyes és egyben különleges adatnak minősülő kórházi zárójelentéseket. Ezeket a dokumentumokat a bontóper során fel is használták. Az adatvédelmi biztos válaszában kitért arra, hogy mivel bírósági eljárás van folyamatban, és az adatait a bizonyítás keretében használják fel, ezért a vizsgálat csak az adatok megszerzésének jogszerűségére terjedhet ki. Az ügyben az adatvédelmi biztos megkereste a bepanaszolt ügyvédet, aki nem válaszolt arra a kérdésre, hogyan jutott birtokába a zárójelentéseknek, ezért az ombudsman az ügyvédi kamarához fordul. A vizsgálat még folyamatban van. (503/A/1998)
Egy másik, feltehetően közérdeklődésre számot tartó ügyben is vizsgálat indult. Az indítványozó kifogásolta, hogy az APEH még ki nem nevezett alelnök-jelöltjei “megelőlegezett” hivatalos minőségben az APEH hivatalában megjelentek, ott hozzáfértek az adatállományhoz, részt vettek személyzeti döntések előkészítésében és lezárásában. Tevékenységükkel összefüggésben adótitoknak minősülő védett, valamint az adóhivatal dolgozóinak személyiségi jogait sértő adatokhoz juthattak. A vizsgálat folyamatban van. (604/A/1998)
Egy állampolgár beadványában állásfoglalást kért élő és holt személyek életrajzi adatainak publikálhatóságáról. Az adatvédelmi biztos válaszában leszögezte, hogy személyes adatot csak akkor lehet kezelni, ha azt törvény elrendeli, vagy ha az érintett hozzájárul. Ha a kezelt adat különleges adat, akkor szükség van az érintett írásbeli hozzájárulására. E szabály alól kivételt képeznek a közfeladatot ellátó személyek a közfeladattal összefüggő adatok tekintetében. Közéleti jelentőségük és ismertségük arányban kell álljon a róluk közzétett adatok mennyiségével és minőségével, amely adott esetben magánéletük határait is módosíthatja. A publikálás nem lehet korlátlan, a közlésnek alkalmazkodnia kell a közízlés határaihoz és a nyilvánosság társadalmi hagyományaihoz. Kivételt jelent az is, ha az életrajzi adatokat korábban már jogszerűen nyilvánosságra hozták. A személyes adatok védelme az aktív jogok kategóriájába tartozik, amellyel élő személyek élhetnek. A védelem az érintett halálával az adatvédelem tekintetében szűnik csak meg, s átalakul a Ptk. által védett kegyeleti joggá. A levéltári törvény alapján az örökös vagy a hozzátartozó adhat engedélyt a kutatásra, azonban 30 év elteltével a közlevéltári anyag szabadon kutatható. A családfák összeállítása egyéni célból mindaddig nem ütközik törvénybe, míg mások személyiségi jogait nem sérti vagy veszélyezteti. Az ilyen adatok publikálása azonban az érintettek hozzájárulását igényli, amennyiben a személyek azonosítására alkalmas adatot tartalmaz. (598/K/1998)
1998-ban a korábbi évekhez képest kevesebb beadvány érkezett az Adatvédelmi Biztos Irodájához a társasházak adatkezelésével kapcsolatban. Ennek oka véleményünk szerint a társasházakra vonatkozó szabályozás törvényi szintre emelése és az 1996-ban kiadott ajánlásunk egyre szélesebb körben való megismerése (Ajánlás a tulajdonostársak adatainak nyilvánosságra hozatalával kapcsolatos vizsgálat megállapításairól, Az adatvédelmi biztos beszámolója, 1995–1996, 175–176. oldal).
Az adatvédelmi biztoshoz forduló személyek (lakók, tulajdonostársak, közös képviselők) egy része arról kér tájékoztatást, hogy milyen esetekben vezethető nyilvántartás a tulajdonostársakról, bérlőkről, illetőleg a lakásban lakó személyekről, míg a második csoportba azok a beadványok tartoznak, amelyekben a panaszosok azt sérelmezték, hogy a társasházban kifüggesztéssel nyilvánosságra hozták: a közös költség viselésében hátralékkal rendelkeznek. (174/K/1998. 467/A/1998, 560/K/1998)
Az első csoportba tartozó beadványokra tájékoztatást adtunk arról, hogy a társasházról szóló törvény alapján a társasházi tulajdonostársakról, a bérlőkről, illetőleg a lakásban lakó személyek számáról milyen feltételek mellett, milyen adattartalommal és mely esetben lehet nyilvántartást vezetni.
Azokra a beadványokra, amelyekben a panaszosok azt sérelmezték, hogy a társasházban kifüggesztették a közös költségek viselésében meglévő hátralékukat, az ajánlás másolati példányának megküldésével tájékoztattuk a panaszosokat, hogy a tulajdonostársak milyen formában ismerhetik meg az információs önrendelkezési jog sérelme nélkül a közös költségek vagy kommunális kiadások viselésében hátralékkal rendelkezők személyét. (305/A/1998, 365/A/1998, 740/A/1998)
Az Adatvédelmi Biztos Irodája 1998-ban is foglalkozott több olyan esettel, ahol a személyes adatok kezelésével kapcsolatban a jogsérelem ténye vagy veszélye olyan mértékű volt, hogy azonnali beavatkozást igényelt. Az ilyen ügyekben elrendelt vizsgálatok rendszerint az állampolgárok nagyobb csoportját érintették, bár az idén az egyik legkirívóbb esetünk a “dávodi kislány” terhességmegszakításával kapcsolatos ügy volt. Az azonnali intézkedést igénylő esetekben az adatvédelmi biztos rendszerint a nyilvánossághoz fordul, és a közvélemény erejével próbál hatni a jogsérelmet okozóra, s az adatkezelőt felszólítja a jogellenes adatkezelés azonnali megszüntetésére. Az ismertetett ügyekkel kapcsolatos ajánlások, részletes állásfoglalások a mellékletben találhatók.
Az RTL Klub Televízió híradója 1998 augusztusában arról számolt be, hogy a Magyarországi Szcientológiai Egyház miskolci Dianetika Központja által kezelt személyes és különleges adatok nyilvánosságra kerültek. Az adatvédelmi biztos munkatársai másnap a helyszínen vizsgálatot tartottak. Állampolgári bejelentés alapján az adatvédelmi biztos 1997-ben már foglalkozott a szcientológiai egyház által terjesztett “Oxfordi képességvizsgáló teszt”- lapokkal. A biztos akkor felhívta az egyház figyelmét arra, hogy az adatlapból nem derül ki egyértelműen, hogy az adatszolgáltatás önkéntes, netán kötelező, valamint hogy milyen célra használják fel, mennyi ideig tárolják a kapott adatokat. A helyszíni ellenőrzés tapasztalatai szerint a szcientológia egyház a kérdőíveken továbbra sem tüntette fel magát mint adatkezelőt, mivel az adatlapon szereplő “SZE DIANETIKA KÖZPONT” megjelölés nem ad pontos tájékoztatást az adatkezelő kilétéről. A helyszíni vizsgálat során a biztos munkatársai megállapították, hogy a szcientológia egyház adatkezelési gyakorlata ellentétes az adatvédelmi törvény rendelkezéseivel. A miskolci adatbázisban az egészségi állapotra vonatkozó különleges adatok szerepelnek, amelyek tárolásához hiányzott az érintettek írásos hozzájárulása. A központ ezen túlmenően olyan személyek különleges adatait is őrzi, akik a tesztlap kitöltése után nem váltak a szcientológia egyház tagjává. Az adatvédelmi törvény értelmében a megkeresett szerv 30 napon belül köteles tájékoztatást adni az országgyűlési biztosnak az üggyel kapcsolatos érdemi állásfoglalásáról és a megtett intézkedésekről. Mivel a törvényi előírásnak a szcientológia egyház 1997-ben nem tett eleget, az adatvédelmi biztos a mostani vizsgálat kapcsán ismételten felhívta a figyelmüket a feltárt hiányosságok megszüntetésére. A Magyarországi Szcientológia Egyház titkára 1999 január eleji levelében arról tájékoztatta az adatvédelmi biztost, hogy észrevételeit elfogadták, és megszüntetik a jogellenes adatkezelési gyakorlatukat: ezentúl feltüntetik az egyház mint adatkezelő nevét, a korábban kitöltött tesztlapokat megsemmisítik, az újonnan kitöltötteket a kiértékelésig, vagy ha az nem történik meg, legfeljebb 30 napig tárolják. Az adatok felvételéhez és feldolgozásához az érintett írásbeli hozzájárulását kérik. (618/A/1998)
Az IDG Magyarország Lapkiadó Kft.,
illetve az iNteRNeTTo főszerkesztője abban a kérdésben kért sürgősen állásfoglalást
az adatvédelmi biztostól, hogy a http://internetto.tiszanet.hu./sport/foci.htm
címen elérhető Focifórum egyik hozzászólójának neve és lakcíme iránti rendőrségi
adatkérés törvényes-e. (Az ügyet az Internet alfejezetben is tárgyaltuk.)
A hozzászóló egyébként az újpesti stadionban történt vandál rongálásban
való tevékeny részvételéről számolt be az Interneten. Az adatvédelmi biztos
munkatársa próbaképpen hozzászólt a fórumhoz, és azt állapította meg, hogy
az üzenete előzetes regisztráció (név, lakcím, e-mail cím megadása) nélkül
is megjelent. Az adatvédelmi biztos álláspontja szerint az iNteRNeTTo és
az IDG Magyarország Lapkiadó Kft. nem adhatja ki a rendőrség részére az
előzetes regisztráció nélküli részvételt biztosító fórum hozzászólójának
nevét, lakcímét, és egyéb, a hozzászólóval összefüggésbe hozható adatot,
mivel ezen adatok jogszerűen nem lehetnek a birtokában.
(A rendőrség nem attól a szolgáltatótól
igényelt adatot, amely a szolgáltatás elérhetőségét biztosító szervert
üzemelteti.) Levelében a biztos arra is utalt az eset kapcsán, hogy az
Internet szolgáltatásait igénybevevők személyes adatainak védelme jelenleg
nincs megfelelően rendezve Magyarországon. (802/A/1988)
