Az adatvédelmi biztos beszámolója
I. TEVÉKENYSÉGÜNK FŐBB ADATAI *
A vizsgálatok általános jellemzői *
A főbb ügytípusok *
A budapesti és a vidéki indítványozók aránya *
A vizsgált adatkezelők kategóriái *
Információs ágak aránya az ügyiratokban *
Panaszügyek *
A panaszosok aránya *
Információs ágak aránya a panaszügyekben *
Az érintett személyek köre *
Ügyintézési időtartam *
II. A VIZSGÁLATOK *
A. Személyes adatok *
Nagy állami (önkormányzati) adatkezelők *
A központosított illetményszámfejtés rendszere *
A 2001. évi népszámlálás *
A "Millenniumi Országjáró" ügy *
A Belügyminisztérium és központi adatkezelő szervezete *
Rendőrség *
A Honvédelmi Minisztérium és a Magyar Honvédség *
Vám- és Pénzügyőrség *
A büntetés-végrehajtási szervezetek *
Adó-és Pénzügyi Ellenőrzési Hivatal (APEH) *
APEH Bűnügyi Igazgatósága *
Önkormányzatok *
Egészségügy *
Munkáltatók *
Távközlési szolgáltatók és a posta *
Internet *
Bankok, hitelintézetek *
Biztosítók *
Áruküldők, direkt marketing cégek *
Sajtó *
Levéltárak, tudományos kutatás *
Parkolási társaságok *
B. Közérdekű adatok *
A közfeladatot ellátó személyek adatainak nyilvánossága *
Közérdekű adatok a hatósági eljárásban *
Információszabadság és parlament *
Titokfelügyelet *
C. Jogszabály-véleményezés *
Javaslatok jogszabály alkotására vagy módosítására *
III. AZ ADATVÉDELMI NYILVÁNTARTÁS AZ ELUTASÍTOTT KÉRELMEK NYILVÁNTARTÁSA *
A. Az adatvédelmi nyilvántartás *
Az adatvédelmi nyilvántartás tartalmi elemzése *
Az adatvédelmi nyilvántartás informatikai rendszerének fejlesztése *
B. Az elutasított kérelmek nyilvántartása *
Községek *
Összes település és a jelentést küldők aránya *
Városok, Budapest kerületeivel együtt *
Összes város és a jelentést küldők aránya *
Megyei jogú városok *
Összes megyei jogú város és a jelentést küldők aránya *
Megyék, beleértve Budapestet is *
Megyék (Budapesttel együtt) és a jelentést küldők aránya *
Központi államhatalmi és közigazgatási szervek *
Minisztériumok és tárca nélküli miniszterek *
Országos hatáskörű szervek *
Igazságszolgáltatás *
Egyéb adatkezelők *
1. Válogatás az adatvédelmi biztos ajánlásaiból*
BEVEZETŐ
A 2001. év valószínűleg nem átlagos évként fog bevonulni az adatvédelem és az információszabadság magyarországi történetébe. Különösségét többek között az adta, hogy legalább annyira szólt az adatvédelmi biztos intézményéről, a poszt betöltőiről, illetve rövid időtartamú betöltetlenségéről, mint az adatvédelmi biztos elé került ügyek súlyáról, a közvéleményre gyakorolt hatásairól. 2001-ben zajlott le a lakosság teljes körét érintő népszámlálás, ami az adatvédelmi biztos tevékenysége szempontjából is kiemelkedő jelentőségű esemény volt.
Ha csak az éves szintű statisztikát nézzük, a valamivel több mint tíz százalékos ügyszámcsökkenés nem tűnik jelentősnek. A részletesebb adatok azonban azt mutatják, hogy az adatvédelmi biztos tisztségének betöltetlensége drasztikus változást eredményezett az Adatvédelmi Biztos Irodája ügyforgalmában: az év első felében háromszor annyi új ügy érkezett, mint az év második felében, elmaradtak továbbá a hivatalból indított, valamint az átfogó megyei vizsgálatok is. Figyelemre méltó, hogy nem elsősorban a polgárok, hanem az állami szervek, illetve az adatkezelő szervezetek "felejtették el" az adatvédelmi biztost, hiszen az átlagot jelentősen meghaladóan csökkent a véleményezésre megküldött jogszabály-tervezetek, illetve a konzultációs ügyek aránya. Az a tény, hogy a második félévben érkezett ügyek közel 80%-a panasz volt, illetve hogy ismét nőtt az állami, önkormányzati szervek aránya a panaszolt adatkezelőkön belül, mutatja, hogy a polgárok továbbra is igénylik jogaik hatékony védelmét.
Az ügyek változatossága mellett már régtől fogva kitapinthatók a típusosnak tekinthető, vissza-visszatérően felmerülő adatvédelmi problémák is. Örömmel tölthet el mindannyiunkat, hogy némelyek megnyugtató módon megoldódnak és e megoldások be is ivódnak a köztudatba, részévé válnak a mindennapok jogi kultúrájának. Ugyanakkor továbbra is vannak olyan neuralgikus pontok - csak példának említve a személyazonosító igazolványok lemásolását a különböző szolgáltatók részéről, avagy a parkolási társulások adatkezelésének anomáliáit -, amelyek megoldásában az adatvédelmi biztos jogosítványai már nem elegendőek, és ezért abban a jogalkotónak is részt kell vállalnia. Megválasztásomat megelőzően is hangsúlyoztam, hogy a jövőben e területre nagyobb hangsúlyt kívánok helyezni. Ezen szándékomon túl az Európai Parlament és a Tanács 95/46/EK - az egyénnek a személyes adatok feldolgozásával kapcsolatos védelméről és ezeknek az adatoknak a szabad áramlásáról szóló - Irányelvének a magyar jogrendszerbe való átültetése is előttünk áll, alkalmat adva az adatkezeléssel kapcsolatos jogszabályok megfelelő módosítására annak érdekében, hogy az információs önrendelkezési jognak minél magasabb szintű és hatékony védelmet biztosíthassunk.
Az állampolgári jogok országgyűlési biztosáról szóló 1993. évi LIX. törvény értelmében "az országgyűlési biztos tevékenységének tapasztalatairól - ennek keretében az alkotmányos jogok hatósági eljárásokkal kapcsolatos jogvédelme helyzetéről, valamint az általa tett kezdeményezések, ajánlások fogadtatásáról és eredményéről - évente beszámol az Országgyűlésnek".
Hivatalban lévő adatvédelmi biztosként különös helyzetben vagyok, amikor e törvényhelynek kell megfelelnem. "Felemás" évet zárt ugyanis az adatvédelem intézménye 2001-ben. E megállapítás majdnem szó szerint is igaz, hiszen az első félév utolsó napjával megszűnt Majtényi László, korábbi adatvédelmi biztos megbízatása, majd a tisztség több mint öt hónapi betöltetlensége után megválasztott adatvédelmi biztosként 2001-ben mindössze három hétig gyakorolhattam jogaimat. A 2001. évről szóló beszámoló tehát az eddigi beszámolóktól abban mindenképpen eltér, hogy nem egy biztos tevékenységét öleli fel, hanem mindazokét, akik az elmúlt évben az adatvédelmi biztos jogait gyakorolták.
Természetesen nincs szó arról, hogy három gyökeresen eltérő adatvédelmi filozófiát és gyakorlatot mutató szakaszra lehetne bontani a 2001. évet, hiszen az adatvédelmi törvény és a szektorális adatvédelmi törvények kijelölik a jogi kereteket. Másfelől azonban természetes az is, hogy a hangsúlyok az egyes biztosok esetén esetlegesen máshova helyeződtek, illetve helyeződnek. Tekintettel arra, hogy az adatvédelmi biztos jogkörét 2001-ben három biztos gyakorolta, a beszámoló is jelzi, hogy az adott üggyel kapcsolatban melyik biztos álláspontját tartalmazza. Teszi ezt pusztán a tényszerűség kedvéért, anélkül azonban, hogy a jogfelfogásban megmutatkozó esetleges különbségeket hangsúlyozná. Az én munkámról árnyaltabb képet csak a 2002. évről szóló beszámolóból kaphat a nagyközönség.
Dr. Péterfalvi Attila
Az adatvédelmi biztos 2001. évi tevékenységének bemutatásakor - követve eddigi hagyományainkat - csupán a főszámra iktatott indítványokat vesszük alapul. Ezen túl azonban szervesen a biztos hivatalának feladatához tartozik - és mindenképpen említést érdemel - a személyes és közérdekű adatok megismerésére irányuló elutasított kérelmekről szóló jelentések, valamint a személyes adatok kezelőinek az adatvédelmi nyilvántartásba történő bejelentkezéseinek nyilvántartása és feldolgozása is, amely összességében további kétezer iratot jelent. Ez évben az iktatott iratok száma 828 volt, az előző évek adataihoz viszonyítva a csökkenés nem jelentős (2000-ben 931, 1999-ben 872). Tekintve, hogy ez a naptári év formálisan csak fél éves adatvédelmi biztosi tevékenységet takar, így az általános ismertetés során az első és második félévet önállóan is értékeltük. Az év első hat hónapjában a beadványok 64 százalékát (533), a második félévben 36 százalékát (295) vette nyilvántartásba az Adatvédelmi Biztos Irodája. Az előző években ez az arány kiegyenlítettebb volt, az év első és második felében érkezett beadványok arányában 5-6 százalékos különbség volt csupán. A főbb ügytípusok vizsgálatánál az első és második félév adatai az általános tapasztalatoktól eltérő és kiugró különbségeket mutatnak. A panaszügyek 63 százaléka, a konzultációs beadványok 89 százaléka, a jogszabálytervezetek 85 százaléka, a hivatalból kezdeményezett vizsgálatok 87 százaléka az első félévben indult. A második félévben elmaradtak a biztos által kezdeményezett átfogó megyei, valamint a hivatalból indított vizsgálatok, jelentősen csökkent a konzultációs beadványok (196-24) és a véleményezésre megküldött jogszabálytervezetek (104-19) száma. A számszerű adatok, statisztikai elemzések szempontjából kétségtelenül jelentős eltérésnek kell tekinteni akár öt vagy tíz százalékos különbséget is. Ez azonban csak az érem egyik oldala. Amikor összehasonlítunk, elemzünk és a számok mögé nézve elvonatkoztatunk azok egzakt voltától, bizonyos jelenségek, tendenciák más megvilágításba kerülnek, jelentőségük vagy felerősödik, vagy elhalványul. Összességében elemezve tehát a 2001. évet olyan megállapítást tehetünk, hogy az információs jogok magyarországi helyzete látszólag kiegyensúlyozott. A két alkotmányos alapjog, a személyes adatok védelme és a közérdekű adatok nyilvánossága tekintetében változatlanul magas az adatvédelemmel kapcsolatos beadványok száma. Ez évben 10 százalékos növekedés mellett az ügyek 78 százaléka sorolható ide. Ugyanakkor az információszabadsággal kapcsolatos ügyek száma évek óta 6-8 százalék körül mozog, ez évben 2 százalékos csökkenés mellett az ügyek 6,7 százalékát jelenti. A társadalom életében végbemenő változások, egyes intézkedések "utórezgései" valóságossá válnak oly módon is számunkra, hogy bizonyos adatkezelők tevékenységét sérelmezve, emelkedik a beadványok száma. 2001-ben ez, az általunk "nemzeti adatbázisok, nagy adatkezelők" kategóriájába sorolt szervek esetében volt érzékelhető. Két nagy adatkezelő, a népszámlálással kapcsolatban a KSH, különböző áruküldő cégek reklámanyagai és a Millenniumi Országjáró újság kézbesítésével kapcsolatban pedig a KÖANYV Hivatal esetében állapíthatjuk meg a beadványok számának emelkedését. A 2000. évi beszámolóban az adatvédelmi biztos még egy nem kevésbé fontos, de alig-alig látszó fejleményként említette, hogy értékelhető esetszámot jelentettek az e-mailen érkezett beadványok. A 2001. évben már a panaszbeadványok 10 százaléka érkezett ily módon, ennek megfelelően az indítványozók arányát bemutató kördiagramon már önálló kategóriaként szerepel. Az előző évek adataihoz képest jelentékeny változásként értékelhetjük, hogy csökkent a magáncégek adatkezelését sérelmező panaszbeadványok száma. Némi elégedettségre adhat okot, hogy csökkent az ügyintézés időtartama, az ügyek 59,2 százalékában 30 napon belül érdemi választ kaptak az indítványozók (2000-ben ez 52 százalék volt). A jelentősebb változások, tendenciák ismertetését követően a statisztikai feldolgozás és értékelés következik a 2001. évről.
A vizsgálatok általános jellemzői
A beadványok ügytípusok szerinti megoszlását tekintve a 2001. évben öt százalékkal emelkedett a panaszügyek aránya. Ebben a fejezetben a tortadiagramok esetében mindig az adott évben iktatott iratok számát tekintjük 100 százaléknak és az ügytípusok egymáshoz viszonyított aránya e számnak megfelelően alakul. Ennek megfelelően a panaszügyek elnevezés "gyűjtőfogalom": mind az adatvédelemmel, mind az információszabadsággal kapcsolatos indítványokat magába foglalja.
Ebben az évben 462 panaszügy, 220 konzultációs beadvány, 123 jogszabály-véleményezés és 23 egyéb kategóriába sorolt beadvány érkezett a biztoshoz. A három év adatait bemutató ábrán jól látható, hogy minden ügytípus esetében minimálisan csökkent a beadványok száma, jelentősebb változás/csökkenés az egyéb kategóriában következett be. Ennek oka az a bevezetőben már említett tény, hogy a második félévben nem volt átfogó megyei, valamint hivatalból indított vizsgálat.
A főbb ügytípusok
2001 (%)
A főbb ügytípusok
1999-2001
Az indítványozók aránya
2001-ben 456 állampolgár; hatóság, állami szerv képviseletében 234 indítványozó fordult a biztoshoz. Amennyiben eddigi gyakorlatunknak megfelelően a jogszabály-tervezeteket megküldő minisztériumok vezető beosztású tisztviselőit e körből kivesszük, megállapítható, hogy az ügyek 13 százalékában volt hatóság, állami szerv vezetője/dolgozója, 64 százalékában pedig magánszemély az indítványozó. Az előző év adatához hasonlítva a magánszemély panaszosok aránya három százalékkal emelkedett. Bár kis mértékben, de emelkedett a társadalmi szervezet képviseletében eljárók aránya is.
Az indítványozók aránya
2001 (%)
A három év adatait összehasonlító ábra alapján megállapítható, hogy évről-évre növekszik a magánszemély, ezzel egyenes arányban pedig csökken a jogi személy indítványozók aránya. Az egyéb, vegyes kategória összevontan tartalmazza a társadalmi szervezet, sajtó, gazdasági szervezet és egyéb, nem meghatározható körbe tartozó indítványozókat. Társadalmi szervezet részéről 40, sajtó képviseletében 15, gazdasági társaság részéről 49, egyéb nem tipizálható esetben pedig 32 beadványt kapott az adatvédelmi biztos.
A jogi és magánszemély indítványozók aránya
1999-2001
A budapesti és a vidéki indítványozók aránya
A budapesti és vidéki indítványozók arányának vizsgálata során a korábbi évben tapasztalt kétharmad-egyharmad arány megfordulni látszik, és noha még mindig több budapesti állampolgár (334) fordul a biztoshoz mint vidéki (293), a főváros és vidék közötti különbség - örvendetes módon - egyre inkább elmosódni látszik. A budapesti indítványozók száma a 123 jogszabály-tervezetet küldő minisztert, vagy vezető beosztású tisztviselőt is figyelembe véve összesen 457, azonban minden éves beszámolóban szükségesnek tartjuk hangsúlyozni, hogy az e körbe tartozó vezetők nem indítványozók. Amint arról a bevezetőben már szóltunk, az e-mailen érkezett beadványok egyre növekvő térhódítása indokolttá tette számszerű megjelenítésüket, annál is inkább, mert ezen beadványokat, a postai cím ismeretének hiányában nem lehet a fenti kategóriák egyikébe sem sorolni.
A budapesti és a vidéki indítványozók aránya
2001 (%)
A budapesti és a vidéki indítványozók aránya
1999-2001
A vizsgált adatkezelők típusai
2001 (%)
A vizsgált adatkezelők típusai
1999-2001
A tavalyi beszámolóban tett megállapítás, mely szerint töretlenül növekszik a beadványokban érintett, magánszférába tartozó adatkezelők száma, az idei évre vonatkozóan nem helytálló. A három évet összehasonlítva az arányokban lényeges változások nincsenek. Ugyanakkor azt is meg kell állapítanunk, hogy egyes esetekben megmutatkozik a statisztikának (vagy a statisztikát készítő embernek) az a "gyengesége", hogy amit tendenciának vél, arra a következő évi adatok rácáfolnak. Ehhez a megállapításhoz azonban szükséges hozzáfűzni azt a tavalyi beszámolóban már említett tényt, hogy az indítványozókat nem tudjuk és nem is akarjuk befolyásolni, tekintve hogy a biztos eljárása szinte minden esetben beadvány alapján indul.
A vizsgált adatkezelők kategóriái
Egy-egy beadványban több hatóság, szervezet is megjelenhet adatkezelőként, így a számuk mindig több, mint a teljes ügyszám. 2001-ben 891 adatkezelő tevékenységét vizsgálta az adatvédelmi biztos. 70 esetben a nemzeti adatbázisok, nagy adatkezelők, 83 esetben a közüzemi szolgáltatók, 101 esetben a helyi önkormányzatok, 164 esetben pedig a központi közigazgatási szervek jelennek meg adatkezelőként. Ez utóbbi adatkezelői kategória esetében már említettük, hogy a szám önmagában nem reális, hiszen a 123 jogszabálytervezetet küldő minisztérium nem tekinthető vizsgált adatkezelőnek. 168 esetben az egyéb adatkezelői besorolásban szereplő áruküldők, direkt marketing cégek, társasházak, munkáltatók, egyéb gazdasági társaságok, ügyvédi irodák és magánszemélyek jelennek meg adatkezelőként. E kategórián belül legmagasabb számban - 79 esetben - a társasági formában működő gazdasági vállalkozások szerepelnek.
A vizsgált adatkezelők kategóriái
2001
Három év adatait összehasonlítva megállapítható, hogy az arányok szinte változatlanok. Kisebb-nagyobb eltérésektől eltekintve - amelyek még tolerálhatóak - az értékek mindig ugyanazon adatkezelők esetében magasak vagy alacsonyak. Az idei évben az adatkezelői kategóriákon belül majd minden esetben csökkenés tapasztalható, legjelentősebb mértékben az egyéb adatkezelők és a helyi önkormányzatok tekintetében. A nemzeti adatbázisok, nagy adatkezelők, valamint a társadalmi szervezeteket érintő vizsgálatok száma emelkedett. A nagy adatbázisok esetében - amint arról már a bevezetőben szóltunk - ennek okai ismertek. Meg kell azonban említeni, hogy az ebbe a kategóriába sorolt Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal (KÖANYV Hivatal), Területi Államháztartási Hivatalok, Központi Statisztikai Hivatal (KSH), cégbíróságok, földhivatalok, Történeti Hivatal, HM Központi Irattára közül együttesen 78 százalékos arányban szerepel két adatkezelő: a KSH és a KÖANYV Hivatal.
A vizsgált adatkezelők kategóriái
1999-2001
|
1 |
Központi közigazgatási szerv |
10 |
Szakosított felügyeleti szerv |
|
2 |
Egyéb közhatalmi szerv |
11 |
Oktatási intézmény/kutatóintézet |
|
3 |
Nemzeti adatbázis, nagy adatkezelő |
12 |
Társadalmi szervezet |
|
4 |
Fegyveres és rendvédelmi szerv |
13 |
Sajtó/média |
|
5 |
Társadalombiztosítás/munkaügy |
14 |
Pénzintézet |
|
6 |
Adóhivatal, pénzügyőrség |
15 |
Közüzemi szolgáltató |
|
7 |
Egészségügyi intézmény |
16 |
Egyéb adatkezelő |
|
8 |
Helyi önkormányzat és szervei |
17 |
Külföldi adatkezelő |
|
9 |
Államigazgatási jogkörben eljáró egyéb szerv |
|
|
Információs ágak aránya az ügyiratokban
Az információs ágak megoszlását tekintve szembeötlő az adatvédelem igen magas aránya, az előző évhez viszonyítva majd' 10 százalékos növekedés történt. Az információszabadság, a titokvédelem, valamint az egyéb kategória aránya kisebb-nagyobb mértékben csökkent.
Információs ágak aránya az ügyiratokban
2001 (%)
A 2001. évben 662 esetben az adatvédelem, 57 esetben az információszabadság, 4 esetben a titokfelügyelet körébe tartozó, 127 esetben pedig a fenti kategóriák egyikébe sem sorolható ügyben fordultak a biztoshoz. Az egyéb információs ág magyarázata: ide soroltuk azokat az ügyeket, amelyek sem a személyes adatok védelmével, sem a közérdekű adatok megismerhetőségével nem hozhatók kapcsolatba, így a biztosnak nem volt hatásköre eljárni, valamint a jogszabály-véleményezéseket. A három évet összehasonlító idősoron jól látható az adatvédelem töretlenül magas aránya. Ugyanakkor a közérdekű adatok nyilvánosságára vonatkozó indítványok aránya évről-évre folyamatosan - bár kis mértékben - csökken.
Információs ágak aránya az ügyiratokban
1999-2001
A tevékenységünk egészére vonatkozó általános megállapítások a panaszügyek esetében is helytállóak, a számszerű adatok és tendenciák változásai azonban sokkal jobban érzékelhetőek. A 2001. év panaszügyeinek vizsgálatát követően az alábbi általános megállapításokat tehetjük:
Elhanyagolható eltéréssel egyenlőnek tekinthetjük a Budapestről és a vidékről érkezett panaszbeadványok számát. A nemzeti adatbázisok, nagy adatkezelők elleni beadványok száma emelkedett, itt azonban szükséges kitérni azoknak az összefüggéseknek az ismertetésére, amelyek az objektivitás megőrzéséhez szükségesek. Amint arról a bevezetőben már szó esett, elsősorban a népszámlálás, az áruküldők adatkezelése, valamint a Millenniumi Országjáró postázása eredményezte, hogy a KSH és a KÖANYV Hivatal adatkezelését kifogásoló beadványok száma emelkedett. Ez további feldolgozási kategóriák esetében is jelentkezett, hiszen értelemszerűen növekedett a személyes adatok jogellenes gyűjtését kifogásolók, valamint azok száma, akik a konkrét sérelemtől elvonatkoztatva általános érvénnyel az ilyen célokra történő adatkezelés jogalapját vonták kétségbe. Tekintve, hogy az adatvédelmi biztos vizsgálatai során - mind a népszámlálás, mind a direkt marketing cégek részére történő adatszolgáltatás esetében - azt állapította meg, hogy az adatkezelés törvényi felhatalmazás alapján történt, jelentősen megnövekedett azoknak az ügyeknek a száma, amelyekben nem tartottuk jogosnak a panaszosok által sérelmezett eljárást.
A panaszügyekben - csakúgy, mint a teljes ügyszámon belül - látható az adatvédelem túlsúlya és az információszabadsággal kapcsolatos beadványok számának csökkenése. Az átlagos ügyintézési határidő öszszességében és az egyes beadványtípusok tekintetében is jelentősen csökkent.
A panaszosok arányát tekintve lényeges változások nem történtek, a tavalyi év adataival összehasonlítva csupán pár tizedes emelkedés vagy csökkenés következett be. A 2001. évben 462 panaszbeadvány érkezett a biztoshoz, és 420 esetben magánszemély volt az indítványozó. Különösebb magyarázatra nem is szorul, hogy a vizsgált kategóriában arányuk ilyen magas. 9 esetben jogi személy, társadalmi szervezettől, médiától és gazdasági társaságoktól pedig együttesen 33 indítványozó fordult a biztoshoz.
A panaszosok aránya
a 2001. év panaszügyeiben (%)
Az idősor alapján sem az adatok, sem az arányok nem változnak jelentős mértékben, ennek megfelelően a jogi és magánszemély panaszosok aránya kiegyensúlyozott képet mutat, tendenciákra következtetni nem lehet. 1999-ben 389, 2000-ben 440, 2001-ben 420 állampolgár fordult a hivatalhoz.
A jogi és a magánszemély panaszosok aránya
Panaszügyek 1999-2001
A budapesti és a vidéki panaszosok aránya
A teljes ügyszámot tekintve a vidéki panaszosok aránya 35,4 százalék, a panaszügyek esetében ez az arány lényegesen magasabb, 43,5 százalék. Az idősor alapján megállapítható, hogy évről-évre csökken a budapesti és vidéki indítványozók száma közötti különbség. 2001-ben 207 budapesti, 201 vidéki panaszos intézett beadványt az adatvédelmi biztoshoz, 46 indítvány e-mailen érkezett, 8 pedig névtelen volt.
A budapesti és a vidéki panaszosok aránya
a 2001. év panaszügyeiben (%)
A budapesti és a vidéki panaszosok aránya
Panaszügyek 1999-2001
A bepanaszolt adatkezelők típusai
A 2000. év folyamán az állami, önkormányzati szervek és a magáncégek adatkezelését kifogásoló beadványok száma megegyezett, és közel azonos arányban szerepelt az adatkezelők típusai szerinti kördiagramon. 2001-ben ezek az arányok megváltoztak, jelentősen csökkent ez utóbbi adatkezelők esetében a beadványok száma (255-199), így az arányok is "átrendeződtek", a tavalyi év 47,8 százalékával szemben a panaszügyek csupán 38,7 százalékában sérelmezték a magáncégek adatkezelését.
A bepanaszolt adatkezelők típusai
a 2001. év panaszügyeiben (%)
Az idősor az állami, önkormányzati szervek adatkezelését kifogásoló beadványok számának viszonylagos kiegyensúlyozottságát mutatja. 2001-ben ez 274 esetet jelent, magáncég adatkezelését 199 esetben sérelmezték az indítványozók.
A bepanaszolt adatkezelők típusai
Panaszügyek 1999-2001
A bepanaszolt adatkezelők kategóriái
Kimagaslóan sok beadvány (115) az egyéb adatkezelők személyes adatok kezelésével kapcsolatos eljárását sérelmezi (ebbe a kategóriába tartoznak a munkáltatók, társasházak, lakásszövetkezetek, áruküldők és a gazdasági társaságok). Elsősorban a gazdasági társaságokkal szembeni panaszok száma magas (79), általában az adósságbehajtással, parkolási díj megfizetésével, vásárlás esetén az igazolványok fénymásolásával kapcsolatban fordulnak a panaszosok az adatvédelmi biztoshoz.
A vizsgált évben 73 esetben a közüzemi szolgáltatók (áram-, víz-, gázszolgáltatók, díjbeszedők, közlekedési vállalatok), 54 esetben a helyi önkormányzatok, 52 esetben pedig a nagy adatkezelők személyes adatok kezelésével kapcsolatos eljárását sérelmezték az indítványozók.
A bepanaszolt adatkezelők kategóriái
a 2001. év panaszügyeiben
A három év adatait tartalmazó idősor alapján látható, hogy az idei évben öt adatkezelő esetében növekedett a beadványok száma. Legnagyobb mértékben a nemzeti adatbázisok, nagy adatkezelők esetében, ennek okaira azonban már a panaszügyek bevezető részében kitértünk.
A bepanaszolt adatkezelők kategóriái
Panaszügyek 1999-2001
|
1 |
Központi közigazgatási szerv |
10 |
Szakosított felügyeleti szerv |
|
2 |
Egyéb közhatalmi szerv |
11 |
Oktatási intézmény/kutatóintézet |
|
3 |
Nemzeti adatbázis, nagy adatkezelő |
12 |
Társadalmi szervezet |
|
4 |
Fegyveres és rendvédelmi szerv |
13 |
Sajtó/média |
|
5 |
Társadalombiztosítás/munkaügy |
14 |
Pénzintézet |
|
6 |
Adóhivatal, pénzügyőrség |
15 |
Közüzemi szolgáltató |
|
7 |
Egészségügyi intézmény |
16 |
Egyéb adatkezelő |
|
8 |
Helyi önkormányzat és szervei |
17 |
Külföldi adatkezelő |
|
9 |
Államigazgatási jogkörben eljáró egyéb szerv |
|
|
Információs ágak aránya a panaszügyekben
A 2001. évben 405 esetben sérelmezték a panaszosok személyes adataik általuk jogellenesnek vélt kezelését, 26 esetben pedig a közérdekű adatok kezelésének gyakorlatát kifogásolták. Az előző két év adataival összehasonlítva az adatvédelem folyamatos térhódítása tapasztalható (ez a teljes ügyszámot tekintve is igaz), ugyanakkor 3 százalékkal csökkent az információszabadság aránya a panaszügyekben. E megállapítások ellenére a három év adatai az arányokat tekintve - lényeges ingadozásokat, eltéréseket nem mutatnak.
Információs ágak aránya a panaszügyekben
a 2001. év panaszügyeiben (%)
Információs ágak aránya a panaszügyekben
panaszügyek 1999-2001
A panaszok tárgya
A panaszok tárgyának vizsgálatát követően, a tavalyi értékeléssel szinte szó szerint egyező megállapítások tehetőek. Évről-évre folyamatosan növekszik azoknak a panaszoknak a száma, amelyekben általánosságban sérelmezik az indítványozók a személyes adatok kezelésének gyakorlatát, annak eldöntése érdekében kérik az adatvédelmi biztos állásfoglalását, hogy valóban jogsérelem történt-e adataik kezelése során (Sz1).
Az indítványok hasonlóan nagy számában arra a kérdésre várnak választ, hogy az adatkezelők milyen forrásból szerezték meg nevüket, címüket, vagy a feltüntetett jogalapra való hivatkozást vitatják (Sz3).
A panaszok tárgya
Panaszügyek 1999-2001
|
Sz1 |
személyes adatok kezelésének gyakorlata |
|
Sz2 |
személyes adat jogellenes kezelése általában |
|
Sz3 |
személyes adat jogellenes gyűjtése |
|
Sz4 |
személyes adat jogellenes felhasználása |
|
Sz5 |
személyes adat jogellenes továbbítása, nyilvánosságra hozatala |
|
Sz6 |
betekintési/törlési jog megtagadása |
|
K1 |
közérdekű adatok kezelésének gyakorlata |
|
K2 |
közérdekű adatok visszatartása |
|
T |
indokolatlan titokköri minősítés |
|
E |
egyéb |
|
? |
kérdéses, nem eldönthető |
2001-ben a panaszbeadványok több mint fele tartalmaz egyéni jogsérelmek orvoslására irányuló kérelmet, ez 264 indítványt jelent. 122 esetben az állampolgárok nagyobb csoportját érintő jogellenes adatkezelés megszüntetését kérték. Fontosnak tartjuk megjegyezni, hogy ezekben az esetekben a panaszos véleménye és nem a biztos állásfoglalása alapján minősül jogellenesnek az adatkezelés.
Az érintett személyek köre
a 2001. év panaszügyeiben (%)
Az érintett személyek köre
Panaszügyek 1999-2001
A panaszok jogossága
A 2001. évben 73 esetben jogos, 24 esetben részben jogos, 84 esetben pedig nem volt jogos a beadványban ismertetett adatkezeléssel szembeni kifogás. A nem jogos panaszok számának növekedését illetve ennek okait a panaszügyekről szóló bevezetőben már ismertettük.
A panaszok jogossága
a 2001. év panaszügyeiben (%)
Három év adatait összehasonlítva - annak ellenére, hogy az idei évben a nem jogos panaszok száma emelkedett - azt lehet megállapítani, hogy sem az egyes éveken belül, sem azokat összehasonlítva jelentős eltérések nincsenek.
A panaszok jogossága
panaszügyek 1999-2001
Átlagos ügyintézési idő
Amint arra a tevékenységünk adatait ismertető fejezet bevezetőjében már utaltunk, ebben az évben jelentősen csökkent az átlagos ügyintézési idő. A teljes ügyszám alapján 42 nap, a panaszügyeket tekintve 58 nap, a jogszabály-véleményezések, hivatalból indított vizsgálatok, konzultációs ügyek esetében pedig 27 nap volt az átlag. Az előző év adataival összehasonlítva az összes ügyirat esetében 8, a panaszügyek esetében 10 nappal rövidült meg a beadványok lezárásának ideje.
A három év adatait összehasonlítva látható, hogy az idei év tekinthető ebből a szempontból a legeredményesebbnek.
Átlagos ügyintézési idő
ügytípusok szerint 1999-2001
A tavalyi évben az ügyek egynegyedében az első héten, 52 százalékában harminc napon belül született érdemi válasz. Ez évben a beérkezéstől számított első héten az ügyek majd harminc százalékában, öszszességében pedig az ügyek 60 százalékában harminc napon belül érdemi választ kaptak az indítványozók. Így, némi elégedettséggel megismételve az előzőekben már ismertetett tényt, megállapítható, hogy 2001-ben jelentősen csökkent az ügyintézés időtartama.
Az ügyintézés időtartama a 2001-es évben
(Hány ügyre válaszoltunk érdemben) %
A 2001. év egyik fő jellemzője, hogy az adatvédelmi biztosnak több olyan eseményt kellett figyelemmel kísérnie, illetve több olyan panaszüggyel kellett foglalkoznia, amelyek egyrészt hazánk teljes lakossága, illetve a lakosság több mint egyharmada személyes adatainak kezelését, másrészt a közszférában dolgozó százezrek adatainak felhasználását érintette. A több száz írásos és telefonos panaszt kiváltó ügyekben folytatott egyes vizsgálatok mind a vizsgált adatkezelésért felelős irányító szervezetek (minisztériumok, központi államigazgatási szervek) tevékenységére, mind az adatkezelést vagy adatfeldolgozást ténylegesen végző szervekre kiterjedt.
Ebben az évben - a Központi Statisztikai Hivatal szervezésében - végezték a 14. hivatalos magyarországi népszámlálást, amelynek néhány sajátossága, hogy:
- ez volt az első olyan népszámlálás Magyarországon, amely név és pontos cím felvétele nélkül zajlott;
- évtizedek óta először tettek fel különleges adatokra - például a vallásra - vonatkozó kérdéseket;
- az adatvédelmi törvény megszületése utáni első népszámlálás világviszonylatban is egyedülálló adatvédelmi szabályok betartásával - az adatvédelmi biztos folyamatos ellenőrzése alatt - folyt.
Polgárok millióinak személyes adatait érintő egyes adatkezelések jogszerűségének vizsgálatát kellett lefolytatnia a korábbi, illetve kellett megkezdenie a jelenlegi adatvédelmi biztosnak a Millenniumi Országjáró országos programajánló és kulturális magazin postázása, illetve egy párt miniszterelnök-jelöltjének a polgárok nevére és lakcímére - az év végén - küldött levelei kapcsán.
A Pénzügyminisztériummal folytatott hosszas vita után az elmúlt évben adatvédelmi szempontból megnyugtatóan zárult a központosított illetményszámfejtéssel kapcsolatban a 2000. év végén indított adatvédelmi biztosi vizsgálat.
Az információs társadalom hazai kialakításának menetében az elmúlt évben jelentős figyelem fordult az informatika széles körű alkalmazása jogi, szabályozási hátterének megteremtésére.
Például:
- az elektronikus aláírásról szóló, év közepén hatályba lépett törvény - az adatvédelmi biztos véleményére is figyelemmel - megteremtette a hiteles elektronikus nyilatkozattétel, illetőleg adattovábbítás jogszabályi feltételeit az üzleti életben, és megfelelő garanciákat épített be az adatvédelemi követelmények érvényesítésére;
- megszületett az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvény;
- "Az internettel összefüggő adatkezelések egyes kérdéseiről" címmel ajánlást adott ki az adatvédelmi biztos.
Az év közepén - az Igazságügyi Minisztérium adatvédelmi törvény-tervezetében megjelent elképzelés nyomán - a sajtóban élénk vita bontakozott ki a nyilvános helyen, az oktatási intézményben és a munkahelyen "az ott jelen lévő személyek megfigyelése céljából kép- és hangfelvételt rögzítő berendezés" működtetésének lehetősége körül. A sajtóvitában többen is hivatkoztak az európai gyakorlatra, sőt európai adatvédelmi szakértők véleményére, miközben szinte szót sem ejtettek arról, hogy a magyar adatvédelmi biztos 2000. december 20-án - a hazai tapasztalatok összegzésével, és a hatályos jog alapján - ajánlást adott ki a megfigyelés, adatgyűjtés céljából üzemeltetett képfelvevő, -rögzítő berendezésekkel kapcsolatban. Ezért az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - szeptemberben részletes tájékoztatót bocsátott ki a kép- és hangfelvételt rögzítő berendezések működtetésével összefüggő eddigi adatvédelmi gyakorlatról (A tájékoztató a Mellékletben olvasható).
Nagy állami (önkormányzati) adatkezelők
A fentiekben említett "nagy" adatkezelőket érintő ügyek mellett az egyéb adatkezelési kérdéseket érintő beadványok jelentős száma, ezek vizsgálati tapasztalatai, valamint a - személyes és különleges adatok tíz-, vagy százezreit, sőt millióit gyűjtő, tároló, feldolgozó és hasznosító - különféle szervezetek tevékenységét szabályozó számos jogszabály-tervezet véleményezése is azt bizonyítja, hogy az adatvédelmi biztosnak az elmúlt évben is jelentős figyelmet kellett fordítania a nagy állami és önkormányzati adatkezelő szervezetek működésére. A kiemelt figyelmet az is indokolta, hogy 2001-ben többször is előfordult, hogy egyes állami szervezetek törvényi felhatalmazás nélkül, a polgárok akarata ellenére rendelte el, illetve végezte több százezer, illetve millió polgár adatainak felhasználását.
Az egyes nagy állami (önkormányzati) adatkezelők tevékenységével kapcsolatos tapasztalatok összegzése előtt indokolt bemutatni a polgárok sokaságát érintő, több szervezet tevékenységével összefüggő három "nagy" ügyet: a központosított illetményszámfejtéssel, a 2001. évi népszámlálással, illetve a Millenniumi Országjáróval kapcsolatos vizsgálatokat.
A központosított illetményszámfejtés rendszere
Az adatvédelmi biztos a 2000. évi munkájáról szóló beszámolójában már utalt arra, hogy a központosított illetményszámfejtés belügyminisztériumi kísérleti végrehajtásával kapcsolatban vizsgálatot indított. Arról is beszámolt, hogy a munkatársi szintű szakmai konzultációk és a Pénzügyminisztériummal történt levélváltások után - mivel az általa jogellenesnek talált adattovábbításokat csak néhány napra állították le, és jogi érveit nem vették figyelembe - felszólította az adattovábbításban érintett 42 belügyminisztériumi szervezet vezetőjét és az illetményszámfejtést végző munkatársakat mint adatkezelőket, hogy a levelében részletesen kifejtett jogi álláspontra figyelemmel, az Avtv. 25. § (2) bekezdése alapján a jogellenes adatkezelést szüntessék meg. (906/K/2000)
Március közepéig 22 szervezet vezetője tett eleget törvényben előírt kötelezettségének azzal, hogy tájékoztatta az adatvédelmi biztost az adatok továbbításának megszüntetéséről. Azt is jelezték, felkérték a belügyminisztert, illetve az országos rendőrfőkapitányt, hogy a központosított illetményszámfejtéshez szükséges jogszabályi feltételeket teremtsék meg. Egy szervezet vezetője arról számolt be, hogy - mivel a bérszámfejtő programjukat nem használhatják tovább, de jogszerűen szeretnének eljárni - beszerezte a személyi állomány összes tagjának hozzájárulását személyes adataik kezeléséhez, egy rendőrfőkapitány pedig a hozzájárulási nyilatkozat véleményezésére kérte fel az adatvédelmi biztost. Több szervezetet arra ösztönöztek, hogy a Pénzügyminisztériummal kötendő adatfeldolgozói szerződéssel próbálják jogszerűvé tenni a rendszer bevezetését.
Mindezekre figyelemmel az adatvédelmi biztos közleményt adott ki "a központosított illetményszámfejtés bevezetésével okozott jogellenes adatkezelésekről", amelyben jelezte, hogy a jogellenes adatkezeléssel kapcsolatos - Avtv.-ben meghatározott - tájékoztatási kötelezettségét csak korlátozottan tudja teljesíteni, mert:
"A több hónapos vizsgálódás után sem tudta ugyanis megállapítani, hogy az érintett szervezeteknek munkavállalóik milyen személyes (esetleg különleges) adatait kellett átadniuk a rendszert fejlesztő és üzemeltető szervezetnek, továbbá azt sem, hogy az átadott adatokkal ki, hol és milyen adatkezelési műveleteket végzett, vagy végez jelenleg. A minisztérium közigazgatási államtitkára - három írásos felkérés ellenére - sem tájékoztatta az adatvédelmi biztost, hogy személy szerint ki, illetve a PM melyik szervezeti egysége tekinthető a központosított illetmény-számfejtési rendszer üzemeltetőjének. Még a központi rendszer működésének a helyét sem sikerült megállapítani, és azt az adatvédelmi nyilvántartásba sem jelentették be." (A közlemény a Mellékletben olvasható.)
Időközben a Pénzügyminisztériummal folytatott szakmai vita nyomán - az adatvédelmi biztos érveire tekintettel - a tárca hozzákezdett az államháztartásról szóló törvény módosításához. A tervezet véleményezése kapcsán a biztos ismét jelezte, hogy megítélése szerint a kérdéskör rendezéséhez más törvények módosítása is szükséges, ezért felkérte az igazságügy-minisztert, kezdeményezze a közszférában dolgozókra vonatkozó törvények módosítását.
A biztos kezdeményezése nyomán a Pénzügyminisztérium és az Igazságügyi Minisztérium közösen elkészítette azt a szövegtervezetet, amelyet az államháztartásról szóló 1992. évi XXXVIII. törvény folyamatban lévő módosításába javasoltak beépíteni, és amelyet az Országgyűlés az év közepén el is fogadott. E módosítással a központosított illetményszámfejtés jogszerűvé vált, mert törvény mondja ki, hogy a költségvetési szerveknél az illetményszámfejtés milyen célból működik, és e feladatot az említett szerv "jogszabályban e feladatra kijelölt szerv útján" látja el, továbbá felsorolja azokat az adatfajtákat, amelyeket az illetményszámfejtéshez kezelni lehet.
Megkezdődött a közszférában dolgozókra vonatkozó törvények módosításának előkészítése is. Az igazságügy-miniszter levelében arról is tájékoztatta a biztost, hogy "az illetményszámfejtés részére történő adattovábbítás törvényes feltételeinek biztosításához szükséges rendelkezések beépítésre kerültek a köztisztviselők jogállásáról szóló 1992. évi XXIII. törvény, valamint a fegyveres szervek hivatásos állományú tagjainak szolgálati viszonyáról szóló 1996. évi XLIII. törvény folyamatban lévő módosításába. Egyéb, a közszférára vonatkozó törvény tekintetében pedig a kérdés akkor kerül rendezésre, ha e törvények valamely okból módosításra kerülnek".
Az ügy lezárásaként a Független Rendőr Szakszervezet főtitkárának küldött levelében az adatvédelmi biztos április elején a következőket írta:
"Mint azt már a március közepén kiadott közleményemben jeleztem, abban bízom, hogy a jogellenes állapot megszűnik. A fentiekben említett törvénymódosításokkal ugyanis teljes körűen szabályozottá, és ezzel jogszerűvé válhatnának az illetményszámfejtéshez kapcsolódó adatkezelések, adatfeldolgozások, továbbá ezen új szabályozások biztosítanák a közszférában dolgozó sok tízezer állampolgár információs jogainak érvényesülését."
A helyzet rendeződésére utal a PM közigazgatási államtitkárának az év közepén küldött levele, amelyben felajánlotta, hogy a központosított illetményszámfejtési rendszer bevezetése kapcsán létrehozandó - a részletes szabályokat tartalmazó rendelettervezet kidolgozását és a programrendszer készítését segítő, a rendszer működésének tapasztalatait elemző - szakmai munkabizottságban az adatvédelmi biztos vezető munkatársa vegyen részt. Az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - a felkínált lehetőséget elfogadó levelében ezt írta:
"Magam is fontosnak tartom, hogy - az adatvédelmi biztos javaslatai figyelembevételével módosított államháztartási törvénnyel jogszerűvé vált - központosított illetményszámfejtési rendszer széleskörű bevezetését segítő jogszabályok, döntések előkészítése során az adatvédelmi előírások érvényesüljenek." (558/K/2001)
A beszámolási időszakban az adatvédelmi biztos és munkatársai tevékenységének középpontjában a 2001. évi népszámlálás teljes folyamatának figyelemmel kísérése, és az írásos beadványokban vagy telefonon az összeírással kapcsolatban megfogalmazott kérdések megválaszolása, kivizsgálása állt. Az adatvédelmi biztos és irodájának munkatársai népszámlálással összefüggésben rendszeres megbeszéléseket folytattak a Központi Statisztikai Hivatal (KSH) illetékes vezetőivel, munkatársaival, kivizsgálták, megválaszolták a beadványokat, több helyszínen figyelemmel kísérték az összeírással kapcsolatos különböző munkafolyamatokat, az így szerzett tapasztalatokról folyamatosan tájékoztatták a KSH illetékeseit, illetve a sajtón keresztül a közvéleményt. (61/H/2001)
A népszámlálással kapcsolatos tevékenység kiemelendő állomásai, illetve a legfontosabb megállapításai az alábbiak:
- Az adatvédelmi biztos 2001. január 19-én közleményben adott tájékoztatást arról, hogy
"állampolgári indítványok alapján ... a Központi Statisztikai Hivatal vezetőivel egyeztetéseket folytatott a 2001. évi népszámlálás magánéletvédelmi követelményeiről". A közlemény kiemelte, hogy "a népszámlálás során a KSH fizikai és jogi biztosítékokat köteles nyújtani arra, hogy a nemzetiséggel, anyanyelvvel, vallással kapcsolatos kérdésekre adott válaszok alapján a válaszadók ne legyenek azonosíthatóak. [...] A KSH elnöke az adatvédelmi biztossal folytatott egyeztetést követően a számlálóbiztosoknak szóló utasítását úgy módosította, hogy a kérdőívek utca, házszám, emelet, ajtó rovatait (részletes címmegjelölést) üresen kell hagyni."
A közlemény végezetül leszögezte, hogy "tekintettel arra, hogy mindannyiunkat megszámolnak, és ez a személyes adatok védelmét mélyen érinti, és hogy az adatvédelmi törvény hatályba lépése óta először kerül sor országos népszámlálásra, az adatvédelmi biztos a rendelkezésére álló korlátozott eszközökkel az egész folyamatot figyelemmel kíséri, és a tapasztaltakról a társadalmat szükség szerint tájékoztatni fogja."
- Február elején beszereztük a KSH-tól azokat a népszámlálással kapcsolatban készült - adatvédelmi kérdéseket érintő - dokumentumokat, amelyek a kérdőívek feldolgozásának útját, a manuális és számítógépes feldolgozás menetét és ütemezését mutatják be, illetve a feldolgozás adatvédelmi követelményeit határozzák meg.
E dokumentumok elemzése alapján az adatvédelmi biztos meghatározta a népszámlálás figyelemmel kísérését biztosító feladatokat. A következő hetekben néhány önkormányzatnál vizsgáltuk a címjegyzékek, illetve a kérdőívek továbbításának módját, az adatbiztonsági követelmények érvényesítését, valamint a KSH-nál tájékozódtunk egyrészt a kódolási munkafázisról (kik, milyen adatokat, és hogyan kódolnak [ellenőriznek], e munkafolyamatot hol fogják végezni, milyen szabályozás készült erre [útmutató, szerződés, stb.], mit jelent a gyűjtőívek öszszesítő sorának rögzítése, stb.), másrészt arról, hogy miképpen fog történni a kérdőívek végső feldolgozása és megsemmisítése.
- Február és március hónapokban az adatvédelmi biztos folyamatosan megválaszolta az összeírással kapcsolatban érkezett 21 írásos beadványt. Január közepétől az Adatvédelmi Biztos Irodája (ABI) munkatársai igyekeztek érdemi tájékoztatást nyújtani annak a több száz telefonon érdeklődőnek, akiknek jelentős része olyan kérdéseket is megfogalmazott, amelyek nem kapcsolódtak szorosan a népszámlálás adatvédelmi vonatkozásaihoz. Például: mit kell tenni, ha nincs bizalmuk a számlálóbiztos iránt.
Az írásos beadványok többsége az összeírt személyek azonosíthatóságával, a különleges adatok gyűjtésével, az adatszolgáltatás kötelező jellegével, illetve a felvett adatok további felhasználhatóságával foglalkozott, de voltak olyanok is, amelyek az adatvédelmi biztos tevékenységét kritizálták. Néhány részlet az adatvédelmi biztos válaszleveleiből:
"Amint az a fentiekből kitűnik, a különleges adatokra vonatkozó kérdésekre nem kötelező válaszolni, de az adatgyűjtés anonimitásának biztosítása érdekében hivatali lehetőségeim korlátain belül a lehetséges lépéseket megtettem.
A népszámlálási célú adatgyűjtés adatvédelmi vonatkozásaival kapcsolatban többször konzultáltam a Központi Statisztikai Hivatal elnökével, akivel - a polgárok kétségeit és aggodalmait eloszlatandó - abban állapodtam meg, hogy a KSH elnöke a számlálóbiztosoknak szóló utasítását úgy módosította, hogy a kérdőívek utca, házszám, emelet, ajtó rovatait (részletes címmegjelölést) üresen kell hagyni. Ezt természetesen mindenkinek - így Önnek is - jogában áll ellenőrizni. Mindemellett a rendelkezésemre álló eszközökkel az egész folyamatot figyelemmel kísérem, és a tapasztaltakról a társadalmat szükség szerint tájékoztatni fogom.
Kérem, hogy a tragikus történelmi előzmények ellenére tekintsen bizalommal az adatgyűjtésre és az adatgyűjtőkre, azonban amennyiben további kérdése, vagy panasza van, forduljon hivatalomhoz ismét bizalommal." (24/A/2001)
"Sem a statisztikáról szóló 1993. évi XLVI. törvény (Stt.), sem a 2001. évi népszámlálásról szóló 1999. évi CVIII. törvény nem teszi kötelezővé az adatszolgáltatásra kötelezett számára azt, hogy lakásába a számlálóbiztost bebocsássa.
A lakásra vonatkozó kérdéseket a lakáskérdőív tartalmazza, ebben nem szerepel az, hogy az adatszolgáltató iratokkal volna köteles az adatok valódiságát igazolni.
Törvény nem rendelkezik arról, hogy mindenki köteles lenne személyesen adatot szolgáltatni, ennélfogva lehetséges az, hogy a családtagok egymásról szolgáltassanak adatot. Ez alól kivételt jelentenek a vallásra, nemzetiségre és fogyatékosságra vonatkozó kérdések, melyekre - különleges adatok lévén - nem kötelező a válaszadás, így mindenki belátása szerint eldöntheti, hogy erre vonatkozóan szolgáltat-e adatot saját magáról.
Az adatszolgáltatásra kötelezettnek joga van arra, hogy maga töltse ki a kérdőívet, és azt a polgármesteri hivatalban leadja, vagy a kérdezőbiztossal egyeztetett időpontban neki átadja. A vallásra vonatkozó adatszolgáltatással kapcsolatos kérdésére az adatot feldolgozó és összesítő Központi Statisztikai Hivataltól kaphat feleletet. Ami az ügy adatvédelmi vonatkozását illeti, információs önrendelkezési joga birtokában mindenki szabadon nyilatkozhat vagy tartózkodhat a hitére vonatkozó adatszolgáltatástól. Nem látom akadályát annak, hogy kiskorú ebben a kérdésben teljes cselekvőképessége hiányában is nyilatkozzék, ha a jogairól tájékoztatták. A cselekvőképtelen, akaratnyilvánításra képtelen gyermek helyett a szülő teheti meg a nyilatkozatot. Amennyiben a szülők között a nyilatkozat tartalmát illetően nézeteltérés van, azt a megoldást javaslom, hogy ne töltsék ki a gyermek vallására vonatkozó rovatot. A vallásos meggyőződésre irányuló kérdést a KSH személyazonosításra alkalmatlan módon köteles feldolgozni.
A népszámlálásról szóló törvény 3. §-ának (3) bekezdése kimondja, hogy a népszámlálás során gyűjtött adatok kizárólag statisztikai célra használhatók fel. Az Stt. előírja, hogy egyedi adat csak statisztikai célra használható, mással csak akkor közölhető, és abban az esetben adható át, valamint hozható nyilvánosságra, ha ehhez az adatszolgáltató előzetesen írásban hozzájárult. Ez a korlátozás nem vonatkozik az azonos szerven belül statisztikai tevékenységet végző személyek egymás közötti adatközlésére [18. § (1) bekezdés].
A hivatalos statisztikai szolgálathoz tartozó szerv a program végrehajtásából rendelkezésre álló adatokat a hivatalos statisztikai szolgálathoz tartozó másik szervnek - annak feladatai ellátásához - kívánságára köteles továbbítani (adatátadás). Az adatigénylés és adatátadás - a (4) bekezdésben foglalt kivétellel - egyedi adatra nem vonatkozhat [21. § (1) bekezdés].
A számlálóbiztos számlálói igazolványával és személyazonosító igazolványával együttesen igazolja magát, amint arról egyébként a média is tájékoztatta a közvéleményt." (90/A/2001)
"Tekintve, hogy a kérdőíveken nem szerepel a megkérdezett neve, csak a lakcím kódja - melyet a feldolgozás során a lakcímlistával együtt az ívektől elkülönítenek, majd megsemmisítenek -, a kapcsolat az érintettel nem állítható helyre, így az nem tekinthető személyes adatnak.
A törvény felhatalmazása alapján a Központi Statisztikai Hivatal állította össze az íveket, melyek tartalma - tekintettel az anonimitásra - nem sért törvényt.
A 2001. évi népszámlálásról szóló törvény 3. § (3) bekezdése a fentiek mellett kimondja azt is, hogy a népszámlálás során gyűjtött adatok kizárólag statisztikai célra használhatók. (95/A/2001)
"Az adatgyűjtéshez a Központi Statisztikai Hivatal címlistát készített, melyen név nem található, de a lakás azonosítása és az adatgyűjtés biztonsága érdekében a cím mellett úgynevezett címkód szerepel, melyet rávezetnek az összeíró ívekre. Ezt a listát és a címkódot az adatok feldolgozásához nem használják fel, azokat az egyedi adatokkal nem kapcsolják össze, és az adatalany azonosíthatóságát nem teszik lehetővé. [...]
Amint az a fentiekből és a hivatkozott törvények további rendelkezéseiből megállapítható, a Központi Statisztikai Hivatal feladatai ellátása körében jogosult természetes személyek egyedi azonosítására is alkalmas személyes adatát gyűjteni, de azokból a személy azonosítását nem végezheti el, és adatbázisából egyedi adatot, mely által az érintett természetes személy azonosíthatóvá válhat, semmilyen szerv vagy személy megkeresésére nem adhat ki. A fenti törvények mellett a büntető törvénykönyv - azzal, hogy büntetni rendeli a jogosulatlan adatkezelést [Btk. 177/A. §] - védi a polgárok személyes adatai védelméhez fűződő jogait." (102/A/2001)
"Az egészségi állapotra, anyanyelvre, nemzetiségre és vallásra vonatkozó kérdésekre - amint azt Ön is tudja - a 2001. évi népszámlálásról szóló 1999. évi CVIII. törvény 3. § (2) bekezdése alapján nem volt kötelező válaszolni. A kérdőíven mind az egyéni kitöltők, mind a számlálóbiztosok figyelmének felhívása érdekében e kérdéscsoport előtt - a kérdések betűméretét jelentősen meghaladó - nagy betűkkel a következő tájékoztatás áll: "A következő kérdésekre az adatszolgáltatás nem kötelező!". Ez a figyelmeztetés formájában és tartalmában is megfelel az adatgyűjtés törvényességének biztosítására. Ezért - noha az összeírással kapcsolatos tájékoztatás hiányosságait magam is tapasztaltam - indítványa alapján nem látom szükségét vizsgálat lefolytatásának." (119/A/2001)
"Biztosítom Képviselő Urat arról, hogy a rendelkezésemre álló eszközökkel az egész folyamatot - az adatgyűjtést és a feldolgozást is - figyelemmel kísérem, és a tapasztaltakról a társadalmat szükség szerint tájékoztatni fogom. [...]
Kérem Képviselő Urat, hogy az Önhöz forduló polgárokat nyugtassa meg, hogy nem kerülnek hátrányos helyzetbe, mivel a fenti törvények, valamint a büntető törvénykönyv is védi jogaikat." (126/A/2001)
"Tekintettel arra, hogy az egészségi állapotra, vallásra, nemzetiségre vonatkozó adat különleges adatnak minősül, melyet a jog fokozott védelemben részesít, az Stt. ezen adatok gyűjtését csak személyazonosításra alkalmatlan módon teszi lehetővé. Ez a szabály volt a népszámlálás "anonimitásának" legfőbb oka, hiszen - noha nem kötelező jelleggel - szerepeltek az adatlapon a fenti különleges adatokra vonatkozó kérdések. A munkahelyre és munkáltatóra vonatkozó adatszolgáltatást is a fent hivatkozott törvény írja elő." (135/A/2001)
"Sajnálattal vettem levelét, melyben az alkotmány és más jogszabályok alapján végzett tevékenységemmel kapcsolatos nemtetszését fejezi ki. A levelében foglaltakra válaszul az alábbiakról tájékoztatom:
Adatvédelmi biztosként törvényes kötelességem, hogy a személyes adatok védelmével kapcsolatos - hivatalomhoz érkező - indítványokat kivizsgáljam, valamint az is, hogy az adatkezelést érintő jogszabályokat - amennyiben a jogalkotó megküldi - az adatvédelem alkotmányos elvének szempontjából ellenőrizzem. Az országgyűlési biztos az alkotmányos intézményrendszerben elfoglalt helyéből fakadóan nem jogalkotó; akár eseti ügyben, akár jogszabály véleményezése során kialakított állásfoglalása ajánlás, mely nem kötelező a címzettre nézve.
A statisztikáról szóló 1993. évi XLVI. és a 2001. évi népszámlálásról szóló 1999. évi CVIII. törvényt az Országgyűlés alkotta. E törvények rendelkeznek arról, hogy a statisztikai célú adatgyűjtés során milyen adatokat és milyen feltételek mellett lehet gyűjteni. A statisztikáról szóló törvény 8. § (3) bekezdése előírja, hogy természetes személytől személyes adatára vonatkozó kötelező adatszolgáltatást csak törvény rendelhet el. E törvény egyben feljogosítja a Központi Statisztikai Hivatalt arra, hogy természetes személyekről személyazonosításra alkalmas módon gyűjtsön adatot.
A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény a magánélet meghatározott körére vonatkozó adatok - például vallás, nemzeti, nemzetiségi hovatartozás, egészségi állapot - kezelését szigorúbb feltételhez köti: ezeket az adatokat törvény elrendelésén kívül csak az érintett írásbeli hozzájárulása alapján lehet kezelni.
E szabályozás elvei alapján rendelkezik úgy a már hivatkozott statisztikáról szóló törvény 8. § (4) bekezdése, hogy az érintett faji eredetére, nemzeti, nemzetiségi, etnikai hovatartozására, politikai véleményére vagy pártállására, vallásos vagy más meggyőződésére vonatkozó adat csak személyazonosításra alkalmatlan módon és az érintett természetes személy önkéntes adatszolgáltatása alapján gyűjthető.
A 2001. évi népszámlálásról szóló 1999. évi CVIII. törvény természetes személyekre vonatkozóan az alábbi adatkörökre rendeli el az adatgyűjtést:
2. § a) nem, születési időpont, lakóhely, családi állapot, családi állás, termékenység, iskolába járás, iskolai végzettség, személyek és háztartások megélhetési forrása, foglalkozás, munkáltató és munkahely, közlekedés, utazás, egészségi állapot, állampolgárság, vallás, nemzetiség, anyanyelv, nyelvismeret, a lakáshasználat jogcíme, üdülőtulajdon; [...].
3. § (1) Az adatszolgáltatás - a (2) bekezdésben felsorolt kérdések kivételével - kötelező. Az adatszolgáltatók kötelesek a népszámlálás körébe tartozó adatokat a valóságnak megfelelően, az 1. §-ban meghatározott időszakban megadni.
(2) Az adatszolgáltatás az egészségi állapotra, a vallásra, az anyanyelvre és a nemzetiségre vonatkozóan önkéntes.
A Központi Statisztikai Hivatal állította össze a kérdőívet, melynek során a fenti szabályokra tekintettel kellett lennie. Az Ön által nehezményezett helyzet - mely szerint neve nem szerepel a kérdőíven - a fent hivatkozott törvények alapján állt elő, abban nekem közvetlen szerepem nem volt." (177/A/2001)
- Február 20-án az adatvédelmi biztos levélben arról tájékoztatta a KSH elnökét, hogy:
"A KSH, illetve az önkormányzatok illetékeseinek sajtónyilatkozatai, valamint munkatársaim tapasztalatai arra utalnak, hogy - függetlenül a hivatalomhoz az elmúlt hónapban főként telefonon és kisebb hányadában írásban érkezett több száz észrevételtől, kifogástól, kritikai megjegyzéstől - összességében kedvező tapasztalatokkal zajlik hazánkban a 2001. évi népszámlálás.
Az Önnel és munkatársaival folytatott megbeszélésen megfogalmazott adatvédelmi aggályok kezelésére kialakított, az érintettek azonosítását nehezítő megoldás, valamint az adatvédelmi követelmények maradéktalan betartását, illetve azok ellenőrzését kilátásba helyező nyilatkozataink is hozzájárulhattak ahhoz, hogy a több új elemmel is rendelkező népszámlálás adatfelvételi szakasza sikeresen lezárul. Néhány - a sajtóban is nyilvánosságot kapott - félreértés ellenére minden jel szerint túljutottunk az első nehézségeken: a kérdőívek tartalmi kritikáján, a személyes adatok számláló biztosok általi megismerését kifogásoló észrevételeken és a népszámlálással szembeni bizalmatlanságon."
E levélben a biztos arra kérte az elnököt, hogy az alábbi intézkedések megtételével segítse az adatvédelmi követelmények érvényesülését:
? miután az adatvédelmi törvény szerint olyan technikai és szervezési intézkedéseket kell tenni, amelyek biztosítják az adatok védelmét a jogosulatlan hozzáférés, a megváltoztatás, a nyilvánosságra hozás vagy a sérülés ellen, továbbá az adatfeldolgozókat be kell jelenteni az adatvédelmi nyilvántartásba, azt javasolta, hogy a kódolást csak a KSH megyei igazgatóságain végezzék, ahol a törvényi követelmények érvényesíthetők;
? a kérdőívek szkennelt képeit az azonosító jelektől megfosztottan, és az érzékeny adatokat tartalmazó oldalak nélkül indokolt tárolni;
? mivel a kérdőívek szkennelését, majd az adatok felismerését, a hibák javítását - a KSH munkatársainak felügyeletével, közreműködésével - a Bull Magyarország Kft. képviselői az Állami Nyomda telephelyén végzik, a tevékenysége megkezdése előtt a Bull Magyarország Kft.-t, mint adatfeldolgozót - az adatvédelmi törvény előírásai szerint - be kell jelenteni az adatvédelmi nyilvántartásba.
- Március második felében a népszámlással kapcsolatos - adatvédelmi szempontból is figyelemre méltó - újabb tevékenységek indultak: az önkormányzatoktól beérkezett dokumentumok alapján a KSH megyei igazgatóságain megkezdték a kérdőívek feldolgozását: a címjegyzékek javítását, a kérdőívek kódolását és azok ellenőrzését.
A februárban megfogalmazott terveinknek megfelelően a KSH Budapest és Pest Megyei, valamint Szabolcs-Szatmár-Bereg Megyei Területi Igazgatóságain előzetes bejelentés nélkül ellenőrzést hajtottunk végre, amely kiterjedt:
? a fent említett munkafolyamatokat végző személyek kiválasztásának és megbízásának körülményeire;
? a tevékenységek végzésének körülményeire (hol, milyen biztonsági garanciák mellett végzik a feldolgozást);
? az érdemi munkafolyamatok vizsgálatára (a kódolás, a kérdőívek fogadásának, kiadásának, visszavételének és a központi feldolgozásra továbbításának áttekintésére);
? a dokumentumok védelmét szolgáló intézkedések ellenőrzésére.
Az ellenőrzések azt igazolták, hogy az adatvédelmi biztos kérésére is figyelemmel, az adatvédelmi és adatbiztonsági követelményeknek megfelelően folyik a feldolgozó munka.
- Április elején - két héttel a feldolgozás kezdete előtt - az adatvédelmi biztos munkatársai megtekintették a kérdőívek feldolgozásának helyszínét, az Állami Nyomda Rt. szigorúan őrzött, védett telephelyét, és előzetesen tájékozódtak az adatvédelmet, adatbiztonságot szolgáló intézkedésekről.
- Május hónapban egyes érintettek, köztisztviselők, állami vezetők és politikusok megnyilatkozásai, továbbá két országgyűlési képviselő - adatvédelmi biztosi vizsgálatot igénylő - beadványa is arra utaltak, hogy az Országos Rendőr-főkapitányság (ORFK) Köztársasági Őrezrede munkatársainak szerepvállalása a 2001. évi népszámlálásban érintheti a személyes adatok védelméhez fűződő alkotmányos jogok érvényesülését.
A személyes adatok védelme érvényesülésének figyelemmel kísérésével kapcsolatos törvényi kötelezettsége alapján ezért az adatvédelmi biztos úgy döntött, hogy a népszámlálással összefüggésben év eleje óta folyó, a számlálóbiztosok képzésétől a kérdőívek feldolgozásának befejezéséig tartó adatvédelmi biztosi vizsgálat a Köztársasági Őrezred munkatársainak tevékenységére is kiterjed. (A vizsgálatról A Belügyminisztérium és központi adatkezelő szervezete című fejezetrészben számolunk be.)
"Az ORFK Köztársasági Őrezred közreműködéséről a népszámlálásban" című állásfoglalásában az adatvédelmi biztos e vizsgálat tapasztalatait és megállapításait június 1-jén így összegezte:
"1. Mindezek és az adatvédelmi biztos munkatársainak helyszíni vizsgálatai alapján nem merült fel adat arra, hogy az ORFK Köztársasági Őrezredének a belügyminiszter utasítására számlálóbiztosként tevékenykedő tisztjei a számlálóbiztosként szükségképpen megszerzett adatokat jogosulatlanul felhasználták volna. Különös gondot kell fordítani arra - ez a rendőrség vezetőinek felelőssége -, hogy ez a jövőben se történjen meg.
2. A népszámlálásra irányadó jogszabályok jelenleg nem zárják ki sem a rendőröket, sem más rendvédelmi szerv tagjait a népszámlálásban számlálóbiztosként való közreműködésből. Arra azonban törvényi felhatalmazás nélkül nincs joguk, hogy a népszámlálásban szervezetten és irányítottan vegyenek részt, ez ugyanis a KSH, illetőleg a jegyző hatás- és feladatkörét sérti.
3. A 2/2001. (BK 1.) BM utasítás az érintett önkormányzatok jegyzőinek hatáskörét jogszabálysértő módon vonta el azzal, hogy az általuk kijelölendő számlálóbiztos helyébe "saját számlálóbiztost" állított, ezzel önmagában veszélyeztette több ezer állampolgár személyes adatainak védelméhez fűződő jogát.
4. A védett személyek összeírására alkalmazott eljárás nem tekinthető egyébként sem az érintettek információs jogai alkotmányosan indokolt korlátozásának, mert a védelem szempontját másként is érvényre lehetett volna juttatni (pl. önkitöltés, a védett személyek lakóhelyeinek - hasonlóan az intézményi körzetekhez - önálló körzetbe szervezése).
5. A következő népszámlálás jogalkotási megalapozása során a mostani tapasztalatokat hasznosítani szükséges. A törvénynek garantálnia kell az érintettek információs jogait, ennek keretében indokolt a rendészeti szerveket távol tartani a számlálóbiztosi tevékenységtől. A speciális népszámlálási feladatokat (pl. a laktanyákban, fogdákban, közösségi szállásokon történő összeírást) indokolt törvényben szabályozni."
- November 8-án - az adatvédelmi biztos jogkörében is eljárva - az állampolgári jogok országgyűlési biztosa felkereste a feldolgozás helyszínét. A jelenlévő szakemberek tájékoztatást adtak a népszámlálás általános tapasztalatairól, az összeírás újdonságaiból származó gondokról és azok megoldásáról, a kérdőívek feldolgozásának menetéről, a KSH munkatársai és a feldolgozást végző, illetve abban közreműködő szakemberek közötti munkamegosztásról. Az országgyűlési biztos megtekintette a feldolgozás helyszínén a kérdőívek megsemmisítésének munkafolyamatát is.
A "Millenniumi Országjáró" ügy
Az adatvédelmi biztos hivatalához május 24-étől érkeztek olyan írásos beadványok és telefonos kérdések, amelyekben az állampolgárok - a nevükre és címükre postán érkezett Millenniumi Országjáró országos programajánló és kulturális magazin (továbbiakban: Országjáró) kapcsán - arról érdeklődtek, hogy az Országjáró kiadója, a Miniszterelnöki Hivatal Országimázs Központja hogyan jutott név- és lakcímadatukhoz, illetve adataikat jogszerűen használta-e fel. Többen arra is választ vártak, hogy miképpen kerülhetik el a kiadvány jövőbeli névre szóló postázását. Egyesek azt kifogásolták, hogy a magazin postázásáról úgy mondhatnak le, ha - nevük és címük feltüntetésével - nyílt levelezőlapon, egy ismeretlen postafiókra "lemondó nyilatkozat"-ot küldenek.
A beadványok alapján az adatvédelmi biztos vizsgálatot folytatott annak megállapítására, hogy az Országjáró postázásában közreműködő szervezetek - a személyes adatok kezelése során - a hatályos jogszabályok előírásainak megfelelően végezték-e tevékenységüket. A vizsgálat megállapításait ajánlásban rögzítette. (Az ajánlás teljes szövege a Mellékletekben olvasható.)
A vizsgált ügyben egyrészt három és fél millió polgár név- és lakcímadatának, másrészt néhány száz polgár - a magazin jövőbeli postázását lemondó szándékát jelző - adatának gyűjtésére, tárolására, továbbítására, feldolgozására és törlésére került sor. A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (Avtv.) értelmező rendelkezése szerint a Belügyminisztérium (BM) Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal (a továbbiakban: Központi Hivatal) és az Országimázs Központ adatkezelőként, míg a Posta adatfeldolgozóként vett részt az Országjáró - polgárok meghatározott köréhez történő - eljuttatásában.
Az adatvédelmi biztos megállapította, hogy a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény (Nytv.) előírásai feljogosítják a Központi Hivatalt arra, hogy jogi személy kérelmére - jogának vagy jogos érdekének érvényesítése érdekében - a törvényben meghatározott feltételekkel és korlátok között, a felhasználás céljának és jogalapjának igazolása esetén név- és lakcímadatokat szolgáltasson. A Miniszterelnöki Hivatal, illetve az annak szervezeti egységeként működő Országimázs Központ számára viszont sem a - nyilvántartási szervezethez benyújtott - kérelemben hivatkozott, sem más jogszabály nem ír elő olyan feladatot, például tájékoztatási tevékenységet, amelyhez magyar állampolgárok adatait tartalmazó adatbázisra van szükség.
A biztos úgy ítélte meg, hogy a vonatkozó törvényi előírások alapján a Központi Hivatalnak a kérelem teljesítését meg kellett volna tagadnia. Elsősorban azért, mert a kérelemben megjelölt cél a kérelmező jogát, illetve jogos érdekét nem érinti, illetve az adattal érintett polgár személyiségi jogát sérti. A kérelemben nem jelöltek meg olyan jogalapot, amely bizonyítja azt a - felhasználási célnak alapot adó - kapcsolatot, amely az Országimázs Központ és az érintett polgárok között fennáll, vagy fennállt. A kérelem teljesítését azért is meg kellett volna tagadni, mert az Országimázs Központnak nincs törvényi felhatalmazása arra, hogy polgárok név- és lakcímadatait kezelje. A kérelemben hivatkozott, a magyar állampolgárok millióit érintő "tájékoztatási tevékenység"-gel összefüggésben személyes adatok kezelésére törvény egyetlen állami szervezetnek sem ad konkrét felhatalmazást.
Az Avtv. szabályai szerint személyes adat csak akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény előírja. Az Nytv.-ben pedig meghatározott adatfajtára és adatkezelőre együttesen kell megállapítani a személyes adatok kezelésének lehetőségét. További fontos követelmény, hogy csak olyan személyes adatot lehet törvényben meghatározott célból - a cél megvalósulásához szükséges mértékben és ideig - kezelni, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas.
A biztos a vizsgálat összegzéseként megállapította, hogy "egyrészt az Országimázs Központ - a Miniszterelnöki Hivatal jogszabályokban meghatározott feladatain túlterjeszkedve - megfelelő jogi felhatalmazás nélkül igényelte több millió polgár név-, és lakcímadatát a Központi Hivataltól, másrészt a Millenniumi Országjáró országos programajánló és kulturális magazin postázása kapcsán több jogellenes adatkezelésre, és egyéb jogsértésre került sor, és ezzel sérült a polgárok személyes adatok védelméhez fűződő alkotmányos joga.
- A BM Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal - az adatszolgáltatási kérelem téves elbírálása miatt - jogellenesen továbbította több mint három és fél millió polgár név- és lakcímadatát a Miniszterelnöki Hivatal Országimázs Központjának.
- A Miniszterelnöki Hivatal Országimázs Központja jogellenesen tárolta és továbbította több mint három és fél millió polgár név- és lakcímadatát, és jogellenesen gyűjtötte, tárolta és továbbította a lemondási szándékukról nyilatkozó polgárok adatait.
- Az Országimázs Központ a törvényi előírás ellenére nem jelentette be az adatvédelmi nyilvántartásba az Országjáró postázásával összefüggő adatkezelést és adatfeldolgozást."
Az adatvédelmi biztos 2001. június 26-án küldte meg ajánlását a belügyminiszternek, a Miniszterelnöki Hivatalt vezető miniszternek, valamint a BM Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal vezetőjének:
"Figyelemmel arra, hogy a Millenniumi Országjáró országos programajánló és kulturális magazin postázásával összefüggő adatkezelések során sérült a polgárok személyes adatának védelméhez fűződő joga, a további és jövőbeli jogsértések elkerülése érdekében az alábbi ajánlást teszem:
? Felszólítom a BM Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal vezetőjét, hogy a szervezet rendeltetésszerű működésével biztosítsa az alkotmányos alapjogok védelmét. Az adatszolgáltatási kérelmek elbírálásakor körültekintően járjanak el, vegyék figyelembe, hogy - a felhasználás céljának és jogalapjának igazolása esetén is - állami szerveknek csak olyan feladat ellátásához adható ki személyes adat, amely jogszabályban pontosan meg van határozva, de akkor is csak abban az esetben, ha az igényelt adatok kezelésére a kérelmező szervezetet - adatfajtákat és az adatkezelőt is nevesítő - törvény jogosítja fel.
? Felkérem a belügyminisztert, és a Miniszterelnöki Hivatalt vezető minisztert, hogy:
? a Millenniumi Országjáró postázásával összefüggő jogellenes adatkezelésekkel kapcsolatban folytassanak vizsgálatot a fegyelmi, vagy egyéb felelősség megállapítására;
? gondoskodjanak a lemondó nyilatkozatok, illetve az azokról készült adatállományok megsemmisítéséről.
? Felkérem a Miniszterelnöki Hivatalt vezető minisztert, hogy a jövőben a közérdekű információk terjesztésére olyan megoldást válasszon, amely garantálja a személyes adatok védelméhez fűződő alkotmányos alapjog maradéktalan érvényesülését. A jelenlegi jogi szabályozás szerint állami szervek tájékoztató anyagokat névre szólóan azoknak küldhetnek, akik azt - nevük és lakcímük megadásával - kérik. Ugyanakkor a név- és lakcím nélküli terjesztés az információs önrendelkezési jogot nem sérti.
? Felhívom az állampolgárok figyelmét arra, hogy - személyesen vagy meghatalmazott képviselőjük útján, továbbá ajánlott levélben a lakó- vagy tartózkodási hely szerint illetékes helyi nyilvántartási szervnél (a jegyzőnél), vagy a BM Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatalánál előterjesztett - korlátozó nyilatkozattal jogosult megtiltani a róla nyilvántartott adatok kiadását. Ezzel a nyilatkozattal megakadályozható, hogy személyes adataikat kutatás vagy közvetlen üzletszerzés céljából továbbítsák, illetve törvényben fel nem jogosított szervek és személyek felhasználhassák."
Az adatvédelmi biztos ajánlására, illetve az ajánlás azon pontjaira, amelyekben az adatkezelőket, vagy felügyeleti szerveiket intézkedés megtételére szólította fel, illetve kérte fel, az érintettek az alábbiak szerint reagáltak:
- A BM Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal vezetője - július 16-án kelt és kézbesített - levelében leszögezte, hogy "a Központi Hivatal az adatigénylés elbírálása, illetőleg az adatszolgáltatás biztosítása során a hatályos jogszabályokat megtartotta, az adatok átadásával a polgárok alkotmányos alapjogát nem sértette."
E véleményét azzal támasztotta alá, hogy:
? az Nytv. 19. § (1) bekezdés a) pontja értelmében "a polgár név- és lakcímadatát bármely [...] jogi személy [...] jogosult igényelni - a felhasználás céljának és jogalapjának igazolása mellett - jogának, vagy jogos érdekének érvényesítése érdekében";
? bár a hatályos jogszabályok azt nem határozzák meg teljes körűen, hogy "mely eset(ek)ben alapozza meg a kérelmező joga, vagy jogos érdeke az adatszolgáltatási kérelmet", és a "különböző szervezetek feladatait, illetőleg jogállását megállapító [...] törvények általában kellő részletességgel szabályozzák az érintett szervezet adatkezelési jogosultságát", továbbá "az Nytv. nem definiálja, hogy mely jogok érvényesítése céljából biztosítható adatszolgáltatás", "azonban, ha valamely [...] jogi személy, [...] jogi helyzetét, jogszabályban megállapított feladatait érinti az adatszolgáltatási igény, a jogos érdek nem vitatható";
? az Országimázs Központ "jogos érdeken alapuló adatszolgáltatási igényét a Miniszterelnöki Hivatalról szóló 137/1998. (VIII. 18.) Korm. rendelet 5. és 11. §-ában (lásd később) konkrétan megfogalmazott feladatok - álláspontunk szerint - megalapozzák";
? az idézett kormányrendelet "1. §-ában (lásd később) foglaltakra figyelemmel, illetőleg arra, hogy a polgár és az államigazgatás szervezeti rendszerében a miniszterelnök munkaszervezeteként működő Hivatal közötti kapcsolat nem vitatható, a jogos érdek megalapozott", így igazoltnak tekinthető az a tény, illetőleg esemény, amelynek igazolását a Nytv. végrehajtásáról szóló 146/1993. (X. 26.) Korm. rendelet 25. § (1) bekezdése (lásd később) megköveteli;
? "az adatszolgáltatásról szóló engedély kizárólag ezt a jogos érdeket és célhoz kötöttséget rögzítette."
- A belügyminiszter - július 31-én kelt és augusztus 1-jén kézbesített - levelében úgy ítélte meg, hogy a "Miniszterelnöki Hivatal nevében és képviseletében eljáró Országimázs Központ [...] az adatkezelés célját és jogalapját megjelölve jogosan igényelt név- és lakcímadatokat a Központi Hivataltól, aki ez alapján jogosan nyújtotta a kért adatszolgáltatást. Mindezek alapján további vizsgálat elrendelése nem indokolt."
Álláspontját - az Nytv. céljának és a nyilvántartásból történő adatszolgáltatás főbb elveinek rövid ismertetése után - azzal támasztotta alá, hogy:
? az Nytv. "20. §-a értelmében a polgár név- és lakcím adatáról - függetlenül attól, hogy élt-e adatai letiltásának jogával - jogi személynek adatszolgáltatás akkor is teljesíthető, ha azt a polgárral szemben igazolt kötelezettsége teljesítése érdekében kéri".
A Miniszterelnöki Hivatal polgárokkal szembeni kötelezettségét igazolják az alábbi jogszabályi előírások:
? a Miniszterelnöki Hivatalról szóló 137/1998. (VIII. 18.) Korm. rendelet 5. § o) pontja értelmében a Hivatal "[...] kialakítja és összehangolja a Kormány kommunikációs stratégiáját, ellátja a miniszterelnök munkájával és a Kormány testületi működésével kapcsolatos egyéb tájékoztatási tevékenységet, felelős Magyarország külföldi országképének formálásáért";
? e kormányrendelet 11. §-a értelmében a Hivatal a "Miniszterelnökség" költségvetési fejezettel kapcsolatban "ellátja azokat a feladatokat, amelyeket jogszabályok a fejezetek irányító szervei hatáskörébe utalnak";
? a költségvetésről szóló "2000. évi CXXXIII. törvény 1. sz. melléklete a Miniszterelnökség fejezetcím alatt célelőirányzatként jelöli meg az Országépítést és tájékoztatási feladatot."
Hivatkozva az adatvédelmi biztos ajánlásának azon kitételére, miszerint az Avtv.-ben foglalt rendelkezésektől csak törvényben megengedett kivételes esetben lehet eltérni, "de csak ha azt az adatfajtára és adatkezelőre együttesen lehet megállapítani" azt írja a belügyminiszter: "Véleményem szerint jelen esetet épp a törvény adja meg, amikor a 20. § (lásd később) arról rendelkezik, hogy név- és lakcímadatokat jogi személy a polgárral szemben igazolt kötelezettsége teljesítése érdekében igényelhet, ebbe beleértve, hogy természetszerűleg adatkezelővé is válik."
- Az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - augusztus elején küldött levelében arra kérte a Miniszterelnöki Hivatalt vezető minisztert, hogy "szíveskedjen tájékoztatni az ajánlás tekintetében kialakított érdemi állásfoglalásáról, illetve a megtett intézkedésekről". A Miniszterelnöki Hivatal helyettes államtitkára augusztus 29-én kelt levelében arról tájékoztatta a biztost, hogy a miniszter az adatvédelmi biztos ajánlását "megvizsgáltatta és álláspontját - a törvényes határidőn belül - rögzítette. Sajnálatos módon az Önnek szóló levél postázása adminisztrációs hiba miatt elmaradt."
E fent említett kísérőlevéllel megküldött - július 24-i dátumú - válaszában a Miniszterelnöki Hivatalt vezető miniszter kifejtette, hogy "az ajánlással kapcsolatban foglaltakkal nem értek egyet, álláspontom szerint az adatszolgáltatás és adatkezelés jogszerű volt, az állampolgárok információs önrendelkezési joga nem sérült."
Álláspontját a következők szerint rögzítette:
? "az adatszolgáltatásra az Nytv. 19. § (1) bekezdés a) pontja, illetőleg 20. §-a alapján, a törvény 17. § (1) bekezdése alapján benyújtott kérelem engedélyezését követően került sor";
? "a programajánló és kulturális magazinnak az állampolgárokhoz történő eljuttatása a Miniszterelnöki Hivatal közszolgálati feladata", amelyet a Hivatal munkájáról szóló 137/1998. (VIII. 18.) Korm. rendelet 5. § o) pontjában meghatározott feladatok alapozzák meg. "E feladatkörébe illeszkedik az általános tájékoztatási kötelezettség, amelynek egyik formája a közérdekű és közérdeklődésre számot tartó adatokat tartalmazó lap eljuttatása az állampolgárokhoz";
? az Országjáró postázásával összefüggő adatkezelést és adatfeldolgozást azért nem jelentették be az adatvédelmi nyilvántartásba, mert "az adatkezelés a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 30. § g) pontja (lásd később) szerint nem esik bejelentési kötelezettség alá."
Az ajánlásban megfogalmazott egyéb kérésekkel kapcsolatban azt jelezte, hogy:
"Vétkes kötelezettségszegés hiányában nem látok indokot személyes felelősség megállapításának elrendelésére."
"A Miniszterelnöki Hivatalhoz beérkezett lemondó nyilatkozatokat továbbítottuk a BM Adatfeldolgozó, Nyilvántartó és Választási Hivatalához."
A fentiekben ismertetett elvi álláspontjának rögzítése mellett a miniszter arról adott tájékoztatást, hogy "a felesleges feszültség elkerülése érdekében a jövőben más formában kívánjuk megoldani az Országjáró Magazin állampolgárokhoz történő eljuttatását. Nevezetesen: nem fogunk személyes adatokat igényelni, hanem az Nytv. 18. § (3) bekezdésében foglaltak alapján az adatokat törvény alapján kezelő szerveket kérjük fel az Országjáró Magazin továbbítására."
Az adatvédelmi biztos ajánlását elutasító véleményekben közös elem, hogy egyrészt az Nytv. törvényi felhatalmazást biztosított az adatkezelésre, másrészt az Nytv. alapján az adatkérés és adatszolgáltatás jogszerű, mivel az adatkezelésre a kérelmező szervezet "jogának, vagy jogos érdekének érvényesítése", illetőleg "a polgárral szemben igazolt kötelezettsége teljesítése" érdekében került sor. (Nytv. 20. § "(1) A polgárnak a 17. § (2) bekezdésének a) és b) pontjában meghatározott adatairól - függetlenül attól, hogy élt-e adatai letiltásának jogával - [...] jogi személynek [...] adatszolgáltatás akkor teljesíthető, [...] ha a kérelmező [...]
b) jogi személy a polgárral szemben igazolt joga érvényesítése vagy kötelezettsége teljesítése érdekében kéri. Ez esetben is csak legfeljebb annyi adat szolgáltatható, amennyi a felhasználás célját még kielégíti.")
Fontos érvként fogalmazódott meg az is, hogy a Millenniumi Országjáró postázásával kapcsolatos adatkezelések jogszerűségét a Miniszterelnöki Hivatalról szóló kormányrendelet is alátámasztja, mivel az olyan tájékoztatási feladatokat határoz meg a hivatal számára, amelyek egyrészt az adatigényléshez szükséges jogos érdeket megalapozzák, másrészt igazolják azt a kötelezettséget, amelyet a polgárokkal szemben teljesítenie kell a Miniszterelnöki Hivatalnak.
Az ajánlás megállapításai és az ügyben érintett szervezetek véleménye közötti eltérések jogértelmezési kérdéseket vetnek fel. A törvényi előírásokat érintő legfontosabb kérdések a következők:
- elégséges törvényi felhatalmazást nyújt-e az Nytv. ahhoz, hogy polgárok név- és lakcímadatát az ügyben érintett három szervezet kezelje, figyelemmel arra, hogy az Avtv. 1. §-a szerint az információs önrendelkezési jog csak akkor korlátozható, ha "azt törvény kifejezetten megengedi", és az "e törvény szerint megengedett kivételt csak meghatározott adatfajtára és adatkezelőre együttesen lehet megállapítani";
- miközben az Nytv. 21-24. §-ai tételesen meghatározzák azokat az államigazgatási és igazságszolgáltatási szerveket, amelyek alkotmányon alapuló - e törvényben is említett, és a tevékenységükre vonatkozó törvényekben tételesen megfogalmazott - feladataik ellátása céljából jogosultak adatokat igényelni a nyilvántartásból, megfelel-e a törvényi követelményeknek, hogy a Miniszterelnöki Hivatal - kormányrendeletből levezetett - jogos érdeke érvényesítéséhez az Nytv. általános felhatalmazása alapján igényelje polgárok millióinak adatait;
- létezik-e a polgár és a Miniszterelnöki Hivatal között olyan tény, illetőleg esemény, amelyet a kérelmezőnek a joga vagy jogos érdeke érvényesítéséhez szükséges adat igénylésekor - az Nytv. végrehajtásáról szóló 146/1993. (X. 26.) Korm. rendelet alapján - "köteles igazolni, amely bizonyítja azt az adatfelhasználási célnak alapot adó kapcsolatot, amely az érintett polgár és közötte fennáll, vagy fennállt";
- megalapozzák-e a Miniszterelnöki Hivatal jogos érdeken alapuló adatszolgáltatási igényét, illetve az Országjáró postázásával kapcsolatos adatkezeléseket a 137/1998. (VIII. 18.) Korm. rendelet - válaszlevelekben - hivatkozott alábbi előírásai:
"1. § A Miniszterelnöki Hivatal (a továbbiakban: Hivatal) a miniszterelnök munkaszervezete, amely a miniszterelnök és a Kormány döntéseinek, valamint a kormányprogram célkitűzéseinek megfelelően gondoskodik a kormányzati tevékenység stratégiai irányításáról és összhangjának biztosításáról, a döntés-előkészítésben az összkormányzati érdekek érvényesítéséről. A Hivatal egyúttal ellátja a Kormány testületi működésével kapcsolatos feladatokat."
"5. § A Hivatal a Kormány működésével kapcsolatban [...]
o) önálló feladatkörű politikai államtitkár útján kialakítja és összehangolja a Kormány kommunikációs stratégiáját, ellátja a kormányszóvivői feladatokkal, valamint a miniszterelnök munkájával és a Kormány testületi működésével kapcsolatos egyéb tájékoztatási tevékenységet, felelős Magyarország külföldi országképének formálásáért, az egységes kormányzati kommunikáció érdekében összehangolja a minisztériumok sajtószerveinek tevékenységét, és szakmai-módszertani segítséget nyújt részükre."
"11. § (1) A Hivatal a "Miniszterelnökség" költségvetési fejezettel kapcsolatban - kivéve a költségvetésről szóló törvényben meghatározott címeket - ellátja mindazokat a feladatokat, amelyeket jogszabályok a fejezetek irányító szervei hatáskörébe utalnak."
- a Miniszterelnöki Hivatal általános tájékoztatási kötelezettsége (például: "közérdekű és közérdeklődésre számot tartó adatokat tartalmazó lap eljuttatása az állampolgárokhoz") teljesíthető-e több millió polgár név- és lakcímadatának felhasználásával, figyelemmel az Avtv. 4. §-ára, miszerint "a személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait - ha törvény kivételt nem tesz - az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát (19. §) is, nem sérthetik"
- értelmezhető-e az Avtv. 30. § g) pontja ("Nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely [...] g) a sajtótörvény hatálya alá tartozó társaságok és szervek olyan adatait tartalmazza, amelyek kizárólag saját tájékoztatási tevékenységüket szolgálják") úgy, hogy e rendelkezés alapján a szóban forgó adatkezeléseket, illetve adatfeldolgozást nem kell bejelenteni az adatvédelmi nyilvántartásba?
A fenti jogszabály-értelmezési kérdések megválaszolásától függően adható válasz az Országjáró postázásával összefüggő két alapvető kérdésre:
- történt-e jogellenes adatkezelés, sérült-e a polgárok személyes adatának védelméhez fűződő joga, illetőleg
- a közérdekű adatok nyilvánosságához fűződő jog érvényesülését szolgálta-e a magazin postázása?
Az Alkotmánybíróság - a magyar adatvédelmi jogot megalapozó, és eljárásai során rendszeresen hivatkozott - 15/1991. (IV. 13.) AB határozat indoklásában a Központi Hivatal jogelődjének tevékenységével összefüggésben a következőket fejtette ki:
"Azonban az objektív feltételek: a szóban előterjesztett "jogos érdek", illetve bármiféle szervezet "feladatának ellátása" már maguk sem elégítik ki a személyiségi jogok védelmét, hogyan adhatnának tehát kiindulópontot az állami népességnyilvántartás számára ahhoz, hogy mérlegelje, az adat kiadása vagy felhasználása nem sérti-e az érintett személyiségi jogát. A "feladat" és a "jogos érdek" egyaránt megragadhatatlan, s nem is különböznek egymástól. Például a vállalkozások feladata (és a vállalkozó jogos érdeke) a nyereséges működés. Vajon az Állami Népességnyilvántartó Hivatal szabadon dönti el, hogy tízezer meghatározott nemű, életkorú, adott településtípuson élő, adott végzettségű személy nevének és lakcímének kiadása [...] sérti-e személyiségi jogukat?"
Az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - szeptember 10-én részletes tájékoztatót bocsátott ki a Millenniumi Országjáró postázásával összefüggő adatkezelésekkel kapcsolatos adatvédelmi biztosi eljárásról. A tájékoztató összegzi az ügy előzményeit, ismerteti az adatvédelmi biztos jogi álláspontját, ajánlását, az érintett szervek válaszait és bemutatja a vélemények közötti - a fentiekben részletesen ismertetett - eltéréseket. (A tájékoztató teljes szövege a mellékletben olvasható.)
Az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - az adott ügyben megfogalmazódott ellentétes álláspontokból és az ügyben szereplők által idézett jogszabályokból két fontos következtetést vont le:
A Millenniumi Országjáró postázásával összefüggő adatkezelések több vonatkozásban nem feleltek meg a személyes adatok kezelésével kapcsolatos - és az adatvédelmi biztos korábbi joggyakorlatát megalapozó - törvényi előírásoknak.
A közérdekű és közérdeklődésre számot tartó adatokat tartalmazó lap állampolgárokhoz való eljuttatásához joga van a Miniszterelnöki Hivatalnak, miután az Avtv. is előírja, hogy az állami feladatot ellátó szerv "a feladatkörébe tartozó ügyekben [...] köteles elősegíteni a közvélemény gyors és pontos tájékoztatását". Ezen jog gyakorlásához, illetve kötelezettség teljesítéséhez azonban - amennyiben ezt a polgárok név- és lakcímadatának felhasználásával indokolt megoldani - minden szempontból megfelelő, pontos törvényi felhatalmazás szükséges.
Mindezek alapján, és figyelemmel a Miniszterelnöki Hivatalt vezető miniszter tájékoztatására, miszerint "a jövőben más formában kívánjuk megoldani az Országjáró Magazin állampolgárokhoz történő eljuttatását. Nevezetesen: nem fogunk személyes adatokat igényelni, [...]", a Millenniumi Országjáró országos programajánló és kulturális magazin postázásával összefüggő adatkezelésekkel kapcsolatos ügyet - a nyilvánosság részletes tájékoztatásával - az állampolgári jogok országgyűlési biztosa lezárta. (441/A/2001)
A Belügyminisztérium és központi adatkezelő szervezete
A Belügyminisztérium, illetve az irányítása alá tartozó szervezetek adatkezeléssel összefüggő tevékenységére az elmúlt évben is jelentős figyelmet kellett fordítania az adatvédelmi biztosnak. A központosított illetményrendszer minisztériumi kísérleti bevezetését, illetve a Millenniumi Országjáró magazin postázását érintő adatvédelmi kérdésekről, az adatvédelmi biztos kezdeményezésiről és azok fogadtatásáról a fentiekben már részletesen szóltunk.
A 2001. évi népszámlálással összefüggésben - beadvány alapján - vizsgálta az adatvédelmi biztos az ORFK Köztársasági Őrezred munkatársainak számlálóbiztosként való közreműködését. (61/H/2001)
A vonatkozó jogszabályok, egyéb jogi normák és más dokumentumok tanulmányozása, valamint a Köztársasági Őrezrednél, a Központi Statisztikai Hivatalban, és az ügyben érintett egyik fővárosi kerületi önkormányzatnál folytatott helyszíni vizsgálatok alapján a biztos megállapította, hogy bár a Köztársasági Őrezred munkatársainak tevékenysége kapcsán a személyes és a különleges adatok jogellenes felhasználására, hasznosítására utaló tény nem merült fel, a kormányőrök bevonásával - elsősorban adatvédelmi szempontból - kifogásolható eljárások történtek, melyek jogsérelem veszélyét idézték fel több ezer polgár személyes adatainak védelme tekintetében. A vizsgálat - egyebek mellett - megállapította, hogy:
"Az ORFK Köztársasági Őrezred vezetői 2000. október közepén kapták meg a BM Személyügyi Főosztály vezetőjének azt a levelét, amely felhívta az ORFK vezetőjének figyelmét a népszámlálással kapcsolatban az egyes rendőri szerveknél jelentkező speciális feladatokra, így egyebek mellett arra, hogy a védett személyek összeírását - a biztonsági okokra és sajátosságokra tekintettel - célszerű az ORFK Köztársasági Őrezred parancsnoka által, a munkatársai közül kijelölt, "saját" számlálóbiztosokkal végrehajtani.
A januárban megjelent BM utasítás - az egyéb teendők megfogalmazása mellett - jogi formába öntötte az Őrezred munkatársainak népszámlálásban történő közreműködését: "A védett személyek összeírását, a 'Személyi kérdőívek' és a 'Lakáskérdőívek' kitöltését - a biztonsági okokra és sajátosságokra tekintettel a települési (fővárosi kerületi) önkormányzat jegyzője által kijelölt számlálóbiztos helyett - az ORFK Köztársasági Őrezred parancsnoka által, a munkatársai közül kijelölt, 'saját számlálóbiztosokkal' kell végrehajtani."
A "saját számlálóbiztosok" februárban végezték el a feladatukat: néhányan az összeírás elején a felülvizsgálóval együtt végezték az adat-felvételezést; a kitöltött kérdőíveket közvetlenül a felülvizsgálóknak adták át, általában egy-két naponta; az adatlapokba az összeírón és a felülvizsgálón kívül más nem tekinthetett be; az összeírás befejezését a számlálóbiztosok szóban jelentették közvetlen vezetőjüknek. A vizsgálat során meghallgatott számlálóbiztosok azt is elmondták, hogy az összeírás helyszínén csak a kérdőíveken szerepelő kérdéseket tették fel; maguk nem közölték, de ha szóba került, akkor nem titkolták el, hogy rendőrök, írásos jelentést nem készítettek, a tapasztalataikról az Őrezrednél csak annyiban érdeklődtek, hogy számlálóbiztosi tevékenységüket ellátták-e.
A kormányőrök népszámlálásban való közreműködéséről májusban több összefoglaló jelentést készített a Köztársasági Őrezred vezetése: például interpellációkra való reagáláshoz, illetve néhány képviselő írásos kérdésére készítendő válaszhoz - az ORFK vezetésén keresztül - a belügyminiszter számára.
A kormányőrök közreműködését érintő adatvédelmi jellegű kifogásokat a biztos így indokolta állásfoglalásában:
"A népszámlálás során a számlálóbiztosok személyes adatokat kezeltek, hiszen olyan adatokat gyűjtöttek, vettek fel, amelyek az érintettekkel kapcsolatba hozhatók. A jegyzők által kiválasztott számlálóbiztosok esetében ez a kapcsolat általában esetleges és felszínes volt, az adatfelvétel kezdetétől annak befejezéséig, illetve a kérdőívek leadásáig tartott.
A belügyminiszteri utasítás alapján kijelölt "saját számlálóbiztosok", például a kormányőrök esetében azonban egyrészt ez a kapcsolat elvileg hosszabb ideig is fennállhat(ott), másrészt szorosabb lehetett, hiszen az összeírandó személyről és mindenekelőtt a védett személyekről és családtagjaikról, valamint a szomszédjaikról egyéb adatok is birtokukba kerültek, így az összeírt személyes és különleges adatok mélyebb tartalmat, más értelmet is kaphattak a Köztársasági Őrezrednél. Ugyanis azok az adatok is személyes adatnak tekintendők, amelyek önmagukban ugyan nem, de az adatkezelő (a Köztársasági Őrezred) birtokában lévő egyéb személyes adatokkal összevetve az érintettel kapcsolatba hozhatóak.
Hasonló helyzet alakulhatott ki a Belügyminisztériumhoz tartozó intézmények lakóinak összeírásakor, hiszen "az intézményt üzemeltető, illetve bérlő szervezet vezetője (pl. budapesti rendőrfőkapitány, rendőrtiszti főiskola főigazgatója, rendészeti szakközépiskola igazgatója stb.) által, a munkatársai közül kijelölt "saját számlálóbiztosok" esetleg a kollégáik, illetve a hallgatók olyan személyes és különleges adatait is összeírták, amelyeket nem ismerhetnének.
[...]
A rendőri szervezetnek a KSH adatfelvételi tevékenységébe - megfelelő jogszabályi felhatalmazás nélküli - bekapcsolódása, és e tevékenység koordinálásában vállalt szerepe, illetve a "saját számlálóbiztosok" alkalmazása lehetőséget teremtett arra, hogy az Őrezred tagjai a szolgálati feladatként végzett összeírás során megismert személyes és különleges adatokat esetleg hozzárendeljék a szervezet által védett személyekhez, azok családtagjaihoz, illetve a környezetükben élőkhöz.
A válaszadók azonosíthatatlanságának követelménye azáltal sérülhetett, hogy a Köztársasági Őrezred munkatársai a védett személyek környezetében lakókról ez idáig is rendelkezésükre álló adatokat - elméletileg - ki is egészíthették néhány olyan információval (például az iskolai végzettségre, a munkahelyre, a beosztásra, a nemzetiségre, az anyanyelvre, a vallásra vonatkozó adattal), amellyel a népszámlálásig e szervezet nem rendelkezhetett."
A vizsgálat során az adatvédelmi biztos nem találkozott arra utaló jelekkel, hogy a népszámlálást végző kormányőrök jogellenes adatgyűjtést, esetleg valamiféle "környezettanulmány"-t, a védett vezetők biztonsági helyzetének megítélését segítő információgyűjtést folytattak volna. (Az ORFK Köztársasági Őrezred közreműködéséről a népszámlálásban című állásfoglalás a Mellékletekben olvasható.)
A BM Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal (Központi Hivatal) adatkezelését érintő beadványok egy része a név- és lakcímadatokkal való kereskedéssel, a panaszos adatainak direkt marketing célra történő továbbítását vagy felhasználását, míg másik részük a jelentős számú polgárt érintő - és nagy sajtóvisszhangot kapott - adatszolgáltatások jogszerűségét kifogásolta.
Több olyan beadványt vizsgált az adatvédelmi biztos, amelyekben a Központi Hivatal adatkezelési gyakorlatát kifogásolták: azt, hogy a polgárok személyes adatait pénzért csomagküldő és más cégeknek továbbítják, illetve hogy a Hivatal közreműködésével kaptak különféle reklámanyagokat. Mind az általánosságban megfogalmazott panaszok, mind a panaszos által kifogásolt konkrét adattovábbítások esetében az adatvédelmi biztos azt állapította meg, hogy a Hivatal jogszerűen járt el: a törvényi előírásoknak megfelelően adta ki a név- és lakcímadatokat, illetve továbbított értesítéseket adatszolgáltatás helyett. (309/A/2001, 380/A/2001, 589/A/2001, 641/A/2001)
Néhányan közvetlenül, mások csak közvetve kifogásolták beadványukban, hogy a Központi Hivatal név- és lakcímadataikat átadta az Országimázs Központnak a Millenniumi Országjáró országos programajánló és kulturális magazin postázásához. Az ügyben indított vizsgálat befejezésekor - amely ajánlással zárult - az adatvédelmi biztos felszólította a Központi Hivatal vezetőjét, hogy "a szervezet rendeltetésszerű működésével biztosítsa az alkotmányos alapjogok védelmét. Az adatszolgáltatási kérelmek elbírálásakor körültekintően járjanak el, vegyék figyelembe, hogy - a felhasználás céljának és jogalapjának igazolása esetén is - állami szerveknek csak olyan feladat ellátásához adható ki személyes adat, amely jogszabályban pontosan meg van határozva, de akkor is csak abban az esetben, ha az igényelt adatok kezelésére a kérelmező szervezetet - adatfajtákat és az adatkezelőt is nevesítő - törvény jogosítja fel."
A hivatal vezetője, és a tevékenységét irányító belügyminiszter - a beszámoló korábbi részében részletesen ismertetett érvek alapján - az adatvédelmi biztos ajánlását nem fogadta el, úgy ítélték meg, hogy a Központi Hivatal az adatigénylés elbírálása, illetőleg az adatszolgáltatás biztosítása során a hatályos jogszabályokat megtartotta, az adatok átadásával a polgárok alkotmányos alapjogát nem sértette. (441/A/2001, 569/A/2001)
A Millenniumi Országjáró című kiadvánnyal kapcsolatos vizsgálatot követően a Központi Hivatal vezetője azzal a kérdéssel fordult hivatalunkhoz, hogy egy országgyűlési képviselőnek - a választóival való kapcsolattartás céljából - kiadható-e a választókerületben lakók név- és lakcímadatai. Az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - jelezte, hogy az országgyűlési biztosok feladatkörét meghatározó törvények nem biztosítanak jogkört számára, hogy egy közigazgatási szerv kompetenciájába tartozó egyedi ügyben előzetesen állást foglaljon. A biztos - az adott ügytől elvonatkoztatva - ismertette az adatszolgáltatásra vonatkozó jogi előírásokat, majd levelét így zárta:
"Végezetül engedje meg, hogy felidézzem: a Központi Hivatal tevékenységét érintő - az adatvédelmi biztoshoz érkezett - panaszok vizsgálatának tapasztalatai azt mutatták, hogy az adatvédelmi törvény, a Központi Hivatal tevékenységét szabályozó jogszabályok, illetve az egyes állami szervek feladatait szabályozó törvények előírásai az elmúlt években - a Millenniumi Országjáró postázásával kapcsolatos jogértelmezésükig - megfelelő eligazítást nyújtottak az adatszolgáltatási kérelmek jogszerű elbírálásához." (671/K/2001)
Az év során több beadványban és telefonon érdeklődtek az után, hogy a Központ Hivatal jogszerűen továbbítja-e egyrészt a parkolási társaságok számára azon járműtulajdonosok adatait, akik parkoló gépjárművük után nem fizettek parkolási díjat, másrészt a parkolási társaságok megbízásából tevékenykedő úgynevezett "adatkezelő szerveknek" a jármű hatósági jelzése (rendszáma) alapján az alváz- és motorszámot. E kérdéskört a beszámoló További jellemző ügycsoportok című fejezetében ismertetjük részletesen.
Az előző évekhez képest jelentősen - mintegy harmadával - emelkedett a rendőrség adatkezelését érintető ügyek száma. A növekedésre azért is érdemes felfigyelni, mert a több mint három tucat ügyből csak kettőt indított hivatalból az adatvédelmi biztos (a már hagyományosnak tekinthető megyei vizsgálatok keretében), és kettő olyan, amelyben a rendőrség kérte az adatvédelmi biztos véleményét.
A beadványok nagyobbik része olyan rendőri eljárásokat (a tanúkihallgatás, "rabosítás", adatok zárt kezelése), illetve olyan intézkedéseket (igazoltatás, lefoglalás) kifogásolt, amelyek során a panaszosok szerint sérült a személyes adatok védelméhez fűződő joguk, de a konzultációs ügyek (mit, mikor és hogyan tehet a rendőrség) egy része is már megtörtént esetekre utalt, illetve azok jogszerűségének megítélését igényelte az adatvédelmi biztostól.
A beadványok egy részében az adatvédelmi biztos azt állapította meg, hogy a személyes adatok kezelését érintő rendőrségi eljárás, intézkedés jogszerű volt. A szerzői jogok megsértése miatt folytatott eljárásokban a számítógépek lefoglalását, egy ügyvédi irodában tartott házkutatást, vagy az igazoltatást és az adatok közlekedési vállalatnak történő továbbítást kifogásoló panaszosokat az adatvédelmi biztos arról tájékoztatta, hogy a rendőrség jogszerűen járt el. (166/A/2001, 314/A/2001, 650/A/2001, 651/A/2001, 676/A/2001)
Több beadványozó gondolta úgy, hogy az ellenük folytatott büntetőeljárásban a rendőrség jogellenesen szerezte meg a telefonjaik híváslistáját. Két ügyben - a beadványokban leírtak szerint is - a rendőrségről szóló 1994. évi XXXIV. törvény (Rtv.) előírásai szerint, adatkérés útján jutott a híváslistához a rendőrség.
Az egyik panaszos azonban azt állította, hogy nem került sor ügyészi jóváhagyás beszerzésére, mert az országos rendőrfőkapitány bűnügyi helyettesének 63/1996. számú intézkedése alapján nem a távközlési szolgáltató megkeresése, hanem az adatok lefoglalása történt. Az adatvédelmi biztos úgy ítélte meg, hogy a lefoglalás szabályainak alkalmazásával nem mellőzhetők a rendőrségi törvényben megfogalmazott korlátok, tekintettel arra, hogy a rendőrségi törvény speciális szabályokat határoz meg a büntetőeljárási törvény általános szabályaihoz képest a távközlési szervezetektől való bármilyen adatkérés esetére, ezért indítványozta az ezzel kapcsolatos országos rendőrfőkapitány-helyettesi intézkedés módosítását. (138/A/2001)
A rendőrséggel kapcsolatos panaszok közül több érintette a tanúk eljárásjogi helyzetét, illetve ehhez kapcsolódva személyes adataik védelméhez fűződő jogaik érvényesülését.
Egy magánszemély azt sérelmezte, hogy annak ellenére kapott bírósági idézést, hogy a kerületi rendőrkapitányságon, ahol bejelentést tett, a jegyzőkönyv felvételekor kérte: személyét kezeljék titkosan. Az adatvédelmi biztos válaszában - részletesen kifejtve a tanú vallomástételi kötelezettségét, a vallomástétel megtagadásának eseteit, a tanú személyes adatai elkülönített, zárt kezelésének lehetőségeit, a tanúk biztonságát szolgáló garanciákat - azt javasolta a panaszosnak, hogy vallomástételi kötelezettségének tegyen eleget, és kérje adatainak zárt kezelését, esetleg a személyének feltárását mellőző vallomástételi mód engedélyezését. (403/A/2001)
Egy szülő panasszal fordult az állampolgári jogok országgyűlési biztosához, amelyben többek között azt sérelmezte, hogy két fiatalkorú fiát a tanúként történő kihallgatásukat követően a rendőrségen szemből és profilból lefényképezték. Mivel az ügyben felmerült a személyes adatok védelméhez való jog sérelmének valószínűsége, az ügyet ebben a részében áttette az adatvédelmi biztoshoz. Budapest rendőrfőkapitánya az országgyűlési biztos megkeresésére válaszul írt, 2001. március 22-én kelt levelében a fényképezés jogalapjául a rendőrségről szóló 1994. évi XXXIV. törvény 42. §-ában foglaltakat jelölte meg.
Az adatvédelmi biztos a választ nem tartotta elfogadhatónak, egyrészt mert az Rtv. hivatkozott szakasza szerint "a rendőri intézkedéssel öszszefüggésben az intézkedéssel érintett személyről" készíthet képfelvételt a rendőrség, másrészt a tanúkihallgatásról rendelkező, a büntetőeljárásról szóló 1973. évi I. törvény (Be.) nem biztosít lehetőséget a nyomozóhatóságnak fényképfelvétel készítésére. A tanúkihallgatás során csak e törvény megfelelő rendelkezései alkalmazhatók, ellenkező esetben nem érvényesülnének a tanúk jogainak garanciái.
A fentiek alapján a biztos nem tartotta jogszerűnek, hogy a tanúként kihallgatott személyről a gyanúsítottak lefényképezésének mintájára fényképfelvételeket készítsenek, még akkor sem, ha azokat csak a kérdéses eljárásban használják fel, és utóbb megsemmisítik. Mindezek alapján arra kérte a rendőrfőkapitányt, hogy álláspontját vizsgálja felül. (350/A/2001)
Egy panaszos az állampolgári jogok országgyűlési biztosához küldött beadványában - egyebek mellett - azt kifogásolta, hogy a vízvári gyilkossági ügyben eljáró megyei "életvédelmi nyomozók" 2000. november elején egyrészt "tanúkihallgatást színlelve gyanúsítottként" kezelték, másrészt személye "tisztázása érdekében" arra kérték, hogy járuljon hozzá ujj- és tenyérnyomat felvételéhez, és lefényképezéséhez.
Leveléből, illetve a csatolt iratokból az tűnt ki, hogy egyrészt az illetékes szerveknél általa panaszolt eljárások többségét (például azt, hogy az utcáról "idézték" tanúként és rendőrautóval szállították be a városi rendőrkapitányságra kihallgatásra; a tanúkihallgatásáról készített jegyzőkönyv másolatát nem kaphatta meg; kihallgatása után - hozzájárulásával - ujjnyomatot vettek tőle és lefényképezték) az illetékes rendőri és ügyészi szervek jogszerűnek ítélték, másrészt a hivatali visszaélés miatt tett feljelentésére az illetékes megyei ügyészségi nyomozó hivatal a nyomozást megtagadta. Miután a beadványból arra lehetett következtetni, hogy az eljárás során a panaszos személyes adatok védelméhez fűződő alkotmányos joga sérülhetett, ezért az ügyben - az adatvédelmi biztos jogkörében eljárva - az állampolgári jogok országgyűlési biztosa vizsgálatot indított.
A biztosi megkeresésre a megyei rendőrfőkapitány az ujjnyomat vételhez, illetve a fényképezéshez való hozzájárulás önkéntességére hivatkozott, és arról adott tájékoztatást, hogy az ujjnyomatokat küldték a szakértői intézetbe a helyszíni nyomokkal való összehasonlításra, majd további intézkedésig saját irattárukban helyezték el. A fényképfelvételeket pedig - az eredménytelen felismertetés után - megsemmisítették.
Az ügyben a vizsgálat jelenleg is folyik, mivel az már kiderült, hogy a nyomozók kérésére a panaszos valóban hozzájárult ahhoz, hogy ujj- és tenyérnyomatot vegyenek tőle. (Sőt - és ez a nyomozást megtagadó ügyészi határozat indoklásából tudható - a hozzájárulás alapján történő ujjnyomatvételt "Vízvár teljes felnőtt lakosságánál elvégezték".)
További vizsgálatot igényel, hogy egyrészt - a tanúkihallgatásként beállított - gyanúsítottként történő kihallgatás (amelyet elsősorban a "meghallgatás" során feltett kérdések, valamint az ujjnyomatvétel, és a fényképfelvétel készítés is bizonyít) során mennyiben sérülnek a személyiségi jogok, köztük a személyes adatok védelméhez fűződő jogok, másrészt jogszerűnek tekinthető-e, ha tanúként kihallgatott személyek adatait a rendőrség úgy használja fel, mintha azok gyanúsítottként kihallgatott személyektől származnának. (539/A/2001)
Több beadványban - panasz, vagy konzultációs kérdés formájában - érdeklődtek arról, hogy egyrészt a rendőrség milyen feltételek mellett igényelhet különleges adatokat azoktól a szervezetektől, amelyek ilyen adatokat kezelnek, másrészt jogszerűnek tekinthető-e, ha az - egyes törvényi követelményeknek meg nem felelő - adatkérések teljesítését az adatkezelő megtagadja.
Egy kórház főorvosa az adatvédelmi biztos állásfoglalását kérte arról, hogy jogszerű-e a XV. kerületi Rendőrkapitányság Közrendvédelmi Osztály vezetőjének megkeresése, melyben öt személy pszichiátriai gyógykezeléséről kért adatokat. A megkeresésből az kitűnt, hogy az egyik személy a bejelentő, a többiek ellen pedig eljárás van folyamatban, de arra vonatkozó utalás nem szerepelt, hogy milyen eljárás keretében van szükség a kért adatokra.
A biztos az Avtv. különleges adatokra vonatkozó előírásaira, az Rtv.-nek a különleges adatok kezelésével kapcsolatos követelményeire (például, hogy csak meghatározott bűncselekmények elkövetésével gyanúsítottak különleges adatai kezelhetők), valamint az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüak.) előírásaira (például az egészségügyi ellátóhálózaton kívüli szerv megkeresésében az adatkezelés pontos célját és a kért adatok körét meg kell jelölni) figyelemmel úgy ítélte meg, hogy a megkeresés nem felel meg ezeknek a követelményeknek, ezért nem jogszerű. (336/K/2001)
Egy drogmegelőzési központ vezetője az után érdeklődött, hogy jogszerű-e a Pest Megyei Rendőr-főkapitányság Vizsgálati Osztály vezetőjének a megkeresése, melyben egy drogbeteg pszichiátriai gyógykezeléséről kért adatokat. A megkeresés arra irányul, hogy "elmeorvos szakértő rendelkezésére bocsátás céljából" küldjék meg a "teljes orvosi dokumentációt". Az adatvédelmi biztos az Avtv., az Rtv., az Eüak., továbbá a Be. szakértőre vonatkozó előírásai alapján úgy foglalt állást, hogy a megkeresés csak részben felel meg ezeknek a követelményeknek. Válaszában ezt is kijelentette: "Ha elmeorvos szakértői munka elvégzése a megkeresés célja, az e munka elvégzéséhez szükséges adatokat a szakértőnek kell kérnie, nem az őt kirendelő hatóságnak. A szakértői munkának éppen ez a lényege: olyan szakkérdésben foglal állást, amit a hatóság nem ismer, ő jelöli meg a szükséges adatokat, ezeknek kezelőjévé válik." (498/K/2001)
A X. kerületi Rendőrkapitányság nyomozója egy adott napon regisztrált összes ügyfél adatait kérte a Menhely Alapítvány Hajléktalan Gondozási Központtól, melyet megtagadtak. A központ vezetője beadványában azzal a kérdéssel fordult az adatvédelmi biztoshoz, hogy jogszerű volt-e a rendőrségnek egy büntetőeljárás keretében a törvény 118. §-ára hivatkozó adatkérése, illetve az, hogy a központ munkatársai az adattovábbítást megtagadták. Az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - úgy ítélte meg, hogy a rendőrségi megkeresés sem az Avtv., sem a Be. követelményeinek nem felel meg, hiszen a kérdéses napon regisztrált személyek adatait minden megszorítás nélkül kéri, nem jelöli meg, hogy e személyek mely személyes adatai szükségesek az elérni kívánt cél megvalósításához. "Valamennyi személyes adat átadása bizonyosan ellentétes lenne e rendelkezésekkel, ezért javasolom, hogy kérjék a megkeresés pontosítását a Be. 118. § (3) bekezdésére való hivatkozással úgy, hogy az adatkérés csak a valóban elengedhetetlenül szükséges személyes adatokra vonatkozzon." - áll a biztos válaszlevében. (568/K/2001)
Egy állampolgár arról kért tájékoztatást, hogy gyűjtheti-e a "feljelentett" magánszemélyek adatait a Telefontanú Alapítvány. Az adatvédelmi biztos a vizsgálat befejezésekor arról tájékoztatta a beadványozót, hogy "adatvédelmi szempontból jól ítélte meg az adott kérdést, mivel a szóban forgó alapítvány nem gyűjtheti magánszemélyek adatait, és azokat nem továbbíthatja a rendőrségnek." (Az ügy részletei a Mellékletekben ismerhetők meg.) (52/A/2001)
A rendőrség az elmúlt évben is több konzultációs kérdéssel fordult az adatvédelmi biztoshoz. Egy megyei rendőr-főkapitányság az után érdeklődött, hogy a közúti forgalomban közlekedő gépjárműveket, illetve azt, hogy a járművezető és az utas használja-e a biztonsági övet, rejtett videokamerával jogszerűen lehet-e ellenőrizni. A biztos egyebek mellett úgy ítélte meg, hogy - az érintettek számára nyilvánvalóvá tett - rendőri intézkedéssel összefüggésben az intézkedéssel érintett személyről, a környezetről, illetőleg a rendőri intézkedés szempontjából lényeges körülményről képfelvételek készíthetők úgy, hogy azon más személyek - személyazonosításra alkalmas módon - nem szerepelhetnek, és a szabálysértési eljárás befejezését követően, a lehető legrövidebb időn belül a felvételeket meg kell semmisíteni. (A teljes levél a mellékletekben olvasható.) (56/K/2001)
A rendőrség által közterületen működtetett térfigyelő rendszerek üzemeltetésének szabályairól szóló ORFK intézkedés tervezetével az adatvédelmi biztos egyetértett, mivel úgy ítélte meg, hogy rendelkezései összhangban vannak az adatvédelmi, illetve a rendőrségi törvények előírásaival, továbbá figyelembe veszi az adatvédelmi biztosnak a rendőrségi kamerák működtetésével összefüggésben megfogalmazott korábbi álláspontját és a Belügyminisztérium, illetve az ORFK vezetésével közösen kialakított kompromisszumos megoldást. Ugyanakkor azt javasolta, hogy - a "rendőri intézkedéssel összefüggésbe nem hozható, illetve szabálysértési vagy büntetőeljárás bizonyítása szempontjából jelentőséggel nem bíró felvételek" haladéktalan megsemmisítését előíró rendelkezés egységes értelmezése érdekében - kezdeményezzék a rendőrségi törvény olyan módosítását, amely például 48 órára korlátozná az érdektelen felvételek maximális tárolási idejét. (608/K/2001)
Hivatalból - a megyei vizsgálatok hagyományos rendjében - két rendőri szervezet adatkezelésének vizsgálatára került sor. A Bács-Kiskun Megyei Rendőr-főkapitányságon - az adatvédelmi biztos személyes közreműködésével - a titkos információgyűjtéssel összefüggő adatkezeléseket, és a közérdekű adatok nyilvánosságának érvényesülését szolgáló munkaformákat és - módszereket tanulmányoztuk. A Kecskeméti Rendőrkapitányságon elsősorban az ügyeleti szolgálat adatkezelését, az igazoltatási adatok kezelésének körülményeit és a "Robotzsaru 2000" ügyviteli és ügyfeldolgozó rendszer működésének adatvédelmi vonatkozásait vizsgáltuk. A tapasztalatokat a Megyei vizsgálatok című fejezet tartalmazza. (466/H/2001, 467/H/2001)
A Honvédelmi Minisztérium és a Magyar Honvédség
Egy panaszos azért fordult az adatvédelmi biztoshoz, mert a Honvédelmi Minisztérium Pénzügyi Számító és Nyugdíjmegállapító Igazgatósága megtagadta személyes iratai, illetve azok másolatai kiadását arra való hivatkozással, hogy azok titkosak. Az adatvédelmi biztos a szóban forgó szervezet vezetőjétől kapott tájékoztatás alapján értesítette a panaszost, hogy a kért iratok (például a szolgálati viszony megszüntetéséről és a szolgálati nyugállományba helyezésről szóló parancs másolata, az egészségügyi szabadság nyilvántartása, az a jegyzőkönyv, amelynek alapján katonai kötelmekkel nem összefüggőnek minősítették a betegségét, az egészségi állapotát véglegesnek minősítő határozat, stb.) mely szervezeteknél találhatók, illetve azokhoz miképpen lehet hozzájutni. (320/A/2001)
A Magyar Honvédség Győr-Sopron Megyei Hadkiegészítő Parancsnoksága a honvédelemről szóló törvény általános felhatalmazása alapján a megyei kórháztól azt kérte, hogy "a nyilvántartásukban szereplő 1984. évben született, e megyében lakó férfiak testi és szellemi fogyatékosságáról, személyiségzavaráról, kábítószerrel és kábító hatású anyaggal kapcsolatos szenvedélybetegségéről, öngyilkossági hajlamra utaló tényéről" szolgáltasson adatot. A kórház főigazgató főorvosa - miután a kérést annak jogi megalapozatlansága, a betegek adatainak fokozott védelmét előíró törvényi kötelezettség, valamint az érintettek széles köre miatt megtagadta, és kérte a megkeresés pontosítását - az esetről tájékoztatta hivatalunkat. Az adatvédelmi biztos a főigazgatónak küldött levelében - miután megerősítette, hogy az adatszolgáltatási kérelmet jogilag megalapozottan tagadta meg a kórház vezetése - azt is kiemelte, hogy "szerencsére az egészségügyi intézmények vezetői mind több esetben hárítják el ezeket a jogellenes adatigényléseket, vagy határozottan megkövetelik a törvényi előírásoknak megfelelő adatkérés előterjesztését." (826/K/2001)
Egy magánszemély azt sérelmezte, hogy a Vám- és Pénzügyőrség egy tagja - aki a panaszos kérésére magát csak egy kartonlapon szereplő számmal az intézkedés végén igazolta - országúti ellenőrzés során személyes adatait okmányai alapján rögzítette. Kérdésre pedig, hogy adatai tárolására miért van szükség, válaszként a "maffia-törvényt" említették. Az adatvédelmi biztos válaszában - egyebek mellett - az alábbiakról tájékoztatta a panaszost:
A vámjogról, a vámeljárásról, valamint a vámigazgatásról szóló 1995. évi C. törvény alapján a szervezet szolgálati viszonyban álló tagja jogosult szolgálati feladatok végrehajtása érdekében személyeket a vámhatáron belül igazoltatni, így az igazoltatásra a pénzügyőrnek megfelelő felhatalmazása volt. Az adatfelvétel körülményei jogszerűségét (igazolta-e magát a pénzügyőr, megfelelően közölte-e az igazoltatás okát) hatáskör hiányában a biztos nem vizsgálhatta.
A fentebb idézett törvény a vámhatóság kötelezettségévé teszi az igazoltatott személyek személyazonosító adatainak, lakcímének, illetőleg az igazoltatásra okot adó körülmények megjelölésének az igazoltatás alá vont személyek nyilvántartási rendszerében való kezelését két évig. Ezt a rendelkezést valóban a maffiaellenes törvényként ismertté vált 1999. évi LXXV. törvénnyel hozta létre a jogalkotó, tehát az adatok felvétele jogalapjaként az erre való hivatkozás, ha nem is szabatos, de jogszerű volt.
Az igazoltatott személyek nyilvántartását a vámhatóságnak más nyilvántartásoktól elkülönítetten kell vezetnie, így nem fordulhat elő, hogy a bűnügyi nyilvántartásba kerülnek az igazoltatás során felvett személyes adatok. (294/A/2001)
A büntetés-végrehajtási szervezetek
Egy panaszos jelezte: a Váci Fegyház és Börtönben a neki címzett, illetve a neki szóló leveleit felbontják, továbbá irat-betekintési jogában korlátozzák. Az adatvédelmi biztos válaszában a vonatkozó jogszabályok (a büntetések és az intézkedések végrehajtásáról szóló 1979. évi 11. törvényerejű rendelet, illetve a szabadságvesztés és az előzetes letartóztatás végrehajtásának szabályairól szóló 6/1996. (VII. 12.) IM rendelet) alapján részletesen ismertette a fogvatartottak levelezésének szabályait. A biztos javasolta a panaszosnak, hogy amennyiben a fentiekben vázolt szabályok megsértésével, tehát a névre szóló hivatalos levelet felbontva kapja kézhez, rögzítse a történteket írásban, és az iratot adja át az intézet dolgozóinak; az intézmény vezetősége köteles az esetet kivizsgálni és a szükséges intézkedéseket megtenni. A levelet a biztos így zárta:
"Panaszának másik, általam is vizsgálható részében arról számolt be, hogy nem biztosítják az Ön számára a személyét érintő iratokba való betekintést, és arról másolatot nem adnak ki. Tudomásom szerint Ön az intézet parancsnokától kérte, hogy személyes adatait megismerhesse, a parancsnok pedig a betekintést engedélyezte. Ennek megfelelően az Ön nevelője a Fogvatartotti Alrendszer nevű, a fogvatartottak nevelési anyagát nyilvántartó számítógépes rendszerből kinyomtatta és Önnek átadta a személyével kapcsolatos adatokat. A bűnügyi anyagába való betekintésre is lehetőséget biztosítottak, és bár arról másolat készítését nem engedélyezték, jegyzet készítésére módot adtak. Ezzel eleget tettek a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 19. § (3) bekezdésében foglalt tájékoztatási kötelezettségüknek, az adatvédelmi jogszabályok megsértését ezért nem tudtam megállapítani." (317/A/2001)
Adó-és Pénzügyi Ellenőrzési Hivatal (APEH)
Az állami adóhatóság adatkezelési gyakorlatát csak egy panaszos kifogásolta ebben az évben. Az adatvédelmi jogi kultúra térnyerését bizonyítja a konzultációs ügyek számának emelkedése. A jogalkalmazók napi munkájában egyre inkább tudatosul az adattovábbítást teljesítők felelőssége. A jogosulatlan adattovábbítást megelőzve, még az adatkérések teljesítése előtt kérnek szakmai véleményt az adatvédelmi biztostól.
Egy önkormányzati építésügyi hatóság azért fordult a biztoshoz, mert az APEH Észak-budapesti Igazgatóságának igazgatóhelyettese a 2000. január 1. és 2001. május 31. közötti időszakban kiadott építési (bontási) engedélyekben (út, járda is) szereplő építtetőknek (beruházóknak), bejelentett kivitelezőknek a nevét és címét kérte megküldeni. Kérte továbbá az építés (bontás) helyének meghatározását is. Az adatkérés indokaként az ellenőrzési feladatok elvégzését jelölte meg az adatkérő.
Az állampolgári jogok országgyűlési biztosáról szóló 1993. évi LIX. törvény 2. §-a alapján, az adatvédelmi biztost helyettesítő jogkörében eljárva az állampolgári jogok országgyűlési biztosa az alábbiakról tájékoztatta az építésügyi hatóságot:
"A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (továbbiakban Avtv.) 23. § (1) bekezdése alapján az adatvédelmi biztos a személyes adatok védelméhez és a közérdekű adatok nyilvánosságához fűződő alkotmányos jog védelme érdekében tevékenykedik. Az Avtv. 2. § 1. pontjában foglalt definíció szerint személyes adat a meghatározott természetes személlyel összefüggésbe hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. Törvényes felhatalmazásom alapján állásfoglalásom tehát csak a természetes személyek - köztük az egyéni vállalkozók - adatainak kezelésére vonatkozik. Az Avtv. 3. § (1) bekezdése szerint személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy arra törvény - illetve törvény alapján önkormányzati rendelet - felhatalmazást ad. A 8. § rendelkezései szerint törvényi felhatalmazás hiányában csak az érintettek beleegyezésével továbbíthatók adatok.
Az állami adóhatóság, mint építésügyi hatóságot kereste meg Önt, az államigazgatási eljárásról szóló 1957. évi IV. törvény 10. §-ának rendelkezéseire, valamint az adózás rendjéről szóló 1990. évi XCI. törvény VI. fejezetének rendelkezéseire való hivatkozással.
A megkeresésben megjelölt törvényhelyek nem teszik lehetővé az adatkérés teljesítését.
Amennyiben gyanú merül fel, hogy bizonyos vállalkozók adózási kötelezettségüknek nem vagy nem megfelelő mértékben tettek eleget, úgy az állami adóhatóság a helyi adóhatóságtól kérhet adatokat meghatározott személyek tekintetében, de minden potenciális adóalanyra kiterjedő adatgyűjtés nem folytatható. Az adóhatóság nyilvántartási rendszere az egyik hivatalos forrás, amelyből az adóalanyok kiválaszthatók a vizsgálatra, illetve az adóhatóságnak kell kidolgoznia olyan hatékony vizsgálati módszereket - az operatív, illetve az utólagos ellenőrzések során -, amelyek alkalmasak az adóhiány eredményes feltárásához." (493/K/2001)
Az egyik önkormányzat jegyzője szintén az adatvédelmi biztos állásfoglalását kérte, mert az állami adóhatóság rendszeresen kér adatokat az adóigazolványok adattartalmának pontosítása érdekében, a polgárok adateltéréseket kifogásoló ügyeiben.
Az adatkérés-adattovábbítás jogszabályi hátteréről a következők szerint tájékoztatta a biztos a jegyzőt:
"Az állami adóhatóság adatkérésének jogalapjáról az adózás rendjéről szóló 1990. évi XCI. törvény (Art.) 12. § (3) bekezdése rendelkezik. Ennek értelmében az állami adóhatóság jogosult a személyi adat- és lakcímnyilvántartás szervétől adatokat igényelni, ha a nyilvántartásában szereplő (bejelentett) természetes azonosító adatoknál eltérést tapasztal. Az adóhatóság megkeresésében pontosan meghatározta az adatkérés célját, de a jogalap tekintetében az Áe. szabályaira utalt az Art. hivatkozott §-a helyett. Az Art. 4. § (1) bekezdésének rendelkezése szerint: "Ha e törvény vagy adót, adófizetési kötelezettséget, költségvetési támogatást megállapító törvény másként nem rendelkezik, az adóügyekben az államigazgatási eljárás általános szabályairól szóló törvény rendelkezéseit kell alkalmazni." Az adott esetre az Art. tartalmaz rendelkezést, ezért az Áe. szabályai szubszidiáris jellegükből adódóan nem alkalmazhatók. Az 1996. évi XX. törvény már idézett §-ának a) pontja alapján az állami adóhatóságnak rendszeresen teljesít adatátadást a személyiadat- és lakcímnyilvántartás szerve "az adóalanyok nyilvántartásában szereplő polgár családi és utónevének (nők esetében beleértve a leánykori családi és utónevet is), anyja nevének, születési helyének és időpontjának, lakóhelyének, tartózkodási helyének változásáról, ideiglenesen külföldön tartózkodásának tényéről vagy az onnan való visszatéréséről, továbbá az érintett elhalálozásáról, az ország végleges elhagyásáról." Az adategyeztetést ebben az esetben is azért kezdeményezték Önöknél, mert a legfrissebb adatokkal az illetékességgel rendelkező helyi szerv rendelkezik." (271/K/2001)
Az Eszterházy Károly Főiskola főigazgatójához megkereséssel fordult az Adó- és Pénzügyi Ellenőrzési Hivatal Heves Megyei Igazgatóságának Operatív Osztálya, és azon nappali tagozatos hallgatók személyes adatainak (név, állandó, ideiglenes lakcím) továbbítását kérte, akik nem kollégisták és nem egri lakosok. Az adattovábbítás jogalapjaként az államigazgatási eljárás általános szabályairól szóló 1957. évi törvény (a továbbiakban Áe.) 10. §-át jelölték meg mely szerint "a közigazgatási szervtől kapott megkeresésnek minden szerv köteles a saját feladatkörében tizenöt napon belül eleget tenni."
A biztos álláspontja szerint az Áe. előzőekben idézett szabálya nem teremt törvényes jogalapot személyes adatok kérésére, továbbítására, és nem teszi lehetővé, hogy államigazgatási hatáskörben eljáró szervek személyes adatok szolgáltatására kötelezzenek más szervet vagy személyt. (Megjegyzendő, hogy az Áe. alkalmazásában egy főiskola nem minősül "szervnek".) A megkeresés nem felel meg a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban Avtv.) szabályainak sem. Az Avtv. alapján az adattovábbítás adatkezelésnek minősül. Személyes adatot kezelni pedig csak akkor lehet, ha az érintett ahhoz hozzájárult, vagy azt törvény (önkormányzati rendelet) elrendeli. [Avtv. 2. § 4. pont, 3. § (1) bekezdés] Az Avtv. másik fontos szabálya az adatkezelés célhoz kötöttségének elve. Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Kötelező adatszolgáltatáson alapuló adatkezelést közérdekből lehet elrendelni. [Avtv. 5. § (1), (2), (3) bekezdés] A megkeresésben az adatkérő nem jelölte meg megfelelően sem az adatkezelés célját, sem az adatkezelést elrendelő (megengedő) törvényt.
A felsőoktatásról szóló 1993. évi LXXX. törvény 117. §-a alapján a felsőoktatási intézmények a törvény 2. számú mellékletében meghatározott adatokat tartják nyilván, illetve kezelik azokat. Jogszabályban meghatározott kivételtől eltekintve az adatok harmadik személy számára csak az érintett hozzájárulásával adhatók ki. E melléklet sem teszi lehetővé, hogy a főiskola eleget tegyen a megkeresésnek.
Az adózás rendjéről szóló 1990. évi XCI. törvény (Art.) 45. § (2) és (3) bekezdése alapján: "más hatóság, közfeladatot ellátó adatkezelő szerv nyilvántartásában szereplő adatot az adóhatóság csak az adózó és az adó megfizetésére kötelezett személy azonosításához, az adókötelezettség, a költségvetési támogatáshoz való jogosultság megállapításához, ellenőrzéséhez, az adózó kérelmére indult adóigazgatási eljárásban a tényállás tisztázásához használhatja fel. Amennyiben törvény megengedi, az adóhatóságok között az adat átadását, illetve a hatósági nyilvántartásokból az adat átvételét az érintett szervezetek megállapodása alapján, az abban foglalt módon, elektronikus úton is lehet teljesíteni.
(3) A (2) bekezdés alkalmazásában felhasználható nyilvántartások:
a) a személyek azonosítására a személyi adat- és lakcímnyilvántartás és a cégnyilvántartás;
b) az adóalap megállapítására és ellenőrzésére, valamint a tényállás tisztázására az ingatlan-nyilvántartás és a gépjármű-nyilvántartás."
Mint arra a 624/K/1998 számú állásfoglalásában a biztos korábban rámutatott az Art. taxatíve felsorolja, hogy az adóhatóságok mely esetben, melyik nyilvántartásból kérhetnek adatokat. A felsőoktatási intézmények által a hallgatókról vezetett nyilvántartás nem tartozik az Art. által fent meghatározott nyilvántartások körébe. (82/K/2001)
Az állami adóhatóság egyik elnökhelyettese is kérdésekkel fordult a biztoshoz, mert bizonytalan volt annak megítélésében, hogy az adóügyekben született nyilvánosan kihirdetett bírósági ítélet a sajtóban, televízióban vagy az interneten közzétehető-e. A kérdés felvetését egy törvénymódosítás indokolta, nevezetesen az, hogy az 1999. évi CX. törvénnyel módosított 1952. évi III. törvény (Pp.) 5. § (3) bekezdése értelmében, a 2001. január 1. után indult ügyekben kötelező a tárgyaláson hozott határozatok nyilvános kihirdetése, még abban az esetben is, ha azok zárt tárgyaláson születtek. Az elnökhelyettes véleménye szerint az ilyen típusú bírósági döntések nyilvánosságra hozatala jelentős mértékben hozzájárulhat a gazdasági élet biztonságához. Levelének második részében arra vár választ, vajon az adóhatóság az úgynevezett civil szférára vonatkozóan közzé teheti-e például az interneten a kedvezményezett szervezet nevét, adószámát - tekintettel a hasonló nevű szervezetekre -, a felajánlott összeg nagyságát, a felajánlók számát. Az ügy még folyamatban van. (417/K/2001)
Egy polgár beadványában azt sérelmezte, hogy az Adó- és Pénzügyi Ellenőrzési Hivatal nyíregyházi épületébe való belépésekor a bejáratnál egy indigós tömbbe biztonsági őrök feljegyezték a nevét, személyazonosító igazolványának számát és azt a szobaszámot, ahová igyekezett. A vizsgálatot követően kialakított álláspontjáról a biztos a következőkről tájékoztatta a panaszost:
"Beadványában két adatvédelmi szempontból vizsgálatot érdemlő körülményre hívta fel figyelmemet. Az első az, hogy a bejáratnál szolgálatot teljesítő biztonsági őrök egy magánvállalkozáshoz, tudomása szerint a Defend Kft.-hez tartoztak, és fényképes igazolványát elkérték, valamint arról kérdezősködtek, hogy a hivatal melyik helyiségébe megy. Álláspontom szerint a biztonsági szolgálat ezen tevékenységét jogosult végezni. Az APEH épületeinek őrzésére magánvállalkozókat is szerződtethet. A vállalkozás keretében végzett személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól, a Személy-, Vagyonvédelmi és Magánnyomozói Szakmai Kamaráról szóló 1998. évi IV. törvény 14. § (1) bekezdése alapján a vagyonőr (biztonsági őr) jogosult az APEH épületébe belépő vagy az ott tartózkodó személyt kiléte igazolására, a belépés, illetőleg a tartózkodás céljának közlésére, jogosultságának igazolására felhívni, ennek megtagadása vagy a közölt adatok nyilvánvaló valótlansága esetén az érintett belépését, ott tartózkodását megtiltani, és távozásra felszólítani. Az APEH, illetve a vagyonőr eljárása ebben a tekintetben adatvédelmi szempontból sem kifogásolható. A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény szerint ugyanis az adatkezelő (tehát az APEH) az adatkezelés technikai műveleteinek elvégzésével úgynevezett adatfeldolgozót bízhat meg, aki jelen esetben a vagyonvédelmi gazdasági társaság. A kettejük közötti adatáramlás nem számít adattovábbításnak.
A másik, Ön által sérelmezett mozzanat az, hogy a belépéskor személyes adatait rögzítették. Ezzel kapcsolatban az APEH részére címzett megkeresésemre az APEH elnöke tájékoztatott a hivatal épületeibe való be- és kiléptetés rendjének szabályairól. A szigorú szabályok megállapítását indokolja az adóhivatalnak az adótitok védelmére vonatkozó, törvényben előírt kötelezettsége. A szabályozás szerint az ügyfelek adatainak feljegyzésére csak akkor van lehetőség, ha nem az ügyfelek fogadására kialakított helyiségekbe kívánnak belépni. A nem ügyféltérbe belépő személyektől nevet és a személyazonosság igazolására közhitelesen alkalmas igazolvány számát kérik. Az adatszolgáltatás nem kötelező, amennyiben az ügyfél nem kívánja ezeket az adatokat közölni, a biztonsági szolgálat tájékoztatja azt az ügyintézőt, akihez az ügyfél érkezett, és az ügyet más módon, tehát az adatok felvétele nélkül intézik el. A felvett adatokat a biztonsági szolgálattól az APEH ezzel megbízott dolgozója naponta begyűjti, és rendszeres időközönként megsemmisíti.
Álláspontom szerint a fent leírt eljárás megfelel az adatvédelmi követelményeknek, tekintettel arra, hogy az ügyfelek számára elsősorban nyitva álló helyiségekbe való belépéskor nem kérnek személyes adatokat, és arra is, hogy az ilyen helyiségekben el nem intézhető ügyekben is megoldott az ügyintézés személyes adatok felvétele nélkül. A biztonsági szolgálat eljárása megítélésem szerint akkor kifogásolható, ha nem hívja fel az ügyfél figyelmét ez utóbbi lehetőségre." (167/A/2001)
A beszámolási időszakban az APEH Bűnügyi Igazgatósága többször fordult konzultációs kérdéssel az adatvédelmi biztoshoz.
A Bűnügyi Igazgatóság az adatvédelmi biztos véleményét kérte abban a kérdésben, hogy utólagosan miképpen hozhatja létre a törvényben előírt adatkezeléseit.
A biztos a kérdéskört érintő jogszabályok áttekintése alapján megállapította, hogy:
- az Adó- és Pénzügyi Ellenőrzési Hivatal egyes feladatairól szóló 1998. évi XCIII. törvény alapján az APEH Bűnügyi Igazgatóság - a törvényben meghatározott bűnüldözési feladatok ellátása céljából - jogszerűen kezelheti egyebek mellett a "szándékos bűncselekmény elkövetésének alapos gyanúja miatt kihallgatott személy adatait, ujjnyomatát, személyleírását, fényképét, továbbá hangmintáját, valamint az elvégzett kriminalisztikai szakértői vizsgálatok adatait a bűncselekmény büntethetőségének elévülésétől, vagy elítélés esetén a büntetett előélethez fűződő hátrányok alóli mentesítéstől számított 10 évig", illetve a "szándékos bűncselekmény alapos gyanúja miatt kihallgatott, illetőleg elítélt személy cselekményének kriminalisztikai szempontból fontos jellemzőit a büntethetőség elévüléséig, vagy elítélés esetén a büntetett előélethez fűződő hátrányok alóli mentesítésig";
- jogszerű, ha - e törvényben meghatározott adattartalommal (például a fentiekben említett adatokból) - a Bűnügyi Igazgatóság központi bűnüldözési adatállományt hoz létre és működtet;
- a gyanúsítottal szemben eljáró adónyomozó hatóság - a bűnügyi nyilvántartásról és a hatósági erkölcsi bizonyítványról szóló 1999. évi LXXXV. törvény alapján - a törvényben előírt adatokat közli a büntetőeljárás alatt állók nyilvántartásával, amelyben ezeket az adatokat a büntetőeljárás jogerős befejezéséig, a nyomozás, illetve a büntetőeljárás megszüntetése esetén a határozat jogerőre emelkedéséig tartják nyilván;
- a büntetőeljárás alatt állók nyilvántartásából - jogszabályban meghatározott feladataik ellátásához - a törvény 29. §-a alapján adatigénylésre jogosultak a nyomozó hatóságok, így az adónyomozó hatóság is.
Levelét a biztos következőképen zárta:
Megértem, hogy a bűnügyi nyilvántartást kezelő szervezet, a BM Központi Hivatal adatvédelmi aggályokat fogalmazott meg, hiszen egyrészt az adott esetben nem a megszokott, hagyományosnak tekinthető adatigénylésről van szó, másrészt mind az adatközlő Bűnügyi Igazgatóság és a területi nyomozó hivatalok, mind a bűnügyi nyilvántartó olyan adatkezelő szervezetként működnek, amelyek adatkezeléséről a vonatkozó törvények egyértelműen rendelkeznek.
Ugyanakkor úgy vélem, hogy miután a 1998. évi XCIII. törvény az APEH nyomozó hatóságaként a Bűnügyi Igazgatóságot, illetve a területi nyomozó hivatalait jelöli meg, a jogszabályban megjelölt feladatai végrehajtására (azaz a központi bűnüldözési nyilvántartás létrehozása és működtetése céljából) a Bűnügyi Igazgatóság - a bűnügyi nyilvántartásról szóló törvény 49. §-a alapján - jogszerűen igényelhet adatokat.
Elképzelhető, hogy a BM Központi Hivatal - a bűnügyi nyilvántartást kezelő szervről, az adatközlés és az adatszolgáltatás rendjéről 7/2000. (II. 16.) BM-IM együttes rendelet alapján - megköveteli, hogy a "nyilvántartott természetes személy személyazonosító adatai közül legalább a családi és utónevet - nők esetében a leánykori családi és utónevet -, a születési helyet és időt, valamint az anyja leánykori családi és utónevét" a kérelem tartalmazza.
Figyelemmel azonban arra, hogy ezt a követelményt a vonatkozó törvény nem tartalmazza, és a központi adatbázis létrehozása az érintettek jogait nem sérti vagy veszélyezteti, adatvédelmi szempontból nem tartom kifogásolhatónak, ha a BM Központi Hivatal számítógépes rendszeréből leválogatják azoknak a büntetőeljárás alatt álló személyeknek azon adatait, amelyeket korábban az adónyomozók közöltek. Természetesen egy ilyen "adatvisszakérés" során figyelemmel kell lenni arra, hogy csak olyan személyek adatait lehet szolgáltatni, akik az adatigénylés idején jogszerűen szerepelnek a nyilvántartásban. (93/K/2001)
Egy másik esetben a Bűnügyi Igazgatóság abban a kérdésben kérte a biztos állásfoglalását, hogy informatikai rendszerüket összekapcsolhatják-e az APEH rendszerével. Az adatvédelmi biztos a következő választ adta:
"Az Adó- és Pénzügyi Ellenőrzési Hivatal egyes feladatairól szóló 1998. évi XCIII. törvény döntően a Bűnügyi Igazgatóság és területi nyomozó hivatalai - bűnüldözési tevékenysége és a titkos információgyűjtés során végzett - adatkezelésére vonatkozó előírásokat határozza meg. E törvény értelemszerűen nem foglalkozik azzal, hogy az APEH, informatikai rendszerén keresztül milyen - a Hivatal hatékony működését segítő - szolgáltatások, adatállományok, információk elérhetőségét teszi lehetővé szervezeti egységei, így például a Bűnügyi Igazgatóság számára. Adatvédelmi szempontból nincs akadálya a Bűnügyi Igazgatóság és az APEH informatikai rendszerei műszaki összekapcsolásának, ha az nem érinti a bűnüldözési, illetve az adóigazgatási adatállományokat, és biztosítja, hogy meghatározott adatállományokhoz (például a személyügyi nyilvántartáshoz) csak arra jogosultak, a vonatkozó törvényekben megfogalmazott feltételek mellett férhessenek hozzá.
A fent említett törvény 12. § (2) bekezdése lehetővé teszi, hogy a "Hivatal Bűnügyi Igazgatósága, illetőleg területi nyomozó hivatala bűnfelderítési célból - a vonatkozó törvények rendelkezései szerint - a felhasználás céljának megjelölésével adatokat vehet át az adótitoknak [...] minősülő adatot törvény alapján kezelő szervtől", ezért nincs jogi akadálya a jogszerűen igényelhető adatok elektronikus úton történő átvételének. Ezt a lehetőséget az sem korlátozza, hogy a törvény tiltja a bűnüldözési adatállomány más adatkezelésekkel (beleértve az adóigazgatási adatkezelést) történő összekapcsolását, hiszen a törvényi felhatalmazással (így meghatározott célból, ügyészi jóváhagyással, "szigorúan szabályozott és ellenőrzött módon") történő on-line adatigénylés, adatátvétel - adatvédelmi szempontból - nem tekinthető adatállományok összekapcsolásának. (386/K/2001)
Az adatvédelmi biztosi intézmény megalakulása óta a legnagyobb adatkezelők között tartjuk számon a helyi önkormányzatokat. A területnek több, az egyéb adatkezelőktől eltérő jellemzője van. Az egyik lényeges ismérv az adatalanyok széles köre: elég arra utalni, hogy a legnagyobb személyi alapnyilvántartás, a polgárok személyi adatainak és lakcímének nyilvántartása is az önkormányzatok által kezelt helyi nyilvántartásokból épül fel. A másik lényeges ismérv a különböző szaknyilvántartások egyidejű kezelése. A helyi önkormányzat mint adatkezelő, különböző törvényi felhatalmazások alapján vezet adóügyi, szociális, szabálysértési, anyakönyvi, építésügyi, gyámügyi nyilvántartásokat, így egyazon adatkezelő több adatkezelésében az állampolgárok több adatcsoportja szerepel.
A vizsgálatok viszonylag nagy számát nemcsak a nyilvántartás nagysága, a kezelt adatok sokasága indokolja. Lényeges elem az is, hogy az önkormányzati hatóságokkal az állampolgárok rendszeres kapcsolatban vannak, tényleges és rendszeres adatforgalom zajlik az érintett és az adatkezelő között az olyan nyilvántartások vonatkozásában is, ahol ez a közvetlen kapcsolat országos szinten nem mutatható ki (példa a már említett személyi adat- és lakcímnyilvántartás: az állampolgárok ritkán kerülnek kapcsolatba a Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatallal, viszont szinte valamennyi nyilvántartási esemény kapcsán felkeresik a helyi lakcímnyilvántartást, illetve az okmányirodákat).
A viszonylag stabil ügyszám mellett jellemző az ügyek hasonlósága is. Az elmúlt évek beszámolóiban jelzett és tipikusként leírt esetek (például a szociális ellátásokhoz kapcsolódó túlzott "adatéhség", a képviselő-testület törekvése az egyes nyilvántartások tartalmának megismerésére) továbbra is előfordulnak. Megfigyelhető a helyi jogalkalmazók bizonytalansága és a központi koordináció hiánya is.
Szociális igazgatás
A szociális ellátásokhoz kapcsolódó adatkezeléseket a kétszintű szabályozás jellemzi: alapja a szociális igazgatásról és szociális ellátásokról szóló 1993. évi III. törvény (Szt.) mely széles körben teszi lehetővé az önkormányzatok számára a rendeletalkotást. Az Szt. meghatározza a főbb ellátási formákat, az általános eljárási szabályokat, egyúttal rögzíti a szociális ellátásra való jogosultság megállapítása, az ellátások nyújtása céljából vezetett nyilvántartás tartalmát és az adatkezelői jogosultságokat. Emellett az önkormányzatnak lehetősége van rendeleti úton a törvényben rögzítetteken túl egyéb ellátások bevezetésére, továbbá az egyes ellátásoknál több kérdés helyi sajátosságoknak megfelelő megoldására is rendeletet lehet (vagy kell) alkotni.
Az Avtv. alapján személyes adatokat akkor lehet önkormányzati rendelet alapján kezelni, ha törvény erre felhatalmazást ad, és kijelöli az adatkezelés kereteit is. Tekintettel az Szt. részletes szabályaira, az adatkezelés tekintetében szűk az önkormányzat mozgástere. Ha a törvény az ellátás feltételeit meghatározza, csak ezek igazolása kérhető, egyéb ellátásoknál pedig csak a jogosultság megállapításához elengedhetetlenül szükséges adatkör kezelhető. A nyilvántartást a jegyző kezeli, abból adatokat a testület (illetve hatáskör átruházása esetén a döntésre jogosult) csak egyedi esetre vonatkozóan vehet át.
Egy állampolgár azt sérelmezte, hogy lakóhelyén a nyugdíjasok az önkormányzat által rendezett karácsonyi ünnepségen akkor vehették át a szociális segélyként járó ajándékutalványt, ha az önkormányzat jelenlévő munkatársának bemutatták a nyugdíjszelvényt. Az önkormányzat az Szt. előbb említett felhatalmazása alapján - rendelet alkotásával - így kívánt eseti szociális segélyt nyújtani azoknak a nyugdíjasoknak, akiknek az egy főre jutó jövedelme nem haladta meg a mindenkori öregségi nyugdíjminimum háromszorosát. A szociális segély megállapításának feltétele az egy főre jutó jövedelem hiteles igazolása, mely nyugdíjasok esetében a nyugdíjszelvény bemutatásával történhet. Az adatvédelmi biztos megállapította, hogy az önkormányzat a vizsgált esetben a jogszabályoknak megfelelően járt el. (195/A/2001)
Gyámügyi igazgatás
A gyámügyi igazgatással összefüggő adatkezelések két csoportot alkotnak. Az egyik csoportba a gyermekek védelméről és a gyámügyi igazgatásról szóló 1997. évi XXXI. törvény alapján folyósított ellátásokhoz kapcsolódó adatkezelések tartoznak, melyek szabályozási elvei, adatkezelői jogosítványai hasonlítanak a szociális célú adatkezelésekhez. A másik csoportot a gyámsággal, gondnoksággal, örökbefogadással összefüggő adatkezelések alkotják.
Az ebbe a körbe tartozó ügyek esetében sokszor nehézséget jelent az, hogy az érintettek az egyéb adatkezelések alanyaihoz képest kiszolgáltatottabbak, sok esetben egyéni tragédiák is meghúzódnak a háttérben. Nehezíti a helyzetet az is, hogy a jogszabályok egy része elavult, és jellemző rájuk a túlzottan gyakorlatias szemlélet, akár az egyén jogainak, emberi méltóságának figyelmen kívül hagyásával is.
Egy panaszos azt sérelmezte, hogy az önkormányzatnál több eljárás során kérték az örökbefogadást engedélyező határozat bemutatását, például közgyógyellátási igazolvány kiadásához, egyéb szociális ellátásokhoz, útlevél kiadásához. Az egyes államigazgatási eljárásokra vonatkozó jogszabályok (például az Szt., a külföldre utazásról szóló 1998. évi XII. törvény és végrehajtási rendelete) pontosan megjelölik az eljáró hatóság által kezelhető adatokat. Az egyes eljárásokban szükség lehet a kiskorú családi jogállásának igazolására; ehhez azonban nem szükséges az örökbefogadást engedélyező határozat bemutatása, hiszen a családi jogállás és a törvényes képviseletre való jogosultság - az örökbefogadást követően módosított - születési anyakönyvi kivonattal is igazolható. A vizsgálat során a biztos megkereste az érintett önkormányzat jegyzőjét, aki az állásfoglalással egyetértett, és ígéretet tett a kifogásolt gyakorlat módosítására. (278/A/2001)
A gondnokoltakkal összefüggő nyilvántartások hiányosságára mutatott rá az egyik megyei gyámhivatal vezetőjének kérdése. A hivatalvezető azt kifogásolta, hogy a rendőrség a lőfegyverrel, gáz- és riasztófegyverrel kapcsolatos engedélyezési eljáráshoz rendszeresen megkérdezi a kérelmező lakóhelye szerint illetékes gyámhivatalt arról, hogy az érintett szerepel-e a cselekvőképességet korlátozó vagy kizáró gondnokság alatt állók nyilvántartásában. A rendőrség adatkérése jogszerű ugyan, a városi gyámhivatalok által vezetett nyilvántartások azonban nem bizonyítják minden kétséget kizáróan, hogy a hivatal illetékességi területén lakó személy cselekvőképességet korlátozó vagy kizáró gondnokság alatt áll-e. Így az adatkezelés nem jogellenes, de nem felel meg az elérni kívánt célnak. A felvetéssel egyetértett az országos rendőrfőkapitány is. A gondot az jelenti, hogy jelenleg a választójoggal nem rendelkezők nyilvántartása az egyetlen, ahol a kérdéses adatot az ország egész területére vonatkozóan nyilvántartják, ezt azonban a rendőrség - a vonatkozó törvények szigorú rendelkezései miatt - nem veheti igénybe. A megoldást a polgári perrendtartásról szóló 1952. III. törvény 2003. január 1-jén hatályba lépő módosítása jelenti, mely létrehozza a gondnokság alá helyezettek országos nyilvántartását. (361/K/2001)
Adóigazgatás
Az adóigazgatás hasonlít az előbb ismertetett két területhez annyiban, hogy ezen a téren is viszonylag széles rendeletalkotási jogköre van a helyi önkormányzatnak a vonatkozó törvények - elsősorban a helyi adókról szóló 1990. évi C. törvény (Htv.) - alapján. Hasonlít, egyben különbözik a szabályozási-igazgatási struktúra is. A normatív szabályozási jogkört a képviselő-testület (közgyűlés) gyakorolja törvényi felhatalmazás alapján, tényleges hatósági jogköre azonban nincs. A helyi adóhatóság a jegyző, ő vezeti a helyi adókkal kapcsolatos nyilvántartásokat is. A helyi adóigazgatás ugyanakkor nem teljesen független az országos adó-, járulék-, illetékigazgatástól, és ez a kapcsolat többször okoz jogértelmezési nehézséget.
A korábbi évekhez képest kevés panasz érintette a helyi adóhatóság adatgyűjtését, továbbra is előfordultak azonban olyan esetek, amikor a képviselő-testület adatkezelői jogosítványokat akart gyakorolni az adóügyi nyilvántartások tekintetében.
Egy nagyközség jegyzője azért fordult az adatvédelmi biztoshoz, mert véleménye szerint az Országos Egészségbiztosítási Pénztár (OEP) téves jogértelmezés miatt nem tett eleget a helyi adóhatóság adatkérésének. A jegyző mint helyi adóhatóság és végrehajtó szerv munkahelyre vonatkozó adatokat kért az OEP illetékes osztályától, adók módjára behajtandó köztartozás behajtása céljából. A helyi adóhatóság ezen hatáskörét az adózás rendjéről szóló 1990. évi XCI. törvény (Art.) állapítja meg; a bírósági végrehajtásról szóló 1994. évi LIII. törvény pedig tartalmazza azt az előírást, amely alapján az OEP köteles a vitatott adatszolgáltatást teljesíteni. Az adatvédelmi biztos megállapította, hogy az OEP jogértelmezése téves, és a kért adatszolgáltatást köteles teljesíteni. (97/K/2001)
Két községből álló körjegyzőség körjegyzője azt sérelmezte, hogy az egyik község polgármestere - közös képviselő-testületi felhatalmazás alapján - arra utasította, hogy a helyi adóügyekkel összefüggő nyilvántartásokat adja át neki az adatok rendezése, a nyilvántartás "rendbetétele" céljából. A körjegyző álláspontja szerint az utasításnak nem tehetett eleget, és a biztos álláspontját kérte.
A helyi adókra vonatkozóan a képviselő-testületnek csak normatív szabályozási jogköre van, a tényleges eljárásokban nem vehet részt. Az adatok kezelésére a helyi adóhatóság - a jegyző - jogosult; a testület adatokat a nyilvántartásból csak akkor vehet át, ha az Art. vagy a Htv. alapján egyedi ügyben dönt, és ekkor is csak a döntés meghozatalához szükséges adatokat ismerheti meg. Vagyis az adattovábbítás, melyre a polgármester a körjegyzőt utasította, törvényi felhatalmazás hiányában jogellenes.
A biztos felhívta a körjegyző figyelmét arra, hogy a jogosulatlan adatkezelés a büntető törvénykönyv 177/A. §-a alapján vétségnek minősül, melyet nemcsak az követ el, aki az adatokat jogellenesen továbbítja, hanem az is, aki azokat jogellenesen átveszi, kezeli. Mivel az utasítás végrehajtása bűncselekményt valósítana meg, azt a körjegyző a köztisztviselők jogállásáról szóló 1992. évi XXIII. törvény alapján köteles megtagadni. (777/K/2001)
Szabálysértési igazgatás
1995 óta rendszeresen érkeznek olyan beadványok, melyek a szabálysértési hatóságok adatkezelését sérelmezik, ezek száma azonban folyamatosan csökken. A beadványok egy részében az érintett - aki ellen az eljárás indult - az eljáró hatóság adatgyűjtését kifogásolta, de előfordult, hogy a szabálysértési hatóság kért állásfoglalást az egyéb állami szervekhez történő adattovábbítások jogszerűségét illetően.
Egy állampolgár azt kifogásolta, hogy a megyei önkormányzat átadta adatait egy kéményseprő közszolgáltatást végző kft.-nek, mely a panaszos ellen szabálysértési eljárást kezdeményezett. Az egyes helyi közszolgáltatások kötelező igénybevételéről szóló 1995. évi XLII. törvény felhatalmazást ad arra, hogy közszolgáltatás részletes szabályait - ezen belül az ellátás rendjét és módját, a szolgáltató és a tulajdonos jogait és kötelezettségeit, a közszolgáltatással összefüggő szabálysértést, a fizetendő díj mértékét és a díj fizetésének szabályait - a helyi önkormányzat rendeletben állapítsa meg. A megyei önkormányzat a törvényeknek megfelelően alkotta meg rendeletét, melynek alapján jogszerűen adta át a panaszos adatait a kft.-nek. (529/A/2001)
Egy másik ügyben az érintett - aki ellen lopás miatt indult szabálysértési eljárás - önkormányzati képviselői minősége vetett fel kérdéseket. A polgármester azt kérdezte, hogy milyen módon kell kezelnie az eljárásra vonatkozó adatokat; illetve hogyan tájékoztathatja a testületet az ügyről. A biztos megállapította, hogy az esetre a szabálysértésekről szóló 1999. évi LXIX. törvény szabályai vonatkoznak, az eljárás, és a hozzá kapcsolódó adatkezelés tekintetében lényegtelen az a tény, hogy az érintett önkormányzati képviselő. A biztos felszólította a polgármestert az érintett jogainak tiszteletben tartására, az adatkezelés megszüntetésére. (508/A/2001)
Lakcímnyilvántartás, anyakönyvvezetés
A helyi lakcímnyilvántartás - miként arról a bevezetőben már volt szó - a legáltalánosabb hatályú személyi alapnyilvántartás, a személyi adat- és lakcímnyilvántartás helyi szerve. A polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvényt (Nytv.) közvetlenül az Avtv. után fogadta el az Országgyűlés, a két törvény összhangban van egymással. Ezen felül az Nytv. rendelkezései egyértelműek, részletesek, így a jogalkalmazás feladata is könnyebb. Ennek köszönhetően a helyi lakcímnyilvántartás adatkezelésére irányuló vizsgálatok során az adatvédelmi biztos komoly visszásságokat nem állapított meg; esetenként azonban nem egyértelmű, hogy a lakcímnyilvántartás szerve mely állami szerveknek szolgáltathat adatokat.
Egy jegyző a Nyugdíjfolyósító Igazgatóságnak, továbbá az állami adóhatóságnak történő adattovábbítással kapcsolatban kérte az adatvédelmi biztos állásfoglalását. A biztos megállapította, hogy az adatokat kérő szervek számára teljesíthető adattovábbítás, erre a vonatkozó törvények felhatalmazást adnak. Az adattovábbításra - melynek célja a két országos hatóság adatállományának pontosítása - feltehetőleg azért a helyi lakcímnyilvántartást kérték, mert a legfrissebb adatokkal az illetékes helyi szerv rendelkezik. Jogellenes volt ugyanakkor az, hogy a Nyugdíjfolyósító Igazgatóság megkeresésén szerepelt az érintettek társadalombiztosítási azonosító jele (taj-száma). Bár a lakcímnyilvántartás szerve végezhet rendszeres adatszolgáltatást a nyugdíjbiztosítás szervei számára, e célból kapcsolati kódokat is képezhet, a taj-szám kezelésére azonban nem jogosult, így az a kapcsolati kód szerepét sem töltheti be. (271/A/2001)
Az anyakönyvi adatkezelést érintő beadványok elsősorban az anyakönyvi bejegyzések pontosítására, módosítására vonatkoztak. A vizsgált esetekben a hivatal jogszerűen járt el. (22/K/2001, 151/A/2001)
2000-ben konkrét ügy vezetett ahhoz a tárcaközi egyeztetéshez, mely - többek között - a kórházak bejáratánál elhelyezett inkubátorokban hagyott csecsemők anyakönyvezésével függött össze. A jelenleg hatályos jogszabály szerint ugyanis az anyakönyvvezetőnek meg kell kísérelnie az anya kilétének kiderítését, és ebbe be kell vonnia a rendőrséget is. A rendőrség azonban ezen eljárásában megfelelő törvényi felhatalmazás nélkül kezel személyes adatokat, ezért a jelenlegi jogi helyzet mindenképpen javításra szorul. Az adatvédelmi biztos álláspontja szerint az anyakönyvvezető kötelezettségét a rendőrség bevonására meg kell szüntetni, melyre az anonim szülés lehetőségének bevezetése - mely lehetővé tenné a jogszerű lemondást a névtelenség megtartásával - megfelelő alkalom lenne.
Jelen esetben a gyermek azon joga, hogy tudomást szerezhessen vér szerinti szüleinek kilétéről, szembekerülhet élethez való jogával. E két jogának szembekerülése esetén a jognak a gyermek életének védelmét kell szolgálnia. Nem minden esetben feltételezhetjük, hogy azok az anyák, akik meg kívánnak szabadulni a gyermeküktől, az inkubátorba helyezés helyett a jogszerű lemondást fogják választani, ezért sok esetben például az erdő szélén hagyják el őket, így annak az esélye, hogy a gyermekek életben maradnak, elenyésző. (Ez indokolja az anonimitás biztosítása mellett a büntetőjogi fenyegetettség megszüntetését is.) A gyermek vér szerinti szüleinek megismeréséhez fűződő joga mindezek mellett - a biztos véleménye szerint - az állam számára csak megtiltja, hogy megakadályozza a származás kiderítését, valamint a gyermek érdeklődésére a rendelkezésére álló adatokról tájékoztatási kötelezettséget ír elő. Nem teszi azonban kötelezővé az állam számára, hogy mindent megtegyen annak érdekében, hogy a szülők adatai a gyermek rendelkezésére álljanak arra az esetre, ha egyszer majd kíváncsi lesz rájuk. (404/K/2001)
Képviselő-testület
Az eddig részletezett helyi önkormányzati adatkezelések közös jellemzője, hogy az adatkezelésre törvény hatalmazza fel az önkormányzatot; és bár az adatkezelő ugyanaz a szerv, az egyes adatkezelések könynyen elhatárolhatók egymástól. Az adatkezelésekben megjelenik a közhatalmi jelleg: a nyilvántartások vezetésére, kezelésére a jegyzőt hatalmazzák fel a törvények, illetve a jegyzőn keresztül a polgármesteri hivatal köztisztviselőit, akik a jegyző felügyelete és irányítása alatt végzik tevékenységüket. A képviselő-testület szerepe az ilyen adatkezelések tekintetében általában közvetett. Befolyásolhatják az adatkezelés tartalmát és terjedelmét a törvényi felhatalmazás alapján megalkotott önkormányzati rendeletek, a szabályozási jogosultság azonban nem társul adatkezelői jogosítványokkal. Adatkezelő viszont a testület akkor, ha egyedi ügyekben hatósági jogkört gyakorol, és az ehhez szükséges adatokat átveszi a döntés meghozatala céljából. Adatkezelővé válhat a testület egyéb jogosítványainak gyakorlása során is (pl. egy közbeszerzési pályázat elbírálásakor), ezek azonban eseti jellegűek. A testület kiterjedt szabályozási, irányítási jogosítványai miatt - melyek az alkotmányban foglalt önkormányzati autonómia elvéből erednek, és a helyi önkormányzatokról szóló 1990. évi LXV. törvényen (Ötv.), illetve más jogszabályokon alapulnak - az ilyen adatkezeléseket nem lehet egységes szempont alapján vizsgálni.
Egy részvénytársaság vezérigazgatója azt kérdezte az adatvédelmi biztostól, hogy jogszerű-e a közbeszerzési pályázatok kiíróinak azon gyakorlata, amely szerint a pályázóktól kérik munkavállalóik és alvállalkozóik személyes adatait is. A közbeszerzésekről szóló 1995. évi XL. törvény szerint az ajánlatkérő az ajánlattevő szükséges műszaki alkalmasságának igazolása céljából kérheti többek között azoknak a szakembereknek, szervezeti egységeknek, illetve vezetőknek a megnevezését, képzettségük ismertetését, akiket az ajánlattevő a teljesítésbe be kíván vonni, különösen azok bemutatásával, akik a minőségellenőrzésért felelősek. E törvény tehát megfelelő jogalapot biztosít bizonyos személyes adatok kérésére, kezelésére.
A célhoz kötöttség elvéből adódóan a pályázat kiírója csak a munkavállalók és alvállalkozók azon személyes adatait kérheti, amelyek a szerződés teljesítéséhez szükséges műszaki alkalmasság igazolásához elengedhetetlenek. A konkrét ügyben az önkormányzat kérte a bevonni kívánt személyek születési évét, illetve a közreműködésükkel nyújtott korábbi szolgáltatások értékét. Ezen adatok ismerete nem szükséges az adatkezelés céljának eléréséhez, és azok kezelésére a közbeszerzési törvény fent említett rendelkezése nem is ad felhatalmazást, mivel nem tartoznak sem a "megnevezés" sem a "képzettség ismertetésének" körébe. (174/K/2001)
Egy település jegyzője az adatvédelmi biztos állásfoglalását kérte arról, hogy a Bursa Hungarica Felsőoktatási Önkormányzati Ösztöndíjpályázat nyerteseinek rangsor szerinti listáját kifüggeszthetik-e az önkormányzat hirdetőtábláján, vagy a helyben szokásos módon nyilvánosságra hozhatják-e. A Bursa Hungarica ösztöndíjpályázat általános szerződési feltételeiben az Oktatási Minisztérium arra kötelezi az önkormányzatokat, hogy a támogatásban részesített ösztöndíjasok listáját - amely tartalmazza a pályázók nevét, a megítélt havi támogatás összegét és a pályázók rangsorát - az elbírálást követő három munkanapon belül hozzák nyilvánosságra.
A pályázatokról a képviselő-testület zárt ülésen dönt, az elbírálás kizárólag a szociális rászorultság alapján, a tanulmányi eredménytől függetlenül történik. A zárt üléséről készült jegyzőkönyvbe és az ilyen ülésre készült előterjesztésbe az Ötv. alapján a választópolgárok nem tekinthetnek be. A nyilvánosságra hozatalról sem az Ötv, sem más törvény nem tartalmaz kifejezett felhatalmazást, ezért a biztos törvénysértőnek tartotta a pályázat eredményének nyilvánosságra hozatalát, és - az érintettek alkotmányos jogaira és emberi méltóságára is tekintettel - javasolta a jegyzőnek, hogy az általános szerződési feltételekkel ellentétben ne hozzák nyilvánosságra a támogatásban részesülők személyes adatait.
A biztos emellett a pályázati rendszer több más pontját is jogellenesnek tartotta. Így például kifogásolta azt, hogy az érintettek személyazonosító igazolvány számát nyilvántartják, valamint a pályázat benyújtásakor kérik a bankszámla számát is. A biztos állásfoglalásáról értesítette az oktatási minisztert, és felhívta az általános szerződési feltételek kifogásolt rendelkezéseinek módosítására. (80/K/2001)
A képviselő-testület adatkezelésére irányuló vizsgálatok egy része mögött jogellenes adatkezelés, vagy ennek szándéka húzódik meg. Minden évben előfordulnak olyan esetek, amikor a testület nem létező jogosítványokat tulajdonít magának, és olyan nyilvántartások tartalmát kívánja megismerni, melyek tekintetében nem jogosult adatok kezelésére. Erre példa az adóigazgatás részben ismertetett eset. (777/K/2001)
Gyakori, hogy a testület a polgármesteri hivatalban dolgozó köztisztviselők, vagy az önkormányzat által fenntartott intézményekben dolgozó közalkalmazottak adatait kívánja megismerni, indokul általában a költségek tervezését, vagy ellenőrzést jelölnek meg. Az ilyen esetekben az, akitől az adatszolgáltatást kérték (általában a jegyző), köteles azt megtagadni. A köztisztviselők jogállásáról szóló 1992. évi XXIII. törvény (Ktv.), illetve a közalkalmazottak jogállásáról szóló 1992. XXXIII. törvény (Kjt.) ugyanis pontosan meghatározza, hogy a nyilvántartásokból mely szervek, személyek vehetnek át adatokat. A testület ebbe a körbe nem tartozik bele. (86/K/2001, 229/K/2001, 353/A/2000)
Egy városi szakorvosi rendelőintézet igazgatója azért fordult az adatvédelmi biztoshoz, mert az önkormányzat ellenőrzési céllal kérte az intézmény közalkalmazottainak szerződéseit, továbbá a betegadatokat tartalmazó műtéti naplót. A biztos felhívta az igazgató figyelmét arra, hogy a vonatkozó törvények - a Kjt., valamint az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló törvény - nem teszik lehetővé az adattovábbítást, ezért azt meg kell tagadnia. (290/K/2001)
A helyi önkormányzatok adatkezelését némi bizonytalanság jellemzi. Ez részben a jogi szabályozás kettősségéből fakad. A képviselők - akik többnyire nem jogászok, és előfordul, hogy a tevékenységükre vonatkozó jogszabályokat sem ismerik - sokszor nehezen fogadják el azt, hogy miközben egy kérdés szabályozására jogosultak rendeletet alkotni, a tényleges végrehajtásban, ezen belül az adatkezelésben nem vehetnek részt, személyes adatokat még ellenőrzési célból sem ismerhetnek meg. A jegyzők helyzete is nehéz. Feladat- és hatáskörük egy része államigazgatási jellegű, vagyis az államigazgatás helyi szintjét jelentik, köztisztviselőként ugyanakkor függőségi viszonyban vannak a képviselő-testülettel. Ezért fordul elő, hogy egy-egy ügy kapcsán a jegyző ismeri a jogi környezetet, és tisztában van kötelességeivel, és ezért nem iránymutatást, hanem segítséget vár az adatvédelmi biztostól abban, hogy egy biztosi állásfoglalással, arra hivatkozva tagadhassa meg a képviselők adatkérését.
A fentiek mellett olyan esetek is előfordultak, hogy egy képviselő, polgármester saját személyes adatainak védelme érdekében fordult az adatvédelmi biztoshoz. Az ilyen beadványok nem egyszer politikai indokokat, célokat sejtetnek az ügyek hátterében.
Egy polgármester azt kifogásolta, hogy egy képviselő elkérte az ő nyugdíjazásával összefüggő iratokat a polgármesteri hivataltól, saját használatra. Az Ötv. alapján a polgármester tekintetében a képviselő-testület gyakorolja a munkáltatói jogokat (pl. tiszteletdíj meghatározása, fegyelmi és kártérítési felelősség megállapítása), a részletes szabályokat a polgármesteri tisztség ellátásának egyes kérdéseiről és az önkormányzati képviselők tiszteletdíjáról szóló 1994. évi LXIV. törvény (Ptv.) tartalmazza. A jegyző kezeli a polgármester személyi anyagát, továbbá ellátja a foglalkoztatási jogviszonyával kapcsolatos ügyviteli feladatokat.
A Ptv., Ktv., valamint a munka törvénykönyvének rendelkezéseiből következik, hogy a képviselő-testület munkáltatói jogosítványai közé nem tartozik olyan eszköz amely lehetővé tenné, hogy a polgármester foglalkoztatási jogviszonyára vonatkozó adatokat az egyes képviselők saját célból felhasználhassák. A nyilvántartott adatokat csak a munkáltatói jogkör gyakorlásához szükséges terjedelemben a testület, mint a munkáltató jogosult megismerni. (114/A/2001)
Látható tehát a helyi önkormányzatok adatkezelésének sokszínűsége mellett az is, hogy ezt a területet gyakran bizonytalanság jellemzi. A jegyzők, valamint a polgármesteri hivatalok köztisztviselői nehezen igazodnak el az adatkezelésre vonatkozó szabályok között. Ezt kétségtelenül az is okozza, hogy az adatkezelés nem elsődleges, nem önmagáért van, az mindig valamilyen más tevékenységhez, feladat- és hatáskörhöz kapcsolódik. Ettől függetlenül - sőt éppen ezért - elengedhetetlen az állampolgárok személyes adataik védelméhez való jogának biztosítása, mely a vonatkozó jogszabályok következetes betartásával érhető el.
Szektorális adatkezelések
Az egészségügyi adatok mint különleges személyes adatok kezelésének alapelveit az Avtv. szabályozza és attól függően, hogy az egészségügyi ellátóhálózaton belül kezelik azokat, vagy kívülálló más szerv vagy személy használja fel az érintett ilyen adatait, különböző szektorális szabályokat kell figyelembe venni ugyanazoknak az adatoknak a kezelése során. Az érintett az egészségügyi adataihoz fűződő információs önrendelkezési jogát a betegjogokkal szoros összefüggésben, azok érvényesülésének feltételeként gyakorolhatja az egyes egészségügyi szolgáltatóknál. Az ebbe a csoportba sorolható panaszok jellege azt mutatja, hogy az adatalanyok és az őket ellátó szolgáltatók is kezdik felismerni ennek a jognak a gyakorlati jelentőségét.
Helyesen járt el például az a kórház, amelyik a nyilvántartásából az adatfelvételtől számított törvényi határidő lejártán belül nem törölte a panaszos korábbi pszichiátriai kezelésével összefüggő adatait. Ugyanis az egészségügyi dokumentáció archiválása az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüak.) 30. § (1) bekezdésében szabályozott határidők betartásával az érintett érdekeit is szolgálja azzal, hogy ezen adatai az orvosi titoktartás mellett biztonsággal visszakereshetőek, és az ő számára is hozzáférhetőek maradnak. (13/A/2001)
Éppen ennek az ellenkezőjét, vagyis az adatbiztonság és az irattározás rendjének megsértését sérelmezte az a panaszos, akinek az ügyében még a múlt évben indult vizsgálat. A beteg orvosi dokumentációjából azok az eseti felülvizsgálati laboreredmények hiányoztak, amelyekkel a munkáltatójával szemben érvényesített kárigénye jogalapját bizonyíthatta volna. Az adatkezelő mulasztása miatt a panaszos külön jogorvoslattal élhet az Avtv. 17-18. §-ai alapján, ez azonban nem helyettesíti a munkáltatóval szemben a foglalkozási megbetegedésével összefüggő kárigénye érvényesítését, hiszen az egyes kártérítési jogcímek különbözőek. (564/A/2000)
Az egészségügyi ellátást végzők titoktartási kötelezettségét több beadvány is érintette abból a szempontból, hogy vajon ezen az alapon a közeli hozzátartozóktól megtagadhatják-e az érintett adatainak továbbítását. Az Eüak. 7. § (2) bekezdése alapján az adatkezelő a titoktartási kötelezettség alól csak akkor mentesül, ha az érintett az adatai továbbításához írásban hozzájárult, illetve ha ezt törvény kötelezővé teszi. Amennyiben az érintett erről nem rendelkezik, az egészségügyről szóló 1997. évi CLIV. törvény (Eütv.) 25. § (3) bekezdése alapján az ő adatait akkor ismerheti meg egy kívülálló másik személy, ha ezt törvény rendeli el, vagy az mások életének, testi épségének és egészségének a védelme miatt, vagy az érintett állapotromlásának megakadályozása érdekében az őt gondozó személy tájékoztatásához szükséges. (379/A/2001)
E feltételek nélkül is jogosult azonban az érintett halálával összefüggésbe hozható adatok megismerésére - így az ilyen adatokat rögzítő orvosi dokumentációról másolatok kérésére is - az a személy, aki az érintettnek törvényes képviselője, közeli hozzátartozója vagy örököse, ha ezt írásban kéri a szolgáltatótól. Az Eüak. 7. § (7) bekezdése ezt a jogot az adatkérő saját jogaként, de az elhunyt adatalanyhoz fűződő közeli kapcsolatára tekintettel biztosítja. (71/A/2001)
A betegjogokon belül az információs önrendelkezési jog jelentőségével függ össze az a körülmény, hogy a 77/1999. (XII. 29.) EüM rendelettel szabályozott új intézménynek, a betegjogi képviseleti rendszernek a működését több, még a múlt évben érkezett beadvány is érintette. A beadványokban arról kérték az adatvédelmi biztos állásfoglalását, hogy a betegekre vonatkozó adatok közül mit és hogyan kezelhetnek a betegek érdekében őket segítő, de munkajogilag az Állami Népegészségügyi és Tisztiorvosi Szolgálat (ÁNTSZ) megyei (fővárosi) intézeteihez kötődő betegjogi képviselők.
Az egyik esetben egy adatbejegyzési hiba - téves egészségügyi adat rögzítése és továbbítása - kivizsgálásához kérte az érintett a betegjogi képviselő segítségét, aki az intézetvezetőtől nem kapott megfelelő tájékoztatást. A betegjogi képviselő azzal a kérdéssel fordult az ombudsmanhoz, hogy jogosult-e az adott ügyben a hibás bejegyzés okára kérdezve arról is felvilágosítást kérni, hogyan kívánja a kórház a jövőben megakadályozni a hasonló esetek előfordulását, illetve kérhet-e általános tájékoztatást a kórház adatkezelési gyakorlatáról. Miután az egészségi állapottal összefüggő adat különleges személyes adatnak minősül, ezért az adatbiztonság követelményének fokozottabban kell érvényesülnie a betegellátásban. Ezt nemcsak az adott szolgáltatónál a nemzetközi szabványok szerint minősített adatkezelési szabályzat bevezetésével, hanem az előírásoknak megfelelő rendszer működtetésével, az ehhez szükséges tárgyi és személyi feltételek megteremtésével kell biztosítani. A betegjogi képviselő ennek érdekében nemcsak jogosult, de köteles is felhívni minden olyan körülményre az adatkezelésért felelős személyek figyelmét, amelyek a hozzá érkező panasszal összefüggésben érintik a szolgáltató adatkezelési gyakorlatát. Ehhez pedig az általános tájékoztatáson túl - amit bárki megkaphat - az adott ügyre vonatkozó iratokat is jogosult megismerni. (765/A/2000)
Az adatvédelmi biztos megállapította, hogy a betegjogi képviselők működését korlátozza az ÁNTSZ-szel kötött, úgynevezett megbízási szerződés 4. pontja, amelyik általános érvénnyel mondja ki azt, hogy a betegjogi képviselő "[...] bármilyen információt harmadik személyek tudomására a Megbízó engedélye nélkül nem hozhat." Ezzel kétségessé válik az, hogy a beteg és az egészségügyi szolgáltató érdekeinek ütközése esetén a betegjogi képviselő az Avtv. és a különböző szektorális adatkezelési szabályok alapján objektív alapon jár-e el az adott ügyben. Miután a betegjogi képviselőt a munkája során megismert személyes adatok tekintetében titoktartási kötelezettség terheli, ez elegendő garancia arra, hogy az egyes sérelmezett ügyekben mások ne jussanak illetéktelenül olyan információkhoz, amelyekkel vissza lehet élni. (338/K/2000)
A célhoz kötöttség elvéből és az adattovábbítás feltételeiből kiindulva az adatvédelmi biztos nem látta megalapozottnak az Állami Népegészségügyi és Tisztiorvosi Szolgálat (ÁNTSZ) megyei intézeteinek adatkérését, mely egy meghatározott betegcsoportra vonatkozott. Az ÁNTSZ-ről szóló 1991. évi XI. törvény a 3. § a)-d) pontjaiban felsorolt feladatok ellátásához csak az egészségi állapottal összefüggő adatok továbbítását írja elő a bejelentésre kötelezett szolgáltatók számára. Ebből az következik, hogy az itt meghatározott vizsgálatokhoz - mint például az ÁNTSZ megyei intézeteiben rendszeresen végzett epidemiológiai elemzések - nincs szükség az egyes megbetegedések egyedi azonosítására. A betegeket ellátó szolgáltatóknak ezért az érintettek személyazonosító adatai nélkül kell továbbítaniuk az egészségi állapotukra vonatkozó adatokat. Ilyenkor ugyanis nem járványügyi hatósági jogkörben hozott egyedi intézkedésről van szó, amikor az illetékes intézet közvetlenül a beteggel kerül kapcsolatba. Az eljáró hatóságnak ez utóbbi esetben kezelnie kell a beteg mint ügyfél személyazonosító adatait is. (316/K/2001)
Az egészségügyi ellátóhálózaton kívül, más szervek által törvényi felhatalmazás alapján kezelt egészségügyi adatok védelme különösen nagy hangsúlyt kap amiatt, hogy azokat egyes hatósági ügyekben felhasználják, így az adott eljárás résztvevői azokat az eljárás rendje szerint és a felhasználás módjától függően korlátozott mértékben, de megismerhetik.
A korábbi évekhez hasonlóan idén is több beadvány kifogásolta az igazságügyi orvosi szakvélemények megismerhetőségét. Mindaddig, amíg ez a hatóság előtt zajló eljárás céljait szolgálja, az Avtv. 5. §-ában meghatározott célhoz kötöttség elvével összeegyeztethető. Ezért a nyilvános bírósági tárgyaláson elhangzott, jegyzőkönyvben is rögzített személyes adatok - így például a szóban megerősített, illetve az ezzel összefüggésben feltett kérdések alapján kiegészített szakvélemény - zárt kezelése nem indokolt. (433/K/2001)
Amennyiben az érintett egészségügyi állapotáról az adott ügy megítélése szempontjából állítanak valamit - például az egészségkárosodás mértékét, a sérülés nagyságát megállapító vagy egy elmeorvosi szakvéleményben -, annak a bizonyításnál éppen az érintett érdekében van különösen nagy jelentősége, ezért a nyilvános értékelés fontos eljárásjogi garancia. Ugyanakkor az ilyen adatok az Avtv. szerint különleges személyes adatoknak minősülnek, és ennek megfelelően az iratkezelés során biztosítani kell azt, hogy illetéktelenül, más célból ne lehessen azokat felhasználni. Ennek törvényi szintű szabályozása évek óta a jogalkotási programban szerepel, jelenleg azonban az eljárási kódexek helyett a még ma is hatályos 123/1973. (IK. 1974. 1.) IM utasítás (BÜSZ) vonatkozik a bírósági (és a közjegyzői) ügyvitelre. (319/A/2001)
Az elmúlt évekhez hasonlóan idén is érkezett a hivatalhoz olyan megkeresés, amelyben a leginkább kiszolgáltatott társadalmi csoportok tagjaira vonatkozó különleges személyes adatok kezeléséről kérnek tájékoztatást. Az egészségügyi ellátás során ugyanis a beteg olyan körülményeiről is kap információt az őt ellátó szolgáltató, amelyekről adatszolgáltatási kötelezettséget írnak elő más szakterületet szabályozó törvények úgynevezett szektorális adatkezelési szabályai. Az adatszolgáltatás mértékét, módját azonban rendszerint ezek a normák nem vagy nem megfelelően tartalmazzák, ezért az adatvédelem általános elvein megszűrve kell azokat alkalmazni.
Így foglalt állást a biztos abban az ügyben, amikor a kábítószer-fogyasztók adatainak átadását a rendőrség írásbeli megkeresése alapján is csak úgy tekintette jogszerűnek, ha egy meghatározott bűncselekmény gyanúsítottjáról kérnek a megkeresésben megnevezett és a nyomozáshoz szükséges adatokat. A betegről teljes egészségügyi dokumentáció nem adható át. (25/K/2001)
A munkáltatók adatkezelését sérelmező beadványok száma 2001-ben sem maradt el az előző évek ilyen tárgyú panaszainak számától. A tavalyi beszámolóban említett egzisztenciálisan kiszolgáltatott helyzet mellett a munkavállalóktól érkező beadványok nagy számát az is indokolja, hogy az emberek többsége alanya valamilyen munkavégzésre irányuló jogviszonynak.
Több beadványozó azt sérelmezte, hogy munkáltatóik nem a törvénynek megfelelően kezelik a személyazonosításra szolgáló számokat. A beadványozók egy része azt kifogásolta, hogy a munkáltató a személyi azonosítójukat kérte. Az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - rámutatott arra, hogy a munkáltató a személyi azonosító kezelésére nem jogosult, mivel erre felhatalmazva nincsen, és olyan törvényben meghatározott feladata sincs, amelyhez erre szüksége volna. Nem kérheti az azonosító utolsó négy számjegyét sem, mivel a jogszerűen nyilvántartott személyes adatokkal (nem és születési idő) együtt ezek már elégségesek a személyi azonosító megismeréséhez. (722/A/2001)
A Semmelweis Egyetem Egészségtudományi Karának gazdasági igazgatója körlevélben kérte a kar szervezeti egységeinek vezetőit, hogy a dolgozók személyi azonosítóját továbbítsák a részükre. Az adatkérést az egyetem Gazdasági Igazgatósága írta elő a számukra. Az adatkérés céljaként azt jelölték meg, hogy az adatok a bérszámfejtéshez szükségesek. A személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódokról szóló 1996. évi XX. törvény (a továbbiakban: Szaz. törvény) 32. §-a azonban tételesen felsorolja, hogy kik és milyen esetben jogosultak a személyi azonosító nyilvántartására. E felsorolás nem tartalmazza a személyi azonosító munkáltató általi kezelésének lehetőségét. Az egyetem gazdasági igazgatója arról tájékoztatta az adatvédelmi biztost, hogy tisztában vannak azzal, hogy ezeket az adatokat nem kezelhetik, csupán félreértés miatt került a körlevélbe a személyi azonosító továbbítását előíró rendelkezés. Az adatvédelmi biztos válaszában felhívta az egyetem vezetését a megszerzett személyi azonosítók törlésére és az adatvédelmi rendelkezések fokozottabb figyelembevételére és betartására. (110/A/2001)
Egy részvénytársaság vezetője arról kért állásfoglalást, hogy használható-e a cégnél foglalkoztatottak egyértelmű azonosítására a dolgozók adóazonosító jele. Az adatvédelmi biztos nevében eljáró országgyűlési biztos válaszában kifejtette, hogy a Szaz. törvény 19. §-a alapján az állami adóhatóság részére törvény alapján adatszolgáltatásra kötelezettek (köztük a munkáltatók) az adóazonosító jelet csak e feladatuk teljesítésével összefüggésben kezelhetik, az ettől eltérő (például belső azonosítási) célú felhasználás ellentétes a célhoz kötöttségi szabályokkal. (691/A/2001)
Az előző évhez hasonlóan idén is érkezett olyan beadvány, amelyben az indítványozók a munkába állásukkor vagy később végzett munkaköri alkalmassági vizsgálat során előírt igen széleskörű adatszolgáltatási kötelezettséget sérelmezték. Az irodai munkát végző polgárok azt kifogásolták, hogy a foglalkozás-egészségügyi orvos az erre a célra szolgáló adatlapon olyan adatokat is feljegyzett, amelyek a munkakörük betöltéséhez szükséges egészségügyi alkalmasság megítéléséhez nem szükségesek.
Munkáltatóik az adatkezelés jogalapjául a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendeletet jelölték meg. Ennek 1. § a) pontja szerint a munkaköri alkalmassági vizsgálat annak megállapítása, hogy egy meghatározott munkakörben és munkahelyen végzett tevékenység által okozott megterhelés a vizsgált személy számára milyen igénybevételt jelent, és annak képes-e megfelelni. A 4. § (1) bekezdés a) pontja szerint előzetes munkaköri alkalmassági vizsgálatot kell végezni a munkáltató által foglalkoztatni kívánt személynél a munkavégzés megkezdését megelőzően. A rendelet előírásának megfelelően a panaszosok is részt vettek kinevezésükkor, illetve egy-két héttel azt követően a vizsgálaton, amely keretén belül a rendelet 13. számú mellékletében meghatározott "Munkavállaló egészségügyi törzslapja" című nyomtatványt töltötték ki. A munkáltatói jogok gyakorlóját az orvos csupán az összegző véleményéről tájékoztatta, az egészségügyi adatokat tartalmazó adatokat azonban rögzítette és megőrizte.
Az Avtv. 5. § (1)-(2) bekezdésében meghatározott célhoz kötöttségi szabályok, valamint az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.) szerint az egészségügyi és személyazonosító adat kezelésének célja lehet a munkavégzésre való alkalmasság megállapítása [4. § (1) bekezdés n) pont], de a törvényben megjelölt adatkezelési célokból csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges [4. § (4) bekezdés]. A rendelet - a törzslapon - igen széleskörű adatszolgáltatási kötelezettséget ír elő, amely nem felel meg az adatvédelem fenti elveinek. Az adatlap számos olyan adatfajtát tartalmaz, amely a munkakörök legtöbbjénél nem szükséges a kívánt cél eléréséhez, tehát a munkaköri alkalmasság megítéléséhez: az apa, anya és testvérek szív- és érrendszeri, légzőszervi, daganatos, emésztőszervi, anyagcserével összefüggő, pszichiátriai megbetegedései; a dohányzásra és az alkoholfogyasztásra (fajtájára, mennyiségére, abbahagyás évére), a sportolásra és az étkezési szokásokra vonatkozó adatok; jogosítvánnyal, katonai szolgálattal összefüggő, fogazattal kapcsolatos és még sok más adat. Számos adat felvétele indokolt bizonyos munkakörök esetében, de más munkakörök esetében nem. A beadványozók mint jogi referensek esetében a munkaköri alkalmasság megítélése tárgyában a látószervek egészségére vonatkozó adatokon kívül - mivel számítógéppel dolgoznak - szinte valamennyi adat kérése indokolatlan, ennek következtében az Avtv. idézett rendelkezésével ellentétes. Az adatlapon az érintettnek nyilatkoznia kell arról, hogy eltitkolt betegsége nincs. A rendelet ezzel azt eredményezi, hogy a munkavállaló az egészségi állapotára vonatkozó valamennyi adatot szolgáltatni köteles a munkáltató által megbízott orvos részére, enélkül munkavégzésre irányuló jogviszonyt nem létesíthet. Az adatlap olyan személyek különleges adatait is tartalmazza továbbá, akik a munkavégzésre irányuló jogviszonynak nem alanyai (anya, apa, testvér). Mivel ők egyértelműen azonosíthatók, az ő személyes adataiknak is védelmet kell élvezniük. A rendelet által előírt adatlap az ismertetett tartalmi okokon túl formai okok miatt sem felel meg az adatvédelmi követelményeknek. A rendelet (illetve az adatlap) ugyanis különleges adatok kezelését írja elő: az érintettek egészségi állapotára, valamint kóros szenvedélyére vonatkozó adatokét. Az Avtv. szerint különleges adat akkor kezelhető, ha az érintett ahhoz írásban hozzájárult, vagy az adatkezelést törvény elrendeli [2. § (2) bekezdés]. A miniszteri rendelet ennek megfelelően nem alkalmas jogforrás kötelező adatkezelés elrendelésére. A jogalap hiányát nem helyettesíti a foglalkozás-egészségügyi orvos titoktartási kötelezettsége. A titoktartási kötelezettség ugyanis nem ad felhatalmazást arra, hogy az orvos bármilyen adatot kérhessen, illetőleg az érintett bármilyen adat szolgáltatására kötelezhető legyen. Az Avtv. és az Eüak. rendelkezéseit az orvos is köteles betartani.
Az adatvédelmi biztos megállapította tehát, hogy a 33/1998. (VI. 24.) NM rendelet azon rendelkezése, amely a munkába állás előtt kötelezővé teszi az alkalmassági vizsgálatot, önmagában nem ellentétes a személyes adatok védelméhez való joggal. A vizsgálat során a rendelet által előírt adatfelvétel azonban jelenlegi formájában jogsértő. Egyrészt azért, mert a célhoz kötöttség elvét figyelmen kívül hagyva rendkívül széles adatszolgáltatási kötelezettséget ír elő a munkavállaló számára, amely az adatfelvétel céljának eléréséhez az esetek többségében nyilvánvalóan nem szükséges adatokra és más személyek adataira is kiterjed. Másrészt az adatkezelést elrendelő jogszabály jogforrási szintje sem megfelelő. Mindezek alapján az adatvédelmi biztos kezdeményezte az egészségügyi miniszternél a foglalkozás-egészségügyi jogszabályok olyan módosítását, amely eredményeképpen - megfelelő szintű jogforrás - a foglalkozás-egészségügyi orvos részére csak olyan adatok szolgáltatását írja elő, amelyek az adott munkakör betöltésére való alkalmasság megítéléséhez szükségesek. A miniszter ugyanakkor nem tartotta szükségesnek a változtatást. (270/A/2000, 759/A/2000, 359/A/2001)
Telefonon és írásban is többen érdeklődtek arról, vajon joga van-e a munkáltatónak megismerni azt, hogy a munkavállaló a munkahelyi számítógépét használva az interneten milyen oldalakat tekint meg, illetve milyen tartalmú elektronikus levelezést folytat. Az egyik telefonáló kifejezetten azt kérte, hogy az adatvédelmi biztos ezzel kapcsolatban kiadott állásfoglalását e-mail útján juttassa el részére, így hozva azt az őt jogellenesen ellenőrző munkáltatójának tudomására. Az elektronikus levelezés munkáltató általi ellenőrzésének lehetőségeivel az előző évi beszámolóban foglalkoztunk. A megtekintett honlapokkal összefüggésben az állampolgári jogok országgyűlési biztosa az adatvédelmi biztos nevében eljárva, és utóbb az adatvédelmi biztos is tájékoztatta a beadványozókat, hogy az a tény, hogy ki milyen oldalakat és milyen gyakorisággal tekint meg, személyes adatnak minősül. A munkáltató általi megismerés jogszerűségének megítélésében különbséget kell tenni aszerint, hogy a munkáltató az internet használatát kizárólag a munkavégzés céljából engedélyezi, vagy lehetővé teszi a magáncélú használatot is. Amennyiben a munkáltató az internet használatát csupán a munka végzése céljából engedélyezi, lehetősége van ennek ellenőrzésére. Ezt azonban csak akkor teheti meg, ha a dolgozók figyelmét előzetesen felhívta az internet használatának korlátozására és az ellenőrzés lehetőségére. Abban az esetben, ha a munkavállalók előzetesen nem kaptak ilyen tájékoztatást, esetleg a munkáltató kifejezetten hozzájárult a magáncélú használathoz, az internet használatára vonatkozó adatokat, így a látogatott oldalak címét a munkáltató nem ismerheti meg. Ha mégis vizsgálja ezt, és kimutatásokat készít a dolgozók általi internet-használatról, jogellenes adatkezelést végez éppúgy, mintha a dolgozók telefonbeszélgetéseit hallgatná le. (570/A/2001, 790/A/2001)
A beadványok egy része azt sérelmezte, hogy egyes közigazgatási szervek a náluk dolgozó köztisztviselőket arra kötelezik, hogy nyilatkozzanak, közszolgálati jogviszonyukon kívül milyen jövedelemforrással rendelkeznek, és milyen gazdasági társaságokban érdekeltek. A köztisztviselők jogállásáról szóló 1992. évi XXIII. törvény (a továbbiakban: Ktv.) szerint a köztisztviselő munkavégzésre irányuló egyéb és további jogviszonyt - a tudományos, oktatói, művészeti, lektori, szerkesztői, valamint jogi oltalom alá eső szellemi tevékenység kivételével - csak a munkáltatói jogkör gyakorlójának engedélyével létesíthet, és bizonyos kivételekkel nem lehet gazdasági társaság vezető tisztségviselője, vagy felügyelő bizottságának tagja. A Ktv. egyúttal kimondja, hogy összeférhetetlenségi ok felmerülése esetén a köztisztviselő köteles azt haladéktalanul írásban bejelenteni. Mindezek alapján nem kifogásolható, hogy a köztisztviselőnek a közszolgálati jogviszony létesítésekor nyilatkoznia kell arról, hogy vele szemben összeférhetetlenség nem áll fenn, a későbbiekben azonban nem a munkáltató vagy a munkahelyi vezető feladata az összeférhetetlenség vizsgálata, hanem a köztisztviselő kötelessége az összeférhetetlenség jelzése. Ennek elmulasztása fegyelmi vétség. A munkavégzésre irányuló egyéb jogviszonyt - a törvényben meghatározott kivételekkel - tehát be kell jelenteni, és azok létesítése a munkáltatói jogkör gyakorlójának engedélyével lehetséges. A kivételeket ugyanakkor - amelyekhez nem szükséges engedély - a köztisztviselőnek nem kell bejelentenie, amennyiben az közszolgálati jogviszonyában a munkakörének ellátását nem akadályozza. Nem kell bejelenteni azt sem, ha a köztisztviselőnek tagsági részesedése van gazdasági társaságban, hiszen ez önmagában nem összeférhetetlenségi ok. (178/A/2001, 406/K/2001, 200/A/2001)
Tartalmát tekintve hasonló, bár nem köztisztviselőket érint az az ügy, amelynek beadványozója arról számolt be, hogy egy kft. főkönyvelője a dolgozókat egymás közötti, illetve a céggel szerződéses viszonyban lévőkkel fennálló rokoni és baráti viszonyaikat feltáró írásbeli nyilatkozat tételére hívta fel. A felhívásban az szerepelt, hogy valótlan adatok közlése elbocsátást vonhat maga után. Az adatvédelmi biztos megkeresése nyomán az elbocsátással való fenyegetés miatt felelősségre vonták a főkönyvelőt, de a cég ügyvezetőjének leveléből az is kiderült, hogy a társaság németországi tulajdonosa kérte a nyilatkozatok megtételét, mivel olyan visszaélésekről értesült, amelyeket e körben fennálló kapcsolatok alapoztak meg. A nyilatkozatokat Németországba továbbították. Az adatvédelmi biztos az üggyel kapcsolatban megállapította, hogy nem pusztán az elbocsátással való fenyegetés, hanem az adatkérés, az adatok tárolása, valamint külföldre továbbítása is jogszerűtlen volt, ilyen nyilatkozat megtételére a munkáltató nem kötelezheti a munkavállalókat. Jogellenesnek találta azt is, hogy a nyilatkozattételre kötelezetteket semmilyen formában nem tájékoztatták az adatkérés céljáról és arról sem, hogy a megadott adatokat ki fogja kezelni. Az adatvédelmi biztos a kft. ügyvezetőjét felszólította a jogellenes adatkezelések megszüntetésére. (Az állásfoglalás a Mellékletekben olvasható.) (184/A/2001)
A sajtóban is nagy visszhangot keltett két országgyűlési képviselő beadványa, amelyben a köztisztviselői eskü "Isten engem úgy segéljen!" záradékának a személyes adatok védelméhez fűződő joggal való öszszeegyeztethetőségéről érdeklődtek. A beadványra - megválasztott adatvédelmi biztos hiányában - az állampolgári jogok országgyűlési biztosa válaszolt, állásfoglalása a Mellékletekben olvasható. (61/A/2001)
Távközlési szolgáltatók és a posta
A mobilszolgáltatók adatkezelésének vizsgálatánál ebben az évben is kiemelt figyelmet kellet fordítani a különböző igazolványok fénymásolására.
A biztos ebben az évben is kénytelen volt megkeresni a Pannon GSM Rt. adatvédelmi igazgatóját, mert egyre többen fordultak irodájához, kifogásolva a társaság eljárását a szerződéskötéseknél. A biztos megkeresésében utalt előző évi levélváltásukra, mely szerint az 591/K/2000 számú ügyben - kérdésükre válaszolva - tájékoztatást adott a személyazonosság hitelt érdemlő igazolásának törvényes lehetőségeiről.
Az egyik panaszos a szolgáltató Fáy utcai irodáját kereste fel, ahol meglepetéssel tapasztalta, hogy személyazonosító igazolványának minden oldalát több példányban fénymásolták, majd felszólították, hogy a fénymásolat minden oldalát írja alá. Az ügyintézőtől a panaszos megtudta, hogy a másolatok egyik példányát a BM Adatfeldolgozó Hivatalába küldik ellenőrzésre, a további példányokat cégüknél tárolják. Arra viszont már nem tudott válaszolni, hol és milyen körülmények között tárolják az iratokat. Az irodavezető tájékoztatása szerint a másolatok készítésével belső utasításnak tesznek eleget. A panaszos több irodában járt, de mindenütt a leírtakat tapasztalta.(144/A/2001, 259/A/2001, 385/A/2001)
Egy polgár azért kért segítséget a biztostól, mert a Pannon GSM Rt. ügyintézője a szerződéskötésnél személyi igazolványát tudta nélkül fénymásolta. A fénymásolatot csak a pénztártól való visszaérkezés után mutatták meg, és akarták vele aláíratni. Az ügyintéző közölte, ha nem írja alá a fénymásolatot, akkor is továbbítani fogja a központba. Véleménye szerint az adatkezelés beleegyezése nélkül történt, a fénymásolatot pedig csalárd módon szerezték meg. A fényképről készült másolat további kezeléséhez sem járult hozzá. (595/A/2001)
Egy újabb panaszban az érintett arra várt választ, kik és milyen személyi okmányokról készíthetnek másolatot, mert a Pannon GSM Rt-nél Pannon Praktikum csomag vásárlásakor fénymásolták a személyazonosító igazolványát. Tapasztalata szerint a szolgáltató több üzletében is egységesen alkalmazzák a kifogásolt eljárást. Az eladó tájékoztatása szerint egy ügyfél csak három alkalommal szerződhet akciós csomagra, ezért szükséges erről nyilvántartást vezetni és fénymásolatokat készíteni.
A korábbi hasonló panaszok alapján az adatvédelmi biztos megkereste a szolgáltató adatvédelmi igazgatóját és felhívta figyelmét az adatkezelés törvényi követelményeire. A biztos tájékoztatást kért arról, hogy adatvédelmi gyakorlatukban miért hagyják figyelmen kívül az Avtv. rendelkezéseit és korábbi állásfoglalásait.
Az igazgató véleménye szerint a személyazonosító igazolványok fénymásolása az utólag fizető szerződő felek esetében azért szükséges, mert a visszaélések száma folyamatosan emelkedik és a telefont a valódi értékénél jóval alacsonyabb áron értékesítik. A visszaélések idővel a szolgáltatás minőségét is befolyásolják, az általuk okozott jelentős anyagi hátrány az előfizetőkre is negatív hatással lesz, mert az előfizetési- és beszélgetési díjak növekedését eredményezi. A társaság a fénymásolást olyan kényszerű intézkedésnek tartja, mellyel az esetleges visszaélések könnyebben megakadályozhatók illetve felderíthetők. A normál és az akciós előfizetői szerződések kötésénél az ügyfélszolgálat alkalmazottai az érintettek szóbeli hozzájárulását kérik a fénymásolat készítéséhez. A másolat aláíratásával tudják utóbb igazolni az ügyfél hozzájárulását. Tehát a szolgáltató elvárásai szerint az ügyfelek tudta nélkül nem kerülhetne sor az okirat fénymásolására. A szerződéskötés során az ügyfelek eldönthetik, hogy kívánnak-e élni a szolgáltató által kínált kedvezményekkel, vagy úgynevezett "prepaid" előfizetést vásárolnak, melyre a szükséges iratok bemutatása után kerülhet sor. (415/A/2001)
Egy polgár kártyás telefonja ellopását követően bejelentést tett és kérte a hívószámmal együtt a készülék letiltását. Az ügyintéző tájékoztatása szerint a letiltáshoz szükségük van a rendőrségi jegyzőkönyvre és a lakcímet tartalmazó kártyára. A felsorolt okiratok nélkül a társaság biztonsági osztálya nem kezeli a készüléket lopottként, a személyi igazolvány pedig csak a lakcím kártyával együtt érvényes. A korábbi szerződéskötéseknél lemásolt iratok az irattárban vannak, ezért 30 napig is eltarthat mire megtalálják. Ha nem járul hozzá az iratok újabb másolásához, a biztonsági osztály a BM központi nyilvántartásától kér adatokat, és csak azután tiltják le a készüléket, addig elveszettként veszik nyilvántartásba.
A biztos véleménye szerint a rendőrségen tett feljelentésről készült jegyzőkönyvet nem szükséges teljes egészében csatolni. A feljelentés tényének igazolásául elegendő a bizonyítani kívánt eseményre vonatkozó részt fénymásolni és azt az adatkezelő rendelkezésére bocsátani. További személyes adatok ismerete nem indokolt a szükséges technikai megoldások elvégzéséhez. Mint azt a biztos az előző években is részletesen kifejtette, a személyazonosító igazolvány másolására és a képmás kezelésére a szolgáltatónak nincs törvényi felhatalmazása. Ennek hiányában csak az érintett kifejezett hozzájárulásával kezelhetők a vitatott személyes adatok. A szolgáltató eljárása akkor minősülhet jogellenesnek, ha az említett feltételek az adatkezelés során nem teljesültek és ez - az eset összes körülményét figyelembe véve - minden kétséget kizáróan bizonyítható. (503/A/2001)
Érkezett olyan panasz is, melyben a polgár a Westel 900 GSM Rt. eljárását sérelmezte. A beadványhoz mellékelt DOMINÓ értékesítési szabályzat lehetőséget biztosít az ügyfél számára, hogy személyazonosító igazolványáról a "másolat készítését megtagadja." Arról azonban nem rendelkezik, hogy ilyen esetben a szolgáltató elzárkózna a szerződés megkötésétől. A biztos kérte az érintettet, ha erre vonatkozó információ jutna birtokába szíveskedjen jelezni az Adatvédelmi Biztos Irodájának. (545/A/2001)
Az előfizetők egyre érzékenyebbek adataik biztonságos kezelésére. Ezt bizonyítja az a beadvány is, melyben a polgár a Pannon GSM Rt. adatkezelését azért kifogásolta mert a szolgáltató 2001. február végéig új előfizetések vásárlásakor, csak a PIN1 és PUK1 kódokat adta ki zárt borítékban, de a PIN2 kódot - melynek használatával a Pannon GSM Rt. hálózatán az un. FDN szolgáltatás érhető el (beállítható fix számok hívása, fix körzet hívása, illetve ezzel párhuzamosan kimenő-hívástiltás aktiválható) - és a PUK2 kódot - amely a PIN kód zárolásának feloldását teszi lehetővé - semmilyen módon nem juttatták az előfizetők tudomására. Ez azt jelentette, hogy még azokat a PIN2-re épülő, telefon által nyújtott szolgáltatásokat sem tudták igénybe venni, amelyek esetében nincs szükség a telefonközpont "segítségére". A PIN2 és PUK2 kódok kizárólag SMS szolgáltatás igénybe vételével, vagy a Pannon GSM Rt. online elérést biztosító rendszere (PannOnline) segítségével, az interneten keresztül érhetőek el. A kódok által az igénybe vehető lehetőségek, szolgáltatások (FDN) kártyaszintűek, tehát az adott kártyáról szükséges az SMS-t elküldeni és válaszként mindig csak az adott kártyához tartozó kódok kerülhetnek kiküldésre. Az előfizető a kódokhoz korlátlan mennyiségben hozzáférhet.
A panaszos azért nem tartotta biztonságosnak a szolgáltató által alkalmazott módszert, mert a lekérdező üzenetet az küldheti el és a választ az olvashatja el, akinek a kezében a telefon van (például ellopták, vagy a használó csak letette az asztalra tárgyaláson [...] ). A kódok kérése és a válasz között olyan rövid idő telik el, amely alatt valószínűtlen, hogy a jogosulton kívül más is hozzáférhet az adatokhoz. A választás lehetősége jelenleg is adott, bárki szabadon dönthet, hogy a vitatott adatkérést SMS-en vagy interneten keresztül kezdeményezi. Az adatkérés biztonságos lebonyolításához az érintett szabadon választhatja meg azt az időpontot, amely személyes adatai lekérdezéséhez és a biztonságos közléshez a legalkalmasabb. A fent leírtak vonatkoznak az internetes adatközlésre is. Az eddigiekben tárgyalt kódok létezését, elérésének módját, működését stb. nem titkolhatja el a szolgáltató. A készülékekhez csatolt útmutató segíti az eligazodást. Lehetséges megoldásként a jelenlegi rendszer mellett a borítékban való továbbítás alkalmazását javasolta a biztos. Az érintettek választhassanak döntésüktől függően a rendelkezésükre álló lehetőségek közül. A vitatott adatkezelés az érintettek gondos közreműködésével nem jelent nagyobb veszélyt, mint a telefonhasználat általában. A biztos tájékoztatta még arról is a panaszost, hogy sem a beadványa beérkezését megelőzően, sem azt követően nem kifogásolták a polgárok az általa vitatott adatkezelést. (279/A/2001)
Egy nehéz élethelyzetben lévő panaszos arra kérte a biztost, vizsgálja ki hogyan tudhatta meg újra titkos telefonszámát a testvére, aki ellen jelenleg is veszélyes fenyegetés és zaklatás miatt eljárás van folyamatban. A szolgáltató a panaszos reklamációjára azonnal új kapcsolási számot biztosított, és ezzel az ügyet lezárta. Ezt követően a panaszos a Matáv Rt. Belső ellenőrzési ágazatánál tett bejelentést, de az ott dolgozó alkalmazott a rendőrséghez irányította.
Az adatvédelmi biztosnak nincs nyomozati jogköre, amely lehetővé tenné a kifogásolt adattovábbítás körülményeinek pontosítását. A szolgáltatótól soron kívül új kapcsolási számot kapott a panaszos, de a további eljárás lefolytatására a rendőrség rendelkezik hatáskörrel. Mielőtt jogosulatlan adatkezelés miatt bárki feljelentést tenne ismeretlen tettes ellen, érdemes átgondolni, nem egy jó szándékú ismerős vagy családtag adta-e meg testvérének a telefonszámát, mivel nem tudott kettőjük megromlott kapcsolatáról. Sok esetben az érintettek szűkebb környezetében élőktől kerülnek ki bizalmasan kezelt személyes adatok. (400/A/2001)
Más esetben a panaszos beadványában arról számolt be, hogy személyazonosító igazolványának elvesztése miatt több alkalommal kellemetlen helyzetbe került, mert a távközlési szolgáltatók elavult adatbázisában az igazolvány mint elveszett vagy ellopott igazolvány volt feltüntetve.
A beadványában említett távközlési szolgáltató jogszerűen igényelhet a személyazonosító igazolványra vonatkozóan adatokat. A polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény 17. § (4) bekezdése szerint az igazolvány száma alapján a személyazonosító igazolvány nyilvántartásból kérelemre, a felhasználás céljának és jogalapjának igazolása esetén az igazolvány kiadásáról, érvényességének, elvesztésének, ellopásának, megsemmisülésének, találásának, megkerülésének tényéről adatok szolgáltathatók. Nincs azonban jogszabályi felhatalmazás arra vonatkozóan, hogy az így megszerzett személyes adatokat a szerződéskötési jogosultság megállapítása után a szolgáltató tárolja. Egy korábbi beadvány alapján vizsgálatot folytatott a biztos az ilyen adatbázisok létrehozatalával kapcsolatban. 1999. október 14-én levélben kereste meg az egyik hazai mobiltelefon-szolgáltató társaság vezérigazgatóját, amelyben arra kérte, tájékoztassa a Központi Adatfeldolgozó, Nyilvántartó és Választási Hivataltól (KÖANYV) megszerzett adatok alapján a lopott vagy elveszett személyazonosító igazolványok listáját tartalmazó adatbázisról. A vizsgálat során a biztos arra a megállapításra jutott, hogy a társaság több szempontból sem az adatvédelmi szabályoknak megfelelően kezeli a személyes adatokat, ezért felszólította a jogellenes adatkezelés megszüntetésére. Az ilyen adatbázisok ugyanis törvényes jogalap nélkül jönnek létre, nem felelnek meg a célhoz kötöttség elvének sem, és nem is időszerűek. A szolgáltatók akkor járnának el jogszerűen, ha minden esetben, amikor valaki velük szerződést akar kötni, adatot kérnének a KÖANYV-tól a személyazonosító igazolványra vonatkozóan, ha kétségük van az igazolvány valódiságáról. (432/A/2001)
Egy polgár véleménye szerint az internet-szolgáltatás igénybevételekor a Matáv Rt. belehallgat a telefonbeszélgetésekbe. A törvénytelen lehallgatás bizonyítékaként csatolta beadványához a telefonszámlát, melyben a Matáv Rt. írásba adja, hogy a panaszos használja az internetet, és önkényesen rögzíti kivel, milyen adatközlést folytat. A polgár tiltakozott a törvénytelen lehallgatás miatt.
A biztos igyekezett megnyugtatni a panaszost, hiszen az internet működéséhez szükséges telefonvonalat szolgáltató Matáv Rt. technikailag valóban megkülönbözteti, hogy az előfizető telefonbeszélgetést folytat vagy az internetet használja, de ez nem jelenti a telefonbeszélgetések tartalmi rögzítését. A tartalmi rögzítés feltételezett tényét a számla nem bizonyítja, a forgalmi adatok differenciált kezelése az igénybe vehető szolgáltatások eltérő díjtételei miatt szükséges. A megbízható számlázás érdekében a szolgáltató köteles olyan technikai megoldásokat alkalmazni, amely biztosítja az igénybe vett szolgáltatások pontos beazonosítását, ugyanakkor az adatvédelmi követelményeknek is eleget kell tenniük. A vitatott esetben nem volt arra utaló jel, hogy a Matáv Rt. jogosulatlanul kezelte volna a polgár személyes adatait. (92A/2001)
Az adatok kezelésének törvényi követelményeit a szolgáltatók is igyekeznek betartani, ezért az adattovábbítások előtt körültekintően vizsgálják a továbbítás jogalapját. Dr. Majtényi László korábbi adatvédelmi biztos 1998-ban már folytatott vizsgálatot a Matáv Rt. hívásrészletező (részletes számla) kiadásával összefüggő gyakorlatával kapcsolatban. Akkor a Matáv Rt. elnök-vezérigazgatója ígéretet tett arra, hogy a kérdést vezérigazgatói utasításban fogja szabályozni. Az előfizetői adatok kezelésével kapcsolatos eljárásról szóló 42/1999. sz. vezérigazgatói utasítás szerint a hívásrészletezőt négy módon lehet megrendelni:
- személyesen, a személyazonosság igazolásával, vagy PIN-kód megadásával (PIN-kódot az ügyfél az "1212" számon tud beállítani, ez egy hét számjegyű egyedi kód);
- telefonon, PIN-kód megadásával;
- írásban vagy faxon az állomás létesítési címére (ezáltal a részletezőt az kapja meg, aki a készüléket használja;
- telefonon bejelentett számlareklamáció esetén azonosításra szolgáló adatok megadásával (ebben az esetben sem kérhető az ügyfél személyi igazolványának száma).
A vezérigazgatói utasítás hívásrészletezőre vonatkozó szabályai megfelelnek az adatvédelmi követelményeknek, és nem teszik lehetővé, hogy az ügyféltől személyiazonosító igazolvány számot kérjenek hívásrészletező kiadásához. A fent említett szabályok azt hivatottak biztosítani, hogy a részletezőt csak az igényelhesse és kaphassa meg, aki arra valóban jogosult. Ennek megfelelően járt el a szolgáltató, amikor nem adott egy panaszos édesanyjának felvilágosítást, mert nem ő volt az előfizető. (552/A/2001)
A mobilszolgáltatók jogi képviselői egyre gyakrabban fordulnak az adatvédelmi biztoshoz konzultációs kérdésekkel, mert a különböző hatóságok, bíróságok rendszeresen megkeresik társaságukat, és az előfizetőikkel kapcsolatos tájékoztatást kérnek. Egy alkalommal szerződés érvénytelenségének megállapítása iránt indított perben a bíróság a megadott kapcsolási szám üzemeltetőjének nevét tudakolta. Az érintett hozzájárulása nélkül nem teljesítették az adatkérést. Véleményük szerint akkor is jogszerűen jártak el, amikor külön erről rendelkező törvény hiányában a büntetőeljárásról szóló 1973. évi I. törvény (továbbiakban: Be.) 118. § (1) bekezdésének utolsó fordulatára hivatkozva közölték a bírósággal, hogy a híváslista megküldése törvénybe ütközik.
A veszélyes fenyegetés szabálysértése miatt folyamatban lévő ügyekben nem teljesítették a bíróság adatkérését. A szabálysértésekről szóló 1999. évi LXIX. törvény (továbbiakban: Sztv.) 80. § (1) bekezdésének a) pontja alapján távközlési adatokat rögzítő iratok lefoglalásáról szóló határozat rendelkezéseit sem teljesítették.
Az APEH szervei és az önkormányzatok az adózás rendjéről szóló 1990. évi XCI. törvény (Art.) 37. § (1) bekezdése alapján szólították fel a szolgáltatót nyilatkozattételre az előfizetői adatok vonatkozásában. Tipikus kérdés: x.y. rendelkezik-e előfizetéssel, és ha igen, meghatározott időszakra mennyit és milyen számlákra fizetett. A szolgáltató a megkereséseket nem teljesíti, mert az Art. 37. § (3) bekezdése alapján a hivatásbeli titoknak minősülő tényről tanúként nem hallgatható meg az, aki a titoktartás alól nem kapott felmentést. Álláspontjuk szerint a nyilatkozattétel intézménye egy bizonyos tény, vagy adat megerősítésére szolgálhat, nem pedig általános jellegű információszerzésre. Az utólag elküldött megkeresés-minta adattartalma szerint az állami adóhatóság "Lakcím kiadatási kérelem" tárgyában kérte egy előfizető személyes adatait. ("születési év, hónap, nap, lakcím, anyja neve, adóazonosító stb." )
A biztos válaszában a következőket emelte ki:
A 2000. március 1. óta hatályban lévő Sztv. 151. §-a szerinti veszélyes fenyegetés szabálysértése miatt az eljárás bírói hatáskörbe tartozik. Az eljárások általában ismeretlen tettesek miatt indulnak meg, akik a sértetteket telefonon keresztül fenyegetik meg. Az Sztv. 119. § (3) bekezdésének d) pontja alapján a bíróság a tényállás tisztázása érdekében külön jogszabályban meghatározott feltételek alapján más szerveket adatok közlésére hívhat fel. A törvény az adatkérés jogát biztosítja, de nem határoz meg a másik oldalon adatszolgáltatási, válaszadási kötelezettséget. Tehát az adatkezelő nem adhat tájékoztatást a megkeresésben kért adatokról. A kifogásolt adatkérések miatt az adatvédelmi biztos megkereste a belügyminisztert, aki egyetértett a biztos javaslatával, mely szerint a megkeresettek válaszadási kötelezettségét az Sztv.-ben elő kellene írni. Az Sztv. módosításának előkészítése jelenleg folyamatban van, a belügyminiszter ígéretet tett, hogy az előkészítés során megvizsgálják az Sztv. kiegészítésének módját a Be. 118. § (1) bekezdésében foglalt rendelkezéshez hasonló szabállyal.
A Be. 118. § (1) bekezdése a bíróságok számára nem csak az adatkérés jogát biztosítja, hanem az adatkezelő számára a válaszadási, tájékoztatási kötelezettséget azáltal, hogy az adatkérés teljesítésére 30 napos határidőt állapíthat meg a bíróság. Figyelembe véve a (3) bekezdés rendelkezéseit is, a biztos nem értt egyet a beadványban képviselt értelmezéssel, véleménye szerint nem tagadhatják meg az adatszolgáltatás teljesítését a távközlésről szóló 1992. évi LXXII. törvény 24. § (1) (3) bekezdésére való hivatkozással.
Az Sztv. 80. § (1) bekezdés a) pontja szerint elrendelt távközlési adatokat rögzítő iratok lefoglalásáról rendelkező határozatok sem teljesíthetők, hiszen olyan adatok lefoglalásáról rendelkezik a bíróság amelyek okirati formában nem léteznek, azokat előbb "elő kell állítani". Tehát az adatok bizonyos adathordozón rögzítetten létező, de tárgyiasult formában meg nem jelenő adatok, amelyeket meghatározott szempontból szelektált hívásadatokból állítanak elő. Ez az oka annak, hogy nem felelnek meg az Sztv. 63. § (1) bekezdésében található tárgyi bizonyítási eszköz fogalmának, ennél fogva lefoglalásukról sem lehet rendelkezni.
A biztos a polgári perrendtartásról szóló 1952. évi III. törvény 192. §-ának értelmezésében nem értett a családjával egyet, mert álláspontja szerint szabályszerű megkeresés esetén a (2) bekezdésre való hivatkozással nem tagadhatják meg az adattovábbítást. A hivatkozott törvényhely rendelkezései között nincs olyan figyelembe vehető kimentési ok, amely felmenthetné őket az adattovábbítás kötelezettsége alól.
Ami a adóhatóságok adatkérését illeti, az Art. hivatkozott rendelkezése alapján az érintettek hozzájárulása nélkül nem teljesíthető korlátlanul minden adatkérés. A beadványhoz mellékelt "Lakcím kiadatási kérelem" tartalmilag nem felel meg azoknak a törvényi követelményeknek, melyek az adóhatóság megkeresését alkalmassá tehetnék az adatkérés teljesítésére. Az Art. 37. § (1) bekezdésben az adatkérés célja az adózó adókötelezettségének [...] megállapítása érdekében az adóra vonatkozó adatról, tényről, körülményről nyilatkozat beszerzése. Ezzel ellentétben az adóhatóság az adózó személyazonosságának megállapításához szükséges adatok felől tudakozódott. Bizonyítja ezt az adóazonosító szám közlésének kérése, mely olyan azonosító, amely az adózó személyét hivatott igazolni. A távközlési szolgáltató nyilvántartásában az adóazonosító törvényi felhatalmazás alapján nem szerepelhet. A kapcsolási szám az adóhatóság számára is az általános feltételekkel ismerhető meg. Ha az előfizető adatkezelési nyilatkozatában nem kért rejtett adatkezelést, az adattovábbításnak nincs akadálya. Titkos telefonszám esetében az adatok csak a nyomozati jogkörrel rendelkező szerv(ek) számára továbbíthatók, a szükséges formai követelmények betartásával. Az adóhatóság csak a hatáskörébe tartozó feladatkör ellátása érdekében kérhet adatokat. [...]
"Érdemes még szót ejteni a hivatásbeli titokról mint a magántitok egyik fajtájáról. A beadványukban kimentési okként hivatkoztak a titoktartási kötelezettség alóli felmentés hiányára. A hivatásbeli titok megtartásának kötelezettsége azokat terheli, akik hivatásuknál vagy foglalkozásuknál fogva jutnak ilyen adatok birtokába. A gyakorlatban tipikusan az orvosi, ügyvédi, lelkészi, közjegyzői tevékenység során szerezhet tudomást hivatásbeli titokról a titokgazda. A távközlési adatok kezelői szolgáltatói tevékenységük során nem kezelnek tipikusan a magántitok fogalomkörébe tartozó adatokat. A nyilatkozattételi kötelezettségük sem ilyen jellegű adatokra vonatkozott, tehát az Önök által hivatkozott okból nem tagadható meg a nyilatkozattétel szabályszerű adatkérés esetén. Adóhatósági ellenőrzés során a lakcímadatok pontosítása céljából nem vehető igénybe a távközlési szolgáltató adatbázisa." (116/K/2001, 131/K/2001)
A tavalyi beszámoló készítésének időszakában a posta "lakcímregiszter" készítését kifogásoló panasz alapján indult vizsgálat még folyamatban volt, mert a posta hálózatüzemeltetési igazgatóhelyettese az ügyet felterjesztette a jogi igazgatóságához, ahol a szükséges intézkedések megtételéről döntöttek. A jogi igazgató arról tájékoztatta a biztost, hogy munkáltatói utasításban rendelkeznek a sérelmezett lakcímregiszter megszüntetéséről. Levelében arra is ígéretet tett, hogy "az elkészült hatályos utasításról tájékoztatást küld". Az adatvédelmi biztos az utasítás tartalmát december közepéig sem ismerhette meg, ezért soron kívüli tájékoztatást kért a megtett intézkedésekről - utalva a jogi igazgató válaszára - és kért egy példányt a utasításból. (551/A/2000)
Egy újabb panaszban az egyik polgár arról kérte a biztos véleményét, van-e a postának joga csekkfeladáskor összesítőt kérni, amelyen szerepeltetni kell a befizető nevét és címét. A napi gyakorlatban a postákon nem rendelték el kötelezően az "összesítő" jegyzék használatát, de a pénzkezelés biztonságának fokozása érdekében célszerűnek tartják a befizető nevével és címével ellátott jegyzék kiállítását. A Posta Üzletszabályzatai sem tartalmaznak kötelező rendelkezést a jegyzék használatáról, a vitatott személyes adatokat csak a befizető önkéntes hozzájárulása alapján kezelik. A postai munkahelyek napi elszámolását követően az összesítők az adott posta napi, majd havi elszámolásába kerülnek. Ezeket az iratokat 18 hónapig őrzik. A főigazgató véleménye szerint a jegyzék alkalmazása - függetlenül az adott posta gépesítettségének szintjétől - a jövőben is támogatást nyújt a postai alkalmazottaknak, illetve téves befizetés esetén az adott ügyfél érdekét is szolgálja.
A postáról szóló 1992. évi XLV. törvény nem hatalmazza fel a postát a vitatott adatok kezelésére, ezért azok csak az érintettek önkéntes hozzájárulásával kezelhetők. Nem kifogásolható az összesítő használata a pénzkezelés megkönnyítése érdekében, de a tételek összesítéséhez a név és lakcímadatok kezelése nem szükséges. Eljárásuk adatvédelmi szempontból azért sem indokolt, mert a legtöbb helyen számológéppel ellenőrzik a számítás helyességét, a befizetést követően pedig nincs lehetőség a befizetővel való utólagos elszámolásra. Az összesítőn szereplő személyes adatok aránytalanul hosszú ideig való kezelése szükségtelen és ellentétes a célhoz kötött adatkezelés törvényi követelményével. Az adatok felvétele előtt az érintettel közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. A postákon kifüggesztett felhíváson nem olvasható ilyen tájékoztatás, arról sem informálnak, hogy milyen célból és meddig kezelik a kért adatokat. A biztos felhívta a főigazgatót a szükséges intézkedések megtételére.
A főigazgató 2001. május 11-én érkezett válaszában arról tájékoztatta a biztost, hogy a postai befizetéseknél alkalmazott összefoglaló jegyzék használatáról szóló állásfoglalását tudomásul véve intézkedett a helytelen gyakorlat megszüntetése érdekében. Eljárása részeként említette társaságuk Üzletszabályzatának módosítását, melyet a Hírközlési Főfelügyeletnél kezdeményezett. Ezzel egyidejűleg intézkedett a belső szabályozások, rendelkezések módosításáról is, melyet megküldött a postahivataloknak. Ennek ellenére a biztos kénytelen volt felhívni a főigazgató figyelmét arra, hogy számos postahivatalban változatlan tartalommal olvasható a kifüggesztett "összefoglaló jegyzék-minta." A postahivatalok napi gyakorlatukban nem alkalmazzák egységesen az elrendelt változtatásokat, ezért a biztos kérte a jelenleg is tapasztalható adatkezelési anomáliák felülvizsgálatát, és a szükséges intézkedések megtételét az állásfoglalásában leírtaknak megfelelő gyakorlat kialakítása érdekében. A vizsgálat eredményéről a biztos újabb tájékoztatást kért. (41/A/2001)
Az információs társadalom hazai kialakulása folyamatának fontosabb elmúlt évi tendenciái, jellemzői az adatvédelmi biztos tevékenységében is érzékelhetők voltak. Az informatika alkalmazása, a számítógépek, de különösen az internet-szolgáltatók és -felhasználók számának növekedése, a világháló használatával kapcsolatos új igények és lehetőségek megjelenése, illetve bővülése, az internet működéséhez szükséges nemzetközi és hazai jogi szabályozás hiányosságai tetten érhetők az Adatvédelmi Biztos Irodájához érkezett beadványok számának növekedésében, valamint az azokban megfogalmazott kérdések jellegében.
Az internettel kapcsolatos közel harminc ügy több mint felében konzultációs kérdések szerepeltek, amelyekben általában az után érdeklődtek, hogy egy-egy szakmai területhez kapcsolódó adatok (tájékoztatók, nyilvántartások) megjeleníthetők-e a hálózaton, illetve egyes információk jogszerűen miképpen hozhatók nyilvánosságra. Ezen ügyek egy részét hatáskör hiányában az adatvédelmi biztos elutasította. A beadványok másik felében fogalmazódtak csak meg az egyes személyeket, vagy csoportokat érintő adatvédelmi jellegű kifogások, panaszok.
A beadványok egy részének megválaszolását, illetve - az informatika egyre gyakoribb alkalmazása szabályozási hátterének kialakítását célzó - jogszabálytervezetek véleményezését megkönnyítette az, hogy az adatvédelmi biztos ajánlást adott ki az internettel összefüggő adatkezelések egyes kérdéseiről. Az ajánlásról az előző évi beszámolóban rövid ismertetést adtunk.
Az adatvédelmi biztos annak ellenére indokoltnak tartotta ajánlás kiadását, hogy az elmúlt években az adatvédelemmel és a közérdekű adatok nyilvánosságával összefüggő hazai követelmények érvényesítésére az internet egyes "szereplői" (a szolgáltatók, a weblapok üzemeltetői, a felhasználók) számos technikai és szervezési intézkedést tettek, és jelentősen bővítették a közérdeklődésre igényt tartó információk elérhetőségét.
Az internettel összefüggő eseményekre, jelenségekre adott szakmai válaszok többségével egyetértve arra utalt ajánlásában, hogy a világháló nem jogmentes terület, a működésével összefüggő kérdések többsége jogilag szabályozott, ugyanakkor e jogszabályok változatlan formában és tartalommal nem mindig alkalmazhatók, továbbá a működés, működtetés néhány területe jogi szabályozást igényel.
A jogalkotónak, a szolgáltatóknak és a számítógépes hálózati felhasználóknak szóló ajánlásában az adatvédelmi biztos az internet adatvédelmi jellegű jellemzőiből indult ki, abból, hogy ez a - személyes és közérdekű adatok millióit gyűjtő, tároló, továbbító, és nyilvánosságra hozó - számítógépes világhálózat: nyilvános, elvileg bárki számára hozzáférhető; nincs tekintettel az országhatárokra; adatvédelmi, adatbiztonsági szempontból igen sérülékeny; megkönnyíti a közvéleményt érdeklő - az állami és önkormányzati szervek működésével összefüggő - közérdekű információk megismerhetőségét; olyan információk, adatok érhetők el általa, amelyek egy része nem valós, vagy nem pontos; továbbá jogsértő cselekmények elkövetésére is teret enged.
Az internet "szereplőinek" jogait és kötelezettségeit összefoglalva a biztos arra mutatott rá, hogy minden szolgáltató és felhasználó törvényes kötelezettsége az Avtv. rendelkezéseinek megfelelő adatkezelés. Felhívta a szolgáltatók figyelmét - az Avtv.-ben megfogalmazott - legfontosabb kötelezettségeikre: arra, hogy biztosítsák a felhasználók birtokukban lévő személyes adatainak biztonságát; adjanak tájékoztatást (például az adatvédelmi elveik és intézkedéseik közzétételével) az általuk végzett adatkezelés egyes körülményeiről (az adatkezelés célja, önkéntes vagy kötelező jellege, az adatkezelő, illetve adatfeldolgozó személye) az adat felvétele előtt kötelezően (például a felhasználóval kötött szerződés megkötésekor), illetve egyes további körülményekről az adatalany kérelmére.
A magánszféra a hálózati közegben fokozottan sérülékeny, ezért arra bátorította a felhasználókat, hogy szolgáltatójuktól kérjék az általa követett adatvédelmi szabályzat rendelkezésére bocsátását, kérjenek tájékoztatást a magánszféra védelmét szolgáló technológiákról, továbbá azt javasolta, hogy levél- és magántitkaik megőrzése, személyes adataik védelme érdekében használjanak titkosítószoftvereket. Felhívta a figyelmüket arra, hogy - miután hálózati szereplőként a felhasználókhoz is kerülhetnek személyes adatok (például nevek, e-mail címek) - nekik is mindig ügyelniük kell arra, hogy azokat csak az adatvédelmi törvény rendelkezéseinek megfelelően, általános esetben csak törvényi felhatalmazás alapján, illetve csak az érintett hozzájárulásával továbbíthatják, hozhatják nyilvánosságra.
Az ajánlásban részletesen kifejtettek alapján végezetül az adatvédelmi biztos azt javasolta a jogalkotó számára, hogy:
- az Avtv. módosításával harmonizálja a külföldre történő adattovábbítás szabályozását az Európai Parlament és a Tanács 95/46/EK sz. irányelvének rendelkezéseivel;
- az elektronikus információszabadság megteremtése érdekében írja elő, hogy a közérdekű adatok meghatározott körét kötelező közzé vagy elérhetővé tenni elektronikus formában is;
- a kapcsolódó szektorális törvények módosításával gondoskodjon: a kéretlen üzleti célú üzenetekre ("spam") vonatkozó szabályozás kialakításáról; a forgalmi adatok kezelésének jogszerűvé tételéről; a hackerek elleni védekezés jogi lehetőségeiről;
- az internetre vonatkozó szabályozások kialakítása előtt minden esetben folytasson konzultációkat az internet-felhasználók és -szolgáltatók képviselőivel. (Az ajánlás teljes szövege a Mellékletben olvasható.)
Az ajánlásban megfogalmazott néhány kérdés megoldására már 2001-ben történtek lépések. Így például az adatvédelmi törvény módosítását célzó első tervezetben kísérlet történt a külföldre történő adattovábbítás uniós követelményekhez igazítására. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény rendezte a "spam"-ek kérdését azzal, hogy kimondta: "Kizárólag az igénybe vevő egyértelmű, előzetes hozzájárulásával küldhető elektronikus úton, levelezés során reklám."
Az adatvédelmi biztos állásfoglalását kérték olyan nyilvános adatbázisok létrehozásával kapcsolatban, amelyek cégek, illetve kamarai tagok adatait tartalmazná, és az interneten keresztül bárki számára hozzáférhető lenne. A biztos jelezte, hogy "a gazdasági társaságok cégnyilvántartásban szereplő adatai nem személyes adatok, így kezelésük feltételeinek vizsgálata kívül esik hatáskörömön. Ugyanakkor felhívom a figyelmét arra, hogy az egyéni vállalkozók adatai az Avtv. hatálya alá tartoznak, így kezelésük törvény felhatalmazása alapján vagy az érintettek hozzájárulásával lehetséges." (218/A/2001, 236/K/2001)
Két hasonló ügyben a beadványozók iránymutatást kértek a hitelezői követelések tényadatainak (így az adósok adatainak) nyilvánosságra hozatalát célzó adatbázis létrehozásával kapcsolatban. Az adatvédelmi biztos - leszögezve, hogy tevékenységének általában nem része a jogi képviselő számára történő jogi tanácsadás, de figyelemmel arra, hogy e kérdéskör számos személy adatvédelemhez fűződő jogát érintheti - válaszában egyebek mellett kifejtette:
Az adatvédelmi törvény "a meghatározott természetes személlyel öszszefüggésben határozza meg a személyes adatot, így a személyes adatok védelmének szabályai a természetes személyek információs önrendelkezési jogára vonatkoznak. A nem természetes személyek személyiségi jogának határait, védelmének eszközeit illetően nem vagyok illetékes állásfoglalásra.
Az egyéni vállalkozókra vonatkozó adatok - mint az az Ön által is hivatkozott, 424/A/1996 adatvédelmi biztosi ügyszámú jogesetből is megállapítható - álláspontom szerint meghatározott természetes személyre vonatkozó adatok, ezért kezelésük, továbbításuk, nyilvánosságra hozataluk jogszerűségének feltétele törvényi felhatalmazás vagy az érintett hozzájárulása. Az adatok kezelésének módja - számítógépes adatbázis, internetes honlap stb. - mellékes." (408/K/2001, 501/K/2001)
Többen kértek tájékoztatást arról, hogy lehet jogszerűen internetes direkt marketing tevékenységet folytatni, reklámcélú e-maileket küldeni. A válaszokban az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - kifejtette, hogy mivel személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény elrendeli, de a kéretlen üzleti célú üzenetekre (spam) nincs speciális törvényi szabályozás, így arra az Avtv. szabályait kell alkalmazni. A hozzájárulás akkor tekinthető megadottnak, ha az érintett azt az adatkezelő kilétének, az adatkezelés céljának, módjának és időtartamának ismeretében adja meg. Vagyis a honlapon egy olyan tájékoztatást kell elhelyezni, mely ezeket az adatokat tartalmazza. Amennyiben adatfeldolgozót vesznek igénybe, az érintettet erről is tájékoztatni kell. A felvett adatok csak a megjelölt, érintett által ismert célra használhatók fel, és az érintettek hozzájárulása nélkül nem továbbíthatók. Emellett az adatkezelés során az érintettet az Avtv. alapján megilleti a törléshez, tájékoztatáshoz és helyesbítéshez való jog; erre szintén fel kell hívni a figyelmét. (496/K/2001, 627/K/2001)
Egy panaszos azt sérelmezte, hogy az Oktatási Minisztérium az intranet hálózaton működő telefonkönyvben megismerhetővé teszi valamennyi dolgozó arcképmását. Mivel a köztisztviselők jogállásáról szóló 1992. évi XXIII. törvény mellékletében a kezelhető adatkörök között a képmás nem szerepel, a dolgozók pedig nem járultak hozzá képmásuk kezeléséhez, az adatvédelmi biztos kérte a minisztérium vezetését, hogy a jogellenes állapotot szüntessék meg. A közigazgatási államtitkár jelezte, hogy az adatkezelést kifogásoló levél kézhezvételét követő napon a fényképeket törölték. (6/A/2001)
Több magánszemély indítványa alapján vizsgálta az adatvédelmi biztos azt az esetet, amelynek kapcsán a MATÁVnet Rt. által januárban végzett felmérés során egyes internet-felhasználók adatai (e-mail cím, kitöltött kérdőív) más felhasználókhoz eljutottak.
A biztos megkeresésére a cég vezérigazgatója azt a tájékoztatást adta, hogy 25 000 felhasználónak küldtek olyan e-mailt, mely felhívta figyelmüket a kérdőívre, és megadja az azt tartalmazó web-oldal címét. A web-oldalon szerepelt a válaszadás önkéntességére való felhívás, valamint a visszaküldés módja. A kérdőív kitöltése és visszaküldése során az egyik felhasználó nem megfelelően küldte vissza a kitöltött kérdőívet, hanem beemelte azt az eredeti felkérő levél végére, majd ezt visszaküldte. Ezt követően - a rendszer nem megfelelő működése következtében - indult el az a folyamat, melynek során a kitöltött kérdőívek, valamint az egyes érintettek személyes adatai több vétlen felhasználóhoz eljutottak. A vezérigazgató szerint "a jelenség oka technikai probléma és emberi közreműködés eredménye". A hiba elhárítására annak észlelése után haladéktalanul megtették a szükséges intézkedéseket, ennek folytán mintegy 280 000 tévesen elküldött levelet sikerült megsemmisíteni, mielőtt azokat "illetéktelen" felhasználók elolvashatták volna.
Az adatvédelmi biztos válaszában - amelyet a panaszosoknak is megküldött - kifejtette, hogy a társaság által végzett felmérés a kutatás és közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény (Kkt.) alapján piackutatásnak minősül. A piackutatást végző szerv (jelen esetben a MATÁVnet Rt.) kapcsolatfelvétel céljából felhasználhatja korábbi ügyfelei adatait, be kell azonban tartania a Kkt. adatvédelmi és adatbiztonsági szabályait.
A Kkt. 5. § (1) bekezdése alapján a kapcsolatfelvétellel egyidejűleg tájékoztatni kell az érintetteket az adatkezelés körülményeiről (például adatkezelő megnevezése, adatfelhasználás célja, módja, időtartama, stb.); ez a tájékoztatás nem szerepelt sem az érintetteknek elküldött e-mailben, sem a kérdőívet tartalmazó web-oldalon. A Kkt. 12. § (1) bekezdése alapján kutatási adatkezelési tervet kellett volna készíteni, mely tartalmazza a kutatási jogosultságot, a kutatás célját, a kezelendő személyes adatok körét és azok forrását, az adatkezelés folyamatát, az érintett jogai gyakorlati érvényesíthetőségének biztosítékait, valamint az adatvédelmet biztosító technikai és szervezési intézkedéseket. A társaság által megküldött "feladatterv" ezeknek a követelményeknek nem felel meg. Ezen felül az érintettek személyes adatait (jelen esetben az e-mail cím), valamint a felmérés adatait (kitöltött kérdőív) a visszaküldés után haladéktalanul el kell különíteni úgy, hogy a kapcsolat később ne legyen helyreállítható. A vezérigazgató leveléből nem derül ki az, hogy ennek a követelménynek eleget tettek-e.
A fentieken túlmenően mind a Kkt., mind az Avtv. alapján meg kellett volna tenni az adatbiztonság követelményének érvényesüléséhez szükséges technikai és szervezési intézkedéseket. A vezérigazgató leveléből - "Jelen esetben ez a funkció nem az elvárásoknak megfelelően működött" - az derül ki, hogy az adatbiztonság követelményének betartásával az eset elkerülhető lett volna.
Végezetül a biztos felhívta a vezérigazgató figyelmét arra, hogy a jövőben ügyeljenek az adatbiztonság követelményeinek, valamint a piackutatásra vonatkozó szabályok betartására. Az állásfoglalás teljes szövege a Mellékletben olvasható. (38/A/2001, 54/A/2001, 210/A/2001)
Valószínűleg a szolgáltató levelezőrendszerének rossz beállítása, esetleges hibája következtében kapott egy internetes gazdasági hetilaptól a panaszos olyan levelet, amelyben több száz felhasználó e-mail címét is feltüntették. Ebben az esetben az adatbiztonság törvényi követelménye sérült, és a jövőbeni hasonló esetek elkerülése végett az üzemeltetőnek kötelessége a hibát kijavítani, a beállítást módosítani - állapította meg a biztos válaszában. (94/A/2001)
Egy panaszos azt kérdezte, hogy személyes adat-e az e-mail cím; továbbá sérelmezte, hogy a web-oldalán szereplő e-mail címét egy direkt marketing cég felvette adatbázisába. Válaszában az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - az Avtv. alapján kifejtette, hogy "az e-mail cím akkor személyes adat, ha a kapcsolat a cím és birtokosa között helyreállítható. Így például személyes adat az olyan e-mail cím, mely megegyezik birtokosa nevével. Személyes adat az e-mail cím akkor is, ha az egy web-oldal üzemeltetőjének a címe, hiszen az ő adatait - az interneten keresztül elérhető nyilvános adatbázisból, a domain-név alapján - bárki megismerheti. Így az Ön web-oldalának alján levő e-mail cím személyes adat. [...] A kéretlen üzleti célú e-mail küldése (ún. spamming) esetén céltól eltérő adatkezelés valósul meg, így az - az érintett hozzájárulásának hiányában - jogellenes. Ha egy direkt marketing cég az Ön e-mail címét ilyen célra használja, Ön az Avtv. alapján kérheti adatai törlését; ennek megtagadása esetén bírósághoz fordulhat." (481/A/2001)
Egy panaszos az adatvédelmi biztos állásfoglalását kérte arról, hogy a munkáltató betekinthet-e a munkavállaló munkahelyi e-mail címén történő levelezésébe. Az Avtv. vonatkozó rendelkezéseire alapozva a biztos válaszában kifejtette, hogy a munkahelyi elektronikus levelezés tekintetében különbséget kell tenni a munkavállaló személyes használatára adott, esetleg a nevét vagy nevének töredékét is tartalmazó, valamint az olyan e-mail címek között, amelyek a cég ügyeinek intézését szolgálják, és nem egy-egy munkavállaló személyéhez kötöttek. Ez utóbbiakon folytatott levelezésbe a munkáltató betekinthet, még akkor is, ha e címen valamelyik - a postafiókhoz hozzáférő - munkavállaló magánjellegű levelezést folytatott, hiszen azt a munkavállaló ennek tudatában tette. A személyes e-mail postafiókon folytatott levelezést adatvédelmi szempontból ugyanúgy kell megítélni, mint a hagyományos személyes levelezést és telefonálást. Mint ahogy a munkáltató megfelelő jogszabályi felhatalmazás hiányában az érintettek hozzájárulása nélkül nem ismerheti meg a munkavállalója részére a céghez érkező küldemények tartalmát, azokat nem tarthatja vissza, illetve nem semmisítheti meg, valamint a telefonbeszélgetéseit sem hallgathatja le, ugyanúgy nem jogosult a személyes e-mail címre érkező és az onnan elküldött levelek tartalmának megismerésére, azok továbbítására vagy törlésére sem mindaddig, amíg ahhoz az érintett hozzájárulását nem adja. (331/A/2001)
Beadvány nyomán foglalt állást az adatvédelmi biztos azzal kapcsolatban, hogy kiadhatóak-e a rendőrségnek az e-mail forgalomra vonatkozó adatok, illetve az e-mailek tartalma a büntetőeljárásról szóló 1973. évi I. törvény (Be.) 118. §-a alapján. A biztos - a Be. hivatkozott szakaszának általános jellege és a rendőrségről szóló 1994. évi XXXIV. törvény (Rtv.) 69. § (1) bekezdés d) pontjában megfogalmazott speciális szabályok összevetése alapján - általánosságban úgy ítélte meg, hogy az e-mailek tartalmát és forgalmi adatait a rendőrség bírói engedéllyel, súlyos bűncselekmények esetén ismerheti meg és használhatja fel. A beadvány mellékleteként megküldött rendőrségi megkereséssel kapcsolatban megállapította, hogy a rendőrség által kért adatok (az e-mailek feladói, címzettjei, a küldés időpontja, üzenetek tartalma) a Be. 118. §-a alapján nem adhatók ki. (311/K/2001)
Egy beadványozó azt kérdezte, hogy jogában áll-e egy internetes fórumon regisztrált és bárki számára hozzáférhető hozzászólásait töröltetni. Az adatvédelmi biztos válaszában kifejtette, hogy - az Avtv. előírásaira figyelemmel - az a tény, hogy valaki egy fórumon szerepelt, személyes adat, ugyanígy hozzászólásának tartalma is. Az Avtv. 11. § (1) bekezdés b) pontja alapján az érintett kérheti - jogszabályban elrendelt adatkezelések kivételével - személyes adatainak törlését; a 14. § (2) bekezdés b) pontja szerint pedig a személyes adatot törölni kell, ha azt az érintett kéri. Tekintettel arra, hogy a kérdéses adatkezelés nem jogszabályon, hanem önkéntes hozzájáruláson alapul, a biztos leszögezte, hogy a panaszosnak jogában áll a törlést kérni, és ezt az adatkezelő nem tagadhatja meg. (351/A/2001)
Az indítványozó panaszában kifogásolta, hogy nyilvánosságra hozták e-mail címét az RTL Klub internetes vitafórumán, és a hozzászólását követően több e-mailt is kapott. Az ügyben folytatott vizsgálat megállapította, hogy amennyiben valaki a televízió honlapján valamelyik fórumhoz csatlakozni akar, regisztráltatnia kell magát; a regisztrációhoz a nevet, becenevet és az e-mail címet meg kell adni. A regisztráció egy külön erre a célra fenntartott oldalon történik, melyen szerepel az alábbi felhívás: "Az itt megadott minden információ elérhető a fórumok összes látogatója számára." Ennek alapján az adatvédelmi biztos megállapította, hogy amennyiben valaki regisztráltatja magát, azzal elfogadja az említett feltételt, ezáltal - ráutaló magatartással - megadja az Avtv. alapján szükséges hozzájárulást, így a panaszos által sérelmezett adatkezelés nem volt jogellenes. (245/A/2001)
A lakossági üzletágban a banki feladatok ellátása jelentős részben az ügyfelek személyes adatainak megismerésén alapszik. Az ügyfélazonosítás, kockázatelemzés, hitelminősítés személyes adatok felvételét, feldolgozását, az ügyfél által megadott adatokból további személyes adatok (az ügyfelekre vonatkozó következtetések) generálását foglalja magába. A szolgáltatások színvonalának emelésével párhuzamosan - mely a gyors és egyszerű ügyfélkiszolgálást jelenti - a hitelintézeteknek az óvatos, körültekintő és megbízható működésre is törekedniük kell. A hitelintézetek számára sok esetben nehézséget okoz adatkezeléseik során e kettős követelményrendszernek való megfelelés. Az ügyfelek érzékenyek a pénzügyi szektor adatkezeléseire, az esetek többségében túlzott mértékűnek tartják a hitelintézetek által igényelt személyes adatok körét. Annak megítélése azonban, hogy mi tekinthető szükséges és elégséges adatkörnek, mindig a hitelintézet által felkínált pénzügyi konstrukció függvénye.
Egy panaszos a Postabank és Takarékpénztár Rt. hiteligénylő adatlapjának azon pontjait kifogásolta, melyek családi állapotára és havi nettó keresetére kérdeztek rá. Az adatvédelmi biztos álláspontja szerint a célhozkötött adatkezelés elvéből következően a hitelintézetek csak olyan adatokat kérhetnek ügyfeleiktől, melyek az adatkezelés céljának elérése érdekében feltétlenül szükségesek. A pénzügyi intézmények hitelkihelyezési tevékenységük során hitelezési kockázatot vállalnak. A hitelezési kockázat csökkentése miatt kívánják ügyfeleik élethelyzetét, jövedelmi körülményeit megismerni. A beadványozó által megjelölt adatok az adósminősítési eljárás olyan alapadatai, melyeket a bank a célhozkötöttség elvének megfelelően jogszerűen kezelhet. (176/A/2001)
Egy másik ügyben az indítványozó azt sérelmezte, hogy az OTP Bank Rt. a C-hitelkeret igénylésekor az ügyfeleket az adóazonosító jelük megadására szólítja fel. Az adatkéréssel összefüggésben az adatvédelmi biztos tájékoztatta a bank vezetését, hogy az adózás rendjéről szóló 1990. évi XCI. törvény 16. §-a alapján a magánszemély az adóazonosító jelét abban az esetben köteles közölni a hitelintézettel, ha az olyan kifizetést teljesít, amelynek alapján a magánszemélynek adófizetési kötelezettsége keletkezik, és azzal összefüggésben a törvény adatszolgáltatási kötelezettséget ír elő. Tekintettel, hogy a C-hitel fogyasztási kölcsönnek adóvonzata nincs az adóazonosító jel bank általi kezelése sérti a célhoz kötöttség elvét. A hitelintézet hivatkozott arra, hogy az adóazonosító jelre vonatkozó adatszolgáltatás elmaradása esetén az ügyfél semmilyen joghátrányt nem szenved, vagyis a pénzügyi szolgáltatás igénybevételére más ügyfelekkel azonos feltételek mellett nyílik lehetősége. A biztos álláspontja szerint az ügyfél célja, hogy a hitelszerződés közte és a bank között létrejöjjön, ennek érdekében önkéntesen hozzájárul személyes adatai kezeléséhez, de az információs önrendelkezési jogát csak a cél eléréséhez szükséges mértékig gyakorolja. A szerződés megkötéséhez elégséges adatkörön túlmutató adatszolgáltatás az ügyfelektől nem várható el. A hitelintézet az adóazonosító jelet ügyfélazonosítás céljából nem kérheti, hiszen annak segítségével a polgár személyazonosságát az adóazonosító jelet törvény alapján kezelő szervek nyilvántartásaiban nem ellenőriztetheti. Az ügy lezárásaként a biztos a Pénzügyi Szervezetek Állami Felügyeletének elnökéhez fordult, aki szerint nem tekinthető aggályosnak az adóazonosító jelre vonatkozó adatkérés, ha az önkéntes válaszadásra vonatkozó tájékoztatás közvetlenül az adott kérdés mellett szerepel. (677/A/2000, 291/A/2001)
Az adatvédelmi biztos állampolgári panasz alapján vizsgálta azt is, hogy milyen személyes adatokat kérhetnek a hitelintézetek a bankszámlanyitáshoz. Az ügyben érintett hitelintézet vezetése szerint, az ügyfél foglalkozására, munkahelyére, családi állapotára vonatkozó adatkérést egyrészt az indokolja, hogy ezen információk birtokában a bank ügyfeleit célirányosabban tudja tájékoztatni, másrészt termékfejlesztést segítő felmérés, statisztika készítésének céljából érdeklődnek ezen adatok iránt. A biztosnak adott válaszukban azonban hangsúlyozták, ezen adatok megadása az ügyfelek részéről teljes mértékben önkéntes. A biztos álláspontja az, hogy ezen adatok vonatkozásában az önkéntesség tényére feltétlenül fel kell hívni az adatlapon, illetve a kitöltési útmutatóban az ügyfelek figyelmét. A bank válaszában kifejtette, hogy a jövőben kiegészíti magánszemélyek részére megszerkesztett adatlapját arra a tényre való figyelmeztetéssel, hogy a bankszámlanyitásnak nem feltétele a foglalkozásra, munkahelyre, családi állapotra vonatkozó személyes adatok rendelkezésre bocsátása. (450/A/2000)
Az adatgyűjtés speciális formája valósul meg, amikor a hitelintézet fénymásolatot készít ügyfelének személyi okmányairól, leggyakrabban a személyazonosító igazolványról. Sajnálatos módon arról kell beszámolnunk, hogy bár az adatvédelmi biztos évről-évre felhívja a hitelintézetek figyelmét az adatvédelmi szempontból kívánatos eljárástól való eltérésre, a gyakorlat ezzel kapcsolatban nem változott. Az igazolványban szereplő képmás is személyes adat, mely törvényi felhatalmazás hiányában csak az érintett beleegyezésével kezelhető. A hozzájárulás azonban akkor minősíthető jogszerűnek, ha az adatszolgáltatás az érintettek részéről önkéntesen történt. Az önkéntesség megállapításának feltétele, hogy az adatkezelő az adatkezelés célját, és a szolgáltatandó adatok körét pontosan meghatározva oly módon tájékoztassa az érintetteket, hogy azok szabadon mérlegelhessék, rendelkezésre bocsátják-e a kért adatokat vagy sem. A biztos több ízben is tájékoztatta a pénzügyi szolgáltatókat arról a lehetőségről, melyet a nyilvántartási törvény biztosít számukra. Eszerint a nyilvántartás szervei a személyazonosító igazolvány száma alapján, bármely polgár, jogi személy és jogi személyiséggel nem rendelkező szervezet írásba foglalt kérelmére, a felhasználás céljának és jogalapjának igazolása esetén a személyazonosító igazolvány érvényességének, elvesztésének, ellopásának, megsemmisülésének, találásának, megkerülésének tényéről adatot szolgáltathatnak. A személyi azonosító igazolványok kezelése során a fenti módszer alkalmazásával megfelelő ellenőrzés gyakorolható.
Ezen adatkezeléssel összefüggésben is érkezett állampolgári indítvány az Adatvédelmi Biztos Irodájához, melyben a panaszos azt sérelmezte, hogy személyazonosító igazolványának elvesztése miatt több alkalommal kellemetlen helyzetbe került, mert a bankok elavult adatbázisában igazolványa mint elveszett vagy ellopott igazolvány volt feltüntetve. Az adatvédelmi biztos álláspontja szerint nincs jogszabályi felhatalmazás arra vonatkozóan, hogy a Központi Adatfeldolgozó, Nyilvántartó és Választási Hivataltól megszerzett személyes adatokat a szerződéskötési jogosultság megállapítása után a pénzügyi szolgáltató tárolja. Az ilyen adatbázisok ugyanis törvényes jogalap nélkül jönnek létre, nem felelnek meg a célhozkötöttség elvének sem, és nem is időszerűek. A szolgáltatók akkor járnának el jogszerűen, ha minden esetben, amikor valaki velük szerződést akar kötni, adatot kérnének a Központi Adatfeldolgozó, Nyilvántartó és Választási Hivataltól a személyazonosító igazolványra vonatkozóan. (432/A/2001)
A bank-ügyfél jogviszony központi eleme a banktitok jogintézménye. A hitelintézetek időbeli korlátozás nélkül kötelesek a tudomásukra jutott banktitkot megtartani. A hitelintézeti törvény pontosan meghatározza azokat a feltételeket, amelyek fennállásakor banktitok harmadik személy részére jogszerűen átadható, illetve azokat az adatszolgáltatásokat, amelyek nem minősülnek a banktitok megsértésének. A múlt évben beszámoltunk a Raiffeisen Bank Rt. és a Magyar Gallup Intézet között létrejött adattovábbításról, mely egy ügyfél elégedettségi vizsgálat elvégzéséhez szolgált alapul. A bank ügyfeleit a bankszámlakivonaton, és külön levélben is értesítette a tervezett piackutatásról. Mindkét esetben felkérték ügyfeleiket, hogy telefonon jelezzék, ha adataik átadásától illetve a kutatásban való részvételtől elzárkóznak. Az adatvédelmi biztos felhívta a bank vezetésének figyelmét, hogy az Avtv. alapján az adattovábbítás feltétele az érintett személy kifejezett beleegyezése. Ha az ügyfél a bank felhívására nem nyilatkozik, hallgatása nem tekinthető beleegyezésnek. A vizsgálat időközben megnyugtató módon zárult le: a Gallup Intézet a kiértékelést követően az átadott adatokat megsemmisítette, a bank vezetése pedig közölte, hogy a jövőben hasonló esetekben az ügyfelek adatait a biztos ajánlásainak megfelelően fogják továbbítani. (755/A/2000)
Összegzésképpen megállapítható, hogy a magánadatkezelőket panaszoló indítványok jelentős része - hasonlóan az elmúlt évhez - érinti a bankszektor adatkezelését. A hitelintézetek adatkezelési gyakorlatával kapcsolatos vizsgálatok aránya és jellege nem változott, az Adatvédelmi Biztos Irodája folyamatosan konzultál a bankszektor adatkezelőivel, melybe gyakran bevonja a Pénzügyi Szervezetek Állami Felügyeletét is. A Felügyelet több ízben is tájékoztatta az adatvédelmi biztost, hogy az általa felügyelt intézményeknél kétévenkénti átfogó vizsgálatai során kiemelt figyelmet fordít az adatvédelmi szabályok betartatására.
Az adatvédelmi biztos az elmúlt évben a biztosítótársaságok adatkezelési gyakorlatával összefüggésben kedvező tendenciákat tapasztalt, melyek ebben az évben is folytatódtak. A versenyszféra területét érintő beadványok elenyésző részét teszi ki azok, melyek a biztosítók adatkezelését sérelmezik. Ezek között találhatunk olyat, mely sajnálatos módon évről-évre visszatérő adatvédelmi problémára hívja fel a figyelmet, ilyennek tekinthető a biztosítóintézetek által alkalmazott orvosi felmentvény. Előfordulnak azonban olyan panaszok is, melyek hátterében nem általános, bevett gyakorlat áll, hanem egyedi adatkezelői hiba okozza az állampolgári jogsérelmet, mely a biztosítási ügyintézők nagyobb odafigyelésével viszonylag egyszerűen kiküszöbölhető.
Az egyik indítvány szerint a biztosító harmadik személy számára is hozzáférhető belföldi postautalvány formájában küldte meg a kártérítési összeget a jogosultnak, azonban az utalványon a jogosult nevén túl a kártérítés összegét, jogcímét, valamint a károsult vagyontárgyat is feltüntette. Az adatvédelmi biztos álláspontja szerint a biztosító és az ügyfél viszonyában a Magyar Posta Rt. adatfeldolgozónak tekinthető. Az érintettet a biztosítási szerződés megkötésével egyidejűleg tájékoztatni kell arról, hogy személyes adatait kik fogják kezelni, illetve feldolgozni (adatfeldolgozó neve, székhelye). Tekintettel arra, hogy a célhozkötött adatkezelés elve az adatfeldolgozó személyére is vonatkozik, a belföldi postautalványon a biztos nem tartotta indokoltnak egyéb adatok (a postautalványon szereplő összeg jogcíme, károsult vagyontárgy) feltüntetését. Ha ennek nincs különösebb akadálya, ezen adatokról a biztosító az adott biztosítási ügyben keletkezett előzményi iratok iktatási számára történő utalással is tájékoztathatja ügyfeleit. A biztos azt tartaná szerencsés megoldásnak, ha a biztosító lehetővé tenné az ügyfelek számára hogy megválasszák, milyen formában kívánnak hozzájutni a biztosítási összeghez. Az ügyfél - többek között - az alapján is dönthetne, hogy mely módszer alkalmazása esetén látja fokozottabban érvényesülni az adatbiztonsági követelményeket. (64/K/2001)
Egy másik állampolgár azt kifogásolta, hogy az életbiztosítási szerződésével kapcsolatos levél, mely a következő évre vonatkozó díjfizetési információkról tájékoztatta, lezáratlan borítékban érkezett címére. A társaság az adatvédelmi biztos megkeresésére közölte, postázás során minden egyes borítékot megfelelően lezárnak, de - tekintettel arra, hogy amíg a küldemény a címzetthez eljut, több személy kezén megy keresztül - előfordulhat, hogy a postai továbbítás során a lezárt boríték megsérül, illetve a lezárás felszakad. A biztos kérte a társaságot, hogy fokozott figyelmet fordítsanak az ügyfelek személyes adatainak védelmére. (185/A/2001)
Sokadszor visszatérő probléma, hogy a biztosítók a szerződés megkötésekor milyen személyes adatokat kérhetnek ügyfeleiktől, illetve a biztosított adatait kezelő egyéb személyektől és szervektől. Gyakori eset, hogy a biztosított a társaság által alkalmazott blankettaszerződésben felhatalmazza a biztosítót, hogy egészségügyi állapotával kapcsolatos információkat a kezelőorvosától, valamint kórházaktól beszerezze. Az adatvédelmi biztos álláspontja szerint a biztosító nem követelheti ügyfeleitől azt, hogy az adatkezelő és a kezelt adatkör pontos ismerete nélkül egy általános meghatalmazást adjanak a biztosító részére valamenynyi - akár már lefolytatott, akár jövőbeni - orvosi vizsgálatuk adatainak kezelésére. A biztos kiemelte, hogy a megfelelő tájékoztatás hiányán túl az ilyen nyilatkozat kérése sérti az Avtv. 7. §-ában foglalt azon rendelkezést is, hogy az adatok felvételének mindenkor tisztességesnek és törvényesnek kell lennie.
Az ügyfelek megfelelő tájékoztatása nem csak az adatvédelmi törvényben megfogalmazott követelmény, hanem a biztosítóintézetek tevékenységét szabályozó ágazati törvény is tartalmaz erre vonatkozó előírásokat. A biztosító intézetekről és a biztosítási tevékenységről szóló 1995. évi XCVI. törvény szerint 2001. január 1-jétől a biztosítási szerződésnek tartalmaznia kell a személyes adatok kezelésére vonatkozó elvi és gyakorlati tudnivalókat. Az adatvédelmi biztos hatáskörében eljáró országgyűlési biztos álláspontja szerint ezen tájékoztatás akkor tölti be a jogalkotó által deklarált célt, ha részletesen - az adott biztosító adatkezelésére lebontva - közöl az adatkezelést érintő lényegi információkat. A biztos javasolta, hogy a biztosítási szerződések esetében hívják fel az ügyfelek figyelmét arra, melyek azok a személyes adatok, amelyek a biztosító álláspontja szerint nélkülözhetetlenek a szerződés megkötéséhez, és melyek azok, amelyek hiányában a biztosító ugyan nem zárkózik el a szerződés megkötésétől, de ismerete számára például megkönnyíti az ügyféllel való kapcsolattartást (munkahely megnevezése, telefonszáma). A külföldre történő adattovábbításnak - ha ilyen előfordul a biztosító adatkezelési gyakorlatában - külön fejezetet kellene szentelni, tájékoztatva az ügyfeleket, hogy adataikat mely országba, milyen célból kívánják a biztosítási jogviszony fennállása alatt továbbítani. A meghatározott adatok meghatározott célból, meghatározott országba továbbításának az érintett írásbeli hozzájárulásán túl az is feltétele, hogy az adatkezelés feltételei a külföldi adatkezelőnél minden egyes adatra nézve teljesüljenek: a magyarországival azonos védelem feltételeit a célország törvényes rendelkezéseinek tartalmazniuk kell, ellenkező esetben az ügyfél számára biztosítani kell a magyar jog szerinti védelmet. Ha az adattovábbítással érintett ország nem aláírója az Európa Tanács adatvédelmi egyezményének, minden esetben vizsgálni kell, hogy jogszabályai legalább azonos szintű védelmet nyújtanak-e a személyes adatok kezelésénél. A biztos hangsúlyozta, hogy a személyes adatok kezelésre vonatkozó elvi és gyakorlati tudnivalók megfogalmazásakor a biztosító társaságoknak figyelemmel kell lenniük az adott biztosítási ágazat (pl. életbiztosítás, vagyonbiztosítás) speciális jellegére is. (887/K/2000)
A biztosítási jogviszony fennállása alatt az ügyfelek igen gyakran kívánnak élni az Avtv.-ben biztosított betekintési jogukkal. Tekintettel arra, hogy a biztosító orvosának szakvéleménye személyes adatnak minősül, az ügyfélnek jogában áll megismerni ezen orvosi szakvélemény tartalmát. És végül egy érdekes ügy, melyben a biztosítottat a rendőrség betekintési jogának gyakorlásában oly módon korlátozza, hogy ez által kárigényét a biztosítóval szemben nem tudja érvényesíteni.
A panaszostól londoni tartózkodása során ellopták táskáját. A károsult az angol rendőrségtől részletes rendőrségi jegyzőkönyvet kért, melyet azonban a rendőrség adatvédelmi okokra hivatkozással nem adott ki. Ennek hiányában azonban a biztosító a panaszos kárigényét elutasította. A polgári törvénykönyv értelmében a biztosított köteles a biztosítási esemény bekövetkezését a szabályzatban megállapított idő alatt a biztosítónak bejelenteni, a szükséges felvilágosításokat megadni, és lehetővé tenni a bejelentés és a felvilágosítások tartalmának ellenőrzését. A biztosítók gyakorlata a vagyonbiztosítási szerződések körében az, hogy az általános szerződési feltételek között pontosan meghatározzák milyen módon tegyen eleget a biztosított bejelentési kötelezettségének. Az ügyben érintett biztosító általános szerződési feltételei szerint a rendőrségi jegyzőkönyvben fel kell sorolni tételesen a károsodást az ellopott poggyász- és ruhaféleségeket, a kárt összegszerűen is megjelölve. A jegyzőkönyv a biztosított adatain túl más személyekre vonatkozóan is tartalmazhat személyes adatokat, melyeket a biztosított jogszerűen csak az érintettek beleegyezésével ismerhet meg. Az adatvédelmi biztos hatáskörében eljáró általános biztos álláspontja szerint a jogsérelem elkerülése érdekében - figyelemmel azonban a biztosított Ptk.-ban előírt és a biztosítási szerződésben konkretizált bejelentési kötelezettségére - szerencsés megoldás egy olyan kivonatos jegyzőkönyv elkészítése lenne, melyben más személyek adatai nem szerepelnek, de a biztosító számára minden, a káreseménnyel összefüggő lényeges információ megtalálható. (342/A/2001)
Áruküldők, direkt marketing cégek
Az elmúlt évekhez hasonlóan ebben az évben is számos vizsgálat indult direkt marketing - törvényi szóhasználattal: közvetlen üzletszerző - tevékenységet végző szervezetek adatkezelését sérelmező beadványok alapján. Miként más területeken, itt is megfigyelhető egyfajta állandósulás. Ez vonatkozik egyrészt a vizsgálatok számára, másrészt a panaszok tárgyára. Látható, hogy a kezdeti évek "nehézségei" után a direkt marketing szféra megtanulta, hogyan kell tevékenységük során a vonatkozó törvényeket alkalmazni, így adatkezelésük az esetek nagy többségében jogszerű. A panaszok alapja elsősorban a kutatás és közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény (Kkt.), illetve a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvény (Nytv.) által szabályozott adatkezelési gyakorlat.
A hivatkozott törvények lehetőséget adnak arra, hogy a közvetlen üzletszerzéssel foglalkozó szervezetek - direkt marketing cégek - név- és lakcímadatokat vehessenek át az Nytv. hatálya alá tartozó állami nyilvántartásokból, és az adatokat arra használják fel, hogy ajánlattétel céljából megkeressék az állampolgárokat, az ő jövőbeni ügyfeleiket (vagyis a hagyományos kereskedelemmel ellentétben itt az eladó keresi meg közvetlenül a vevőt). Bár a törvény több garanciát érvényesít az állampolgárok jogainak védelme érdekében, vitatható az, hogy az állami alapnyilvántartás feladatává teszi az üzleti célra történő adatszolgáltatást. Nehéz ezt a szabályozást összeegyeztetni az Avtv. szellemiségével - és az Alkotmánnyal, illetve az Alkotmánybíróság határozataival -, mely a személyes adatok védelméhez való jogot elsősorban információs önrendelkezési jogként kezeli, vagyis biztosítja az érintettnek azt a lehetőséget, hogy adataival - az állami nyilvántartások egy részét kivéve - maga rendelkezzen.
Közérdek nélküli adatkezelésről lévén szó, az állampolgár kérheti adatai törlését; az Nytv. alapján lehetősége van arra is, hogy adatai ilyen célú kiadását általános érvénnyel megtiltsa. A letiltást követően a nyilvántartás szerve az adatokat nem adhatja ki. Számos eset - részben írásos beadványok, részben telefonon érkezett panaszok - tanúskodik azonban arról, hogy az állampolgárok nincsenek tisztában a törvényi rendelkezésekkel és a gyakorlattal, és nem tudják azt sem, hogy adataik kiadását megtilthatják.
A polgárok alkotmányos jogainak védelme szempontjából megnyugtatóbb lenne, ha adataikat csak beleegyezésükkel lehetne kereskedelmi célokra felhasználni, ha az érintett előzetes hozzájárulása lenne szükséges ahhoz, hogy egy ajánlattal egyáltalán megkereshessék. Bár a jelenlegi szabályozás ezzel ellentétes, ez nem egyedi: ezt a könnyítést a direkt marketing szektor a legtöbb országban kivívta magának. Elvárható volna ugyanakkor az, hogy a nyilvántartás szerve tájékoztassa az állampolgárokat a letiltás jogáról, akár közvetlenül is (egy postai küldemény nem sokkal kerülne többe, mint az az összeg, melyet a Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal egy-egy eladott adatért kap). A másik lehetséges megoldás a nyilvántartás egyéb feladataiból adódik: az állampolgárok minden lakcímváltozásnál, személyiazonosító igazolvány igénylésnél kapcsolatba kerülnek a nyilvántartás (helyi) szervével. Ha a vonatkozó, állampolgárok által kitöltendő űrlapokon szerepelne egy rövid felhívás, és a választás lehetősége, az érintett megtehetné nyilatkozatát - vagyis gyakorolhatná alkotmányos jogát a nyilvántartás felé fennálló kötelezettségének teljesítésével egyidejűleg. Bizonyos idő után így valamennyi állampolgárnak lehetősége volna nyilatkozni.
Az elmúlt év legkirívóbb esetét az állami nyilvántartás hibája okozta. Egy állampolgár azt kifogásolta, hogy 1997-ben született gyermekének címezve folyamatosan érkeznek küldemények, holott a gyermek néhány órával a születése után elhunyt. A vizsgálat kiderítette, hogy a személyi adat- és lakcímnyilvántartásba csak a születés tényét jegyezték be, vagyis a gyermek élő személyként szerepelt, így lehetett adatszolgáltatások alanya. A Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal - miután kijavította a hibát - tájékoztatta a biztost arról, hogy 1997 és 2001 között három gazdasági társaságnak szolgáltattak név- és lakcímadatot. Az érintett gazdasági társaságok a biztos (tehát nem a felelős állami szerv) kérésére az adatokat törölték. A vizsgálatnak nem sikerült kiderítenie, hogy a hibáért a nyilvántartás helyi, területi, vagy központi szerve felelős. (310/A/2001)
A vizsgálatok során több esetben megállapítottuk az adatkezelők felelősségét abban, hogy az érintettet nem tájékoztatták az adatok forrásáról, az adatkezelés jellemzőiről, illetve jogaikról, holott a tájékoztatás a Kkt. alapján a kapcsolatfelvétellel egyidejűleg kötelező. A kérdés részletes kifejtése az adatvédelmi biztos 2000. évi tevékenységéről szóló beszámolójában olvasható.
Az adatvédelmi biztos elmúlt évi beszámolójában bizakodva állapította meg a sajtó adatkezelését érintő panaszügyek számának csökkenését. Ez a tendencia jellemző volt 2001-ben is. Bár az elektronikus és írott média mint adatkezelő 2000-hez képest többször, szám szerint huszonegyszer szerepelt az ügyek sorában, de a beadványok harmada maguktól adatkezelőktől, vagyis az újságíróktól, szerkesztőségektől érkező konzultációs megkeresés volt. Ezen jelenség egy új folyamat erősödését jelzi. Az újságíró-közösség java része felismerte, hogy a személyes adatoknak a sajtó útján történő közzétételét és az ezzel együttjáró jogi és etikai felelősséget csak az alkotmány és a hatályos törvények betartásával vállalhatják.
Az elmúlt hat évre visszatekintve kijelenthető, hogy bár a gyakorlat vargabetűket is leírt, de kialakult az adatvédelmi biztos munkájának nyomataként az újságírás írott és íratlan adatvédelmi kultúrája. Ennek ápolása elmélyítése és terjesztése, mind az érintetteknek, mind az adatkezelőknek és az egész társadalomnak elemi érdeke, hiszen a szereplők közötti bizalmi viszony fenntartása elengedhetetlen az újságírás művelői számára.
Az adatvédelmi biztos 2001. március 28-án közleményt adott ki, mivel a sajtóban nagy visszhangot kapott az úgynevezett béranya-ügy, melyben több közszereplő is vádlott. A büntető eljárást a sajtó felfokozott figyelemmel kíséri. Az egyik kiskorúnak - a büntetőperben szintén vádolt - örökbefogadó szülei azért fordultak az adatvédelmi biztos irodájához, mert a sajtóban ügyükkel kapcsolatban több olyan cikk is megjelent, amelyekben az örökbefogadott gyermekük személyes és különleges adatait - vér szerinti szülei nevét, származását, születésének idejét, helyét, születési testsúlyát, örökbeadásának dátumát - közölték, és ezzel a gyermek azonosíthatóvá vált nemcsak a szűk környezete, hanem a nagyobb nyilvánosság számára is. Noha a bíróság a kiskorúra tekintettel a pernek ezt a részét zártan tárgyalja, mégis indokolt a sajtó figyelmét még az adatvédelmi biztosi vizsgálat lezárása előtt felhívni arra, hogy az ehhez hasonló esetekben különös gondot kell fordítani a személyes adatok védelmére. A tárgyalásról adott tájékoztatásban jogszerűen akkor sem jelenhetnek meg a kiskorú személyével kapcsolatba hozható adatok, ha azok a vádlottakkal összefüggésben hangzanak el az eljárás egy másik, nyilvánosság előtt zajló szakaszában. Az adatvédelmi biztos felkérte az érintett újságírókat, szerkesztőket, hogy az örökbefogadott gyermekre vonatkozó, illetve az azonosítását lehetővé tevő valamennyi adat közlésétől tartózkodjanak, mivel a sajtó ezeket az adatokat nem is birtokolhatja jogszerűen. Kérte az újságírókat, hogy a továbbiakban is különös gonddal járjanak el azokban az esetekben, amikor védtelen kiskorú személyes adatait kezelik. (273/A/2001)
Az egyik országos napilap főszerkesztője az egyes fontos, valamint közbizalmi és közvélemény-formáló tisztségeket betöltő személyek ellenőrzéséről és a Történeti Hivatalról szóló 1994. évi XXIII. törvény (Etv.) alapján az ellenőrző bizottság által kiadott adatgyűjtő ívvel kapcsolatban kért tájékoztatást. Az Etv. 2. § (3) bekezdés 17. pontjának alapján a törvényben meghatározott ellenőrzés kiterjed az országos, regionális, megyei és helyi terjesztésű közéleti lapok azon főszerkesztőire, főszerkesztő-helyetteseire, szerkesztőire, olvasószerkesztőire, rovatvezetőire, valamint főmunkatársaira, akik a politikai közvélemény alakítására közvetve vagy közvetlenül befolyást gyakorolnak. Ennek értelmezéséről ezen § (4) bekezdése rendelkezik, mely szerint e törvény alkalmazásában:
"a) országos, regionális, megyei és helyi terjesztésű közéleti lapok: azok a napi, heti és havi lapok, amelyek gazdasági, társadalmi, politikai és kulturális kérdésekben alkalmasak a politikai közvélemény formálására,
b) befolyás gyakorlása: az 1986. évi II. törvény 20. § e) pontja szerinti minden olyan tájékoztatás, amely közvetve vagy közvetlenül alkalmas a politikai közvélemény formálására. A 2. § (2) bekezdésének alapján az ellenőrzés nem terjed ki azokra a - törvény által egyébként ellenőrzendő - személyekre, akik 1972. február 14. napja után születtek."
Az ellenőrző bizottság által megküldött adatgyűjtő íven fel volt tüntetve az adatkérés célja, így a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 5. §-ában előírt - a személyes adatok célhozkötött kezelésére vonatkozó - követelménynek az adatszolgáltató úgy tesz eleget, ha csak azokat az adatokat továbbítja, amelyek a megkeresésben foglalt cél megvalósulásához szükségesek. Ennek alapján nem szükséges például a munkaszerződésnek azon részeit a bizottság számára továbbítani, melyek az érintett munkabérére vonatkoznak. Ez a korlátozott adatkérés egyébiránt a megküldött megkeresés 2. pontjának második francia bekezdéséből kitűnt. (66/A/2001)
Beadvány érkezett az RTL Klub "Legyen Ön is milliomos!" játékának adatkezelésével kapcsolatban. A panaszos álláspontja szerint a tévétársaság megsértette az adatvédelmi törvény szabályait. Az első - játékra jelentkező - telefonhívás után a gyártó Q-art Stúdió munkatársa visszahívta a jelöltet, és különböző személyes adatai felől (iskolai végzettség, életkor, foglalkozás, családi állapot, kulturális szokások) érdeklődött. A beszélgetés során nem adtak felvilágosítást arról, hogy ki lesz az adatok kezelője, mi az adatkezelés célja, illetve a válaszadás megtagadása következtében elveszti-e a játék lehetőségét az érintett. Az első telefon után kb. két-három hét elteltével ismét felhívták a játékosjelöltet, és húsz percen keresztül feltérképezték érdeklődési körét, például: milyen művészeteket szeret, mely irányzatokat ismer, kedvenc iskolai tárgyak, politika, sport, nyelvtudás, zene, színjátszás. Megtudakolták azt is, hogy az érintett mire költené a nyereményt. Mivel a panaszossal nem közölték az adatgyűjtés célját, ezért ő arra következtetett, hogy annak célja a játék kimenetelének befolyásolása.
Az adatvédelmi biztos felszólította az adatkezelőket, hogy változtassák meg adatkezelési gyakorlatukat. A társaság válaszlevelében közölte, hogy eleget tettek az ajánlásnak, és az adatkezelést az Adatvédelmi Nyilvántartásba bejelentették. (59/A/2001)
Egy orvos levelében kért állásfoglalást arról, hogy a szerző jogszerűen hozta-e nyilvánosságra az orvosi műhibákról szóló könyvében személyes adatait. A szerző a könyvben megjelölte az indítványozó nevét, egyetemi végzése helyét, munkahelyeit; leírta, hogy hány műhibaesete volt. Az író idézett bírósági eljárást, az erről szóló újságcikket. A legtöbb információt betegektől, elhunyt betegek hozzátartozóitól szerezte a források megjelölésével. Az Avtv. alapján személyes adatot csak akkor lehet kezelni (ide értve az adatok felvételét, tárolását, továbbítását, nyilvánosságra hozatalát is), ha ahhoz az érintett hozzájárult, vagy törvény azt elrendeli. Az egészségügyről szóló 1997. évi CLIV. törvény (Eütv.) 112. § (8) bekezdése szerint az egészségügyi dolgozó neve, szakképesítése (és ennek adatai), továbbképzése (i), korlátozott alkalmassága, munkahelye közérdekű adatnak minősül. Az Avtv. szerint a közérdekű adatok nyilvánosak, azokat bárki megismerheti. Az Eütv. 139. §-a szerint az orvos közfeladatot ellátó személy, ezért nem sérti az Avtv. rendelkezéseit az, ha az orvos tevékenységével kapcsolatos adatokat nyilvánosságra hozzák. Az állampolgári jogok országgyűlési biztosa - adatvédelmi biztosi jogkörében eljárva - tájékoztatta az indítványozót, ha nem ért egyet a szerző állításaival, rágalmazás vagy becsületsértés miatt büntetőeljárást kezdeményezhet, és/vagy a polgári törvénykönyvről szóló 1959. évi IV. törvény 84. §-a alapján személyiségi jogi pert indíthat a jóhírnév (77. §) megsértése miatt. (212/A/2001)
Egy panaszos beadványában kifogásolta, hogy a Zemplén TV riportot készített egy emberölés helyszínén, melynek elkövetésével [...] gyanúsítják. Az alezredes az interjúban kimondta a gyanúsított nevét, amit [...] vezetéknevét viselő rokonai sérelmeznek. A vizsgálat célja annak kiderítése volt, hogy a Zemplén TV által készített és nyilvánosságra hozott riport sértette-e [...] család személyes adatainak védelméhez fűződő jogát. A felvételen a BAZ megyei Rendőr-főkapitányság Bűnügyi Osztályának vezetője beszélt a Sátoraljaújhelyen történt emberölés körülményeiről és a nyomozásról. A riportban megnevezte a gyanúsítottakat (tettesként említve őket) [...] és [...]. A riporter kérdésére válaszolva a rendőr alezredes elmondta, hogy az elkövetők családjának semmi köze sincs az általuk elkövetett brutális bűncselekményhez. Az Avtv. alapján a vezetéknév is személyes adat, amenynyiben ez meghatározott személlyel kapcsolatba hozható. Tény, hogy a [...] vezetéknevű emberekről bárki azt gondolhatja, hogy rokonai az elkövetőnek, de tekintettel arra, hogy a riportból nem került nyilvánosságra más, a családtagokra utaló, velük kapcsolatba hozható személyes adat, ezért ez az információ a panaszos családjával nem hozható kapcsolatba. A nyilvános bírósági tárgyalás során vélhetően felmerülnek olyan adatok, amelyek egyértelműen azonosíthatóvá tehetik a panaszos családját, erre azonban a büntetőeljárásról szóló törvény megfelelő jogalapot teremt. (81/A/2001)
Egy állampolgár arra kérte az adatvédelmi biztost, hogy adatvédelmi szempontból véleményezze egy kereskedelmi televízió műsorát, amelynek szereplői gyakorlatilag a kamerák és ezáltal a nagy nyilvánosság előtt élik az életüket. Amíg az érintettek a műsor szereplői, addig napjaik minden percét rögzítették, és ennek több-kevesebb része adásba került. Mindenkinek szabadságában áll magántitkainak és személyes adatinak feltárásáról és felhasználásról rendelkezni. A polgári törvénykönyvről szóló 1959. évi IV. törvény 75. §-ának (3) bekezdése is kimondja, hogy a személyhez fűződő jogokat nem sérti az a magatartás, amelyhez a jogosult hozzájárult. Az említett adás adatvédelmi szempontból nem kifogásolható, ha a szereplők hozzájárultak magánszférájuk ilyen mértékű korlátozásához. A szereplők és a műsor készítői közötti szerződés pontos tartalmát nem vizsgálta a biztos, erre irányuló beadvány az érintettek részéről nem érkezett. A felvételek készítése és nyilvánosságra hozatala tehát akkor jogszerű, ha ahhoz az érintettek hozzájárultak. (534/A/2001)
Levéltárak, tudományos kutatás
A tudományos kutatást érintő indítványok számában jelentős változást nem tapasztaltunk. Ugyanakkor említésre méltó, hogy ebben az évben számos kérdést kaptunk az ezredéves megemlékezés kapcsán hőseiknek, mártírjaiknak emléket állítani kívánó kisebb-nagyobb közösségektől arra vonatkozóan, hogy van-e akadálya annak, hogy az emlékműveken neveket is feltüntessenek. Mindannyiszor tájékoztattuk az érdeklődőket arról, hogy az Avtv. alapján személyes adatnak az élő személy adatai minősülnek, az elhunytak adatainak kezelését a kegyeleti jog alapján kell megítélni. E tekintetben fő szabály az, hogy nem okoz jogsérelmet, ha egy emléktáblán, emlékművön az elesettek, elhurcoltak neve szerepel. Kivételt képez az a kör, ahol az érintettek származásuk alapján szenvedtek meghurcoltatást. Ebben az esetben - tekintve, hogy a hozzátartozókra vonatkozó információ is leszűrhető az adatok közzétételéből - ajánlatos a még élő hozzátartozók számára legalább a tiltakozás jogát biztosítani.
Ehhez az esethez kapcsolódik a XX. Század Intézet főigazgatójának indítványa, melyben arra kért választ, mi módon szabad a készülő "Diktatúrák Múzeumá"-ban a bemutatni kívánt korszak áldozatainak és a jogtalanságok elkövetésében résztvevőknek adatait közzétenni.
Válaszában az adatvédelmi biztos kifejtette, hogy személyiségi jogait tekintve két különböző csoport adatairól van szó. Feltételezve mindkét esetre, hogy az érintett személyek azonosságához kétség nem férhet, a bemutatni kívánt szervezetek szolgálatában állók neve, beosztása, illetve más adata engedélyük vagy hozzátartozóik engedélye nélkül közzétehető, hiszen az állam alkalmazottjaként, állami cél elérése érdekében eljáró, az ilyen szervek hatáskörét gyakorló személynek hatáskörében való eljárással összefüggő adata bárki számára hozzáférhető, nyilvános adat. Ugyancsak közzétehetők természetesen a korábban jogszerűen nyilvánosságra hozott adatok (például korabeli újságok, kiadványok stb.).
Ezzel szemben az elnyomó szervek áldozatainak személyes adatai teljes egészében az alkotmányban és az Avtv.-ben, valamint más törvényekben meghatározott védelem alatt állnak. Az áldozatok adatainak nyilvánosságra hozásához fő szabályként a még élők, haláluk esetén hozzátartozóik hozzájárulása szükséges. Az áldozatok nagy számára való tekintettel a hozzájárulás helyett a - tiltakozás jogát kell biztosítani az érintettnek vagy hozzátartozójának. Annak az egykori áldozatnak nevét és más adatát nem lehet közzétenni, illetve a már közzétett adatot törölni kell, aki e jogával él. Megilleti ez a jog az áldozatot akkor is, ha adatai más fórumon már jogszerűen nyilvánosságra kerültek.
A két fentebb ismertetett fő csoport mellett külön figyelmet érdemel a történelmi személyiségek adatainak kezelése, közülük többen részesei, majd maguk is áldozatai voltak a diktatúráknak. Őket, illetve hozzátartozóikat - tekintettel közszereplő mivoltukra - csak a közszereplők egyébként nyilvános adatainak körét meghaladó személyes adatainak közzététele elleni tiltakozási jog illeti meg. (Az állásfoglalás teljes szövege megtalálható a Mellékletben.) (247/K/2001)
A jelenkor kutatását célul tűzők előtt egyre nagyobb akadályt jelent a bírósági iratok megismerésének hiányos és nem megfelelő szintű szabályozása. A hiányosságra az adatvédelmi biztos több ízben felhívta az Országos Igazságszolgáltatási Tanács (OIT) figyelmét. A témával az elmúlt évekről szóló beszámolókban is foglalkoztunk. Ezt a problémát vetette föl egy budapesti főiskola tanszékvezetőjének indítványa is, mert a fiatalkorúak bűnözésével kapcsolatos - tanszékük által folytatott - kutatáshoz szükségük lett volna a bírósági iratok megismerésére is.
Szektorális szabályok hiányában az általános betekintési szabályokat kell alkalmazni. Ezek értelmében a kutatás céljára (akár a kutató költségére) az adatkezelőnek anonimizálni kell a kiadandó iratokat; amennyiben ez a kutatás céljára tekintettel nem lehetséges, úgy a személyes adatot tartalmazó iratok kezelése során a kutatónak egyrészt a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény rendelkezéseinek kell eleget tenni, másrészt figyelembe kell venni a bírósági ügyvitel szabályairól szóló - alkotmányosságát tekintve egyébként kétes - 123/1973. (IK 1974. 1.) IM utasítást is, mely azonban csak érintőlegesen szól az iratok megismerésének kérdéséről. (Az állásfoglalás teljes szövege megtalálható a Mellékletben.) (434/K/2001)
Egyre gyakrabban merül föl a kutatással összefüggő adatkezelés során, hogy nemzetközi kutatás keretében milyen feltételek mellett, milyen adatok adhatók át a külföldi kutatók számára.
Az adatvédelmi biztos hatáskörében eljáró országgyűlési biztos tájékoztatta az indítványozót, hogy ahhoz a célhoz, hogy a kutatás Pittsburghból is követhető legyen, nem tartja szükségesnek az érintettek valamennyi személyes (különleges) adatához való hozzáférés megadását. Tekintettel arra, hogy a számítógépes (internetes) adatforgalom jelenleg nem mondható biztonságosnak, az érintettek azonosítását lehetővé tevő személyes adatok továbbítása, hozzáférhetővé tétele helyett a biztos olyan kódok (szám, betű, illetve ezek kombinációja) használatát javasolta, amelyek segítségével a külföldi partner a kutatás folyamatát követheti, de az érintett személyes adatait nem ismerheti meg.
Az adatkezelés céljának megvalósításától függetlenül is, az Avtv. 9.§-a szerint más országba történő adattovábbítás az adatalany hozzájárulása esetében is csak akkor történhet, ha a külföldi adatkezelőnél az adatkezelés feltételei minden egyes adatra nézve teljesülnek: a célország a magyarral azonos adatvédelmi jogrenddel rendelkezik, vagy szerződésben kötelezettséget vállal az azonos védelem biztosítására. (581/K/2001)
További jellemző ügycsoportok
Ebben az évben nagyon sok olyan beadvány érkezett hozzánk, amelyben a polgárok azt sérelmezték, hogy parkolási társaságok, illetve megbízottjaik valamilyen módon megszerezték személyes adataikat, és azok felhasználásával küldtek részükre parkolási díj- és pótdíjhátralék megfizetésére felszólító leveleket. A parkolási díjak és pótdíjak behajtása iránti igény jogos, azok behajtását azonban adatvédelmi szempontból kifogásolható módon kísérlik meg az önkormányzatok, illetve parkolási cégeik. Az adatvédelmi biztos egyik esetben sem vitatta, hogy jogos igényeinek érvényesítése céljából mind az önkormányzatnak, mind a parkolási társaságnak jogosultnak kellene lennie akár egyetlen járműazonosító adat, például a forgalmi rendszám alapján a gépjármű-tulajdonos nevének és címének megszerzésére a közúti közlekedési nyilvántartásból. A jelenlegi jogi szabályozás azonban ezt a lehetőséget nem biztosítja. A beadványok kétféle behajtási módszerre hívták fel a figyelmünket. A parkolási társaságok egy része a települési jegyző adatkérési jogosultságát felhasználva kísérelte meg a nem fizető autósok adatait megszerezni.
Ebben az esetben az adatkérés jogalapjául a közúti közlekedési nyilvántartásról szóló 1999. LXXXIV. törvény (a továbbiakban: Kknyt.) 19. § (1) bekezdésének eb) pontját jelölték meg, amely szerint a települési önkormányzat jegyzője közútkezelői feladatai ellátásához a nyilvántartásból adatot igényelhet. A jegyző azonban a parkolási díjat, díjkülönbözetet és pótdíjat meg nem fizetőkkel szembeni peres eljárások kezdeményezése céljából kért adatokat a gépjármű-nyilvántartásból. A közutak forgalmi rendjének kialakítása, ennek keretében a parkolási rend meghatározása a helyi önkormányzat feladata, az önkormányzati feladat- és hatáskörök pedig a képviselőtestületet illetik meg. Az önkormányzat törvényben meghatározott feladatát nem ruházhatja át a jegyzőre, sőt, a parkolással összefüggésben jogszabály nem állapít meg feladatot a jegyző számára. A Kknyt. 19. § (1) bekezdés eb) pontja alapján ennek megfelelően a jegyző nem kérhet ilyen célra adatokat. Az önkormányzat (a képviselőtestület) vagy az önkormányzat megbízása alapján a parkolási cég - jogának érvényesítése érdekében - a Kknyt. 21. §-a alapján igényelheti a jármű tulajdonosának (üzembentartójának) adatait, a kérelemben azonban meg kell jelölnie mindhárom járműazonosító adatot, a forgalmi rendszámot, az alváz- és motorszámot is. Ezekkel viszont sem az önkormányzat, sem megbízottja nem rendelkezik, ezért az adatkérés feltételeit nem tudják teljesíteni. Ez vezetett a jegyző adatkérési jogosultságának jogellenes felhasználásához. Az adatvédelmi biztos felszólította Ferencváros Önkormányzat jegyzőjét a jogellenes adatkezelés megszüntetésére, aki ennek első alkalommal nem tett eleget. Válaszában azzal érvelt, hogy annak következtében, hogy a jegyzőnek csak nagyon kevés közútkezelői feladatot határoz meg jogszabály, értelmetlenné válik a Kknyt.-ben biztosított azon joga, hogy ilyen feladatai ellátása érdekében kérhessen a nyilvántartásból adatokat. Felhívta a biztos figyelmét arra, hogy a közúti közlekedésről szóló 1988. évi I. törvény szerint a pótdíjakat adók módjára kell behajtani, erre nézve pedig a jegyző rendelkezik hatáskörrel. Végül azon véleményének adott hangot, hogy a pótdíjat megfizetők érdeke az, ami miatt nem tekinthetjük jogszabálysértőnek az adatkezelést.
Az adatvédelmi biztos válaszában kifejtette, hogy amennyiben az adatkérés a pótdíjak behajtása érdekében történt, az jogsértő volt, mivel a jegyző nem rendelkezik jogszabályban meghatározott feladattal a parkolási díjak beszedésével összefüggésben. Az a tény, hogy a jegyző csak kevés közútkezelői feladattal rendelkezik, nem ok arra, hogy az önkormányzat feladatát elvonva, hatáskörét kiterjesztve járjon el. A biztos nem tartotta elfogadhatónak a jegyző azon véleményét, miszerint a jogalkotó nem akart különbséget tenni az önkormányzat és a jegyző között, amikor a jegyző adatkérési jogosítványait a Kknyt.-ben meghatározta, és ezért a jogalkalmazás során sem kellene különbséget tenni. A biztos álláspontja szerint a jogalkotó határozottan a jegyzőnek ad felhatalmazást az adatkérésre, és csak a saját - ott körülhatárolt - feladatai ellátása céljából teszi azt lehetővé. E rendelkezést nem lehet kiterjesztően értelmezni pusztán azért, mert adott esetben értelmetlennek tűnik. A jegyző által hivatkozott 1988. évi I. törvény szerint a parkolási pótdíjat valóban adók módjára kell behajtani, ez pedig a jegyző hatáskörébe tartozik. E rendelkezésnek azonban ellentmond a Fővárosi Önkormányzat parkolási rendelete, amely szerint a meg nem fizetett pótdíjat polgári peres úton kell behajtani. A biztos megállapította, hogy a pótdíjak behajtása ténylegesen az önkormányzati rendelet szerint történik. A jegyzőnek vannak ugyan hatáskörei az adók módjára történő behajtás terén, a polgári peres eljárásban azonban ezek nem használhatók fel. Az adatvédelmi biztos szerint végül a parkolási társaságnak vagy az önkormányzatnak jogosultnak kellene lennie ilyen esetekben, jogos igényeinek érvényesítése céljából akár egyetlen járműazonosító adat, például a forgalmi rendszám alapján a gépjármű-tulajdonos nevének és címének megismerésére annak érdekében, hogy a pótdíjak behajthatóvá váljanak. Támogatná az ennek érdekében történő törvénymódosítást is, hiszen a jelen helyzetben a parkolási díjat és a pótdíjat megfizetők jogai kerülnek szembe a személyes adatok védelméhez való jog érvényesülésével. Ez utóbbi alapvető jog pedig nem abszolút, a vele konfliktusba kerülő jogok érvényesülése érdekében korlátozható, ezt azonban a Magyar Köztársaságban csak törvénnyel lehet megtenni. A jelenleg hatályos törvény nem teszi lehetővé az adatok ilyen módon való beszerzését, a jogos igény önmagában nem teszi jogszerűvé a jogszerűtlen adatkezelést. A vizsgálat eredményeként a jogellenes adatkezelést megszüntették, és a törvénynek ellentmondó fővárosi közgyűlési rendelet módosításának szándékáról tájékoztatták a biztost. (20A/2001)
Szinte valamennyi önkormányzati parkolási rendelet szán egy-két rendelkezést a behajtással kapcsolatos adatkezelésnek. A helyi önkormányzat rendelete azonban önmagában nem biztosíthat megfelelő jogalapot az adatkezelésre sem a jegyző, sem a parkolási cég számára. Az Avtv. 3. § (1) bekezdésének b) pontja szerint személyes adat akkor kezelhető, ha azt törvény, vagy - törvény felhatalmazása alapján, az abban meghatározott körben - helyi önkormányzat rendelete elrendeli. A két gondolatjel közé zárt szövegrész alapján az adatkezelést lehetővé tevő önkormányzati rendeletnek is minden esetben visszavezethetőnek kell lennie egy olyan törvényi rendelkezésre, amely az adatkezelésre felhatalmazást ad, és meghatározza, hogy mely körben történhet a személyes adatok kezelése. Nem hagyható figyelmen kívül az sem, hogy amennyiben adattovábbítás történik, az Avtv. 8. § (1) bekezdését kell figyelembe vennünk, amely szerint az érintett hozzájárulása mellett az adattovábbításnak (az adat meghatározott harmadik személy részére történő hozzáférhetővé tételének) csak törvény lehet a jogalapja, más jogforrás, például önkormányzati rendelet nem.
Az egyik parkolási cég képviselője szerint a Kknyt. rendelkezései nem elsősorban rájuk vonatkoznak, azokat inkább más területeken kellene betartatni. Az adatvédelmi biztos nevében eljáró országgyűlési biztos tájékoztatta a társaság képviselőjét, hogy a törvény hatálya minden, a nyilvántartásból adatot kérő adatkezelőre kiterjed, azokra is tehát, akik nem jogellenes célra, hanem jogos követeléseik érvényesítésére szándékoznak adatokat felhasználni. Az adatkezelés jogszerű célja nem teszi jogszerűvé az egyébként jogellenes adatkezelést. (402/A/2001)
A panaszok egy másik részében a behajtás másik módszeréről, az úgynevezett többlépcsős adatkérésről szereztünk tudomást. Ez a megoldás három céget feltételez, az első az, amelyik az önkormányzat megbízása alapján üzemelteti a parkolás gazdálkodási rendszerét, ennélfogva ő szedheti be az ezzel kapcsolatos díjakat és pótdíjakat. Ez a cég megküldi a parkolási díjat nem fizető autók forgalmi rendszámát a második cégnek, amelynek feladata, hogy a közúti közlekedési nyilvántartásból a forgalmi rendszám alapján a másik két járműazonosító adatot megszerezze, majd továbbítsa azokat a harmadik cégnek, amely a három járműazonosító adat birtokában már az üzembentartó adatait is igényli ugyanabból a nyilvántartásból, amelyből az előző lépcső kihagyása esetén nem kaphatott volna személyes adatokat. A három társaság tehát úgy tesz eleget az adatkérés teljesítése feltételeinek, hogy először a feltételeket megkövetelő, azok meglétének ellenőrzésére hivatott szerv hozza őket olyan helyzetbe, hogy az adatkérés teljesíthető legyen. A vizsgálat során csupán a tényállást sikerült megállapítanunk, időközben ugyanis az ügyben bírósági eljárás indult, így az adatvédelmi biztos további vizsgálatot nem folytathat. (666/A/2001, 669/A/2001, 714/A/2001, 798/A/2001)
Megyei vizsgálatok
A megyei vizsgálatot az adatvédelmi biztos nem állampolgári panasz alapján, hanem hivatalból indítja. Az elmúlt évek gyakorlatát követve erre 2001-ben is sor került, ezúttal Bács-Kiskun megyében. A vizsgálatok helyszíneinek kiválasztása során szempont volt az, hogy meglátogassunk olyan adatkezelőket, melyeket az ország más pontjain már vizsgáltunk, és ezáltal az egységes adatkezelési gyakorlatról kapjunk átfogó képet (ilyen például a rendőrség vagy az önkormányzatok adatkezelése), valamint olyan helyet is választottunk, ahol eddig még nem jártunk (ilyen például a Fogyasztóvédelmi Főfelügyelőség). A személyes adatok kezelésén túl vizsgáltuk a közérdekű adatok nyilvánosságának érvényesülését, a közérdekű adatkérések teljesítését és a lakosság, az érintettek tájékoztatásának módját is. A helyszíni vizsgálatot követően az adatvédelmi biztos tájékoztatta tapasztalatairól az érintett szervek vezetőit valamint a sajtó képviselőit.
Érdemes röviden utalni a korábbi beszámolókban már bemutatott kanadai állami információs politika magyarországi viszonyokra honosított változatáról, mely 1999-től működik Bács-Kiskun megyében. A modell lényege, hogy az állami, önkormányzati és egyéb közfeladatot ellátó szervek erre kinevezett munkatársa az információs jogok helyi megbízottjaként segít a polgároknak abban, hogy egyszerűbben és könnyebben rendelkezhessenek személyes adataikkal, valamint a kért közérdekű adatok minél gyorsabban jussanak el hozzájuk. Az Adatvédelmi Biztos Irodája munkatársai továbbra is konzultációkkal, szakmai segítséggel igyekeznek támogatni a modell szakszerű érvényesülését.
A Bács-Kiskun Megyei Fogyasztóvédelmi Főfelügyelőségen a fogyasztók tájékoztatására vonatkozó tevékenységet, a közérdekű adat-kérések kezelését, valamint a fogyasztóvédelmi eljárások eredményeinek közzétételét vizsgáltuk.
A fogyasztók tájékoztatást elsősorban a sajtó útján látják el, ezen túl a felügyelőség információs táblát is fenntart a városközpontban. A Felügyelőség minden nagy, átfogó vizsgálatáról sajtótájékoztatón számol be a közvéleménynek. A törvény rendelkezése szerint az azonnali végrehajtást előíró határozatokat kötelezően nyilvánosságra kell hozni. Ennek a Felügyelőség minden esetben eleget tesz.
Vitatható ugyanakkor a közérdekű adatok nyilvánossága szempontjából az a gyakorlat, mely szerint azokról az eljárásokról, amelyekben a határozat nyilvánosságra hozatalára a fogyasztóvédelmi törvény nem kötelezi a Felügyelőséget, az elmarasztalt érintett nevét - egy esetleges későbbi jogvitától tartva - nem teszi közzé a Felügyelőség . Ettől eltekintve hibás vagy kifogásolható gyakorlatot nem tapasztaltunk. (447/H/2001)
Kecskemét Megyei Jogú Város Önkormányzata Polgármesteri Hivatalában a képviselő testületi és bizottsági ülések nyilvánossága, illetve a zárt ülésekkel kapcsolatos adatkezelés; az önkormányzat vezető tisztségviselőinek díjazásával kapcsolatos döntések nyilvánossága és a közszereplésükkel összefüggő személyes adat-kérések; a lakosság tájékoztatása az önkormányzat tevékenységéről, az önkormányzat döntéseinek (rendeleteinek, határozatainak) közzététele, formái, gyakorisága; valamint a szociális igazgatásban végzett személyes adat-kezelés volt a vizsgálat tárgya.
A Közgyűlés és bizottságai üléseinek nyilvánosságát a Szervezeti és Működési Szabályzat számos rendelkezése biztosítja. A helyi televízió az üléseket egyenes adásban közvetíti, majd néhány nappal később, más időpontban megismétli. Az önkormányzat vagyonával kapcsolatos ügyekben is fő szabály a nyilvános ülés. Amennyiben a Közgyűlés személyi ügyet tárgyal, az érintett előzőleg írásban nyilatkozik, hogy - "a nyilvános és zárt ülés fogalmi meghatározásának ismeretében" - beleegyezik-e a nyilvános tárgyalásba vagy sem. A Közgyűlés és bizottságai működéséről a közvélemény a helyi sajtó tudósításán túl a Városházi Hírek ingyenes kiadvány révén is tájékozódhat. Az önkormányzat ezen kívül egy rendkívül informatív honlapot is működtet.
Az önkormányzat vezető tisztségviselőinek juttatásaival kapcsolatos adatokat nyilvános adatként kezelik. A közérdekű bejelentések elsősorban névtelenül érkeznek, a hivatal erre a célra "zöld szám" bevezetését tervezi. Összességében a közérdekű adatok kezelése Kecskemét Megyei Jogú Város Önkormányzata Polgármesteri Hivatalában - más önkormányzatok számára is - példamutató.
A szociális igazgatásban végzett személyes adat-kezelésnél találkoztunk kifogásolható gyakorlattal. Például a nyilatkozatok tekintetében nem felel meg az információs önrendelkezési jognak az a rendelkezés, mely a kérelmezőt kötelezi arra, hogy a közös háztartásban élők személyes adatairól (pl. jövedelméről) nyilatkozzék. Ez a probléma azonban nem egyedi, tapasztalataink szerint a hivatalok szinte mindenütt azokban az eljárásokban, melyekhez a kérelmezőn kívül más (hozzátartozó) személyes adatáról is rendelkezni kell, azt a kérelmezőtől kérik. Szintén aggályos, hogy a méltányossági eljárás során a Polgármesteri Hivatal hiánypótlás céljából megkeresi a hozzátartozó jövedelmének igazolására jogosult szervet. Továbbá az időskorúak járadékának megállapításához benyújtandó jövedelemnyilatkozatban, az ápolási díj folyósítása iránti kérelemben, valamint a kiegészítő családi pótlék indokoltságát felülvizsgáló adatlaphoz csatolt környezettanulmányban is szerepelnek olyan adatkérések, amelyek indokolatlanok, az adatok kezelése nem felel meg a céhozkötöttség követelményének. (455/H/2001)
A megye rendőri szervezeteinek adatkezelését két rendőrkapitányságon vizsgáltuk. A városi rendőrkapitányságon elsősorban az ügyeleti szolgálat adatkezelését, az igazoltatási adatok kezelésének körülményeit, és a "Robotzsaru 2000" ügyviteli és ügyfeldolgozó rendszer működésének adatvédelmi vonatkozásait, míg a megyei rendőr-főkapitányságon kiemelten a büntetőeljárást megelőző felderítő tevékenységgel öszszefüggésben keletkező adatok kezelésének módját és a közérdekű adatok nyilvánosságának érvényesülését tekintettük át.
A Kecskeméti Rendőrkapitányságon a személyes adatokat döntően a vonatkozó törvényi előírásoknak megfelelően és a Rendőrség Ideiglenes Adatvédelmi Szabályzata alapján kezelik. A megyei és a városi közös ügyeleten az adatlekéréseket naplózzák, így bármikor ellenőrizhető az adatigény jogossága. Az igazoltatási adatokat egyelőre külön számítógépes rendszeren tárolják, mert ezen adatok fogadására, kezelésére a "Robotzsaru 2000" még nincs felkészítve. Az igazoltatási adatokhoz csak az arra feljogosított rendőrök férnek hozzá. Ugyanakkor a rendszerben a törvényi előírásoktól eltérően két évnél régebbi adatok is találhatók. A "Robotzsaru 2000" rendszerben az adatvédelmi követelményeknek meg nem felelő egyes funkciókat a módosított programban már kijavították, így például a védett tanúk adatához már nem lehet hozzájutni.
A Bács-Kiskun Megyei Rendőr-főkapitányságon az adatvédelmi biztos személyes közreműködésével történt az a vizsgálat, melyben titkos információgyűjtéssel összefüggő ügyek iratait tanulmányoztuk. A tapasztalatok szerint mind a bírói, mind az ügyészi engedélyhez kötött titkos információgyűjtés során a nyomozó szerv a törvényi előírásoknak megfelelően járt el.
A közérdekű adatok nyilvánosságának érvényesülését számos formában biztosítja a főkapitányság vezetése, elsősorban a sajtó útján. Követésre méltó példaként találkoztunk a sajtó munkájának támogatásával kapcsolatban: mivel a sértettek vagy tanúk adatait - adatvédelmi okokból - nem adhatják ki az eljáró rendőri szervnek, a sajtószóvivők "közvetítenek" egy-egy bűncselekményről tudomással bíró személyek és a sajtó képviselői között azért, hogy a riport, a tudósítás elkészülhessen. (466/H/2001, 467/H/2001)
A Megyei Földhivatalban az ingatlan-nyilvántartásról szóló 1997. évi CXLI. törvény (Inytv.) végrehajtásához kapcsolódó adatkezelések általános áttekintésére, kiemelten a számítógéppel vezetett ingatlan-nyilvántartásból történő adatlekérdezések naplózási gyakorlatának, illetve a személyi azonosító jel használatának megismerésére került sor.
A vizsgálat megállapította, hogy a tulajdoni lap-másolatot kérők nevét, lakcímét és személyazonosító igazolványának számát a törvénynek megfelelően feljegyzik, illetve tárolják (a tulajdoni lap-másolat kiadásához rendszeresített megrendelőlapon ezek az adatok szerepelnek). A betekintések naplózása ugyanakkor nem megoldott: sem a számítógépes, sem a papír alapú nyilvántartásba történő betekintést nem naplózzák. Ez mind az adatvédelem alapelveit, mind az ingatlan-nyilvántartásról szóló törvény előírásait sérti, ugyanis az Inytv. 81. §-a - a számítógéppel vezetett nyilvántartással összefüggésben - előírja a lekérdezések időpontjának, jogalapjának, az adatigénylő nevének és a műveletet végző személy jogosultsági kódjának rögzítését és öt évig történő megőrzését, az adatvédelmi törvény alapján pedig az adatkezelőnek (adott esetben a földhivatalnak) tájékoztatást kell tudnia adni arról, hogy az érintett személyes adatait mikor, kik és milyen célból kapták meg.
Az Inytv. 68. § (3) bekezdésének megfelelően az 1992. január 1. előtt készített tulajdoni lapok esetében a másolaton a személyi azonosító is szerepel. A helyzet rendezéséhez az Inytv. módosítása szükséges. (468/H/2001)
Kiskunfélegyháza Város Önkormányzata Polgármesteri Hivatalában a vizsgálat - hasonlóan a kecskeméti önkormányzatnál végzett, az előzőkben ismertetett vizsgálathoz - szintén a közérdekű adatok nyilvánosságának érvényesülésére, a képviselő testületi ülések nyilvánosságára, a hivatal tájékoztatási gyakorlatára, valamint a szociális igazgatás adatkezelésére irányult.
Az információszabadságot érintő kérdésekben itt is kielégítőnek találtuk a gyakorlatot, a lakosság tájékoztatása több fórumon, megfelelően történik (információs újság, helyi televízió), mindezek tükrében nehezen értelmezhető a hivatal általános adatvédelmi szabályzatának 9.1 pontja, mely szerint közérdekű adatot kiadni csak a polgármester, illetve a jegyző engedélyével lehet. A szociális igazgatásban itt is főleg a célhoz kötött adatkezelés követelményének nem megfelelő, túlzott mértékű adatkérésekkel találkoztunk. Például törvényi felhatalmazás hiányában kérik a rendszeres szociális segély elbírálásához a személyazonosító igazolvány számát, az adóazonosító jelet és a kérelmező tartózkodásának minőségét; de ugyanígy található a lakásfenntartási támogatás, az ápolási díj, az átmeneti segély, a szociális kölcsön, vagy a közgyógyellátásra való jogosultság megítéléséhez közlendő adatok között olyan, amelyet a hivatalnak nem indokolt kezelni. (491/H/2001)
Az információszabadság ügye szempontjából a 2001. esztendő aligha tekinthető sikeresnek. Míg az Adatvédelmi Biztos Irodája a megelőző évhez képest csak mintegy 10%-os ügyszámcsökkenést regisztrált, addig ezen belül a közérdekű adatok nyilvánosságát érintő ügyek számának visszaesése több mint 34%-os volt: a 828 beadványból mindöszsze 57 (6,7%). A számok tanúsága szerint ennek oka egyértelműen abban keresendő, hogy közel öt és fél hónapon át betöltetlen volt a biztosi funkció. Az év első felében 42, a második felében 13 beadványt kaptunk. Ezek közül 25 volt panasz, 24 konzultációs ügy, 4 hivatalbóli vizsgálat és ugyancsak 4 esetben kellett szolgálati titokkörök megállapításával kapcsolatos tervezeteket véleményeznünk.
Az ügyek indítványozók szerinti megoszlásában - ahogy az alábbi táblázat is mutatja - a korábbi évekhez képest nem tapasztaltunk lényeges változást.
|
|
2001 |
2000 |
1999 |
|
Magánszemély |
27% |
30% |
23% |
|
Újságíró |
10% |
9% |
10% |
|
Maga az adatkezelő |
27% |
22 % |
30% |
|
Civil szervezet |
14% |
10% |
10% |
|
Hivatalból indított eljárás |
7% |
9% |
13% |
|
Önkormányzati képviselő, |
|
|
|
|
Polgármester |
4% |
9% |
7% |
|
Parlamenti képviselő |
7% |
2% |
6% |
|
Ügyvéd (valamely |
|
|
|
|
szervezet képviseletében) |
4% |
6% |
- |
|
Gazdasági társaság |
- |
3% |
1% |
|
Egyéb |
- |
- |
- |
Az információszabadság körében hivatalból indított vizsgálatok 2001-ben a következők voltak:
- Az adatvédelmi biztos mintegy hat éves tapasztalata alapján vizsgálatot indított azzal kapcsolatban, miként érvényesülnek az adatvédelemre és az információszabadságra vonatkozó büntetőjogi garanciák. A vizsgálatot lezáró ajánlás teljes szövege a Mellékletekben olvasható. (272/H/2001);
- A közérdekű adatok kezelésének gyakorlata a Bács-Kiskun Megyei Fogyasztóvédelmi Felügyelőségnél (447/H/2001);
- A közérdekű adatok kezelésének vizsgálata Kecskemét Megyei Jogú Város Önkormányzatánál (455/H/2001);
- A közérdekű adatok kezelésének vizsgálata a Bács-Kiskun Megyei Rendőr-főkapitányságnál (466/H/2001).
A megyei vizsgálatok tapasztalatait külön fejezet tartalmazza.
Közérdekű adatok az önkormányzatok kezelésében
A 2001. év nem hozott jelentős változást a korábbi évekhez képest a helyi önkormányzatok kezelésében lévő közérdekű adatok tekintetében. Továbbra is a helyi önkormányzat képviselőtestülete üléseinek, döntéseinek nyilvánossága, az önkormányzati képviselők, a polgármester javadalmazása, önkormányzati tulajdonban lévő gazdasági társaságban betöltött tisztségei, az önkormányzati beruházások dokumentumainak nyilvánossága voltak a jellemző ügyek, ugyanazokkal a jogszabály-értelmezési problémákkal, amelyek az elmúlt éveket is uralták. A "rutinügyek" mellett néhány, az eddigi gyakorlatban még fel nem merült részletkérdésben is állást kellett foglalnunk. Az információszabadsággal összefüggő ügyek közel 27 százaléka érintette az önkormányzatokat, és ez valamivel több, mint kétharmada a 2000. évi hasonló adatnak.
Az e körbe tartozó ügyek két tendenciát jeleznek: egyrészről az adatvédelmi biztoshoz forduló polgárok már nem kérdezik, hanem állítják, hogy az általuk az önkormányzattól kért adatok közérdekű adatnak avagy nyilvánosságra hozható személyes adatnak minősülnek, és legtöbbször csak ennek megerősítését várják. Ez egyben rámutat a másik tendenciára is, hogy az önkormányzatok vezetői egyes esetekben szabadulni igyekeznek az Avtv.-ben előírt feladataik teljesítése alól.
Több esetben is arra kellett felhívni az érintett önkormányzat polgármesterének vagy jegyzőjének a figyelmét, hogy nem mentesülhetnek az Avtv.-ben előírt tájékoztatási kötelezettség alól azon az alapon, hogy a polgár által kért közérdekű adat más forrásból (az önkormányzat hivatalos lapjából, más állami nyilvántartásból vagy közkönyvtárban elhelyezett iratokból) megismerhető (340/A/2001, 143/A/2001, 664/K/2001, 715/A/2001).
A helyi önkormányzatokról szóló 1990. évi LXV. törvény (a továbbiakban: Ötv.) a képviselőtestület és a választópolgárok kapcsolatának - a képviselőtestület ülésének nyilvánossága melletti - speciális intézményeként említi a közmeghallgatást, illetve a képviselő-testületre bízza azoknak a fórumoknak a meghatározását (község-, várospolitikai fórum, városrész-tanácskozás, falugyűlés stb.), amelyek a lakosság, a társadalmi szervezetek közvetlen tájékoztatását, a fontosabb döntések előkészítésébe való bevonását szolgálják. Noha ezen intézményeknek épp az a célja, hogy a választópolgárok közérdekű kérdéseiket, javaslataikat közvetlenül juttathassák el a képviselőtestülethez, és így az önkormányzat működésének tényeiről tájékozódhassanak, egy állampolgári panasz arra világított rá, hogy nem egyértelmű: a közmeghallgatáson a közérdekű adatok iránt is lehet érdeklődni, és arra választ kell adni.
Egy - az állampolgári jogok országgyűlési biztosához benyújtott - panasznak az információszabadságot érintő részében a panaszos azt sérelmezte, hogy a képviselőtestület által tartott közmeghallgatáson feltett, az önkormányzat gazdálkodásával, költségvetésével, illetve a polgármester, alpolgármester illetményével kapcsolatos kérdéseire nem kapott választ. Az önkormányzat vezetői az állampolgári jogok országgyűlési biztosa által lefolytatott vizsgálat során akként nyilatkoztak, hogy az említett közérdekű adatok kiadására vonatkozó kérelem nem érkezett az önkormányzathoz. Az ügyben készített véleményében a biztos kifejtette, hogy - figyelemmel az Ötv. 13. §-ára - a közmeghallgatás a képviselő-testület speciális ülése. Ebből következően: a közmeghallgatáson a polgármesternek (vagy helyette az alpolgármesternek), a jegyzőnek (vagy helyette az aljegyzőnek), illetve a képviselő-testület tagjai többségének jelen kell lennie, továbbá a közmeghallgatásról az Ötv. 17. §-a szerint jegyzőkönyvet kell felvenni. A polgármester, a jegyző, a képviselő-testület közfeladatot ellátó személy, szerv, és a közmeghallgatáson az említett minőségükben vesznek részt.
A közmeghallgatáson a választópolgárok által feltett kérdéseket - amennyiben azok közérdekű adat közlésére (is) irányulnak - az Avtv. 20. §-a szerinti kérelemnek kell tekinteni, a törvény ugyanis nem ír elő formakényszert a kérelem előterjesztésére, külön kérelem benyújtását a polgármester vagy a jegyző jogszerűen nem igényelheti. Amennyiben a közmeghallgatáson részt vevő választópolgár a helyszínen kapott válasszal nem elégszik meg, avagy a kért közérdekű adat helyben nem bocsátható a kérelmező rendelkezésére, az adatkezelőnek a kérelmet az Avtv. 20. § (1) vagy (2) bekezdése szerint kell kezelnie, azaz a közmeghallgatás napjától számított 8 napon belül közölni kell a kérelem elutasításának indokát, vagy a közmeghallgatás napjától számított 15 napon belül közölni kell a kért közérdekű adatot.
Ugyanezek a szabályok érvényesek az Ötv. 18. §-a szerinti egyéb fórumokon előterjesztett, közérdekű adat megismerésére irányuló kérelmekre is. A közérdekű adat megismerésére irányuló kérelmek formakényszere hiányában nincs jelentősége annak, hogy ezeken a fórumokon nem kell jegyzőkönyvet készíteni. (678/K/2001)
Új összefüggésben a 2001. évben is foglalkozni kellett a képviselőtestület zárt ülésének kérdésével.
Az egyik városi önkormányzat képviselő-testülete zárt ülésen mondta ki feloszlását. A jegyző - aki a döntés törvénysértő voltát jelezte a képviselő-testületnek - abban a kérdésben kérte az adatvédelmi biztos állásfoglalását, hogy sérül-e az információszabadság, ha a képviselő-testület zárt ülésen tárgyalja meg a feloszlatását, és ugyancsak zárt ülésen hoz erről döntést. A korábbi adatvédelmi biztos válaszában hangsúlyozta: a nyilvánosság törvénysértő kizárása a képviselőtestület üléséről a közérdekű adatok megismerésének sérelmét okozza. Az Ötv. nem rendelkezik a törvénysértő módon elrendelt zárt üléssel kapcsolatos közérdekű adatok nyilvánosságáról, ám amennyiben nem álltak fenn a zárt ülés elrendelésének törvényi feltételei, a közérdekű adatokat nem lehet eltitkolni. Az önkormányzatnak nem szabad újabb jogsértéssel tetéznie a zárt ülés jogellenes elrendelésével okozott sérelmet, ezért a zárt ülés jogsértő voltának megállapítását követően az ott keletkezett közérdekű adatokat kérésre bárki számára hozzáférhetővé kell tenni. (84/K/2001)
Az önkormányzati képviselők - mint közfeladatot ellátó személyek - egyes személyes adatainak nyilvánosságával összefüggő ügyeket a következő alfejezetben ismertetjük.
A közfeladatot ellátó személyek adatainak nyilvánossága
Miként az adatvédelmi biztos tevékenységének minden évében, 2001-ben is érkezett számos olyan ügy, amelynek tárgya a két információs jog konfliktusa volt. Ezek közül ebben az évben kiemelkedő jelentőségűek a közfeladatot ellátó személyek vagyonnyilatkozatával kapcsolatos ügyek. Országgyűlési képviselők és más közfeladatot ellátó személyek (köztisztviselők, bírók, ügyészek) vagyonnyilatkozatával kapcsolatos kérdésekben az adatvédelmi biztos számos korábbi eset kapcsán állást foglalt (518/J/1996, 406/K/1997, 498/J/2000, 784/K/2000, 903/J/2000). 2000 decemberében az Igazságügyi Minisztérium véleményezésre megküldte a korrupcióval szembeni kormányzati stratégiáról szóló kormányhatározat tervezetét. Az adatvédelmi biztos 2001. januári állásfoglalásában (903/J/2000) - melynek szövege a Mellékletekben olvasható - utalt az Alkotmánybíróság 60/1994. (XII. 24.) számú határozatára, mely kimondta, hogy az állami tisztségviselők alkotmányosan védett magánszférája másokénál szűkebb, amiből azonban nem következik, hogy a közhatalmat gyakorlók információs önrendelkezési jogának korlátozásakor ne kellene az alapjogi korlátozás alkotmányos kritériumaira tekintettel lenni. A kötelező vagyonnyilatkozat intézménye csak a korrupció legkezdetlegesebb formáinak leleplezésére alkalmas. Mint a közérdekű adatok megismeréséhez fűződő jog országgyűlési biztosa leszögezte, a korrupció visszaszorítását, a közpénzek felhasználásának átláthatóságát az információszabadság garanciáinak erősítése szolgálná.
A korrupcióval szembeni kormányzati stratégiáról szóló 1023/2001. (III. 14.) Korm. határozat ugyanakkor kimondta, hogy "a korrupció veszélyének leginkább kitett közhatalmi tevékenységet végző személyek esetében alapkövetelmény a kötelező, teljes körű, ellenőrizhető vagyonnyilatkozat megtétele és a közhatalmi tevékenység végzésének időtartama alatti vagyongyarapodás időszakonkénti ellenőrzésének lehetősége. Ennek érdekében - figyelemmel a már folyamatban lévő jogszabály-módosítások előkészítésére is - meg kell vizsgálni, hogy a vagyonnyilatkozat tételére kötelezettek köre milyen irányban bővíthető, valamint mely személyi körben indokolt a vagyonnyilatkozat nyilvános jellege." Ezt követően pedig megszületett az egyes közhatalmi feladatokat ellátó, valamint közvagyonnal gazdálkodó tisztségeket betöltő személyek összeférhetetlenségéről és vagyonnyilatkozat-tételi kötelezettségéről szóló törvénytervezet, melyet az Országgyűlési Biztos Hivatala akkor kapott meg véleményezésre, amikor az adatvédelmi biztosi poszt betöltetlen volt. Az Adatvédelmi Biztos Irodája által készített véleményt (752/J/2001) az állampolgári jogok országgyűlési biztosának általános helyettese írta alá és jutatta el az Országgyűlés Alkotmány- és igazságügyi bizottságához, melynek vitáján azt ismertette is. Az Országgyűlés az adatvédelmi biztos valamennyi korábbi kifogását figyelmen kívül hagyva 2001. december 18-án elfogadta a törvényt.
Ebben az esztendőben is több olyan beadványt kellett kivizsgálnunk, amelynek tárgya önkormányzati tisztségviselők feladatkörével összefüggő adatainak nyilvánossága volt.
Az egyik városi önkormányzathoz a képviselőknek szóló levélként az egyik önkormányzati képviselő elleni büntetőeljárásban keletkezett ügyészségi megrovó határozatot és mellékleteit (szerződéseket, dokumentumok másolatait) juttatták el. Az önkormányzat jegyzője állásfoglalást kért az adatvédelmi biztostól, hogy nyilvánosságra hozhatók-e az említett iratok. Az adatvédelmi biztos - hivatkozva az Alkotmánybíróság 60/1994. (XII. 24.) AB határozatában kifejtett érvelésre -, a következő szempontok figyelembe vételére hívta fel a jegyző figyelmét:
"a) az első eldöntendő kérdés, hogy a büntetőeljárás tárgyát képező ügy az önkormányzati képviselő e minőségével összefüggő ügy volt-e vagy sem. Az említett összefüggés hiánya ugyanis önmagában akadálya a személyes adatok nyilvánosságra hozásának.
Amennyiben összefüggés van az önkormányzati képviselői minőség és a büntetőeljárás tárgyát képező ügy között, akkor sem hozható nyilvánosságra, minden személyes adat csak azok, amelyek az önkormányzati képviselő köztevékenységének megítélése szempontjából jelentősek lehetnek. Nyilvánvalóan nem szükséges a képviselő köztevékenységének megítéléséhez például a megrovást tartalmazó határozatban szereplő születési hely vagy anyja neve ismerete [vö.: Be. 116. § (2) bekezdés és 87. § (1) bekezdés a) pont]. Ezen túlmenően a határozatban (indokolásában) lehetnek további olyan adatok, tények, amelyek a képviselő köztevékenységének megítélése szempontjából irrelevánsak.
b) a nyílt levél feladója az ügyészség határozatához mellékelte az ügy tárgyát képező szerződések, dokumentumok másolatait is, amivel kapcsolatban az üzleti titok nyilvánosságra hozhatóságának kérdése merül fel (amennyiben a büntetőeljárás tárgyát képező ügy az önkormányzati képviselő e minőségével összefügg). Üzleti titok a gazdasági tevékenységhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek titokban maradásához a jogosultnak méltányolható érdeke fűződik, és amelynek titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette.
Álláspontom szerint az üzleti titok védelmére nem lehet hivatkozni abban az esetben (a titokban maradásához nem fűződik méltányolható érdek), ha az üzleti titkot képező tény, adat, stb. a közpénzek felhasználására vonatkozik, továbbá akkor sem, ha az üzleti titok védelmére hivatkozás jogellenes cselekményeket leplezne."
A fenti követelményeket mérlegelve a jegyző arról tájékoztatta az adatvédelmi biztost, hogy nem hozták nyilvánosságra a nyílt levelet és mellékleteit, hanem azokat megsemmisítették. (344/K/2001)
Az adatvédelmi biztos gyakorlatában visszatérő kérdés: megismerhető-e, hogy az önkormányzati képviselők milyen tisztséget viselnek az önkormányzat tulajdonában lévő önkormányzati intézményekben, vállalatokban, gazdasági társaságokban, más szervezetekben? Az adatvédelmi biztos egy korábbi ügyben (502/A/2000) már megállapította, hogy az önkormányzati tulajdonban lévő intézmények, vállalatok, gazdasági társaságok, más szervezetek az Avtv. 19. §-ának alkalmazásában helyi önkormányzati feladatot ellátó szervek. Nehezebb azonban a csak részben önkormányzati tulajdonban lévő gazdasági társaságok megítélése, pontosabban annak eldöntése, hogy ki minősül ez esetben adatkezelőnek.
Az egyik megyei jogú város önkormányzata jegyzőjének - említett tárgyú - megkeresésére válaszolva az adatvédelmi biztos a következő választ adta:
"A közgyűlés a tulajdonában álló, illetve a részvételével működő gazdasági társaságok vezető tisztségviselőivel kapcsolatos, hatáskörébe tartozó döntéseket határozatban hozza meg.
Olyan személyt érintő döntés esetén, aki maga is közfeladatot ellátó személy, vagy megválasztása eredményeként azzá lesz (jegyző, aljegyző, alpolgármesterek, intézményvezetők stb.) azok az indokok, érvek, amelyek a képviselő-testület döntését befolyásolták, az érintett döntésétől függően kerülhetnek nyilvánosságra. Annak a döntésnek (határozatnak) viszont, hogy a képviselő-testület őt választotta meg az adott funkcióra, egyrészt az Avtv. 19. § (2) bekezdésének utolsó mondata, másrészt pedig más jogszabályok (Ktv., Kjt.) biztosítanak - feltétel nélküli - nyilvánosságot.
Az Avtv. a közfeladatot ellátó szervek hatáskörében eljáró személyek nyilvános adatainak - noha személyes adatok - a közérdekű adatokéval azonos nyilvánosságot biztosít. A közfeladatot ellátó szerv tehát az Avtv. 19-20. §-a alapján köteles ezen adatokhoz való hozzáférést biztosítani [...].
A kizárólag önkormányzati tulajdonban álló gazdasági társaságok esetén az alapító döntései a közgyűlés határozataiban öltenek testet, és egyidejűleg az önkormányzat és a gazdasági társaság kezelésében lévő adatok.
A részben önkormányzati tulajdonban álló gazdasági társaságok esetében a társaság vezető tisztségviselőivel kapcsolatos döntések meghozatala [például 1997. CXLIV. törvény. 150. § (2) bekezdés g)-h) pont, 233. § d) pont] a társaság legfőbb szervének a hatáskörébe tartoznak, ahol az önkormányzat az őt megillető szavazati jog mértékében vesz részt a döntések meghozatalában. Ez esetben
a) a közgyűlés határozata tulajdonképpen a gazdasági társaság legfőbb szervének döntéseként is tekinthető, ha az önkormányzatot megillető szavazati jog mértéke lehetővé teszi, hogy az önkormányzat a többi tag (részvényes) hozzájárulása nélkül is hozhasson döntést;
b) a közgyűlés határozata csak mint az önkormányzatot képviselő személy mandátuma jelenik meg, és csak e minőségében tekinthető az önkormányzat kezelésében lévő adatnak. Amennyiben a gazdasági társaság legfőbb szervének döntése az önkormányzatétól eltér, a gazdasági társaság vezető tisztségviselőire vonatkozó adatok csak a gazdasági társaság kezelésében lévő adatoknak minősülnek."(664/K/2001)
Ugyancsak a közfeladatot ellátó személyek egyes személyes adatainak nyilvánosságát érintette az a kérdés, amely a közbeszerzési bizottságok tagjaira vonatkozott (354/K/2001), illetőleg az a panasz, amely kifogásolta, hogy az Oktatási Minisztérium az intranet hálózaton működő telefonkönyvben közzétette valamennyi dolgozójának képmását. (6/A/2001)
Közérdekű adatok a hatósági eljárásban
Az adatvédelmi biztos tevékenysége során visszatérő gondként jelentkezik a különböző hatósági nyilvántartások, valamint hatósági eljárások iratanyagának nyilvánossága. Míg a 2000. évben a személyes adatok védelme és az említett nyilvántartások, iratok megismerhetőségének kérdése volt többször vizsgálat tárgya, addig 2001-ben négy beadvány kapcsán azt kellett megvizsgálni, hogy a hatóságok kezelésében lévő, jogi személyekre vonatkozó adatok közérdekű adatnak minősülnek-e vagy sem, s ettől függően a hatósági eljárásban nem érintett személyek közül ki és milyen módon ismerheti meg azokat.
Az államigazgatási eljárás általános szabályairól szóló 1957. évi IV. törvény (a továbbiakban: Áe.) és a bírósági ügyvitel szabályairól szóló 123/1973. (IK 1974. 1.) IM utasítás (a továbbiakban: BÜSZ) egységes abban, hogy az - államigazgatási, illetve bírósági - eljárás során keletkezett iratokba az eljárásban nem érintett személyek csak jogi érdekük igazolása után, az eljáró szerv engedélyével tekinthetnek be. Ehhez hasonlóan, számos jogszabály értelmében az érdekeltség igazolása után engedélyezhető a betekintés az államigazgatási szerv által vezetett olyan nyilvántartásba is, amely nem tartalmaz személyes adatot.
E szabályok nyilvánvalóan nincsenek összhangban a közérdekű adatokra vonatkozó Avtv.-beli szabályokkal, jóllehet az Avtv.-ben foglaltaktól eltérni csak akkor lehet, ha azt maga a törvény kifejezetten megengedni.
Az Avtv. 2. §-ának 3. pontja értelmében a jogi személyeknek a közfeladatot ellátó szerv (például államigazgatási szerv, bíróság) kezelésében lévő adatai - így a hatósági nyilvántartásokban szereplő adatok, továbbá azon hatósági eljárás irataiban szereplő adatok, amely eljárásban a jogi személy ügyfél, peres fél volt - közérdekű adatnak minősülnek. Az Avtv. szabályai és az Alkotmánybíróság határozatai alapján az is egyértelmű, hogy a közérdekű adatot igénylő személynek nem kell az adatok felhasználásához kapcsolódó érdekét vagy az adatkezelés célját bizonyítania [32/1992. (V. 29.) AB határozat, 19/1995. (III. 28.) AB határozat].
Az Avtv. szerint a jogi személyeknek ugyanis nincsenek személyes adatai. A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló - a Kormány által 1992 tavaszán beterjesztett eredeti - törvényjavaslat még tartalmazta azt a rendelkezést, mely szerint "a személyes adatok védelmére vonatkozó szabályokat a jogi személyekre és a jogi személyiséggel nem rendelkező szervezetekre is alkalmazni kell, kivéve ha a védelem - jellegénél fogva - csak a természetes személyeket illetheti meg". Ez az előírás azonban gyakorlati okokból (rövid időn belül ugyanis nagy számú törvény módosítását, illetve újak megalkotását igényelte volna) egy módosító indítvány nyomán kikerült az elfogadott törvényből - jelentős koncepcionális változást eredményezve.
"A közérdekű adatok nyilvánossága és megismerhetősége az alkotmányban biztosított, az alaptörvényből közvetlenül is fakadó alapvető jog. A közérdekű információkhoz való szabad hozzáférés lehetővé teszi a választott népképviseleti testületek, a végrehajtó hatalom, a közigazgatás jogszerűségének és hatékonyságának ellenőrzését, serkenti azok demokratikus működését. A közügyek bonyolultsága miatt a közhatalmi döntésalkotásra, az ügyek intézésére gyakorolt állampolgári ellenőrzés és befolyás csak akkor lehet hatékony, ha az illetékes szervek felfedik a szükséges információkat." - mondta ki az Alkotmánybíróság a 32/1992. (V. 29.) AB határozatában (ABH 1992. 183-184). Számos esetben - különösen akkor, amikor az állam szervei korlátozott mennyiségben rendelkezésre álló erőforrások elosztásáról, felhasználásáról döntenek - indokolt a minél szélesebb társadalmi kontroll. Az államigazgatási ügyek túlnyomó többségében azonban erre nincs szükség. Nehezíti továbbá e kérdés megítélését, hogy az eljárási jogok egyik legfontosabbikát, a felek, ügyfelek egyenlőségét sértheti, ha ugyanazon típusú ügyekben más-más szabályok vonatkoznak a természetes, illetve a jogi személyekre.
Az említett kérdéseket megnyugtató módon törvénymódosítással lehetne megoldani. Az Avtv. módosításáról az Igazságügyi Minisztériumban készített tervezet első változata az államigazgatási, bírósági és egyéb eljárásokban keletkezett iratokba való betekintést kivonná az adatvédelmi törvény szabályai alól, az így megismert adatok további felhasználását azonban nem.
Egy állampolgár abban a kérdésben kérte az adatvédelmi biztos állásfoglalását, hogy a Hírközlési Főfelügyelet által kiadott rádióengedélyek (vagy azok valamely része) közérdekű adatnak minősülnek-e, illetve jogszabály tiltja-e ezen adatok kiadását. Álláspontja szerint az említett adatok közérdekű adatok, a frekvencia (mint véges természeti erőforrás) helyes felhasználása felett ugyanis a nyilvánosság jelentheti a szükséges társadalmi kontrollt, hasonlóan a műsorszórási engedélyekhez. A Hírközlési Főfelügyelet álláspontja szerint az említett adatok nem minősülnek közérdekű adatnak, a rádióengedélyek tartalmának, és a róluk vezetett nyilvántartásnak a megismerésére az Áe. alapján - az érdekeltség igazolása után - van mód. Az ügyben a vizsgálatot még nem zártuk le. (479/K/2001)
A foglalkozás-egészségügyi szolgálatról szóló 89/1995. (VII. 14.) Korm. rendelet (a továbbiakban: Korm. rendelet) 2. §-ának (2) bekezdése értelmében a munkáltatók munkavállalóik létszámát és tevékenységét, valamint a foglalkozás-egészségügyi szolgáltatás biztosításának módját kötelesek az Állami Népegészségügyi és Tisztiorvosi Szolgálat illetékes intézetének bejelenteni, amely azokat nyilvántartja és - a Korm. rendelet 4. §-ának (2) bekezdése szerint - "a munkáltató kérelmére tájékoztatást ad a foglalkozás-egészségügyi szolgáltatás igénybevételének helyi lehetőségeiről".
Egy közbeszerzési pályázaton második legjobb ajánlatot tevő azzal a megkereséssel fordult az Állami Népegészségügyi és Tisztiorvosi Szolgálat Győr-Moson-Sopron Megyei Intézetéhez, hogy bocsássák rendelkezésükre a nyertes kórház - Korm. rendelet szerint nyilvántartott - szabad kapacitási adatait, amelyet a közbeszerzéssel kapcsolatos jogorvoslati eljárásban kívánnak felhasználni. A megyei tisztifőorvos az üggyel kapcsolatban az adatvédelmi biztos állásfoglalását kérte, mert álláspontja szerint a Korm. rendelet 4. §-ának (2) bekezdése szerinti tájékoztatási kötelezettség célhozkötött, a szabad kapacitást kereső munkavállalók tájékoztatására szolgál.
Az adatvédelmi biztos válaszában kifejtette: a Korm. rendelet 4. §-ának (2) bekezdésében a "munkáltató kérelmére" kitétel a tipikus adatszolgáltatási esetekre utal, de nem értelmezhető úgy, hogy az említett adatok csak célhozkötötten szolgáltathatók ki. Az Alkotmánybíróság a 19/1995. (III. 28.) AB határozatában világossá tette, hogy az Avtv. nem tartalmaz olyan korlátozó rendelkezést, amely a közérdekű adatok megismerését célhozkötötté teszi. Közérdekű adat megismerése saját jogos érdek érvényesítése, vagy csoportérdek megvalósítása céljából is kezdeményezhető. (473/K/2001)
Albertirsa Község Önkormányzatának jegyzője az adatvédelmi biztos állásfoglalását kérte abban a kérdésben, hogy közérdekű adat-e a település területén működő - környezethasználó - kft. építési, használatbavételi, illetve telepengedélye, valamint a hozzájuk tartozó szakhatósági hozzájárulások. Ebben az ügyben vizsgálni kellett azt is, hogy a közérdekű adatot kérő környezetvédelmi egyesület ügyfélnek minősül-e az említett államigazgatási eljárásokban, továbbá figyelemmel kellett lenni arra is, hogy a kért közérdekű adatok egy része a környezet védelmének általános szabályairól szóló 1995. évi LIII. törvény 12. §-ának hatálya alá eső, környezetre vonatkozó tény, adat, amelyek megismerésére mindenkinek joga van, az állami szervek és az önkormányzatok pedig kötelesek azokat hozzáférhetővé tenni.
Miután a konkrét ügyben a környezetvédelmi egyesület ügyféli jogállását nem lehetett megállapítani, az állampolgári jogok országgyűlési biztosa - az adatvédelmi biztos jogkörében eljárva - arról tájékoztatta a jegyzőt, hogy a kft. építési, használatbavételi, illetve telepengedélyében, valamint a hozzájuk tartozó szakhatósági hozzájárulásokban lévő adatok - a törvényben meghatározott kivételektől eltekintve - közérdekű adatnak minősülnek, és azokat a kérelmező rendelkezésére kell bocsátani. (542/K/2001)
Az adatvédelmi biztos eddigi gyakorlatában visszatérő probléma az Avtv. 19. §-a (5) bekezdésében leírt döntéselőkészítő, illetve belső használatra készült adat fogalmának értelmezése, amelynek tartalmát - törvényi definíció hiányában - esetről esetre lehet pontosítani. Az adatvédelmi biztos eddigi gyakorlatában az Avtv. 19. §-a (5) bekezdésének alkalmazási körét a közfeladatot ellátó szervek - sokszor még kimunkálatlan, egymásnak ellentmondó - szakmai alternatívákat, személyes véleményeket tartalmazó irataira korlátozta. Az államigazgatási ügyek tekintetében értelemszerűen ebbe a körbe tartoznak továbbá a határozattervezetek, testületi hatáskörbe tartozó döntések esetén a tanácskozásról, szavazásról készített jegyzőkönyvek is.
A 2001. évben egy ügyben azt kellett vizsgálni, hogy a hatósági eljárás során felvett egyes, mért adatokat tartalmazó iratok mennyiben tekinthetőek döntéselőkészítő iratoknak, amelyeknek a nyilvánossága korlátozható.
Több sajókeresztúri lakos - az állampolgári jogok országgyűlési biztosától az adatvédelmi biztoshoz áttett - panaszában kifogásolta, hogy az Észak-Magyarországi Környezetvédelmi Felügyelőség nem bocsátotta rendelkezésükre egy zaj- és légszennyező tevékenységet folytató ipari üzemben végzett emisszió-mérések jegyzőkönyvét. A Környezetvédelmi Felügyelőség határozatában az ügyféli minőség hiányára és arra hivatkozott, hogy az "emissziómérés eredményei a hatósági döntéselőkészítéshez tartozó adatoknak minősülnek". A korábbi adatvédelmi biztos az Észak-Magyarországi Környezetvédelmi Felügyelőség vezetőjét a következőkről tájékoztatta: "Az Avtv. helyes, a törvényalkotói akarattal összhangban álló értelmezése szerint nem általában minden belső használatra készült, illetve döntéselőkészítő adat nyilvánossága korlátozható, hanem csak azoké, melyek nyilvánosságra kerülése a közfeladatot ellátó szerv működését, hatásköre illetéktelen külső befolyástól mentes gyakorlását akadályozná. Rendszerint nem kifogásolható, ha valamely közfeladatot ellátó szerv az Avtv. 19. § -ának (5) bekezdésére hivatkozva korlátozza a bizalmas alternatívákat, személyes véleményeket tartalmazó döntéselőkészítő iratainak megismerését, azonban a nyilvánosság korlátozása nyilvánvalóan nem terjeszthető ki a döntéselőkészítő eljárás során felvett, objektív mérési adatokra." A Felügyelőség vezetője nem válaszolt a megkeresésre. Az ügyben a panaszos pert indított az Észak-Magyarországi Környezetvédelmi Felügyelőség ellen, amelyben a másodfokon eljáró Borsod-Abaúj-Zemplén Megyei Bíróság 4.Pf.22149/2001/2. sz. jogerős ítéletével arra kötelezte az alperest, hogy a kért közérdekű adatokat bocsássa a kérelmező rendelkezésére. Az ítélet indokolása szerint: "az állami, önkormányzati szerv saját belső eljárása során keletkezett iratokat kell döntéselőkészítő adatnak tekinteni. Az emisszió mérési jegyzőkönyv, mintegy quasi szakvélemény nem a belső eljárás során keletkezett, így nem döntéselőkészítő adat, hanem a döntés meghozatalához igénybe vett adat." Ezeket a felperes az 1995. évi LXIII. törvény alapján megismerheti.(227/A/2001)
Információszabadság és parlament
Az adatvédelmi biztos az 1999. évről szóló beszámolójában jelezte, hogy az Országgyűlés zárt plenáris és bizottsági üléseinek jegyzőkönyveivel kapcsolatos házszabályi rendelkezések részben hiányosak, részben pedig ellentétesek az Avtv.-vel és az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvénnyel (ld.: Az adatvédelmi biztos beszámolója 1999, 124-125. oldal). A biztossal folytatott többfordulós konzultációt követően az Országgyűlés a 2001. május 29-i ülésén elfogadott 34/2001. (VI. 1.) OGY határozattal módosította és kiegészítette a házszabályt. A korábbi szabályozás úgy szólt, hogy a zárt ülésről készült jegyzőkönyvnek az államtitkot, szolgálati titkot, illetőleg nyilvánosságra nem hozható egyéb adatot tartalmazó részét az elnöknek titkos iratként kellett kezelnie. Azt azonban nem határozta meg a házszabály, hogy milyen egyéb adatok és meddig kezelhetők titkos iratként. A módosítás eredményeként a házszabály ma tartalmazza, hogy a zárt plenáris és bizottsági ülések mely közérdekű adatai és meddig zárhatók el - államtitokként vagy szolgálati titokként - a nyilvánosság elől.
Az elektronikus információszabadság hazai megteremtése terén úttörő lépésnek tekinthető, hogy a módosítás nyomán a házszabály 41. § (1) bekezdésének szövegébe bekerült, hogy "az Országgyűlés nyilvános ülésének jegyzőkönyveit és a nyilvános ülésen tárgyalt irományokat, továbbá az ezzel összefüggő szavazási listát az internet hálózaton is hozzáférhetővé kell tenni."
A házszabály-módosítás 2001. június 9-én lépett hatályba. Egy országgyűlési képviselő indítványa alapján indított vizsgálatunk megállapította, hogy az Országgyűlés Társadalmi szervezetek bizottsága a házszabály új rendelkezéseit figyelmen kívül hagyva rendelt el zárt ülést. A vizsgálat azt is kiderítette, hogy a zárt ülésről készült jegyzőkönyveken - ugyancsak házszabály-ellenesen - semmilyen titokminősítés nem szerepel, végül, hogy az Országgyűlés Hivatalának hatályos szolgálati titokköri jegyzéke nem is tartalmaz olyan titokfajtát, amely alapján a jegyzőkönyvet minősíteni lehetett volna. A vizsgálat megállapításait elfogadva a bizottság elnöke tájékoztatta az Adatvédelmi Biztos Irodáját, hogy elrendelte a jegyzőkönyvek nyilvános iratkénti kezelését. 2001. október 11-én (MK 2001. 111.) pedig az Országgyűlés Hivatala közzétette a módosított szolgálati titokköri jegyzéket. Az állásfoglalás teljes szövege a Mellékletekben olvasható. (550/K/2001)
Visszatérő kérdés, hogy mire terjed ki az országgyűlési képviselők információ-hozzáférési joga. Az országgyűlési képviselők jogállásáról szóló 1990. évi LV. törvénynek (Jatv.) még az Avtv. elfogadása előtt született 8. § (1) bekezdése ugyanis kimondja, hogy "az állami szervek kötelesek az országgyűlési képviselőket megbízatásuk ellátásában támogatni, és részükre a munkájukhoz szükséges felvilágosítást megadni". Ez a jog egyszerre több is és kevesebb is, mint a mindenkit megillető információszabadság. Több, mert a felvilágosítás köréből nem zárja ki a személyes adatokat, ugyanakkor csak az állami szervek számára teszi kötelezővé az adatszolgáltatást. A 2001. évben a sajtótudósítások révén számos olyan ügy kapott nyilvánosságot, amely jelezte, hogy az adatkezelők számára gondot okoz e rendelkezés értelmezése. Megnyugtató megoldás az volna, ha az Országgyűlés összhangba hozná a Jatv. idézett rendelkezését az Avtv. szabályaival.
A Gazdasági Minisztérium Turisztikai Igazgatási Főosztályának vezetője két kérdésben kérte az adatvédelmi biztos állásfoglalását: először, hogy köteles-e a minisztérium egy országgyűlési képviselő kérésére közölni, hogy a turisztika területén kik (mely természetes és jogi személyek) pályáztak sikertelenül költségvetési támogatásra; másodszor, hogy köteles-e egy 100%-ban állami tulajdonban álló cég egy képviselő kérésére kiadni a társaság állománylistáját (beosztással, bérekkel), a cég szerződéses megbízottainak listáját, a külföldi utazásokkal kapcsolatos adatokat. Az ügyet még nem zártuk le. (697/K/2001)
Az országgyűlési bizottságok adatkezelésével kapcsolatban már több korábbi eset kapcsán is felmerült, az alkotmány 21. § (3) bekezdésének értelmezése. E rendelkezés szerint: "az országgyűlési bizottságok által kért adatokat mindenki köteles a rendelkezésükre bocsátani, illetőleg köteles előttük vallomást tenni."
A államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvényben megszabott feladatkörében eljárva az adatvédelmi biztos 2001-ben négy esetben véleményezett szolgálati titokkörök módosítására vonatkozó tervezeteket. Az év folyamán kétszer módosította szolgálati titokköri listáját a Pénzügyminisztérium (48/T/2001 és 281/T/2001). A módosítás tervezetét ezen kívül megküldte a Magyar Nemzeti Bank (222/T/2001), valamint a Szociális és Családügyi Minisztérium. (248/T/2001)
A megküldött jogszabálytervezetek száma az előző év megfelelő adataihoz képest valamelyest csökkent, ami főként annak tudható be, hogy az adatvédelmi biztosi poszt átmeneti betöltetlenségének ideje alatt nem minden minisztérium értesült időben arról, hogy az állampolgári jogok országgyűlési biztosa az adatvédelmi biztos jogkörében eljárva, az új adatvédelmi biztos megválasztásáig ellátja az Avtv. 25. § (1) bekezdésében meghatározott feladatokat.
A 2001. évben véleményezett 123 tervezetből (ez az összes ügy 15%-a) 80 érkezett az első félévben, s csak 43 a másodikban. Jól jelzi a tárcáknak az adatvédelmi biztos jogszabály-véleményező jogkörével kapcsolatos ellentmondásos gyakorlatát, hogy miközben az adatvédelem és az információszabadság szempontjából a legfontosabb kodifikáció az Igazságügyi Minisztériumban, a Belügyminisztériumban és a Pénzügyminisztériumban folyik, 2001-ben e tárcák együttvéve is kevesebb tervezetet (összesen 34-et) küldtek meg véleményezésre, mint a Környezetvédelmi Minisztérium (43). Ebben az évben is számos, adatkezelést érintő jogszabály tervezete kimaradt a véleményezettek köréből. Íme ezek közül néhány fontosabb törvény:
- a jogellenesen kivitt kulturális javak visszaszolgáltatásáról szóló 2001. évi LXXX. törvény tervezete,
- a terrorizmus elleni küzdelemről, a pénzmosás megakadályozásáról szóló rendelkezések szigorításáról, valamint az egyes korlátozó intézkedések elrendeléséről szóló 2001. évi LXXXIII. törvény tervezete,
- a szomszédos államokban élő magyarokról szóló 2001. évi LXII. törvény tervezete,
- az ügyvédekről szóló 1998. évi XI. törvény módosításáról szóló törvény tervezete,
- a külföldi bizonyítványok és oklevelek elismeréséről szóló 2001. évi C. törvény tervezete.
Az adatvédelmi biztos feladatának tartja, hogy az ilyen jogszabályokat utólag megvizsgálja, és szükség szerint javaslatot tegyen az adatkezelést és a közérdekű adatok nyilvánosságát érintő jogszabályok módosítására.
A véleményezett jogszabályok megoszlása a jogforrási szintek szerint:
|
|
2001 |
2000 |
1999 |
|||
|
törvény |
25 |
(20%) |
33 |
(24%) |
33 |
(33%) |
|
kormányrendelet |
43 |
(35%) |
35 |
(26%) |
15 |
(15%) |
|
kormányhatározat |
11 |
(9%) |
12 |
(9%) |
1 |
(1%) |
|
miniszteri rendelet |
34 |
(28%) |
35 |
(26%) |
42 |
(42%) |
|
önkormányzati rendelet |
- |
|
13 |
(10%) |
|
- |
|
egyéb |
10 |
(8%) |
8 |
(5%) |
8 |
(8%) |
A majd tíz éve hatályos Avtv. a jelen viszonyok közt időtálló, és más országok törvényalkotói számára is példamutató törvényműnek mondható, mindazonáltal a személyes adatok védelme és a közérdekű adatok nyilvánossága szempontjából kedvező, hogy az összegyűlt jogalkalmazói tapasztalatok alapján és az EU-csatlakozás követelményeire tekintettel megindult az Avtv. újraszabályozásának előkészítése, melynek során az Igazságügyi Minisztérium az adatvédelmi biztost is felkérte észrevételei és javaslatai megtételére. (579/J/2001, 580/J/2001)
Korántsem ilyen kedvező kép bontakozik ki az államtitokról és a szolgálati titokról szóló 1995. évi LXV. (Ttv.) törvény újraszabályozásáról.
A közérdekű adatok nyilvánosságának legerősebb közjogi korlátja a minősített adatok védelme. Az erre vonatkozó joganyagot tartalmazó Ttv. helyébe lépő törvény előkészítése során a Belügyminisztérium 2001-ben több szabályozási koncepciót, illetve törvénytervezetet küldött véleményezésre, amely például megfelelő indoklás nélkül másfélszeresére kívánta emelni a szolgálati titok lehetséges időtartamát, illetve a jelenlegi titokkategóriák helyett a minősítő szubjektív megítélésének teret adó minősítési rendszert kívánt bevezetni. A kibontakozó szakmai vitában a minisztérium elfogadta az adatvédelmi biztos észrevételét, így fontos részkérdésekben sikerült kölcsönösen elfogadható megoldást találni, ám az adatvédelmi biztos hivatali idejének lejárta miatt a szakmai egyeztetésen a törvénytervezet egészét illetően nem született eredmény. (356/J/2001)
A közérdekű adatok nyilvánossága szempontjából kedvező, hogy az illetékes szakminiszter elfogadta az adatvédelmi biztos észrevételeit a szerzői jogról szóló 1999. évi LXXVI. törvénynek az adattárak jogi védelmével kapcsolatos módosításának előkészítése során.
Az adatvédelmi biztos a törvénytervezettel szemben alapvető követelménynek tartja, hogy a közigazgatási szervek személyes adatot tartalmazó - jogszabállyal rendszeresített - nyilvántartásaira, illetve a közfeladatot ellátó szervek közérdekű adatot tartalmazó nyilvántartásaira a szerzői jogról szóló 1999. évi LXXVI. törvény hatálya ne terjedjen ki, továbbá az adattárak előállítóinak és a felhasználási szerződések jogosultjainak jogai ne korlátozzák a személyes adatok védelméhez, illetve a közérdekű adatok megismeréséhez fűződő jogokat. (561/J/2001)
Az adatvédelmi biztos jogalkotással kapcsolatos feladatkörének értelmezése szempontjából tanulságos az alábbiakat megemlíteni:
Egy jogszabálytervezet véleményezése kapcsán polémia alakult ki az adatvédelmi biztos és a jogszabály előkészítését koordináló szerv között arról, hogy kötelessége-e az adatvédelmi biztosnak, illetve képviselőjének a jogszabálytervezet közigazgatási előkészítése céljából szervezett értekezleten részt venni. Az adatvédelmi biztos távolmaradásával kapcsolatban rámutatott arra, hogy az Avtv. 25. §-ának (1) bekezdésében meghatározott kötelezettsége a jogszabályok véleményezésére és nem a közigazgatási egyeztetésben való részvételre vonatkozik. (35-36-37/J/2001)
Továbbra is számos olyan tervezet érkezik véleményezésre, melyek nem kapcsolódnak az adatkezeléshez és a közérdekű adatok nyilvánosságához. 2001-ben ilyen volt például a védett és a fokozottan védett növény- és állatfajokról, a fokozottan védett barlangok köréről, valamint az Európai Közösségben természetvédelmi szempontból jelentős növény- és állatfajok közzétételéről szóló 13/2001. (V. 9.) KöM rendelet tervezete (75/J/2001), az éti csiga 2001. évi hasznosításáról szóló KöM tájékoztató tervezete (91/J/2001), vagy a Magyar Köztársaság Egészségügyi Minisztériuma és Norvégia Munkaügyi és Kormányzati Igazgatási Minisztériuma között a magyar egészségügyi dolgozók norvégiai foglalkoztatásának elősegítéséről szóló megállapodás tervezete (341/J/2001). Az ilyen tervezetek véleményezésére vonatkozó felkérést az adatvédelmi biztos - mint törvényes feladatkörén kívül esőt - természetesen köteles elhárítani.
Javaslatok jogszabály alkotására vagy módosítására
Az Avtv. 25. §-ának (1) bekezdése nemcsak az adatkezeléssel kapcsolatos jogszabálytervezetek véleményezését utalja az adatvédelmi biztos feladatkörébe, de azt is előírja számára, hogy kísérje figyelemmel a személyes adatok védelmének és a közérdekű adatok nyilvánossága érvényesülésének feltételeit, és szükség szerint tegyen javaslatot az adatkezelést és a közérdekű adatok nyilvánosságát érintő jogszabályok megalkotására, illetve módosítására.
Az adatvédelmi biztos előző évi beszámolójában jelezte, hogy a 2000. évben először csak kísérleti jelleggel bevezetni kívánt, központosított illetményszámfejtési rendszer nem rendelkezett megfelelő törvényes felhatalmazással, ezért a tervezett személyes adatkezelés nem felelt meg az Avtv. követelményeinek. (906/K/2000)
Időközben a Pénzügyminisztérium és az Igazságügyi Minisztérium az adatvédelmi biztos törvényalkotási kezdeményezésének figyelembevételételével közösen elkészítette, az Országgyűlés pedig a pénzügyi tárgyú törvények módosításáról szóló 2001. évi L. törvénybe illesztette azokat a szabályokat, melyek az államháztartásról szóló 1992. évi XXXVIII. törvény megfelelő módosításával jogalapot teremtenek a központi illetményszámfejtésnek. A hivatkozott törvény felsorolja a központi illetményszámfejtés során kezelhető adatfajtákat, meghatározza az adatkezelés célját, határidejét és azt, hogy az illetményszámfejtő szerv kinek és milyen feltételekkel továbbíthat adatokat, továbbá szabályozza az adatfeldolgozó igénybevételét.
A 2001. évben lefolytatott vizsgálatok nyomán az adatvédelmi biztos a következő jogalkotási javaslatokat fogalmazta meg:
Az adatvédelmi biztos állampolgári panasz kivizsgálása során állapította meg, hogy a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről szóló 33/1998. (VI. 24.) NM rendeletben előírt adatfelvétel nem felel meg a személyes adatok célhozkötött kezelése elvének, mert a munkavállaló, illetve más személyek szükségtelenül sok adatának kezeléséről rendelkezik, sőt az adatkezelést előíró szabályozás jogforrási szintje sem megfelelő, és ezek miatt a rendelet ellentétes az Avtv.-vel. A biztos 2001 februárjában a szabályozásért felelős szakminiszternél kezdeményezte a foglalkozás-egészségügyi jogszabályok olyan módosítását, amely eredményeképpen - megfelelő szintű jogforrás - csak olyan adatok szolgáltatását írja elő, amelyek az adott munkakör betöltésére való alkalmasság megítéléséhez szükségesek. (359/A/2001)
Egy bíró konzultációs beadvánnyal fordult az adatvédelmi biztoshoz, melyben a telefonon elkövetett veszélyes fenyegetések miatt folyó szabálysértési eljárások tapasztalatai alapján arra hívta fel a figyelmet, hogy a szabálysértésekről szóló 1999. évi LXIX. törvényben (Sztv.) nincs felhatalmazás arra, hogy az eljáró hatóság a távközlési szolgáltatótól vagy más szervtől kötelező érvénnyel adatot kérhessen a zaklató hívó kilétének megállapításához. Az adatvédelmi biztos a belügyminiszternél kezdeményezte az Sztv. megfelelő módosítását. A belügyminiszter ezzel egyetértve ígéretet tett az Sztv. módosítása céljából előkészített törvénytervezet kiegészítésére. (410/K/2001)
A 2001. évi népszámlálás kapcsán több olyan beadvány érkezett, amely kifogásolta a Köztársasági Őrezred részvételét a népszámlálás lebonyolításában. Az adatvédelmi biztos a panaszok kivizsgálását követően kiadott állásfoglalásában hangsúlyozta, hogy a következő népszámlálás jogalkotási megalapozása során a mostani tapasztalatokat hasznosítani szükséges. A törvénynek garantálnia kell az érintettek információs jogait, ennek keretében indokolt a rendészeti szerveket távol tartani a számlálóbiztosi tevékenységtől. A speciális népszámlálási feladatokat (pl. a laktanyákban, fogdákban, közösségi szállásokon történő összeírást) indokolt törvényben szabályozni. (61/H/2001)
Az adatvédelmi biztos 2001. évi ajánlásaiban jelennek meg azok a jogalkotási javaslatok, melyek az információs önrendelkezési jog szempontjából különösen jelentősek, illetve közérdeklődésre tarthatnak számot. E beszámoló mellékleteiben minden, a tárgyévben kiadott adatvédelmi biztosi ajánlás szerepel, ezért a következőkben vázoljuk az ajánlások jogalkotási javaslatot tartalmazó részeit:
Az adatvédelmi biztos közel hat éves tapasztalatait összegezve állapította meg, hogy a személyes adatok védelméhez való jog, valamint az információszabadság büntetőjogi védelme a szabályozás hiányosságaiból következően nem érvényesül a kívánt mértékben. A büntető törvénykönyv ezen két alapjoggal összefüggő rendelkezései ugyanis egyrészről túlságosan tágan húzzák meg a büntethetőség határát, vagyis olyan cselekményeket is büntetni rendelnek, amelyek elleni fellépés nem igényli a büntetőjog eszközeit, másrészről olyan fogalmakat használnak, amelyek nem pontosan felelnek meg az adatvédelmi jog dogmatikai rendszerének, ezért a két érintett alkotmányos jog valóságos és hatékony büntetőjogi védelme érdekében a Btk. módosításnak előkészítésére kérte fel az igazságügy-minisztert. (272/H/2001)
2001-ben nagy számban érkeztek az Adatvédelmi Biztos Irodájához panaszok és kérdések az internethasználat adatvédelmet és információszabadságot érintő problémáiról, ezért - a korábbi adatvédelmi biztosi állásfoglalásokra is tekintettel - szükségessé vált ajánlás kiadása e tárgyban. Az ajánlás javasolja a jogalkotó, jogszabály-előkészítő számára, hogy
- az Avtv. módosításával hozza összhangba a külföldre történő adattovábbítás szabályozását a 95/46/EK Irányelv rendelkezéseivel,
- az elektronikus információszabadság megteremtése érdekében írja elő, hogy a közérdekű adatok meghatározott körét kötelező közzé- vagy elérhetővé tenni elektronikus formában is,
- a kapcsolódó szektorális törvények módosításával gondoskodjon: a kéretlen üzleti célú üzenetekre vonatkozó szabályozás kialakításáról; a forgalmi adatok kezelésének jogszerűvé tételéről; a hackerek elleni védekezés jogi lehetőségeiről, továbbá
- az internetre vonatkozó szabályozások kialakítása előtt minden esetben folytasson konzultációkat az internet-felhasználók és -szolgáltatók képviselőivel. (406/K/2000)
III. AZ ADATVÉDELMI NYILVÁNTARTÁS
AZ ELUTASÍTOTT KÉRELMEK NYILVÁNTARTÁSA
A. Az adatvédelmi nyilvántartás
Az adatvédelmi nyilvántartás, amelynek megtervezésére, létrehozására és vezetésére az adatvédelmi biztost hatalmazta fel a magyar jogalkotás a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény alapján (Avtv. 24.§ c.), mind eredményesebben járul hozzá a különböző államigazgatási és magáncélú informatikai feldolgozásokban érintett állampolgárok információs önrendelkezési jogának érvényesítéséhez. A nyilvántartás adatbázisa feltöltöttségének növekedésével a polgárok egyre átfogóbb képet kapnak a hazai személyes adatkezelések helyzetéről.
A mindenkori adatvédelmi biztos összes nyilvánossághoz fordulása, erőfeszítéseinek ellenére a nyilvántartás adatbázisa természetesen sohasem lehet teljesen naprakész. Ettől függetlenül az adatvédelmi biztos már napi rendszerességgel tud támaszkodni az adatvédelmi nyilvántartás adatbázisából kinyerhető ismeretekre.
Az előző parlamenti beszámolókban és egyéb (más) nyilvános fórumokon, publikációkban már több alkalommal ismertetésre került az adatvédelmi nyilvántartás filozófiája, megvalósításának főbb elvei. A személyes adatkezelők körében növekedett az adatvédelmi nyilvántartással kapcsolatos tájékozottság. Ehhez az eredményhez járult hozzá az iroda munkatársainak az évek során a nyilvántartásba bejelentkezők segítségére siető, érdeklődésüket különböző konzultációs formákban támogató tevékenysége.
A személyes adatokat kezelők széles körében vált ismertté, hogy az adatvédelmi nyilvántartás olyan adatbázis, amely a magyarországi személyes adatokat tartalmazó adatbázisokat tartja nyilván - vagyis - az informatika nyelvén - metaadatbázis (adatbázisokat leíró adatbázis). Az adatbázisba történő bejelentkezéstől gyakran, még mindig tapasztalható - semmivel nem indokolható - félelem tartja távol az arra kötelezetteket, akik számára az Avtv. 28. § (1) bekezdése írja elő a bejelentkezést.
A nyilvántartásba bejelentkezési kötelezettségtől tartó államigazgatási, állami intézmények és a magánszféra indokolatlan ódzkodásának megszüntetésére ezúton is szeretnénk kifejteni, hogy az adatvédelmi nyilvántartásba történő bejelentkezés nem belső szervezeti előírások és rendszerek, információs útvonalak kipuhatolására vagy üzleti titkok megszellőztetésére irányul. Szeretnénk hangsúlyozni, hogy a bejelentkezéshez szükséges űrlapok kitöltése nem követel nagyobb munkaidő- és energia-ráfordítást. Az útmutatók és segédletek jól kidolgozottak, az Adatvédelmi Biztos Irodájának Nyilvántartási Főosztálya mind telefonos, mind az irodán belüli konzultációs lehetőséget biztosít, ha szükséges a társfőosztályok adatvédelmi szakértőinek bevonásával.
Az adatvédelmi nyilvántartásba való bejelentkezés nem teljesítését a Btk. 177/A. § c) pontja szankcionálja mint jogosulatlan adatkezelést, mely egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntethető.
Az adatvédelmi nyilvántartás már évek óta folyamatos üzemmódban működik. A nyilvántartási rendszer adatbázisának üzemeltetési tapasztalata azt támasztja alá, hogy a rendszer filozófiája és az informatikai vezérelvek előrelátása jól bővíthető, flexibilis informatikai rendszert eredményezett. A beérkező új adatkezelők az új adatkezeléseikkel jól illeszthetők a nyilvántartás adatbázisába, köszönhetően az adatvédelmi nyilvántartási azonosító előrelátóan kialakított szerkezetének, mivel az azonosító öt felső helyiértékű számjegye az adatkezelőt határozza meg, az alsó négy helyiérték pedig a már kijelölt adatkezelőnél folyó konkrét adatkezelést azonosítja.
A nyilvántartásba történt bejelentkezések tapasztalatai
Az 1999-es és a 2000-es évben is felhívással fordult az adatvédelmi biztos az önkormányzatok jegyzőihez. A felhívás eljuttatása a címzettekhez a BM munkatársainak hathatós segítségével történt, hiszen az adatvédelmi biztos személyi és tárgyi eszközei e téren erősen korlátozottak.
Az adatvédelmi biztos azért intézte ezeket a felhívásokat a jegyzőkhöz, mert már az ezt megelőző időszakban egyértelművé vált, hogy azoknak a személyes adatkezeléseknek a bejelentése, amelyek végzését nem jogszabály írja elő az önkormányzatok számára, hanem a helyi feladatok ellátása során keletkeznek, magukra az adatkezelőkre hárulnak. Az önkormányzatok tevékenysége nyomán, a törvény által engedélyezett körben kibocsátott helyi rendeletek végrehajtása kapcsán személyes adatokat tartalmazó nyilvántartások, ügyirathalmazok keletkeznek, amelyek a gépiesített adatfeldolgozások következtében a személyes adatok adatbázisaivá válnak. Ilyen nyilvántartások a helyi adók (iparűzési, kommunális, építmény-, telek-, eb-, idegenforgalmi, gépjármű-, föld bérbeadásából származó jövedelemadó). Ebbe a személyes adatokat tartalmazó adatbáziskörbe tartozik még az adók módjára behajtandó tartozások, a különböző bérletek, a működési engedélyek, közműhitelek, a lakásépítéshez és -vásárláshoz biztosított hitelek, a lakosság különböző csoportjairól vezetett nyilvántartások (sorkötelesek, iskoláskorúak, szociális ellátásban részesülők, közoktatásban résztvevők). Ugyanez jellemzi az összes állattartási nyilvántartást.
A helyi adatkezelések pontos felsorolása a nyilvántartás tartalmi elemzésével foglalkozó részben, az adatkezelések megoszlását mutató ábrák magyarázatánál található meg.
Az adatvédelmi biztos tehát azoknak az adatkezeléseknek a bejelentésére hívott fel, amelyeket nem törvény rendel el, hanem az érintettek hozzájárulásától függ, vagy az önkormányzat törvényi felhatalmazás alapján saját hatáskörben rendeli el.
A 2000. évben eljuttatott felhívás nyomán nagymértékű bejelentkezést regisztráltathatott az adatvédelmi biztos. Így 2001-ben 760 önkormányzat jegyzőjét értesítette az Iroda Nyilvántartási Főosztálya a BM segítségével.
Ezek az értesítések tartalmazták a bejelentett összesen 3230 helyi adatkezelésnek az adott önkormányzatnál alkalmazandó adatkezelési nyilvántartási azonosítóit.
Az önkormányzati adatkezeléseknek az adatkezelőkénti, az adatkezelés típusa szerinti, a megyénkénti megoszlását az adatvédelmi nyilvántartás tartalmi elemzésénél vizsgáljuk.
A gazdasági és üzleti életben tapasztalható visszafogott bejelentkezési hajlandóság abból is adódik - de természetesen ez nem ok a felelősség alóli felmentésre -, hogy a bejelentkezési kötelezettség alóli kivételek magyarázata nem eléggé pontosan meghatározott és egyértelmű. Ezeket a kivételeket az Avtv. 30. §-a tartalmazza és sorolja fel, amelyek alapján a gazdasági élet különböző szereplői nem mindig tudják eldönteni, hogy vonatkozik-e rájuk a bejelentkezés alóli kivételezettség. Az ügyfélkapcsolat fogalma alatti kivételt az Avtv. 30. § a) pontja úgy határozza meg , hogy nem tartozik a bejelentkezési kötelezettség alá az az adatkezelés, amely "az adatkezelővel munkaviszonyban, tagsági, tanuló viszonyban , ügyfélkapcsolatban álló személyek adatait tartalmazza[...]".
A bejelentkezési kötelezettség alól mentességet élvező ügyfélkapcsolat esete csak akkor áll fenn - az adatvédelmi biztos már sok alkalommal megismételt állásfoglalása szerint -, ha az Avtv. indokolásában említett, mentességet megalapozó tényezők fennállnak, vagyis az adatkezelés célja az érintett számára ismert, és az adatfelvétel közvetlenül tőle történik, valamint a személyes adatok kezelése az érintettel fennálló jogviszonyhoz vagy szolgáltatáshoz kapcsolódik. Abban az esetben viszont, amikor az adatkezelők az ügyfelek adatait a közvetlen adatfelvétel után előre meghatározott szempontok alapján rendszerezik, informatikai feldolgozást végeznek velük majd adatbázisba szervezik, akkor - hacsak az így nyert gépi vagy kézi nyilvántartás nem tartozik valamilyen más szempont szerinti kivételezett körbe - az adatkezelés bejelentési kötelezettség alá esik.
A törvényi kivételek között említett esetekben is be kell jelenteni az adatkezelést az adatvédelmi nyilvántartásba, ha az adatkezelő
- nem közvetlenül az érintettől vette fel az adatokat (ez a szabály alkalmazandó akkor is, ha a közvetett adatgyűjtést csak az érintettek egy része esetén alkalmazták);
- az adatokat az érintett részletes tájékoztatása nélkül más személy vagy szerv részére hozzáférhetővé teszi;
- nyilvánosságra hozza;
- egyébként az eredetitől eltérő célra használja fel.
Gyakran keresték meg az állampolgárok a 2001-es év folyamán az adatvédelmi biztost panasszal az adósságbehajtó cégek működését kritizálva, majd utána a Nyilvántartási Főosztályhoz fordultak konzultációért ezen gazdasági társaságok működésének törvényességével kapcsolatosan. A polgárok elsősorban azt sérelmezték, hogy a különféle gazdasági környezetben működő szolgáltató cégek személyes adataikat valós vagy feltételezett gazdasági érdekeik érvényesítése érdekében adósság- és követelésbehajtással foglalkozó cégeknek adták át.
A szolgáltatók szerint a külső, adósságbehajtó cégek tevékenysége adatfeldolgozó tevékenységnek minősíthető, és ezért ezek nem adatkezelők, így részükre a személyes adatok átadása nem minősíthető adattovábbításnak. Vagyis az ő értelmezésükben nem szükséges az ügyfelek hozzájárulását kérni személyes adataik továbbításához, mert szerintük a polgári törvénykönyv alapján a szolgáltató díjkövetelése engedményezhető az ügyfél hozzájárulása nélkül is.
Az Avtv 2. § 7. a) pontja szerint adatkezelő:
"az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza , az adatkezelésekre vonatkozó döntéseket meghozza és végrehajtja, illetőleg a végrehajtással adatfeldolgozót bízhat meg. Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, valamint az adatkezelőt az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg [...]"
Az adósságbehajtó társaságok már csak azért sem tekinthetők adatfeldolgozóknak, mert nem a fenti meghatározásban szereplő végrehajtás technikai feladatait végzik a birtokukba került személyes adatok halmazain, hanem ezeket elemzések tárgyául használják fel, és a szolgáltatást igénybe vevőkkel szerződéses kapcsolatban álló társaságok gazdasági tevékenységébe tartozó döntéselőkészítő, döntéshozó feladatokat végeznek.
Teljesen megváltozik az adatkezelés célja is. Míg a szolgáltató esetében az adatkezelés célja a szerződéses kötelezettségeknek való kétoldalú megfelelés elősegítése, addig az adósságbehajtó cégnél az adatkezelés - és nem adatfeldolgozás - célja egyoldalú: a fizetés kikényszerítése az adós polgárral szemben. Amikor az adósságbehajtó társaság az adós személyes adatait megkapja a szolgáltatást végzőtől - adatkezelővé válik, ahol az adatkezelés célja új, megváltozott.
Ezért a követelés- és adósságbehajtással foglalkozó társaságoknak saját magukat és általuk végzett személyes adatkezelésüket be kell jelenteni az adatvédelmi nyilvántartásba. Az Avtv. 8. § (1) bekezdése értelmében:
"Az adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek." A fenti törvényi bekezdés alapján minden egyes adatuk átadásához az adósok előzetes, önkéntes, határozott és tájékozott beleegyezésére van szükség.
Nagy számú beadvány érkezett az adatvédelmi biztoshoz a parkolási társaságok, illetve megbízottaik parkolási díj- és pótdíjhátralékok behajtása érdekében tett lépéseiket panaszolva. Ezen tevékenységekkel kapcsolatban sok esetben fordultak telefonon a Nyilvántartási Főosztályhoz a díj- és pótdíjhátralék megfizetésének elérésével megbízott társaságok működésének törvényességét megkérdőjelezve. Az érdeklődés homlokterében az állt, hogy a parkolási társaságok, illetve megbízottaik felszólító levelén megtalálható volt az adatvédelmi biztos által adott adatkezelési nyilvántartási azonosító, amelyért az említettek folyamodtak az adatvédelmi nyilvántartásba történt bejelentkezésükkor.
Az Avtv. 28. § (1) bekezdése szerint : "Az adatkezelő köteles e tevékenysége megkezdése előtt az adatvédelmi biztosnak nyilvántartásba vétel végett bejelenteni [...]".
Az Avtv. nem szól arról, hogy az adatvédelmi biztos megtagadhatja-e a nyilvántartásba vételt, az azonosító kiadását. (Más nyugat-európai országokban az adatvédelmi biztos rendelkezik ilyen jogosítványnyal.) A bejelentett adatkezelés jogszerűségének kivizsgálására azonban az adatvédelmi biztos eljárást indíthat. Az Avtv. alapján az adatvédelmi biztos kifejtette, hogy az adatvédelmi nyilvántartásba történt bejelentkezés nem legalizálja az Avtv. előírásait megsértő adatkezelést, az ilyen adatkezelők nem végezhetik törvénysértő adatkezeléseiket.
A hétköznapi életben egyre terjedő és mind szélesedő internet-szolgáltatások is több oldalról vetik fel az adatvédelmi nyilvántartásba bejelentkezés kérdését. A szerverek üzemeltetői, vagyis a web-oldal szolgáltatók, akik gyakran a web-oldal készítői is, vagyis tartalomkészítők és a világháló felhasználói más-más oldalról közelítik meg a személyes adatok védelmének kérdését, egyebek között az adatvédelmi nyilvántartásba történő bejelentkezést is.
Az internet-szolgáltatás számos tevékenységet takar. Ezek közül a legfontosabbak:
- elérést biztosító szolgáltató: amely az internethez díj ellenében hozzáférést biztosít (a KHVM 1996-os jogértelmezése alapján távközlési szolgáltató).
- tartalomelőállító: aki az interneten megjelenő oldalak tartalmát állítja elő.
- tartalomszolgáltató: olyan szerverüzemeltető, amely a tartalom-előállító által elkészített oldalaknak egy kiszolgálón (szerveren) történő tárolásával az oldalaknak az interneten keresztüli elérését biztosítja.
- internet-felhasználó: aki az elérést biztosító szolgáltató segítségével az internetet használja, a tartalomelőállító által készített tartalmakhoz a szerverek segítségével hozzáfér. Sokszor az elérést biztosító szervezet és a szerver üzemeltetője azonos.
Ha az internet-felhasználóhoz kapcsolódó adatok (IP-cím, a felhasználó neve stb.) természetes személlyel kapcsolatba hozhatóak, akkor személyes adatnak minősülnek (Avtv 2. §.(1) pontja). Ezen adatoknak a szerveren történő tárolását adatkezelésnek kell tekinteni, és az adatkezelő ebben az esetben a szerver üzemeltetője.
A tartalomszolgáltató és a tartalomelőállító között szerződéses kapcsolat áll fenn, ami a tradicionális szolgáltatások ügyfélkapcsolataihoz hasonlítható új típusú de valódi ügyfélkapcsolat. Így ez az adatkezelés az Avtv. 30.§ a) pontja értelmében kivételnek számít, és így mentesül a bejelentkezési kötelezettség alól.
A tartalom készítője általában nem adatkezelő, hiszen internetes oldalain csak olvasható információkat tesz közzé, és nem rögzít személyes adatokat az érdeklődőkről. A tartalomelőállító akkor válik adatkezelővé, amikor az internet-felhasználó regisztrálja magát web-oldalain, például egy levelezési listára való feliratkozással. Mivel a feliratkozás teljesen önkéntes, ezért ilyenkor az Avtv 3. § (1) bekezdés a) pontjában foglaltak alapján az érintett hozzájárulását megadottnak kell tekinteni, így az adatkezelés jogszerű. Az előbbiekben vázolt személyes adatok rögzítési folyamatában azonban a tartalomelőállító olyan adatkezelővé válik az érdeklődőkről kitöltött és tárolt listáival, amelyre vonatkozik a bejelentési kötelezettség.
Ha a hálózati elérést biztosító szolgáltató vagy a szerver-üzemeltető, tartalomszolgáltató az ügyfélkapcsolat létesítéséhez és fenntartásához elengedhetetlenül szükséges személyes adatok körét túllépő adatokat tárol, vagy a felhasználó egyes adatai automatikusan, nem a felhasználó által megadottan is rögzülhetnek, úgy az adatkezelést az elérést biztosító szolgáltatónak be kell jelentenie.
A tartalom készítője és szolgáltatója nem gyűjthet olyan személyes adatokat, amelyekhez a hozzájutás nem a felhasználó hozzájárulásán alapul.
Az egyházak javára juttatott adományokkal kapcsolatos bejelentkezési kötelezettségeket az adatvédelmi biztos az alábbiak szerint értelmezte. Az egyházak hitéleti és közcélú tevékenységeinek anyagi feltételeiről szóló 1997. évi CXXIV. törvény alapján a társasági adóról és az osztalékadóról szóló 1996. évi LXXXI. törvény szerinti adomány, valamint a személyi jövedelemadóról szóló törvény szerinti közcélú adomány utáni kedvezmény igénybevételére jogosító igazolás kiállítására az egyház, valamint a lelkiismereti és vallásszabadságról és az egyházakról szóló 1990. évi IV. törvény megfelelő bekezdéseiben szereplő egyéb egyházi jogi személy a felhatalmazott.
Az adományokról kiállítandó igazolás adatkezelése nem tartozik az adatvédelmi nyilvántartásba történő bejelentkezés alóli felmentettség esetei közé, mivel ezt a törvény nem kötelező érvénnyel rendeli el, hanem az adományozó érdekeit szem előtt tartva csak feljogosítja az egyházat igazolások kiadására, vagyis az adatkezelés adattovábbítási műveletére.
A 2001 végéig beérkezett űrlapok kitöltöttsége alapján is megállapítható, hogy a magyarországi személyes adatkezelések már nagymértékben automatizáltak. A személyes adatokat alapvetően számítógépes adatbázisokban tárolják és dolgozzák fel. Az Európában megszokottal lassanként összehasonlítható ez az automatizáltsági szint.
Az adatvédelmi nyilvántartás tartalmi elemzése
Ha megvizsgáljuk a minisztériumok és főhatóságok adatkezeléseinek megoszlását, azt tapasztaljuk, hogy a Belügyminisztérium hatáskörébe tartozó adatkezelések a minisztériumi adatkezelések 35 %-át teszik ki.
Minisztériumok és főhatóságok adatkezeléseinek
megoszlása (%)
Minisztériumok és főhatóságok adatkezeléseinek
megoszlása a BM nélkül (%)
|
Rövidítés |
Teljes megnevezés |
|
KM |
Külügyminisztérium |
|
GM |
Gazdasági Minisztérium |
|
MKIH |
A Magyar Köztársaság Információs Hivatala |
|
NbH |
Nemzetbiztonsági Hivatal |
|
EüM |
Egészségügyi Minisztérium |
|
IM |
IgazságügyiMinisztérium |
|
SzCsM |
Szociális és Családügyi Minisztérium |
|
PM |
Pénzügyminisztérium |
|
MeH |
Miniszterelnöki Hivatal |
|
FVM |
Földművelésügyi és Vidékfejlesztési Minisztérium |
|
OITH |
Országos Igazságszolgáltatási Tanács Hivatala |
|
KELHI |
Közszolgálati Ellenőrzési Hivatal |
A BM adatkezeléseit százalékosan bemutató ábra vizsgálatából kitűnik, hogy a Határőrség és a Központi Adatfeldolgozó, Nyilvántartó és Választási Hivatal adatkezelései együttesen a minisztérium adatkezeléseinek 65 %-át jelentik.
A Belügyminisztérium adatkezelései
(%)
|
Rövidítés |
Teljes megnevezés |
|
BM |
Belügyminisztérium |
|
AH |
Belügyminisztérium Adatfeldolgozó Hivatala |
|
MMH |
Belügyminisztérium Menekültügyi és Migrációs Hivatala |
|
HÖROP |
Határőrség Országos Parancsnoksága |
|
ORFK |
Országos Rendőr-Főkapitányság |
|
PVOP |
BM Polgári Védelmi Országos Parancsnokság |
|
BÁH |
Belügyminisztérium Bevándorlási és Állampolgársági Hivatal |
A Belügyminisztériumi adatkezeléseket kiemelve az összes minisztériumi és főhatósági adatok közül megállapítható, hogy a Szociális és Családügyi Minisztérium jelentette be a legtöbb adatkezelést, az összes 26 %-át. Ezt követi a Pénzügyminisztérium 19 %-kal.
A Honvédelmi Minisztérium továbbra sem jelentette be adatkezeléseit, holott az adatvédelmi biztos a fegyveres testületeknél szolgálatot teljesítők munkaviszonyát nem olyan átlagos munkaadó-munkavállaló viszonynak tekinti, amelyre alkalmazható az Avtv. 30. §-a, amely a bejelentési kötelezettség alóli felmentés eseteit határozza meg. A korábbi konzultációk során már kirajzolódtak a honvédségi személyes adatokat tartalmazó nyilvántartási rendszerek bejelentési metódusai. Az Ifjúsági és Sportminisztérium sem küldte meg bejelentkezését annak ellenére, hogy korábban már történtek egyeztetések a minisztérium és az iroda szakértői között.
A munkaerő-közvetítő magántársaságok továbbra sem pótolják a bejelentkezés terén, az Avtv. által rájuk rótt kötelezettség teljesítésénél tapasztalható elmaradásukat.
Általában a magánszféra vállalkozásainak bejelentkezéséről elmondható, hogy a törvényi előírások betartását nem kezelik a megfelelő szinten. Elfeledkeznek arról, hogy a bejelentkezés elmulasztása büntetőjogi felelősségre vonásra adhat jogalapot.
Komoly áttörést a közvetlen üzletszerzéssel foglalkozó cégeknél értünk el a szakmai fórumokon folytatott folyamatos tájékoztató és konzultációs tevékenységükkel. Ezen társaságok - melyek számára a kutatás és közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény írja elő a bejelentkezést - regisztrációjában jelentős javulás tapasztalható. Míg 1999. január 1-ig 33 cég összesen 65 adatkezelését jelentette be, 2001. december 31-ig összesen 185 cég 533 közvetlen üzletszerzést célzó személyes adatkezelésről küldte be az űrlapokat. A direkt marketing cégek bejelentkezésének időbeli megoszlását külön ábra szemlélteti.
Az adatkezelő direkt marketing cégek bejelentkezésének megoszlása
2001. XII. 31-én (%)
A direkt marketing cégek bejelentett adatkezeléseinek megoszlása
2001. XII. 31-én (%)
A nagy számú energetikai, infrastrukturális szolgáltatást nyújtó multinacionális cégek és más nagyvállalatok körében sem megfelelő a bejelentkezési készség. Ez azért is negatív jelenség, mert ezek a cégek alkalmazzák a legfejlettebb informatikai rendszereket a lakossági tartozások figyelésére, és ők adják a megbízások többségét az adósság- és követelésbehajtással foglalkozó társaságok számára.
A törvény által kötelezően előírt biztosítások megkötését és vezetését végző biztosító társaságok bejelentkezési hajlandósága is további kívánnivalókat hagy maga után.
A Magyarországon megtelepedett multinacionális cégeket jellemzi, hogy munkaügyi politikájuk alapját az alkalmazott szakértői réteg tudásának optimális kiaknázása jelenti, ezért a szakembereikről pontos alkalmazotti nyilvántartást vezetnek, az adatokat anonimizált statisztikai adatként vagy névvel rendelkező adatként - ha magyarországi leányvállalatok, akkor a külföldi anyacéghez - egyes esetekben munkaerő-gazdálkodási központhoz továbbítják. Az Avtv. 9. §-a az erre irányuló tevékenységeket úgy szabályozza, hogy "Személyes adat az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - külföldi adatkezelő részére csak akkor továbbítható, ha az érintett ahhoz hozzájárult, vagy törvény azt lehetővé teszi [...]". - Ezek az adatkezelések bejelentésre kötelezettek. Nem mentesül ugyanis a bejelentkezés alól az adatkezelés, ha célja eltér a jogszabályokban minden munkáltató számára előírt adatkezelési céloktól. A törvény indokolása ugyanis ezt tartalmazza: "[...] e kivételekben meghatározott adatkezeléseket is be kell jelenteni, ha céljuk vagy tartalmuk több vagy más - például a továbbítást, a nyilvánosságra hozást vagy egyéb hasznosítást illetően [...]".
Az önálló bérszámfejtő vállalkozások között is igen alacsony a bejelentkezettek aránya, holott az adatvédelmi biztos értelmezése szerint a munkáltatóval aláírt megbízási szerződés alapján adatfeldolgozási tevékenységet folytató bérszámfejtő cég az alkalmazott munkaviszonyára irányuló jogviszony keretein kívül végzi tevékenységét, és ezért ebben az esetben fennáll a bejelentkezési kötelezettség.
A különböző ágazatokhoz kötődő kamarák bejelentkezéséről elmondható, hogy a 2000-es évhez képest nem történt előrelépés. A bejelentési kötelezettségnek a kereskedelmi és ipari, a mérnöki, az agrár-, a kézműves, a vadász-, az építész kamara megyei szervezetei, az országos kamarák közül pedig a vadász- és a mérnöki tett eleget.
Már a bevezetőben felhívtuk a figyelmet az önkormányzatok helyi adatkezeléseinek nagyszámú bejelentésére. Az 1999. december 31-től 2001. december 31-ig tartó időtartam bejelentkezési mutatóit külön ábrán szemléltetjük. Látható, hogy a 2000-es és a 2001-es évek folyamán a bejelentett helyi adatkezelések száma több mint ötszörösére nőtt.
A helyi adatkezeléseket bejelentő önkormányzatok megyénkénti megoszlása
2001. XII. 31-én (%)
Az önkormányzatok által bejelentett helyi adatkezelések
A helyi adatkezeléseket bejelentő önkormányzatok megyénkénti megoszlását bemutató ábrából kitűnik, hogy Borsod-Abaúj-Zemplén megyében található a legtöbb önkormányzat, amely teljesítette bejelentkezési kötelezettségét.
Az önkormányzatok helyi adatkezeléseinek megyénkénti megoszlását ábrázoló grafikonból megállapítható, hogy Borsod-Abaúj-Zemplén és Somogy megye önkormányzatai jelentették be a legtöbb helyi adatkezelést.
Az önkormányzatok helyi adatkezeléseinek megoszlása megyénként
2001. XII. 31-én (%)
A megyék elnevezéseinek rövidítése
|
BÁK |
Bács-Kiskun |
JNS |
Jász-Nagykun-Szolnok |
|
BAR |
Baranya |
KOE |
Komárom-Esztergom |
|
BAZ |
Borsod-Abaúj-Zemplén |
NÓG |
Nógrád |
|
BÉK |
Békés |
PES |
Pest |
|
BUD |
Budapest |
SOM |
Somogy |
|
CSO |
Csongrád |
SSB |
Szabolcs-Szatmár-Bereg |
|
FEJ |
Fejér |
TOL |
Tolna |
|
GMS |
Győr-Moson-Sopron |
VAS |
Vas |
|
HAB |
Hajdú-Bihar |
VES |
Veszprém |
|
HEV |
Heves |
ZAL |
Zala |
A bejelentett helyi adatkezelések típusonkénti megoszlását illusztráló ábrából megállapítható, hogy az iparűzési adó nyilvántartása a legáltalánosabb hazánkban.
A bejelentett helyi adatkezelések fajtái
|
1. |
iparűzési adó |
18. |
lakásbérlők |
|
2. |
magánszemélyek kommunális adója |
19. |
üzletek, működési engedélyek |
|
3. |
vállalkozók kommunális adója |
20. |
közoktatás |
|
4. |
építményadó |
21. |
gyermekvédelem |
|
5. |
telekadó |
22. |
szociális igazgatás |
|
6. |
idegenforgalmi adó |
23. |
sorkötelesek |
|
7. |
gépjárműadó |
24. |
vízközműfejlesztés |
|
8. |
jövedelemadó föld bérbeadásából |
25. |
szemétszállítási díj |
|
9. |
ebadó |
26. |
veszélyes állatok |
|
10. |
behajtandó köztartozások |
27. |
sírbolt könyv |
|
11. |
földbérlet |
28. |
kitüntetések, díjak |
|
12. |
lakásépítési kölcsönök nyilvántartása |
29. |
gázközmű-beruházás |
|
13. |
első lakáshoz jutók támogatása |
30. |
támogatások alapítványból |
|
14. |
marhalevél nyilvántartása |
31. |
egyéni vállalkozói igazolványok |
|
15. |
méhek vándoroltatása |
32. |
telepengedély |
|
16. |
belvízkár |
33. |
vízszolgáltatást igénybe vevők |
|
17. |
mezőőri járulék |
|
|
A 2001. év végén az adatvédelmi nyilvántartási rendszert az alábbi főbb bejelentkezői kategóriákkal lehet jellemezni:
Minisztériumi, államigazgatási, állami intézmények
|
mint adatkezelők: |
326 |
|
adatkezeléseik: |
1098 |
|
A magánszektorba tartozó adatkezelők: |
224 |
|
adatkezeléseik: |
570 |
|
Önkormányzatok mint adatkezelők: |
3153 |
|
törvény által elrendelt és helyi adatkezeléseik: |
29578 |
Az adatvédelmi nyilvántartás informatikai rendszerének fejlesztése
A 2000. év folyamán rendszerterv készült az adatvédelmi nyilvántartás adatbázisának interneten keresztüli szolgáltatására. A 2001-es évben a web szerver COMPAQ Proliant 3000 típusú számítógépen a Windows NT operációs rendszerének internetes kapcsolódását biztosító hálózati komponensek generálása és behangolása folyt. Az Alpha számítógéphez, amely az adatvédelmi nyilvántartás rendszerét szolgáltatja, ezen a web szerveren keresztül tudnak a hálózat felhasználói hozzéférni. A hozzáférést biztosító BASIS WEBserver Gateway komponensei installálásra kerültek, majd a behangolásuk is sikeresen befejeződött mind az Alpha szerveren, mind a web szerver gépen.
A felhasználók számára a HTML-es kereső felületeket beprogramozták, és a szükséges alkalmazói programokat elkészítették a Nyilvántartási Főosztály informatikai szakértői. Június hónapban az épületen belül az adatvédelmi nyilvántartás már intranetes módon, TCP/IP átvitelen keresztül lekérdezhető volt. A lekérdezési HTML képernyőfelületeket is bemutatjuk a következő oldalakon.
Az Adatvédelmi Biztos Irodájának az adatvédelmi nyilvántartást szolgáltató web szervere azonban az Országgyűlési Biztos Hivatala web szerverén keresztül csatlakozott a világhálóhoz. A Hivatal számítástechnikai munkatársai ragaszkodtak ahhoz, hogy az iroda web szervere csak a hivatali fire-wall rendszer különlegesen védett IP-címén keresztül legyen elérhető. A tűzfalat szállító cég szakemberei azonban nem tudták a különlegesen védett cím hozzáférhetőségét biztosítani annak ellenére, hogy a Hivatal számítástechnikai munkatársai hivatalos levélben fordultak hozzájuk.
A tűzfal hibája miatt jelenleg sem szolgáltatható az adatvédelmi nyilvántartás adatbázisa. Remélhetőleg a fire-wall rendszer hibája rövid időn belül orvosolható.
Az Adatvédelmi Biztos Irodája informatikai működése és szolgáltatásai a Hivatal épületének informatikai hálózatán alapul. Az adatátviteli hálózat hardver és szoftver eszközállománya meghatározza az iroda kommunikációs lehetőségeit is. Az adatátvitelt szolgáló hálózati szoftverek és hardverek rendkívül elavultak. A technikai, erkölcsi elavulás - még az átlagos magyar tudományos-műszaki színvonalat tekintve is - vonatkozik az érdemi vizsgálati tevékenységet szolgáló személyi számítógépek operációs rendszereire és irodai alkalmazási programcsomagjaira is. Mielőbbi nagymértékű szoftver és hardver beruházások szükségesek a lemaradás kiküszöbölésére.
Az adatvédelmi biztos honlapja http://www.obh.hu címen található meg.
B. Az elutasított kérelmek nyilvántartása
Általános rész
Ebben az évben is felhívtuk az adatkezelők figyelmét a jelentendő adatok körére és a jelentés céljára. Az adatkezelők által megküldött adathalmaz egy része ugyanakkor vélelemezhetően a hibás értelmezés miatt nem használható.
2001-ben is június 30-án volt az adatszolgáltatás határideje. A jelentésüket elküldők döntő többsége határidőn belül teljesítette törvényes kötelezettségét.
Részletes adatok
Magyarországon 2913 község van. Ebből 927 körjegyzőséghez tartozó nem székhely település. Ennek értelmében 1986 községi jegyzőnek és körjegyzőnek kellett volna az adatszolgáltatásról szóló jelentést elküldenie. Ezzel szemben - hivatalunk csak 112 jelentést kapott.
Ezek közül 75 arról tesz jelentést, hogy hozzá személyes adat iránti kérelem 2000-ben nem érkezett. Harminc tájékoztatott arról, hogy ilyen kérelmet intéztek hivatalához, összesen 773 esetben. Elutasított kérelem 7 esetben volt.
Közérdekű adat iránti kérelem 2000-ben 75 községből érkezett, öszszesen 314 esetben. Közérdekű adat iránti kérelmet egy községben sem utasítottak el.
Összes település és a jelentést küldők aránya
|
|
1998 |
1999 |
2000 |
|
Községek száma |
2022 |
2022 |
1986 |
|
Jelentést küldött |
683 |
546 |
112 |
|
Aránya |
34% |
27% |
6% |
Városok, Budapest kerületeivel együtt
Magyarország 237 városa közül, beleértve Budapest kerületeit is, 29 küldött jelentést 2000. évi adatszolgáltatásáról. Ezek közül 9 arról értesíti a biztost, hogy hozzá a tárgyévben személyes adat iránti kérelmet nem intéztek. Húsz jelentés tájékoztat arról, hogy hivatalához személyes adat iránti kérelmet intéztek, összesen 7 714 esetben. Elutasítás nem történt.
Közérdekű adat szolgáltatására 6 város 29 megkeresést kapott. Elutasítás nem történt. Kilenc város közölte, hogy nem érkezett hozzá közérdekű adat iráni kérelem.
Összes város és a jelentést küldők aránya
|
|
1998 |
1999 |
2000 |
|
Városok száma |
218 |
222 |
237 |
|
Jelentést küldött |
99 |
111 |
29 |
|
Aránya |
45% |
50% |
12% |
Magyarország 22 megyei jogú városa közül 8 küldött értesítést az adatvédelmi biztosnak 2000. évi adatszolgáltatásáról. Ezek a következőek: Sopron, Békéscsaba, Kecskemét, Nyíregyháza, Eger, Győr, Szombathely, és Szeged.
A beküldők közül négy tájékoztatja a biztost arról, hogy hozzá a tárgyévben személyes adat iránti kérelmet nem intéztek. Öt megyei jogú városban intéztek személyes adat iránti kérelmet a hivatalhoz, összesen 7759 esetben.
Személyes adat iránti elutasított kérelemről egy megyei jogú város sem tesz jelentést. Közérdekű adat iránti kérelemmel kapcsolatban két jelentés szól arról, hogy a hivatalhoz közérdekű adat iránti kérelmet intéztek, összesen 88 esetben. Elutasított közérdekű adat iránti kérelemről a tárgyévben megyei jogú városból nem érkezett jelentés.
Összes megyei jogú város és a jelentést küldők aránya
|
|
1998 |
1999 |
2000 |
|
Megyei jogú városok száma |
22 |
22 |
22 |
|
Jelentést küldött |
15 |
19 |
8 |
|
Aránya |
68% |
86% |
36% |
Megyék, beleértve Budapestet is
Az elmúlt évben - hasonlóan az 1999-es helyzethez - ebből a körből egyetlen adatszolgáltatás sem érkezett.
Megyék (Budapesttel együtt) és a jelentést küldők aránya
|
|
1998 |
1999 |
2000 |
|
Megyék száma |
20 |
20 |
20 |
|
Jelentést küldött |
0 |
0 |
0 |
|
Aránya |
0% |
0% |
0% |
Központi államhatalmi és közigazgatási szervek
A törvény értelmezésében mutatkozó különbségek ezt az adatkezelői kört sem kerülik el. A jelentések egy része itt is olyan adatokat tartalmaz, melyekről nem kellett volna számot adni, ugyanakkor a nemleges jelentések esetén fölmerül a kérdés, vajon helyesen értelmezte-e az adatkezelő a törvényt. Öt adatkezelő jelentett személyes adatkérést, összesen 1188 esetben, ebből 37 került elutasításra.
Minisztériumok és tárca nélküli miniszterek
Öt minisztérium jelentett adatokat. Két minisztérium kezelt személyes adat iránti kérelmet, összesen 18 327-et. Ebből 286 került elutasításra. Két minisztérium jelentett közérdekű megkeresést 3387 esetben, kérelmet nem utasítottak el. Egy jelezte azt, hogy nem érkezett hozzá kérelem.
Az országos hatáskörű szervek közül öt küldött jelentést. A jelentést küldőkhöz összesen 1188 személyes adat iránti kérelem érkezett. Közülük kettő tett jelentést elutasításról, összesen 37 esetben. Az elutasítás oka főként a kérelmező jogalapjának hiánya volt, illetve az adathiány. (Megjegyzendő azonban az is, hogy a bejelentett elutasítások jelentős része olyan adatközlés megtagadásáról ad számot, melyet egyáltalán nem kellett volna a korábban már többször vázolt okokból bejelenteni). Közérdekű adat iránti kérelem nem érkezett.
Az igazságszolgáltatás körébe tartozó adatkezelőktől sajnálatosan a szokásos csekély számúnál is kevesebb jelentés érkezett 2001-ben. Az összesen beérkezett két jelentésből egy számolt be személyes adat iránti kérelemről: összesen 2371 kérelmet regisztráltak, ebből 132-t elutasítottak.
A megyei bíróságok közül a Tolna Megyei Bíróság küldött jelentést. A jelentés kiterjed a megye összes bíróságára. A bíróságokra érkezett kérelmek közül egyet sem kellett elutasítani.
Középszintű közigazgatási szervek
Huszonnyolc szervtől érkezett jelentés. Összesen 7210 személyes adat iránti kérelemről számoltak be, elutasított kérelem nem volt. Tizenegy szerv jelentett közérdekű adat iránti kérelmet, összesen 707-et, elutasított kérelem nem volt.
Felsőoktatási és tudományos intézmények
A felsőoktatási intézmények közül három küldött jelentést, mely szerint személyes adat iránti kérelem két intézményhez érkezett összesen 40 esetben, elutasítás nem volt. Közérdekű adat iránti kérelem egy intézményhez összesen hét érkezett, melyből egyet sem kellett elutasítani.
Kutatást és közvetlen üzletszerzést (is) folytató cégek
Annak ellenére, hogy számos vállalkozás működik Magyarországon, mely ebbe a körbe tartozik, mindössze két gazdasági társaság küldött jelentést adatszolgáltatásáról. Ezek szerint személyes adat iránti kérelmet egyik sem kapott, így nem is utasított el.