A neten nincs jogunk a felejtéshez

- Mi a legrosszabb, ami történhet velünk az interneten - adatvédelmi szempontból?

A nemrég nagy botrányt kavart exbarátnős oldal, amelyen pornográf képeket töltöttek fel hölgyekről engedély nélkül, jó példa erre: ez szerintem már közel van a legrosszabbhoz. Az ilyen, és ehhez hasonló tevékenység a magyar szabályozás szerint teljes egészében jogszerűtlen, mégsem lehetett hónapokon át megszüntetni, vagy legalábbis úgy tűnik, hogy nehezen. A látszat szerint bárkiről, akár kiskorúakról is ki lehet tenni pornográf képeket úgy az internetre, hogy a rendőrség hónapokon keresztül nem azonosítja és vonja felelősségre az elkövetőket. Ez vezethet oda, hogy az már komoly eredménynek tekinthető, ha felhívjuk a fájlmegosztó portálokat üzemeltető amerikai szolgáltatók figyelmét a jogsértésre, és azok eltávolítják a személyiségi jogokat sértő tartalmakat. Erre a jogorvoslatra létezik egy külön eljárás a magyar törvényben is, de általában nem ismert, hogy ha jogsértő tartalmat lát valaki az interneten, akkor annak eltávolítását kérheti a tárhelyszolgáltatóktól már a jogvita rendezése előtt.

Az emberek fejében a világháló még mindig egy olyan "jogmentes tér", amilyen a kilencvenes években volt. Pedig egyes eszközök azért rendelkezésre állnak, tehát szakszerű rendőrségi munkával és egy hatékony bűnügyi jogsegéllyel például az exbarátnős oldal készítőit is felelősségre lehetne vonni. Ha ez végre sikerülne, konszolidáltabbá válna a helyzet, mert így megtörténhet az, hogy az ilyen, felháborító esetekre hivatkozva egyre többekben merül fel majd az internet további szabályozásának szándéka, és az sem biztos, hogy jó irány. Arra lenne szükség, hogy a jelenlegi előírásokat hatékonyan érvényesítsék, mert ha ez nem történik meg, akkor tényleg csak arra következtethet az ember, hogy nem jók a jelenlegi jogszabályok.

Súlyos eset lehet az is, ha banktitkok, vagy állami nyilvántartásból olyan adatok kerülnek ki, amelyek segítségével megszemélyesíthetünk mást, identitáslopás történik. Ilyen ügyek Magyarországon még nem voltak, jelenleg a negatív csúcsnak az exbarátnős, a közösségi oldalakról másolt képeket pedofil kontextusban közlő és hasonló műfajú oldalak számítanak ide, az identitáslopásos esetek nem gyakoriak.

- Az sem lenne működőképes, ha az internetszolgáltatók vállalnák, hogy önszabályozó módon letiltják az exbarátnőshöz hasonló, bűncselekményeket megvalósító szájtokhoz való hozzáférést?

Én a jogi szabályozás híve vagyok minden esetben, mert az kontrollok alatt, átláthatóan működő szabályrendszer. Egy önszabályozó megoldás keretében működő letiltásnak lehetnek veszélyei: ha az én szolgáltatóm döntené el helyettem, hogy mit nézhetek meg az ő saját megítélése szerint, azt nem tartanám jónak. Ha egy ilyen szűrési eljárás alapját egy jogi keretrendszer képezné, akkor már el lehet gondolkodni a bevezetésén, de szerintem erre csak akkor van szükség, ha a jelenlegi szabályozás valóban nem bizonyul megfelelőnek.

- Egyre több adatunk vándorol külföldi cégek szervereire. A magyar adatvédelmi biztos miként tud fellépni például egy amerikai céggel szemben?

Az a probléma, hogy az európai adatvédelmi szabályozás gyökeresen eltérő az Egyesült Államokétól. Kontinensünkön az embereknek minden személyes adatuk felett rendelkezési joguk van, tehát ha ezek egy harmadik félhez kerülnek, befolyásolhatják azok felhasználását, míg Amerikában a cégek tulajdonjogot szerezhetnek a felhasználói adatokra. Ma már a világ más pontjain, például a Távol-Keleten is követik az európai gyakorlatot, az egyetlen jelentős kivétel az USA, ami azt eredményezi, hogy az Egyesült Államok és az Európai Unió folyamatos vitát folytat a témában.

Ugyanakkor a szoftverek és az informatikai eszközök jelentős részét az USA-ban fejlesztik, ezért az amerikaiak hozzáállása erőteljesen formálja az egész világ viszonyát az adatvédelemhez. Lényegében az szabályoz, aki a szoftvert írja: nem sokat számít, hogy egy európai jogalkotó mit gondol az egyes adatvédelmi kérdésekről, a szoftvereket az amerikai igényeknek megfelelően készítik el, egy webes szolgáltatás esetében pedig például egy tengerentúli központból szolgálják ki az egész világot.

Magyar adatvédelmi biztosként amerikai cégekkel szemben nagyon keveset tehetek: azon kívűl, hogy igyekszem a netpolgárokat felvilágosítani a helyzetről. Kicsit javít a képen, hogy az Európai Unión belül van egy olyan testület, amely összefogja a tagállamok adatvédelmi biztosait, ez a szervezet pedig már egy globális vitában is képviseltetni tudja magát. Bár jogilag egy amerikai telephellyel működő vállalkozásra kötelező erejű határozatot ez a fórum sem tud hozni, Európa egésze mégis akkora piacot jelent, hogy még egy amerikai cég számára sem mindegy, hogy a szabályozók ott hogyan döntenek. PR-szempontból sem éri meg egy vállalatnak, ha azt terjesztik róla, hogy jogellenesen működik.

Ez a munkacsoport folyamatosan tárgyalásokat folytat a Facebookkal, a Google-lel és hasonló cégekkel, jelenleg pedig közreműködik az uniós adatvédelmi irányelv felülvizsgálatában. Erre azért van szükség, mert még az EU-n belül is jelentősen eltérnek a vonatkozó jogszabályok: a legtöbb európai adatvédelmi biztos például bírságolhat, a magyar nem, itthon inkább az ombudsman szerepét tölti be. Németországban, Nagy-Britanniában vagy éppen Görögországban például nagyon komoly bírságokat kell fizetniük az adatvédelmi szabályokat megsértő cégeknek.

- Veszélyes, ha amerikai szolgáltatásokat használunk a neten?

Én személy szerint igyekszem elkerülni azt, hogy amerikai szolgáltatásokat használjak a neten: német webmailt, magyar internetszolgáltatót választottam egész egyszerűen azért, mert tudom, hogy ezek a cégek az európai adatvédelmi jog hatálya alá esnek. Problémás esetben így hatékonyabban tudom a jogaimat érvényesíteni, mint egy amerikai társasággal szemben.

Az amerikai szabályoknak megfelel például az, hogy a Facebook tulajdonjogot szerez a felhasználói által feltöltött adatokra. Ez már akár egy magánszemély profilja, levelezése esetében is komoly kockázatot jelent, de még súlyosabbat, ha gazdasági tevékenységet - például céges rajongói oldalt - épít rá valaki. Természetesen egy átlagos felhasználó nincs abban a helyzetben, hogy a Facebookkal vagy a Google-lal vitatkozzon, a problémára az államoknak kell megoldást találniuk. Szerencsére ezen a téren az utóbbi időben már az amerikai hatóságok is aktívak.

- A Google Street View-ja is az eltérő adatkezelési szabályok miatt nem érhető el itthon?

A Google kamerás autói úgy kezdték el fotózni Budapest utcáit, hogy előtte nem egyeztettek az adatvédelmi kérdésekről. Később megindult egy párbeszéd közöttünk, amelynek során igyekeztem olyan megoldást kidolgozni, amely nem lehetetleníti el a Street View-t itthon, de biztosítja az adatok védelmét is. Közben az EU adatvédelmi munkacsoportja is elkezdett foglalkozni a szolgáltatással, és egységes feltételeket akartunk kialakítani a Google számára, nagyjából ekkor azonban nyilvánosságra került, hogy a vállalat autói titokban a wifihálózatok paramétereit is rögzítették. Ez azt mutatta, hogy a szolgáltatás körül nincs minden egészen rendben.

Azóta a Google már ismét jelezte, hogy újból elkezdené az utcák fényképezését: bár a közös európai feltételrendszer még nem készült el, magyar adatvédelmi biztosként felállítottam a hazai előírásoknak megfelelő követelményeket, amelyeknek, ha megfelelnek, beindulhat a magyar Street View is. Jogilag nem az a probléma, hogy a Google nem akarja elhomályosítani az arcokat és a rendszámokat, hanem az, hogy kiviszi az országból azt a nyers képadatbázist, amely még nincs ilyen módon anonimizálva, egy olyan országba, ahol hazánknak semmilyen befolyása nincs arra, hogy a cég mihez kezdhet a felvételekkel. Ha a felvételekről még Magyarországon eltüntetnék a személyek egyedi azonosítására alkalmas információkat, és a képeket ezt követően továbbítanák a Google amerikai központjába, az már megfelelő lenne.

Egy másik hasonló szolgáltatással, a Norc-kal azért más helyzet, mert azt egy román cég működteti, az EU-n belül pedig szabadon lehet adatokat továbbítani. Romániában emellett van olyan adatvédelmi szerv, amely felügyeli, hogy az európai előírásoknak megfelelően történik-e a feldolgozás.

- Az Európai Unió szigorúbb adatvédelmi szabályozásával minden rendben van?

Az uniós irányelvet 1995-ben dolgozták ki, amikor az internet még nem terjedt el széles körben. Ezért még nem tükrözik a manapság elterjedt technológiákat, például nincsenek felkészülve a cloud computingra, arra, hogy a leveleink és adataink külföldi szervereken tárolódnak. Jelenleg a szakemberek próbálnak megoldást találni erre, de konkrét javaslatok még nincsenek, egyelőre a problémafelvetés fogalmazódott meg. Korábban azt reméltük, hogy a magyar EU-elnökség ideje, vagyis a jövő év első fél éve alatt sikerül majd új adatvédelmi szabályozást elfogadnia az uniónak, de ez valószínűleg késni fog. Ettől függetlenül fejlődik azért az európai jogi környezet, így európai kötelezettség alapján a jövő évtől Magyarországon is kötelező lesz az elektronikus hírközlési szektorban a személyes adatokat érintő biztonsági incidensek bejelentése.

- Mennyire veszi komolyan a magyar átlagember személyes adatainak védelmét?

Kevéssé érzik az emberek az ezzel kapcsolatos veszélyeket: pedig, ha valami kikerül egyszer az internetre, akkor az ott is marad, de legalábbis nagyon nehezen lehet eltávolíttatni. A helyzetet jól illusztrálja, hogy ha valaki például elkövetett egy bűncselekményt, akkor egy bizonyos idő után mentesül a büntetett előélethez fűződő hátrányok alól. Bár büntetésének lejártát követően a személy már akár erkölcsi bizonyítványt is kaphat, az interneten visszamenőleg bárki megtalálhatja az esetéről szóló cikkeket az online újságok archívumában.

Ez azt jelenti, hogy gyakorlatilag egy állandó jelenlétben élünk, a múlt már mindig ott van velünk, így az előbb említett jogintézmény sem képes napjainkban ellátni a feladatát. Az egyik német tartomány adatvédelmi biztosa az ilyen esetekre vonatkozóan javasolta például, hogy vezessék be a "felejtéshez való jogot", vagyis azt, hogy az emberek minden róluk szóló adatot eltüntethessenek az internetről. A másik ilyen érdekesség, hogy a német szabályozás értelmében a közösségi oldalakat nem lehet a leendő munkavállalók leellenőrzésére használni. Más kérdés, hogy a fenti rendelkezéseket ténylegesen vajon be lehet-e tartatni.

Ezek a példák azt jelzik, hogy ma már léteznek olyan területek, ahol a jog nem képes megvédeni az embert, azaz végső soron mindenkinek magának kell gondoskodnia erről. Azaz mielőtt valakinek kiszolgáltatja legféltettebb titkait, gondoljon bele, hogy ennek milyen következményei lehetnek. Persze kívánatos, hogy az adatokkal történő visszaéléseknek legyen szankciója, de a jog és a technológia versenyfutása még továbbra is zajlik.

Januárban a munkatársaimmal konferenciát szervezünk a közösségi oldalak adatvédelmi kérdéseiről, a védelem lehetőségeiről a kirívóan jogsértő esetek bemutatásával, és meghívjuk rá a legnagyobb külföldi szolgáltatók képviselőit is. Bízom benne, hogy a konferencia hozzájárul majd a közösségek adatvédelmi tudatosságának erősödéséhez.

- Melyek itthon a leggyakoribb internetes, távközlési szektort érintő visszaélések?

Felerősödtek az informatikai jellegű panaszok, például közösségi oldalakkal kapcsolatos problémákkal, hamis profilok miatt keresnek meg minket. Ezeket a panaszokat a hazai szolgáltatókkal általában egyszerűen orvosolni lehet. A többi ügy főként olyan szituációkhoz kapcsolódik, amikor valamilyen kiszolgáltatottság áll fenn két fél, például orvos és beteg, vagy munkáltató és munkavállaló között. Olyan esetről is van tudomásom, hogy mobiltelefonnal követték egy cég dolgozóinak mozgását: valamely szolgáltatást teszteltek a vállalat dolgozóinak mobiltelefonjain, akiktől előzetesen nem kértek hozzájárulást a földrajzi követésükhöz. Ebből per lett, és a munkavállalók meg is nyerték azt. Egyre nagyobb a jelentősége az elektronikus közigazgatásnak; ezzel kapcsolatban már megjelentek az első anomáliák is, illetéktelenek ismerhettek meg személyes adatokat bizonyos szolgáltatások használata során. Ahogy egyre több és egyre érzékenyebb közigazgatási szolgáltatás lesz elérhető online, a kockázatok növekedni fognak.

Az Adatvédelmi Biztos Irodáját bárki megkeresheti személyesen, telefonon, faxon vagy e-mailben is. Jogász és informatikus szakértők vizsgálják ki a problémát, s ha kell, helyszíni vizsgálatot végeznek, valamint ha szükséges, felkeresik az érintett feleket, például munkáltatókat vagy minisztériumokat is.

Az adatvédelmi biztos egyben az adatok nyilvánosságra hozatala ügyében is eljár. Mostanában a korrupciós botrányok miatt nagyon sok olyan ügy érkezik be, amelyben valamilyen adathoz kérnek hozzáférést emberek: hiszen itthon minden állami vállalat, intézmény adatai nyilvánosak, noha sokszor ezeket megpróbálják visszatartani.

- Évek óta rémisztgeti a szaksajtó a felhasználókat azzal, hogy milyen veszélyes, hogy a cégek monitorozni tudják internetezési szokásaikat. Volt olyan eset, amikor ez valakinek tényleg kárt okozott?

Alapesetben az internetezési szokások vizsgálata nem veszélyes, segítségükkel például ízlésünknek megfelelő zenéket, termékeket ajánlhatnak figyelmünkbe online áruházak, ezekkel nincs is semmi baj. Van azonban arra is példa, hogy az ilyen teoretikusnak látszó veszélyek valóságos fenyegetéssé válnak: néhány éve például az amerikai AOL weboldalán lévő kereső rögzítette a felhasználók adatait. Ezt az adatbázist kutatási célokból nyilvánosságra hozta a cég, azonban az adatbázist nem anonimizálták kellőképpen, ezért a benne szereplő felhasználók közül többeket egyedileg azonosíthatott bárki érdeklődő, esetenként még azt is ki lehetett deríteni, hogy milyenek az érintett szexuális szokásai.

- Adataink külföldön vannak, cégekkel már csak webes űrlapokon keresztül kommunikálhatunk, az utcákon kamerák előtt mozgunk. Milyen jövő vár ránk?

A világ adatvédelmi biztosainak találkozóján már az is szóba került, hogy maga az anonimitás, - vagyis az, hogy az utcán sétálok - is eltűnhet rövidesen, mert arcfelismerő rendszerek összekötve Facebookkal és más online adatbázisokkal pillanatok alatt akár közterületen is követhetővé tehetnek bárkit. Ezek nagyon közeli fejlemények lehetnek.

Ma már olyan nagyfelbontású képeket is lehet készíteni, amelyet Obama elnök beiktatásakor is rögzítettek: a gigapixeles panorámán szinte minden résztvevő arca könnyen beazonosítható. Ezek tükrében a gyülekezési szabadság is egészen más megvilágításba kerül majd, mint korábban. Érdekes lesz a következő évtized, amelyben a felhasználó fokozottabb tudatosságára is szükség lesz, enélkül nem fogjuk tudni megoldani a problémákat.

Az, hogy miként alakul majd a személyes adataink védelme, nagy részben múlik majd az Egyesült Államokon is, mert anélkül, hogy ők támogatnának valamit, nagyon nehéz bármit tenni. Szerencsére azért vannak kedvező jelek a tengerentúlon is. Az EU a jövőre nézve azt szorgalmazza, hogy a jövő szoftvereiben beépített adatvédelmi technológiák legyenek, már a fejlesztéskor is ügyelni kelljen erre a szempontra.