A 29. cikk alapján létrehozott adatvédelmi munkacsoport

Átírás

1 A 29. cikk alapján létrehozott adatvédelmi munkacsoport 881/11/HU WP /2011. számú vélemény az okostelefon készülékek földrajzi helymeghatározási szolgáltatásairól Elfogadás: május 16. A munkacsoportot a 95/46/EK irányelv 29. cikke értelmében hozták létre. A munkacsoport az adatvédelemmel és magánélettel foglalkozó európai független tanácsadó szerv. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke ismerteti. A titkársági feladatokat az Európai BIzottság C Igazgatósága (Alapjogok és európai uniós polgárság) látja el, Jogérvényesülési Főigazgatóság, B-1049 Brüsszel, Belgium, MO59 02/013 iroda. Weboldal:

2 TARTALOM 1. Bevezetés Háttér: különböző földrajzi helymeghatározási infrastruktúrák Bázisállomások adatai A GPS technológia WiFi WiFi hozzáférési pontok Adatvédelmi kockázatok Jogszabályi keretek A bázisállomások adatainak a távközlési szolgáltatók általi feldolgozása Bázisállomás, az információs társadalommal összefüggő szolgáltatók által feldolgozott WiFi- és GPS-adatok A felülvizsgált e-magánélet irányelv alkalmazhatósága Az adatvédelmi irányelv alkalmazhatósága Az adatvédelmi törvényekből fakadó kötelezettségek Adatkezelő A földrajzi helymeghatározási infrastruktúra kezelői Földrajzi helymeghatározási alkalmazások és szolgáltatások nyújtói Az operációs rendszer fejlesztője Az egyéb felek felelősségei Törvényességi alap Okos mobil készülékek WiFi hozzáférési pontok Információ Az érintettek jogai Megőrzés időtartama Következtetések

3 A SZEMÉLYES ADATFELDOLGOZÁS VONATKOZÁSÁBAN AZ EGYÉ- NEK VÉDELMÉVEL FOGLALKOZÓ MUNKACSOPORT amelyet az október 24-i 95/46/EK európai parlament és tanácsi irányelv hozott létre, tekintettel a fenti irányelv 29. cikkére, valamint 30. cikke (1) bekezdésének a) pontjára és (3) bekezdésére, tekintettel a munkacsoport eljárási szabályzatára, ELFOGADTA EZT A DOKUMENTUMOT: 1. Bevezetés A földrajzi adatok fontos szerepet játszanak társadalmunkban. Csaknem minden emberi tevékenységnek és döntésnek vannak földrajzi összetevői. Az információ értéke általában megnő, amennyiben helyhez kapcsolódik. Mindenfajta információ, például a pénzügyi, egészségügyi és a fogyasztói viselkedésre vonatkozó egyéb adatok hozzákapcsolhatók valamely földrajzi elhelyezkedéshez. Az intelligens mobilkészülékek gyors technikai fejlődése és széleskörű elterjedésével a helymeghatározáson alapuló szolgáltatások egész új kategóriája alakul ki. E vélemény pontosítani kívánja az internethez kapcsolódni képes helyzetérzékelőkkel (mint például a GPS) ellátott okos mobilkészülékeken rendelkezésre álló, illetve az általuk előállított helymeghatározási szolgáltatásokra vonatkozó jogi keretet. Ilyen szolgáltatások között említhetjük például a térképeket és a navigációt, a személyre szabott helymeghatározási szolgáltatások (beleértve a közeli látnivalókat), a kibővített valóságot, az internetes tartalom földrajzi koordinátákkal való ellátását (geotagging), barátaink tartózkodási helyének figyelemmel kísérését, a gyermekek ellenőrzését és a helymeghatározáson alapuló reklámot. A vélemény foglalkozik továbbá a helymeghatározási szolgáltatásokban használt infrastruktúra három fő típusával, nevezetesen a GPS-sel, a GSM bázisállomásokkal és a WiFi-vel. Külön figyelmet kapott a WiFi hozzáférési pontok helyén alapuló új infrastruktúra. A munkacsoport tisztában van azzal, hogy számos egyéb helymeghatározási adatokat feldolgozó szolgáltatás is létezik, amelyek esetében szintén felmerülhetnek adatvédelmi aggályok. Ezek a szolgáltatások az elektronikus jegyváltástól a járművek díjfizetési rendszereiig és a műholdas navigációs rendszerektől, például a kamerák segítségével történő helymeghatározástól az IP-címek földrajzi helymeghatározásáig terjednek. A technika rohamos fejlődése különös tekintettel a vezeték nélküli hozzáférési pontok feltérképezésére következtében azonban, valamint figyelembe véve, hogy az új piaci szereplők a bázisállomások, a GPS- és a WiFI-készülékek adatainak kombinálásán alapuló helymeghatározáson alapuló új szolgáltatások kifejlesztésére készülnek, a munkacsoport úgy döntött, hogy az adatvédelmi irányelv alapján egyértelművé teszi e szolgáltatások jogi keretét. 3

4 A vélemény először is ismerteti a technológiát, majd meghatározza és értékeli a magánéletet fenyegető kockázatokat és azután következtetéseket dolgoz ki a vonatkozó jogi cikkek alkalmazásáról azoknak az adatkezelőknek a számára, amelyek a mobilkészülékekből származó helymeghatározási adatokat gyűjtenek és dolgoznak fel. Közéjük tartoznak például a földrajzi helymeghatározási infrastruktúrák üzemeltetői, az okostelefonok gyártói és a földrajzi helymeghatározáson alapuló alkalmazások fejlesztői. Ez a vélemény nem értékeli az úgynevezett web 2.0-hoz kapcsolódó, földrajzi koordinátákkal dolgozó technológiákat, amelyekben a felhasználók a georeferált információkat beépítik az olyan közösségi hálózatokba, mint a Facebook vagy a Twitter. Ez a vélemény nem kíván részletesen foglalkozni a készülékek összekapcsolásához viszonylag kis körzetekben (bevásárlóközpontok, repülőterek, irodaházak, stb.) használt egyéb földrajzi helymeghatározási technikákkal sem, mint a Bluetooth, a ZigBee, a geofencing és a WiFi alapú RFID-címkék, bár e véleménynek a jogszerű indokokkal, információs jogokkal és az érintett személyek jogaival kapcsolatos több következtetése ezekre a technológiákra is vonatkozik, ha azokat az emberek tartózkodási helyének készülékeik segítségével történő megállapítására használják. 2. Háttér: különböző földrajzi helymeghatározási infrastruktúrák 2.1 Bázisállomások adatai A különböző távközlési szolgáltatók által lefedett terület az általában celláknak nevezett területekre oszlik. A mobiltelefon használatához, vagy az internetre a 3G kommunikáció révén történő felcsatlakozáshoz a mobilkészüléknek kapcsolódnia kell az adott cellát lefedő antennához (a továbbiakban: bázisállomáshoz). A cellák eltérő nagyságú területeket fednek le a például a hegyek és magas épületek által okozott interferenciától függően. Mindaddig, amíg a mobilkészülék be van kapcsolva, egy meghatározott bázisállomáshoz kapcsolódik. A távközlési szolgáltató folyamatosan regisztrálja ezeket a kapcsolódásokat. Minden bázisállomás egyedi azonosítóval rendelkezik és azt meghatározott helyhez regisztrálják. A távközlési szolgáltatók és számos mobilkészülék maga is képes a mobilkészülék helyzetének nagy pontosságú becslésére az egymást átfedő cellákból (a szomszédos bázisállomásokból) érkező jelek használatával. Ezt a technikát háromszögelésnek is nevezik. A pontosság tovább növelhető az olyan információk segítségével, mint az RSSI (Received Signal Strength Indicator), TDOA (Time Difference of Arrival) és AOA (Angle Of Arrival). A bázisállomások adatait innovatívan lehet felhasználni, például a közlekedési dugók észlelésére is. Minden egyes út esetében ismert a nap egyes szakaszaira jellemző átlagos haladási sebesség, és amikor a bázisállomások közötti átadási idő a vártnál hoszszabb, közlekedési dugó alakulhatott ki. Összegezve, ez a pozícionálási módszer lehetővé teszi a gyors és hozzávetőleges helymeghatározást, ám ez a GPS-hez és a WiFI-adatokhoz képest nem túl pontos. Sű- 4

5 rűn lakott városi területek esetében ez a pontosság nagyjából 50 méter, ám vidéken akár néhány kilométerre csökkenhet. 2.2 A GPS technológia Az okos mobilkészülékek alaplapján a helyzetüket meghatározó GPS-vevővel ellátott chipkészlet található. A GPS technológia (Globális Helymeghatározó Rendszer) 31 műholdat alkalmaz, amelyek mindegyike a Föld körüli hat pálya egyikén kering. 1 A mobilkészülék akkor tudja megállapítani a helyzetét, amikor a GPS-érzékelője a jelekből legalább négyet észlel. A bázisállomások adataitól eltérően a jel csak egy irányban halad. A műholdakat irányító szervek nem tudják nyomon követni azokat a készülékeket, amelyek vették a rádiójelet. A GPS technológia 4-15 méter pontosságú helymeghatározást biztosít. A GPS legnagyobb hátránya az indítás viszonylagos lassúsága. 2 Egy másik hátránya az, hogy zárt terekben nem, vagy nem kielégítően működik. A gyakorlatban ezért a GPStechnológiát gyakran kombinálják a bázisállomások adataival és/vagy a feltérképezett WiFi hozzáférési pontokkal. 2.3 WiFi WiFi hozzáférési pontok A földrajzi helymeghatározás egy viszonylag új forrása a WiFi hozzáférési pontok használata. A technológia hasonlít a bázisállomások használatához. Mindkettő egyedi azonosítóra támaszkodik (a bázisállomástól vagy a WiFi hozzáférési ponttól), amelyet a mobilkészülék észlelni tud és elküld a szolgáltatónak, amelynél minden egyedi azonosítóhoz hozzárendelték a helyet. Minden egyes WiFi hozzáférési pont egyedi azonosítója annak MAC (Media Access Control) címe. A MAC-cím a hálózati interfészhez rendelt és általában a hardverben például memória chipen és/vagy a számítógépek, telefonok, laptopok vagy hozzáférési pontok hálózati kártyáján beégetett egyedi azonosító A globális helymeghatározó rendszer az Amerikai Egyesült Államok által katonai célokra felbocsátott műholdakból áll. Az Európai Bizottság 2014-re el akarja indítani ingyenes, nem katonai globális műholdas helymeghatározást nyújtó, 18 műholdból álló hálózatát, a Galileot. Az első két műholdat 2011-ben kívánják felbocsátani, további kettőt pedig 2012-ben. Forrás: European Commission, Commission presents midterm review of Galileo and EGNOS, 25 January 2011, URL: em_id=4835 A GPS-jel első észlelésének felgyorsítását elősegítendő lehetőség van a különböző műholdaknak az elkövetkező hetekben várhatóan elfoglalt helyzetét tartalmazó ún. szivárványtáblák betöltésére. Példa a MAC címre: 00-1F-3F-D7-3C-58. WiFi hozzáférési pontok MAC-címét BSSID-nek (Basic Service Set Identifier) nevezzük. 5

6 Mivel a WiFi hozzáférési pontok folyamatosan tudósítanak meglétükről, ezért földrajzi helymeghatározási információk forrásaként használhatjuk őket. A legtöbb szélessávú internetes hozzáférési pont alapértelmezésben WiFi antennával is rendelkezik. Európában a leggyakrabban használt hozzáférési pontok alapértelmezett beállítása az, hogy a kapcsolat "on" állásban van, abban az esetben is, ha a felhasználó számítógépe csak vezetékes kábellel csatlakozik a hozzáférési ponthoz. A rádiókészülékekhez hasonlíthatóan a WiFi hozzáférési pont még akkor is folyamatosan továbbítja a saját hálózati nevét és MAC címét, ha a kapcsolatot senki sem használja és még akkor is, ha a vezeték nélküli kommunikációt WEP, WPA vagy WPA2 kódolással biztosították. Két eltérő módszerrel lehet begyűjteni a WiFi hozzáférési pontok MAC-címeit Aktív letapogatás: aktív kérdések küldése 5 a közelben lévő összes hozzáférési ponthoz és a válaszok rögzítése. A válaszok nem tartalmaznak információkat a WiFi hozzáférési ponthoz csatlakoztatott készülékekről. 2. Passzív letapogatás: az összes hozzáférési pont által küldött beacon-frame rögzítése (általában másodpercenként tízszer). Nem szokványos alternatívaként néhány eszköz tágabban rögzíti a hozzáférési pontok által továbbított WiFi beacon-frame-ket, beleértve azokat is, amelyek nem sugároznak beaconöket. Amennyiben ezt a letapogatást úgy végzik, hogy megtervezésekor nem voltak tekintettel a magánélet tiszteletben tartására, akkor az hozzáférési pontok és a hozzájuk csatlakoztatott készülékek között kicserélt adatok összegyűjtéséhez vezethet. Ily módon az asztali számítógépek, a laptopok és a printerek MAC-címei rögzíthetők. Ez a letapogatás a kommunikációk tartalmának törvényellenes rögzítését is eredményezheti. Ezeket a tartalmakat könnyen ki lehet olvasni, amennyiben a WiFi hozzáférési pont tulajdonosa nem engedélyezte a WiFi-kódolást (WEP/WPA/WPA2). A WiFi hozzáférési pont helyét kétféleképpen lehet kiszámítani. 1. Statisztikailag/egyszer: az adatkezelők maguk gyűjtik a WiFi hozzáférési pontok MAC-címeit antennákkal felszerelt járműveikkel. A jel vételének pillanatában rögzítik járművük pontos szélességi és hosszúsági koordinátáit és így egyebek között a jelerősség révén képesek kiszámítani a hozzáférési pontok helyét. 2. Dinamikusan/folyamatosan: a helymeghatározási szolgáltatások felhasználói WiFiképességekkel rendelkező készülékeikkel összegyűjtik az észlelt MAC-címeket amikor például online térképet használnak saját helyzetük meghatározásához (Hol vagyok?). A mobil készülék ilyenkor a rendelkezésére álló összes információt továbbítja a helymeghatározási szolgáltatások működtetőjéhez, beleértve a MAC-címeket, az SSID-ket és a jelerősséget. Az adatkezelő ezeket a folyamatosan zajló megfigyeléseket felhasználhatja a WiFi hozzáférési pontok helyének kiszámításához és/vagy az adatbázisában található feltérképezett WiFi hozzáférési pontok pontosításához. Fontos leszögezni, hogy a mobil készülékeknek a WiFi-adatok összegyűjtéséhez nem kell rákapcsolódniuk a WiFi hozzáférési pontokhoz. A hozzáférési pontok jelenlétét 4 5 Az aktív és passzív letapogatást az IEEE szabványosította a hozzáférési pontok észlelésére. A MAC-címek begyűjtésére a gyűjtő szondakérést küld az összes hozzáférési pont részére. 6

7 automatikusan észlelik (aktív vagy passzív letapogatási üzemmódban) és automatikusan gyűjtik az adataikat. Emellett a földrajzi helymeghatározásukat igénylő mobiltelefonok nem csupán WiFiadatokat, de gyakran egyéb tárolt helyzetinformációkat is kiküldenek, beleértve a GPS és bázisállomások adatait. Ez teszi lehetővé a szolgáltató számára az új WiFi hozzáférési pontok helyzetének kiszámítását és/vagy az adatbázisban már meglévő WiFi hozzáférési pontok pontosítását. Így a WiFi hozzáférési pontokra vonatkozó adatok gyűjtését igen hatékony módon decentralizálják, anélkül, hogy erről a fogyasztóknak tudomása lenne. Összefoglalva: a WiFi hozzáférési pontokon alapuló földrajzi helymeghatározás gyors és a folyamatos mérések alapján egyre pontosabb pozíciókat szolgáltat. 3. Adatvédelmi kockázatok Az okostelefon készülékek nagyon szorosan kapcsolódnak az egyénhez. A legtöbb ember szereti, ha mobil készüléke minél közelebb van hozzá: a zsebében, a táskájában vagy éjjel az ágya közelében. Az ilyen készüléket az ember ritkán adja kölcsön. A legtöbben tisztában vannak azzal, hogy mobil készülékük az ektől kezdve a magánjellegű fényképekig, a keresési előzményektől a kapcsolati listákig rengeteg igen bizalmas információt tartalmaz. Ez lehetővé teszi a földrajzi helymeghatározáson alapuló szolgáltatások működtetői számára, hogy igen mélyreható bepillantást nyerjenek a készülék tulajdonosának szokásaiba és viselkedési mintáiba és részletes profilokat építsenek fel. A telefon aktivitásának éjszakai szünetelésének mintája alapján meghatározható az alvás helye, reggeli rendszeres útvonal alapján pedig meg lehet állapítani a munkaadó helyét. A minták az ún. kapcsolati térképek alapján a barátok mozgási adataiból származtatott adatokat is tartalmazhatják. 6 A magatartási mintába különleges adatkategóriák is beletartozhatnak, amennyiben például elárulja kórházlátogatásainkat és kegyhelyek felkeresését, jelenlétünket a politikai megmozdulásokon vagy egyéb konkrét helyszíneken, amelyek alapján például szexuális életünkről vonhatnak le következtetést. Ezeket a profilokat a tulajdonost jelentős mértékben érintő döntések meghozatalára is fel lehet használni. Az okos mobil készülék technológiája lehetővé teszi a helymeghatározási adatok folyamatos figyelemmel kísérését. Az okostelefonok képesek folyamatosan gyűjteni a bázisállomásokból és a WiFi hozzáférési pontokból érkezett adatokat. Technikailag lehetséges a megfigyelést titokban tartani anélkül, hogy erről a tulajdonos értesülne. A megfigyelés félig titkosan is történhet, amikor az emberek elfelejtik vagy nem kellően tájékozottak arról, hogy a helymeghatározó szolgáltatások bekapcsolt állapotban vannak, vagy a helymeghatározási adatok hozzáférési beállításai magánról nyilvánosra változnak. 6 A kapcsolati térkép a közösségi portálokon regisztrált barátaink láthatóságát és a barátaink adataikból a viselkedésükről levonható következtetések lehetőségét jelenti. 7

8 Még akkor is, amikor az emberek szándékosan teszik lehetővé helymeghatározási adataik internetes hozzáférhetőségét a tartózkodási hely (whereabouts) és földrajzi koordináta (geotagging) szolgáltatások révén, a korlátlan és világméretű hozzáférés az adatlopástól a betörésig terjedő új kockázatokat nyit meg, sőt még a fizikai támadást és a zaklatást is. Mint a többi új technológia esetében is, a helymeghatározási adatok használatának legnagyobb kockázata a funkció kiterjesztés (function creep), vagyis hogy az új típusú adatok elérhetősége következtében az adatok összegyűjtésének eredeti időpontjában nem feltételezett új felhasználási célokat fejlesztenek ki. 4. Jogszabályi keretek A vonatkozó jogszabályi keret a 95/46/EK adatvédelmi irányelv. Minden esetben ezt az irányelvet kell alkalmazni, amennyiben a helymeghatározási adatok feldolgozása következtében személyes adatok feldolgozására kerül sor. Az e-magánélet védelméről szóló irányelv (a 2009/136/EK irányelvvel módosított 2002/58/EK irányelv) csak a bázisállomások adatainak a nyilvános elektronikus hírközlési szolgáltatások és hálózatok (távközlési szolgáltatók) általi feldolgozására vonatkozik. 4.1 A bázisállomások adatainak a távközlési szolgáltatók általi feldolgozása A távközlési szolgáltatók a nyilvános elektronikus hírközlési szolgáltatások biztosítása során folyamatosan feldolgozzák a bázisállomások adatait. 7 A bázisállomások adatait értéknövelt szolgáltatások nyújtásához is felhasználhatják. Ezzel a kérdéssel a munkacsoport már az 5/2005. sz. véleményében (WP115) is foglalkozott. Bár a véleményben szereplő példák némelyike az internetes technológiák és érzékelők terjedése folytán már egyértelműen elveszítette aktualitását, a véleményben foglalt jogi következtetések és ajánlások továbbra is érvényesek a bázisállomások adatainak feldolgozására vonatkozóan. 1. Mivel a bázisállomásokról származó helyadatok azonosított vagy azonosítható természetes személyre vonatkoznak, ezért azok a személyes adatok védelméről szóló 95/46/EK irányelv (1995. október 24.) hatálya alá esnek. 2. A július 12-i 2002/58/EK irányelvet (amelyet a novemberi 2009/136/EK irányelv módosított) ugyancsak alkalmazni kell az irányelv 2. cikkének c. bekezdésében foglalt meghatározás szerint: "helymeghatározó adat": egy nyilvánosan elérhető elektronikus hírközlési szolgáltatás felhasználója végberendezésének földrajzi helyzetét jelző, az elektronikus hírközlő hálózatban vagy elektronikus hírközlési szolgáltatás keretében kezelt minden adat; Ha a távközlési szolgáltató hibrid helymeghatározási szolgáltatást kínál, vagyis olyat, amely más helymeghatározási adatokat (például GPS- vagy WiFi-adatokat) is felhasznál, a tevékenység nyilvános elektronikus hírközlési szolgáltatásnak minősül. A távközlési szolgáltatónak gondoskodnia kell ügyfeleinek előzetes beleegyezéséről, 7 Ne feledjük, hogy a távközlési szolgáltatók által biztosított nyilvános WiFi hotspotok ugyancsak nyilvános elektronikus hírközlési szolgáltatásnak minősülnek és ennél fogva eleve be kell tartaniuk az e-magánélet irányelv rendelkezéseit. 8

9 amennyiben a földrajzi helymeghatározási adatokat harmadik fél rendelkezésére bocsátja. 4.2 Bázisállomás, az információs társadalommal összefüggő szolgáltatók által feldolgozott WiFi- és GPS-adatok A felülvizsgált e-magánélet irányelv alkalmazhatósága A bázisállomással kapcsolatos, valamint a GPS- és WiFi-adatok kombinációján alapuló helymeghatározási szolgáltatásokat és alkalmazásokat nyújtó társaságok jellemzően információs társadalommal összefüggő szolgáltatások. Ebben a minőségükben kifejezetten ki vannak zárva az e-magánélet irányelvből, az elektronikus hírközlési szolgáltatás szigorú meghatározásából (az átdolgozott keretirányelv 2. cikkének változatlan c) pontja). 8 Az e-magánélet irányelv nem alkalmazható a helymeghatározási adatoknak az információs társadalommal összefüggő szolgáltatásokat nyújtó társaságok általi feldolgozására, még akkor sem, ha a feldolgozás nyilvános elektronikus hírközlési hálózaton keresztül történik. A felhasználó dönthet úgy, hogy GPS-adatokat továbbít az interneten, például amikor webes navigációs szolgáltatásokat vesz igénybe. Ebben az esetben a GPS-jel továbbítása az internetes kommunikáció alkalmazási szintjén történik, a GSM-hálózattól függetlenül. A távközlési szolgáltató csupán vezetékként jár el. Rendkívül tolakodó módszerek, mint a mélyreható csomag ellenőrzés (deep packet inspection) nélkül nincs hozzáférése a felhasználó/előfizető és az információs társadalommal összefüggő szolgáltatásokat nyújtó között az okos mobil készülékre, illetve arról továbbított GPS- és/vagy WiFi-adatokhoz, és/vagy a bázisállomás adataihoz Az adatvédelmi irányelv alkalmazhatósága Abban az esetben, amikor az átdolgozott e-magánélet irányelv nem alkalmazható, az 1. cikk 2. bekezdése értelmében a 95/46/EK irányelvet kell alkalmazni: Ennek az irányelvnek a rendelkezései az (1) bekezdésben említett célok érdekében pontosítják és kiegészítik a 95/46/EK irányelvet. Az adatvédelmi irányelv alapján személyes adat az azonosított vagy azonosítható természetes személyre ( érintettre") vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén (az irányelv 2. cikkének (a) bekezdése. 8 A március 7-i 2002/21/EK irányelv 2. cikkének c) pontja: elektronikus hírközlési szolgáltatás : olyan, általában díjazás ellenében nyújtott szolgáltatás, amely teljes egészében vagy nagyrészt elektronikus hírközlő hálózaton történő jelátvitelből áll, beleértve a műsorterjesztő hálózatokon nyújtott távközlési szolgáltatásokat és átviteli szolgáltatásokat, de nem foglalja magában az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások segítségével történő tartalomszolgáltatást, illetve az ilyen tartalom felett szerkesztői ellenőrzést biztosító szolgáltatásokat; nem foglalja magában a 98/34/EK irányelv 1. cikkében meghatározott olyan, információs társadalommal összefüggő szolgáltatásokat, amelyek teljes egészében vagy nagyrészt nem elektronikus hírközlő hálózaton történő jelátvitelből állnak; 9

10 Az irányelv 26. preambulum bekezdése különös figyelmet szentel az azonosíthatóság fogalmának, amikor ezt írja: mivel annak meghatározására, hogy egy személy azonosítható-e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására. Az irányelv 27. preambulum bekezdése nagy vonalakban felvázolja a védelem hatályát: mivel e védelem hatálya ténylegesen nem függhet az alkalmazott módszerektől, ellenkező esetben ez megkerüléshez vezethetne; A személyes adat fogalmáról szóló 4/2007. sz. véleményében a munkacsoport terjedelmes útmutatást adott a személyes adatok meghatározásáról. Okostelefonok Az okostelefonok készülékek elválaszthatatlanul kapcsolódnak természetes személyekhez. Az azonosíthatóságuk általában közvetlen és közvetett lehet. Először is a GSM vagy mobil internetes hozzáférést biztosító távközlési szolgáltató rendszerint nyilvántartást vezet, amely tartalmazza az ügyfelek nevét, címét és banki adatait, valamint a készülék néhány egyedi azonosító számát (IMEI és IMSI). Másodszor, a készülékhez való extra szoftverek (alkalmazások) megvásárlásához általában szükség van a hitelkártya számára és ez tovább gazdagítja az egyedi szám(ok) és a helymeghatározási adatok összekombinálását a közvetlenül azonosító adatokkal. A közvetett azonosíthatóságot a készülék egyedi számainak kombinálásával és egykét kiszámított hely bevonásával lehet elérni. Minden okos mobilkészülék rendelkezik legalább egy egyedi azonosítóval, a MACcímmel. A készüléknek lehetnek egyéb egyedi azonosító számai is, amelyet az operációs rendszer fejlesztője rendel hozzá. Ezeket az azonosítókat a földrajzi helymeghatározási szolgáltatások keretében továbbíthatják és ismét feldolgozhatják. Tény, hogy az adott készülék helyét rendkívül precízen meg lehet határozni, különösen, ha a különböző földrajzi helymeghatározási struktúrákat összekapcsolják. A hely ilyenkor egy háznak vagy egy munkaadónak felelhet meg. Különösen az ismétlődő megfigyelések esetében azonosítani lehet a készülék tulajdonosát. Az azonosíthatóság rendelkezésre álló eszközeinek számbavételekor figyelembe kell venni azt a fejleményt is, hogy az emberek egyre több személyes helymeghatározó adatot tárnak fel az interneten, például a házuk vagy a munkahelyük helyére vonatkozó adatokat tesznek közzé egyéb azonosító adatokkal kiegészítve. Ezek feltárása tudomásuk nélkül is megtörténhet, amikor például más emberek teszik közzé helymeghatározási adataikat (geotagging). Ez a fejlemény egyszerűbbé teszi egy hely vagy magatartási minta konkrét személyhez kapcsolását. A személyes adat fogalmáról szóló 4/2007. sz. vélemény nyomán az egyedi azonosítóról a fenti összefüggésben azt is meg kell jegyezni, hogy lehetővé teszi egy meghatározott eszköz használójának nyomon követését és így a felhasználót még akkor is ki lehet keresni, ha nem ismert a valódi neve. 10

11 WiFi hozzáférési pontok Ez a közvetett azonosíthatóság a WiFi hozzáférési pontokra is vonatkozik. 9 Egy WiFi hozzáférési pont MAC-címe a kiszámított helyével összekapcsolva elválaszthatatlanul össze van kötve a hozzáférési pont tulajdonosának helyével. Egy kielégítően felszerelt adatkezelő a jel erőssége és a hely folyamatban lévő frissítéseinek köszönhetően egyre pontosabban számíthatja ki a WiFi hozzáférési pont helyét a földrajzi helymeghatározási szolgáltatásának felhasználóin keresztül. Ezeknek az eszközöknek a segítségével sok esetben azonosítható a lakásoknak vagy házaknak az a kis csoportja, amelyben a hozzáférési pont tulajdonosa lakik. Az, hogy a MAC-cím alapján milyen könnyű azonosítani ezt a tulajdonost, a környezettől függ. Ritkán lakott területeken, ahol a MAC-cím egy különálló házra mutat, a lakóhely tulajdonosát közvetlenül meg lehet állapítani olyan eszközökkel, mint például a földhivatali nyilvántartás, a lakossági telefonkönyvek, a választói névjegyzékek vagy akár a keresővel elvégzett egyszerű lekérdezés. 10 Sűrűbben lakott területeken az olyan eszközök segítségével, mint például a jelerősség és/vagy SSID (amelyet bárki észlelhet egy WiFi képességekkel rendelkező készülékkel) meg lehet állapítani a hozzáférési pont pontos helyét és így számos esetben meg lehet bizonyosodni az abban a pontosan behatárolt helyen (házban vagy lakásban) lakó egyén vagy egyének személyi azonosságáról, amelyben a hozzáférési pont található. Nagyon sűrűn lakott területeken még a jelerősségre vonatkozó információk segítségével is a MAC-cím a hozzáférési pont lehetséges helyeként több lakásra fog mutatni. Ezek között a körülmények között indokolatlanul túlzott erőfeszítés nélkül nem lehet kellő pontossággal megállapítani azt az egyént, aki abban a lakásban él, amelyben a hozzáférési pont található. Az, hogy bizonyos esetekben a készülék tulajdonosa indokolatlanul túlzott erőfeszítés nélkül nem azonosítható, nem akadályoz annak az általános következtetésnek a levonásában, hogy egy WiFI hozzáférési pont MAC-címének a kiszámított hellyel való összekapcsolását személyes adatként kell kezelni. Ezek között a körülmények között és tekintettel arra, hogy nem valószínű, hogy az adatkezelő képes különbséget tenni azok között az esetek között, amelyekben a WiFi hozzáférési pont tulajdonosa azonosítható és azok között, amelyekben nem, az adatkezelőnek a WiFi routerekre vonatkozó összes adatot személyes adatként kell kezelnie. Fontos felidézni, hogy e földrajzi helymeghatározási adatok feldolgozásának nem célja a felhasználók azonosítása. Azt, hogy a WiFi hozzáférési pontok tulajdonosainak azonosítása indokolatlanul túlzott erőfeszítést igényel-e, erősen befolyásolják az adatkezelő vagy az azonosítással foglalkozó személy technikai lehetőségei A WiFi hozzáférési pontok akár közvetlenül is azonosíthatók lehetnek, ha az internetes hozzáférés szolgáltatója nyilvántartást vezet az azonosított ügyfelei számára általa biztosított WiFi routerek MAC-címeiről. Ezeknek a nyilvántartásoknak vagy névjegyzékeknek a rendelkezésre állása tagállamonként változó. 11

12 5. Az adatvédelmi törvényekből fakadó kötelezettségek 5.1 Adatkezelő Az információs társadalom keretében nyújtott online földrajzi helymeghatározási szolgáltatások összefüggésében három eltérő feladatkört különböztethetünk meg, amely eltérő felelősségeket ró a személyes adatok feldolgozására. Ezek a következők: Földrajzi helymeghatározási infrastruktúra kezelője; az adott földrajzi helymeghatározási alkalmazás vagy szolgáltatás biztosítója és az okos mobilkészülék operációs rendszerének fejlesztője. A gyakorlatban a társaságok gyakran egyidejűleg több feladatot is betöltenek, például akkor, amikor az operációs rendszert összekapcsolják a feltérképezett WiFi hozzáférési pontokat tartalmazó adatbázissal és egy hirdetési platformmal A földrajzi helymeghatározási infrastruktúra kezelői Amikor egy meghatározott készülék helyét bázisállomásaik segítségével dolgozzák fel, a kezelők a távközlési szolgáltatókhoz hasonlóan a feltérképezett WiFi hozzáférési pontokat tartalmazó adatbázisok tulajdonosai is személyes adatokat kezelnek, amikor meghatározzák egy konkrét okos mobilkészülék helyét. Mivel mindkettő meghatározza e feldolgozás rendeltetését és eszközeit, ezért az adatvédelmi irányelv 2. cikke (d) bekezdésében meghatározott kezelőknek minősülnek. Fontos hangsúlyozni, hogy a meghatározott készüléknek nagy szerepe van a helyének kiszámításában, a helyére vonatkozó saját adatainak átadásával (gyakran a GPS- és WiFi-adatok és a bázisállomás adatainak kombinációja) és a közeli WiFi hozzáférési pontok egyedi azonosítóinak az adatbázis tulajdonosának való átadásában. 11 Az ilyen készülék ugyancsak eleget tesz az adatvédelmi irányelv 4.1. cikke (c) bekezdésében foglalt kritériumnak: a készülék valamely tagállam területén található. Mivel a WiFi hozzáférési pont MAC-címét a kiszámított helyével együttesen személyes adatnak kell tekinteni, ezeknek az adatoknak az összegyűjtés szintén személyes adatok kezelését eredményezi. Tekintet nélkül arra a módszerre, amellyel ezeket az adatokat összegyűjtik (egyszeri vagy állandó jelleggel), az adatbázis tulajdonosának eleget kell tennie az adatvédelmi irányelv kötelezettségeinek Földrajzi helymeghatározási alkalmazások és szolgáltatások nyújtói Az okos mobilkészülékek lehetővé teszik a harmadik felektől származó szoftver, az úgynevezett alkalmazások telepítését is. Ezek az alkalmazások az operációs rendszer fejlesztőjétől és/vagy a földrajzi helymeghatározási infrastruktúra kezelőitől függetlenül is fel tudják dolgozni a valamely okos mobilkészüléktől származó helymeghatározási adatokat. 11 A mobilkészülék képes a különböző földrajzi helymeghatározási adatok továbbítására, amelyeket a kezelő számára kap a helyének kiszámításához, vagy amelyekkel saját maga számítja ki a helyét. A készülék mindkét esetben a feldolgozás lényegi eszköze. 12

13 Néhány példa a készülékekre: meteorológiai szolgáltatás, amely egy igen pontosan meghatározott régióban előre jelzi az eső kialakulásának valószínűségét, a közeli üzletekről információkat kínáló szolgáltatás, elveszett telefonokat azonosító szolgáltatás vagy a barátok tartózkodási helyét mutató szolgáltatás. A földrajzi helymeghatározási adatok feldolgozására képes alkalmazás szolgáltatója az alkalmazás telepítéséből és használatából eredő személyes adatok feldolgozásának kezelője. Természetesen nincs mindig szükség külön szoftver telepítésére valamely okos mobileszközön. Sok földrajzi helymeghatározási szolgáltatáshoz böngészőből is hozzá lehet férni. Az ilyen szolgáltatás példája a városon gyalogosan áthaladók irányítására szolgáló online térkép használata Az operációs rendszer fejlesztője Az okos mobilkészülék operációs rendszerének fejlesztője a földrajzi helymeghatározási adatok kezelője is lehet, ha közvetlen kölcsönkapcsolatot tart fenn a felhasználóval és személyes adatokat gyűjt (mint például a felhasználó indulási regisztrációs adatainak megkérése és/vagy helymeghatározási információk összegyűjtése a szolgáltatás színvonalának növelése érdekében). Kezelőként a fejlesztőnek tervezési alapelvként kell alkalmaznia az adatvédelmet a titkos megfigyelés akár a készülék, vagy a különböző alkalmazások és szolgáltatások révén történő megakadályozására. A fejlesztő egyben az általa feldolgozott adatok kezelője is, ha a készülék a saját hollétét megállapító telefonálj haza funkcióval is rendelkezik. Mivel ebben az esetben a fejlesztő hozza meg a döntést a szóban forgó adatáramlás eszközeire és rendeltetésére vonatkozóan, az ezeknek az adatoknak a feldolgozásakor ő számít az adatok kezelőjének. Ennek a telefonálj haza funkciónak közkeletű példái a helyhez kötődően automatikusan biztosított zónaidő frissítések. Harmadszor pedig adatkezelőnak számít a fejlesztő akkor, amikor hirdetési platformot és/vagy web áruházszerű környezet kínál az alkalmazások számára és az alkalmazások szolgáltatóitól függetlenül képes a földrajzi helymeghatározási alkalmazásokból származó személyes adatok feldolgozására. 5.2 Az egyéb felek felelősségei Jó néhány online fél akad, amely lehetővé teszi a helymeghatározási adatok (tovább) feldolgozását (a böngészők, a közösségi portálok vagy a hírközlő médiumok például lehetővé teszik a földrajzi koordináták használatát). Amikor platformjaikba földrajzi helymeghatározási eszközöket ágyaznak be, nagy felelősségük van az alkalmazás alapbeállításainak eldöntésében (az ON vagy OFF mint alapbeállítás). Bár ők abban a mértékben csupán adatkezelők, hogy maguk is aktívan dolgoznak fel személyes adatokat, mégis kiemelt szerepük van az adatok olyan adatkezelők általi feldolgozásának jogszerűségében, mint a specifikus alkalmazások szolgáltatói, például akkor, amikor a földrajzi helymeghatározási adatokra vonatkozó információk láthatóságáról és minőségéről esik szó. 13

14 5.3 Törvényességi alap Okos mobil készülékek Ha a távközlési szolgáltatók annak érdekében kívánják használni a bázisállomás adatait, hogy értéknövelt szolgáltatásokat nyújtsanak az ügyfélnek, akkor az átdolgozott e-magánélet irányelv értelmében ehhez meg kell szerezniük az ügyfél előzetes beleegyezését. Arról is meg kell bizonyosodniuk, hogy az ügyfél tisztában van a feldolgozás feltételeivel. Tekintettel a helymeghatározási adatok (és mintáik) feldolgozásának érzékenységére, az előzetes tájékoztatáson alapuló jóváhagyás ugyancsak a legfontosabb alkalmazandó jogalapja az adatfeldolgozás jogszerűvé tételének, amikor az okos mobilkészülékek helyének feldolgozásáról van szó az információs társadalommal összefüggő szolgáltatások összefüggésében. Az adatvédelmi irányelv 2. cikk (h) pontja értelmében a belegyezésnek önként, az érintettek konkrét és tájékoztatáson alapuló kívánságainak kinyilvánításával. Az alkalmazott technológiától függően a felhasználó készüléke viszonylag aktív szerepet játszik a földrajzi helymeghatározási adatok feldolgozásában. A készülék képes arra, hogy különböző forrásokból származó helymeghatározási adatokat bármely harmadik félnek továbbítsa. Ezt a műszaki képességet nem szabad összetéveszteni ezen adatfeldolgozás törvényességével. Amennyiben egy operációs rendszer alapbeállításai lehetővé teszik a földrajzi helymeghatározási adatok átvitelét, a felhasználók beavatkozásának elmaradását nem szabad összetéveszteni az önkéntes beleegyezésükkel. Noha az operációs rendszerek és az információs társadalommal összefüggő egyéb szolgáltatások fejlesztői maguk is aktívan feldolgozzák a földrajzi helymeghatározási adatokat (például amikor a készülékből vagy annak révén helymeghatározási adatokhoz férnek hozzá) emellett ugyancsak törekedniük kell a felhasználóik előzetes tájékoztatáson alapuló jóváhagyásának megszerzésére. Egyértelműnek kell lennie, hogy ezt a jóváhagyást az általános feltételek és kikötések kötelező, sem pedig a kívülmaradási lehetőségek elfogadtatásával nem szerezhetik meg önkéntesen. Az alapbeállítás az legyen, hogy a helymeghatározási szolgáltatások OFF helyzetben vannak és a felhasználók részletesen jóváhagyhatják az adott szolgáltatások ON helyzetbe állítását. Az alkalmazottak jóváhagyása A munkavállalói vonatkozásban a jóváhagyás problematikus a feldolgozás Törvényességi alapjaként. A munkacsoport a személyes adatok feldolgozásának munkavállalói vonatkozásairól szóló véleményében a munkacsoport ezt írta: amennyiben a dolgozó jóváhagyására van szükség és ennek elmaradása következtében a lényeges jogsérelem reális vagy lehetséges, a jóváhagyás érvénytelen abban a tekintetben, hogy sem a 7., sem a 8. cikknek nem tesz eleget, mivel nem önkéntesen adták. Amenynyiben a dolgozónak nincs lehetősége az elutasításra, akkor nincs szó jóváhagyásról. ( ) Nehézség jelentkezik ott, ahol a jóváhagyás megadása alkalmazási feltételnek számít. Elvben a dolgozónak meg van a lehetősége az elutasításra, de az elutasítás a munkalehetőség elvesztésével járhat. Ilyen körülmények között a jóváhagyás nem ön- 14

15 kéntes és ezért érvénytelen. 12 A jóváhagyás megszerzésére való törekvés helyett a munkaadóknak ki kell vizsgálniuk, hogy igazolható szükség van-e az alkalmazottak pontos helyének ellenőrzésére és ennek szükségességét a munkavállalók alapvető jogai és szabadságai figyelembevételével kell mérlegelni. Azokban az esetekben, amikor a szükségesség megfelelően indokolt, a feldolgozás jogi alapja az adatkezelő törvényes érdekére alapozható (az adatvédelmi irányelv 7. cikkének (f) pontja.) A munkaadónak mindig a lehető legkevésbé tolakodó eszközöket kell keresnie, el kell kerülnie a folyamatos megfigyelést és például olyan rendszert kell választania, amely riasztást ad ki, ha az alkalmazott átlép egy előre beállított virtuális határt. Az alkalmazott számára lehetővé kell tenni, hogy a megfigyelő eszközt a munkaidőn kívül lekapcsolhassa és be kell mutatni neki, hogy ezt hogy teheti meg. A járműkövető készülékek nem az alkalmazottak követésére szolgálnak. Feladatuk az, hogy nyomon kövessék és megfigyeljék a járművek helyét, amelyben a készüléket telepítették. Ezeket a készülékeket a munkaadók nem tekinthetik a járművezetők vagy más alkalmazottak hollétét vagy magatartását nyomon követő vagy ellenőrző eszköznek, például a jármű sebessége miatt riasztás kiküldésével. A gyermekek jóváhagyása Bizonyos esetekben a gyermekek jóváhagyását szüleiknek, vagy törvényes képviselőiknek kell megadniuk. Ez azt jelenti például, hogy a földrajzi helymeghatározási alkalmazás szolgáltatójának fel kell hívnia a szülők figyelmét arra, hogy gyűjtik és felhasználják a gyermekek földrajzi helymeghatározására vonatkozó adatokat és ehhez meg kell szerezniük jóváhagyásukat, mielőtt belekezdenének a gyermekeikkel kapcsolatos adatok gyűjtésébe és felhasználásába. Bizonyos földrajzi helymeghatározási alkalmazásokat kifejezetten a szülői felügyelet céljára terveztek, például úgy, hogy a készülék adatai folyamatosan megjelennek egy weblapon vagy a készülék riasztást ad ki, ha kikerül egy előre megszabott területről. Ezeknek az alkalmazásoknak a használata problémák forrása. A gyermek személyes adatainak védelméről szóló 2/2009. sz. véleményében 13 a 29. cikk alapján létrehozott munkacsoport ezt írta: Soha sem fordulhat elő, hogy a gyermekeket biztonsági megfontolásokból túlzott megfigyelésnek teszik ki, amely korlátozná önállóságukat. Ebben az összefüggésben meg kell találni az egyensúlyt a gyermekek bensőséges és magánszférájának, illetve biztonságának védelme között. A jogi keret előírja, hogy a szülők felelősek a gyermekek magánélethez való jogának tiszteletben tartásáért. Legfőképpen, amennyiben a szülők úgy ítélik meg, hogy bizonyos körülmények esetén indokolt egy ilyen alkalmazás használata, arról a gyermeket tájékoztatni kell és amint arra alkalmassá válik, be kell vonni az alkalmazás használatára vonatkozó döntés meghozatalába. A jóváhagyásnak konkrétnak kell lennie, minden egyes felhasználási cél esetében, amelyhez az adatokat feldolgozzák. Az adatkezelőnek teljesen egyértelműen kell nyilatkoznia arról, hogy a szolgáltatás csupán arra az önkéntesen megválaszolható kérdésre felel-e, hogy Most hol tartózkodom? vagy hogy az-e a cél, hogy a Hol tartózkodsz, hol jársz és hol leszel a jövő héten? kérdésre állítson elő választ. Más szavakkal, az adatkezelőnek kifejezetten oda kell figyelnie az azokra a célokra adott jó WP48, Opinion 8/2001 on the processing of personal data in the employment context. WP160, Opinion 2/2009 on the protection of children's personal data (General Guidelines and the special case of schools). 15

16 váhagyásokra, amelyekre az érintett nem számít, mint például a profilok létrehozása és/vagy a magatartás alapú célzatosság. Amennyiben a feldolgozás céljai alapvetően megváltoznak, az adatkezelőnek gondoskodnia kell a vonatkozó jóváhagyás megújításáról. Például ha egy vállalt eredetileg kinyilvánította, hogy a személyes adatokat egyetlen harmadik féllel sem osztja meg, de most erre törekszik, ehhez minden egyes ügyfél tevőleges előzetes jóváhagyását meg kell szereznie. A válasz hiánya (vagy bármely egyéb kívülmaradás) nem elegendő. Fontos megkülönböztetni az egyszeri szolgáltatás jóváhagyását a rendszeres előfizetés jóváhagyásától. Például egy adott földrajzi helymeghatározási szolgáltatás használatához szükséges lehet a földrajzi helymeghatározási szolgáltatás bekapcsolása a készülékben vagy a böngészőben. Amennyiben ez a földrajzi helymeghatározási szolgáltatás bekapcsolt állapotban van, minden weboldal kiolvashatja a szóban forgó okos mobilkészülék használójának tartózkodási adatait. A titkos megfigyelés kockázatainak megakadályozása érdekében a 29. cikk alapján létrehozott munkacsoport alapvetőnek tartja, hogy a készülék folyamatosan figyelmeztessen arra, hogy a földrajzi helymeghatározás bekapcsolt állapotban van, például egy állandóan látható ikonnal. A munkacsoport azt ajánlja, hogy a földrajzi helymeghatározási alkalmazások vagy szolgáltatások szolgáltatói egy bizonyos idő elteltével gondoskodjanak az egyéni jóváhagyások megújításáról (abban az esetben is, ha nincs változás a feldolgozás jellegében). Példának okáért nem helyénvaló a helymeghatározási adatok feldolgozásának folytatása, amennyiben az egyén az előző 12 hónapban tevőlegesen nem használta a szolgáltatást. Abban az esetben is, ha az illető használta a szolgáltatást, évente legalább egy alkalommal (vagy ennél gyakrabban is, ha a feldolgozás jellege ezt szükségessé teszi) akkor is figyelmeztetni kell a személyi adatai feldolgozásának jellegéről és egyszerű lehetőséget kell biztosítani a felhasználó számára az elállásra. Végül, de nem utolsósorban az érintetteknek lehetőséget kell kapniuk arra, hogy jóváhagyásukat nagyon egyszerű eljárással visszavonhassák és ennek nem lehet negatív következménye a készülékük használatára nézve. A World Wide Web Consortium (W3C) az európai adatvédelmi irányelvektől függetlenül kidolgozta a földrajzi helymeghatározási alkalmazásprogramozói felület (API) tervezetét, amely hangsúlyt fektet az előzetes, kifejezett és tájékoztatáson alapuló jóváhagyásra. 14 A W3C ezzel kapcsolatban külön kifejti, hogy miért szükséges a jóváhagyás visszavonása és azt is javasolja a szabvány alkalmazóinak, hogy vegyék figyelembe azt, hogy az egy bizonyos URL-en elhelyezett tartalom oly módon változik, hogy a korábban megadott helymeghatározási engedélyek a szóban forgó felhasználó vonatkozásában már nem érvényesek. Emellett a felhasználók is megváltoztatják az elképzeléseiket. Példa a földrajzi helymeghatározási szolgáltatók helyes gyakorlatára Az alkalmazás, amely földrajzi helymeghatározási adatot kíván használni egyértelműen tájékoztatja a felhasználót azokról a célokról, amelyekre az adatokat használni kívánja és félreérthetetlen jóváhagyást kér az egymástól feltehetően különböző célok valamennyiére. A felhasználó megválasztja a földrajzi helymeghatározás részletessé- 14 A W3C földrajzi helymeghatározási alkalmazásprogramozói felülete (API): 16

17 gét (például ország, város vagy irányítószám szintjén, vagy a lehető legnagyobb pontossággal). A helymeghatározási szolgáltatást aktiválását követően egy ikon minden egyes képernyőn folyamatosan jelzi, hogy a helymeghatározási szolgáltatás be van kapcsolva. A felhasználó bármikor visszavonhatja jóváhagyását és azt nem kell indokolnia. A felhasználónak lehetősége van arra, hogy a készülékén tárolt bármely helymeghatározási adatot könnyen és véglegesen törölhesse WiFi hozzáférési pontok Az adatvédelmi irányelv alapján a társaságoknak törvényes érdeke fűződhet a MACcímek és a WiFi hozzáférési pontok kiszámított helyeinek szükséges összegyűjtéséhez és feldolgozásához a földrajzi helymeghatározási szolgáltatások célirányos kínálásához. Az adatvédelmi irányelv 7. cikkének (f) pontjában foglalt Törvényességi alap megkívánja az egyensúlyt az adatkezelő törvényes érdekei és az érintettek alapvető jogai és szabadságai között. A WiFi hozzáférési pontok félig statikus jellege miatt a WiFi hozzáférési pontok feltérképezése elvben kisebb fenyegetést jelent e hozzáférési pontok tulajdonosainak magánéletére nézve, mint az okos mobilkészülékek helyzetének valósidejű nyomon követése. Az adatkezelő és az érintettek jogai közötti egyensúly dinamikus. Annak érdekében, hogy az adatkezelők az idő múlásával az érintettek jogaival szemben előnyben részesíthessék saját törvényes érdekeiket, garanciákat kell kidolgozniuk és érvényesíteniük, mint például az adatbázisból való egyszerű és végleges kikerüléshez való jog, amihez nem kell további személyes adatokat szolgáltatni az adatbázis kezelője részére. Példának okáért olyan szoftvert használhatnak, amely automatikusan észleli, ha egy adott személy kapcsolódik egy meghatározott hozzáférési ponthoz. 15 A földrajzi helymeghatározási szolgáltatások nyújtása céljából ezen túlmenően nem szükséges az SSID-k gyűjtése és feldolgozása. Emiatt tehát az SSID-k gyűjtése és feldolgozása felesleges a WiFi hozzáférési pontok helyének feltérképezésén alapuló földrajzi helymeghatározási szolgáltatások kínálásához. 5.4 Információ A különböző adatkezelőknek mindent meg kell tenniük annak érdekében, hogy az okos mobilkészülék tulajdonosok az adatvédelmi irányelv 10. cikkével összhangban megfelelő tájékoztatásban részesüljenek a feldolgozás kiemelt elemeiről, például ar- 15 Lehetséges lehet az alábbi eset: 1. Az érintett ellátogat egy bizonyos weboldalra, amelyen beírhatja a WiFi hozzáférési pontjának MAC-címét. 2. Amennyiben a MAC-cím szerepel az adatbázis feltérképezett WiFi hozzáférési pontjai között, az adatkezelő megjeleníthet egy olyan ellenőrző oldalt, amely egy script kéri az nternetes eszköz ARP tábláját. Elvben a WLAN MAC-címek az ARP a paranccsal megjeleníthetők. A böngészőben lévő kód (például Java) segítségével ezt az ARP-táblát elő lehet állítani a háttérben. 3. Amennyiben a MAC-cím szerepel az ARP-táblában, megállapítást nyer, hogy a WLAN-hoz kapcsolódó felhasználó ugyanaz, akinek hozzáférése van a helyi WLAN MAC-címhez. Az adatkezelő így automatikusan és egyszerűen ellenőrizte a törlési kérést. 17

18 ról, hogy adatkezelői minőségben járnak el, az adatkezelés céljairól, az adatok típusáról, a feldolgozás időtartamáról, az érintetteknek az adatokhoz való hozzáféréshez, az adatok helyesbítéséhez vagy eltávolításához, és a jóváhagyásuk visszavonásához való jogáról. A jóváhagyás érvényessége elválaszthatatlan a szolgáltatással kapcsolatos információk minőségétől. Az információnak világosnak, teljesnek, a nem műszaki érdeklődésű közönség széles köre számára érthetőnek, valamint állandóan és könnyen hozzáférhetőnek kell lennie. Az információnak széles közönséghez kell szólnia. Az adatkezelők amiatt, hogy ügyfeleik okos mobilkészülékek tulajdonosai, nem feltételezhetik, hogy technikailag felkészültek. A tájékoztatásnak igazodni kell az életkorhoz is, amennyiben az adatkezelő tudja, hogy szolgáltatás vonzó a fiatal közönség számára. Ha a földrajzi helymeghatározási alkalmazások szolgáltatói nemcsak egyszer szándékoznak kiszámítani a készülék helyzetét, erről mindaddig tájékoztatniuk kell ügyfeleiket, amíg helymeghatározási adatokat dolgoznak fel. Azt is lehetővé kell tenniük ügyfeleik számára, hogy jóváhagyásukat fenntarthassák vagy visszavonhassák. A fenti célok elérése érdekében az alkalmazások szolgáltatóinak szorosan együtt kell működniük az operációs rendszer fejlesztőjével. Leginkább a fejlesztő van abban a helyzetben, hogy a helymeghatározási adatok feldolgozására állandóan látható módon hívja fel a figyelmet. Ugyancsak leginkább a fejlesztő képes megakadályozni azt, hogy ne kínáljanak olyan alkalmazásokat, amelyek titokban megfigyelik az okos mobilkészülékek hollétét. Ha az operációs rendszer fejlesztője hazatelefonálási szolgáltatást, vagy a készüléken tárolt adatokhoz hozzáférést biztosító egyéb szolgáltatást fejlesztett ki, vagy egyéb módon például harmadik félnek minősülő hirdetők révén hozzáférést szerez a helymeghatározási adatokhoz, előzetesen tájékoztatnia kell az érintettet azokról a (konkrét és jogszerű) célokról, amelyek érdekében ezeket az adatokat kezelni kívánja, valamint az adatkezelés időtartamáról is. Az érintettek tájékoztatására vonatkozó kötelezettség a földrajzi helymeghatározással ellátott WiFi hozzáférési pontokat tartalmazó adatbázisok kezelőire is vonatkozik. A nagyközönséget megfelelő módon tájékoztatniuk kell kilétükről és az adatkezelés céljairól, valamint az egyéb lényegi információkról. Nem elegendő a WiFi hozzáférési pontokkal kapcsolatos esetleges adatgyűjtés puszta megemlítése a földrajzi helymeghatározási alkalmazás felhasználói számára készült külön adatvédelmi nyilatkozatban. A nagyközönség tájékoztatására elegendő online és offline lehetőség áll rendelkezésre. 5.5 Az érintettek jogai Az érintetteknek joguk van arra, hogy a különböző adatkezelőktől hozzáférést kapjanak azokhoz a helymeghatározási adatokhoz, amelyeket az ő okostelefonjaikból nyertek ki, valamint joguk van ismerni az adatok feldolgozásának célját, illetve azokat a kedvezményezetteket vagy a kedvezményezettek kategóriáira vonatkozó információkat is, akiknek az adatokat felfedték. Az információt olvasható formátumban kell biz- 18

19 tosítani, vagyis földrajzi helyek és nem absztrakt számok vagy például bázisállomások feltüntetésével. Az érintetteknek ahhoz is joguk van, hogy hozzáférjenek az ezeken a helymeghatározási adatokon alapuló lehetséges profilokhoz. Az eltárolt helymeghatározási információk esetében a felhasználóknak lehetővé kell tenni az információk frissítését, helyesbítését vagy törlését. A munkacsoport ajánlása értelmében az adatkezelőknek meg kell oldaniuk a biztonságos online hozzáférést a helymeghatározási adatokhoz és a lehetséges profilokhoz. Kulcsfontosságú, hogy a hozzáférés nyújtásához ne kérhessenek pótlólagos személyes adatokat az érintettek személyi azonosságának megállapításához. 5.6 Megőrzés időtartama A földrajzi helymeghatározás és alkalmazások szolgáltatói meg kel határozniuk a helymeghatározási adatok tárolási időtartamát, amely nem lehet hosszabb, mint ami a gyűjtés vagy további feldolgozás céljaihoz szükséges idő. Gondoskodniuk kell arról, hogy a földrajzi helymeghatározási adatokat vagy az ezekből az adatokból kialakított profilokat az indokolt időtartam elérést követően töröljék. Amennyiben az operációs rendszer fejlesztője és/vagy a földrajzi helymeghatározási infrastruktúra kezelője számára a szolgáltatásának fejlesztéséhez bizonyíthatóan szükséges a személyhez nem kötött helymeghatározási adatok gyűjtése, különös gondot kell fordítani annak elkerülésére, hogy ezek az adatok (közvetve) azonosíthatók legyenek. Egyebek között még ha a mobilkészüléket véletlenszerűen kiosztott egyedi készülékazonosító (UDID) azonosítja, ezt az egyedi számot üzemeltetési célokra legfeljebb 24 órára szabad eltárolni. Ennek az időtartamnak a letelte után ezt az UDID-ot tovább kell anonimizálni, közben figyelemmel kell lenni arra, hogy a valódi anonimizálást egyre nehezebb megvalósítani és hogy a kombinált helymeghatározási adatok ettől még lehetővé tehetik az azonosítást. Ezt az UDID-ot sem a készülékhez korábban hozzárendelt vagy a jövőben hozzárendelendő UDID-hoz nem szabad hozzákapcsolni, illetve nem szabad hozzákapcsolni a telefon használójának bármely rögzített azonosítójához (mint a MAC-cím, az IMEI vagy IMSI szám, vagy bármely más ügyfélszámhoz). A WiFi hozzáférési pontokra vonatkozó adatok tekintetében amennyiben egy WiFi hozzáférési pont MAC-címét az okos mobilkészülékek tulajdonosainak folyamatos megfigyelése alapján egy új helyhez társították, az előző helyet az adatok nem megengedett célokra történő felhasználásának (mint a helyüket megváltoztatott személyeket megcélzó marketing) megakadályozása érdekében azonnal törölni kell. 6. Következtetések Az olyan földrajzi helymeghatározási technikák segítségével, mint a bázisállomások adatai, a GPS és a feltérképezett WiFi hozzáférési pontok mindenfajta adatkezelő nyomon követheti az okos mobilkészülékeket, a magatartási mintán alapuló hirdetéstől kezdve egészen a gyermekek megfigyelésének céljáig. 19

20 Mivel az okostelefonok és a tablet számítógépek elválaszthatatlanul hozzá vannak rendelve tulajdonosaikhoz, a készülékek mozgási mintái igen bizalmas betekintést nyújtanak a tulajdonosok magánéletébe. Az egyik nagy veszély az, hogy a tulajdonosok nincsenek azzal tisztában, hogy továbbítják helyzetadataikat és azzal sem, hogy kinek. Egy további kapcsolódó kockázat az, hogy érvénytelen a bizonyos alkalmazások számára a felhasználó helyzetadatainak használatához adott jóváhagyás, mivel a feldolgozás kulcsfontosságú elemei érthetetlenek, elavultak vagy egyéb ok miatt elégtelenek. A különböző érdekeltek felekre (az operációs rendszerek fejlesztőitől az alkalmazásszolgáltatókig, vagy például az olyan közösségi portálokig, amelyek platformjaikba beágyazzák a mobilkészülékek helymeghatározási szolgáltatásait) különféle kötelezettségek hárulnak. 6.1 Jogszabályi keretek Az okos mobilkészülékek földrajzi helymeghatározási adatainak használatára vonatkozó EU-s jogszabályi keretek alapvetően megegyeznek az adatvédelmi irányelvvel. Az okos mobilkészülékek földrajzi helymeghatározási adatai személyes adatok. Az egyedi MAC-cím és a WiFi hozzáférési pont kiszámított helyének összekapcsolását személyes adatnak kell tekinteni. Emellett az átdolgozott 2002/58/EK irányelv csak a bázisállomások adatainak a távközlési szolgáltatók általi kezelésére vonatkozik. 6.2 Adatkezelők Az adatkezelők három csoportját lehet megkülönböztetni. Ezek a következők: a földrajzi helymeghatározási adatok kezelői (egyebek között a feltérképezett WiFi hozzáférési pontok kezelői), földrajzi helymeghatározási alkalmazások és szolgáltatások nyújtói és az okos mobilkészülékek operációs rendszereinek fejlesztői. 6.3 Törvényességi alap Mivel az okos telefonok helymeghatározási adatai bizalmas részleteket árulnak el a tulajdonos magánéletéről, az alkalmazandó legfőbb törvényességi alap az előzetes tájékoztatáson alapuló jóváhagyás. A jóváhagyás nem szerezhető meg az általános feltételek és kikötések keretében. A jóváhagyásnak konkrétan kell vonatkozni az adatkezelés különböző céljaira, beleértve például a profilok létrehozását és/vagy a magatartás alapú megcélzást. Amennyiben a feldolgozás céljai alapvetően megváltoznak, az adatkezelőnek gondoskodnia kell a vonatkozó jóváhagyás megújításáról. Alapértelmezésben a helymeghatározási szolgáltatásnak kikapcsolt állapotban kell lennie. A lehetséges elállási mechanizmus nem jelenti a tájékoztatáson alapuló felhasználói jóváhagyás megszerzésének mechanizmusát. A jóváhagyás problémák forrása alkalmazottak és gyermekek vonatkozásában. Az alkalmazottak tekintetében a munkaadó nem csak akkor fogadhatja el ezt a mechanizmust, amikor az a jogszerű célokhoz bizonyíthatóan szükséges és a 20