Gábor Dénes Fıiskola Adatvéd(elem) 0123/2004 Fehér István Székesfehérvár 2007
Tartalomjegyzék Elıszó 1 1. fejezet: Adatvédelem 4 1.1. Adatvédelemmel kapcsolatos fogalmak 4 1.2. Az adatvédelem törvényi szabályozása 7 1.2.1. Az Európai Unió adatvédelmi szabályozása 9 1.2.2. Adatvédelem Magyarországon 12 1.2.2.1.Az Adatvédelmi törvény célja és alkalmazásának területei, hatálya12 1.2.2.2. A kapcsolódó fogalmak meghatározása 12 1.2.2.3. Az adatkezelés területei és célja 14 1.2.2.4. Az érintett személy jogai és érvényesítésük 15 1.2.2.5. Független ellenırzı hatóság mőködése 15 1.2.2.6. Az adatok biztonságának legfontosabb követelményei 15 1.2.2.7. A nemzetközi adatkezelés körülményei 15 1.2.3. Az adatvédelemhez kapcsolódó egyéb törvények, rendelkezések 16 1.2.3.1.1995. évi LXV. Törvény az államtitokról és a szolgálati titokról 16 1.2.3.2. 2003. évi LIII. Törvény az államtitokról és a szolgálati titokról szóló 1995. évi LXV. Törvény módosításáról 17 1.2.3.3. 1998. évi LXXXV. Törvény a Nemzeti Biztonsági Felügyeletrıl 18 1.2.3.4. 1995. évi CXXV. Törvény a nemzetbiztonsági szolgálatokról 18 1.2.3.5. 2001. évi XXXV. Törvény az elektronikus aláírásról 20 1.2.3.6. 1978. évi IV. törvény a Büntetı Törvénykönyvrıl 20 1.2.3.7. 3/2004. (II. 17.) HM (Honvédelmi Minisztérium) rendelet a fontos és bizalmas munkakörökrıl, valamint a biztonsági ellenırzések szintjérıl 21 1.2.3.8. 79/1995. (VI. 30) Kormányrendelet a minısített adat kezelésének rendjérıl, 21 1.2.3.9. 179/2003. (XI. 5.) Kormányrendelet a nemzetközi szerzıdés alapján átvett, vagy nemzetközi kötelezettségvállalás alapján készült minısített adat védelmének eljárási szabályairól 21
1.2.3.10. 180/2003. (XI. 5.) Kormányrendelet a Nemzeti Biztonsági Felügyelet részletes feladatairól és mőködési rendjérıl, valamint az iparbiztonsági ellenırzések részletes szabályairól 21 1.2.3.11. 43/1994. (III. 29.) Kormány Rendelet a rejtjeltevékenységrıl 22 1.2.3.12. 2003. évi C. törvény Az elektronikus hírközlésrıl (Eht.) 22 1.2.3.12.1. Általános észrevételek a 2003. C. törvény tervezett módosításával kapcsolatban 24 1.2.3.12.2. Részletes észrevételek a 2003. évi C. törvény módosításával kapcsolatban 25 1.3. A magánéletet veszélyeztetı hivatalos kíváncsiság külföldi országokban 36 1.3.1. Megfigyelés minden frekvencián 37 1.3.2. Lehallgatni és megérteni 38 2. fejezet: Az adatvédelem I. eleme: az ellenırzött nyílt forráskódú szoftverek 39 2.1. Történeti áttekintés 39 2.2. Mi is az a forrás, vagy forráskód? 42 2.3. Néhány praktikus elv -A demokratikus állam kötelezettségei 44 2.4. Számítógépes biztonság 45 2.5. Pontatlanságok a szabad (nyílt forráskódú) szoftverekkel kapcsolatban 48 3. fejezet: Az adatvédelem II. eleme: Kriptográfia, biztonságos kommunikáció a hálózatokon 49 3.1. Bevezetés a titkosításba 49 3.2. Mi is a titkosítás? 49 3.3. Szimmetrikus Titkosító Eljárás DES (Data Encryption Standard) 50 3.3.1. A Data Encryption Standard (DES) 51 3.4. Nyilvános kulcsú titkosítás 51 3.4.1. RSA nyilvános kulcsú titkosítás 53 3.5. Digitális aláírás, nyilvános kulcsú architektúra PKI 55 3.5.1. A digitális aláírás Magyarországon 57 3.6. Szteganográfia (nagyon rejtett jelek) 58 3.6.1. A szteganográfia számítógépes alkalmazásának lehetıségei 59 4. fejezet: Az adatvédelem III. eleme: az eszköz, avagy a kommunikáció 61 4.1. Az elektronikus adatfeldolgozás alapvetı kockázatai 61 4.2. Az internetes csatlakozás veszélyei 62 4.3. A vállalaton belüli intranetek veszélyei 62
4.4. Hálózatok lehallgatása 63 4.5. Kisugárzás biztonság (Emission Security Emsec) 65 4.6. A vezeték nélküli (WiFi) hálózatokhoz kapcsolódó biztonsági problémák és megoldások 68 4.6.1. WEP 68 4.6.2. 802.11i 68 4.7. Adatkapcsolati protokollok 70 4.7.1. CRC Cyclic Redundancy Check 74 4.8. Az infokommunikációs rendszerek támadása 75 5. fejezet: Az adatvédelem IV. Eleme: az objektum 80 5.1. Terror-támadások végrehajtása az információs rendszereken keresztül 80 5.2. Számítóközpontok fizikai védelmének jelentısége 84 6.fejezet: Az adatvédelem V. eleme: az ember 86 6.1. Személyazonosítási alapmódszerek 86 6.1.1. Jelszó, avagy tudás alapú azonosítás 87 6.1.2. Kulcs, avagy birtok alapú azonosítás 88 6.1.3. Biometrikus azonosítás 89 6.2. Az azonosítás megbízhatóságának mérıszámai 91 6.3. A biometrikus azonosítás alkalmazási területei 92 6.4. High-end vagy low-end alkalmazások 92 6.5. Aktív vagy passzív személyazonosítás 92 6.6. Tömeges vagy individuális személyazonosítás 93 Irodalomjegyzék 94
Ábrajegyzék 1.1 ábra: Adat, információ, ismeret 4. oldal 1.2 ábra: Adatvédelem, biztonság, informatika 7. oldal 1.3 ábra: Adatvédelmi szabályozás rendszere 8. oldal 3.1 ábra: A PKI infrastruktúra elemei 56. oldal 3.2 ábra: A PKI infrastruktúra alapelvei 57. oldal 4.1 ábra: Információk a rétegben 70. oldal 4.2 ábra: Keretezés nem használt állapottal 73. oldal
Adatvéd(elem) 1 Elıszó Az Információs társadalom Az információrobbanás az emberi társadalomban akárcsak az ısrobbanás a világegyetemben elindított egy visszafordíthatatlan folyamatot, ez az információs társadalmak kialakulása. Mivel a folyamat kezdete történelmi léptékkel mérve néhány másodperce zajlik (tehát kevés hiteles tapasztalattal rendelkezünk e tárgyban), és az exponenciális változások az emberek mindennapi életét nagymértékben befolyásolják, így könnyen válik ez az egész jövınket meghatározó témakör, az üzleti vállalkozások és a napi politika martalékává. Az információs társadalom nem csak azt jelenti, hogy korszerő kommunikációs technológiákat használunk, vagy beleolvadunk egy információgyőjtı hálózatba. Az információs társadalom fogalmát úgy is megközelíthetjük, hogy akármelyikünkrıl soha a történelem folyamán ennyi adatot soha nem tároltak, ezen kívül ezeket az adatokat soha nem volt ilyen könnyő megszerezni, továbbítani, nyilvánosságra hozni és társítani. Ha száz évvel ezelıtt találkoztunk valakivel mindössze annyi információnk volt róla, amennyit ı maga elmondott, esetleg amit szőkebb környezetében mások mondtak róla. Ma azonban információt győjtenek rólunk, valahányszor hitelkártyával fizetünk, belépünk egy középületbe vagy bankba, az Interneten szörfölünk vagy éppen egy könyvtárba iratkozunk be. Magyarországon a nyolcvanas években vezették be a személyi számot, ami a számítógépek elterjedésével párhuzamosan az adatkezelés megkönnyítését szolgálta az államigazgatás számára. Eltelt néhány év, és mire mindenki megtanulta a saját számát, eltörölték annak általános használatát. A legtöbben azóta sem értik, miért kellett a jól mőködı, gyors felismerést lehetıvé tevı és mindenütt használható rendszert éppen abban a pillanatban megszüntetni, amikor szinte az egész társadalom által elfogadottá vált. Pedig épp ezzel volt a baj: túl jól mőködött, túl gyors volt és mindenütt használható, így bármilyen számítógépes adatbázisból szinte azonnal visszakereshetı volt a személyi számmal jelölt emberrıl összegyőjtött összes információ. Azaz nem csak annyi, amennyire az adott esetben az ügyféllel kapcsolatban álló hivatalnak vagy szervezetnek szüksége lehetett. Az állam megvédi magától az állampolgárokat: ez az európai történelemben is új dolog. Csak a XX. Század hatvanas éveiben alkották meg az elsı adatvédelmi törvényeket a
Adatvéd(elem) 2 kontinensen, ahol fontosabbnak tartják a magánélet védelmét, mint az Egyesült Államokban, ahol az információáramlás szabadságának van elsıbbsége. Az Amerikai Egyesült Államokban nincs az európai értelemben vett adatvédelmi törvény. Az USA-ban jelenleg is folyik a vita arról, vajon megteremthetık-e a magánszféra védelmének feltételei az egyes, adatkezeléseket tömegesen végzı szervezetek (direkt marketing cégek, stb.) önszabályozásával, vagy az amerikai hagyományokhoz kevésbé illeszkedı állami beavatkozásra, törvény alkotására van szükség. A Global Watching Surveillance doktrínája alapján Amerika minden emberrıl mindent igyekszik tudni, rendszerezni, felderíteni, függetlenül attól, milyen ország vagy jogrend polgára, saját polgárait is beleértve. Az Egyesült Államokhoz hasonlóan Ukrajnában a Távközlési és Információs Állami Bizottság (GoszKomSzvjaz) 122. számú rendelete hatályba lépése után az Internetszolgáltatók központjait megfigyelı rendszerekkel látták el. Ezzel megkezdıdött az amerikai típusú Nagy testvér uralom az egykori keleti tömb országaiban is. Az ilyen és ehhez hasonló hatalmi törekvések dolgoznak leginkább ellene a valódi adatvédelmi törekvéseknek. A személyes adatok védelme emberi jog, érvényes rá az emberi jogok és az alapvetı szabadságjogok védelmére vonatkozó egyezmény 8. cikkelye. Ez megállapítja a magánélet és a családi élet tiszteletben tartásához való jogot, ami kiterjed a magán és személyes információkra és adatokra is. Számos országban az alkotmány szabályozza a személyes adatok védelmét, ilyen például az osztrák adatvédelmi törvény, amelyet 2000-ben módosítottak, hogy megfeleljen az európai adatvédelmi irányelvnek. A 20. század tudományos és technikai eredményeit túlnyomó részt a második világháború és a hidegháború inspirálta. A számítógépeket azért kellet kifejleszteni, hogy az ellenség titkosított kódjait könnyebb legyen megfejteni, vagy a munka nagy részét a számítógép végezze el. A számítógép használata világszerte elterjedt, megállíthatatlanul és elkerülhetetlenül információs társadalommá változott társadalmunk, ahol az információ nagy érték és hatalom. Tudnunk kell azt, hogy az információ megszerzése, továbbítása és felhasználása mindannyiunk személyes adatait is érintheti, illetve érinti. Az egyén és a rá vonatkozó adatok védelme általános problémát jelent. Teljesen mindegy, hogy a nemzeti törvénykezés miként rendelkezik az egyén magánéleti- és személyes adatvédelmével, az egyénre vonatkozó törvénynek globalizáltnak kell lenni, hiszen az egyén adatai megjelennek mindenhol, ahol az
Adatvéd(elem) 3 internetes szerver mőködik, különbözı fizetıhelyen, ahol bankkártyával fizet, vagy megfigyelı kamera mőködik. Az adatvédelem végcélja, az ilyen szintő adatvédelmi szabályozás kiterjesztése, globalizálása, hiszen egyre inkább a számítógépes megfigyelés korszakában élünk. Az információs társadalom legfontosabb polgári joga a magánélet és a személyes adatok védelme. Mert a jelenlegi világban az információs társadalom az egyén nyomtalanul nem mozoghat, nem létezhet. A számítógépek és a számítógépes adatok védelme egyre növekvı jelentıséggel bírnak, ennek megfelelıen egyre nagyobb érdeklıdés mutatkozik a számítógép-biztonság iránt. A védelem jelentısége lényegesen megnıtt a hálózatok megjelenésével, a védekezés összetettebbé és bonyolultabbá vált, és a felhasználóknak eddig nem ismert veszélyforrásokkal kell szembenézniük. Joggal érezhetik magukat fenyegetve intézmények, személyek. Digitálisan tárolt, továbbított információikat, adataikat ellophatják, torzíthatják, hálózati rendszereiket tönkretehetik. Veszélybe kerültek az Internet klasszikus értékei is. A számítógépes adatbiztonsági megoldások célja az informatikai rendszerben tárolt, feldolgozott adatok bizalmasságának, hitelességének, illetve elérhetıségének védelme azon személyek ellen, akik ezt veszélyeztetik.
Adatvéd(elem) 4 1. fejezet: Adatvédelem 1.1. Adatvédelemmel kapcsolatos fogalmak A téma részletes tárgyalása elıtt ismerkedjünk meg a fontosabb fogalmakkal! Ahhoz, hogy az adatok védelmérıl beszélhessünk, definiálnunk kell, hogy mi az adat. Ehhez elıször vizsgáljuk meg, hogy mit nevezünk ismeretnek, és a továbbiakban tekintsük ezt alapfogalomnak, amit a következıképpen írhatunk körül: ismeretnek nevezünk mindent, amit az életünk folyamán elsajátítunk, és céljaink eléréséhez felhasználunk. Tehát az egyes emberek tudása ismeretek összessége. Ezeket az ismereteket hordozzák az adatok. Minden adat önálló jelentéssel bír, amit információnak nevezünk, és ezekbıl az információkból építhetjük fel az ismereteket. E három fogalom és a köztük lévı kapcsolatok megértését segíti a következı (1.1) ábra. Adat Adat Információ Információ ISMERET Adat Információ Adat Adat Információ Információ ISMERET 1.1. ábra: Adat, információ, ismeret Az ember alapvetı tulajdonságai közé tartozik az új információk, ezáltal az új ismeretek megszerzésére való törekvés. (Ez a tudásszomj, vagy más szemszögbıl nézve a kíváncsiság.) Az ismeretszerzés egyik lehetısége az alábbi négy lépésbıl álló folyamat: 1. minden adatot valamilyen közeg hordoz, ezért elıször ezzel a közeggel kell kapcsolatba kerülni (észlelés),
Adatvéd(elem) 5 2. az érzékszerveink segítségével felfogjuk az adatot (érzékelés), 3. az adat értelmezése, az információ kinyerése és annak eltárolása (felfogás), 4. az újonnan megszerzett és a meglévı információkból és ismeretekbıl kognitív folyamatok segítségével újabb ismeretek megszerzése (megértés). A fent említett folyamaton kívül új adatok nélkül, a meglévı ismereteink feldolgozásával és megfelelı következtetésekkel is szert tehetünk újabb ismeretekre. Mi is az adat? A BS 7799 informatikai szabvány alapján: Az adat tények, elképzelések, utasítások formalizált ábrázolása ismertetés, feldolgozás, illetve távközlés céljára. Ez azt jelenti, hogy az adat bıvebb fogalom a személyes adatnál. Az adatok biztonság érzékenységi osztályozása elıtt (vagy inkább egy magasabb szinten) van egy jogi, illetve funkcionális jellegő osztályozás is. Eszerint lehetnek egyfelıl személyes adatok, másfelıl közérdekő adatok; e két nagy osztályon belül lehetnek üzleti titkok, orvosi titkok, minısített adatok (azon belül államtitkok, szolgálati titkok), belsı használatú és döntés elıkészítı adatok stb. Az adatkezelınek e kategóriák, és funkciók alapján kell meghatároznia a védelmi osztályt, illetve az adatnak a biztonság érzékenységét. Tehát az információ rendszerekben például biztonság kritikus lehet nem csak a személyes adat, hanem általában az adatok (pl. üzleti adatok), és az egyéb informatikai erıforrások is. Az erıforrások az adat, ember, technológia (hardware, netware, rendszer software), alkalmazás, kisegítı berendezések, helyiségek eszközök bármelyike. Az MSZ ISO/IEC 17799 INFORMÁCIÓTECHNIKA, Az informatikai biztonság menedzselésének rendje, tárgyú szabvány 5.2 pontja szerint: Az információkat (a BS 7799 szerint az információt konvencionálisan adatként értelmezzük), adatokat osztályozni kell biztonság érzékenységük, fontosságuk, és a szükséges védelem szerint. Ebbıl következik, hogy a védelmi intézkedések erısségét ennek megfelelıen kell meghatározni. Egy másik megközelítés alapján, ami a Magyar Értelmezı Kéziszótár 1972-es kiadásában olvasható:
Adatvéd(elem) 6 Az adat: 1. fınévként: valakinek vagy valaminek a megismeréséhez, jellemzéséhez hozzásegítı (nyilvántartott) tény, részlet. 2. Jogi értelemben: bizonyítékul felhasználható tény. 3. Tudományos értelemben: Mőszerrıl leolvasható vagy kísérlettel megállapított számszerő tény, eredmény. Ez utóbbi megfogalmazás elsı pontjának felelnek meg az adatvédelem tárgyát képezı személyes adatok is. Titkosszolgálati vagy rendészeti értelemben: Az adat, minden olyan tény cselekedet, tevékenység, amelynek rögzítésével az egyénrıl újabb tényeket tudhatunk meg, olyan tényt is, amelyet soha nem mondott ki, nem írt le, és amely tárolása alapvetı fontosságú ahhoz, hogy az illetı életprofilját abból létrehozhassuk. Ez tartalmazza mozgását, betegségeit, anyagi és nem anyagi erısségeit, gyengéit, szokásait stb., amelyek szükségesek annak megítéléséhez, hogy az illetı egy adott vonatkozásban számításba jöhet-e, illetve egy adott szisztéma számára jelent-e veszélyt, kockázatot. Kiterjesztett értelemben ezt nem csak a nemzetbiztonsági szolgálatok, hanem akár cégek, adóhivatal stb. is alkalmazza, használja. Magyarországon ezen adatok felhasználásának ilyen célú kiterjesztésére tett kísérletet a Gazdasági és Közlekedési Miniszter által visszavont, 2003. évi C. törvény (az elektronikus hírközlésrıl) módosításának tervezete, amelyet a késıbbiekben részletesen elemzek a szakdolgozatomban. A továbbiakban az információk - az azokat hordozó adatok - megvédésérıl, annak fontosságáról és gyakorlati módszereirıl lesz szó. Elıször az adatvédelem, azaz a téma jogi oldala, majd általánosan az adatbiztonság, végül ennek speciális területe az informatikai biztonság kerül tárgyalásra. Ezeknek a területeknek a kapcsolatát szemlélteti a következı (1.2) ábra.
Adatvéd(elem) 7 Minıségbiztosítás Informatika Informatikai biztonság Védelemtudomány (hagyományos biztonság) Jogtudomány (adatvédelem) 1.2. ábra Adatvédelem, biztonság, informatika 1.2 Az adatvédelem törvényi szabályozása Az adatvédelem egy sokféleképpen definiálható fogalom. Talán ez az oka annak, hogy téves értelmezésekbıl adódóan gyakran keverik össze a késıbb tárgyalásra kerülı adatbiztonsággal. Míg az adatbiztonság valamennyi adat különbözı negatív hatások elleni védelmét, biztosítását jelenti, addig az adatvédelem tárgyát a személyes adatok képezik. Feladata, hogy mindenki számára biztosítsa a saját adataival való szabad rendelkezést, így az adatokon keresztül az érintett személyt védi. Ezt különbözı törvények, jogszabályok és ajánlások segítségével oldja meg. A védelem akkor megfelelı, ha általa a személyes adatok a magántulajdonnal közel azonos elbírálás alá esnek, azaz mindenki szabadon választhatja meg, hogy a saját adatait mely személyeknek és szervezeteknek adja át, ezáltal lehetıvé teszi számukra azok kezelését. Valamint a jogszabályoknak biztosítani kell azt is, hogy ezek az adatkezelık a tudomásukra jutott személyes adatokat harmadik személynek nem adhatják tovább az érintett személy beleegyezése nélkül. Ezt a védelmet nem szabad egy-egy ország területére korlátozni, hanem biztosítani kell a jogszabályok folytonosságát az országhatárokon kívül is. Ehhez nemzetközi érvényő törvények és az egyes államokon belüli jogi szabályozás közel azonos szintre emelése szükséges.
Adatvéd(elem) 8 Az adatvédelmi szabályozás egymásra épülı, kölcsönhatásban lévı szintekbıl áll. Ez a szerkezet látható az 1.3. ábrán. NEMZETKÖZI TÖRVÉNYEK, RENDELKEZÉSEK NEMZETKÖZI AJÁNLÁSOK NEMZETKÖZI IRÁNYELVEK NEMZETI SZABÁLYOZÁS INTÉZMÉNYI SZABÁLYOZÁS 1.3. ábra Adatvédelmi szabályozás rendszere A nemzetközi törvényi szabályozás alkotja az adatvédelem legfelsı szintjét (ide tartozik például az Európa Tanács Adatvédelmi Egyezménye [EU_TS108]), mely nemzetközi törvények figyelembe vétele szükséges az egyes nemzetek adatvédelmi szabályozásának kialakításakor, hogy az országhatárokat átlépı biztonságos adatforgalom létrejöhessen. A második szint a nemzetközi szervezetek által kiadott ajánlásokból és irányelvekbıl áll. Ez egy köztes szint a nemzetközi és a nemzeti jogalkotás között. Az itt található dokumentumok nem kötelezı érvényőek az egyes országokra nézve, csak elısegítik a
Adatvéd(elem) 9 nemzetek adatvédelmének minél pontosabb összehangolását, ezek lényegében a nemzetközi jogszabályok pontosításai. Az egyes országok adatvédelme alkotja a harmadik szintet, mely törvényeket az elızı két szinttel összhangban kell kialakítani. Ellenkezı esetben az adatforgalom szempontjából egyoldalúan elszigeteltté válhat az ország, azaz a nemzetközi adattovábbítás ebbe az országba meghiúsulhat. Végül a legalsó szinten helyezkednek el az egyes adatkezelı intézményeken belül megalkotott szabályok, melyek elkészítésekor figyelembe kell venni valamennyi - a felsıbb szinteken lévı - kötelezı érvényő dokumentumot. (Általában elég ezeket a szabályokat az ország adatvédelmi törvényeihez igazítani, ha azok a nemzetközi normáknak megfelelnek.) Mint az az 1.3. ábrán is látható, a felsı három szint közötti hatások kétirányúak, azaz elıfordulhat, hogy egy-egy ország adatvédelmi szabályai alapján módosítják a nemzetközi törvényeket, ajánlásokat (nemzetközi érvényővé válnak). Természetesen az egyes intézmények is megalkothatnak olyan belsı szabályokat, melyek esetén hasonló folyamat megy végbe ezen szabályok és az állami törvények között, de ez lényegesen ritkább eset, ezért ezek az irányok nem szerepelnek az ábrán. Ezek után vizsgáljuk meg részletesebben a nemzetközi (az Európai Uniós) és a hazai törvényeket, ajánlásokat illetve irányelveket. 1.2.1. Az Európai Unió adatvédelmi szabályozása Az Európai Unió alapító szerzıdése 6. cikkének (2) bekezdése kimondja, hogy az Európai Unió tiszteletben tartja az alapvetı jogokat, mint a közösségi jog általános alapelveit, ahogyan azokat az Európai Emberi Jogi Egyezmény garantálja, és ahogyan azok a tagállamok közös alkotmányos hagyományaiból következnek. Ebbıl következıen, tehát az EU alapelvként ismeri el az Európai Emberi Jogi Egyezmény 8. cikkébıl fakadóan a magánélet védelméhez való jogot. Ki kell emelni, hogy továbbra is a legfontosabb európai adatvédelmi dokumentum az Európai Tanács Adatvédelmi Egyezménye, amelyet az unió magára nézve kötelezınek fogad el, és az Acquis Communautaire (közösségi jogi vívmányok) részeként ismer el. A jövıre nézve az Európai Unió Alapjogi Kartájának 8. cikke ezt az elvet továbbfejlesztve már tételesen kimondja, hogy mindenkinek joga van személyes adatainak védelméhez. Deklarálja a célhoz kötöttség, a személyes adatokkal való önrendelkezés, az adatokhoz való hozzáférés, és helyesbítés jogát, valamint leszögezi, hogy független adatvédelmi ellenırzı szerv mőködtetésére van szükség. Ugyanakkor azonban az Unió
Adatvéd(elem) 10 alapvetı célja a személyek, az áruk, a szolgáltatások és a tıke szabad áramlásán alapuló egységes belsı piac létrehozása és mőködése. Ennek elérése érdekében elengedhetetlen a személyes adatok szabad áramlásának lehetıvé tétele, valamint az egyéni jogok és szabadságok azonos védelmének megteremtése. Az Adatvédelmi Egyezmény kizárólag az automatikusan kezelt adatokra vonatkozik, azaz a hatálya nem terjed ki a hagyományos adatkezelésekre, amely esetekben egyáltalán nem - vagy csak igen ritkán - fordul elı, hogy az adatok (az adathordozók) továbbítása nemzetközi mértékő, így ott elég a nemzeti szabályozás. Ugyanakkor az egyezmény ajánlásnak is tekinthetı a hagyományos adatkezelés esetében, azaz a megegyezı felek külön nyilatkozatot tehetnek arról, hogy a hagyományos módon végzett adatkezelések esetében is az egyezményben foglaltak szerint járnak el. Így elısegíthetik a nemzeti adatvédelem egységes, adatkezelési formától független megvalósítását. Az egyezmény az -emberi jogokra, az -alapvetı szabadságra, a -magánélet védelméhez való jogra valamint az -információszabadságra hivatkozva írja elı a szerzıdı feleknek az országhatáraikon belül folyó adatkezelések esetén az adatok jogszerő megszerzését, feldolgozását és megfelelı védelmét. Az adatok tárolásának és kezelésük céljának törvényesnek, valamint a tárolt adatoknak mindenkor pontosnak és naprakésznek kell lenniük. Ezeken kívül az egyezmény foglalkozik az országhatárokat átlépı adatáramlás szabályozásával, aminek az alapelve az, hogy a megegyezı felek az országaik közötti adatforgalmat semmilyen mértékben sem korlátozzák, kivéve, ha az adatokat küldı ország adatvédelmi szabályozása a célországénál - és ezáltal az egyezményben rögzítetteknél - lényegesen szigorúbb, vagy fennáll a veszélye az adattovábbítás során a bizalmas adatoknak a felek területérıl való kijutásának. Fontos részét alkotja az egyezménynek a felek közötti kölcsönös segítségnyújtási megállapodás, azaz 1. Minden egyes Fél segítséget nyújt bármely külföldi lakóhelyő adatalanynak, hogy az a jelen Egyezmény 8. cikkében foglalt alapelveket érvényesítı hazai törvényben biztosított jogokat gyakorolhassa. (Európa Tanács Adatvédelmi Egyezménye 14. cikk) Az egyezmény elıírja egy Tanácsadó Bizottság létrehozását, hogy ezáltal is elısegítse a benne foglalt szabályok érvényesítését és esetleges tökéletesítését. Ez a bizottság nem rendelkezik ugyan döntési jogkörrel, de a felek között felmerülı vitás kérdések megoldását a
Adatvéd(elem) 11 tanácsaival és véleményével is nagymértékben segítheti, és az egyezmény módosítására is csak javaslatot tehet, miután a felek vagy a Miniszterek Bizottsága által javasolt módosítási tervet megvizsgálta. Az Adatvédelmi Egyezmény mellett az Európai Unió tagországai az Európa Tanács által kiadott Ajánlásokban és Irányelvekben határozzák meg azokat a kritériumokat, amelyeket az egyes országok adatvédelmi törvényeinek teljesíteni kell, hogy az Európai Unió területén az információk szabad áramlása minél zökkenımentesebben történhessen. (Ezen rendelkezések betartása nem kötelezı, de figyelmen kívül hagyásuk az országba történı adatáramlás gátja lehet.) Az egyes országoknak az alábbi területeken kell jogszabályokat alkotni: a szabályozó törvény célja és alkalmazásának területei, a szabályozó törvény hatálya, kapcsolódó fogalmak pontos meghatározása, az adatkezelés területei és célja, az érintett személy jogai és érvényesítésük, független ellenırzı hatóság mőködtetése, az adatok biztonságának legfontosabb követelményei és a nemzetközi adatkezelés körülményei. Egy másik nemzetközi csoportosulás, a Gazdasági Együttmőködési és Fejlesztési Szervezet (OECD) is megalkotta a saját adatvédelmi egyezményét, de ez az Európai Tanács rendeletével ellentétben csak tanács, amely a tagokra nézve nem kötelezı érvényő, de segítséget nyújthat a saját jogszabályaik kialakításához. Ezeket a tanácsokat az OECD Irányelveinek [OECD_PP80] nevezzük. Ezek az irányelvek lényegében az Adatvédelmi Egyezményben foglaltakkal azonos rendelkezésekbıl állnak, de azzal ellentétben a hatályuk kiterjed mind a hagyományosan, mind az automatikusan végzett adatkezelésre és továbbításra. Az Európa Tanács Adatvédelmi Egyezménye az 1.3. ábrán bemutatott hierarchia legfelsı szintjén áll. A második szinten helyezkednek el az Európa Tanács Ajánlásai és az OECD Irányelvei. Az ezek alatti szinten található az egyes tagországok (köztük Magyarország) adatvédelmi szabályozása.
Adatvéd(elem) 12 1.2.2. Adatvédelem Magyarországon Az adatvédelmi szabályozás hazai történetének legjelentısebb alkotása az 1992. évi LXIII. törvény (a továbbiakban: Adatvédelmi törvény vagy Avtv.), amely 1993. május 1-jén lépett hatályba, illetve ennek a törvénynek a módosítása, a 2003. évi XLVIII. Törvény, amely 2004. január 1-jén lépett hatályba. A 2003. évi törvénymódosítás már az elıbbiekben említett Európai Adatvédelmi Egyezménnyel összhangban áll, illetve a szintén elıbb említett európai ajánlás által megszabott nyolc témakörben is megfelelı szabályozást biztosít. 1.2.2.1. Az Adatvédelmi törvény célja és alkalmazásának területei, hatálya Az adatvédelmi törvény hatálya kiterjed a hagyományos és az automatizált adatkezelésre egyaránt, célja az adatok feldolgozása és továbbítása során a megfelelı védelem garantálása a bizalmas adatok számára, valamint a közérdekő adatok megismeréséhez való jog biztosítása az állampolgároknak. Ezzel egyszersmind az Alkotmány idevágó részének pontosítása, kiterjesztése és az Európa Tanács Adatvédelmi Egyezményének megfelelı hazai szabályozás biztosítéka. A törvény teljes egységet alkot abban az értelemben, hogy a benne foglaltaktól csak abban az esetben szabad eltérni, ha arra maga a törvény ad engedélyt. Ezeket a kivételeket is csak konkrét adatfajtákra és adatkezelıre együttesen lehet megállapítani, ami meggátolja a kivételes esetek általános kezelését. 1.2.2.2. A kapcsolódó fogalmak pontos meghatározása A törvény alkalmazásához szükséges fogalmi meghatározásokból egyértelmően következik, hogy minden, az országban zajló adatkezelés esetén alkalmazni kell a törvény rendelkezéseit. A személyes adatok védelmével kapcsolatos legfontosabb fogalmak a következık: személyes adat: meghatározott személlyel kapcsolatba hozható adat, amelybıl az érintettre vonatkozó következtetéseket lehet levonni (egy személy akkor tekinthetı azonosíthatónak, ha ıt - közvetlenül, vagy közvetve - név, azonosító jel, illetve fizikai,
Adatvéd(elem) 13 fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemzı tényezı alapján azonosítani lehet); különleges adat: faji eredetre, nemzeti és etnikai hovatartozásra, politikai véleményre, világnézetre, szervezeti tagságra, egészségi állapotra, kóros szenvedélyre és szexuális véleményre vonatkozó adat. Valamint ide sorolhatók még a bőnügyi személyes adatok; bőnügyi személyes adat: bőnmegelızı és büntetés-végrehajtási intézményeknél keletkezett, bőncselekménnyel vagy büntetıeljárással összefüggésben lévı, az érintettel kapcsolatba hozható adatok; közérdekő adat: közfeladatot ellátó szerv vagy személy kezelésében lévı adat, mely az elızı három csoport egyikébe sem sorolható; közérdekbıl nyilvános adat: minden olyan adat, melynek nyilvánosságra hozatalát - a köz érdekében - törvény rendeli el; hozzájárulás: az érintett személy önkéntes és határozott nyilatkozata, amellyel beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez; tiltakozás: az érintett személy nyilatkozata, amelyben az adatkezelés megszüntetését, a kezelt adatok törlését kéri; adatkezelı: adatkezelés fogalma alá tartozó tevékenységeket végzı személy (lehet természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezı szervezet); adatkezelés: alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely mővelet, vagy mőveletek összessége, úgymint győjtés, felvétel, rögzítés, rendszerez és, tárolás, megváltoztatás, felhasználás, összekapcsolás, zárolás és törlés; (Adatkezelésnek számít a továbbítás és a nyilvánosságra hozatal is.) adattovábbítás: meghatározott harmadik személy az adatokhoz való hozzáférésének engedélyezése; nyilvánosságra hozatal: az adat mindenki számára hozzáférhetıvé tétele; adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy azok visszaállítása nem lehetséges; adatzárolás: az adatok továbbításának, megismerésének, nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának és felhasználásának végleges vagy ideiglenes megakadályozása; adatfeldolgozás: az adatkezelési mőveletekhez kapcsolódó technikai feladatok elvégzése (függetlenül az alkalmazott eszköztıl és módszertıl); adatfeldolgozó: az adatkezelı megbízásából az adatfeldolgozást végzı személy.
Adatvéd(elem) 14 Az elsı három adatkategória (személyes adatok, különleges adatok és bőnügyi személyes adatok) közül a személyes adatok a legáltalánosabbak. A másik két csoportba tartozó adatok esetén bizonyos esetekben a törvény kivételes adatkezelést ír elı, aminek a lényege, hogy ezek az adatok csak az érintett személy írásbeli hozzájárulása mellett kezelhetık. Az adatkezelés - a fenti meghatározás szerint - az adatokra alkalmazható minden elképzelhetı mőveletet felölel, ellenkezı esetben egyes adatkezelési technikákkal lehetıség nyílna a szabályok megkerülésére. 1.2.2.3. Az adatkezelés területei és célja A törvény kimondja, hogy a személyes adatok csak az érintett beleegyezésével kezelhetık, azaz biztosítja az állampolgárok információs önrendelkezési jogát, ami az adatkezelésekkel kapcsolatos személyiségi jog összefoglalása. Ezeket a jogokat kivételes esetben törvény (pl. az adózás rendjérıl szóló 1990. évi XCI. törvény), vagy helyi önkormányzati rendelet korlátozhatja. De személyes adatok nyilvánosságra hozatalát csak törvény rendelheti el, hiszen ez az intézkedés az érintett személyiségi jogait jelentıs mértékben korlátozza. Minden kétséges esetekben úgy kell eljárni, mintha az érintett személy az adatok kezelését nem engedélyezte volna. Ellenkezı esetben a törvény megkerülhetıvé, kijátszhatóvá válna. Ez a rendelkezés is elısegíti a személyes adatok védelmének elsıbbségét a nagy adatkezelı szervezetek gazdasági és hatalmi érdekeivel szemben. Személyes adatokat csak meghatározott célból szabad kezelni, és csak a cél megvalósításához elengedhetetlenül szükséges adatok kezelése megengedett. A védelem biztosításán túl a törvény az érintettel szembeni teljes körő tájékoztatási kötelezettséget ír elı az adatkezelık számára, és a kezelt adatok minıségével szemben is támaszt követelményeket.
Adatvéd(elem) 15 1.2.2.4. Az érintett személy jogai és érvényesítésük Az információs önrendelkezési jog mellett biztosítani kell az állampolgároknak, hogy tudomást szerezhessenek arról, hogy személyes adataikat ki, hol, milyen célból kezeli, és azokhoz milyen forrásból jutott hozzá. Így minden adatkezelınek az általa kezelt adatok alanyaival szemben tájékoztatási kötelezettsége van. E tájékoztatás alapesetben az adatkezelı ingyenes szolgáltatása, ami törvény által meghatározott esetekben megfelelıen részletes indoklás mellett - megtagadható. 1.2.2.5. Független ellenırzı hatóság mőködtetése Az adatvédelmi jogszabályok betartásának felügyeletét az adatvédelmi biztos látja el. Hasonlóan a korábban említett nemzetközi tanácsadó bizottsághoz önálló döntési jogkörrel nem rendelkezik, csak véleményt nyilvánít az egyes esetekben. E felügyelet ellátásának érdekében valamennyi az ország határain belül zajló adatkezelési eljárásba - a titkos nemzetbiztonsági adatokat kivéve - szabad betekintéssel rendelkezik. Valamennyi adatkezelı szervezet munkájának megkezdése elıtt fel kell vetetnie magát az adatvédelmi nyilvántartásba, amit az adatvédelmi biztos vezet, ezzel is elısegítve az egyes adatkezelési folyamatok ellenırzését (ez a nyilvántartás mindenki számára hozzáférhetı). Munkájában az adatvédelmi biztost az adatvédelmi iroda segíti. 1.2.2.6. Az adatok biztonságának legfontosabb követelményei Az adatvédelmi törvény elıírja, hogy a kezelt adatok biztonsága érdekében az adatkezelı köteles megtenni a szükséges technikai és szervezési intézkedéseket és kialakítani az adatkezelési eljárás törvényességét biztosító szabályokat. 1.2.2.7. A nemzetközi adatkezelés körülményei A nemzetközi adatkezelésnek illetve adattovábbításnak az számít, ha a célország nem tagja az Európai Uniónak, azaz az uniós országokba való adattovábbítás jogi értelemben nem különbözik az országhatárokon belüli adatkezelésektıl. Az adatok továbbítása kizárólag akkor engedélyezett, ha ahhoz az érintett hozzájárult (vagy törvény teszi kötelezıvé azt). Harmadik országba (amely nem tagja az Európai