4. fejezet - Adatbiztonság szabályozása, magyar törvények

Polgári társadalmakban a természetes és jogi személyek kötelességeit, tevékenységeik korlátait és egymással való együttműködéseik keretét, legmagasabb szinten, törvényekben fogalmazzák meg. A kézzel és géppel írott valamint nyomtatott dokumentumok kezelése és hitelességének biztosítása régen bekerült a törvénnyel szabályozandó témák közé. Életünk során nagyon sok, fontos dokumentum készül rólunk. Identitásunkat végső soron az anyakönyv bizonyítja, erről készül a születési anyakönyvi kivonat. A 4.1 ábrán egy 1902-ben készült anyakönyvi bejegyzést látunk. Tanulmányaink eredményét a képző helyek által kiállított bizonyítványok, nyelvtudásunkat a nyelvvizsga bizonyítvány igazolja, hogy csak néhány példát említsünk.

4.1 ábra

A jogi személyek identitását az alapító okirat bizonyítja. Ez rögzíti a tulajdonosok és a képviselők személyét. Működésük során folyamatosan keletkeznek hozzájuk kapcsolódó szerződések, számlák és még számtalan különböző dokumentum. Témánk szempontjából különösen fontosak a szerződések, hiszen konkrét esetben azok határozzák meg a felek jogait és kötelezettségeit. Vitás esetben csak hiteles szerződés alapján dönthet harmadik fél, általában a bíróság a felek között.

Az informatika és a szórakoztató elektronika fejlődése következtében az 1970-as években terjedt el adatok tömeges elektronikus rögzítése. A fejlődés motorja a szórakoztató elektronika volt és főként a mágnesszalagokon tárolt hangfelvételeket és filmeket jelentette. Ezek döntően analóg jelek tárolását jelentette. A számítógépek ezzel szemben digitális technikával dolgoztak. A két terület fejlődése alapvetően megváltoztatta a dokumentumok fizikai megjelenését. A megfogható, lapozható, aláírható, lepecsételhető papírlapokról nagyon gyorsan átkerültek a számítógép memóriájába. Virtuális alakjuk persze materializálódhat is, de csak külön kívánságra. Jelen tananyag is virtuális formában készül. Talán nyomtatnak belőle néhány példányt, de az olvasókhoz főleg digitális formában jut majd el.

Az új technológia sokkal egyszerűbbé és olcsóbbá tette például a hangfelvételek és a szoftverek tömeggyártását. Az elektronikusan rögzített – analóg és digitális - adatokat azonban könnyű másolni is. Erre persze a felhasználók is rájöttek és megindult az adathordozók magáncélú másolása, amely sokszor ipari méreteket is öltött. A szerzői jog klasszikus szabályozási mechanizmusait alaposan át kellett dolgozni ahhoz, hogy az új helyzetben is hatékonyan védje a szerzők és kiadók jogos érdekeit, de ne sértse a termékeket legálisan megszerzők érdekeit sem.

Nagyjából ugyanebben az időben kezdték felismerni a polgárok, hogy egyre több adatot gyűjtenek róluk állami szervezetek és magánvállalkozások. Követhetetlen volt az adatok sorsa, egyre több emberben tudatosodott, hogy a kialakuló nagy adatbázisok lehetővé teszik bármelyik állampolgár kapcsolatrendszerének, egészségi állapotának, szokásainak és anyagi helyzetének feltérképezését. Erősödött az igény, hogy a személyes adatok gyűjtését és felhasználását törvény szabályozza. Nem az adatok védelme jelentette tehát az újdonságot, azt már régen gyakorolták, néhány példával rögtön szolgálunk. Új jelenség a személyes adatok felértékelődése volt.

Székely Iván társadalmi informatikus a következőképpen foglalja össze a rendszerváltás után, az adatvédelem szempontjából leginkább meghatározó tényezőket: „Egyfelől […] alapvetően átalakult az állam információkezelő rendszere. Másfelől […] egy új információkezelő szektor nőtt fel az állami mellé: a nagy magáncégeké, a bankoké, a biztosítóké és egyéb vállalatoké. Úgy is mondhatnám, hogy a Nagy Testvérnek hirtelen nőtt egy második feje. Végül, a harmadik változás: igen nagy sebességgel megtörtént egy nagyszabású technikai modernizáció.”(7)

Bizonyos adatok védelme több évezredes múlttal rendelkezik. Hadvezérek például az utasításaikat tikosítva és futárral juttatták el az alvezéreknek. Julius Caesarnak tulajdonítják például az egyik egyszerű szimmetrikus titkosítást. A XVIII. század végén Thomas Jefferson (1743. április 13. – 1826. július 4.) az USA harmadik elnöke készített mechanikus titkosító eszközt, a Jefferson kereket. A sort hosszan folytathatnánk, de akkor eltérnénk a fejezet témájától az adatvédelem szabályozásától.

Az állam és vállalati titkok bizalmas kezelésének szabályait régen kidolgozták és a változó környezetben aktualizálták. Fontos döntések előkészítésének dokumentumai, az erőszakszervezetek működése, ellátottsága, de akár a stratégiai szempontból fontos infrastruktúra elhelyezkedése is államtitkot jelenthettek. A vállalatok is védik bizalmas adataikat. Ebbe a körbe a kutatási eredmények, új termékek készítésének technológiája, terve, stb. tartozik.

A legfontosabb informatikával kapcsolatos büntetőjogi rendelkezéseket három csoportba sorolhatjuk. Az első csoportban azok a bűncselekmények vannak, melyek eszköze maga az informatika. A másodikban az informatika nem az eszköz, hanem a bűncselekmény tárgya. Ide tartozik a Btk. 300/C. § (1) Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.[7]

A Büntető Törvénykönyv ezen, paragrafusa tartalmazza a jogosulatlan hozzáférés mellett a számítógépes rendszerek adatainak jogosulatlan bevitelével, módosításával, törlésével kapcsolatos eljárást.

A Btk. 300/E. § a rendszerbe való belépéshez szükséges jelszavak, kódok előállításával, megszerzésével és kereskedésével kapcsolatos bűncselekmények is bővebb kifejtésre kerülnek, amelyek lényegében a cracker tevékenységet fogalmazzák meg. A harmadik csoportba a szellemi tulajdon tárgyát képező információ ellen irányuló bűncselekmények tartoznak.

Az adatvédelem és az elektronikus szolgáltatások legmagasabb szintű, jogi szabályozása a törvényekben található. Nagyon szerteágazó problémakörről van szó, ami mutatja, hogy az elektronikus szolgáltatások lehetősége alaposan átformálja az állam- és a közigazgatást. Az alábbiakban felsoroljuk a legfontosabb releváns törvényeket és az elektronikus aláírást részletesen szabályozó két Kormányrendeletet.

4.1. Az adatvédelmi törvény

Az 1992. évi LXIII. tv. a személyes adatok védelméről és közérdekű adatok nyilvánosságra hozataláról című törvényt nevezi a köznyelv röviden adatvédelmi törvénynek. Fontosságát és elterjedtségét már az is mutatja, hogy van köznyelvi elnevezése. A törvény célja annak biztosítása, hogy - néhány kivételtől eltekintve - személyes adataival mindenki maga rendelkezzen és a közérdekű adatokat mindenki megismerhesse. Hatálya csak a természetes személyek adataira terjed ki. Informatikai biztonsági szempontból a személyes adatok védelméről szóló passzusok érdekesek, ezért a közérdekű adatokkal foglalkozókkal nem foglalkozunk.

A törvény definiálja a

  1. 1.1személyes adat

    1.2különleges adat

    1.3bűnügyi személyes adat

    1.4közérdekű adat és

    1.5közérdekből nyilvános adat

fogalmát. A különleges adatokat tételesen is felsorolja, ezek: a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti tagságra, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat. A többi esetben csak körülírja a megfelelő fogalmat. A jövedelem és a tulajdon általában személyes adat, de közszereplők, például parlamenti, önkormányzati képviselők, magas rangú állami tisztviselők, esetén más törvény a közérdekből nyilvános adat körébe utalja.

Adatkezelésnek számít az adatokon végrehajtott mindenféle művelet, beleértve azok védelmét is. Személyes vagy különleges adat csak akkor kezelhető, ha ahhoz az érintett hozzájárul vagy törvény, illetve önkormányzati rendelet írja elő. Adatkezelés csak meghatározott célból és csak az elengedhetetlenül szükséges mértékben végezhető. Ezen kívül meg lehet határozni az adatkezelés időtartamát is. Ez lehet határozott időtartam vagy a cél megvalósulásától függő is. Az adóbevallásokkal kapcsolatos adatokat például 5 évig kell megőrizni, a munkavállaló adatait addig, amíg a munkaviszonya fennáll.

Az adatkezelés célját és a rögzített adatok körét közölni kell az érintettel. Tájékoztatni kell az érintettet arról is, hogy mely adatok szolgáltatása kötelező és melyeket lehet önkéntesen megadni. Amennyiben valaki nem adja meg a kötelezően előírt adatokat, akkor meghiúsul a közte és az adatkezelő közötti kapcsolat. Opcionális adatok közlése következmény nélkül megtagadható. Ha például valaki munkát vállal, akkor közölni kell vele, hogy a munkaadó milyen adatokat rögzít róla. Amennyiben az adatok körét túlságosan bőnek ítéli, elállhat a szerződéstől. Egészségügyi intézményben, vagy élelmiszer kereskedésben megkövetelik az egészségi állapotra vonatkozó adatok tárolását és folyamatos frissítését. Hasonló igény informatikai vállalkozásoknál nem jogos. Számlanyitáskor kérhetik az aláírás mintát és a személyi igazolvány másolatát. Utóbbihoz nem szükséges hozzájárulni.

Az adattovábbítás is része az adatkezelésnek, így az általános rendelkezések erre a műveletre is vonatkoznak. Bizonyos esetben azonban szükség lehet arra, hogy adatokat külföldre továbbítsanak. Külföldön is köthetünk házasságot, vállalhatunk munkát, lehetünk betegek vagy okozhatunk balesetet, hogy csak néhány példát említsünk. A törvény szempontjából az EGT országaira ugyanolyan megítélés vonatkozik, mintha a továbbítás hazánk területén belül történt volna. EGT-államok jelenleg az Európai Unió tagjai valamint Izland, Liechtenstein és Norvégia. Az EGT-n kívüli országokba adat csak akkor továbbítható, ha ahhoz az érintett hozzájárul vagy ott biztosított az átadott adatok megfelelő szintű védelme.

Az állampolgár bármikor tájékoztatást kérhet a személyes adatai kezeléséről. Ellenőrizheti a kezelt adatai pontosságát és szükség esetén azok helyesbítését kérheti. Tájékoztatást kell kapnia arról, hogy hová és milyen céllal továbbították az adatait. Ha az adatkezelést nem törvény vagy önkormányzati rendelet írja elő, akkor kérheti adatainak törlését is. Annak következményét, például az adatkezelővel kötött szerződése felmondását, viselnie kell.

Amennyiben az adatkezelés határideje elérkezik vagy - határozatlan idejű adatkezelés esetén - a célja megvalósul az adatokat meg kell semmisíteni.

Az adatvédelmi törvény hozta létre az adatvédelmi biztos intézményét és rendelkezett az adatvédelmi nyilvántartás szabályairól. Az adatvédelmi biztos feladata az adatvédelmi törvény és más adatkezeléssel kapcsolatos jogszabályok megtartásának ellenőrzése. Figyelemmel követi a terület fejlődését és szükség esetén a törvények végrehajtására, esetleg azok módosítására ajánlásokat fogad el. Ő kezeli az adatvédelmi nyilvántartást, amelybe a személyes adatokat kezelő köteles az adatkezelés megkezdése előtt bejelenteni az adatkezelés legfontosabb adatait. A biztos az adatkezelés megkezdése előtt ellenőrizheti az adatkezelés jogalapjának és biztonságos végrehajtása feltételeinek meglétét.

Végezetül a törvény rendelkezik arról, hogy az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetőleg feldolgozó adatkezelőnél és adatfeldolgozónál; a pénzügyi szervezetnél és a távközlési és közüzemi szolgáltatónál megfelelő végzettséggel rendelkező belső adatvédelmi felelőst kell kinevezni illetve megbízni. Ezen felül a felsorolt szervezeteknél és egyéb állami és önkormányzati adatkezelőknek adatvédelmi és adatbiztonsági szabályzatot kell készíteni.



[7] 7 - Talyigás Judit, E-világi beszélgetések.hu, Pesto Kiadó, 2003. Székely Iván, A történelemben lesz egy lyuk, 20.