Adatbázis személyes adatainkból

Régi sztori

Dr. Szabó Szilviától, az adatvédelmi biztos munkatársától megtudtuk, hogy már évekkel ezelőtt is foglalkoztak az auditáláshoz szükséges úgynevezett "webbug" kérdésével, de korábban nem fordult elő, hogy ezekhez az egyedi azonosítókhoz a forgalmi adatokon túl bármilyen személyeset rendeltek volna hozzá. A legnagyobb adatbázisok tulajdonosai adatvédelmi szabályzatukban általában rögzítik, hogy statisztikai céllal felhasználhatják a személyes adatokat, de IP címmel nem kapcsolják azt össze, illetve harmadik fél számára írásos engedély nélkül nem adhatják ki.

"A T-Online Magyarország folyamatosan egyeztetett az Adatvédelmi Hivatallal, és a hivatal iránymutatásával, illetve jóváhagyásával készítette el az iWiW és freemail adatvédelmi szabályzatát." - mondta Tóthmátyás Tibor, de külön ebben az ügyben nem kértek állásfoglalást: "az elmúlt hónapokban nem érkezett az adatvédelmi biztos irodájához a Webaudittal kapcsolatos beadvány." - mondta dr. Szabó Szilvia.

Péterfalvi Attila szerint: "A Medián a statisztika elkészítése kapcsán akkor válik az Avtv. szerinti adatkezelővé, ha személyes adatokat,(...) (pl.: IP cím,nem, kor, iskolai végzettség, internetezési szokások) ismer meg és kezel. Adatkezelő akkor is, (...) ha az adatkezelésben egy közvetítő adat - egyedi azonosító - szerepel, és ennek segítségével kapcsolja össze a látogatóra vonatkozó adatokat a látogató egyéb személyes adatával.

Tehát a beadványában említett dinamikus egyedi azonosító abban az esetben személyes adat, ha egyetlen és meghatározott (azonosítható vagy azonosított) látogatóra vonatkozó személyes adatokat ismerhetünk meg általa. A Medián ezeknek az adatoknak a kezelésére és összekapcsolására akkor jogosult, ha ehhez a látogatók hozzájárultak, de legfőképp a statisztikáról tájékozottak.

A tájékoztatás az Avtv. 6. § (2) bekezdése értelmében az auditált oldal kötelessége. Ebben a tájékoztatásban informálni kell a látogatókat a webaudit jelenlétéről, illetve arról, hogy milyen internetbeállításokkal tilthatják le a cookie-k telepítését a számítógépre, és hogyan tilthatják meg személyes adataik (elsősorban IP címük) továbbítását. Minden egyes oldalnak, amelyik a Medián felé adatot továbbít, kötelessége a fenti tájékoztatás közzététele. A tájékoztatást követően az oldal látogatása a felhasználó részéről azt jelenti, hogy hozzájárult adatai továbbításához.

Az adatvédelmi biztos állásfoglalásából viszont a válaszokon túl kiderül az is, hogy gyakorlatilag fogalmuk sincs, hogy az IP cím már réges-rég nem releváns adat egy adott felhasználóra nézve - legalábbis mióta léteznek routerek, vállalati hálózatok internet kávézók és port átirányítás.

A mérleg mégis az, hogy a szolgáltatók Webaudittal kötött szerződése abban az esetben, ha az átadott adatokat személyes adatnak tituláljuk, akkor egyértelműen sérti például az iWiW (de lényegében bármely más szolgáltatás ide vonatkozó részét) adatvédelmi szabályzatának 8.c pontját: "Az adatkezelő a megjelölt céloktól eltérő célra a személyes adatokat nem használja. Személyes adatokat harmadik személyeknek csak a felhasználó előzetes és tájékozott hozzájárulása esetén adunk át. Ez nem vonatkozik az esetleges, törvény alapján kötelező adattovábbításokra."

Nyugodt szívvel

A történet szereplőivel folytatott beszélgetések összegzéseként biztosan állítható, hogy a Medián teljesen törvényesen járt el és ők maguk nem sértenek meg szabályokat, hiszen valóban statisztikai célú adatkezelés folyik náluk. A szolgáltatók viszont eljárhattak volna figyelmesebben is az ügyben, hiszen a deperszonalizálás még nem minden, illett volna tájékoztatni a felhasználókat arról, hogy ezen túl részt vesznek egy egész hazai web-re kiterjedő piackutatásban.

A legtöbb internetező önmaga is hajlandó kitölteni hosszú kérdőíveket évi 1-2 alkalommal, ezért nem valószínű, hogy attól kellett volna félni, hogy ez elriasztja őket bármitől is. Főleg úgy, hogy az adatvédelmi biztos állásfoglalása is kimondja, hogy az ilyen típusú adatkezelés nem ütközik jogi akadályokba, ha a felhasználónak tudomása van róla és egyben lehetősége arra, hogy megakadályozza.

Tudomásunk szerint minden érintett cég jogi osztálya hetekig rágta az ügyet és egyikük sem akart belemenni olyan játékba, ami presztízs vagy anyagi kárt okozhat nekik. Tóthmátyás Tibor véleménye az, hogy egy hozzájuk hasonló cég, amelynek az éves árbevétele milliárdos tétel, sohasem menne bele kétes kimenetelű dolgokba, sosem élne vissza adatokkal, hiszen ha kiderül, akkor gyakorlatilag leperelnék róluk az alsónadrágot is és nem lenne olyan bíróság, aki ne ítélne meg akár irreális összegű kártérítéseket is.

A Big Brother hatás hívői ugyanakkor minden bizonnyal már másznak fel a Hyde-park szószékére és kezdik mondani, hogy vége a világnak, vége a magánéletnek. Ez az eset több másik mellett rámutathat arra, hogy az úgynevezett "online privacy" valóban a cégek kezében van, mindent tudnak rólunk és vezetői döntések sorozata határozza meg csupán, hogy meddig mennek el. A hőn szeretett Google, a XXI. század Microsoftja nem véletlenül kapott fekete zászlócskát egy listán, ahol az online szereplők adatvédelmi szempontú besorolása történt. Aki teljes védettséget akar ez ellen, annak már ki kell húznia a hálózati kábelt, aki pedig beletörődik, hogy figyelik, az nyugodtan internetezhet, de a paranoiásoknak nem ajánlott a sütik (cookie-k) fogadása.