Az információs társadalom és az internet korában egyre nagyobb hangsúlyt kap az adatkezelés, illetve az adatvédelem, hiszen az online szolgáltatások elterjedésével akaratunk ellenére is számos személyes információkat teszünk közzé magunkról a világhálón. Ezek védelmében megfelelő jogi szabályozásra, a helyes vállalati hozzáállásra, és tudatos felhasználói attitűdre van szükség.

A  magánszféra védelme, a személyes autonómia tiszteletben tartása nem új keletű igény. Meglepőnek tűnhet, de a kérdéskör már több száz éve foglalkoztatja az embereket. Az idő előrehaladtával természetesen folyamatosan változtak a személyes adatok kezelésének elméleti és gyakorlati vonatkozásai. Az információs társadalom kialakulásával egy időben az adatkezelés problematikája is központi témává vált. A modern világban azzal az ellentmondásos helyzettel állunk szemben, hogy magánéletünk jelentős részét egy olyan felületen éljük meg, amelynek alapelve a nyitottság, az információ szabad áramlása. Az internetes szolgáltatások korában a világháló egy óriási piactérré változott, ahol az információ érték; kereskednek vele, adják, veszik, nekünk pedig nagyon óvatosnak kell lennünk, ha beszállunk a játékba. Márpedig beszállunk, sőt örömmel használjuk ki a világháló kínálta lehetőségeket; az internet segítségével gyűjtjük információink nagy részét, itt vesszük fel a kapcsolatot régi, vagy új ismerősinkkel, online vásárolunk és a weben keresztül intézzük pénzügyeinket is, miközben akarva akaratlanul hatalmas mennyiségű személyes információt teszünk közzé. Tehát az internet használata számos előnye mellett rengeteg veszélyt is tartogat. Ezekből az adatokból ugyanis elméletileg teljes képet lehet alkotni mindennapi életünkről, világnézetünkről, vallási és politikai hovatartozásunkról, társas és szakmai kapcsolatainkról. A mai modern világban természetesen nem megoldható (vagy csak komoly erőfeszítések árán), hogy elzárkózzunk a világhálótól, ezért különösen fontos megfelelő és megnyugtató válaszokat kapnunk a felvetett kérdésekre.

Modell váltás
 

Az online szolgáltatások széles körű elterjedése csak ront a helyzeten: a szórakozásra, információgyűjtésre, vagy munkára alkalmas programok nagy része már nem közvetlenül a számítógépünkön érhető el; adataink valahol az internet megfoghatatlan felhőjében "laknak". Egyre gyakoribb a tendencia, hogy a vállalatok technológiai és üzleti megfontolásból egyaránt amellett döntenek, hogy alkalmazásaikat a világhálóra telepítik (ezt nevezzük SaaS, azaz Software as a Service modellnek). A SaaS legkecsegtetőbb előnye, hogy azonnali és gyors hozzáférhetőséget ígér. Az változás csendben és fokozatosan indult, így a felhasználók gond nélkül sajátították el az internet használatának új formáit. Először a weben hostolt e-mail szolgáltatások (webmail) vált népszerűvé széles körben. Ma már meglepődünk, ha olyan emberrel beszélünk, akinek nincs e-mail címe.  A századfordulón aztán felgyorsultak az események, sorra jelentek meg az online alapon működő szolgáltatások, a közösségi média berobbanása pedig elhozta a közösségi hálózatok korát. Ma már szinte mindegyik interaktív, dinamikus webes alkalmazás a felhőinformatikai (cloud computing) modell alapján működik, sőt lassan a tipikusan számítógéphez kötött végfelhasználói (elsősorban szövegszerkesztő és kreatív) programoknak is megjelennek online verzióik. A SaaS- modell lényege, hogy helyhez kötött számítógépek helyett hatalmas adatközpontokban működő szervereken futnak az alkalmazások, nem lehet pontosan tudni, valójában hol is vannak adataink, hiszen a helytől és időtől független hozzáférhetőséget csak elosztott rendszerekkel lehet biztosítani, amelyek terhelés függvényében szolgálják ki az igényeket.
Az online alkalmazások globális adatközpontokban futnak, így nem tudhatjuk pontosan, hol is vannak az adataink.

Tudatos adatkezelés
 

Az internetes szolgáltatásokat nyújtó vállalatok mindent megtesznek azért, hogy meggyőzzék felhasználóikat arról, hogy nem kell aggódniuk adataik biztonságát illetően. Alapvető érdekük ez, különösen, ha figyelembe vesszük az informatika jövőjét kutató elemzők jóslatát, miszerint hamarosan a cloud computing vonzáskörébe eddig nem tartozó alkalmazások is a felhőbe fognak költözni, és a számítógép szerepe várhatóan mindössze a világméretű hálózattal való fizikai kapcsolattartása redukálódik majd.

A szolgáltatók tehát mindent megtesznek adataink védelmében, de rendkívül fontos, hogy a felhasználók is - felismerve és igazodva az új trendekhez - tudatosan kezeljék személyes adataikat. "Kettőn áll a vásár" - szól a közmondás, ami ebben az esetben is igaznak bizonyul. A Demokrácia és Technológia Központ (Center for Democracy & Technology) szerint a kutatások azt mutatják, hogy az internetezők elsősorban adataik biztonsága miatt tartanak a világhálótól. A fentiekből arra következtethetnénk, hogy a felhasználók elsődlegesen tekintenek személyes adataik tudatos kezelésére, ám a gyakorlat nem ezt mutatja. Furcsamód valóban munkál bennünk némi bizonytalanság és bizalmatlanság, ez azonban gyakran nemtörődömséggel, lustasággal párosul. Valljuk be, nem teszünk meg mindent azért, hogy a rendelkezésre álló információk alapján alapos képet alkossunk magunknak az internetes szolgáltatások adatkezelési gyakorlatával kapcsolatban. (Valószínűleg rnindenki egy kezén meg tudja számolni, hányszor olvasta el a felhasználási feltételeket és az adatkezelési nyilatkozatokat egy-egy új szolgáltatás igénybevétele előtt.) Másrészt sokszor nem is olyan egyszerű a tájékozódás, ugyanis a vállalatok nem mindig törekszenek arra, hogy teljeskörűen minden információt a rendelkezésünkre bocsássanak, és ezt tetézik azok a nagy médianyilvánosságot kapó esetek is, amelyek egy-egy biztonsági incidensről vagy hibás adatkezelési eljárásról számolnak be. A megoldás az lehet, ha megfelelő jogi szabályozás mellett, a technikai lehetőségek kihasználásával maximális tudatosságra törekszünk, de ebben saját viselkedésünk is fontos szerepet játszik, hiszen mi döntjük el azt, hogy mit és hogyan teszünk közzé a világhálón.

Szerteágazó szolgáltatások
 

Nem egyszerű a dolgunk! A piacon egyre több szolgáltatás jelenik meg, mi pedig próbálunk minden lehetőséget kihasználni, legyen szó szórakozásról, ismeretszerzésről vagy munkáról. Leggyakrabban a Google esetében kerül szóba a kérdés: vajon hogyan kezeli a vállalat személyes adatainkat?  Hiszen a cégnek rendkívül színes online szolgáltatási portfóliója van. Magyarországon is a legelterjedtebb kereső a Google, továbbá rengetegen használják a Gmail levelezőrendszert, a Docs irodai alkalmazásokat, a Reader és a Buzz (magyarul Zümm) információgyűjtő szolgáltatást, a Chat és Talk kommunikációs felületeket, az Analytics webanalitikai és az AdWords online hirdetési rendszert, valamint a Chrome böngészőt - csak hogy párat említsünk a folyamatosan bővülő termékskáláról. A szolgáltatások sokszínűségéből adódóan más és más adatok, információk mozognak, azonban a vállalat minden hozzáférésünket egyetlen Google fiókhoz köti. Jogosan merülhet fel bennünk a kérdés: hogyan kezeli a szolgáltató ezt az óriási, sokszínű adathalmazt?

Az utóbbi időben – a folyamatosan megújuló szolgáltatások elterjedése miatt egyre inkább fontossá vált az információgyűjtés átláthatóságának garanciája, és az az opció, hogy a felhasználók szabályozhassák, miként kezelheti (mások mellett) a Google az adataikat. Erre a célra szolgál a Dashboard szolgáltatás, amely egyetlen felületre gyűjti össze a cég valamennyi termékévei kapcsolatos beállítási lehetőségeket. A tapasztalat azonban azt mutatja, hogy a felhasználók többsége nem tud, vagy nem akar foglalkozni a kérdéssal, ezért a vállalatoknak arra kell törekedniük, hogy minden lehetséges módon és eszközzel- erősítsék a felhasználói tudatosságot. A részletes leírások mellett a Google például egyszerűsített FAQ-ot és tájékoztató videókat tesz közzé adatvédelmi oldalán, valamint a YouTube-on, illetve külön blogban is foglalkozik a kérdéskörrel. Mindezek mellett a multinacionális cégeknek még bőven van tennivalójuk annak érdekében, hogy megszilárdítsák ügyfeleik biztonságérzetét.

Jogi szabályozás
 

A vállalati gyakorlat és a felhasználói szokások mellett természetesen nélkülözhetetlen a megfelelő jogszabályi háttér, ami az adatbiztonsági kérdéseket szabályozza. Jóri András adatvédelmi biztos az európai uniós és a magyarországi adatvédelmi jogi szabályozás online szolgáltatásokat érintő vonatkozásai kapcsán elmondta: az Európai Unió már több éve dolgozik egységes szabályrendszer kialakításán, illetve központi irányelvek meghatározásán, hogy megkönnyítse a tagállamok belső jogalkotási folyamatát. A tendencia azt a bonyolult helyzetet igyekszik megváltoztatni, amelynek keretében (korábban) egymással nem mindig harmonizáló jogszabályok születtek a tagállamok nemzeti jogalkotási gyakorlatában. Az irányelvek nem hatnak ugyan közvetlen jogi erővel a helyi jogrendszerekben, azonban az Európai Unió kötelezi a tagállamokat a központi elvek alkalmazására, és ezt külön az Európai Bizottság is ellenőrzi. A közösségi szabályozás éppen ezért nem választható el a hazai jogalkotástól, egyre inkább körvonalazódik egy közös európai uniós szabályrendszer kialakulása.

Az Európai Unió adatvédelmi kérdések szabályozására két fontos irányelvet állapított meg. Az 1995-ben hatályba lépett adatvédelmi irányelv (1995/46/EK) a közösség magasabb szinten megfogalmazott, általános adatvédelmi elveit fogalmazza meg, és rendelkezik a megfelelő intézmények (pl. adatvédelmi biztos) felállításáról. A 2002-ben megszületett hírközlési-adatkezelési irányelv (2002/58/EK), amelyet ePrivacy irányelvként is szoktak emlegetni, a fenti jogszabály alapjaira építve írja le a hírközlési szektor szabályait. Ez tartalmazza például a bűnügyi adatmegőrzési kötelezettségre, valamint a biztonsági incidensek nyilvánosságra hozatalára vonatkozó rendelkezéseket. Az elektronikus kereskedelem irányelve (2000/31/EK) fogalmazza meg a kéretlen elektronikus levelekre (spamekre) vonatkozó szabályozást. Magyarországon a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény, az elektronikus kereskedelmi szolgáltatásokról, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény, illetve az elektronikus hírközlésről szóló 2003. évi C. törvény az irányadó jogszabályok. A jogalkotó mindhárom uniós irányelvet beépítette a hazai jogba, a módosításokkal pedig bizonyos átfutási időt követően hasonlóképpen jár el. Jóri András két példát is említett, amelyeket a fenti uniós irányelvek szabályoznak, ám a nyilvánosságnak kevés ismerete van róluk. A közvélemény gyakran vélt vagy valós biztonsági félelmek miatt szkeptikus bizonyos online szolgáltatásokkal kapcsolatban, ezért a szabályok kötelezik az internetes termékeket kínáló, egyúttal adatkezelő (adatbázist fenntartó) vállalatokat, hogy tájékoztassák a nyilvánosságot az őket ért biztonsági incidensekről, támadásokról. Az Egyesült Államokból származó gyakorlat célja az átláthatóság erősítése, ám abban már megoszlanak a vélemények, hogy pontosan milyen jellegű és súlyú eseteket szabad és érdemes nyilvánosságra hozni. Hiszen ha túl sok és/vagy túl csekély súlyú ügyek kerülnek be a köztudatba, nehéz elérni az elvárt hatást (figyelmet). Az ePrivacy irányelv az ilyen esetekben előszűrést ír elő: eszerint első körben az adatvédelmi biztos vizsgálja meg az incidenseket, majd dönt arról, nyilvánosságra hozza-e az információkat vagy sem. Az ombudsman egy másik területet is említett, amelynek adatvédelmi vonatkozásai az online szolgáltatásokat is érintik. A bűnügyi adatmegőrzési kötelezettség intézménye szintén az USA-ból érkező impulzus alapján épült be az európai jogba. A szabály kimondja, hogy a bűnügyek hatékonyabb felgöngyölítése érdekében a szolgáltatóknak egy évig meg kell őrizniük a forgalmi adatokat (telefonhívásokkal, internetes böngészései kapcsolatos alapinformációkat). A gyakorlat bevezetése a terrorizmus elleni védelem igényére vezethető vissza a tengerentúlon, Magyarországon azonban aggályok merültek fel az eljárás alkotmányosságával kapcsolatban, így nem kizárt, hogy hazánkban megváltozik a szabályozás.

Sok a panasz
 

Az ombudsman hozzátette: hivatalához évente körülbelül 2000 panasz érkezik, de ezeknek csak egy része áll kapcsolatban online szolgáltatásokkal. Jellemzően kéretlen levelekkel (spam), közösségi hálózatokkal, internetes profilokkal kapcsolatos problémák miatt keresik meg az adatvédelmi biztost, aki emellett részt vesz általános IT- biztonsági esetek kivizsgálásában is, s ezzel kapcsolatban egy átfogó adatvédelmi audit-keretrendszer kialakításán is dolgozik.

Új trendek, új kihívások
 

A jogalkotó munkájának egyik legnagyobb kihívása az, hogy követni tudja a folyton változó trendeket, fejlődési irányzatokat. Az Európai Unióban az úgynevezett 29-es munkacsoport feladata az új irányzatok és a szabályozás összehangolása. Jóri András adatvédelmi biztos elmondta, a jogalkotói munka régre nyúlik vissza, több generációt is megélt a szabályozás. Az egyik legnagyobb kihívás az, hogy amíg 20.30 évvel ezelőtt mindössze pár vállalatnak állt rendelkezésére nagy mennyiségű személyes adatok, addig ma, az online szolgáltatások korában már több százezer azoknak a cégeknek a száma, amelyek ügyféladatbázisokkal dolgoznak, ezért a jogszabályokat is ennek megfelelően kellett átalakítani. A kezdetekkor megfogalmazott alapelvek nagyrészt továbbra is alkalmazhatóak, bizonyos intézmények azonban elavultak, s ezek megújításán dolgoznak most a szakemberek az Európai Közösségben. Az európai szabályozás egyébként világszerte példaértékű. Megannyi jogrendszer alkalmazza az öreg kontinensen megfogalmazott irányelveket (például Kanadában és Latin-Amerikában), egyedül az Egyesült Államokban van ez másként, ahol az üzleti szféra komoly lobbival óvja a törvényhozást a piacba való "beavatkozástól". Problémát jelent azonban, hogy az amerikai fejlesztések egy része nem illeszkedik az európai jogszabályokkal. Míg a hagyományos szoftverek esetében a lokalizáció során javíthatóak ezek a problémák, a globálisan elérhető online szolgáltatásoknál (ilyenek a közösségi hálózatok, például a Facebook) mindez már nem olyan egyszerűen megoldható. A felhőinformatikai modell, azaz a világ bármely tájáról hozzáférhető szolgáltatások, röviden az informatika és az információkezelés globalizálódása ezért elég nagy fejtörést okoz a jogalkotóknak, hiszen ma már nem tudhatjuk pontosan, hol is vannak személyes adataink. A multinacionális adatkezelőkre jelenleg az úgynevezett kötelező érvényű vállalati szabályozás (binding corporate rule) vonatkozik, ez azonban az új trendeket szemlélve további pontosításra szorul. A régebben kialakult felépítés, a fogalomrendszer és az intézmények elavulása hívta életre egy új európai uniós adatvédelmi irányelv kidolgozásának igényét - ez a munka a magyar elnökségi időszak alatt kezdődik majd el.