Cikk letöltése PDF-be

1. Bevezető gondolatok

Az elmúlt 10–15 évben a technológiai és társadalmi háttér változása újabb kihívások elé állította a ’90-es évek végére kialakult európai adatvédelmi szabályozást. Erre tekintettel az Európai Unióban jelenleg is zajlik az adatvédelem reformja, amelynek keretében az EU új jogszabálycsomaggal kívánja felváltani a jelenlegi adatvédelmi irányelvet és kerethatározatokat.[2] A jogalkotási folyamat legfontosabb lépése a Bizottság által 2012-ben kiadott Rendelettervezet[3] volt, amely számos újítást javasol az adatvédelmi jog területén.

Álláspontunk szerint ezek az újítások egy új generációs szabályozás alapjainak a megteremtését is jelentik, amely jelentős hangsúlyeltolódást hoz az adatvédelem területén. Az adatvédelmi szabályozás jelenleg zajló paradigmaváltásának megértéséhez azonban elengedhetetlen az eddigi rövid, de intenzív szabályozás- és elmélettörténet áttekintése. Jelen tanulmány e történeti áttekintésre vállalkozik abból a célból, hogy a jelenlegi folyamatokat értékelje. A paradigmaváltás részleteivel kapcsolatban azonban jelentős további kutatások szükségesek, amelyekre a doktori kutatásom keretein belül hamarosan szintén sor kerül.

2. Az adatvédelmi szabályozás generáció

Az adatvédelmi jog viszonylag rövid története ellenére a szakirodalom a szabályozás több korszakát, generációját különbözteti meg, amelyek különböző – de mindannyiszor a technológia fejlődéséhez, és az ehhez szorosan kapcsolódó társadalmi változásokhoz köthető – kihívásokra reagálva hasonló szabályozási célokat eltérő megközelítéssel igyekeztek megvalósítani.

Az adatvédelemmel foglalkozó szerzők álláspontja ugyanakkor nem egységes a tekintetben, hogy pontosan hány generációt érdemes megkülönböztetni, és hogy az egyes nemzetközi, európai és nemzeti jogforrások pontosan melyik generációhoz tartoznak.

A magyar jogirodalomban először MAJTÉNYI LÁSZLÓ foglalja össze az adatvédelem korszakait, és három szabályozási generációt különböztet meg: az első generációs szabályok a ’70-es években fejlődtek ki, és az állami, számítógépes (legalább részben automatizált) nyilvántartásokkal szemben igyekezett valamilyen védelmet kialakítani. A második generációs szabályok a ’80-as, ’90-es években jelentek meg, és már nem csak az automatizált, de a papíralapú nyilvántartásokat is a szabályozás hatálya alá vonták. Végül MAJTÉNYI szerint a harmadik generációs szabályok főbb jellemzői az európai integráció sajátosságainak figyelembevétele, és a szektorális szabályok megjelenése.[4]

A magyar jogirodalomban az eddigi legrészletesebb elemzés az adatvédelem történetéről JÓRI ANDRÁS munkáiban található. JÓRI szintén három korszakot különböztet meg, de a ’80-as, ’90-es évek fejleményeit egy szabályozási generációhoz sorolja, és a harmadik generációs szabályozás egyes elemeinek megjelenését a német Teledienstedatenschutzgesetz (TDDSG) 1997-es megalkotásához köti.[5]

Végül MAJTÉNYI felosztásához nyúl vissza később HEGEDŰS BULCSÚ is, aki azonban egyrészt a második generációs szabályozás fő jellemzőjeként azt emeli ki, hogy annak hatálya már az üzleti élet gyakran igen adatéhes szereplőire is kiterjed, másrészt nála is megjelenik egy újabb – negyedik – generációs szabályozás gondolata, amelynek főbb jellemzői az önszabályozás, az Internettel kapcsolatban megjelenő adatvédelmi kérdések és a magánszférát erősítő technológiák megjelenése.[6]

E rövid áttekintésből az látható, hogy több közös pont ellenére sem lehetséges egyértelműen a generációk közötti korszakváltások határát kijelölni, vagy az egyes jogforrásokat egyértelműen egyik vagy másik generációhoz tartozónak tekinteni. A generációs felosztásnál valójában nagyobb jelentősége van az egyes szabályozások főbb jellemzőit és a fejlődési tendenciákat kutatni.[7] Ugyanakkor mivel a megfelelő korszakolás mégiscsak jól átláthatóvá teszi az elemzést, indokoltnak tartjuk az adatvédelem történetét e logikai séma mentén bemutatni.

A generációk/korszakok számának meghatározásakor a magunk részéről azt gondoljuk, hogy csak a valóban jelentős, koncepcionális kérdésekben is újítást hozó változások esetén érdemes új generációs szabályozásról beszélni. Alapvetően így JÓRI ANDRÁS megközelítését követjük, amely szerint az eddigiek során alapvetően két különböző szabályozási generáció különböztethető meg egyértelműen, azzal, hogy az elmúlt évtizedben megjelentek olyan új tendenciák, amelyek egyértelműen egy új, harmadik generációs adatvédelmi szabályozás kialakulása felé mutatnak.

A kutatás egyik tétele éppen az, hogy az elmúlt egy-másfél évtizedben bekövetkezett technológiai és társadalmi változások következtében az adatvédelmi szabályozás újra megérett az átfogó reformra, és olyan új szabályokra van szükség, amelyek az eddigiektől jelentősen eltérő hangsúlyokat állapítanak meg az adatvédelem területén. Az Európai Bizottság adatvédelmi rendelettervezete nagyjából megfelel e kritériumoknak, így e dokumentumot, (pontosabban annak a kézirat lezárásakor fellelhető szövegverzióját) a harmadik generációs szabályozás „mintaszabályozásának” tekintjük, és ennek fényében elemezzük.

Az alábbiakban áttekintjük az adatvédelmi szabályozás három korszakát. Az egyes szabályozási generációk áttekintését az adott kor technológiai és társadalmi hátterének rövid bemutatásával kezdjük, az adatvédelmi szabályozás megértéséhez ugyanis szükségesnek látszik ennek vizsgálata is. A technológia jellege, költségei és elérhetősége nagymértékben meghatározzák azok felhasználóit, és így az adatkezelések alanyait is – míg e két tényező együttesen befolyásolja az adatkezelésekkel járó, magánszférára gyakorolt potenciális veszélyeket. A társadalmi közgondolkodás – Európában elsősorban az információs társadalommal kapcsolatos diskurzus – pedig azt határozza meg, hogy e jelenségekre a társadalom, előbb-utóbb a jogalkotás eszközével (is) élve, illetve a jogszabályok végrehajtása során, miként reagál.[8] Ezt követi az adott korszak adatvédelmi szabályozásának jellemzőinek bemutatása és rövid elemzése.

Mielőtt azonban rátérnénk az európai adatvédelmi szabályozás 1970-től tartó történetére, érdemes vázlatosan felidézni a magánszféra-védelem néhány korábbi sarokpontját is.

2.1. Előzmények

Amint az említettük, az adatvédelmi jog fejlődését az 1970-es évekre kibontakozó technológiai forradalomra adott válaszlépésként értékeljük. Érdekesség, hogy más az első magánszféra-védelemmel foglalkozó tanulmány, SAMUEL D. WARREN ÉS LOUIS D. BRANDEIS sokat hivatkozott,[9] 1890-ben a Harvard Law Review hasábjain megjelent, „The Right to Privacy” című tanulmánya[10] is alapvetően az adott kor technológiai és társadalmi változásaira reagált. A Kodak 1888-ban piacra dobta a fényképezés történetében mérföldkőnek számító Kodak 1 fényképezőgépét, amely egyrészt széles körnek tette elérhetővé a fényképezőgép használatát, másrészt lehetővé tette az azonnali – az alany hosszas egyhelyben maradását nem igénylő – fényképkészítést.[11] A szerzők emellett kiemelik a sajtó, különösen a bulvársajtó fokozódó szerepét, és arra jutnak, hogy e jelenségekre válaszul szükséges lenne egy új jog, a magánszférához való jog elismerése.[12]

Később elsősorban az állami információs túlhatalommal szembeni félelmek jelentek meg, eleinte a szépirodalomban, később a társadalomtudományi és jogi szakirodalomban is. Előbbi területen kétségtelenül George Orwell 1984 című regénye a legismertebb, amelyben a totalitárius állam a „telekép” technológiáját használja az emberek folyamatos megfigyelésére. Az orwelli „Nagy Testvér” kifejezés aztán széles körben vált a megfigyelő és elnyomó állam jelképévé. E fenyegetéshez aztán később csatlakoztak az üzleti élet „Kis Testvérnek” nevezett szereplői is.

Az információs jogok teljes hiányának állapotát igen nyomasztóan érezheti át az olvasó Franz Kafka: A per című művének végsőkig kiszolgáltatott főhősének (Josef K.) történetén keresztül is. A magyar költészetben ugyancsak megjelenik a „levegőtlenség érzése”: József Attila Levegőt! című versének sorai világos és hatásos kifejezőereje miatt gyakran idézettek a magyar adatvédelmi szakirodalomban is:[13]

Számon tarthatják, mit telefonoztam/ s mikor, miért, kinek./ Aktába írják, miről álmodoztam,/ s azt is, ki érti meg./ És nem sejthetem, mikor lesz elég ok,/ előkotorni azt a kartotékot,/ mely jogom sérti meg.”[14]

A II. világháború tapasztalatai is különös óvatosságra intettek. A háború borzalmai és a náci rémtettek nemcsak az emberi jogok elfogadásának és nemzetközivé válásának adott új lendületet,[15] de a (hatékony) állami nyilvántartásokkal és a modern technológiával való visszaélések lehetőségére is rámutattak.

A lyukkártya-technológia az 1935-ös és 1939-es német népszámlálások kiszolgálása mellett a háború logisztikáját, a zsidóüldözés különböző formáit és a holokauszt szervezését is hatékonnyá tették.[16] Az IBM és – a később állami kézbe vett – német leányvállalata, a Dehomag[17] által kínált technológia (és a hozzá tartozó komoly és folyamatos technikai támogatás) hozzájárult a zsidó népesség faji alapú megszámlálásához és azonosításához, javaik felméréséhez, és a zsidó kötődésű vállalkozások számbavételéhez is (amely e javak elkobzásához és a zsidónak tekintett vállalkozások államosításához vezettek).[18] Ugyanez a technika szolgálta ki holokauszt megszervezését is, a vasúti menetrendek optimalizálásától a koncentrációs táborok adminisztrációjáig bezárólag.[19] Emellett a náci Németország nagymértékben támaszkodott a lyukkártyarendszerre a háború és az utánpótlás szervezésében is.[20]

A hollandiai zsidóság nagyarányú elhurcolását ugyancsak a hatékony és átfogó népesség-nyilvántartás tette lehetővé, amelyet – lyukkártya-technológiával támogatva – az 1930-as években hoztak létre az állami feladatok hatékonyabb ellátása érdekében. A nyilvántartás megalkotásakor a holland állampolgárok még joggal bíztak a kormányzatukban – a náci megszállással járó veszélyekkel azonban nem számoltak. Míg Hollandiából a zsidóság 73%-át vitték el a németek, addig Franciaországból csak 25%-öt.[21] Franciaországban ugyanis a korábbi népszámlálások során nem kérdeztek rá a vallási hovatartozásra, így kész nyilvántartás nem állt rendelkezésre.[22] Emellett a lyukkártyarendszert a közigazgatásban csak jóval kisebb mértékben sikerült elterjeszteni, mint Hollandiában vagy Németországban, így a gyors népesség-összeírási kísérletek is döntően kudarcba fulladtak.[23]

Magyarországon az 1941-es népszámlálás adatait használták fel a német nemzetiségű állampolgárok világháborút követő kitelepítése során:[24] „Németországba áttelepülni köteles az a magyar állampolgár, aki a legutolsó népszámlálási összeírás alkalmával német nemzetiségűnek vagy anyanyelvűnek vallotta magát”.[25] A KSH végül az elfogadott jogszabályok alapján kénytelen volt együttműködni a kitelepítést lebonyolító szervekkel.[26] Megjegyzendő, hogy ez volt az első olyan népszámlálás, amely nem az anyanyelvre, hanem a nemzetiségre kérdezett rá – heves vitát kiváltva a statisztikusok körében arról, hogy ilyen szubjektív körülményt a statisztika tudománya egyáltalán használhat-e.[27]

Ezek az információk, legalábbis olyan alaposan feldolgozva, mint ahogyan jelenleg hozzáférhetőek, a ’60–70-es években – az adatvédelmi diskurzus kezdetén – ugyan nem feltétlenül minden esetben álltak rendelkezésre, de a történelmi tapasztalatokra való utalás gyakran megjelenik a szakirodalomban.[28]

2.2. Az első generációs adatvédelmi szabályozás kialakulása és jellemzői

Az adatvédelmi szabályozás első generációjának megjelenése az 1970-es évekre tehető, és alapvetően – csakúgy, mint eredetileg Warren és Brandeis cikke, és csakúgy mint azóta több, adatvédelmet érintő jelentős változás – a technológia fejlődéséből eredő veszélyekre adott jogi válaszlépésként.

2.2.1. Technológiai és társadalmi háttér

A számítástechnika fejlődése az 1960-as évek végére eljutott arra a szintre, hogy reális lehetőséggé váljon az állami nyilvántartások adatainak elektronikus tárolása, és a nyilvántartásokban való gyors keresés. Az adatokkal való visszaélések – a papír alapú elkülönített adatbázisok fizikai jellemzőinél fogva fennálló – természetes korlátai ledőltek. A papír alapú adatbázisok ugyanis fizikai határt szabtak az adatkezelőnek a tekintetben, hogy mennyi adatot képes kezelni. A papír tömege, az átláthatóságot biztosító nyilvántartási rendszer költséges volt, és a sokszor különálló adatállományokban való keresés időigényes, megfelelő katalogizáltság nélkül pedig szinte lehetetlen volt.[29]

Az automatizált adatfeldolgozásra való igénnyel párhuzamosan Európa szerte megjelentek a különböző állami nyilvántartások egységesítésének vagy legalábbis összekapcsolásának tervei is.[30] Később, az információs társadalomról szóló diskurzus során a centralizáció-decentralizáció kérdése egyébként igen hangsúlyos szerepet kap – mindkét irány mellett komoly érvek hozhatók.[31] A költségcsökkentés és az államok „természetes” központosító törekvései azonban ebben az időszakban alapvetően a centralizált rendszerek felé mutattak.

A nyilvántartások egységesítése és/vagy egy nagy, mindenre kiterjedő központi (népesség)nyilvántartás létrehozása és működtetése a legegyszerűbben valamilyen egységes személyi azonosító használatával lehetséges,[32] így több államban is kísérletet tettek ezek bevezetésére. E törekvések alapvetően az egyre több feladatot magára vállaló jóléti állam információigényét hivatottak kiszolgálni.

A technológia magas költségei miatt annak használatát csak a nagy adatkezelők, elsősorban az állam különböző szervei és néhány nagyvállalat engedhette meg magának. A technológia fejlettsége tehát közvetlenül meghatározta az azt felhasználók, és így a potenciális adatkezelők körét is: ez államonként néhány, elsősorban állami szervet jelentett, így a szabályozás is erre a körre koncentrált.[33]

A számítástechnika fejlődésének társadalomra gyakorolt hatása a társadalomelmélet képviselőit is foglalkoztatni kezdte, és nagyon korán megjelentek az elektronikus adatfeldolgozás magánszférára gyakorolt hatásairól szóló felvetések is.[34] Az 1970-es években napvilágot láttak az információs társadalom kialakulásáról szóló diskurzus első csírái is[35] – hogy aztán ez a ’80-as években kiteljesedjen. 1973-ban jelent meg DANIEL BELL iskolateremtő műve a posztindusztriális társadalomról.[36] A műben BELL – az információs társadalom kifejezést a posztindusztriális társadalom helyettesítőjeként használva – egy olyan szolgáltató társadalom eljövetelét vizionálja, amelyben a rendszerezett elméleti tudás és az ezzel együtt járó innovációs készség jelentik a társadalom meghatározó stratégiai erőforrását.[37]

2.2.2. Az első adatvédelmi törvények elfogadása

A fenti technikai-társadalmi háttér ismeretében talán nem meglepő, hogy élénk vita alakult ki, amikor a németországi Hessen tartomány egységes népességnyilvántartó adatbázis kialakítását kezdte meg. A „Nagy Hesseni Terv” című előkészítő dokumentumot áthatja – SÓLYOM találó kifejezésével élve – a „technokrata aggálytalanság”. A kormányzat a társadalom államosítását és funkcionálisan integrált igazgatási rendszert vizionál – ahol is a „statisztikai hivatal a rendőrséggel, iskolával, orvossal” kommunikál. Az egységes, az egyént személyi számmal azonosító adatbázisban mintegy 70 információt terveztek tárolni.[38] A terv végül egészen más formában valósult meg, és elfogadásra került Európa első adatvédelmi törvénye, amely döntően meghatározta az elkövetkezendő adatvédelmi viták irányát Németországban és azon kívül is.[39]

A hessenihez hasonló tervek születtek Európa számos országában, több esetben hasonló vitát és megoldásokat generálva. Franciaországban szintén egységes azonosítószám alapján tervezték összevonni a meglévő nyilvántartásokat – ráadásul, igen szerencsétlen módon, titkos terv keretében, így itt egy 1974-es sajtócikk kényszerítette ki a társadalmi vitát. Egy másik, a gyermekeket születésüktől fogva nyilvántartó adatbázis a „problémás” gyermekek kiszűrését szolgálta volna. Találóan jegyzi meg BURKERT, hogy „egy ilyen adatbank szimbolikus jelentősége – a nem túl távoli történelmi múlt fényében – drámai volt”.[40]

Emellett 1973-ban Svédországban, 1977-ben a Német Szövetségi Köztársaságban (immár szövetségi szinten), 1978-ban Dániában, Norvégiában, Ausztriában és az imént bemutatott folyamatok lezárásaként Franciaországban fogadtak el adatvédelmi törvényeket.[41]

2.2.3. Az első generációs szabályozás főbb jellemzői

Az első generációs szabályozást áthatotta a „Nagy Testvér” információs túlhatalmától való félelem, így e jogszabályok elsődleges célja a nagy (döntően állami) adatbázisok átláthatóságának megteremtése volt.[42] Ugyanakkor kezdetektől fogva felmerült, hogy a szabályozás hatálya kiterjedjen-e a nem állami adatkezelőkre. A hesseni törvény, inkább a tartományi hatáskörből, mintsem szigorú elvi megfontolásokból fakadóan, még csak az állami szervekre vonatkozó szabályokat tartalmazott, a német szövetségi adatvédelmi törvény azonban – épp e kérdés körül kialakult igen hosszas vita után – az állami- és magán adatkezelőkre egyaránt kiterjedt, csakúgy, mint az 1978-as francia és dán szabályozás.[43] Az első generációs szabályok alapvetően az automatizált adatkezelésekre terjedt ki, és hangsúlyos szerepet kap a konkrét technológia szabályozása.[44]

Ugyancsak fontos jellemző, hogy e törvények még nem biztosítottak általános rendelkezési jogot az adatalanyok számára a személyes adataik felett kapcsolatban, de biztosítottak néhány részjogosítványt, például a betekintés és a helyesbítés jogát.[45]

Már e korai jogszabályok felismerték azt, hogy az adatvédelem érvényesülése csak megfelelő felügyelőhatóságok felállítása mellett biztosítható. A jogszabályok rendezték az ombudsman jellegű vagy hatósági hatáskörökkel (is) rendelkező felügyelőszervek feladat- és hatásköreit. Így a hesseni törvény létrehozta a Hesseni Adatvédelmi Biztos[46] intézményét, a francia jogszabály a kezdetektől fogva részletesen szabályozta a francia adatvédelmi hatóság (CNIL)[47] jogállását, míg Svédországban a Swedish Data Inspection Board végezte és végzi az adatvédelem felügyeletét.[48]

Az 1973-as svéd törvény vezette be azt a később általánossá váló kötelezettséget, miszerint az adatkezelők kötelesek egy nyilvánosan hozzáférhető hatósági nyilvántartásba bejelenteni az egyes adatkezeléseiket (adatbázisai­kat). Ez egyrészt biztosította az állampolgárok és fogyasztók számára az adatkezelések átláthatóságát, másrészt segítette az adatvédelmi hatóságok jogalkalmazását.[49] JÓRI ugyanakkor felhívja a figyelmet arra, hogy ez a jogintézmény egy olyan korban született, amikor ez a kötelezettség csupán néhány, de jelentős mértékű adatbázist kezelő adatkezelőre vonatkozó kötelezettség volt.[50]

2.3. A második generációs adatvédelmi szabályozás kialakulása és jellemzői

2.3.1. Technológiai és társadalmi háttér

Az 1980-as években megjelent és hamarosan elterjedt a személyi számítógép,[51] amely drasztikus változásokat hozott. A nagyteljesítményű számítógépes kapacitás a korábbinál lényegesen szélesebb kör számára vált elérhetővé: a számítógépek alkalmazása gyorsan elterjedt az üzleti életben, és a PC megjelent az otthonokban is.[52]

Az 1990-es években újabb jelentős fejlemény történt. Az Internet kereskedelmi célú megjelenése és elterjedése a korábbi, önálló egységként funkcionáló számítógépeket világméretű hálózattá kötötte össze. Minden korábbinál könnyebbé és gyorsabbá vált az adatok (ideértve a személyes adatokat is) továbbítása akár a világ távoli pontjára is.

Az informatikai és kommunikációs technológiák fejlődése alaposan átalakította az üzleti szférát is. A fogyasztók számára a leglátványosabb terület kétségtelenül a marketingeszközök változása: az új kommunikációs csatornán (elsősorban e-mailen) keresztül megvalósuló, és egyre kifinomultabb direktmarketing technikák, valamint a jellemzően cookie-khasználatán alapuló online marketing megjelenése.[53] A háttérben azonban más változások is történtek: az ügyféladatok illetve a vállalkozás belső működését jellemző adatok elektronikus adatbázisba szervezése lehetővé tette olyan új ügyfélkapcsolati (CRM) és vállalatirányítási (ERP) rendszerek kialakítását, amelyek korábban elképzelhetetlenek voltak.

E tendenciák világossá tették, hogy az üzleti szektor, (a „Kis Testvér”) adatéhsége legalábbis vetekszik az államéval. Ezáltal a korábbi néhány, „jól látható” adatbázist (és azok kezelőit) adatkezelők milliói váltották fel. Ezek egy része – például pénzintézetek, hírközlési szolgáltatók stb. – ráadásul egy-egy érintettről is igen nagyszámú, az érintett magánszférája szempontjából érzékeny adatot kezeltek.[54] Olyan új szabályozásra volt tehát szükség, amely képes a kialakult helyzetet kezelni.

További jelentős fejlemény a határokon átnyúló adatáramlás volumenének növekedése. A globális multinacionális nagyvállalatokon belüli feladatmegosztás gyakran azzal jár, hogy a vállalaton vagy vállaltcsoporton belüli adatáramlás is külföldi adattovábbítással jár együtt. Így sürgetővé vált a személyes adatok védelmének nagyobb harmonizációja.[55]

Az üzleti szférában lezajló folyamatokkal párhuzamosan a ’80-as, ’90-es évekre kiteljesedett az információs társadalom kialakulásával kapcsolatos elméleti diskurzus. Világossá vált, hogy a társadalmi változások fő mozgatórugója az információ felértékelődése és az információ felhasználásának hatékonysága lett. Ugyanakkor hangsúlyosan megjelennek a magánszférát féltő gondolatok is.[56]

A ’90-es évek elejétől kezdődően az információs társadalom kiépítése az Európai Unió kiemelt politikai programjává vált. Mérföldkőnek tekinthető e területen az 1994-es Bangemann jelentés,[57] amelyet számos, az információs társadalom kialakítását célul tűző stratégiai dokumentum követett. E dokumentumokban rendre megjelenik az a kettősség, miszerint egyik oldalról biztosítani kell az adatok szabad áramlását, mivel az az információs társadalom fejlődésének motorja, másrészről azonban garantálni kell a magánszféra megfelelő védelmét is. Később, az internethasználat terjedésével, a megfelelő szintű adatvédelem – a fogyasztóvédelmi szabályok erősítése mellett – az online szolgáltatásokba vetett bizalom (trust) megteremtésének egyik fontos eszközévé, és így az információs társadalom kialakításának egyik lényegi szabályozási kérdésévé vált.[58]

2.3.2. A második generációs szabályozás főbb jellemzői

Az előző fejezetben bemutatott tendenciákkal összhangban az adatvédelmi jogalkotás is jelentős változáson ment keresztül. E változások elméleti előzményét a Német Szövetségi Alkotmánybíróság nagyhatású, ún. népszámlálás-ítéletében megfogalmazott információs önrendelkezési jog jelentette, amely „biztosítja az egyénnek azt a jogot, hogy alapvetően maga döntsön személyes adatainak kiszolgálásáról és felhasználásáról.”[59] Az információs önrendelkezési jog elve áthatotta aztán nemcsak a német, de számos európai ország szabályozási rendszerét is.[60]

A második generációs szabályozás egyik fő jellemzője tehát, hogy a technológia-specifikus megközelítés helyett (amelyet a technológia gyors fejlődése reménytelenné tett) az érintettet széles körű rendelkezési joggal ruházta fel az adatkezelés egész folyamatára nézve.[61]

Emellett széles körben elfogadottá vált, hogy – a „Kis Testvérek” megjelenésének köszönhetően – a szabályozás hatályát az üzleti szféra adatkezelőire is ki kell terjeszteni. Ugyancsak jellemző tendencia, hogy az elektronikus eszközökkel végzett adatkezelések mellett a manuális, papír alapú adatkezeléseket is rendre bevonta a jogalkotó a szabályozás hatálya alá.[62]

Az adatkezelések számának drasztikus növekedése, és az államigazgatás egyes szektorai esetén a jogalap biztosítása érdekében egyre nagyobb teret nyert az adatvédelem szektorális szabályozása. Ugyanakkor – ugyanezen okokból – a nyilvántartásba vételi szabályok kivételek sokaságával lazultak.[63]

Végül a szabályozás – több-kevesebb sikerrel – reagált a nemzetközi adattovábbításokból eredő problémákra is. Már a ’80-as évek elejére megszülettek az első nemzetközi jogi dokumentumok, amelyek egyértelműen a határokon átnyúló adatáramlás növekvő jelentőségét mutatják. Az 1980-ban elfogadott, a magánélet védelméről és a személyes adatok határokon átívelő áramlásáról szóló OECD irányelveknek ugyan nincs kötelező ereje, de számos fontos alapvető elvet tartalmaz, és mivel részese az Egyesült Államok is,[64] az abban foglaltak Európa és az Egyesült Államok közötti közös nevezőnek tekinthetők.[65] Az Európa Tanács 1981-es adatvédelmi egyezménye[66] korának legjelentősebb adatvédelmi dokumentuma, és egészen 1995-ig, az EU adatvédelmi irányelvének elfogadásáig az egyetlen kötelező erejű, nemzetközi szintű jogforrás.[67]

Az Európai Parlament és az Európai Unió Tanácsa – hosszas jogalkotási folyamat eredményeként – 1995-ben fogadta el az EU adatvédelmi irányelvét.[68] Az irányelv a második generációs szabályozás tipikus dokumentuma, amelynek implementálása minden EU tagállam számára kötelező volt, így e dokumentum megteremtette a harmonizált európai adatvédelmi szabályrendszer alapjait.

2.4. A harmadik generációs adatvédelmi szabályozás kialakulása és jellemzői

Az elmúlt 10–15 évben a technológiai és társadalmi háttér változása újra és újra kihívás elé állította és állítja a ’90-es évek végére nagyjából kialakult adatvédelmi szabályozást. E tendenciák részletes feltérképezése, egy új generációs szabályozás elemeinek átfogó vizsgálata, valamint az ezek közötti okozati összefüggések feltárása további jelentős kutatást igényel, így e tanulmányban csupán arra vállalkozunk, hogy – mintegy felsorolásszerűen – azonosítsunk néhány fontosabb kérdéskört mind a technológiai és társadalmi változások, mind a várható új szabályozás főbb tendenciái közül.

2.4.1. Technológiai és társadalmi háttér

A technológiai-társadalmi háttér bemutatása kapcsán mindenekelőtt ki kell emelni az internetes szolgáltatások terén bekövetkezett változásokat, egyrészt az internethasználat tömeges elterjedését, másrészt a kétezres évek közepétől kezdődően a web 2.0-es szolgáltatások folyamatos elterjedését. Ezek egyik lényegi jellemzője, hogy drasztikusan megváltozik a tartalomszolgáltatás jellege, és előtérbe kerülnek a felhasználók által generált tartalmak,[69] legyen az akár egy személyes profiloldal egy közösségi oldalon, egy blogbejegyzés, vagy kép és video megosztása. Amennyiben ezek a tartalmak más érintettek személyes adatainak nyilvánosságra hozatalával járnak, ez azt is eredményezheti, hogy felhasználók tömege kerül adatkezelői pozícióba,[70] és lesz így az adatvédelmi szabályozás kötelezettje.

A felhasználók által készített és közzétett tartalmaknak köszönhetően az online adatmennyiség korábban elképzelhetetlen mértékben bővül. A technológiai szaksajtó a „Big Data” kifejezéstől hangos, amely az adatvédelmi szakirodalomban is megjelent. A hatalmas és gyorsuló ütemben bővülő adatmennyiség hasznosítása komoly üzleti lehetőségeket rejt, így középpontba került az adatbányászati technológiák fejlesztése is. E jelenség magánszférára gyakorolt hatása nem megkerülhető az adatvédelemről szóló szakmai viták során.

További fontos tendencia a profilozás technikáinak fejlődése,[71] az egyre kifinomultabb direktmarketing-eszközök (pl. viselkedés alapú marketing) alkalmazása, a mobileszközök és ezzel összefüggésben a helymeghatározáson alapuló szolgáltatások nagyfokú elterjedése; utóbbi lényegében a valósidejű tartózkodási hely különböző adatkezelőnek történő megadásával jár együtt. Nagymértékben változik a személyes adatok tárolásának módja is. A felhőalapú szolgáltatások terjedésével az érintettek (sőt, sokszor az adatkezelők is) minden korábbinál jobban elvesztik az adataik feletti „fizikai” ellenőrzés lehetőségét.[72]

Érdemes figyelembe venni azt is, hogy az új technológiák és szolgáltatások új felhasználói viselkedésmintákkal párosulnak. A felhasználók új generációjának a magánszférával kapcsolatos attitűdje eltér a korábbi generációiétól.[73]

2.4.2. A harmadik generációs szabályozás néhány jellemzője

A fenti tendenciák hatása az adatvédelmi szabályozásban is meg kell, hogy jelenjen. Álláspontunk szerint olyan új generációs adatvédelmi szabályozás szükséges, amely alapvető jellemzőiben tér el a hatályos jogi környezettől – legalább annyiban, mint amennyiben a második generációs szabályok a korai adatvédelmi szabályozástól.

Amint azt említettük, folyamatban van az adatvédelmi szabályozás európai szintű reformja. A Bizottság által kiadott Rendelettervezet véleményünk szerint olyan új tendenciákat vetít előre, amelyek alapján egyértelműen új generációs szabályozásnak tekinthetjük.

Az alábbiakban összefoglalunk néhány jellemző szabályozási irányt.

1. A szabályozás súlypontja az érintettek jogai felől az adatkezelők kötelezettségei felé tolódik el. Úgy tűnik, hogy az információs önrendelkezési jog egyéni jogérvényesítést és az érintett tudatosságát feltételező koncepciója mellett/helyett fokozottan előtérbe kerül az adatkezelők kötelezettségeit és felelősségét (elszámoltathatóságát) kidomborító megközelítés.

A Bizottság által kibocsátott rendelettervezet az adatkezelők mérete és tevékenysége alapján differenciáltan, de széles adatkezelői kört érintően az adatkezelők feladatává teszi a megfelelő politikák (eljárásrendek, szabályzatok) elfogadását, adatkezelési dokumentáció vezetését, adatbiztonsági intézkedések megtételét, adatvédelmi hatásvizsgálat lefolytatását, és egyes esetekben belső adatvédelmi felelős kijelölését.[74]

A szabályozás ugyan elvileg az érintett jogainak erősítését is célul tűzi ki, de véleményünk szerint ezek vagy jóval kisebb előrelépések, mint amelyeket a kötelezettségek területén ír elő a tervezet, vagy olyan új jogokat nevesít, amelynek biztosítása jelentős erőfeszítést igényel az adatkezelők részéről (pl. az adathordozhatósághoz való jog).

Apró változtatásnak tűnik, de jelentős koncepcionális váltást eredményezhet a Rendelettervezet azon szakasza, amely szerint a hozzájárulás nem teremt jogalapot az adatkezelésre, ha jelentős egyenlőtlenség áll fenn az érintett és az adatkezelő helyzete között.[75] Megjegyezzük, hogy az információs önrendelkezési jogon alapuló adatvédelmi szabályozással kapcsolatos aggályok már jó ideje megjelennek a jogirodalomban. MAYER-SCHÖNBERGER már 1997-ben arra hívja fel a figyelmet, hogy az információs önrendelkezési jogon alapuló adatvédelem „fogatlan papírtigrisnek” a „felső középosztály játékszerének bizonyul,” mivel az érintettek többsége rutinszerűen megadja a jobb gazdasági és alkupozícióban lévő gazdálkodó szervezetnek az adatkezeléshez való hozzájárulást.[76]

Összességében tehát a Rendelettervezet reagálni igyekszik ezekre a felvetésekre, és – hasonlóan például a fogyasztóvédelmi szabályozáshoz – az érintett passzivitása, alacsony adatvédelmi tudatossága mellett is biztosítani kívánja (talán tudja is), a magánszféra-védelem elfogadható szintjét.

2. Egy másik fontos jellemző a szabályozási terhek differenciálása az adatkezelők valamely jellemzője alapján. A Rendelettervezet az egyes, részletesen szabályozott kötelezettségeket csak bizonyos adatkezelők számára írja elő. A tervezet egyrészt az adatkezelés jellege (fő- vagy járulékos tevékenység) és kockázata alapján, másrészt az adatkezelő mérete alapján differenciál.

3. A szabályozás (újra) célul tűzi ki a technológia szabályozását, formálását. A jogalkotó felismerte ugyanis, hogy a technológia közvetlen hatással van a személyes adatok védelmére és az adatbiztonságra vonatkozó jogi követelményekre.[77] Hiába van pl. egy szervezetnél az adatvédelmi jogszabályoknak egyébként megfelelő belső szabályzat arra, hogy bizonyos adatokhoz csak meghatározott szervezeti egységek férhetnek hozzá, ha ezt nem támogatják az iktatórendszer jogosultsági beállításai, esetleg nem is lehet megadni jogosultsági korlátozásokat, akkor e szabály a gyakorlatban nem fog érvényesülni.

A technológia azonban kifejezetten segítheti is a magánszféra védelmét; a privátszférát erősítő technológiák[78] (PET) létrejöttének egyik oka, hogy a szabályozás, önszabályozás, és a jogalkalmazás sem tudnak elegendő védelmet nyújtani a felhasználóknak a tömegesen előforduló jogellenes adatkezelési gyakorlat, és az egyre újabb műszaki megoldások ellen.[79]

A fentiekre tekintettel – a PET koncepcióját is magába olvasztva – egyre többször jelenik meg jogszabályi követelményként is az ún. „Privacy by design” elve, amely lényegében azt jelenti, hogy valamely új technológia illetve eljárás fejlesztése és/vagy bevezetése során már a tervezési szakasztól kezdve (egészen a tényleges alkalmazásig) figyelemmel kell lenni az adatvédelemre vonatkozó jogi, és az adatbiztonságra vonatkozó jogi és technikai követelményekre, valamint műszakilag biztosítani kell az azoknak való megfelelést. Szintén új szabályként jelenik meg az új európai szabályozásban bizonyos szervezetek számára az adatvédelmi hatásvizsgálat (privacy impact assessment) követelménye, amely valamely intézkedés egyének magánszférájára gyakorolt hatásának elemzését jelenti.[80]

4. A fenti jellemzőkből következik az intézményi belső szabályozás szerepének erősödése. A Rendelettervezet jelen formában való elfogadásának véleményünk szerint egyértelműen az a várható hatása, hogy az egyes, különösen a nagyobb, vagy a személyes adatok kezelését elsődleges tevékenységként végző adatkezelők a korábbinál lényegesen nagyobb hangsúlyt kell, hogy fektessenek az adatvédelmet érintő folyamataik és annak várható hatásainak elemzésére, majd e folyamatok megtervezésére, dokumentálására és (belső) felügyeletére.

3. Összegzés

Amint azt láthattuk, az adatvédelmi szabályozás egyes generációi alapvetően az aktuális, technológiai forradalom által vezérelt társadalmi változásokra kívántak több-kevesebb sikerrel reagálni. A jelenlegi folyamatokat e kontextusba helyezve talán éppen egy új generációs szabályozás kialakulásának lehetünk tanúi – igaz annak elfogadásáig még igen rögös út vezet, amely akár a tervezet jelentős módosításához akár annak elvetéséhez is elvezethet.

A tanulmányban igyekeztünk e folyamat néhány kulcselemét megvilágítani és történeti szemlélettel elemezni. A további kutatásaink e folyamatok részletkérdéseire és az új jelenségekre adott szabályozói válaszkísérletek értékelésére fokuszálnak.

 

 


A szerző a PTE ÁJK Informatikai és Kommunikációs Jogi Tanszék kutatója, a PTE belső adatvédelmi felelőse.

[1] A tanulmány alapjául szolgáló kutatás a TÁMOP 4.2.4.A/2-11/1-2012-0001 azonosító számú Nemzeti Kiválóság Program – Hazai hallgatói, illetve kutatói személyi támogatást biztosító rendszer kidolgozása és működtetése konvergencia program című kiemelt projekt keretében zajlott. A projekt az Európai Unió támogatásával, az Európai Szociális Alap társfinanszírozásával valósul meg.

[2] Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról

[3] Európai Bizottság: Javaslat – Az Európai Parlament és a Tanács Rendelete a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet) Brüsszel, 2012.1.25. COM(2012) 11 final, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:HU:PDF (2013.10.10), a továbbiakban: Rendelettervezet

[4] Majtényi László: Az információs jogok. in.: Halmai Gábor – Tóth Gábor Attila (szerk.): Emberi jogok. Osiris, 2003, pp. 582-583.

[5] Jóri András: Adatvédelmi kézikönyv. Osiris, 2005, pp. 24–66.

[6] Hegedűs Bulcsú: Az adatvédelmi jog általános tanai. In.: Tóth András (szerk.): Infokommunikációs jog II. Patrocínium, 2013, pp. 137–145.

[7] Egy-egy, adott szabályozási modellnél kifejtett jellemző rendszerint jóval korábban megjelenik a jogirodalomban.

[8] A technológia történetét és a társadalmi változásokat nem a teljesség igényével elemezzük, hanem csak azokat a jelentségeket mutatjuk be, amelyek az adatvédelmi szabályozásra alapvető hatással voltak.

[9] A tanulmány egyes elemeit és hatását elemzi például Jóri András, i. m. pp. 14–15, Majtényi László: Az információs szabadságok. Complex, 2006, pp. 28–30., Sólyom László: A személyiségi jogok elmélete. Közgazdasági és Jogi Könyvkiadó, 1983 pp. 201–211. Az Információs Társadalom című folyóirat 2005/2. számában teljes tanulmányt szán a témának Simon Éva (Simon Éva: Egy XIX. századi tanulmány margójára, Információs Társadalom 2205/2, pp. 32–43). Ugyanitt megjelent az eredeti tanulmány magyar nyelvű fordítása is.

[10] Warren, Samuel D. – Brandeis, Louis D: The Right to Privacy, Harvard Law Review 1890/4. http://heinonline.org/HOL/Page?collection=journals&handle=hein.journals/hlr4&id=205&terms=photograph#207 [2013.06.15.] pp. 195–220.

[11] A Kodak szlogenje szerint „ön megnyomja a gombot, a többi a mi dolgunk”. A cég ugyanis vállalta a fényképek előhívását is, amelyet korábban csak megfelelő szakértelemmel rendelkező fényképészek tudtak megtenni. History of Kodak, http://www.kodak.com/ek/US/en/Our_Company/History_of_Kodak/Milestones_-_chronology/1878-1929.htm [2013.08.22.]

[12] Warren, Samuel D. – Brandeis, Louis D. i. m. p. 195.

[13] A szépirodalom és az adatvédelem kapcsolatát lásd pl. Balogh Zsolt György: Jogi informatika, Dialóg Campus, Budapest–Pécs, 1998, pp. 152–153., Jóri András i. m. pp. 21–22. A kérdéssel legrészletesebben Majtényi László foglalkozik (Majtényi László: Az információs szabadságok, pp. 41–55.), aki nemcsak, hogy maga is keresi a „Nagy Privacy Metaforát” (és találja meg végül József Attila idézett versében), de a nemzetközi szakirodalomban is népszerű metaforakeresés okait is kutatja: „Olyasmiről beszélünk ugyanis, amiről nem tudjuk, hogy micsoda. Mindenki, aki a privacy védelemmel foglalkozik, valamelyest szenved attól, hogy a védelem tárgya, alanya bár megnevezhető, meghatározhatatlan. Ezért menekülnek a képes beszédhez. A szerzők mindegyike valami sipolyt keres a jogi burkon, hogy azt megnyitva, meglesse az ént.” Majtényi László: Az információs szabadságok, p. 46.

[14] József Attila: Levegőt József Attila összes versei. Szépirodalmi Könyvkiadó, Budapest. 1966. 445. o.

[15] Kardos Gábor: Az emberi jogok nemzetközivé válása. In.: Halmai Gábor – Tóth Gábor Attila (szerk.): Emberi jogok, Osiris, Budapest 2003, p.67.

[16] Galántai Zoltán: E-privacy olvasókönyv, 2003. http://mek.oszk.hu/04100/04134/html/ [2013.07.17.]

[17] Deutsche Hollerith-Maschinen Gesellschaft mbH

[18] Black, Edwin: Az IBM és a Holokauszt, Atheneum 2000, Budapest 2002, pp. 90–91.

[19] Black, Edwin i. m. pp. 23–25. pp. 200–201. p. 256.

[20] Black, Edwin i. m. pp. 157–159.

[21] Mayer-Schönberger, Viktor: Delete: The Virtue of Forgetting in the Digital Age, Princeton University Press, Princeton and Oxford 2009, p. 141.

[22] Black, Edwin i. m. p. 236.

[23] „Sem a franciák, sem a németek nem tudták pontosan kideríteni, hogy az elkövetkezendő hónapok, sőt a hátralévő háborús évek alatt ki, milyen módszerrel végzett népszámlálást az országban.” Black, Edwin i. m. p. 238. A holland és francia rendszer összehasonlítását ld. részletesen Black, Edwin i. m. pp. 222–250.

[24] Hegedűs Bulcsú i. m. p. 130.

[25] A 12330/1945. ME rendelet 1. §-át idézi Dobos Balázs: A magyarországi németek kitelepítése az 1941-es népszámlálás tükrében, http://www.hhrf.org/kisebbsegkutatas/kk_2005_03/cikk.php?id=954 [2013.07.17.]

[26] A példa jól megvilágítja azt is, hogy milyen jelentős különbség van a között, hogy egy szervezet nem jogosult (az éppen hatályos jogszabályok szerint) bizonyos adatok átadására, és a között, hogy a szerv nem is rendelkezik az adott személyes adatokkal (mert például az adatokat anonimizálták), és így nem is képes személyes adatok átadására. Az ezzel kapcsolatos dilemmák, pro és kontra érvek a mai napig megjelennek az adatvédelemről szóló diskurzusban. Ezt a problémakört Majtényi a ruandai polgárháború példájával illusztrálja, ahol az uszítók rádióban olvasták be a meggyilkolandók neveit – „mégsem mindegy az sem, hogy a még valamennyire konszolidált hatalom (mely mindig csak viszonylagosan normális) milyen adatbázisokat hagy tébolyult utódjára.” Majtényi László: Az információs szabadságok, p. 80. A holland zsidók tragédiája ugyanezt támasztja alá.

[27] Dr. Heinz Ervin – Dr. Lakatos Miklós: A Központi Statisztikai Hivatal szerepe a német lakosság kitelepítésében. in.: Czibulka Zoltán – Dr. Heinz Miklós – Dr. Lakatos Miklós (összeáll.): A magyarországi németek kitelepítése és az 1941. évi népszámlálás. Központi Statisztikai Hivatal Népszámlálási Főosztálya, Budapest, 2004 pp. 2–3.

[28] Lásd pl. Burkert, Herbert: Privacy – Data Protection. A German/European Perspective, 1999 http://www.coll.mpg.de/sites/www.coll.mpg.de/files/text/burkert.pdf [2013.07.17.] pp. 49–50.

[29] Hegedűs Bulcsú i. m. p. 133.

[30] Burkert, Herbert i. m. pp. 44–51.

[31] A „nagy rendszerek” hívei azok optimális kihasználtságát és így a fajlagos költségek csökkentését, valamint a szabványosításban rejlő előnyöket hangsúlyozták. A decentralizált, de együttműködő rendszereket támogató szakértők a rossz értelemben vett uniformizálást és a szabadságjogok fenyegetését hozták fel ellenérvként, vitatva egyébként a költségcsökkentő hatást is (mivel a centralizált rendszerekhez lényegesen drágább hardver és szoftver, az üzemeltetéshez pedig felkészült szakembergárda szükséges). Balogh Zsolt György i. m. pp. 154–155.

[32] Lásd Jóri András i. m. p. 24., illetve ahogy Sólyom fogalmaz: „a rendszernek velejárója az emberek megszámozása”, Sólyom László: Egy új szabadságjog: az információszabadság. Valóság, 1988/9. p. 25.

[33]  Jóri András i. m. p. 24.

[34] Lásd például Arthur Millernek a Michigan Law Review folyóiratban 1969-ben megjelent írását: Miller, Arthur: Personal Privacy in the Computer Age: The Challenge af a New Technology in an Information-Oriented Society. In.: Michigan Law Review 1968–1969/67, pp. 1089-1246. http://heinonline.org/HOL/Page?handle=hein.journals/mlr67&div=76&collection=journals&set_as_cursor=2&men_tab=srchresults#1103 [2013.06.15.] 1969, különösen pp. 1107–1109.

[35] Lásd például Brian Murphy ’60-as években végzett kutatásainak összefoglalását Balogh Zsolt György i. m. p. 150. Említhetjük még James Martin és Adrian R. D. Norman „The computerized society. An appraisal of the impact of commputers on society over the next fifteen years.” című, 1970-ben megjelent munkáját.

[36] Daniel Bell: The coming of postindustrial society: a venture in social forecasting, Basic Books, New York, 1973.

[37] Balogh Zsolt György i. m. p. 150. valamint Hassan, Robert: The Information Society, Polity Press, Cambridge 2008, pp. 52–53.

[38] Sólyom László: Egy új szabadságjog, p. 25.

[39] Simitis, Spiros: The Hessian Data Protection Act. The Hessian Data Protection Commissioner, Wiesbaden 1987, p. 5.

[40] Burkert, Herbert i. m. pp. 49–50., a szerző saját fordítása

[41] Hegedűs Bulcsú i. m. p. 137.

[42] Jóri András i. m. p. 24.

[43] Burkert, Herbert i. m. pp. 47–50.

[44] Jóri András i. m. p. 25.

[45] Ezek később az információs önrendelkezési jog részjogosítványai lettek, ld. Jóri András i. m. p. 24.

[46] Der Hessische Datenschutzbeauftragte

[47] Commission nationale de l‘informatique et des libertés

[48] Burkert, Herbert i. m. p. 46. 50–51. Csupán néhány példát emeltünk ki, a további nemzeti hatóságok felsorolásától eltekintünk.

[49] Burkert, Herbert i. m. p. 48.

[50] Jóri András i. m. p. 25.

[51] Personal Computer, bevett rövidítéssel: PC

[52] Hassan, Robert i. m. p. 3.

[53] Turow, Joseph – Draper, Nora: Advertising’s new surveillance ecosystem. in.: Ball, Kirstie – Haggerty, Kevin D. – Lyon, David (eds.): Routledge Handbook of Surveillance Studies. Routledge, London, 2012 pp. 134–135

[54] A „Kis Testvér” előretöréséről ld. pl. Majtényi László: Az információs szabadságok, p. 36., Hegedűs Bulcsú i. m. pp. 137.

[55] See Burkert, Herbert i. m. 51. 53.

[56] Többek között Masuda, Yoneji: Az információs társadalom. OMIKK, Budapest, 1988 pp. 102–110., Lussato, Bruno: Az informatikai kihívás, OMIKK, Budapest, 1989 pp. 152–157.

[57] Balogh Zsolt György i. m. p. 159.

[58]  Az EU információstársadalom-politikájával kapcsolatban lásd. http://europa.eu/legislation_summaries/information_society/index_hu.htm

[59] Könyves-Tóth Pál – Székely Iván: Informatika – Jog – Közigazgatás. Nemzetközi dokumentumok I. InfoFilia, Budapest, 1991 p, 6.1.

[60]  Rouvroy, Antoinette – Poullet, Yves: The Right to Informational Self-Determination and the Value of Self-Deployment: Reassessing the Importance of Privacy for Democracy. in.: Serge Gutwirth et al. (eds.): Reinventing Data Protection? Springer, 2010 pp. 45–76. p. 45.

[61] Mayer-Schönberger gondolatait idézi és elemzi Jóri András i. m. p. 27.

[62] Hegedűs Bulcsú i. m. pp. 135–136.

[63] Jóri András i. m. p. 41.

[64] Burkert, Herbert i. m. p. 52.

[65] Jóri András i. m. p. 28–29. Az OECD irányelveket részletesen bemutatja továbbá Majtényi László: Az információs szabadságok, pp. 95–96., Hegedűs Bulcsú i. m. pp. 146–148.

[66] Az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény

[67] Az egyezményről ld. részletesen pl. Balogh Zsolt György i. m. pp. 190–199., Jóri András i. m. pp. 29–30., Hegedűs Bulcsú i. m. pp. 148–150.

[68] 95/46/EK irányelv

[69] User Generated Content

[70] Van Alsenoy, Brendan – Ballet, Joris – Kuczerawy Aleksandra – Dumortier Jos: Social networks and web 2.0: are users also bound by data protection regulations? Identity in the Information Society, 2009/1, doi: 10.1007/s12394-009-0017-3 [2013.08.15.] p. 70.

[71] A profilozás széles körű alkalmazási lehetőségeiről lásd Hildebrandt, Mireille – Gutwirth Serge (eds.): Profiling the European Citizen. Cross Disciplinary Perspectives. Springer, 2010

[72] Tene, Omer: Privacy: The new generations, International Data Privacy Law 20011/1. doi: 10.1093/idpl/ipq003 [2013.07.11.] pp. 16–20.

[73] Tene,Omer i. m. pp. 15, 21, 23. A felhasználói hozzáállás részletesebb vizsgálatához további kutatások szükségesek – amely elsősorban az elmúlt években készült közvélemény-kutatások eredményeinek feldolgozását igényli.

[74] Rendelettervezet, IV. fejezet

[75] Rendelettervezet, 7. cikk (4)

[76] Mayer-Schönberger gondolatatit idézi és elemzi Jóri András i. m. p. 37. A második generációs szabályozás válságáról ld. részletesen Jóri András i. m. pp. 36–42.

[77] E gondolatnak az első jogszabályi megfogalmazása már 1997-ben megjelent Németországban. Lásd Erről Jóri András i. m. p. 65.

[78] Privacy Enhancing Technology (PET)

[79] Székely Iván: Privátszférát erősítő technológiák. In: Információs Társadalom, 2008. VIII. évf. 1. szám, http://pet-portal.eu/files/oldfiles/articles/2008/02/InfTars_PET.pdf (2013.06.27.), p. 22.

[80] Rendelettervezet, 23. és 33. cikk