Személyes adatnak minősül-e a WiFi hálózat használata során rögzített adat?

A WiFi hálózat tipikus példája az olyan jelenségeknek, amelyek a mindennapjaink szerves részét képezik, azonban abba, hogy milyen jogi vonatkozásaik vannak, a legtöbb esetben nem gondolunk bele. Ezek közül a jogi szempontok közül az egyik legjelentősebb a hálózaton közölt információk adatvédelmi vetülete.

A címben felvetett kérdés megválaszolásához elsőként érdemes tisztázni, hogy a hatályos adatvédelmi szabályozás és az annak értelmezését segítő joggyakorlat miként tekint a személyes adat fogalmára. A válasz azért is lényeges, mert ha egy adat nem minősül személyes adatnak, abban az esetben nem esik az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv”), az Altalános Adatvédelmi Rendelet („GDPR”) és az egyéb adatvédelmi jogszabályok hatálya alá.

A jelenlegi gyakorlat a személyes adat fogalmának az abszolút vagy a relatív megközelítését alkalmazza. Röviden összefoglalva, az abszolút megközelítés szerint amennyiben egy információ akár a későbbiekben, akár harmadik személy közreműködésével, illetve további információkkal történő összekapcsolás eredményeként valamely konkrét személyhez köthető, akkor az személyes adatnak minősül, még akkor is, ha az adat birtokában lévő szervezet nem feltétlenül van abban a helyzetben, hogy az érintett azonosítását közvetlenül végrehajtsa. Példa lehet erre az az esetkör, amikor egy szervezet az érintettek nevével nem, azonban a rájuk vonatkozó, álnevesített karaktersorokkal rendelkezik, míg egy másik szervezet az álnevesítés feloldására szolgáló kulcs fölött diszponál. Az abszolút értelmezés alapján az első szervezet feltehetően adatkezelőnek fog minősülni, hiszen önmagában a rendelkezésére álló információkból nem képes azonosítani a konkrét magánszemélyeket, a kulccsal együtt azonban már igen. A relatív megközelítés ezzel szemben az adatkezelő személyét helyezi a középpontba és akkor tekinti az adatot személyes adatnak, ha az adatkezelő közvetlenül, további információk bevonása nélkül is képes az érintett azonosítására (pl. egy munkáltató a saját munkavállalói vonatkozásában).

A jogértelmezés szempontjából irányadónak tekinthető a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”), az Európai Adatvédelmi Testület (illetve annak elődje, a 29-es Munkacsoport), továbbá az Európai Bíróság és a hazai bíróságok gyakorlata. A joggyakorlat szempontjából különösen jelentős döntésként említhetjük, hogy az álnevesített egészségügyi adatok kapcsán a Kúria a BH 2019.272 számú ítéletében a relatív megközelítés mellett tette le a voksát, azaz lényegében azt mondta ki, hogy amennyiben az adott információk birtokában lévő szervezet az érintettek közvetlen azonosítására nem képes a rendelkezésére álló információk alapján, akkor nem minősül adatkezelőnek.

Ugyanakkor a fenti kérdéskör továbbra is jelentős mértékű bizonytalanságot okoz egyes adatkezelések gyakorlati megvalósítása során, ezekre tipikus példa a WiFi hálózatok kapcsán kezelt információk köre. Kimondható, hogy az európai joggyakorlat ebben az esetkörben inkább az abszolút megközelítés irányába mutat, hiszen ismert olyan Európai Bírósági döntés (ld. alább), amely alapján még egy dinamikus (azaz folyamatosan változó) IP cím is személyes adatnak minősül azon magánszemély vonatkozásában, aki az IP címmel rendelkező eszközt az internet elérésére használja.

A kapcsolódó hazai gyakorlat szintén mutat némi bizonytalanságot, azonban megemlítendő a NAIH iránymutatása, amelynek alapján „amennyiben az IP-címet a felhasználóhoz köthetően kezelik – így például, ha más adatokkal együttesen a felhasználó az IP-címen keresztül azonosított vagy azonosíthatóvá válik – akkor az IP-cím is személyes adatnak minősül” (NAIH-377-2/2014/V). A dinamikus IP-címek vonatkozásában a WP29 munkacsoport 1/2008-as állásfoglalásában is úgy vélekedik, hogy habár az IP-címeket a legtöbb esetben a keresőmotorok nem tudják közvetlenül azonosítani, az azonosítás harmadik fél közreműködésével már lehetséges, legyen az akár egy bűnüldöző szerv, nemzetbiztonsági hatóság vagy polgári peres eljárás keretében az eljáró bíróság, ezáltal az IP cím személyes adatnak tekinthető. A fentieket erősítette meg az Európai Bíróság az ECLI:EU:C:2016:779 sz. eljárás során hozott döntésében, amelyben úgy látta, hogy „az elektronikus médiaszolgáltató rendelkezik olyan módszerrel, amelyet valószínűleg felhasználna az érintett személy más személyek – azaz a hatáskörrel rendelkező hatóság és az internet‑hozzáférést nyújtó szolgáltató – segítségével a tárolt IP‑címek alapján történő azonosítására is.

A WiFi hálózatok használata során folytatott adatkezelések kapcsán tehát vélhetően az a prudens megoldás, ha az IP címet személyes adatnak tekintjük. Ennek megfelelően, a WiFi hálózatot biztosító kereskedelmi egységek, szolgáltatók vagy más szervezetek mint adatkezelők adatkezelési tájékoztatóikban ki kell térjenek ezen adat kezelésének részleteire, továbbá a belső dokumentációjukban (pl. adatvédelmi szabályzatok, adott esetben adatvédelmi hatásvizsgálatok, GDPR 30. cikk szerinti nyilvántartás) is rendezniük kell ezt az adatkezelést. Az elszámoltathatóság elvéből az is következik, hogy a felügyeleti hatóság felhívására a jogszerűség biztosítására szolgáló dokumentációt a hatóság rendelkezésére is kell bocsátaniuk.

Azt is látni kell, hogy a WiFi hálózatokkal kapcsolatos adatkezelés csak egy példa azon műveletek körére, amelyek egyfajta határterületet, értelmezési nehézségektől terhelt „szürke zónát” képviselnek az adatkezelések között részben amiatt, hogy sajátos technikai hátterük miatt nem csak az érintettek, de sok esetben az adatkezelő számára is nehezebben átláthatók, részben pedig azért, mert önmagában az is értelmezés kérdése az esetükben, hogy egyáltalán lehetővé teszik-e az érintettek azonosítását. Ebben a halmazban említhetjük többek között az egyes weboldalakon futó cookie-k, vagy egyéb, a felhasználói aktivitásról információkat gyűjtő eszközök, kódok esetét, hiszen ezek is gyakran félreértések tárgyát képezik.

A fentiekből az is következik, hogy a jogszerűség biztosítása ezen adatkezelés-típusok esetén fokozott éberséget és felkészültséget igényelhet az adatkezelő részéről, annak során részletes elemzést szükséges lefolytatni arra vonatkozóan, hogy egyáltalán „mi történik”, tehát milyen információk gyűjtése zajlik, ezek mennyiben vezetnek beazonosíthatósághoz, továbbá tisztázandó az adatkezelés jogalapja és az adattárolási idők is, egyebek mellett. Ehhez a vizsgálathoz a jogi szakértelem mellett szükséges lehet informatikai szakemberek bevonása is, hiszen a pontos technikai háttér kapcsán jellemzően ők vannak a megfelelő információk birtokában.

A fenti kérdés különös jelentőséget kap a GDPR 24. cikkének fényében, hiszen az – az Infotv. 5. § (5) bekezdésével ellentétben, amely csak a kötelező adatkezelésekre vonatkozik –  általános feladatként írja elő az adatkezelő részére, hogy az adatkezelései során alkalmazott technikai és szervezési intézkedéseit rendszeresen vizsgálja felül és tegye azokat naprakésszé. Ez tehát lényegében az adatkezelés valamennyi körülményének rendszeres, jogszerűségi alapú felülvizsgálatát jelenti, amely a jelenlegi, gyorsan változó digitális környezetben nem kis feladat.

dr. Bán Kristóf Tamás (e-mail: kristof.ban@hu.pwclegal.com), ügyvédjelölt

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez.

Megosztás