2011. július 11-én két adatvédelmi törvényt is elfogadott az Országgyűlés, az új adatvédelmi törvényt, valamint az elektronikus hírközlésről szóló törvény módosítását. Az új adatvédelmi törvény felváltja a jelenleg hatályos, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvényt, és elődjéhez hasonlóan részben implementálja az EU általános adatvédelmi irányelvét (95/46/EK). Az elektronikus hírközlésről szóló törvény módosítása többek között az EU elektronikus hírközlési adatvédelmi irányelvének (e-Privacy irányelv) új rendelkezéseit ülteti át a magyar jogba. Az adatvédelmi és információs jogok változásáról dr. Domokos N. Mártonnal beszélgettünk.

Dr. Domokos N. Márton: 2012. január 1-től adatvédelmi hatóság lesz a jelenlegi adatvédelmi biztos (ombudsman) helyett, amely bírságot is kiszabhat. Az ombudsmant az Országgyűlés választotta 2/3-os többséggel, a hatóság viszont autonóm államigazgatási szerv lesz. Elnökét a köztársasági elnök nevezi ki a miniszterelnök javaslatára 9 évre.

Mi várható attól, hogy az ombudsmanból hatóság lesz?

A jelenlegi adatvédelmi biztossal a szakmának jó tapasztalatai vannak. A joggyakorlatból jött és hivatala mindig nyitott volt a kommunikációra más jogászokkal vagy az iparági szereplőkkel. Ajánlásaival és állásfoglalásaival, amelyek kikényszerítésére sajnos nem voltak igazán hatékony eszközei, kitöltötte az általános jogszabályi kereteket. Talán az adatvédelmi felügyeleti szerv hatósági jellege és a pénzbírság lehetősége a jövőben jobban elősegíti a jogkövetést. Az egyes jogintézményeket tekintve azonban sajnos az új törvény is megmarad az általánosságok szintjén. A gyakorlatban felmerülő sajátos – de egyáltalán nem ritka - kérdésekkel az új jogszabály sem foglalkozik. Ilyen például a munkavállalók személyes adatainak kezelése (pl. e-mail forgalom, telefonhívások, céges autó használatának ellenőrzésével kapcsolatban). Finnországban már 2004 óta külön törvény szabályozza a munkahelyi adatvédelmet. Továbbra sem szabályozott megfelelően a harmadik országokba való adattovábbítás, például egy nemzetközi cégcsoporton belül vagy kiszervezés keretében. Az ezekkel kapcsolatban felmerülő problémák megoldására a bírságolás sem fog megoldást nyújtani. Az adatvédelmi szabályok tényleges érvényesülését azonban más eszközökkel is érdemes lehet elősegíteni. Ezek közül talán a legfontosabb az adatkezelők és a felhasználók adatvédelmi ismereteinek bővítése, az adatvédelmi tudatosság terjesztése.

Hogyan szankcionálható az adatvédelmi jogszabálysértés?

Az új adatvédelmi törvényben megmaradnak a korábbi jogosítványok is, azaz a hatóság például vizsgálhat, ajánlást tehet, elrendelheti az adatok zárolását, törlését. Ezen túlmenően – ahogy az utóbbi években is történt - nyilvánosságra hozhatja a súlyosabb jogsértéseket, amelynek lehetősége már korábban is komoly visszatartó erő volt a jelentős piaci hírnévvel rendelkező iparági szereplők számára. A bírság az igazán új elem. Ez 100 000 Ft-tól 10 000 000 Ft-ig terjed és akár ismételten is kiszabható. Az ombudsman nem volt jogosult bírságot kiszabni. Ez az összeg ugyanakkor európai viszonylatban nem feltétlenül magas: az angol adatvédelmi hatóság (Information Commissioner’s Office) 500 000 fontig jogosult bírságot kiszabni. Legutóbb például a Surrey County Council elnevezésű szervre szabott ki 120 000 font bírságot, mert több alkalommal gondatlanságból jogosulatlan személyeknek továbbította egyes ügyfelei nem titkosított személyes és egészségügyi adatait.

Kikre fog kiterjedni a hivatal joghatósága?

Jellemzően a ténylegesen Magyarország területén működő cégekre, akik például magyarországi szerverekkel dolgoznak. A hatályos törvény is alapvetően Magyarország területére vonatkozik (Magyarország területén végzett adatkezelés és adatfeldolgozás). A magyarországi adatvédelmi szabályok tehát a gyakorlatban nem feltétlenül érvényesíthetők abban az esetben, ha a cég vagy a szerverek külföldön vannak, viszont az adatok Magyarország területéről kerülnek továbbításra. Még ha be is vonná vizsgálati körébe a hatóság az ilyen adatkezelőket, a határozatának tényleges végrehajthatósága több mint kérdéses. Ez a probléma az egész szabályozással, más európai országokban is. Németországban Hamburg tartomány adatvédelmi biztosa például legutóbb a Facebook arcfelismerő szoftverét bírálta a helyi adatvédelmi jog szempontjából – kérdés, hogy szükség esetén mennyiben érvényesíthetőek a német jogszabályok a világszinten működő közösségi oldallal szemben. Az adatforgalom ma már globálissá vált, viszont a hatóság általában csak az adott országban való tényleges jelenlét esetén tud adatkezelőt szankcionálni. Tehát, ha a cég mint entitás nincs jelen Magyarországon, de külföldi szerverekről magyar piacra dolgozik, akkor az adatvédelmi hatóság eljárása vele szemben legalább is korlátozott. Az adatvédelemben a jogsegély intézménye még nem túl hatékony.

Mennyi bírságot kell az új hatóságnak beszednie és kik fognak bírságolni?

Még nem tudunk semmit az új hatóság költségvetéséről. Annyit határoz meg a törvény, hogy a befolyt bírság a központi költségvetés bevétele, és az előző évi bevételeiből származó maradványt a hatóság a következő években a feladatai teljesítésére felhasználhatja. A hatóság állományának 20%-a ún. vizsgáló lesz, akiket az elnök nevez ki. Az egyelőre nem derül ki a jogszabályból, hogy ők konkrétan mit fognak csinálni. A külföldi gyakorlat alapján nagyjából úgy képzeljük el őket, mint a versenyhivatali vizsgálókat. Kiszállnak a helyszínre, belenézhetnek az adatkezeléssel kapcsolatos papírokba, adatbázisokba, nyilvántartásokba. Az adatvédelmi bírságolásnak még egyáltalán nincs gyakorlata Magyarországon. Egyelőre nincsenek részletes irányelvek, mint például a versenyhivatalnál, hogy mit kell figyelembe venni a bírság kiszabásnál. Az új adatvédelmi törvény általánosságban csak annyit határoz meg, hogy az eset összes körülményeit, így különösen a jogsértéssel érintettek körének nagyságát, a jogsértés súlyát és a jogsértés ismétlődő jellegét kell mérlegelni. Az adatkezelők esetleg az európai gyakorlatból tudnak kiindulni – az angol adatvédelmi hatóság például részletes, 28 oldalas iránymutatást bocsátott ki bírságkiszabási gyakorlatáról.

És ott miért bírságolnak?

Angliában például jellemzően az adatbiztonsági értesítési kötelezettségek (data security breach notification) elmulasztásáért bírságolnak – ezt az intézményt egyébként a módosított e-Privacy irányelv nyomán az elektronikus hírközlési törvény módosítása most Magyarországon is bevezeti, sajnos egyelőre csak az indokoltnál szűkebb körben, az elektronikus hírközlési szolgáltatók vonatkozásában. Ez azt jelenti, hogy ha "biztonsági esemény" történik az adatokkal (pl. hackerek férnek hozzájuk, véletlenül jogosulatlan címzettekhez kerülnek továbbításra, vagy gondatlanság következtében kerülnek ki az adatkezelő kezeléséből – például egy munkatárs elveszti az ügyféladatokat tartalmazó laptopját), akkor milyen intézkedéseket kell megtennie az adatkezelőnek. A biztonsági esemény nagyon általánosan van definiálva a jogszabályban. Ha ilyen történik, akkor az elektronikus hírközlési szolgáltató adatkezelőnek értesítenie kell a Nemzeti Média- és Hírközlési Hatóságot. Ha a személyes adatok megsértése várhatóan hátrányosan érinti az előfizető vagy más magánszemély személyes adatait vagy magánéletét, akkor a szolgáltató erről az előfizetőt vagy magánszemélyt is indokolatlan késedelem nélkül köteles értesíteni. Nem kell az érintett előfizetőt vagy magánszemélyt értesíteni a személyes adataival való visszaélésről, ha a szolgáltató a hatóságnak kielégítően igazolni tudja, hogy végrehajtotta a megfelelő technikai védelmi intézkedéseket, vagy, hogy ezen intézkedéseket alkalmazták a biztonság sérelmével érintett adatok tekintetében. Az ilyen technológiai védelmi intézkedéseknek értelmezhetetlenné kell tenniük az adatokat az azokhoz való hozzáféréshez engedéllyel nem rendelkező személyek számára. Maga az intézmény az Egyesült Államok adatvédelmi jogából került át Európába. Az Egyesült Államokban a többnyire az egészségügyi szektorban (pl. kórházaknál, betegbiztosítóknál), a pénzügyi szektorban (pl. bankok, elektronikus fizetéseket lebonyolító szolgáltatók) és az oktatásban (több millió személyes adatot kezelő egyetemek) történt hackerbetörések és egyéb adatvesztések után kezdték kötelezni az adatkezelőket, hogy értesítsék közvetlenül az érintett ügyfeleket és meghatározott biztonsági intézkedéseket tegyenek az adatokkal kapcsolatban. Egy jellemző példa: 2011 áprilisában a Sony Playstation Networks 77 millió online felhasználójának adataihoz fértek hozzá hackerek – az esettel kapcsolatban felmerült az adatkezelő által újonnan bevezetett szoftverek biztonsági szintjének, és a felhasználók számára küldött értesítés gyorsaságának nem-megfelelősége is. Ebben az iparágban különösen aggályos lehet egy adatbiztonsági esemény, hiszen az egyre inkább interneten elérhető felhasználók különösen veszélyeztetettek, és időről időre felmerül, hogy a "hagyományos" médiumokat szabályozó jogszabályokon túl új jogszabályok meghozatalára lehet szükség.

Honnan tudja a kötelezett, hogy kit és miről kell értesíteni?

Egy nagyszámú személyes adatot kezelő cégtől elvárható, hogy nyomon kövesse, ki-milyen adatokkal dolgozik. Az új adatvédelmi törvény kifejezetten elő is írja, hogy az adatkezelő adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Ennek legegyszerűbb módja például, ha egy megfelelően kidolgozott és strukturált Excel-táblában nyilvántartják, melyik munkatárs milyen adatbázisokhoz fér hozzá, milyen célból és kiknek továbbítja az adatokat a cégen kívül. Így ha ellopják az adott munkatárs laptopját, pontosan megállapítható a veszélybe került adattartalom. Ha a belső nyilvántartás megfelelő, az értesítési kötelezettség teljesítése elvileg nem lehet probléma.

Egy átlagos magyar vállalkozást ez mennyiben érint? Mit kell most megtennie, hogy később megfelelhessen az értesítési kötelezettségnek?

Az adatbiztonsági értesítések kötelezetti köre sajnos egyelőre elég szűk, csak az elektronikus hírközlési szolgáltatókra terjed ki. Egy, a bostoni Suffolk University Law School részére végzett kutatási projekt során több USA tagállam adatbiztonsági értesítési jogszabályait is vizsgáltam, és meg kellett állapítsam, hogy az USA tagállamainak szabályozása jóval fejlettebb és felhasználóbarátabb az európainál. Azon túl, hogy az USA jogszabályai sokkal több gyakorlati kérdést kezelnek (pl. a személyes adatok pontosabb meghatározása, titkosítási kötelezettségek, határidők és kommunikációs formák), a szabályozás általában nem tesz különbséget az iparágak és az adattípusok között, és gyakorlatilag az összes magánszemély számára biztosítja a jogot, hogy értesítést kapjon, ha adatai veszélybe kerülnek. Az adatvédelmi jogalkotásban tehát nemzetközi szinten érdekes tendencia figyelhető meg: eddig az Európai Unió rendelkezett a világon a legszigorúbb, legfejlettebb adatvédelmi szabályozással, most azonban az USA vette át az elsőséget.

Milyen egyéb kötelezettségeket vezet be az új adatvédelmi törvény?

Jelenleg egy formanyomtatványon kell bejelentést tenni az adatvédelmi nyilvántartásba, ha valaki személyes adatokat kezel. Ez ingyenes és a benyújtást követően az adatkezelés azonnal megkezdhető. Az új törvény a bejelentést díjkötelessé teszi, illetve az adatkezelés megkezdésével meg kell várni a hatóság nyilvántartásba vételét. A nyilvántartásba vételi határidő a hatóság számára 8 nap. Szerencsére a hatóság “hallgatására” van kisegítő szabály, azaz a 8 napos határidő elteltét követően az adatkezelés visszajelzés hiányában is megkezdhető. Kivétel ez alól, ha a kérelem új adatállományra vonatkozó adatkezelés nyilvántartásba vételére irányul, illetve amely új adatfeldolgozási technológia alkalmazását teszi szükségessé. Ebben az esetben az adatkezelőnek külön biztosítania kell a jogszerű adatkezelés feltételeit, és a hatóságnak 40 napja van a nyilvántartásba vételre. Ez a kivétel az országos hatósági, munkaügyi és bűnügyi adatállományok kezelésére, a pénzügyi szervezetek és közüzemi szolgáltatók ügyfelekre vonatkozó adatkezelésére és az elektronikus hírközlési szolgáltatóknak a szolgáltatást igénybe vevőkre vonatkozó adatkezelésére vonatkozik. A bejelentési kötelezettség alóli kivételek köre is nagyjából megmarad. Újdonság azonban, hogy a pénzügyi szervezetekkel, közüzemi szolgáltatókkal, elektronikus hírközlési szolgáltatókkal ügyfélkapcsolatban álló személyek adataival kapcsolatos adatkezelést is be kell jelenteni az adatvédelmi nyilvántartásba. A már megkezdett bejelentés-köteles adatkezelési tevékenységeket 2012. június 30-ig kell bejelenteni.

További korlátozások?

Újdonság a sütik (cookie) elhelyezésének a szabályozása az elektronikus hírközlési törvényben. A módosított e-Privacy irányelv szerint – és ezt a szövegezést a magyar jogszabály is szó szerint átvette - egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű - az adatkezelés céljára is kiterjedő - tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni. A gyakorlatban ez azt jelenti, hogy egy honlap a felhasználó előzetes és tájékozott hozzájárulása nélkül nem helyezhet el “sütit” annak számítógépén. Például sok internetes áruház működik úgy, hogy a felhasználó regisztráció nélkül keresgél rajta, majd amikor hónapok múlva visszatér, az oldal a számítógépén lévő süti segítségével előhívja, hogy milyen árucikkeket nézett és ehhez képest ad ajánlatokat. De másra is használják a sütiket, ez az online viselkedésalapú reklám alapja. Az USA-ban a napokban zárult le egy 3 éves per, ahol az érintett reklámcég 2,4 millió dollárt fizetett különböző adatvédelmi szervezeteknek és felhasználóknak, mert az online viselkedésalapú reklámjainak tesztelésével kapcsolatban nem tartotta be az adatvédelmi követelményeket. A probléma roppant összetett, technikailag és a felhasználói élmény szempontjából egyáltalán nem közömbös egy ilyen szabálynak való megfelelés. Ezzel szemben sem az irányelv, sem a törvény nem foglalkozik vele egy mondatnál hosszabban: az adatvédelmi hatóság remélhetőleg Magyarországon is ajánlást fog kiadni, hogy egy cég hogyan szerezze meg a hozzájárulást. Ismét azt angol adatvédelmi hatóság lehet példa, aki azonnal reagált az e-Privacy irányelv új rendelkezéseinek a gyakorlati hiányosságaira, és részletes útmutatót bocsátott ki az adatkezelők számára a sütikkel kapcsolatos adatvédelmi feladataikról, külön kiemelve, hogy a szabályozás kiforratlansága miatt a cégek „türelmi időt” kapnak a megfelelés biztosítására.

Mi jelent könnyítést az adatkezelők számára?

Jó kezdeményezés a belső adatvédelmi felelősök (compliance officer) legalább évente egyszer összehívott konferenciája. A konferencia a hatóság és a belső adatvédelmi felelősök rendszeres szakmai kapcsolattartását szolgálja, célja a személyes adatok védelmére és a közérdekű adatok megismerésére vonatkozó jogszabályok alkalmazása során az egységes joggyakorlat kialakítása. A konferencia tagja minden olyan szervezet belső adatvédelmi felelőse, amelynél a felelős kinevezése törvény alapján kötelező. Ilyen munkakör létesítése egyelőre csak országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetve feldolgozó adatkezelőnél és adatfeldolgozónál, pénzügyi szervezetnél, elektronikus hírközlési és közüzemi szolgáltatónál kötelező, máshol ajánlott. Ugyanakkor a konferencia tagjai lehetnek azon szervezetek belső adatvédelmi felelősei, amelyek esetében a kinevezés nem kötelező. E célból az érintett személyek a hatóság által vezetett belső adatvédelmi felelősi nyilvántartásba bejelentkezhetnek. Ez a konferencia betölthet egy eddig hiányzó konzultációs űrt. Az iparágnak is vannak elvárásai, elképzelései, amiket a konferencia útján hatékonyan kommunikálhatnak az adatvédelmi hatóság felé. Érdemes megjegyezni, hogy a kötelezetti kör bővítése világtendencia: Németország például ma már minden, automatizált adatfeldolgozásban érdekelt, és ebből a célból legalább 5 munkavállalót foglalkoztató cég köteles belső adatvédelmi felelőst kinevezni.hiányzó konzultációs űrt. Az iparágnak is vannak elvárásai, elképzelései, amiket a konferencia útján hatékonyan kommunikálhatnak az adatvédelmi hatóság felé. Érdemes megjegyezni, hogy a kötelezetti kör bővítése világtendencia: Németország például ma már minden, automatizált adatfeldolgozásban érdekelt, és ebből a célból legalább 5 munkavállalót foglalkoztató cég köteles belső adatvédelmi felelőst kinevezni.

Mi marad továbbra is megoldatlan az új törvénnyel?

Továbbra sem engedélyezett a cégcsoporton belüli határon átnyúló adattovábbítás az érintett személyek előzetes hozzájárulása nélkül. Képzeljünk el egy cégcsoportot, amelyen belül egységes a HR adatbázis, és azt egy adott harmadik országban kezelik. A jelenlegi szabályozás szerint legrosszabb esetben az is előfordulhat, hogy a munkavállalókat minden országban egyesével kell megkeresni egy adatvédelmi nyilatkozattal, hogy ebben az adatbázisba velük kapcsolatos személyes adat legyen továbbítható. El lehet képzelni ennek az anyagi költségeit és a lebonyolításhoz szükséges emberi erőforrásokat. A szabályozás egész egyszerűen nem a globális adattovábbításokra lett kitalálva, viszont erre az esetre is kötelező alkalmazni. Egy kisebb törvénymódosítással rengeteg adminisztrációtól lehetne megmenteni a cégeket, ugyanakkor az adatgazdákat sem fenyegeti veszély, mert ma már a gyakorlatban megszokottak az ilyen jellegű külföldi adattárolások, és egy jó piaci hírnévvel rendelkező adatkezelő üzleti szempontból sem engedheti meg magának, hogy elmulassza a technikailag legmegfelelőbb adatbiztonsági intézkedések megtételét. És általánosságban a határon átnyúló adatkezelést kellene gyakorlatiasabban szabályozni: nehéz úgy egy, sak az adott ország területén alkalmazandó jogszabályban bármit is hatékonyan előírni, ha ma már a legtöbb személyes adatot kezelő társaság – például a közösségi oldalakat üzemeltető cégek - szervere a Szilícium-völgyben van. Sőt, a felhő alapú adattárolásnál (cloud computing services) lényegében azt sem lehet tudni, hol vannak az adatok (melyik országban, joghatóságban).

Továbbra sincs kivétel a biztonsági mentésekre vonatkozóan. Elvileg mindenkinek megvan a joga arra, hogy róla az adatkezelő minden adatot töröljön (ezt nevezik az “elfeledéshez való jognak”). Ennek a gyakorlatban nagyon nehezen lehet megfelelni. Például ha egy cégnek az adatbázisáról biztonsági mentése van egy archívumban, arról technikailag nem lehet csak úgy egy adatot törölni az egész adatállomány sérelme nélkül.

Ma már a technika és a globalizáció ott tart, ami követhetetlen a jogszabályi eszközökkel. Egyelőre az európai szabályozás is reaktív, követi az eseményeket, jócskán lemaradva a gyakorlat mögött.

Merre tart az adatvédelem fejlődése?

Keveset beszélnek arról, hogy jelenleg a felhasználóknak csak jogaik vannak és nincsenek kötelezettségeik, azaz kicsit „túlvédett“ helyzetben vannak. Ez bizonyosan indokolt volt 15-20 éve, az első adatvédelmi szabályozások bevezetésekor, viszont mára meghaladottá vált. A felhasználóktól is elvárható lehet, hogy megtegyék a megfelelő intézkedéseket az adataik (pl. jelszavak, azonosítók bizalmas kezelése) és eszközeik (pl. vírusvédelem, biztonsági mentések) védelmével kapcsolatban, és igyekezzenek gondoskodni arról, hogy ezekhez illetéktelen személyek ne férjenek hozzá. A felhasználók sokkal magabiztosabban mozognak az interneten, mint azt a jogalkotó feltételezi, ugyanakkor fennáll a veszély, hogy a túlzottan felhasználóbarát szabályos miatt kizárólag az adatkezelő biztonsági intézkedéseire fognak hagyatkozni, és ők maguk nem is tesznek semmilyen adatvédelmi intézkedést. Elsődlegesen nem is a szigorú és a gyakorlatban nehezen behatárolható jogszabályok jelentik megoldást, hanem az oktatás, az adatvédelmi tudatosság fejlesztése, egészen kis kortól kezdve. Adatokat átadunk, fényképeket feltöltünk, információt megosztunk, különösen a bárki számára hozzáférhető közösségi oldalakon, ugyanakkor még mindig kevesen vannak tisztában az ezzel járó felelősséggel és a lehetséges kockázatokkal. Az USA-ban például van olyan tagállami rendelkezés, miszerint megszűnhet személyes adatnak lenni, amit a felhasználó feltöltött egy közösségi oldalra. Ugyanígy felvethető, hogy felmerülhet-e például egy bank helytállási kötelezettsége, ha a felhasználó a nem megfelelően védte a személyes adatait, pl. az e-banking azonosítóját könnyen hozzáférhető helyen tárolta, és azt valaki ellopta.

Felmerül továbbá, hogy a gyakorlatban mennyire hatékony eszköz egyáltalán az adatvédelmi nyilvántartásba való bejelentés kötelezettsége. Van-e vajon megfelelő hatósági erőforrás a nyilvántartást vezetni, az adatváltozásokat nyomon követni, az adatok helyességét ellenőrizni? Ezt a kérdést megfelelően meg kell vizsgálni, ha egyszer a nyilvántartásba vételi díj bevezetésével az iparág viseli az adminisztrációs terheket.

Az is egyre inkább felmerül, hogy nem lenne-e érdemesebb az adatvédelem ügyét Európában irányelv helyett minden országban közvetlenül alkalmazandó rendeletben szabályozni. Az EU versenyképességét növelné, ha egységes adatvédelmi követelmények lennének a tagállamokban. Így is rengeteg eltérés lehet országonként, mivel az adatvédelmi kultúra mindenhol más. Emiatt a hatóságnak, a jogászoknak és az adatbiztonsági szakembereknek továbbra is maradna bőven feladata, de az egységes EU szintű szabályok napi szinten megkönnyítené a több országban működő cégek működését.

Végezetül, megfelel-e az adatvédelem hatósági felügyelete az EU szabályozásnak?

Az irányelv szerint az adatvédelmi felügyelő hatóságok teljes függetlenségben járnak el. Felmerül, hogy ez a függetlenség miként biztosítható akkor, ha a hatóság például az államigazgatás része. És itt megint nem elméletről beszélünk, Magyarországon az Ügyfélkapu esetében előfordult már adatbiztonsági esemény; rendszerhiba miatt időlegesen nyilvánossá váltak a rendszerben regisztrált ügyfelek adatai, és arra is sor került, hogy a felhasználók véletlenszerűen másnak szóló visszaigazoló üzeneteket láthattak. Hogyan várható el egy államigazgatási szervtől, hogy ilyenkor elfogulatlanul vizsgálja az esetet? Ezzel együtt a hatóság függetlenségének kérdése más országokban is felmerült. Németországot például már elmarasztalta az Európai Bíróság azért, mert az adatvédelmi hatóságokat egyes tartományokban állami felügyelet alá vonták, ezáltal a hatóságok teljes függetlensége nem volt biztosítva.

Forrás: hvgorac.hu