29. cikk szerinti adatvédelmi munkacsoport
00451/06/HU WP 118
A 29. cikk szerinti munkacsoport 2/2006 véleménye az e-mailek átvilágítására vonatkozó szolgáltatásokkal kapcsolatos adatvédelmi kérdésekről
Elfogadva: 2006. február 21-én
A munkacsoportot a 95/46/EK irányelv 29. cikke alapján hozták létre. Az adatvédelemmel és a magánélet védelmével foglalkozó, független európai tanácsadó testület. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke ismerteti. Titkárságát az Európai Bizottság C Főigazgatósága – Igazságügyek, Szabadság és Biztonság Főigazgatósága – biztosítja: B-1049 Brüsszel, Belgium, LX-46 01/43 iroda. Weboldal: http://europa.eu.int/comm/justice_home/fsj/privacy/index_en.htm
A SZEMÉLYESADAT-FELDOLGOZÁS VONATKOZÁSÁBAN VÉDELMÉVEL FOGLALKOZÓ MUNKACSOPORT,
AZ
EGYÉNEK
amelyet az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv hozott létre1, tekintettel a fenti irányelv 29. cikkére, 30. cikke (1) bekezdésének c) pontjára, valamint 30. cikke (3) bekezdésére, tekintettel eljárási szabályzatára, és különösen annak 12. és 14. cikkére, ELFOGADTA EZT A VÉLEMÉNYT: I.
BEVEZETÉS
A 29. cikk szerinti munkacsoport tisztában van a különböző online hírközlési szolgáltatások, így az ingyenes, webalapú e-mail- és kapcsolódó szolgáltatások terjedésével. Az e-hírközlési szolgáltatások terjedésével felmerültek a közlésekben előforduló magántitok védelmével kapcsolatos aggályok, különös tekintettel a hatályos gyakorlatra, amely a kéretlen levelek és a vírusok kiküszöbölése, valamint az előre meghatározott tartalom észlelése érdekében ellenőrzi a közléseket. A 29. cikk szerinti munkacsoport tisztában van vele, hogy az internet szolgáltatók (ISP-k) és e-mail szolgáltatók (ESP-k) többsége szűrőket használ a hálózatok és a gépek védelme, illetve – ritkábban – a közlések kereskedelmi célú ellenőrzése érdekében. A 29. cikk szerinti munkacsoport ugyanakkor úgy véli, hogy a szűrők használata nem mindig felel meg az alábbiakban ismertetett hatályos adatvédelmi jogszabályoknak. Ennek többek között az lehet az oka, hogy nem mindig világos a jogszabályok alkalmazása az új típusú szolgáltatásokra. E dokumentum elsődleges célja iránymutatást nyújtani az e-mailben történő közlések titkosságának kérdéséről, különös tekintettel az online közlések szűrésére. Különösen az kérdéses, hogy a levelek ellenőrzése – amit az ISP-k és az ESP-k különböző okokból végeznek – a levelek kifürkészésének számít-e, a kifürkészés igazolható-e, és ha igen, hogyan. E célból a dokumentum elemzi többek között az e-közléseknek a magánéletről és az elektronikus hírközlésről szóló, 2005/58 irányelv 5. cikke (1) bekezdése szerinti titkosságáról szóló rendelkezéseket, valamint a közösségi vívmányok és az azokat végrehajtó nemzeti jogszabályok vonatkozó rendelkezéseit. II.
AZ ADATVÉDELEM KÖZLÉSEKBEN
ÉS
A
MAGÁNTITOK
JOGI
KERETE
AZ
A)
Az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény
E-MAIL
A közlések titkosságát az emberi jogokról szóló nemzetközi okmányok – különösen az Emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény (ECHR) –, valamint a tagállamok alkotmányai biztosítják. A titkosságot az alábbiakban ismertetett két EU-irányelv is biztosítja. Az ECHR 8. cikke mindenki számára biztosítja a magánélethez és a levelezéshez való jog tiszteletben tartását, és megállapítja az erre vonatkozó korlátozások feltételeit. Az Emberi Jogok Európai Bírósága (a továbbiakban: a Bíróság) többször is alkalmazta a 8. cikket a hagyományos levelezésre.
1
Hivatalos Lap L 281, 1995.11.23., 31. o., elérhető a következő címen:http://europa.eu.int/comm/internal_market/privacy/law_fr.htm
A levelek kifürkészése, felnyitása, elolvasása, kézhezvételének késleltetése vagy az elküldés akadályozása sérti az ECHR 8. cikkét2. A Bizottság és az Emberi Jogok Bíróságának ítélkezési gyakorlatából az következik, hogy az e-mail közlésekre szinte biztosan érvényes az ECHR 8. cikke, hiszen ezek a közlések elegyítik a „magánélet” és a „levelezés” fogalmát3. Az e-mailt használó kommunikációs partnerek ésszerűen feltételezhetik, hogy levelüket harmadik köz- vagy magánfelek nem ellenőrzik. A „levelezés” tiszteletben tartásához való jog nem csak a titkosságra, hanem a levelek elküldésére és fogadására is vonatkozik4. Az e-mail elküldésére vagy fogadására vonatkozó általános tiltás tehát ellentétes az ECHR 8. cikkével. Az ECHR-t aláíró államok joghatóságához tartozó személyeket megilleti a magánélet és a levelezés tiszteletben tartásához való jog. Ebbe a körbe a kommunikáció résztvevői is beletartoznak. Az A kontra Franciaország ügyben (1993) a Bíróság úgy ítélkezett, hogy ha csak az egyik fél egyezett bele, akkor a telefonbeszélgetés rögzítése sérti a kommunikáció másik résztvevőjének a levelezés tiszteletben tartásához való jogát. Az Emberi Jogok Európai Bíróságának értelmezése szerint az ECHR alapján az aláíró államok e célok bármelyike érdekében és az ECHR-nek megfelelően legálisan kifürkészhetik a levelezést – beleértve az elektronikus közléseket is – vagy más intézkedéseket hozhatnak. A kifürkészés azt jelenti, hogy egy harmadik fél úgy fér hozzá a két vagy fél több közötti magán jellegű közlések tartalmához és/vagy forgalmi adataihoz, beleértve az elektronikus hírközlési szolgáltatások használatát is, hogy az megsérti a magánélethez és a levezés titkosságához való jogot. A kifürkészés csak akkor fogadható el, ha megfelel három alapvető kritériumnak, az ECHR 8. cikke (2) bekezdésének és a Bíróság rendelkezésre vonatkozó értelmezésének megfelelően: „… jogalap, az intézkedés szükségessége a demokratikus társadalomban és az egyezményben felsorolt jogos célok egyikének történő megfelelés…” A magánkapcsolatokban azonban az egyezményben szereplő jogok alkalmazásának legfontosabb mechanizmusa a szerződő felek pozitív kötelezettségeinek doktrínája. A szerződő feleknek kötelességük nem csak a beavatkozástól való tartózkodás, hanem pozitív intézkedésekkel biztosítaniuk kell a jogok tényleges gyakorlását, nem pusztán a közhatalom, hanem a magánszemélyek egymás közötti kapcsolatainak terén is. Idetartozik az a kötelezettségük is, hogy megfelelő jogi keretet biztosítsanak a jogok gyakorlásához. Az Európai Unióról szóló szerződés 6. cikkének (2) bekezdése egyértelműen kimondja, hogy az Unió a közösségi jog általános elveiként tartja tiszteletben az alapvető jogokat, ahogyan azokat az ECHR biztosítja, továbbá ahogyan azok a tagállamok közös alkotmányos hagyományaiból erednek. Az EU Alapjogi Chartája 52. cikkének (3) bekezdése alapján a Chartában szereplő jogok tartalmát és terjedelmét azonosnak kell tekinteni azokéval, amelyek az ECHR-ben szerepelnek. Ez a rendelkezés nem akadályozza meg, hogy az Unió joga kiterjedtebb védelmet nyújtson.
2
A Niemitz-ügyben (1992) a Bíróság úgy ítélkezett, hogy a címzetthez már eljuttatott levelekre is vonatkozik az ECHR 8. cikke. Határozatában a Bíróság azt is kijelentette, hogy nem csak a magánkommunikációt, hanem az üzleti levelezést is védeni kell. A Klass- (1978), Malone- (1984) és Huvig- (1990) ügyekben a Bíróság úgy ítélte, hogy a 8. cikk a telefonbeszélgetésekre is vonatkozik. A többi kommunikációs eszköz tekintetében a Bizottság Mersch-ügye (1985) irányadó; ebben az ügyben a Bizottság úgy ítélte meg, hogy a kommunikáció bármely formájának lehallgatása sérti a 8. cikket.
3
Ezt a következtetést az is alátámasztja, hogy a tagállamok többségében tilos az e-mail üzenetek ellenőrzése, és hogy nemzetközi és nemzeti szinten is önálló hatóság jogosult az e-mailben történő kommunikáció kifürkészésére.
4
Golder (1975), 43. pont: „Már a levelezés kezdeményezésének akadályozása is a legmesszemenőbben sérti (8. cikk (2) bekezdés) a „levelezés tiszteletben tartásához való jogot”; elképzelhetetlen, hogy a 8. cikk hatályán kívül essen, míg az egyszerű felügyelet vitathatatlanul a cikk hatálya alá tartozik.” A fogadott levél visszatartása is sérti a 8. cikket (Schöneberger & Durmaz, 1988).
3
B)
Az e-mailben történő közlések titkosságára alkalmazandó különös rendelkezések
Amint a fentiekből kiderül, a közlések titkosságát két EU-irányelv is biztosítja. A közlések titkossága kérdésének vizsgálatakor e két irányelv rendelkezéseit az ECHR-rel, illetve az Emberi Jogok Bíróságának fent említett ítélkezési gyakorlatával együttesen kell értelmezni. A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 95/46/EK európai parlamenti és tanácsi irányelv (a továbbiakban: adatvédelmi irányelv) horizontális jogi rendszert hoz létre az adatvédelemre vonatkozó egyéni jogok védelme érdekében. A személyes adatok feldolgozása tekintetében az adatvédelmi irányelv a magánélet tiszteletben tartásához való, az ECHR 8. cikkében elismert jogra hivatkozik5. Elismerik az információszerzéshez és -közléshez való jogot is mint az ECHR 10. cikkében biztosított, a tájékozódáshoz való jog részét6. A (47) preambulum bekezdésnek megfelelően továbbá az a személy minősül a személyes adat kezelőjének, akitől a személyes adatot tartalmazó e-mail származik, míg az e-mailszolgáltató általában a szolgáltatás működtetéséhez szükséges további személyes adatok feldolgozása tekintetében minősül adatkezelőnek. Az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002/58/EK európai parlamenti és tanácsi irányelv (a továbbiakban: e-magánéleti irányelv) a nyilvánosan hozzáférhető elektronikus hírközlési szolgáltatások közösségi biztosításával kapcsolatos személyes adatok feldolgozására alkalmazandó. Ez utóbbi irányelv rendelkezései konkretizálják és kiegészítik az adatvédelmi irányelvet. A közlések titkosságát különösen az emagánéleti irányelv 5.cikke védi, amely a következőképpen hangzik: „…A tagállamok nemzeti jogszabályok révén biztosítják a nyilvános hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések és az azokra vonatkozó forgalmi adatok titkosságát. „Különösen megtiltják a közlések és az azokra vonatkozó forgalmi adatok felhasználókon kívüli személyek által történő, az érintett felhasználó hozzájárulása nélküli meghallgatását, lehallgatását, tárolását vagy más módon történő kifürkészését vagy megfigyelését, kivéve, ha az ilyen személy jogszerűen jár el…” Az e-magánéleti irányelv 4. cikke továbbá úgy rendelkezik, hogy „Egy nyilvánosan elérhető elektronikus hírközlési szolgáltatás szolgáltatójának megfelelő műszaki és szervezeti intézkedéseket kell tennie szolgáltatásai biztonságának biztosítása érdekében, a hálózati biztonság tekintetében szükség szerint a nyilvános hírközlő hálózat szolgáltatójával együttműködésben”. Fontos az e-kereskedelmi irányelv is, különösen az internet-/e-mail szolgáltatók felelősségéről szóló rendelkezések, amelyek alapján a tagállamok nem róhatnak általános nyomon követési kötelezettséget az ISP-kre és az ESP-kre. Ez a kötelezettség sértené a tájékozódás szabadságát és a levelezés titkosságát (az e-kereskedelmi irányelv7 15. cikke).
5
(10) preambulum bekezdés: „mivel a személyes adatok feldolgozására vonatkozó nemzeti jogszabályok célja az alapvető jogok és szabadságok, különösen a magánélet tiszteletben tartásához való jog védelme, amelyet mind az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke, mind a közösségi jog általános alapelvei elismernek”
6
(37) preambulum bekezdés: „Mivel az újságírás, irodalmi, vagy művészi kifejezés céljából, különösen audiovizuális téren történő személyesadat-feldolgozásnak mentesülnie kell ezen irányelv egyes előírásai alól, amennyiben ez az egyének alapvető jogainak a tájékozódáshoz való joggal, nevezetesen az információszerzéshez és -közléshez való jognak az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 10. cikkében biztosított jogával való összeegyeztetéséhez szükséges” Az Európai Parlament és a Tanács 2000. június 8-i 2000/31/EK irányelve a belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem egyes jogi vonatkozásairól.
7
4
III.
AZ E-MAILEK TARTALMÁNAK ELLENŐRZÉSE
E jogi háttér fényében felmerül a kérdés, hogy a közlések ellenőrzése – amelyet az ISP-k és ESP-k gyakran végeznek különböző célok elérése érdekében – összeegyeztethető-e az EU-joggal. Az ISP-k és ESP-k többsége ellenőrzi az e-maileket. Rendszeresen ellenőrzik az e-maileket a következő okokból: a kéretlen levelek szűrése, a vírusok észlelése, keresés és helyesírás-ellenőrzés, továbbítás, automatikus válaszküldés, a sürgős üzenetek megjelölése, a bejövő e-mailek mobiltelefonos szöveges üzenetté alakítása, automatikus mentés, mappákba helyezés és a szöveges URL-ek kattintható linkekké alakítása. Az alábbiakban ismertetjük a következő okokból végzett átvilágítást szabályozó jogi keretet: A) vírusok észlelése, B) kéretlen levelek szűrése, C) előre meghatározott tartalom észlelése. A) Az e-mailek ellenőrzése vírusok észlelése érdekében A vírusellenőrzés az a folyamat, amikor ellenőrzik a fájlokat, hogy nem tartalmaznak-e ismert vírusokat. Egyes esetekben a vírusellenőrzést a vírusirtás folyamata követi, melynek során eltávolítják a fájlból az észlelt vírust, hogy a fájl biztonságosan használhatóvá váljon. Az ellenőrzésre általában akkor kerül sor, amikor az e-mail először jelentkezik az e-mail szolgáltató szerverén. Az e-mail szolgáltatók többsége a szolgáltatás részeként végzi a vírusellenőrzést, hogy megvédje magát és a felhasználókat a káros vírusoktól. Az esetek többségében a felhasználók nem tudják kikapcsolni az automatikus ellenőrzést, mert az a szolgáltatás alapértelmezett része. Az e gyakorlatot legitimáló jogalap vizsgálatakor a 29. cikk szerinti munkacsoport véleménye szerint a szűrőrendszerek létrehozása és használata az e-mail szolgáltatók által a vírusok észlelésének céljából indokolható azzal a kötelezettséggel, hogy az e-magánéleti irányelv fent idézett 4. cikke szerint a szolgáltatónak megfelelő műszaki és szervezeti intézkedéseket kell tennie szolgáltatásai biztonságának biztosítása érdekében. Mivel a vírust tartalmazó e-mail továbbítása tönkreteheti az e-mail szolgáltató rendszerét (valamint kárt okozhat a végfelhasználó számítógépén tárolt más dokumentumokban és szoftverekben), így akadályozhatja a további e-mail közlések továbbítását, a 29. cikk szerinti munkacsoport megítélése szerint ez az átvilágítás az adatkezelő (az e-mail szolgáltató) rendszerének védelmét célzó biztonsági intézkedés, amely a fentiek alapján és az e-magánéleti irányelv 4. cikkének alkalmazásában az elektronikus hírközlési szolgáltatók kötelező erejű kötelezettsége. A 29. cikk szerinti munkacsoport megítélése szerint a szűrők 4. cikk alkalmazásában történő használata összeegyeztethető lehet az e-magánéleti irányelv 5. cikkével. A 29. cikk szerinti munkacsoport különösen hangsúlyozni kívánja, hogy a fent említett intézkedések megfelelnek a közösségi jog általános elveinek. Továbbá a 29. cikk szerinti munkacsoport megítélése szerint a szűrőrendszerek létrehozásával az e-mail szolgáltatók biztosítják az ügyfelekkel kötött szolgáltatói szerződés teljesítését, hiszen az ügyfelek elvárják az e-mail fogadás és -küldés bizonyos fokú biztonságát. Ennek megfelelően az e-mail szolgáltatók által a szűrőrendszerek létrehozásakor végzett adatfeldolgozást legitimálja az adatvédelmi irányelv 7. cikkének b) pontja, amely szerint az adatfeldolgozás „olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél”.
5
Mivel a fentieknek megfelelően a vírusszűrés a szolgáltatások biztonságának az e-magánéleti irányelv 4. cikke szerinti biztosításával és/vagy a szerződésnek az adatvédelmi irányelv 7. cikke b) pontja szerinti teljesítésével indokolható, a közlések titkosságának sérelme nélkül, a 29. cikk szerinti munkacsoport emlékeztet arra, hogy az e-mail szolgáltatóknak biztosítaniuk kell a következőknek való megfelelést: a) az e-mailek és csatolt mellékletek tartalmát titokban kell tartani és csak a címzett(ek) előtt szabad feltárni; b) amennyiben vírust találnak, az installált szoftvernek biztosítania kell a titkosságot; c) amennyiben a vírusellenőrzést tartalomellenőrzés formájában végzik, a tartalomellenőrzésnek automatikusan és csak ezzel a céllal szabad történnie, vagyis a tartalmat nem elemezhetik más célból. Az átvilágításról tájékoztatást kell nyújtani (lásd az alábbi külön szakaszt). B) Az e-mailek átvilágítása a kéretlen levelek szűrése céljából8 Az ISP-k és ESP-k különböző technikákkal akadályozzák meg, hogy a kéretlen (nem feltétlenül csak kereskedelmi jellegű) e-mailek eljussanak a szándékolt címzettekhez. Az egyik módszer az úgynevezett feketelista, amikor a bizonyos ISP-knek kiosztott szerverek és dinamikus IP-tartományok címét feketelistára helyezik9. Ezzel e dokumentum a továbbiakban nem foglalkozik. A kéretlen levelek szűrése szükséges technikává vált. Ha az e-mail szolgáltatók nem szűrnék a kéretlen leveleket, azok egyre inkább beférkőznének a bejövő üzenetek közé, a rendszerek lelassulnának és elvesztenék hatékonyságukat, így a felhasználók gyakorlatilag használhatatlannak éreznék az email szolgáltatást. Ez nyilvánvalóan elégedetlenné tenné a fogyasztókat, és valószínűleg korlátozná a megbízható e-mail szolgáltatás lehetőségét. Noha a kéretlen levél önmagában nem az ESP-k szolgáltatásainak biztonságát, hanem a hálózat, és különösen az e-mail szolgáltatás általános teljesítményét fenyegeti, akadályozhatja az ESP-ket az e-mail szolgáltatás biztosításában. A 29. cikk szerinti munkacsoport megítélése szerint az e-magánéleti irányelv 4. cikke – a szolgáltatónak meg kell tennie a megfelelő műszaki és szervezeti intézkedéseket szolgáltatásai biztonságának biztosítása érdekében – nem csak az ESP és a hálózati szolgáltatások biztonságára mint olyanra, hanem az e-mail- és hálózati szolgáltatások általános teljesítményére is vonatkozik. Az ESP biztonsága annyiban probléma, amennyiben érinti az ESP szolgáltatását. Ezért a 29. cikk szerinti munkacsoport megítélése szerint a 4. cikk erre a helyzetre is vonatkozhat. Más szóval, az e-mail- és hálózati szolgáltatások általános teljesítményét fenyegető veszély igazolhatja, hogy az ISP-k és ESP-k 8
A Kéretlen Levél Munkacsoport 2005. márciusi, „Rendelet a kéretlen levelek letiltásáról” című OECDdokumentum a következőképpen fogalmaz a kéretlen levél fogalmának ismertetésekor: „A kéretlen levél kifejezést gyakran használják a nemzetközi médiában és a különböző országok politikai nyilatkozataiban, a fogalom mégsem rendelkezik egységes meghatározással. Noha a kifejezés lényegében azonos jelenségre vonatkozik, a különböző országok a helyi környezetnek megfelelően határozzák meg a kéretlen levél mibenlétét. A kéretlen levelek elleni politika kidolgozásakor világosan kell érteni és meg kell határozni a kéretlen levél jellegét, és meg kell különböztetni a kéretlen levelet és a jogos gyakorlatot.”
9
Ezzel a technikával az e-mail szolgáltató nem szűri, csak visszadobja (vagyis nem fogadja el) a feketelistán lévő szerverekről vagy IP-tartományokból érkező e-maileket, de tartalmukat nem világítja át. Noha a feketelista gyakorlata elvileg kevésbé veszélyezteti a magánélet védelmét, mint a tartalom alapú szűrés, felvetheti az ECHR 8. cikkében elismert és a Bíróság által értelmezett szabadságjogok kérdését: szólásszabadság, véleményszabadság, illetve a szabad levelezéshez és a levelek fogadásához való jog.
6
a kéretlen levelek ellen szűrést használnak. Ha figyelembe vesszük a kéretlen levelek hatásait – még azokban az esetekben is, ahol a kéretlen levelek küldője naponta kevés információt küld e-mailben, de ezt nagyon sok embernek teszi –, újabb érvet kapunk az e-magánéleti irányelv 4. cikkének alkalmazásához, mert még a korlátozott számú e-mail elküldése is akadályozhatja az internetes forgalmat és súlyosan károsíthatja az e-mail szolgáltatások általános megbízhatóságát, biztonságát és hatékonyságát. Ugyanezen okból továbbá a 29. cikk szerinti munkacsoport megítélése szerint ez a szűrés igazolható az adatvédelmi irányelv 7. cikkének b) pontja alapján, hiszen a kéretlen levelek szűrése olyan szerződés teljesítéséhez szükséges, amelyben az érintett, vagyis a fogadó az egyik fél. A 29. cikk szerinti munkacsoport ugyanakkor aggodalmát fejezi ki amiatt, hogy a szűrés néha „hamis pozitív” eredményhez vezet, vagyis a jogos, „kért” e-maileket nem kézbesítik, mert kéretlennek ítélik. A 29. cikk szerinti munkacsoport megítélése szerint a beérkezett, kéretlennek ítélt levelek szűrése és visszatartása nem csak a szólásszabadságot sérti, hanem az ECHR 10. cikkét és a magánközlések védelmét is10. A fentiek fényében, az e-magánéleti irányelv 4. cikkének alkalmazásától függetlenül és a közlések szabadságának az ECHR 10. cikkében elismert elvének, valamint a közléseknek az e-magánéleti irányelv 5. cikkében előírt és az ECHR 8. cikkében elismert titkossága védelme érdekében a 29. cikk szerinti munkacsoport kifejezetten javasolja az e-mail szolgáltatók számára a következő ajánlások figyelembevételét, amelyek elsősorban arra irányulnak, hogy az e-mailek fogadói rendelkezhessenek az elvileg nekik címzett közlések felett. a) a 29. cikk szerinti munkacsoport ösztönzi azt a gyakorlatot, amely szerint az előfizetőknek lehetőségük van nem kérni az e-mailek kéretlen levelek szűrését célzó ellenőrzését, lehetőségük van ellenőrizni a kéretlennek ítélt e-maileket, hogy valóban kéretlenek-e és lehetőségük van eldönteni, hogy milyen „típusú” kéretlen leveleket kell kiszűrni. A 29. cikk szerinti munkacsoport üdvözli továbbá egyes ESP-k azon ajánlatát, amely lehetővé teszi, hogy az előfizetők könnyen visszatérhessenek az e-mailek ellenőriztetéséhez a kéretlen levelek szűrése céljából; b) a 29. cikk szerinti munkacsoport ösztönzi az olyan szűrők kifejlesztését is, amelyeket a végfelhasználók a saját gépükön, harmadik fél szerverein vagy a szolgáltató e-mail szerverén egyaránt installálhatnak, és amelyek lehetővé teszik annak eldöntését, hogy mit szeretnének és mit nem szeretnének megkapni; így csökkentik azokat a költségeket, amelyek a nem kívánt elektronikus levelek letöltése kapcsán felmerülnének, amint arra a 2002/58 irányelv (44) preambulum bekezdése emlékeztet. A 29. cikk szerinti munkacsoport üdvözli a kéretlen levelek leküzdését célzó, a magánéletet kevésbé sértő eszközökkel kapcsolatos kutatást is. A fentiek mellett a 29. cikk szerinti munkacsoport emlékezteti az e-maileket a kéretlen levelek szűrése céljából átvilágító e-mail szolgáltatókat arra a kötelezettségükre, hogy az adatvédelmi irányelv 10. cikke szerint világosan és egyértelműen tájékoztatniuk kell az előfizetőket a kéretlen levelekkel kapcsolatos politikájukról, amint azt e vélemény IV. szakasza is részletezi. Az e-mail szolgáltatónak biztosítania kell a megszűrt e-mailek titkosságát is, valamint, hogy azok más célra nem használhatók fel.
10
Amint azt a Bíróság is elismerte a Schöneberger & Durmaz-ügyben, 1988.
7
C) Az e-mailek átvilágítása az előre meghatározott tartalom észlelése céljából A 29. cikk szerinti munkacsoport megjegyzi, hogy egyes e-mail szolgáltatók fenntartják a jogot az előre meghatározott tartalom átvilágítására, sőt törlésére11; ilyen tartalom lehet például az illegálisnak vélt anyag, illetve a fogadó vagy a konkrét szolgáltatás felhasználója által kéretlennek ítélt anyag. Az ilyen típusú átvilágításhoz használt technika nagy mértékben hasonlít a vírusok és kéretlen levelek észleléséhez használthoz. A vírusok észlelését célzó átvilágítással ellentétben az e-mailek átvilágítása előre meghatározott tartalom észlelése érdekében még az illegálisnak ítélt anyag esetén sem tekinthető az e-magánéleti irányelv 4. cikkében előírt szükséges műszaki és szervezeti intézkedésnek, amelynek célja az e-mail szolgáltatások biztonságának biztosítása. Az e-mail tartalma nem fenyegeti az e-mail szolgáltatót károsodással és a hírközlés megszűnésével. Az ilyen anyag észlelését célzó ellenőrzést tehát nem legitimálja, hogy az e-mail szolgáltatónak biztosítania kell a szolgáltatás biztonságát. A 29. cikk szerinti munkacsoport aggályosnak találja, hogy az ilyen szűrés gyakorlásával az e-mail szolgáltatók cenzúrázzák a magán jellegű e-mail közléseket – például akadályozzák a legális tartalommal bíró közléseket –, ami a szólás- és véleményszabadság, illetve a tájékozódáshoz való jog alapvető kérdéseit veti fel. A 29. cikk szerinti munkacsoport hangsúlyozni kívánja, hogy a szolgáltatóknak nem általános kötelezettsége az előre meghatározott vagy vélelmezetten káros tartalom nyomon követése, amint azonban az alábbiakban ismertetjük, ezt a szolgáltatást felajánlhatja hozzáadott értékként. Ennek megfelelően a 29. cikk szerinti munkacsoport véleménye szerint, az e-magánéleti irányelv 5. cikkének (1) bekezdésével összhangban, az e-mail szolgáltatók nem szűrhetik, tárolhatják vagy foghatják el a közléseket és az azokra vonatkozó forgalmi adatokat az előre meghatározott tartalom észlelése céljából az érintett felhasználók hozzájárulása nélkül, kivéve, ha a szolgáltatók a tagállamok jogalkotása által végrehajtott e-magánéleti irányelv 15. cikkével összhangban jogszerűen járnak el. IV. TÁJÉKOZTATÁSI KÖTELEZETTSÉG A személyes adatoknak a tartalom és/vagy a magánközlésekkel kapcsolatos forgalmi adatok megismerését célzó feldolgozását az e-magánéleti irányelv 5. cikke mellett az adatvédelmi irányelv rendelkezései is szabályozzák.
11
Lásd a Yahoo! szolgáltatási feltételeit: Tudomásul veszi, hogy a Yahoo! előre átvilágíthatja a tartalmat, de a Yahoo! és tervezői jogosultak (de nem kötelesek) kizárólagos hatáskörben mérlegelni a szolgáltatáson keresztül elérhető tartalom átvilágítását, elutasítását vagy törlését. A fentiek korlátozása nélkül a Yahoo! és tervezői jogosultak a szolgáltatási feltételeket sértő vagy más okból vitatható tartalom eltávolítására. Önnek kell értékelnie és vállalnia a tartalommal összefüggő kockázatokat, beleértve a tartalom pontosságára, teljességére és hasznosságára való támaszkodást is. E tekintetben tudomásul veszi, hogy nem támaszkodhat a Yahoo! által létrehozott vagy a Yahoo!-hoz benyújtott tartalomra, korlátozás nélkül beleértve a Yahoo! üzenőfalain és egyéb részein található információkat is. Tudomásul veszi, beleegyezését adja és egyetértését fejezi ki, hogy a Yahoo! megtekintheti, megőrizheti és feltárhatja az Önnel kapcsolatos információkat és tartalmakat, amennyiben erre jogszabály kötelezi vagy jóhiszeműen feltételezi, hogy a megtekintésre, a megőrzésre vagy a feltárásra szükség van a következők érdekében: a) jogi eljárásnak történő megfelelés; b) szolgáltatási feltételek végrehajtása; c) válaszintézkedés arra az állításra, hogy a tartalom sérti harmadik felek jogait; d) válaszintézkedés az ügyfélszolgálat iránti kérelemre; vagy e) a Yahoo!, felhasználói és a nyilvánosság jogainak, tulajdonának vagy személyes biztonságának védelme.
8
Az adatvédelmi irányelv többek között arra kötelezi a szolgáltatókat, hogy tájékoztassák az egyéneket a velük kapcsolatos személyes adatok feldolgozásáról. A 10. cikk – „Az érintett tájékoztatása” – kötelezi az adatkezelőket, hogy bizonyos dolgokról – például az adatkezelő személyéről és az adatfeldolgozás céljáról – tájékoztassák az érintetteket, akiktől a rájuk vonatkozó adatokat gyűjtik. Az adatvédelmi irányelv 6. cikke (1) bekezdésének a) pontja előírja továbbá, hogy az adatok feldolgozását tisztességesen és törvényesen kell végezni, ami megerősíti az adatkezelők teljes átláthatóságára vonatkozó feltételt a személyes adatok feldolgozása esetén. A vírusok és kéretlen levelek észlelését célzó szűrés tekintetében a 29. cikk szerinti munkacsoport megfelelőnek tartja azt a gyakorlatot, hogy az ESP-k erről a szolgáltatás szerződéses feltételeinek részeként tájékoztatják az előfizetőket. A fentieken túlmenően az ESP-knek az e-magánéleti irányelv 4. cikkének is meg kell felelniük, amely szerint a nyilvánosan elérhető elektronikus hírközlési szolgáltatást nyújtó szolgáltatóknak tájékoztatniuk kell az előfizetőket a hálózati biztonság megsértésének kockázatáról. Amennyiben a biztonság a szolgáltató által alkalmazandó jogorvoslatok alkalmazási körén kívül esik, a szolgáltatóknak tájékoztatniuk kell a felhasználókat és előfizetőket a közléseik biztonsága védelme érdekében hozható intézkedésekről. V. AZ E-MAILHEZ KAPCSOLÓDÓ EGYÉB SZOLGÁLTATÁSOK A 29. cikk szerinti munkacsoport meg kívánja említeni az új szoftvertermékek és -szolgáltatások megjelenését: ilyen például az úgynevezett „Elolvasták?” szolgáltatás, amely az e-mailek megnyitását követi nyomon. Ez a szolgáltatás lehetővé teszi az előfizetők számára, hogy az általuk küldött e-mailről megtudják a következőket: a) elolvasta-e a címzett, b) mikor olvasta el, c) hányszor olvasta el (vagy legalábbis nyitotta meg), d) továbbították-e másoknak és e) ha igen, melyik e-mail szervernek, a helyet is beleértve. Végezetül a felhasználó azt is megtudhatja, hogy milyen böngészőt és operációs rendszert használ az e-mail címzettje. Az adatfeldolgozásra titokban kerül sor, vagyis az e-mail címzettjét, akitől az adatok származnak, nem tájékoztatják róla. Ezenkívül az e-mail címzettjének nincs lehetősége elfogadni vagy elutasítani a fent vázolt információk összegyűjtését. Összegezve: a tudomásulvétel klasszikus rendszereivel ellentétben az új termékek nem teszik lehetővé, hogy az e-mail címzettje elfogadja vagy elutasítsa a tudomásulvétellel kapcsolatos információk szoftverfelhasználók általi feldolgozását. A 29. cikk szerinti munkacsoport a lehető leghevesebben ellenzi ezt a feldolgozást, mert a címzettek viselkedésével kapcsolatos személyes adatokat az érintett címzett egyértelmű hozzájárulása nélkül rögzítik és továbbítják. Ez a titokban végzett feldolgozás ellentétes az adatvédelmi irányelv 10. cikkében megállapított, a személyes adatok gyűjtésekor lojalitást és átláthatóságot előíró adatvédelmi elvekkel. Az adatvédelmi tevékenység elvégzéséhez – annak megállapításához, hogy az e-mail címzettje elolvasta-e az e-mailt, ha igen, mikor és továbbította-e harmadik feleknek – a címzett egyértelmű hozzájárulására van szükség. A feldolgozásnak nincs jogalapja. A titokban végzett adatfeldolgozás tehát ellentétes az adatvédelmi irányelv 7. cikkében megállapított, egyértelmű hozzájárulást előíró adatvédelmi elvekkel.
9
VI.
KÖVETKEZTETÉS
Tekintettel az e-mail közlések szűrésének összeegyeztethetőségével kapcsolatban tapasztalt bizonytalanságra és az érdekeltek iránymutatási kérelmére, a munkacsoport hasznosnak érezte e vélemény közzétételét. A 29. cikk szerinti munkacsoport arra ösztönzi az e-mail szolgáltatókat, hogy szolgáltatásaik elvégzése során vegyék figyelembe az e véleményben megfogalmazott iránymutatást és ajánlásokat. Ezenkívül azon politikája részeként, hogy az infrastruktúra és az informatikai rendszerek – beleértve a végszámítógépet is – kiépítésekor az adatvédelmi és a magánélet védelmét célzó követelményeket tartalmazó technológiát mozdítja elő, a 29. cikk szerinti munkacsoport arra ösztöni az e-mail szoftverek fejlesztőit, hogy a magánélet védelmére vonatkozó követelményeknek megfelelő rendszerek kidolgozásakor minimalizálják a személyes adatok feldolgozását, azaz csak a feldolgozás céljainak megvalósításához feltétlenül szükséges és arányos adatokat dolgozzák fel.
Kelt Brüsszelben, 2006. február 21-én. a munkacsoport részéről az elnök Peter Schaar
10
