A törvény módosításának oka igen egyszerű volt: a korábbi szabályok alapján csak akkor lehetett büntetni azt, aki személyes adatot jogellenes kezelt, ha azzal jelentős érdeksérelmet okozott. Így lényegében büntetlenül lehetett adatbázisokat árulni az interneten, hiszen ennek a jogellenes adatkezelésnek a következménye 'legfeljebb' annyi volt, hogy az érintett kapott néhány nem kívánt reklámot. A "delete" gomb lenyomásának fáradalmai pedig még akkor sem okoztak jelentős érdeksérelmet, ha azt naponta többször kellett megtenni. Emellett az eljáró hatóságok is igen nagyvonalúan értelmezték a jelentős érdeksérelem fogalmát, sokak szerint azért, mert ha azt állapították meg, hogy ilyen nincs, nekik sem kellett tovább nyomozniuk.
Szabad volt tehát az út azok előtt, akik az interneten árusítottak adatállományokat, nem kellett félniük a büntetőjogi felelősségre vonástól. A túlságosan szűk körű tényállást amúgy is érte kritika, az Országgyűlés így módosította a törvényt: ha nem történt jelentős érdeksérelem, de a jogtalan haszonszerzés célja volt az elkövetőnek, megállapítható a bűncselekmény.
A hatályos szabályok
A Btk. szerint aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével jogtalan haszonszerzési célból vagy jelentős érdeksérelmet okozva jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy az adatok biztonságát szolgáló intézkedést elmulasztja vétséget követ el. A büntetés egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő. Ugyanígy büntetendő az is, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget, és ezzel más vagy mások érdekeit jelentősen sérti. Súlyosabb a büntetés akkor, ha a bűncselekményt különleges személyes adatra, hivatalos személyként, vagy közmegbízatás felhasználásával követik el.
A képlet tehát egyszerű: aki jogosulatlanul vagy a céltól eltérően kezel személyes adatot, vagy az adatok biztonságát szolgáló intézkedést elmulasztja és mindezt azért követi el, hogy jogtalan hasznot szerezzen, akkor is bűncselekményt követ el, ha nem történt jelentős érdeksérelem. A tájékoztatás elmulasztása továbbra is csak akkor bűncselekmény, ha van jelentős érdeksérelem.
Az új szabályok értelmezéseként az is felmerült, hogy bűncselekmény lehet, ha a hírlevelek, reklámcélú üzenetek küldését engedélyező check-box előre ki van pipálva, vagy egy részletes tájékoztatóban van elrejtve, hogy a címzett reklámot is kaphat.
Bűn és bűnhődés
Mindenekelőtt: a tájékoztatási kötelezettség elmaradása továbbra is csak akkor bűncselekmény, ha az jelentős érdeksérelmet okoz. Azzal tehát, hogy a direkt marketing cég elmulasztja az egyértelmű tájékoztatást, még nem valósul meg feltétlenül bűncselekmény. Így az a gyakorlat, hogy az egyes honlapok regisztrációs felületein a hozzájárulás előre ki van pipálva, vagy a hozzájárulás alapján végzett adatkezelés részleteiről szóló tájékoztatás nehezen elérhető, vagy nehezen értelmezhető, aggályos ugyan, nem teljesen etikus, sőt, jogellenes is lehet – de nem bűncselekmény. Ezen gyakorlat ellen a jogalkalmazás a büntetőjognál enyhébb eszközökkel lép fel, elegendő az új reklámtörvény alapján lefolytatható eljárásokra utalni. Megvalósulhat persze bűncselekmény, ha van jelentős érdeksérelem: ez azonban eddig is így volt, és ahogy eddig nem vontak felelősségre senkit a direkt marketing szférából azért, mert nem, vagy nem megfelelő formában adta meg a tájékoztatást, úgy valószínűleg ezután sem fognak.
Bűncselekményt az követ el tehát, akinek jogellenes cselekménye (jogosulatlan vagy céltól eltérő adatkezelés, adatbiztonsági intézkedés elmulasztása) jelentős érdeksérelmet okoz, vagy jogtalan haszonszerzési céllal történik. Mint arról már volt szó, a jelentős érdeksérelmet okozó cselekmény eddig is bűncselekmény volt, de emiatt viszonylag csekély számú esetben került sor felelősségre vonásra. A direkt marketing szakma „tipikus” jogsértéseit a jogalkalmazás feltehetőleg ezután sem fogja jelentős érdeksérelmet okozónak minősíteni.
Más a helyzet, ha a cselekmény jogtalan haszonszerzés céljából történik. Ekkor már megállapítható a bűncselekmény. Kérdés persze, mi a jogtalan haszonszerzés – az, hogy azért szerzünk be egy adatbázist, hogy azt marketing célra felhasználva hasznot termeljünk, valószínűleg beletartozik ebbe a körbe. Tehát: aki jogellenes személyes adatokat tartalmazó adatbázist épít, vásárol, haszon érdekében felhasznál, az bűncselekményt követ el.
Konklúzió: nem kell megijedni…
Visszatérünk tehát kiindulási kérdéshez: kell-e félni a direkt marketing cégek vezetőinek attól, hogy néhány jogellenesen kezelt adat miatt lesújt rájuk a törvény szigora? Eredményezheti-e az adatkezelési szabályok nem megfelelő ismerete, vagy egyes munkatársak tévedése (vagy szándékos mulasztása, cselekménye) a vezető felelősségre vonását? Hiszen a direkt marketing cégek adatkezelése többnyire a haszonszerzést szolgálja, ergo a jogosulatlan adatkezelés jogtalan haszonszerzést szolgál.
A válasz előtt álljon itt egy példa: aki mást megöl, bűntettet követ el, ezt mindenki tudja (emberölés). De azt is sejti mindenki, hogy ha egy késsel ránk rontó személyt védekezésül ellökünk, és ő egy autó alá esik, nem fognak börtönbe zárni minket – ezt hívja a jog „jogos védelemnek”, ami kizárja a büntethetőséget. Vagy: bűnt követ el az is, aki valakit arra kényszerít, hogy olyat tegyen, amit amúgy nem akar (kényszerítés). Azért viszont még nem fognak bezárni senkit, hogy spiccesen odaszól egy ismeretlennek, hogy hozzon egy sört, vagy mérges lesz. A büntetőjog ennél lényegesen árnyaltabb.
Mindenekelőtt: csak akkor kell félni, ha a bűncselekményt szándékosan követi el valaki, és cselekményének kifejezett célja volt a jogtalan haszonszerzés. A mulasztó munkavállalótól már nem is kell félni. De akkor is, ha látszólag minden adott a felelősségre vonáshoz, az ügyész, vagy a bíró vizsgálni fogja azt, hogy az adott cselekmény veszélyes-e a társadalomra (ez is egy büntetőjogi kategória), és ha nem, a büntetés nagy valószínűséggel elmarad.
… de azért félni sem árt
Látható tehát, hogy az új büntetőjogi szabályoktól azoknak kell félni, akik cselekményük jogellenességének tudatában, a törvényeket szándékosan áthágva próbálnak jogellenes adatkezeléssel haszonra szert tenni. A tipikus direkt marketing vezető ilyet nem tesz, legfeljebb próbálja a törvényeket tágan értelmezni, és egy-egy lépés erejéig talán az enyhén ingoványos talajtól sem riad vissza. Ez azonban még nem bűncselekmény. Valószínűleg.
Valószínűleg, mert azért a végső értelmezést meg kell hagyni az ügyészeknek, bíráknak: előbbiek döntenek arról, hogy emelnek-e vádat, utóbbiak ítélkeznek. Az eddigi gyakorlat azonban egyértelműen arra enged következtetni, hogy a hazai direkt marketing szektornak nem kell büntetőjogi felelősségre vonástól félni az új szabályok miatt. Az eddigi szankcionálási eszközök azonban továbbra is megvannak, a jogellenes adatkezelés ellen felléphet az adatvédelmi biztos, lehet bírósághoz fordulni, eljárhat a hírközlési, fogyasztóvédelmi hatóság.
A teljesen biztos megoldás tehát továbbra is a jogszerű magatartás. A közvetlen büntetőjogi fenyegetés hiányában is.
Dr. Freidler Gábor