Péterfalvi: a Malév megsértette az adatvédelmi szabályokat

A Malév Rt.-t elmarasztaló ombudsmani állásfoglalás amiatt született, mert több "az Egyesült Államokba utazó állampolgár azt panaszolta, hogy a Malév Rt. légitársaság személyes adatait az indulást megelőzően továbbítja az USA hatóságainak, akik ezen adatokat - tájékoztatásuk szerint - felhasználják a terrorizmus elleni küzdelemben" - áll Péterfalvi Attila közleményében. A Malév, más légitársaságokkal együtt, 2001. ősze óta köteles kiadni az USA-ba utazók adatait az amerikai hatóságoknak. Ugyanakkor Péterfalvi szerint a Malév nem az uniós, és nem a magyar szabályokat veszi figyelembe, hanem az amerikai törvényeket.

Nemleges válaszok

Adatok az USA-ba A Malév Rt. az utastájékoztatóban részletesen ismerteti, hogy mely személyes adatokat (úti okmányban szereplő vezetéknév, keresztnév, úti okmány típusa, száma, az úti okmányt kiállító állam kódja, születési idő, nem kódja, okmány érvényességének ideje), melyik hatóság (Department of Homeland Security - Bureu of Customers and Border Protection), hol (Amerikai Egyesült Államok) és mennyi ideig (határozatlan időre) fogja tárolni, az utas információs önrendelkezési jogát (pl. tájékozódási, tiltakozási jog stb.) hogyan tudja érvényesíteni, illetve, hogy milyen következményekre számíthat, ha nem járul hozzá az adattovábbításhoz.

Péterfalvi mindezért helyszíni vizsgálatot folytatott, amelyen kiderült, hogy "a Malév Rt. az Egyesült Államokba utazóknak az adatkezelés tényéről, a kezelt adatok köréről, valamint az érintettek információs önrendelkezési jogát érintő egyéb kérdésekről (pl.: adatok helyesbítésének a joga, betekintési jog) nem ad megfelelő tájékoztatást". Ezzel szemben a légitársaság azt állítja, hogy az USA-ba tartó utasok adatainak továbbításáról 2003. novemberétől valamennyi New Yorkba tartó utasát írásban tájékoztatta, viszont csak a járatra történő bejelentkezéskor (check-in), még a beszállás előtt.

A helyszíni vizsgálaton Péterfalvi nem kapott pontos választ arra, hogy az adatokat ki, mennyi ideig és hol tárolja. "Arra a kérdésre, hogy az utas a róla készült adatokat megtekintheti-e, illetve élhet-e az adatok kijavításának a lehetőségével, a Malév Rt. képviselői nemleges választ adtak" - olvasható az ombudsman közleményében. Mindezt az adatvédelmi biztos kifogásolja.

Ellentétes a magyar szabályozással

Az EU-s szabályozásokat idézve Péterfalvi jelzi a magyar légitársaságnak, hogy "elengedhetetlen az érintettek jogainak biztosítása. Ez elsősorban a saját adatokhoz, tehát az adatalany adataihoz való hozzáférés biztosítását, másodsorban pedig az adatok helyesbítésének a lehetőségét jelenti. Tájékoztatni kell a közvéleményt a kezelt adatokra vonatkozó legfontosabb jellemzőkről, valamint arról, hogy ezen adatokat az amerikai hatóságok hányszor és milyen mennyiségben igénylik". A magyar szabályozásokkal is ellentétes a Malév eljárása, állapítja meg Péterfalvi: a "követelmények az utasok személyes adatai továbbításakor nem teljesülnek".

Aggályosnak tartja Péterfalvi azt is, hogy a jelenlegi rendszerben az adatkezelés további kiterjesztésére korlátlan lehetőség van. A Malév Rt. által használt számítógépes adatrögzítési eljárás külföldi szoftver alapján működik, az adatokat nem Magyarországon tárolják. "Nincsen sem a Malév Rt.-nek, mint adatkezelőnek, sem a magyar adatvédelmi hatóságnak lehetősége arra, hogy ellenőrizze az adatbiztonsági szabályok betartását" - állapítja meg az ombudsman.

Nincs felmenetése a Malévnak a szabályok alól

Péterfalvi ajánlása nyomán a Malév az USA-ba jegyet váltók tájékoztatását kiterjeszti - ígéri a társaság. E szerint a cég a jövőben a New York-i utasokkal már a repülőjegy vásárlásakor közli az adattovábbítás tényét, "tehát a légitársaság a repülőjegy vásárlásának feltételeként kérni fogja az utasok írásos elfogadó nyilatkozatát". Mindehhez a Malév az utazási irodákat tájékoztatja és ellátja a nyilatkozattételhez szükséges magyar és angol nyelvű formanyomtatványokkal.

A Malév, mint adatkezelő

Mindezeken túl, Péterfalvi megállapítja, hogy a Malév Rt. az adatkezelést az adatvédelmi nyilvántartásba nem jelentette be. "Nincs olyan szabály, amely felmentést adna a légitársaságnak bejelentési kötelezettsége alól". A Malév közleményében ígéretett tesz arra, hogy "a fentiekkel kapcsolatos adatkezelési tevékenységét bejelenti az adatvédelmi nyilvántartásba". A cég továbbá kidolgozza saját adatvédelmi szabályzatát és adatvédelmi felelőst bíz meg. A változtatásokra a cég szerint egy hónapra van szükségük.

A légitársaság a változtatásokat amiatt hozza, hogy az Egyesült Államokba utazók adatainak Amerikába továbbítása kapcsán Péterfalvi Attila felkérte a Malév Rt. elnök-vezérigazgatóját, a Malév fordítson nagyobb figyelmet az érintettek hozzájárulásának megszerzésére és tájékoztatására. Péterfalvi magánszemélyek panaszai alapján indított vizsgálatot az elmúlt év elején, mert az Egyesült Államok a terrorizmus elleni harc jegyében módosította az eddigi beutazási szabályokat. Így más társaságokkal együtt a magyar légitársaságnak is, még a beutazás előtt is ki kell küldenie az Egyesült Államokba az utasokra és azok okmányaira vonatkozó adatokat.