Május 25-én nyújtotta be a pedofil bűncselekmények elleni szigorúbb fellépésről szóló törvényjavaslatát Kocsis Máté és Selmeczi Gabriella. Ebben van egy úgynevezett pedofilnyilvántartás, aminek az volna a lényege, hogy a szülőknek, a hozzátartozóknak és a gyermek felügyeletét ellátóknak lehetőségük lesz arra, hogy megnézzék, hogy van-e a gyermek közelében pedofil. Látja a rendelkezés gyakorlati alkalmazását?

Azt nem még, de az elfogadott szabályrendszer kialakításában a hatóságunk részt vett, bár a jogszabályt nem küldték meg előzetesen véleményezésre. Amikor a hírek után megjelent az Országgyűlés honlapján a szöveg, akkor hivatalból véleményeztük, és azonnal észrevételeket tettem, aminek a lényege az volt, ugye azt fontos hangsúlyozni, hogy többféle megoldás érvényesülhet. Van már lengyel nyilvántartás, viszont nem tudunk olyan európai nyilvántartásról, amely a GDPR alkalmazása óta, tehát 2018. május 25. után lépett volna hatályba.

Márpedig passzolnia kell.

Két kérdésnek is passzolnia kell. A bűnügyi adatkezelések és a bűnügyi nyilvántartás adatkezelése a bűnügyi irányelv hatálya alá tartozik, viszont amikor megnyitjuk a nyilvánosság számára, az már GDPR-os adatkezelés. Az alaptörvény az egyik mérlegelési szempont, a másik pedig a GDPR. A cél az akceptálható, a gyermekeknek a védelme, de hogy a célhoz kötöttség mellé milyen konkrét szabályokat rendelünk, szükségesség, arányosság, adatminimalizálás elve, ezeknél a kérdéseknél a hatóság módosító javaslatokat tett. Akkor lehet hozzáférni ehhez az adatbázishoz, ha az szükséges, de hogyan tudom igazoltatni azt, hogy szükséges?

Nem elég a puszta kíváncsiság?

A puszta kíváncsiság nem elég.

Mondhatom azt, hogy a gyerek felügyeletét látom el, szeretném tudni mindenkinek, aki százméteres körzetben van, az adatait?

Ez is egy kérdés volt, hogy egyáltalán ki jogosult és az is, hogy miért szükséges, hiszen azzal, hogy valaki egy ilyen adatbázist megnyit vagy keres benne, ezt a rendszer nyilvánvalóan naplózza. Az elszámoltathatóság kérdése mindenképp fölmerülhet, hiszen az adatkezelésnek meghatározott célja van. Másrészt pedig az is egy külön kérdés volt, hogy ezt az adatot kivel oszthatja meg.

Elmegy a gyerekem a táborba, akkor én ott elvileg a táborvezetőtől a portásig mindenkit megkereshetek az adatbázisban? És ha találok valamit, az összes többi gyerek szülejének elmondhatom?

Ezeket a kérdéseket tettem föl én is a véleményezés kapcsán, például a lépcsőházban elmondhatom-e azoknak a szomszédoknak, akiknek hasonló korú gyerekük van, vagy az iskolában szülői értekezleten vagy egy munkaközösség tagjaként elmondhatom-e. Ezeknél nyilván esetileg kell mérlegelni, de volt egy bizonytalan fogalom, hogy harmadik személlyel megoszthatja, de nem terjesztheti. Az Országgyűlés bizottsága akceptálta a hatóság észrevételeit, és az elfogadott törvény szövege az adatvédelmi kérdésekben összhangban van a hatóság álláspontjával.

A pedofil adatbázis örök időkre szól, vagy mentesülni lehet a büntetett előélethez fűződő hátrányok alóli mentesítés során?

A bűnügyi nyilvántartásnak az adatait nyitjuk meg. Nagyon fontos kérdés, hogyan valósítja majd meg a program, hogy a bűnügyi nyilvántartásnak egy szeletét lehessen látni, és ne lehessen adott esetben a résen át bejutva az egész rendszert feltörni és hozzájutni olyan adatokhoz is, amelyek nem tartoznak a törvény hatálya alá. Ennek meg fogjuk nézni a működését a gyakorlatban is, illetve a GDPR alapján a jogszabály előkészítőjét terheli a hatásvizsgálat is, és itt a kockázatokat, a biztonsági kérdéseket is értékelni kell.

Amíg nincs hatásvizsgálat, addig nem is léphet hatályba maga a rendelkezés?

Hatályba léphet a rendelkezés. Ezek azok az izgalmas alkotmányossági kérdések, amelyekre nincs még válasz. Amikor mi véleményezzük a jogszabályt, jelezni fogjuk, hogy ez hatásvizsgálati kötelezettség alá esik, de nincs meg a hatásvizsgálat. A köztársasági elnököt sem köti az, aláírhatja attól még a jogszabályt, mert nincs hozzá hatásvizsgálat, de ha a törvény hatályba lép, és egy panaszos hozzánk fordul, akkor mi követelhetjük a hatásvizsgálatot.

Egy másik érdekes jogszabály a civilszervezetek gazdálkodásáról és adománygyűjtéséről szóló rendelet, amit a kormány módosított, és a hírek szerint még módosítani is fog. Az első verzióban az szerepelt, hogy értékhatárra tekintet nélkül az éves jelentésekben nyilvánosságra kell hozni az adományozók kilétét, aztán elhangzott egy ötszázezer forintos értékhatár, és úgy tűnik, hogy más megoldásokon is gondolkodik a kormány. A hivatalának van ezzel a jogszabállyal dolga?

Miután a természetes személy adományozók esetében személyes adat kezeléséről van szó, ráadásul olyan személyes adatok kezeléséről, amelyeket kötelező nyilvánosságra hozni, értelemszerűen van, mégpedig ez mind a két jogot érinti: a személyes adatok védelmét és közérdekből nyilvános személyes adatokét. A személyes adat nyilvánosságra hozatala egyrészről a GDPR vonatkozó rendelkezéseit is figyelembe kell venni, másik oldalon pedig a magyar információszabadságra vonatkozó szabályozás értelmében, ha személyes adat nyilvánosságáról van szó, akkor azt törvény rendelheti el, és az közérdekből nyilvános személyes adat lesz.

Itt egy rendeletről beszélünk most.

Az adat nyilvánosságra hozatalához törvényi szabályozásra van szükség. A szükségesség, arányosságnál fölmerül az, hogy nem mindegy, hogy száz forint az adomány vagy ötszázezer forint vagy egymillió forint, ez is egy kérdés lehet. Az is kérdés lehet, hogy minden civilszervezetre vonatkozik-e, vagy esetleg vannak kivételek a civilszervezetek közül.

Milyen szempontok szerint lehet kivételt megállapítani?

Lehet kivételeket találni, de meg kell indokolni alkotmányosan. Alapvetően a támogatás átláthatósága egy legitim cél lehet, hiszen a pártok, pártalapítványok támogatása átlátható, és nem gondolom, hogy a pártokon kívül nincs olyan civilszervezet, amely a politikára hatni tudna vagy akarna. Kérdés, hogy akkor mi különbség a párt meg az a civilszervezet között, amely ugyanúgy hatni képes a politikára.

Magyarán, rájuk ugyanez a szabályozást célszerű alkalmazni?

Álláspontom szerint igen, ez lehet egy legitim cél, de az is kérdés, hogy mindenki, vagy vannak ez alól kivételek. Szerintem egy cizelláltabb szabályozásra van szükség, mint a megjelent kormányrendelet. Itt is föl kell hívni a figyelmet, hogy noha ez nemzeti kompetencia, de az EU-s joggal harmonizálni kell, és az is kérdés, hogy a támogatónak milyen adata kerül nyilvánosságra. Ebből az első közhasznúsági jelentés után lehetnek ügyek, és az ügyekből akár előzetes döntéshozatali mechanizmus is lehet a luxemburgi bíróságnál. Ez olyan terület, amelynél az EU-s joggal való harmonizációt szintén meg kell teremteni, ezért nyilván a hatóságot be kell vonni a jogszabály véleményezésébe.

A szabályozás bírálói azt mondják, hogy ez arra kiválóan alkalmas, hogy azt az adományozót eltántorítsa az adományozástól. Ez releváns érv?

Énszerintem nem, de ezért fontos az értékhatár is. Ezek egy része lehet paranoia, és nyilván a véleménynyilvánítás szabadságával is összefügghet ez a kérdés. Ha valaki ilyen szervezetet támogat, ezért szerintem fontos az, hogy legyen igenis egy összeghatár. Én azt mindenképp jó iránynak tartom, és a szükségesség, arányosság szempontjából is fontos, hogy nem száz forint, hanem, mondjuk, ötszázezer.

A civil választási bizottság elnöke azt mondta még májusban, hogy az ellenzéki előválasztáson, ha valaki az ügyfélkapun keresztül bejelentkezik vagy egy videochat felületen felmutatja az igazolványát, amit beazonosítanak, átkódolnak és már nem a személyes adataival vesz részt a választáson. A hivatal látja már ezt a rendszert?

Nem látjuk. Az előválasztás intézményét a magyar jog nem ismeri, erre nézve speciális jogszabályi rendelkezések nincsenek, tehát a GDPR rendelkezéseit kell alkalmazni. Egy csomó olyan szabály van, amit be kell tartani, de nem nemzeti, törvényi rendelkezések alapján, hanem közvetlenül a GDPR-ból levezethetően. Illetve az adatvédelmi hatóság kiadott egy hosszú ajánlást, ez egy olyan szempontrendszer, amelynek a teljesítését, alkalmazását a hatóság számon fogja kérni. Értelemszerűen ez érvényes az előválasztásra is. Itt mindjárt egyébként egy olyan kérdés is fölmerül, hogy a Momentum jelezte, a 17 éveseket is be kívánják vonni, de erre nincs nemzeti szabály.

Szülői hozzájárulást kell nyilván.

Az én álláspontom is ez. Van, aki ezt nem osztja, mondván, hogy ma már a digitális világban ez nem igaz. A GDPR azt mondja, hogy a gyermekek számára nyújtott információs társadalommal összefüggő szolgáltatásnál 16 év a korhatár. Ez nem gyermekek számára nyújtott, tehát 18 év a korhatár, ami értelemszerűen azt jelenti, hogy kell a törvényes képviselőnek a hozzájárulása. Szóval egy csomó kérdés fölmerül ezzel kapcsolatban, amit végig kéne gondolni. Ha nincs törvényben szabályozva, akkor hogy lehetne ebbe bevonni egy állami intézményrendszert, vagyis az ügyfélkapus azonosítást? Az állam nyilván ehhez nem társulhat, mert ez nem egy nemzeti törvényben szabályzott eljárás, az állam pedig az adatkezelés során azt teheti meg, ami a feladata, a feladata pedig törvényben rögzített. Tehát az ügyfélkapus azonosítás az ellenzéki előválasztásnál nem vehető igénybe.

Ha nincs az előválasztás új intézményére speciális jogszabály, akkor például a hatóság korábbi döntéseit, határozatait iránymutatásként, precedensként fel lehet használni?

Igen, és erre föl is hívja egyébként az ajánlás a figyelmet. A Párbeszédtől kaptuk az első visszajelzést, és ebben az volt, hogy figyelembe fogják venni a jövő évi választásoknál, illetve az előválasztásnál is. Ha beadványt kapunk, akkor számon fogjuk kérni azt a követelményrendszert, amelyet a választásokkal kapcsolatban jó előre megfogalmaztunk.

A szankciók élnek már? A honlapjukon olvasom, hogy Budapest Főváros Kormányhivatalának a XI. kerületi hivatala kapott egy tízmilliós adatvédelmi bírságot az adattovábbítás kockázataival arányos adatbiztonsági intézkedések elmulasztása miatt.

Igen, élnek a szankciók. Ez egyébként egy közepes bírság, az államháztartási törvény szerinti költségvetési szerveknél húszmillió forint a maximális bírság összege. Ha gazdasági szereplőket is figyelembe veszünk, akkor százmilliós bírság is született már adatvédelmi incidens ügyében. Összességében az elmúlt három évben 260 és 270 millió forint közötti az összesített jogerősen kiszabott bírságösszeg.

Milyen volt egyébként az adatbiztonság a Covid alatt? Mert az egészségügyi adataink Excel-táblán, e-mailen közlekedtek, láttuk a központi irányítási rendszer zavarát néhány napon keresztül, szóval nem tűnt a vészhelyzetben nagyon olajozottnak a rendszernek ez a része.

Mindenkit új feladatok elé állított a pandémia, és nem mindenki volt erre felkészülve. Például az oktatás átállásakor a digitális rendszerre a hatóság adott ki tájékoztatót. Az állami adatkezelőknél is a pandémia elleni küzdelem nyilván nagyon sok erőforrást vitt el, és bekövetkeztek olyan problémák, mint akár ez az adatvédelmi incidens is az Excel-táblánál. Nyilván a hatóság a bírság kiszabásánál figyelembe vette, hogy sok érintett van az ügyben, különleges adat kezeléséről van szó. Az adatbiztonságnál látunk problémákat, nem voltunk erre teljes mértékben felkészülve.

És egy következőnél már fel leszünk rá teljes mértékben készülve?

Az állami adatkezelőknek rendelkezniük kell informatikai, biztonsági szabályzattal, adatvédelmi incidenselhárítási tervvel, a pandémia visszaszorulása után jó lenne energiát fordítani arra, hogy az elmúlt időszak tapasztalatai alapján felülvizsgálják ezeket a szabályzatokat, terveket és adott esetben naprakésszé tegyék.

A Covid alatt megszaporodott az internetes aktivitásunk, minden új látogatásnál felugrik egy adatvédelmi beállítások ablak. Látja a hatóság ennek a gyakorlati működését?

Nincs olyan átfogó vizsgálatunk, amely ezeket a sütiket ellenőrizné. Nyilván tudjuk és jelezzük is és adott esetben számon kérjük azokat a szabályokat, amelyeket a GDPR tartalmaz. Ez összefügg az érintett jogokkal, illetőleg az adatkezelési tájékoztatóval, miről és hogyan kell tájékoztatni, illetve milyen választási lehetősége van a felhasználóknak, milyen sütik azok, amelyek a szolgáltatás nyújtásához elengedhetetlenül szükségesek, illetőleg melyek azok, amelyek kényelmi szolgáltatások, marketingadatokat gyűjtenek. Nagyon fontos kérdés a külföldre történő adattovábbítás, ha nincsen vagy nem tudjuk igazolni, hogy éppen milyen védelem van az adott országban. A hatóság ezeket vizsgálja konkrét esetekben, de átfogó vizsgálatot nem indítottunk még. Tudom, hogy egy hiányosság, tervezzük is, csak a kérelmek, a beadványok, ha minden erőforrásunkat elviszik, akkor a hivatalbóli vizsgálatokra kevesebb jut, és most a Covid alatt számtalan beadvány érkezett.

Az emberek, akikért elméletileg a GDPR-rendszer van, használják? Mert nagyon nehezen tudom elképzelni, hogy bárki, aki, mondjuk, Hongkongból akar egy mobiltelefonról irányítható botmixert vásárolni, az elkezdené vizsgálni, hogy Európai Unió meg a távoli ország között milyen rendszerek lépnek életbe. Egyszerűen rákattint, hogy elfogadom.

Az egyik problémája éppen az az adatvédelmi tájékoztatóknak, hogy nem elég tömörek, nem elég közérthetőek, nem segíti sok esetben piktogram a tájékozódást, hanem valóban ez van, hogy ki akarja pipálni, nem olvassa el, csak beikszeli.

Vagy ha ott végig kell rajta futni, akkor elmegy egy másikhoz.

Ez az egyéni felelőssége is az érintettnek, de az adatkezelés szempontjából is nyilván nem ezek az optimális tájékoztatók.