Összeállításunk két terület jogalkotási hátterét világítja meg: bepillantást nyerhetünk az új európai adatvédelmi rendeletre való felkészülés körülményeibe és a titkos információgyűjtés külső engedélyezési rendszerének reformjába.
Sokak szerint az adatvédelem egyszerű dolog. Egy emberről rengeteg különböző információ, adat halmozódik fel, amelyekből az állami hivatalokban, oktatási és egészségügyi intézményekben, rendvédelmi szerveknél, kereskedelmi és szolgáltató cégeknél és még számtalan helyen adatbázis készül. Persze mindenki szeretné egyénileg szabályozni, hogy ki, mikor, miért és mire használhassa fel a róla szóló adatokat és információkat, de könnyű belátni, hogy ez szinte lehetetlen. Arról nem is beszélve, hogy a különböző nyílt és titkos adatbázisok összekapcsolásával olyan személyiségprofil is összeállítható, amely diszkrét adatokat is tartalmaz, s amelynek felhasználását senki sem engedné meg.
Egészen más a kép, ha ugyanezek a személyes adatok egy bűncselekmény felderítéséhez szükségesek. Ilyenkor már mindenki helyesnek tartaná akár az adatbázisok részleges összekapcsolásának engedélyezését is.
Mielőtt tovább bonyolítanánk a helyzetet, ugorjunk vissza az első mondatra, s máris belátható, hogy az adatvédelem mégsem olyan egyszerű dolog.
S most nézzünk át a „másik oldalra”, nevezetesen a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) oldalára, a „hivatalba’”, amelynek az a feladata, hogy az adatvédelem és az információszabadság érvényesülését ellenőrizze és elősegítse. Azt hihetnénk, hogy az adatvédelem felügyeletével megbízott hivatal vezetőjének és jól képzett szakjogászainak viszonylag egyszerű dolguk van az adatvédelmi tárgyú jogszabályok (törvények, rendeletek) előkészítésében való részvétel és azok alkalmazásának felügyelete során. De ha csak egy kicsit mélyebben bepillanthatunk abba az igen kényes és összetett munkába, amit például a NAIH munkatársai végeznek, akkor azonnal belátható, hogy a dolgok korántsem olyan egyszerűek. És nemcsak azért, mert a törvények és rendeletek minden szavát és kifejezését patikamérlegen kell értelmezni, hanem azért is, mert a magyarországi jogszabályoknak és a joggyakorlatnak összhangban kell lenniük az Európai Unió szabályozásával is.
Az alábbiakban a NAIH szakembereinek segítségével két példán keresztül kerülhetünk közelebb annak megértéséhez, hogy az adatvédelemhez kapcsolódó jogszabályok meghozatala és alkalmazása mennyire összetett folyamat.
Az európai adatvédelmi rendelet és adatvédelmi irányelv
Az Európai Unióban az elmúlt évek adatvédelemmel kapcsolatos legfontosabb eseménye az új adatvédelmi rendelet és adatvédelmi irányelv szövegének véglegesítése volt.
Az Európai Parlament és a Tanács (EU) 2016. április 27. napján négyéves előkészületet követően fogadta el az új adatvédelmi csomagot:
• az EU 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről,
• az EU 2016/680 irányelve a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről.
A rendelet teljes egészében kötelező és közvetlenül alkalmazandó, nem igényel tagállami átültetést, 2016. május 24-től hatályos, azonban 2018. május 25. napjától lesz alkalmazandó.
Az új szabályozás célja egy szilárd és következetes jogi keret létrehozása mellett az erős kikényszeríthetőség, valamint az egyes tagállamok közötti szorosabb együttműködés és egységes fellépés lehetőségének biztosítása. Ennek érdekében alapjaiban rendeződnek át az adatkezelők és a hatóságok feladatai, a hatóságok egymáshoz való viszonyai és az együttműködés rendje. Az adatvédelmi tudatosság erősítése érdekében az egyes hatóságok feladata előkészíteni az új jogi rendszer jövőbeli alkalmazását, illetve biztosítani a szervezeten belüli szakmai felkészültséget.
A feladat nem egyszerű, hiszen az adatkezelés jellege és ismérvei tagállamonként eltérőek, tehát az egyes hatóságoknak – így a NAIH-nak is – felül kell vizsgálniuk az adatkezelések kritériumait, és az új szabályok tükrében át kell tekinteniük az adatkezelés céljának, szempontrendszerének, a személyes adatkezelésnek a koncepcióját, valamint a kezelt adatok sorsának alakulását.
Az európai adatvédelmi rezsim célul tűzi ki az információs önrendelkezési jog mind szélesebb körű érvényesülését, aminek biztosítása érdekében az érintett jogaira és a jogok érvényesítésére vonatkozó szabályok, illetve a szervezet által végzett adatkezelések áttekintése és az új szabályokhoz igazítása kiemelt jelentőségű.
Amennyiben a szervezet gyermekek személyes adatait is kezeli, különös figyelmet kell fordítani az adatvédelmi rendelet információs társadalommal összefüggő szolgáltatások vonatkozásában megállapított, gyermekek adatkezelésére vonatkozó szabályaira is.
Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé, meghatározásra kerülnek azon esetek, amelyek során az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatnia, ezenkívül tovább erősödik a beépített adatvédelem követelménye és a személyes adatok harmadik országba történő továbbításának feltételrendszere is.
Összefoglalva megállapítható, hogy az adatvédelmi csomag alkalmazására való felkészülés az elmúlt időszakban és jelenleg is jelentős számú feladatot és munkaerő-ráfordítást ró az egyes tagállamok adatvédelmi hatóságaira.
A titkos információgyűjtés külső engedélyezési rendszerének reformja
Az elmúlt időszak eseményeit tekintve fontos beszámolni a nemzetbiztonsági célú titkos információgyűjtés külső engedélyezési rendszerének reformjáról. A jelenlegi rendszer felülvizsgálatát elsősorban a strasbourgi Emberi Jogok Európai Bíróságának (EJEB) 2016. január 12-én meghozott ítélete teszi szükségessé. Az ítélet szerint Magyarország megsértette az Európai Emberi Jogi Egyezmény magán- és családi élet tiszteletben tartásához való jogról szóló cikkét. Az ítélet végső soron azért marasztalta el Magyarországot, mert a Terrorelhárítási Központ esetében a rendőrségről szóló 1994. évi XXXIV. törvény szabályai szerint a külső engedélyhez kötött titkos információgyűjtés igazságügyért felelős miniszter általi engedélyezése esetén hiányzik a független külső kontroll. Ugyanakkor a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvényben foglaltak szerint a titkos információgyűjtés külső engedélyezése a nemzetbiztonsági szolgálatok esetében is tartozhat az Igazságügyi Minisztérium (IM) jogkörébe.
A per során lényeges kérdésként merült fel, hogy Magyarországon milyen független külső kontrollmechanizmus révén ellenőrizhető a titkos információgyűjtés jogszerűsége.
Az Infotörvény megfelelő eszközöket biztosít a hatóság számára a jogsértő titkos információgyűjtés feltárására és a jogsértéssel szembeni fellépésre. A vizsgálati eljárás szabályai az ombudsmani eljáráshoz hasonlóan erőteljes betekintési, másolatkérési, adatmegismerési, belépési, felvilágosításkérési és vizsgálatkezdeményezési jogosultságokat biztosítanak. A törvény 71. paragrafusa olyan szabályokat tartalmaz, amelyek kifejezetten a nemzetbiztonsági szolgálatokat érintő eljárások esetén is lehetővé teszik a hatóság számára a szükséges adatok megismerését.
A titkos megfigyelés jellegénél fogva nem biztosít közvetlen jogorvoslati lehetőséget az adatalany számára, ezért e területen a független külső adatvédelmi ellenőrzés az információs magánszféra-védelem kulcseleme. Ennek megfelelően a hatóság minden, az állampolgároktól érkező, titkos megfigyelésre vonatkozó panaszt, bejelentést kivizsgál, attól függetlenül, hogy a beadványban leírt körülmények utalnak-e titkos információgyűjtésre, illetve az érintett az eljárás eredményéről tájékoztatható-e.
A titkos információgyűjtés előzetes külső engedélyezési rendszerének átalakítása esetén többféle szabályozási modell érvényesülhet. A külső kontroll függetlensége és a közjogi-hatalommegosztási elvek szempontjából kifogástalan megoldást eredményezne, ha a jelenleg az IM-hez tartozó külső engedélyezési hatáskör a bírósághoz kerülne.
Az ítélet megenged olyan értelmezést is, amely szerint a miniszter előzetes engedélyezési jogköre megmarad. Egy korábbi adatvédelmi vizsgálat eredményei arra utaltak, hogy az IM külső engedélyezési eljárásai során az egyszemélyi döntési felhatalmazás ellentétbe kerülhet a megalapozott döntéshozatal követelményével. A nemzetbiztonsági szolgálatok főigazgatói évről évre olyan nagyszámú előterjesztést nyújtanak be, amelyeket egy személy – a miniszter – nem képes kellő mélységgel áttekinteni az engedélyről hozandó döntése előtt. A témában jártas szakértők szerint ezért ha a jogkör továbbra is miniszteriális keretek között marad, célszerű lenne létrehozni egy olyan bizottságot, amelynek az lenne a feladata, hogy törvényességi és szükségességi szempontból szűrje az előterjesztéseket, és javaslatot tegyen azok engedélyezhetőségéről. E bizottságban a titkos információgyűjtés törvényességében érdekelt kormányzati szervezetek (például Belügyminisztérium, nemzetbiztonsági szolgálatok) által delegált, a szükséges speciális nemzetbiztonsági ismeretekkel rendelkező szakértők vennének részt. E bizottság tehát nem független külső kontrollt valósítana meg, hanem a döntések előkészítésében venne részt.
Az EJEB ítéletében foglaltakra tekintettel a miniszteri külső engedélyezési jogkör fenntartása esetén elengedhetetlenül szükséges azt független külső kontroll alá helyezni. Közjogi szempontból nincs akadálya annak, hogy e szerepkört olyan hatóság töltse be, amely az Alaptörvényben meghatározott független adatvédelmi ellenőrző hatóság és amelynek feladatkörébe a titkos információgyűjtés jogszerűségének utólagos ellenőrzése egyébként is beletartozik.
(Cikkünk nyomtatásban 2018 februárjában jelent meg a Biztonságpiac Évkönyvben. A -szerk- megj.)
