64. szám, 2015. december

„Megértettük az üzenetet” – mondja az adatvédelmi hatóság vezetője a kis kelet-európai ország fővárosában. Ebéd mellett próbálom meggyőzni egy EU-projekt tanácsadójaként: itt a kedvező lehetőség: hatásköröket kaphatnak az információszabadság, a közérdekű adatok nyilvánossága területén is, végre együtt értelmezhetik a két információs jogot, még többet tehetnek a jogállamért – lobbizzunk hát együtt. „Közérdekű adatok nyilvánossága? De hiszen ez folyamatos ütközést jelentene a kormánnyal.” Kortyol egyet az italából. „Megértettük az üzenetet. Független jogvédő hatóságok? Nemrég találkoztam a német adatvédelmi biztossal. Tudod, ki az? Egy volt CDU-képviselő. Meg aztán itt van a te történeted is. Mi inkább információbiztonsággal szeretnénk foglalkozni.”

Rózsaszín szemüvegen át szemlélve az utóbbi évtized az adatvédelem új virágkorának tűnhet. A megújulást hirdetik az Európai Unió Bíróságának határozatai az adatmegőrzésről, a Safe Harbor rendszerről, az adatvédelmi hatóságok függetlenségéről, csakúgy, mint a decemberben véglegesített adatvédelmi reformcsomag. Mégis, egyre gyakrabban érzem úgy, hogy a valós helyzetet inkább a fenti beszélgetés tükrözi: fennáll annak a veszélye, hogy az adatvédelem technicizálódik – és eljelentéktelenedik. A folyamat megértéséhez érdemes röviden számba venni, hogyan változott az adatvédelmi felügyelő hatóságok működése az utóbbi években. Idézzük fel ehhez e hatóságok funkcióit, és ami még fontosabb, az e funkciók között megfigyelhető hangsúlyváltozást.

Az adatvédelmi felügyelő szervezetek első funkciójukban (ezt alapjog-védelminek nevezem) a jogi (és még szélesebb körben a társadalmi) környezetet alakítva lépnek fel a személyes adatok védelméhez és közérdekű adatok nyilvánosságához fűződő alapjog érdekében; másik funkciójukban pedig jogot alkalmaznak. Ombudsmani jogalkalmazás során az ombudsmani eljárásra emlékeztető, egyszerű eljárásban hoznak jogilag nem kötelező erejű állásfoglalásokat/ajánlásokat; hatósági jogalkalmazás keretében pedig a közigazgatási hatósági eljárásra vonatkozó szabályok szerinti formalizált eljárás nyomán kötelező erejű hatósági aktust bocsátanak ki az adatvédelemre és információszabadságra vonatkozó szabályozás érvényre juttatásának érdekében. Ami az alapjogvédelmi funkciót illeti, arra az jellemző, hogy gyakorlása során a felügyelő szervezet alkotmányjogias fogalomrendszert használ, és alkotmányjogi érvelést alkalmaz, aktivista (víziója van a kívánatos állapotról, és annak érdekében tesz), tevékenysége erősen mediatizált, és mindez ahhoz vezet, hogy a szervezet szereplőjévé válhat a politikai térnek is. A jogalkalmazási funkciók megvalósítása során a szervezet az adatvédelemre és információszabadságra vonatkozó törvényeket értelmezi, inkább pozitivista módon; működése kevéssé mediatizált: s az ebben a funkciójában eljárva a felügyelő szerv kevesebb esetben válik a politikai tér szereplőjévé. Míg az aktivista alapjogvédő hatóságok szívesen foglalkoznak alapjogi konfliktusokkal (adatvédelem és más alapjogok egyensúlya, pl. az adatmegőrzés témája, vagy az adatvédelem-adatnyilvánosság konfliktusok), addig a pozitivista jogalkalmazó hatóságok kedvenc témái politikailag semlegesek (bár sokszor nem kevésbé fontosak): az új technológiák (pl. szociális hálók) adatvédelmi kérdései, adatvédelmi szabványosítási törekvések, vagy éppen az adatbiztonság.

Nem nehéz az elmúlt évek fejlődősét úgy leírni, mint ami egyértelműen a jogalkalmazási funkció erősödését, a klasszikus jogvédő funkció gyengülését hozta az adatvédelmi felügyelő szervek működésében. Erre a magyar NAIH megalakulása talán a legjobb példa. A magyar hatóság esetében az új hangsúlyokat tükrözik a jelölés és a választás szabályainak változásai. Míg a korábbi adatvédelmi biztost a köztársasági elnök jelölte, és az országgyűlés kétharmada választotta, így legitimációja elég volt ahhoz, hogy akár a politikai térbe lépve is hatékonyan képviselhesse a rábízott jogokat, addig a NAIH elnöke kevéssé jelentős szereplő: miniszterelnöki jelölése, köztársasági elnöki kinevezése a legitimáció alacsonyabb szintjét eredményezi (amely azonban a magánszférabeli adatkezelők ellenőrzéséhez, a puszta jogalkalmazáshoz épp elegendő). Az alapjogvédelmi funkció szintén gyengült egyes hatáskörök elvonásával: a NAIH – az adatvédelmi biztossal ellentétben – nem fordulhat az Alkotmánybírósághoz. Működése során a magyar felügyelő szerv gyakorlatában uralkodóvá vált a jogpozitivizmus, az új szerepfelfogás szerint „a politika” feladata, hogy megteremtse az információs jogok és más érdekek egyensúlyát. A hatóság saját szerepét abban látja, hogy a politika által kialakított jogszabályok betartását kényszerítse ki.

Ám téves lenne azt gondolni, hogy a magyar példa egyedülálló. Az adatvédelmi felügyelő szervek vezetőinek kiválasztása a már említett Németországtól Kanadáig hasonló irányba mutat: az új kinevezettek másodvonalbeli politikusok, jelentéktelen bürokraták. Míg sok esetben (főképp Kelet-Európában) a jogállami berendezkedés gyengülése, a központi akaratot hatékonyan végrehajtó, fékek és ellensúlyok által nem korlátozott rendszer víziója áll a hatóságok ilyen átalakulása mögött, paradox módon ebbe az irányba hat az európai adatvédelmi modell sikere is. Adatvédelmi törvényeket fogadtak el immár olyan államokban is, amelyek nem tekinthetők jogállamoknak, s amelyekben egy ilyen hatóság tevékenysége szükségszerűen politikailag semleges témákra szorul (lásd pl. Oroszország vagy Macedónia példáját, amely utóbbi államban az adatvédelem állapotát jól jellemzik a közelmúlt lehallgatási botrányai, miközben az ország részletes adatbiztonsági szabályokat tudhat magáénak). Ezt a tendenciát erősíti az EU reformcsomagja is: adatvédelmi rendelet és az új irányelv szerzői inkább unalmas bürokraták voltak, mint alkotmányjogászok; az alapelvek, a fő szabályok terén a szöveg cseppet sem innovatív, ám részletesen rendezi például a data breach notification kérdését, vagy a tanúsítás ügyét. A reformcsomag kiteljesít egy paradigmát, ám nem haladja meg azt.

Abban a kis kelet-európai államban beszélgetőpartnerem már az „új adatvédelem” képviselője volt. „Adatbiztonsággal szeretnénk foglalkozni”, mondta, egy olyan állam tisztviselőjeként, ahol a jogállam ki sem alakulhatott, de az adatvédelem mégis nagy jövő előtt áll. Az, hogy maga a jogállam életképes-e Közép- és Kelet-Európában, adottak-e működéséhez a társadalmi feltételek, mára vitakérdéssé vált. Jogállam híján pedig egyre többen értik majd meg az üzenetet – és megszületik a depolitizált, technicizált, kicsit unalmas új adatvédelem.

Jóri András

Új jogdíjat szedne a kábelszolgáltatóktól a DIGITALFILM Egyesület. Nagy a valószínűsége, hogy az Artisjus és a Filmjus mellett egy új, a szerzők érdekeit képviselő közös jogkezelő is megjelenhet Magyarországon DIGITALFILM Egyesület néven. Az SZTNH már vizsgálja az indulás feltételeinek való megfelelést. Amennyiben a közös jogkezelő működését engedélyezi a hatóság, a korábban benyújtott tarifatáblázat alapján a kábelszolgáltatóknak csatorna- és előfizetőszám alapján kellene jogdíjat fizetniük. A hazai szerzői jogi életben évek óta jelen lévő DIGITALFILM a kábelszolgáltatóktól szedné a jogdíjat, amelynek mértéke csatornánként és előfizetőnként 2-4 forint lenne. Az SZTNH-val folytatott korábbi egyeztetések alapján évi 6,5-7 milliárd forint bevételre számít az egyesület, melynek jelentős részt természetesen továbbítaná a szerzői jogi jogosultaknak. Az újabb közös jogkezelő megjelenése egyúttal aggályos is, hiszen a kábelszolgáltatók az Artisjusnak és a Filmjusnak már fizetnek jogdíjakat, így felmerül a kérdés, hogy a DIGITALFILM jogosult-e ugyanazon a jogcímen jogdíjat szedni. Az SZTNH jóváhagyása esetén nehéz helyzetbe kerülhetnek a kábelszolgáltatók és közvetve az előfizetők, hiszen ha a terjesztők nem tudják levonni a jogdíjat a tévécsatornáknak fizetett műsortovábbítási díjakból, a fejlesztésekre fordítandó összegek csökkentésére, vagy akár a díj előfizetőkre történő áthárítására kényszerülhetnek. (hwsw.hu – http://www.hwsw.hu/hirek/54953/jogdij-tevecsatorna-tv-digitalfilm-tevesz…)

Elkészült az adatvédelmi rendelet végleges változata. A Bizottság, a Tanács és a Parlament hármas egyeztetése (trilogue) nyomán elkészült a rendelet végleges szövege. A reformkezdeményezést még az előző Bizottság indította el 2012-ben, de az uniós csúcsszervek közötti egyetértés mostanra született meg. Az elfogadott szabályozás két fő elemből áll: az általános adatvédelmi rendeletből (General Data Protection Regulation, GDPR), illetve az új adatvédelmi irányelvből (Data Protection Directive, DPD), amely a rendőrség és a bűnüldöző szervek adathozzáférését szabályozza, továbbá megteremti a lehetőséget a tagállami hatóságok közötti hatékonyabb adatmegosztásra és adatigénylésre. A végleges szabályozás kihirdetésétől (amelyre várhatóan 2016 első negyedévében kerül sor) számítva a tagállamoknak két évük lesz arra, hogy azt saját jogrendszerükbe is átültessék. Míg az irányelv esetén szükség lesz tagállami jogba való implementálásra, a rendelet esetében a közvetlen alkalmazhatóság szabályai fognak érvényesülni. (hwsw.hu – http://www.hwsw.hu/hirek/54917/eu-adatvedelem-szabalyozas-keretrendszer….)

Elkészült az első átfogó Uniós hálózat- és információbiztonságról szóló irányelv végleges tervezete. A kritikus infrastruktúrák üzemeltetőire vonatkozó szabályok egységesek lesznek, különös figyelmet fordítva a biztonsági incidensek bejelentésére. Az irányelv hatályba lépését követően a kritikus infrastruktúrák (energiaszektor, szállítás, bankok, pénzügyi szolgáltatók, egészségügy, vízellátók) üzemeltetőire közel azonos tartalmú, IT-biztonsággal kapcsolatos megfelelőségi szabályok fognak vonatkozni. Az üzemeltetőknek a jövőben biztosítaniuk kell, hogy a szolgáltatások komoly támadásoknak is ellenálljanak. Ennek ellenőrzéséről még folynak az egyeztetések a felek között, de szakértők szerint az irányelv részét fogja képezni egy audit keretrendszer is, melynek részleteit a tagállamok saját maguk határozhatják meg. A tagállamok saját hatáskörben dönthetnek majd arról is, hogy mely szolgáltatások és üzemeltetők számítanak kritikusnak. Az irányelv gyakorlati implementációját egy ún. stratégiai együttműködési csoport fogja segíteni, valamint minden tagállamnak létre kell hoznia egy IT-biztonsági incidenseket kezelő csapatot (Computer Security Incidents Response Team, CSIRT) is az ilyen típusú események állami szintű kezelésére. (hwsw.hu – http://www.hwsw.hu/hirek/54890/europai-unio-kiberbiztonsag-szabalyozas-c…)

Két éven belül megszűnnek a roamingdíjak az Európai Unióban. Az Európai Parlament elfogadta azt a jogszabálycsomagot, amely az Unión belül megszünteti a roamingdíjakat és amelyben meghatározták a netsemlegesség szabályait. A díjak két fázisban fognak megszűnni. 2016. április 30-tól egy perc beszélgetés és egy megabyte adatforgalom legfeljebb öt centbe fog kerülni, SMS-enként pedig legfeljebb két centet kérhet el a szolgáltató. 2017. június 15-től ezek a díjak is megszűnnek. A szolgáltatóknak ez egyértelműen bevételkiesés, de kiskaput jelenthet a számukra annak bizonyítása, hogy a roamingdíjak megszűnésével kapcsolatos, újonnan felmerülő költségeket nem tudják fedezni, ezért a belföldi tarifákat kellene emelniük. Ebben az esetben a tagállami hírközlési hatóság engedélyt adhat roamingdíjak felszámítására, legfeljebb a jelenlegi összeggel azonos értékben. A netsemlegességet illetően csomag célja az internetszolgáltatók által a különféle szolgáltatások közötti különbségtétel megakadályozása, amelynek következtében lehetőségük lenne bizonyos tartalmak, appok, vagy szolgáltatások blokkolására vagy lassítására a feladó és fogadó féltől függően. Ettől függetlenül a szolgáltatóknak lehetőségük lesz arra, hogy egyes szolgáltatások igénybevételéhez gyorsabb internetkapcsolatot kínáljanak azzal a feltétellel, hogy az internetszolgáltatás általános minősége ezáltal nem romlik. Ezen felül az ügyfeleket tájékoztatni kell a hirdetésben szereplő értékkel szembeni tényleges le- és feltöltési sávszélességről. Jelentős mértékű eltérés esetén az ügyfél kompenzációra, kárpótlásra jogosult, de akár a szerződést is felmondhatja. (sg.hu – https://sg.hu/cikkek/115485/elfogadtak-az-unios-netsemlegessegi-szabalyo…)

A német országgyűlésben a nagykoalíció megszavazta a telekommunikációs információk megőrzéséről szóló új törvényt. A Német Alkotmánybíróság ezt megelőzően már két alkalommal is megsemmisítette a parlament által elfogadott hasonló jogszabályokat, mindez azonban nem zavarta a CDU/CSU és az SPD képviselőit és elfogadták az új törvényt, amely elsősorban a távközlési szolgáltatókra ró komoly terheket. A jogszabály alapján a telekommunikációs vállalatoknak és az internetszolgáltatóknak minden előfizető adatait tárolniuk kell, függetlenül attól, hogy kapcsolatba hozhatók-e bármilyen bűncselekménnyel. Az adatmegőrzés ideje tíz hét lesz. Az adatok köréhez tartoznak a hívott telefonszámok, az SMS-ek tartalma és a használt IP-címek egyaránt. A mobilszolgáltatások információit négy héten keresztül kell tárolni. Az e-mailek tartalma nem kerül rögzítésre. A parlament úgy döntött, hogy a törvényt, valamint annak alkalmazhatóságát később, gyakorlati tapasztalatokra támaszkodva fogják kiértékelni. A koalíció szerint a törvény összhangban van a Német Alkotmánybíróság és az Európai Unió Bíróságának korábbi döntéseivel, ajánlásaival. Szakmai szervezetek ugyanakkor kritizálják a jogszabály elfogadásának körülményeit: egyrészt a kívánt nyomozati sikerek nem feltétlenül teszik jogossá az állampolgárok életébe történő ilyen mértékű beavatkozást, másrészt a törvény elfogadását nem előzte meg megfelelő szakmai párbeszéd. (sg.hu – https://sg.hu/cikkek/115316/nemetorszag-harmadszor-is-jon-a-tavkozlesi-a…)

Alapvető emberi jog a Youtube-hozzáférés. Ítéletet hozott az Emberi Jogok Európai Bírósága Törökország internetcenzúrájával kapcsolatban. A bíróság szerint Törökország emberi jogokat sértett azzal, hogy 2008 májusa és 2010 októbere között országszerte blokkolta a helyi számítógépeken a Youtube videómegosztó portálhoz való hozzáférést. Az intézkedés mögött az az indok állt, hogy egyes felvételek sértették az államalapító Mustafa Kemal Atatürköt. Hasonló sértő tartalom esetén törvény alapján lehetőség van a sértő tartalmú honlap azonnali törlésére. Török szekértők, valamint a török bíróság szerint a törvény az emberek információhoz való hozzáféréséhez, valamint azok megosztásához való jog korlátozásával sérti a szabad véleménynyilvánításhoz fűződő jogot, amely az Emberi Jogok Európai Európai Egyezményének is része (10. cikk). Ezzel szemben RECEP TAYYIP ERDOGAN török miniszterelnök 2014 márciusában kijelentette, hogy minden eddiginél komolyabb cenzúrát vezet be, melyet a következőkkel indokolt: „Nem fogom hagyni, hogy nemzetünk a Facebook és a YouTube áldozata legyen”, mert a szolgáltatásokat arra használják fel idegen hatalmak, hogy ártsanak az országnak. (sg.hu – https://sg.hu/cikkek/116161/a-youtube-hozzaferes-emberi-jog)

Véget ért az NSA féktelen adatgyűjtése. A jövőben bírósági engedélyre lesz szüksége az NSA-nek saját állampolgárai megfigyeléséhez. Az NSA jogainak jelentős mértékű csökkentését jelenti a tömeges, engedély nélküli megfigyelések gyakorlatának betiltása. A jövőben kizárólag akkor lesz lehetőség egy a kívánt telefonos adatok megszerzésére, ha azok kikérését egy speciális bíróság előzetesen jóváhagyja. A kikért adatokat ezt követően legfeljebb 6 hónapig őrizhetik meg. Az adatok megőrzése továbbra is kötelező a szolgáltatók számára, hiszen adott esetben ők továbbítják azokat az NSA-nek, de ezt követően ez nem lesz automatikus művelet, vagyis a nemzetbiztonsági szakemberek nem azonnal fogják látni a telefonszámokat és a hívások hosszát. Az NSA jelezte, hogy az átállás nem lesz problémamentes, ezért a meglévő adatokat február végéig nem törölné. A döntés nem érinti a külföldi információszerzést és az internetes adatgyűjtést (például a PRISM programot), csak a belföldi adatgyűjtést. (sg.hu – https://sg.hu/cikkek/116166/veget-ert-az-nsa-tomeges-adatgyujtese)

Változtak az érintett igények teljesítésére vonatkozó határidők az Infotv-ben. A törvény 15. § (4) bekezdés és 18. § (2) bekezdésének módosítása miatt 30 napról 25 napra rövidült 2016. január 1-jével az az érintettek tájékoztatására, továbbá helyesbítés, zárolás vagy törlés iránti kérelmeik teljesítésére (vagy megtagadására) az adatkezelők rendelkezésére álló határidő. Az öt napos határidő csökkenés mellett az adatkezelési tájékoztatók vonatkozó részeit is módosítani kell. A módosítás indokaként annak benyújtója a következő indokolást tette közzé: „Az információs önrendelkezési és az információszabadságról szóló 2011. évi CXII. törvény 15. § (4) bekezdésében és 18. § (2) bekezdésében az adatkezelő számára adatkezeléssel, adatfeldolgozással, adattovábbítással, továbbá adathelyesbítés, adatzárolás vagy adattörlés iránti kérelem elutasításával kapcsolatos tájékoztatás megadására meghatározott határidő indokolatlanul hosszú. Az ügyintézés során lefolytatandó eljárási cselekmények figyelembevételével a tájékoztatás megadására elegendő a módosításban meghatározott határidő.” (twobirdsideas.hu – http://twobirdsideas.hu/2015/12/04/januar-1-jevel-szigorodnak-az-erintet…)

Az Európai Bizottság több jogszabályi javaslat és nem jogalkotói kezdeményezés előterjesztésével hozzákezdett a digitális belső piaci stratégia végrehajtásához. Az első digitális egységes piaci csomagot a szerzői jogok modernizálásáról szóló cselekvési terv fogja teljessé tenni. A javaslatok célja a fogyasztók és az üzleti vállalkozások internetes tartalomhoz, termékekhez és szolgáltatásokhoz való hozzáférés minőségének páneurópai szintű javítása. A stratégia részét képezi többek között a digitális szerződések esetén a fogyasztók magasabb fokú védelme, illetve az online tartalmak határokon átnyúló hordozhatóságának javítása, hogy az uniós polgárok külföldön is hozzáférjenek meghatározott online tartalmakhoz. Utóbbi uniós fogyasztói joggá válása 2017-ben valósulhat meg. A Bizottság hasonlóan fontos kérdésként kezeli a digitális tartalom szolgáltatását, valamint az áruk online értékesítését, melyek kapcsán a fogyasztói szerződési jog bővítését és harmonizálását, valamint a más országokból megvalósuló online vásárlás iránti fogyasztói bizalom növelését tűzte ki célul. A Bizottság további célja a szerződéses szabályok magas szintű harmonizációja annak érdekében, hogy a vállalkozások ne eltérő szabályok alapján szolgáltathassanak digitális tartalmat és értékesíthessenek árucikkeket az interneten a fogyasztók számára. (bruxinfo.hu – http://bruxinfo.hu/cikk/20151209-az-eu-hozzafog-a-digitalis-hatarok-lebo…)

Véglegesítették az EU-intézmények közötti egyeztetésben körvonalazódott kompromisszumot a légiutas-nyilvántartási irányelvről (PNR). A – nagy valószínűséggel – közeljövőben elfogadásra kerülő jogszabály, amelynek megszületéséhez mindegyik félnek (Tanács, EP, Bizottság) komoly engedményeket kellett tennie, az EU-külső és belső járataira egyaránt vonatkozni fog, a PNR adatokat pedig titkosítás nélkül fél évig teszik elérhetővé a hatóságok számára. A november 13-i párizsi terrorista merénylet jelentős mértékű lökést adott a feleknek. A tragédia után a tagországok kormányai – különösen a francia kabinet –kategorikus igényként fogalmazták meg a szigorított PNR irányelv még 2015. évi elfogadását, jelezve, hogy ellenkező esetben a francia kormány saját kézbe veszi az utasadatok kezelésének szabályozását. A cselekvési kényszer válaszút elé állította a feleket: “a tét nem az, hogy lesz, vagy nem lesz PNR, hanem az, hogy vajon csak egy lesz EU-szinten, vagy 28 különféle tagállami szinteken” /Kirkhope/. További következmény, hogy az Európai Unión belüli járatok is – tagállami döntéstől függően – az irányelv hatálya alá kerülhetnek. Az adatok titkosítás nélküli megőrzése és elérhetősége hat hónap lesz, majd ezt követően az utasadatok további 4,5 évig még elérhetők lesznek titkosított formában, ezért a rendőrségnek ez idő alatt a tagállami adathozzáférési szabályok alapján kell a hozzáférést kezdeményezni. Felkai László, a BM közigazgatási államtitkára a szerint Magyarországon már áprilisban működni fog a légiutas-adatnyilvántartási rendszer, első körben a harmadik országból hazánkba érkező járatok viszonylatában (tehát az EU-n belüli járatok esetében még nem). Magyarországon a Szervezett Bűnözés elleni Koordinációs Központhoz futnak majd be a légitársaságoktól az utasok adatai. (bruxinfo.hu – http://bruxinfo.hu/cikk/20151204-megvan-a-politikai-megallapodas-a-pnr-r…)