A nemzetbiztonsági szolgálatok és az Ügyfélkapu
A még alig néhány hónapja hivatalban lévő adatvédelmi biztos kiemelt figyelmet fordít az internetes, illetve a számítástechnikával összefüggő adatbiztonságra, ezért motivációiról, valamint terveiről kérdeztük.
Jóri András
IT café: Azt hiszem, nyugodtan kijelenthetjük, hogy megválasztása óta nem tétlenkedik, szinte hetente hallani arról, hogy újabb és újabb adatvédelmi problémákra hívja fel a figyelmet, vizsgálatokat indít, jogszabályok felülvizsgálatát kezdeményezi. Ezek közül igen érdekes az a néhány héttel ezelőtti javaslata, melyben a nemzetbiztonsági szolgálatok megfigyelési szabályozásának hiányosságaira figyelmeztetett.
Jóri András: Ebben az esetben a nemzetbiztonsági szolgálatok külső engedélyhez kötött titkos információgyűjtését vizsgáltam meg. Nekik egyébként vannak más típusú információgyűjtési módszereik is, illetve más tevékenységeik is, melyeket később szintén meg kívánok vizsgálni, ám az említett szűkebb kör talán a legérdekesebb és legbonyolultabb, mivel ezek a legérzékenyebb területek. Ide tartozik a titkos házkutatás, a telefonlehallgatás, valamint a törvény kissé homályosan fogalmazott szövege szerint az ezeket helyettesítő titkos megfigyelések. Vagyis azok a tevékenységek, amikor a szolgálatok mélyen beavatkoznak a magánszférába. Ezek engedélyköteles eljárások, s engedélyért vagy az igazságügyi és rendészeti miniszterhez, vagy a Fővárosi Bírósághoz kell fordulni.
(Szeged, 1972)
Jogász, ügyvéd, adatvédelmi ombudsman.
Jogi diplomáját az ELTE Állam- és Jogtudományi Karán szerezte, rendelkezik rendszerinformatikus felsőfokú szakképesítéssel is (ELTE TTK). PhD-abszolutóriumot szerzett, doktori eljárása folyamatban van.
Diplomájának megszerzése után az adatvédelmi ombudsman hivatalában dolgozott adatvédelmi szakértőként. Szakvizsgájának megszerzése után ügyvédként helyezkedett el. Szakterülete az adatvédelem, a társasági jog, a gazdasági jog és az informatikai jog volt, emellett tagja volt az Internetszolgáltatók Tanácsa és a Jogi Tanácsadó Testületének, ahol feladatkörében a .hu domainnevekkel kapcsolatos jogvitákban döntött. Ügyvédi munkája mellett a Pécsi Tudományegyetem infokommunikációs szakjogász képzésén oktatási feladatokat vállalt. Több adatvédelemmel és informatikával foglalkozó szakfolyóirat szerkesztője (Informatika és jog, Dataprotection.eu és a Jogi Fórum adatvédelmi oldalai).
2008-ban Sólyom László köztársasági elnök az adatvédelmi biztos pozíciójára jelölte. Az Országgyűlés 306 igen és 40 nem szavazat ellenében megválasztotta országgyűlési biztossá. E minőségében a személyes adatok védelméről, a közérdekű adatok nyilvánosságáról szóló jogszabályok érvényesülését felügyeli, javaslatot tehet az államtitkok, szolgálati titkok minősítésének feloldására, és képviseli Magyarországot az EU adatvédelmi együttműködési fórumain.
A vizsgálat több érdekes eredményt is hozott, de ami az IT café olvasóit igazán érdekelheti, azok az IT-vonatkozású, az online tevékenységekhez kapcsolódó megállapítások. Itt azzal találkoztunk, hogy az engedélyekhez nem kötött megfigyelések szabályozásában létezik egy olyan pont, mely megengedi, hogy a szolgálat „hírközlési adatállományokból adatokat gyűjthessen”, s ide akár az online házkutatást is beleérthetjük.
Ez nem egyértelmű, nem világos, s ezért az a véleményem, hogy ezt a szabálymegfogalmazást egyértelműsíteni kell – már ha a jogalkotó egyáltalán úgy gondolja, hogy ezt meg kell engednie. Ha az online házkutatás Magyarországon törvényes tevékenységgé válik, akkor a német példát követve be kell sorolni a külső engedélyhez kötött tevékenységek közé, hogy megszűnjön a jogbizonytalanság.
A vizsgálat esetében egyébként problematikusnak találtam azt is, hogy osztott az engedélyezési eljárás – miniszter, illetve bíróság –, vagyis a megrendelő befolyásolja azt, hogy ki lesz az engedély kiadója. Ugyancsak aggályos az is, hogy az utólagos jogorvoslat lehetősége nem adott, a bíróság által kiadott engedélyeket senki nem vizsgálhatja felül később, még a parlament Nemzetbiztonsági Bizottsága sem. E problémák megoldására tettem ajánlásokat márciusban a megfelelő fórumokon.
IT café: Mi a helyzet az Ügyfélkapu ügyével? Az év elején komoly visszhangot keltett az eset, hiszen komoly „adatbiztonsági eseménynek” tekinthető, s ön is roppant aktív módon kezdett el vizsgálódni már a kezdetektől fogva.
Jóri András: Márciusban már rendelkezésre álltak dokumentumok, melyeket az érintettektől megkaptunk, de nem minden, s azt is el kell mondanom, hogy egy kissé készségesebb együttműködést kérnék számon a hivatalokon, egy kissé gyorsabb adatszolgáltatást, mivel különféle bürokratikus kifogásokra alapozva lassították az vizsgálatot. Egyébként is szeretném felgyorsítani az eljárásokat. Nem tartom jó módszernek például a levelezgetést, amikor hetek telnek el, s még mindig csak egyeztetünk, s érdemi előrelépés nem történik. Emiatt forszíroztam – s a jövőben is így teszek – a helyszíni vizsgálatokat. Erre a törvény felhatalmazza a biztost, csak ezt korábban kevésszer alkalmazták. Egy kritikus esetnél az azonnali személyes jelenlét sokat jelenthet. Ez persze nem azt jelenti, hogy én magam végzem a teljes munkát, nem, a biztos kollégái a megfelelő protokoll szerint ott azonnal elkezdik az információkat, dokumentumokat begyűjteni, majd itt a hivatalban alapos elemzésnek vetik alá.
Az Ügyfélkapu esetében is igyekeztem így eljárni, de talán ez nem volt elégséges súlyú. A dokumentumok jó részét megkaptuk, elemezzük őket – készült korábban egy belső kormányzati vizsgálat is, ennek megállapításait is figyelemben vesszük, de nem feltétlenül –, s ha szükséges, külső szakértőket is bevonunk az informatikai szakterület vizsgálatára. A munkánk első része, hogy megállapítsuk: mi történt. Ezt követi a jogi háttér feltárása – e területen a biztosi hivatal az elmúlt évek feladatai következtében nagy szakértelemmel és rutinnal rendelkezik –, majd pedig, s ez némileg újdonság, az auditor végzettségű informatikai szakértők bevonása.
Úgy látom, az Ügyfélkapu ügye lesz a „lakmuszpapír”, hogy képes leszek-e e területen előrelépni, vagyis nem csak érvényesíteni kívánom az adatvédelmi biztos jogát arra, hogy bárhová beléphet, bármilyen adatot kikérhet, ha az adatbiztonságot veszélyeztető eseményről van tudomása, hanem azt is természetessé kívánom tenni, hogy ezeket a vizsgáltatokat gyorsan és hatékonyan végezhessük el.
A cikk még nem ért véget, kérlek, lapozz!
