Hétpecsét Információbiztonsági Egyesület

KÉMKEDHET-E UTÁNUNK AZ ÁLLAM A KORONAVÍRUS-JÁRVÁNYRA HIVATKOZVA?

Az utóbbi hetekben a koronavírus-járvány terjedése és az úgynevezett felhatalmazási törvény tartotta lázban a közvéleményt, közben pedig gyakorlatilag észrevétlen maradt a március 16-án kiadott egyik járványügyi kormányrendelet adatvédelmet érintő paragrafusa, amely Palkovics László innovációs és technológiai miniszternek gyakorlatilag szabad kezet ad. Ahogy a jogszabály fogalmaz:

„a miniszter… a humánjárvány megelőzése, illetve következményeinek elhárítása, a magyar állampolgárok egészségének és életének megóvása érdekében, a járvány terjedésének modellezése, elemzése céljából jogosult bármely rendelkezésre álló adat megismerésére, kezelésére.”

Ennek érdekében pedig az ITM adatkéréseit az állami és önkormányzati szervek, a gazdálkodó szervezetek és magánszemélyek is kötelesek teljesíteni.

Nem egyedülálló az ilyesmi, pláne vírus idején

Ahogy arra a Politico is rámutatott, az adatvédelemben eddig élharcosnak számító EU-ban a vezetők a járvány árnyékában arra kértek telekommunikációs cégeket, hogy osszák meg felhasználóik helyadatait a koronavírus terjedésének megállítása érdekében. Ennél is tovább ment az Európai Bizottság, ami az összegyűjtött anonimizált adatok központosítását kérte, mások mellett olyan nagy szolgáltatóktól, mint a Deutsche Telekom vagy az Orange.

Beszédes egyébként, hogy az Európai Bíróság a telekommunikációs metaadatok megőrzését előíró korábbi EU-s irányelvet az adatvédelemhez való jog aránytalan sérelme miatt még 2014-ben megsemmisítette, de például Magyarország azóta sem helyezte hatályon kívül az ezt átültető törvényt:

a különböző metaadatokat (ki, honnan, mikor, milyen időtartamban telefonált, milyen IP-címről böngészett, stb.) fél-egy évig meg kell őrizniük a szolgáltatóknak továbbra is, tehát Palkovicsnak bőven van mit kikérnie.

Csupán járványügyi szempontból a lakosság minél alaposabb ellenőrzése persze segíti a fertőzés megfékezését. Sőt, epidemológusok Európában is a Kínában és Dél-Koreában már bevetett telefonos alkalmazások használatát javasolják, amikkel a fertőzöttek minden lépését követni lehet, és azt is, kikkel találkoztak. Az Azonnalin arról is írtunk: Izraelben mindenkinek a telefonját megfigyelik, akiknek pozitív lett a koronavírus-tesztjük, Ausztriában pedig önként visszamenőlegesen átadja a felhasználóik mozgására vonatkozó adatokat a kormánynak az egyik szolgáltató.

Sune Lehmann Jørgensen, a Dán Műszaki Egyetem professzora egyenesen odáig ment, hogy kijelentette: „a legjobb az lenne, ha mindenki ugyanolyan alkalmazást használna. De nem egyszerűen globális megfigyelésre van szükségünk. A szeptember 11-i terrortámadások tapasztalatai azt mutatják, hogy krízishelyzetben lehetőségünk van jogkorlátozásra”.

Ezek után a magyar kormányrendelet megjelenése sem meglepő, és még kirívónak sem lehet nevezni. Ugyanakkor a jogszabály szövege több kérdést sem tisztáz. Egyrészt nem világos, hogy mit ért a jogszabályalkotó „bármely adat” alatt, illetve az időbeli korlátot sem lehet feltétlenül látni. Remport Ádám, a TASZ jogásza is ezt jegyezte meg, mikor az Azonnali a rendeletről kérdezte.

„Ahogy a rendelet írja, »élet- és vagyonbiztonságot veszélyeztető tömeges megbetegedést okozó humánjárvány megelőzése, illetve következményeinek elhárítása, a magyar állampolgárok egészségének és életének megóvása érdekében, a járvány terjedésének modellezése, elemzése céljából« van lehetőség adatok kikérésére. Ez a korlátozás a humánjárvány »következményeinek elhárítása« kitétel miatt problémás, mert ez bizonyos körben parttalanná teszi.

A gazdasági károk helyreállítása is a járvány következményeinek elhárítása? Vagy pontosan hol van ennek a határa? Ezt nem tudjuk, tág értelmezést tesz lehetővé a megfogalmazás”

– mondta megkeresésünkre a jogvédő.

A kormány nem egyeztet, de ez nem baj

Hogy tiszta vizet önthessünk a pohárba, kérdéseinkkel az adatvédelemben leginkább illetékest, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnökét, Péterfalvi Attilát is megkerestük. A hatóságnak ugyanis az a dolga, hogy az adatvédelemhez fűződő jog érvényesülése felett őrködjön, ezért a hatóság elnökétől többek között azt akartuk megtudni, milyen tanácsokkal segítette a kormányt a rendelet megalkotásakor. Mint megtudtuk: semmilyennel.

„Nem az első és valószínűleg nem is az utolsó alkalom, hogy nem egyeztetett a kormány a NAIH-hal egy rendeletről, de ha ki is kérték volna a véleményünket, nem tettünk volna kritikai megjegyzést”

– mondta el az Azonnalinak Péterfalvi.

A NAIH elnöke szerint azonban emiatt nem lehet szemrehányást tenni a kormánynak, elvégre veszélyhelyzetben gyors döntésekre van szükség, ami miatt a véleményezésre nem juthat idő. Ugyanezzel indokolta azt is, miért nem tartja problémásnak, hogy Palkovics László a jogszabály alkalmazásakor sem kéri ki a véleményét.

„Jelenleg ez sem várható el. Veszélyhelyzeten kívül a jogszabályokat véleményezni kell, de most a döntések eredményessége érdekében gyorsabban kell cselekedni. Amikor azonnali intézkedésekre van szükség, ez egy védhető álláspont” – tette hozzá, mikor arról kérdeztük: legalább a gyakorlatban, az adatok kikérése kapcsán adott-e bármilyen útmutatást a miniszternek.

PÉTERFALVI ATTILÁT NEM ZAVARJA, HOGY IGNORÁLJA A KORMÁNY / FOTÓ: SPORTJUS, FACEBOOK

Veszélyhelyzetben sem szabad mindent

Tény, hogy különleges jogrend esetén akár a szükségesség és arányossági mértéken túl is korlátozható az alapjogok nagy többsége, így az adatvédelemhez fűződő jog is. Csakhogy – ahogy arra fentebb a TASZ jogásza már utalt – úgy tűnik, ennek nincsenek világos határok kijelölve. Szerinte a jogkorlátozás veszélyhelyzetben megengedett mértékével kapcsolatban az Alaptörvény jogállamiságklauzulája lehet irányadó.

„Az Alaptörvénynek az alkalmazása nem függeszthető fel, így a jogállamisági klauzula sem, ami viszont azt jelenti, hogy a mérce nélküli korlátozás elképzelhetetlen.

A mi értelmezésünkben különleges jogrendben a veszély hatékony elhárítása céljából lehet a szükségességi-arányossági tesztnél nagyobb mértékben korlátozni vagy felfüggeszteni alapjogokat. Egy korlát tehát a legitim cél: csak olyan korlátozás lehet alkotmányos, amely a veszélyhelyzet leküzdését célozza, azzal racionális, észszerű kapcsolatba hozható. A jogállamiság követelményéből fakad az is, hogy az igénybe vett eszköz nem lehet szélsőségesen aránytalan” – fogalmazott Remport. Hozzátette: az Emberi Jogok Európai Bírósága (ez a strasbourgi székhelyű intézmény nem EU-s szerv, hanem a tágabb Európa Tanács égisze alatt működik – a szerk.) gyakorlata alapján a különleges jogrend a demokratikus berendezkedést védi, és nem felszámolja, illetve minden kérdéses adatvédelmi esetet külön-külön kell kivizsgálni.

A TASZ-os Remport Ádám szerint nem kell attól tartanunk, hogy a „bármely adat” megfogalmazás a rendeletben arra utal, hogy az ITM-ben nyakló nélkül gyűjthetnek majd rólunk bármit.

„Azokat az adatokat, amelyeknek nyilvánvalóan semmi közük a veszély leküzdéséhez, nem lehet megosztani, mert ez az információs önrendelkezéshez való jog legitim céllal nem igazolt korlátozása lenne. Ebben a körben magának a rendeletnek a szövegére is lehet hivatkozni, amely deklarálja a járványügyi célhoz kötött adatkezelést” – mondta.

Péterfalvi Attila is kiemelte: a rendelettel kapcsolatban fontos, hogy minden adatkérésnek „célhoz kötöttnek kell lennie”. Igen ám, de

hogyan győződhetünk meg róla, hogy az ITM valóban csak a hatékony járványügyi intézkedések érdekében használta fel az adatainkat?

„Utólag az adatkezelőnek, vagyis a minisztériumnak erről tájékoztatást kell adnia. Az ellenőrzést elvégezheti az Országgyűlés, a NAIH, de akár az érintettek is”, ez a GDPR-előírásokhoz tartozik – mondta Péterfalvi. Ez utóbbi azt jelenti, hogy amíg arról külön jogszabály nem születik, addig a jelenleg is hatályos Infotörvény alapján mindenkinek joga van megtudni a minisztériumtól, hogy milyen adatát és milyen célból használták fel.

Péterfalvi azonban azt sem tartaná túlzásnak, ha az érintetti jogokat is korlátoznák jelen helyzetben, vagyis azt, hogy valaki megtudja: ki, milyen adatát, milyen célra kérte ki vagy kezelte. „Szerintem indokolt lehet egy ilyen korlátozás, mert mindennél fontosabb most a járvány megfékezése. Erről azonban külön jogszabálynak kell szólnia” – mondta az Azonnalinak.

Akkor is gyűjthetik az adataidat, ha nem vagy koronavírusos

Fontos megjegyezni, hogy a rendelet az adatgyűjtést mindenkire kiterjeszti – tehát nemcsak a már esetleg koronavírusos megbetegedéssel diagnosztizáltakról vagy családtagjaikról kérhet adatokat az ITM. Péterfalvi szerint ugyanakkor a célhoz kötöttség és az adatminimalizálás elve, vagyis, hogy az adott célhoz szükséges legkevesebb adatot kezeljék, ekkor is a felhasználókat segíti.

Jogsértés azonban most is előfordulhat. Ez esetben pedig kérdés, hova lehet fordulni jogorvoslatért, hiszen a bíróságokon ítélkezési szünetet rendeltek el.

„Adatkezeléssel kapcsolatban a NAIH marad mint lehetőség: vizsgálatot lehet kérni bármilyen rendszerszintű probléma miatt, illetve egyéni jogsérelem esetén hatósági eljárást lehet kezdeményezni” – mondta ezzel kapcsolatban a TASZ-os Remport Ádám. Az Alkotmánybíróság két úton marad elérhető: akinek alapvető jogát közvetlenül sérti egy jogi norma, az a hatálybalépéstől számított 180 napon belül tehet alkotmányjogi panaszt. Az alapvető jogok biztosa szintén az fordulhat absztrakt normakontrollért az Alkotmánybírósághoz, akár beadvány alapján is, de erre nem köteles. Ráadásul – ezt már mi tesszük hozzá – egyébként sem az alkotmányjogi panasz, sem az absztrakt normakontroll esetén nem köti konkrét határidő az Alkotmánybíróságot.

Mit tudhat meg rólunk az állam jogszerűen?

Az, hogy Palkovics miniszter „bármely adatot” megismerhet ugyan baljóslatúnak tűnik,

arról a NAIH elnöke szerint nincs szó, hogy akár magánbeszélgetéseket is lehallgassanak a járvány hatékony kezelésére hivatkozva.

„Erre nézve a szükségesség-arányosság követelménye irányadó, ez adja a korlátokat. Személyes beszélgetések, levelezések a rendelet alapján nem megismerhetők, erről külön jogszabály szól. A cellainformációk megadása belefér. Tehát a karantén megszegésének a korlátozására alkalmas a rendelet, és ez nem is aránytalan. Erre az Európai Adatvédelmi Testület március 19-i nyilatkozata is utal. Nem anonimizált cellainformáció tehát megadható, de ezeket az adatkéréseket is mind meg kell indokolni” – mondta Péterfalvi Attila.

A minisztérium elsősorban a minél pontosabb tartózkodási helyünkre lehet kíváncsi, ami a karanténintézkedések és az egyéb kijárási korlátozások esetén valóban fontos információ.

Törlik-e majd az adatokat, ha megszűnik a veszélyhelyzet?

Ezen felül bármilyen, most gyűjtött adatot a veszélyhelyzet megszűnése után törölnie kell a minisztériumnak. Sőt, most is kérhetjük, hogy a rólunk gyűjtött adatokat töröljék – csak éppen nem fogják.


„Törölni kell külön kérés nélkül is. A jogszabály hatálya és célhoz kötöttsége alapján, ha megszűnik a cél, akkor az adatkezelést is meg kell szüntetni. Az érintetti jogok gyakorlása alapján kérni lehet, hogy töröljék ezeket. De mivel a jogszabály kötelező adatkezelést ír elő, nem fogják – és jogszerűen tesznek így” – mondta erről Péterfalvi.


Remport Ádám pedig arra hívta fel a figyelmet, hogy külön törvény alapján azonban lehetne a most gyűjtött adatokat akár később is használni.

Ezen adatok egy jelentős részének a kezelésére veszélyhelyzeten kívül, törvényben is fel lehet hatalmazni egy szervet,

például az anonimizált cellainformációkéra aggregált statisztikák készítéséhez. Ezért ha születne ilyen törvény, pontos garanciákkal, a járványügyi célt figyelemben tartva, a személyes adatokat anonimizálva, akkor ennek a keretei között lehetne az adatokat tovább kezelni. Azonban amely adatokra a törvény hatálya nem terjedne ki, amint a veszélyhelyzeti kormányrendelet a hatályát veszti és az adatkezelés jogalapja megszűnik, azon adatokat majd törölni kell – magyarázta a TASZ jogásza.

Kell-e akkor félni a megfigyeléstől?

Lényegében tehát valóban széleskörű felhatalmazást kapott az ITM az adatainkhoz való hozzáférésre – bár a tartózkodási hely meghatározásának lehetősége a kijárási korlátozások betartatása miatt hasznos információ lehet. (Hogy ezeket mennyire vasmarokkal célszerű betartatni, az már jogszociológiai kérdés, erről itt olvashatsz bővebben.)

Ha ennél is tovább menne a kormány, azt mindenképpen újabb jogszabályok megalkotásával kellene véghez vinnie, de a GDPR és különösen a szükséges és arányos jogkorlátozás elve továbbra is kötné, így elvileg nehéz elképzelni, hogy a magánbeszélgetések tartalmához akár a járvány súlyosbodása esetén hozzáférést engednének.

Elvileg. A gyakorlattal kapcsolatban persze megkerestük azokat is, akik konkrétan alkalmazni fogják a szóban forgó kormányrendeletet, de ettől nem lettünk okosabbak.

Se az ITM, se a mobilszolgáltatók nem válaszoltak érdemben a kérdéseinkre

Elsősorban a három nagy hazai mobilszolgáltató – a Vodafone, a Telekom és a Telenor – láthatja el adatokkal az ITM-et, ezért őket is megkerestük. Kérdéseinkre egyedül a Vodafone-tól kaptunk választ.

A mobilszolgáltatóktól például azt szerettük volna megtudni, hogy a rendelet március közepi hatályba lépése óta mennyi és milyen adatot kért tőlük az ITM az új kormányrendeletre és a járványügyi helyzetre hivatkozva, és megnövekedett-e kormányzati érdeklődés az utóbbi hetekben az ügyfeleik adatai iránt.

Az egyedüliként válaszoló Vodafone sajtóosztálya is kikerülte konkrét kérdést, és csak azt válaszolta:

készen állnak a hatóságoknak segíteni a koronavírus terjedése elleni intézkedésekben,

ami azt jelenti, hogy a cég „vírusterjedési szimulációkkal, összesített helymeghatározási- és mobilitási adataival támogathatja a kormányzati döntések meghozatalát, valamint adattudományos tanácsadási támogatást is nyújthat, többek között a tudományos közösségek számára”. Hozzátették, hogy mindenkor a hatályos jogszabályok szerint járnak el, és a veszélyhelyzet fennállásáig elsősorban anonim és összesített adatokkal segítik a hatóságok munkáját.

A Telenor és a Telekom ígéretük ellenére végül a cikk elkészültéig nem küldték el válaszaikat.

Ahogy

az Innovációs és Technológiai Minisztériumot is hiába kerestük: nem árulták el, milyen adatokra tartanak igényt a járvány megfékezése érdekében,

milyen mennyiségben és kiktől kértek adatokat, illetve hogyan kívánják biztosítani az adatgyűjtés átláthatóságát.

Szerző: Bakó Bea & Győri Boldizsár & Galavits Patrik

2020. április 1. szerda, 07:05

https://azonnali.hu/cikk/20200401_kemkedhet-e-utanunk-az-allam-a-koronavirus-jarvanyra-hivatkozva

Megtekintés: 1078