Mostanság csak úgy forr a levegő az adatvédelmi biztos körül. A Jogi Fórum újságírója Dr. Jóri András, adatvédelmi biztost kérdezte a hazánkban kialakult helyzetről, lehetséges alternatívákról és további – az adatvédelem területén – aktuális kérdésekről.

Mostanság csak úgy forr a levegő az adatvédelmi biztos körül. Hogy éli meg Ön a kialakult helyzetet? Jelent ez valamit a Hivatal munkájában?

Ami a nagy sajtónyilvánosságot kapott ügyeket, így a szociális konzultációt illeti, ezeket szakmai-jogi kérdésnek fogom fel, és igyekszem mindig olyan álláspontot kialakítani, amely jogilag helyes, adott esetben akár bíróság előtt is védhető. Munkatársaim változatlan odaadással dolgoznak ezeken a szakmai feladatokon – az más kérdés, hogy sokan kénytelenek elhagyni a hivatalt, mert egzisztenciális okokból nem engedhetik meg maguknak az év végéig tartó bizonytalanságot.

Az új Alkotmány előkészítése során véleményt küldött az Alkotmány-előkészítő eseti bizottságnak, amelyben egy alternatív koncepcióként vázolta az információs biztos intézményét. Mi lett volna (sajnos így feltételes módban) ennek az intézménynek a lényege és miért lenne jelentős a bevezetése?

A lényeg az volt, hogy végezzük el a két fontos változtatást: kapjon a biztos bírságolási jogkört, és válasszuk le az ombudsman-intézményről. (Fontos kiemelni: az adatvédelmi biztos kezdettől nem ombudsman-intézmény. Ugyanis nem minden parlamenti biztos ombudsman: az ombudsmannak például soha nincsenek hatósági hatáskörei, ám ez az európai parlamenti adatvédelmi biztosoknál általános. Sokan még a területtel foglalkozók közül is ombudsmanként emlegetik az adatvédelmi biztost, holott kezdettől vannak hatósági hatáskörei, és ezek fokozatosan erősödtek, tehát jelenleg sem tisztán ombudsman típusú intézményről van szó.) Az intézmény új elnevezése azt fejezte volna ki, hogy az adatvédelem mellett az információszabadságért, az adatok nyilvánosságáért is fokozott felelősséggel tartozik: sokáig ugyanis előtérbe került az adatvédelem. A koncepcióm mindkét eleme megvalósult, ám mindkét eleme rosszul: a 10 milliós bírságküszöb nevetségesen alacsony, az ombudsmani hivatalról történő leválasztás pedig egyben az intézmény függetlenségének erőteljes csökkenéséhez vezet, amit ráadásul a jelenlegi intézmény függetlenségét semmibe véve, európai jogot sértő módon valósítanak meg.

Egyébként – a beküldött véleményen túl – egyeztettek bármiben is Önnel, illetve Hivatalával? Esetleg kikérték a véleményét, szakmai tanácsát egyes kodifikációs kérdésekben?

A Salamon-bizottságnak küldött véleményen túl csak a közigazgatási egyeztetés keretében küldték meg a szöveget, egynapos véleményezési határidővel. Erre tettünk is előbb 41, majd 26 észrevételt, amelyek közül egyes technikai jellegűeket fogadtak meg. Ezen kívül felszólaltam az új adatvédelmi törvény általános vitájában, illetőleg az Alaptörvény vitájában is a parlament plenáris ülésén, valamint az illetékes bizottságoknak, a parlamenti frakcióvezetőknek is eljuttattam az álláspontomat.

Ha már Alaptörvény: hogyan értékeli végül is a január 1-jétől hatályba lépő jogszabályt?

Csak az információs jogokról mondanék véleményt: az Alaptörvény az adatvédelem és az információszabadság felügyeletét „független hatóságra” bízza. Sokan azt gondolják, hogy ez új hatóság, ugyanakkor fontos tudni, hogy a „független hatóság” kifejezés az EU adatvédelmi irányelvében és az Alapjogi Kartában használt fogalom. Az EU irányelv szerint az adatvédelem érvényesülése fölött független hatóság őrködik: ez a 2004-es belépés óta az adatvédelmi biztos. (Fent már kitértem arra, hogy valójában nem ombudsmanról, hanem vegyes, ombudsmani és hatósági jellemzőkkel is bíró intézményről van szó.) Fontos, hogy az irányelv alapján a függetlenség körébe tartozik a befolyásmentes működés biztosítása is, ami kiterjed arra, hogy a tagállam önkényesen nem szüntethet meg, illetőleg szervezhet át ilyen intézményt. Röviden: az Alaptörvény egyetlen uniós joggal összhangban álló olvasata az, hogy a szövegben emlegetett „független hatóság” az adatvédelmi biztos.

Az alkotmányozás után gőzerővel folyik a sarkalatos törvények előkészítése, elfogadtatása. Ezek közül is a két legjelentősebb az információs önrendelkezési jogról és az információszabadságról, valamint az alapvető jogok biztosáról szóló törvényjavaslat. Az előbbi törvény tervezetét Ön is véleményezte, sőt az Országgyűlés előtt is értékelte. Írásbeli véleményét a következőképp kezdi: „„Soron kívül áttekintettem az információs önrendelkezési jogról és információszabadságról szóló törvény 2011. június 7-én kézbesített, 2011. június 8-án 14.00 határidővel véleményezésre megküldött tervezetét”.” Ön szerint hogyan fordulhat elő, hogy az előterjesztő ilyen rövid határidőt szab?

Ezt inkább nem kommentálnám.

Az új Avtv-ről a következőt jegyzi meg: „„A tervezetről megállapítható, hogy az adatvédelmet és információszabadságot érintő lényegi rendelkezések tekintetében sok esetben az 1992-ben elfogadott, más informatikai környezetet tükröző, mára elavult törvényi szabályozásra alapoz, nem veszi figyelembe az adatvédelmi jog fejlődésének irányait, illetőleg egyes rendelkezései sértik az Európai Parlament és a Tanács a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelvét”.” Mi vezette erre a következetésre, s általában is, mit mondhatunk az immáron törvényjavaslattá érett anyagról?

Külön tanulmány tárgya lehet a fenti megállapítás kibontása, amelyet meg is írok majd. Engedje meg, hogy csak néhány példát soroljak. Elavult szabályozás pl. a külföldre irányuló adattovábbításé: ez a nemzetközi cégeken belüli adattovábbítást továbbra is nehezíti majd, kizárva bizonyos, a fejlett adatvédelmi jogokban meghonosodott eszközök, pl. a kötelező erejű vállalati szabályok alkalmazását. Továbbra is életidegen az adatfeldolgozás szabályozása, amelyet szintén nehéz lesz betartani nagyvállalati környezetben. Nem értem, mi szükség a túlbürokratizált adatvédelmi nyilvántartás szabályozásának további szigorítására azzal, hogy fizetni kell majd a bejelentésért: inkább az irányelv keretei között a lehető legenyhébb szabályozást pártolnám ebben az esetben. Nem világos, mi az indoka egyes új intézmények bevezetésének: az adatvédelmi audit keretében pl. a hatóság pénzért auditálja egy adatkezelő működését, ráadásul a saját maga által megszabott feltételek alapján, majd adott esetben állampolgári panasz nyomán ugyanezt az adatkezelőt vizsgálhatja. Ez szerencsétlen helyzet, nem jó megoldás. Említettem a bírság összegét, amely (forintra átszámítva) Szlovákiában 90, Csehországban 110, Spanyolországban 160, Portugáliában 268, Olaszországban 320 millió. Magyarországon 10 milló lesz – miért? Itt nem kizárólag kis magyar cégekkel, hanem adott esetben a globális informatikai ipar vezető cégeivel áll majd szemben ez a hatóság: ez az összeg pedig ilyen összefüggésben csekély. Nem értek egyet az autonóm hatóság modelljével sem: ez különösen az információszabadság terén problémás. Gondolja csak meg: egy, a miniszterelnök által javasolt személy dönthet majd arról, indokolt-e a minősített adatok titkosítása. De adatvédelem terén is fontos az állam adatkezeléseinek felügyelete. Mindkét területen az a kívánatos, hogy a politikai erők konszenzusával megválasztott, elfogulatlanként elismert személy végezze ezeket a tevékenységeket. Ami az irányelv sérelmét illeti, utalok a fentiekre: a létrehozás módja, vagyis az, hogy a megfelelő átmeneti szabályok hiánya befolyásolja a működést, sérti a jelenlegi szerv függetlenségét.

A másik meghatározó törvény az alapvető jogok biztosáról szóló törvényjavaslat. Ezt kollégája Fülöp Sándor már több ponton is kritizálta. Önnek mi a véleménye az „egybiztosi” rendszerről?

Említettem, hogy az adatvédelmi biztos nem ombudsman, ezért a Salamon-bizottságnak küldött véleményemben sem foglalkoztam ezzel a kérdéssel.

És persze a kérdés másik oldalát sem lehet megkerülni. Mit gondol a Nemzeti Adatvédelmi és Információszabadság Hatóság hatékonyan tudja ellátni feladatát?

Az adatvédelmi biztos helyébe a jelölés módja miatt kevésbé független szerv lép majd. A törvény gyengéiről beszéltem az előbb. Az állami adatkezelések, az információszabadság vagy a titokfelügyelet terén tehát a választott szervezeti megoldás rosszabb, mint a mostani helyzet. Pozitívum lehet a bírságolás: bár mint mondtam, érthetetlenül kicsi az összeg, az adatkezelők egy részénél hatékony lehet.

Visszatérve kiindulópontunkra: úgy tűnik több ügyben (így a Szociális Konzultáció, a hódmezővásárhelyi „szégyenlista” esetében) maga az állam, illetve a helyi hatalom nem kívánja betartani a hatályos adatvédelmi szabályokat és inkább politikai színtérre terelik a nagyon is szakmai ügyeket. Ön szerint mi lehet ennek a következménye és jó „ómen-e” ez a fenti új törvények elfogadása előtt?

Nyilvánvalóan nem. Éppen az ilyen helyzetek kezeléséhez kell az igazi függetlenség. Büszke vagyok arra, hogy szégyenlista-ügyben végül jogerősen nekem adott igazat a bíróság. A szociális konzultáció ügye is bíróság elé kerülhet, ha határozatot hozok; azonban a bíróság előtt jövőre majd a miniszterelnök által javasolt személy által vezetett hivatal áll szemben a kormány által felügyelt KEK KH-val.

Végül evezzünk talán kellemesebb vizekre. Április végén tartották Budapesten a közép- és kelet-európai adatvédelmi biztosok 13. találkozóját, amelynek éppen Ön volt a vendéglátója. A találkozó célja az volt, hogy a régió adatvédelmi felügyelő szervei összehangolt állásponttal, nagyobb súllyal jelenjenek meg az európai döntéshozatalban. Mire jutottak e téren, s általában is milyen állapotban van az adatvédelem és információszabadság a régióban?

Fontos esemény volt: külügyi tevékenységem központjában a közép-európai együttműködés erősítése állt, és igen jó kapcsolatokat építettünk ki a lengyel adatvédelmi biztossal, a cseh és szlovák kollegákkal, a szlovén és a szerb információs biztossal. Az évente megrendezett közép- és kelet-európai találkozót a lengyel kollegák kezdeményezték, és az első találkozók óta jelentősen kibővült a résztvevők száma. Idén is felvettünk egy új tagot, Szerbia információs biztosát, aki parlamenti biztosként az adatvédelemért és az információszabadságért is felel. Általában elmondható, hogy áttörésnek lehetünk tanúi a volt jugoszláv tagköztársaságokban: itt az általam is sokszor idézett szlovén információs parlamenti biztos modell a példa. De megválasztották már az adatvédelmi biztost Albániában, felállt az adatvédelmi szerv pl. Moldovában vagy Ukrajnában is. A konferencián elhangzottak alapján igen jó benyomásom alakult ki ezen új adatvédelmi szervek munkájáról, egyértelmű, hogy az intézmények felállítása nem csupán az Uniónak tett gesztus a leendő csatlakozás reményében.

Egyre többet hallani a web 2.0-hoz és általában az internetes személyiséghez fűződő adatvédelmi aggályokról, mások talán nem aggodalmaskodnak, de mindenképp felhívják a figyelmet az adattudatosságra. Ön szerint milyen nagyobb kihívások előtt áll az adatvédelem és információszabadság területe a következő évtizedekben?

Egyrészt fontos adatvédelem és információszabadság, transzparencia viszonya. Tevékenységem mindvégig arra irányult, hogy új egyensúlyt alakítsak ki a kettő között, hogy az adatvédelmi szabályozás tényleg csak ott érvényesüljön, ahol szükség van a magánszféra védelmére, ne máshol, és különösen ne ott, ahol a nyilvánosság érdeke fontosabb. Az adatvédelem a magánszféra védelem eszköze, ám ha túlzó, akkor a korrupciót is elleplezheti: ezt nem szabad megengednünk. Ahol kell, ott tehát vissza kell nyesni a túlzó adatvédelmet a nyilvánosság érdekében: sok állásfoglalásom ezt a célt szolgálja. Ez egyébként általános, Európában mindenütt érezhető konfliktus, hadd utaljak csak a Bavarian Lager ügyre, ahol az EU Bírósága megerősítette, hogy adatvédelmi okokra hivatkozva nem adható hozzáférés egy hivatalos találkozón résztvevő személyek listájához – a döntést kollegám, az európai adatvédelmi biztos is bírálta.

A másik kérdés, hogy megmarad-e az adatvédelmi jog, mint a magánszféravédelem fő eszköze. A német alkotmánybíróság által megfogalmazott, informatikai rendszerek bizalmasságához fűződő alapjog már gyökeresen új szemléletet tükröz. A hagyományos adatvédelmi jog eszközeivel kezelhetetlen technológiák, szolgáltatások válnak uralkodóvá: még reagálni sem tudtunk a közösségi oldalak által felvetett kérdésekre, ám máris mindenki a számítási felhőről vagy az internet of things-ről beszél.

A legérdekesebb fejleménynek a magánszféravédelemben azt tartom, hogy a sokáig egyértelmű Európa-USA szembenállást mintha felváltaná a konvergencia. Az EU szabályozói olyan, az Egyesült Államokban elismert eszközöket karolnak fel, mint az adatvédelmi hatásvizsgálat (privacy impact assessment); az USA törvényhozói immár nem óvakodnak annyira a magánszférára kiterjedő adatvédelmi szabályoktól, mint korábban, lásd Kerry és McCain szenátorok kezdeményezését, amelyet az IT-ipar is támogat. Őszintén remélem, hogy a folyamat vége egy, az Atlanti-óceán mindkét partján elismert, hatékony magánszféravédő szabályrendszer lesz.

————————————————————–