Az elektronikus hírközlésről szóló 2003. évi C. törvény (Eht.) módosításáról szóló kormány-előterjesztés tervezetét január végén az Adatvédelmi biztos is véleményezte, megállapításait teljes teredejlemben közöljük.
Dr. Kákosy Csaba kabinetfőnök részére
Gazdasági és Közlekedési Minisztérium
Jogi és Koordinációs Főosztály
Budapest
Tisztelt Kabinetfőnök Úr!
Az elektronikus hírközlésről szóló 2003. évi C. törvény (a továbbiakban Eht.) módosításáról szóló kormány-előterjesztés tervezetét véleményezésre megkaptam. A részletes észrevételek megtétele előtt engedje meg, hogy felhívjam a figyelmét az elektronikus hírközlési szolgáltatások nyújtása keretében feldolgozott adatok megőrzésével kapcsolatban a 29-es adatvédelmi munkacsoport[1] 2005. októberében 2005/4. számon, illetve 2006. márciusában 3/2006. számon kifejtett véleményére.
A munkacsoport többször kifejezte aggodalmát a forgalmi adatok ilyen tömeges megőrzése miatt. Kifejtette, hogy a forgalmi adatok megőrzése sérti az emberi jogokról szóló európai egyezmény szerint az egyént megillető magánélet tiszteletben tartásához, valamint a közlés bizalmasságához és a személyes adatok védelméhez fűződő jogot. Az Emberi Jogok Európai Bíróságának értelmezésében egy alapvető jogba történő beavatkozásnak egy demokratikus társadalomban szükségesnek, megfelelőnek és arányosnak kell lennie a közrend fenntartása, a nemzetbiztonság, a közbiztonság védelme érdekében, valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének biztosítása érdekében. A tagállamok tehát a terrorizmus elleni küzdelem nevében nem fogadhatnak el bármilyen, általuk szükségesnek vélt intézkedést.
A munkacsoport megkérdőjelezte, hogy a tagállamok hatóságai valóban kellő bizonyítékokkal indokolják-e a kötelező és általános adatmegőrzést, továbbá kétségei vannak az adatmegőrzési időszakok felől. A súlyos bűncselekmény fogalmát – tekintettel a terrorizmus és a szervezett bűnözés elleni küzdelemre – pontosan definiálni szükséges.
A fentiek miatt a munkacsoport a következő egyedi biztosítékokra hívja fel a figyelmet:
i. korlátozott cél: kizárólag a terrorizmus és a szervezett bűnözés elleni küzdelem céljából, mintsem meghatározatlan „súlyos” bűn elleni küzdelem céljából őrizhetők az adatok;
ii. korlátozott hozzáférés: az adatok kizárólag egyedileg meghatározott bűnüldöző szervek számára lehetnek hozzáférhetők;
iii. minimális adatmennyiség: a megőrizendő adatok mennyiségét minimálisra kell szorítani;
iv. a szolgáltatók adatkezelési céljai: a közrend céljára megőrzött adatokat el kell különíteni az üzleti célú adatkezelésektől.
A tervezettel kapcsolatosan a személyes adatok védelme és a közérdekű adatok nyilvánossága szempontjából a következő részletes észrevételt teszem.
1. A 4. §-hoz fűzött észrevétel
A törvény által kötelezően elrendelt adatkezelések esetében a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban Avtv.) 3. § (3) bekezdése alapján az adatkezelő személyét az adatkezelést elrendelő törvény határozza meg. Az Európai Parlament és az Európai Unió Tanácsa által elfogadott a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtása, illetve a nyilvános hírközlő hálózatok szolgáltatása keretében előállított vagy feldolgozott adatok megőrzéséről és a 2002/58/EK irányelv módosításáról szóló 2006/24/EK irányelv (a továbbiakban: irányelv) nemzeti jogba történő implementálása kötelező adatkezelés előírásával lehetséges.
A kötelezően elrendelt adatkezelések esetében az adatok sorsának meghatározása nem lehet diszkrecionális jogalkalmazói döntés, ezért az elektronikus hírközlésről szóló 2003. évi C. törvény (a továbbiakban Eht.) 78. §-át kiegészítő bekezdésekben meg kell határozni, hogy az elektronikus hírközlési szolgáltató jogutód nélküli megszűnése esetén az irányelv szerint kötelezően megőrizendő adatfajták további kezelésére milyen szerv jogosult.
2. Az 5. §-hoz fűzött észrevétel
A tervezet szerint a törvény 92. § (1) bekezdését kiegészítő mondat többféle értelmezésre alkalmas. A titkos információgyűjtést, illetve a titkos adatszerzést ellehetetlenítő tevékenység olyan általános meghatározás, amely a személyes adatok védelméhez fűződő joggal összefüggésben visszásságot okozhat, mert lehetőséget nyújt visszaélésre alkalmas jogértelmezésre is, ezért lehetőség szerint pontosabban, részletesebben kellene meghatározni a törvényi kötelezettséget.
2. A 8. §-hoz fűzött észrevétel
A jelenleg hatályos Eht. szerint a forgalmi adatok között az elektronikus hírközlési szolgáltatók jelenleg is kezelnek olyan adatot, amely a felhasználó végberendezésének földrajzi helyzetének meghatározására alkalmas (hálózat és cellainformáció, előfizetői állomás száma és egyéb azonosítója). A forgalmi adatok közül ezek az adatok az Eht. 157. § (6) bekezdése c) pontja alapján továbbíthatók a törvényben meghatározott szerveknek. Az irányelv a hazai szabályozáshoz képest a helymeghatározásra alkalmas adatok részletes kifejtését tartalmazza, ezért a hazai szabályozás kiegészítése szükséges ezen adatok tekintetében. A kiegészítés azonban álláspontom szerint nem terjeszkedhet túl az eredeti célon.
Az irányelv hatálya alá tartozó forgalmi és helymeghatározási adatokat a szolgáltató az 1. cikk szerint az egyes súlyos bűncselekmények kivizsgálása, felderítése és üldözésre céljából köteles megőrizni. A tervezetből a súlyos bűncselekmény tartalmának kibontása teljesen hiányzik, holott a definíció nem példa nélküli a magyar jogrendszerben. A jogalkotó a rendőrségről szóló 1994. évi XXXIV. törvényben a bírói engedélyhez kötött titkos információgyűjtést súlyos bűncselekmények esetében teszi lehetővé. [2]
Az elektronikus hírközlési rendszer jogosulatlan vagy jogsértő felhasználásának üldözése céljából történő adattovábbítás esetében az „az arra törvényben felhatalmazott szerv”-re való utalás helyett javasolom a törvényben teljeskörűen felsorolni az adatokhoz hozzáférni jogosultakat, hasonlóan az Eht. 156. § (9) bekezdését módosító részhez.
A fentiek alapján kérem az adatokhoz korlátozott hozzáféréssel rendelkező adatkezelő személyét törvényben meghatározni, valamint a súlyos bűncselekmény tartalmát részletesen, az irányelv szellemének megfelelően definiálni.
3. A 9. §-hoz fűzött észrevétel
A hatályos Eht. 157. § (1) bekezdése alapvető adatkezelési elvet rögzít, amely az Európai Parlament és a Tanács az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvének (továbbiakban: elektronikus hírközlési adatvédelmi irányelv) 6. cikkének hazai implementációja. E törvény szerint a forgalmi és helymeghatározási adatok feldolgozása tekintetében főszabály, hogy az adatokat törölni (anonimizálni) kell a szolgáltatás teljesítése után, ha a közlés továbbításához már nem szükségesek.
A hatályos Eht. 157. § (1) bekezdése a különféle célt szolgáló kivételek felsorolása előtt deklarálja ezt az adatkezelési alapelvet.
Az elektronikus hírközlési adatvédelmi irányelv és a jelenleg hatályos Eht. szabályozási módja álláspontom szerint továbbra is fenntartható, mert biztosítja az előfizetők magánéletének tiszteletben tartása érdekében a személyes adatok fűződő jogának érvényesülését.
A 157. § módosított (1) bekezdésében felsorolt forgalmi adatok kezelésének célja a számlázás és a kapcsolódó díjak beszedése, valamint az előfizetői szerződések figyelemmel kísérése. A felsorolás azonban számos olyan forgalmi és helymeghatározási adatot tartalmaz, amely az irányelv hatálya alá tartozik, és kezelésük a szolgáltató üzleti céljaiból nem szükséges, de tárolásuk az irányelvben szabályozott módon igen.
A fentiek értelmében minden egyes forgalmi és helymeghatározási adat tekintetében szükséges az adatkezelési cél megállapítása, valamint a törvényben az egyes adatkezeléseket el kell különíteni egymástól.
Az adatkörök irányelvvel való összevetése során megállapítható, hogy az irányelv 5. cikkének (1) bekezdésének b) pontjában felsorolt adatok között a közlés címzettjének azonosításához szükséges adatok közül a név és címre vonatkozó adatok átvétele hiányzik a tervezet szövegéből.
Továbbá az adatkörökkel kapcsolatosan észrevételezem, hogy az adatkörök felsorolása áttekinthetetlen, és egyes adatfajták többször előfordulnak. Az irányelvnek a technológiai eszköz megkülönböztetésén alapuló (helyhez kötött hálózatos és mobiltelefon, vagy internet) vagy az egyes adatkategóriák (közlés forrása, közlés címzettje, közlés időbeli tényezői, közlés típusa, kommunikációs berendezés) elkülönítésén alapuló felsorolása világos, és a jogalkalmazás szempontjából is megkönnyíti a rendelkezések értelmezését.
Az adatkezelési határidők tekintetében tartalmi ellentmondások lelhetők fel a törvény szövegében. Ezek az ellentmondások nem csupán az irányelvben szabályozott két éves időtartammal nincsenek megfelelésben, hanem egymással is ellentmondanak. Az irányelv szerint az illetékes szervek az 5. cikkben felsorolt adatokhoz kérelemre, 2 évig férhetnek hozzá. A megőrzési idő az irányelv szerint megőrizendő adatok vonatkozásában a közlés időpontjától számított két év.
Az elektronikus hírközlési szolgáltatás nyújtása keretében keletkezett és feldolgozott adatok kezelése tekintetében el kell választani egymástól a saját üzleti célú adatkezelést, az irányelv szerinti adatmegőrzést és az adatokhoz történő adathozzáférést. A szolgáltató célhoz kötötten, a megfelelő jogalappal kezeli a szolgáltatás felhasználásával összefüggésben rendelkezésére álló forgalmi adatokat, melyekre saját üzleti célú érdekei miatt is szüksége van.
A megőrizendő adatokkal kapcsolatosan felhívom a figyelmet az irányelv 5. cikke (2) bekezdésére, amely szerint a közlés tartalmát felfedő adat nem őrizhető meg. A közlések bizalmassága az elektronikus hírközlés sarkalatos adatvédelmi előírása, amelyet az elektronikus hírközlési adatvédelmi irányelv 5. cikke (1) bekezdése deklarál.
4. A 10. §-hoz fűzött észrevétel
A bűnüldözési, nemzetbiztonsági és honvédelmi célú adatmegőrzési kötelezettségtől el kell választani az elektronikus hírközlési szolgáltató a szolgáltatás nyújtása keretében keletkezett és feldolgozott adatok saját célra történő feldolgozásától. A forgalmi adatok a szolgáltatás felhasználásával összefüggésben a szolgáltató rendelkezésére állnak, és amelyekre saját üzleti célú érdekei miatt szüksége van, azokat célhoz kötötten, a megfelelő jogalappal kezeli.
Az irányelv szerint ezekhez az adatokhoz való hozzáférést az illetékes hatóságoknak lehetővé kell tenni. Az irányelv szerint ez a hozzáférés korlátozott, mert időbeli korláthoz kötött (közléstől számított 2 év), meghatározott bűncselekmények esetében van rá lehetőség (súlyos bűncselekmények) és csak az illetékes hatóságok, szervezetek számára van erre mód.
A jelenleg hatályos szabályozás szintén korlátozott hozzáférést enged, mert a forgalmi és számlázási adatokat az Eht. 157. § (6) bekezdésének c) pontja szerint csak meghatározott esetekben [3] időbeli korlát mellett ismerhetik meg az illetékes szervek.
Az irányelv a hatályos magyar szabályokhoz képest igen szigorúan szabályozza a forgalmi és helymeghatározási adatok megőrzésének rendjét, érvényre juttatva azt a szándékot, hogy a hírközlési rendszer használata során keletkezett adatok magas szintű védelemben részesüljenek.
A 4. cikk értelmében az irányelv nem sértheti a tagállamoknak azon jogát, hogy az általuk meghatározott nemzeti hatóságok adathozzáférési és adatfelhasználási jogáról jogszabályt fogadjanak el. A tagállamok a nemzeti jogukban a megőrzött adatokhoz a szükségnek és az arányossági követelményeknek megfelelően határozzák meg a követendő eljárást és a teljesítendő feltételeket a vonatkozó európai uniós jogi, valamint nemzetközi közjogi rendelkezések figyelembevételével, különös tekintettel az Emberi Jogok Európai Bírósága által értelmezett Emberi Jogok Európai Egyezményére.
A bűnüldözési, nemzetbiztonsági és honvédelmi célú adatmegőrzési kötelezettségről szóló rendelkezések jelentősen lazítanak az irányelv szigorú szabályain, és a hatályos Eht. rendelkezésein. Ez a módosítás álláspontom szerint sértheti az alkotmányos alapjogok korlátozása esetében alkalmazott szükségesség és arányosság követelményét.
További észrevételem, hogy a tervezetnek a forgalmi és helymeghatározási adatok saját üzleti célú feldolgozásának, kezelésének és a bűnüldözési, nemzetbiztonsági és honvédelmi célú megőrzésének idejéről szóló rendelkezései tartalmi ellentmondást rejtenek. A célhoz kötött adatkezelés követelménye miatt ezek az adatkezelési időtartamok nem feltétlenül esnek egybe.
5. Egyéb észrevételek
A tervezet előlapján szereplő „Nem nyilvános!” jelölést kifogásolom. A tervezet az elektronikus információszabadságról szóló 2005. évi XC. törvénynek a jogalkotás nyilvánosságáról rendelkezései értelmében nyilvános.
A segélyhívások támogatása érdekében a nyilvános telefonhálózatra vonatkozó műszaki követelményekről szóló GKM rendelet tervezetével [hiv. szám: III/3R/326/3/2006.] kapcsolatosan kifejtettem, hogy a miniszteri rendelettervezetnek az egyes forgalmi adatok (hívószám, helymeghatározási adat) automatikus továbbításról szóló előírásai nincsenek összhangban a hatályos Eht. rendelkezéseivel. Az elektronikus hírközlési szektorra irányadó hazai szabályok uniós jogharmonizációja lehetőséget nyújt a rendelet és a törvény között húzódó szabályozási probléma megoldására.
Tisztelt Kabinetfőnök Úr!
A 95/46 EK irányelvben, valamint az elektronikus hírközlési adatvédelmi irányelvben meghatározott magas adatvédelmi követelmények fenntartása érdekében kérem szíveskedjék az Eht. módosítása során figyelembe venni javaslataimat, hogy ezzel a személyes adatok védelmének lehető legmagasabb szintje valósuljon meg.
Amennyiben az állásfoglalásommal kapcsolatosan további egyeztetésre tart igényt, akkor munkatársaim konzultáció céljából állnak az Ön munkatársai rendelkezésére.
Budapest, 2007. január 29
Üdvözlettel:
Dr. Péterfalvi Attila
[1] 95/46 EK irányelv 29. cikke alapján létrehozott munkacsoport
[2] A törvény 69. § (1) bekezdése rendelkezik a titkos információgyűjtésről, és ezzel összefüggésben a jogalkotó az értelmező rendelkezések között, a 97. § (1) bekezdés i) pontjában meghatározza a súlyos bűncselekmény fogalmát
[3] csak közvádas bűncselekmények esetében