Az Országgyűlés 2009. december 14-én elfogadta a minősített adat védelméről szóló 2009. évi CLV. törvényt (Mavtv.), amely az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény, valamint a Nemzeti Biztonsági Felügyeletről szóló 1998. évi LXXXV. törvény helyébe lép.
A 2010. április 1-jén hatályba lépett új jogszabály alapjaiban kodifikálja újra a minősített adatok védelmének magyarországi struktúráját. Megteremti a minősített adatok védelmének egységes jogszabály- és intézményrendszerét, s egyúttal eleget tesz legfontosabb jogharmonizációs kötelezettségeinknek.
Előzmények
A minősített adat védelméről szóló új törvény megalkotását indokolta az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény átfogó felülvizsgálatának szükségessége: hiányoztak a külföldi (NATO, EU) és a nemzeti minősített adatok védelmére (elektronikus biztonságra (INFOSEC) vonatkozó szabályok, az EU csatlakozásunk óta módosított EU normák átvételére, és az ehhez szükséges jogintézmények (a nemzeti személyi és telephely biztonsági tanúsítványok, nemzeti iparbiztonsági rendszer) bevezetésére nem került sor, továbbá igen magas volt a Szigorúan titkos és a Titkos minősítési szintű nemzeti minősített adatok száma.
A fentiek alapján az „új „titoktörvény” hiányából az alábbi gyakorlati problémák adódtak:
- De facto nem volt mód minősített adatok cseréjével járó két- vagy többoldalú biztonsági megállapodások megkötésére a hiányzó jogintézmények – nemzeti személyi biztonsági tanúsítvány, nemzeti telephely biztonsági tanúsítvány – okán;
- Elmaradt EU egyes szervezeteiben (Európai Bizottság, Európai Igazságügyi Együttműködési Egység, EUROPOL) használt minősítési szintek nemzeti minősítési szintnek való megfeleltetése;
- A Btk. államtitok és szolgálati titok megsértésére vonatkozó tényállásai nem álltak összhangban a NATO szabályozással – a „visszaélés szigorúan titkos és titkos minősítésű adattal” szankcionálása hatékony büntetőjogi védelmet hivatott biztosítani;
- EU Telephely Biztonsági Tanúsítvány hiányában magyar gazdálkodó szervezetek nem vehettek részt minősített EU adatok megismerését igénylő EU tendereken.
A törvény új rendelkezései
Az új törvény hatálybalépése után megszűnt a minősítési automatizmusra lehetőséget adó államtitokköri jegyzék, illetve az egyes minősítők által kiadott szolgálati titokköri jegyzék intézménye. Ily módon, az adat minősítéssel csak akkor védhető, ha a törvényben meghatározott minősítéssel védhető közérdek (Mavtv. 5.§. (1) bek. a)-f) pont) körébe tartozik. A minősítés szintjét pedig ezentúl nem az adat vélelmezett fontossága, hanem a jogosulatlan hozzáférés által okozható kár mértéke (Mavtv. 1. számú melléklete) fogja meghatározni; azaz minél nagyobb kárt okoz a Magyar Köztársaságnak a minősített adathoz történő illetéktelen hozzáférés, annál magasabb szintű biztonsági követelményeket kell érvényesíteni a védelem során.
Az „Államtitok” és a „Szolgálati titok”, mint titokfajták is megszűnnek, s helyükbe a négyszintű, káralapú minősítési rendszer lép. Ennek megfelelően, négy minősítési szint – „Szigorúan titkos!”, „Titkos!”, „Bizalmas!”, illetve „Korlátozott terjesztésű!” alkalmazására van lehetőség. A minősítés lehetséges leghosszabb időtartama is számottevően csökken; az érvényességi idő „Szigorúan titkos!” és „Titkos!” minősítési szintű adat esetén legfeljebb 30 év, „Bizalmas!” minősítési szintű adat esetén legfeljebb 20 év, „Korlátozott terjesztésű!” minősítési szintű adat esetén legfeljebb 10 év. Az érvényességi idő meghosszabbítására csak új minősítési eljárás keretében van lehetőség. Mindezzel párhuzamosan megváltozik a büntetőjogi szankciórendszer is, amely ezentúl az egyes minősítési szintekhez fog igazodni. A Büntető Törvénykönyvnek „Az államtitok és a szolgálati titok megsértése” címe helyébe a „Visszaélés minősített adattal” (Btk. 221.§) cím lép.
A törvény hatályba lépését követően minősített adatot kezelni kizárólag a Nemzeti Biztonsági Felügyelet által kiadott engedély alapján lehet, amennyiben az adat kezelése állami vagy közfeladat ellátásához nélkülözhetetlen. A nemzeti, illetve a külföldi minősített adatok esetében egyaránt meg kell teremteni a kezelésükhöz szükséges személyi, fizikai, adminisztratív és elektronikus biztonsági feltételeket. A személyi biztonság feltételei körében kiemelést érdemel, hogy – hasonlóan a NATO, illetve az EU követelményeihez – ezentúl a nemzeti minősített adathoz való hozzáférésnek is feltétele lesz a személyi biztonsági tanúsítvány megléte. A tanúsítvány érvényességi idejének lejártáig meghatározza, hogy valamely természetes személy milyen legmagasabb minősítési szintű adat felhasználására kaphat felhasználói engedélyt. A felhasználói engedély szintén új jogintézmény, lényegi tartalmát tekintve azonban megegyezik az 1995. évi LXV. törvényben meghatározott betekintési engedéllyel.
Az új törvény a nemzeti minősített adatok esetében is bevezeti az – eddig csak a NATO minősített adatok kapcsán végrehajtandó – iparbiztonsági ellenőrzést és újraszabályozza annak tartalmát. Ezt követően, ha a minősített adatot kezelő szerv állami vagy közfeladat végrehajtásához gazdálkodó szervezet közreműködését veszi igénybe, akkor az érintett gazdálkodó szervezet vonatkozásában a „Bizalmas!” vagy annál magasabb minősítési szintű adatok átadása előtt iparbiztonsági ellenőrzést kell végrehajtani. Az ellenőrzés célja annak megállapítása, hogy a minősített adat kezelésének biztonsági feltételeit megteremtették-e az érintett gazdálkodó szervezetnél. Ennek igazolására a Nemzeti Biztonsági Felügyelet telephely biztonsági tanúsítványt ad ki.
A Mavt. jelentősen kiszélesíti a Nemzeti Biztonsági Felügyelet feladatkörét. A Felügyelet immár nem csupán a NATO, illetve az EU minősített adatok, hanem egységesen a (nemzeti és külföldi) minősített adat védelmének hatósági felügyeletéért és kezelésének engedélyezéséért felelős. E mellett, ellátja a nemzeti iparbiztonsági hatósági feladatokat. Új feladatkörként a Nemzeti Biztonsági Felügyelet ellátja a rejtjeltevékenység hatósági engedélyezését és felügyeletét, ellenőrzi a minősítők minősítési gyakorlatát, az egységes gyakorlat kialakítása érdekében ajánlást adhat ki.
A törvény átmeneti rendelkezései (Mavtv. 39-40.§)
A törvény hatálybalépése előtt kiadott személyi biztonsági tanúsítvány és telephely biztonsági tanúsítvány az abban feltüntetett időpontig, a külföldi minősített adat kezelésére, illetve a rendszer működésére vonatkozó engedély visszavonásig érvényes.
A személyi biztonsági tanúsítványt 2011. december 31-ig kell beszerezni azon felhasználók részére, akik az államtitokra és szolgálati titokra vonatkozó jogszabályok alapján a törvény hatálybalépésének időpontjában már betekintési engedéllyel rendelkeztek.
A minősített adat védelmére vonatkozó fizikai és elektronikus biztonsági feltételeket 2011. december 31-ig kell megteremteni.
A minősített adatot kezelő szervnek a minősített adat kezelésére vonatkozó engedélyt, továbbá a minősített adat kezelésére szolgáló elektronikus rendszerek használatba vételére vonatkozó engedélyt 2012. december 31-ig kell beszereznie.
A civilek tiltakoznak
A törvény elfogadása után nyílt levélben a köztársasági elnökhöz fordult az Eötvös Károly Közpolitikai Intézet, a Társaság a Szabadságjogokért és a Transparency International Magyarország azt kérve, hogy a december 14-én, hétfőn elfogadott törvényt az államfő aláírás helyett küldje meg az Alkotmánybírósághoz éljen az Alkotmányban biztosított jogával és kezdeményezze a törvény előzetes normakontrollját. Az EKINT, a TASZ és a TI magyar tagozata szerint a törvény egyes elemei alkotmányellenes módon korlátozzák a közérdekű adatok megismeréséhez fűződő alapjogot. Az új jogszabály alapján az adatok titkosítása tartalmi korlátok nélküli lehetőséggé válik, amely felett nem biztosított a hatékony bírói kontroll. A Büntető Törvénykönyv módosításával a minősített adattal való visszaélés büntetőjogi következményeinek alkalmazását pedig teljesen kiszámíthatatlanná teszi a jogalkotó, így a büntetőjog könnyen alkalmas lehet politikai érdekek szolgálatára.