Központosított, kötelezően alkalmazandó elektronikus kommunikáció a hatósági eljárásokba? – Az EKINT véleményezte az elektronikus közszolgáltatásról szóló T/6767. számú törvényjavaslatot.
Az Eötvös Károly Intézet véleménye az elektronikus közszolgáltatásról szóló T/6767. számú törvényjavaslatról:
Általánosságban elmondható, hogy a törvényjavaslat a korábbi – az Országgyűléshez történő benyújtást megelőző – szövegállapotához képest számos ponton javult, így jelenleg több adatvédelmi természetű garanciát tartalmaz, csökkent a nem normatív természetű rendelkezések száma. Ennek eredményeként a szöveg alkalmas arra, hogy egyes rendelkezéseinek módosításával a fennmaradó információs jogi aggályok kiküszöbölhetőek legyenek.
VÉLEMÉNY A TÖRVÉNYJAVASLATHOZ
Az alábbiakban, a törvényjavaslat egyes paragrafusaihoz kapcsolódva ismertetettt észrevételek egyes esetekben az érintett szakaszon túlmutató, koncepcionális jellegű elemeket is tartalmaznak.
A 6. §-hoz
E szakasz egyrészt a közigazgatási hatóságok számára kötelezővé teszi, hogy a hatósági eljárásokban az elektronikus kapcsolattartást kizárólag a központi rendszer útján valósítsák meg, másrészt a bíróság és az ügyészség, illetve a jogi képviselők közötti írásbeli kapcsolatot kötelezően a központi rendszer útján megvalósítandónak nyilvánítja, harmadrészt más írásbeli kapcsolat esetében is lehetővé teszi, hogy más törvény hasonló kötelezettséget írjon elő. Végül a közüzemi szolgáltatók és a közigazgatási hatóságok közötti kapcsolattartás esetében is kötelezővé teszi az előbbieket. [6. § (1)-(3) bekezdés] E rendelkezések mögött húzódó koncepció az egész tervezetet érinti, amely koncepciót az Intézet két ponton tartja aggályosnak:
- a kommunikáció központosított, egyetlen központon történő folytatását írja elő számos vonatkozásban, és
- bizonyos szereplők között kötelezővé teszi az e központon keresztül történő kommunikációt.
Az egyszerre központosított és kötelezően használandó elektronikus kapcsolattartás – megfelelő garanciák nélkül – nem elfogadható. A központi azonosításon alapuló rendszerek bevezetése általában csak akkor fogadható el, ha egyébként reális választási lehetőség áll nyitva a polgár előtt, ahol e mellett hagyományos írásbeli formát, továbbá az elektronikus formán belül más formát is választhat. Amennyiben a törvényhozó a központi azonosításon alapuló rendszer mellett dönt, figyelembe kell vennie, hogy az a közvetlen kommunikációhoz képest egy újabb, többlet adatkezelési elemet is tartalmaz. Ezzel pedig a törvény a közvetlen kommunikáció eseténél jobban korlátozná az Alkotmányban biztosított információs önrendelkezési jogot. Az alapjog-korlátozás alkotmányos feltételei (szükségesség és arányosság) az EKINT álláspontja szerint nem állnak fenn, semmilyen alkotmányosan legitim cél nem indokolja kényszerítően ezt az alapjog-korlátozást. Az alkotmányos alapjog-korlátozási kritériumok teljesítésének hiányában pedig kizárólag a polgár önrendelkezésén alapulhat a központi rendszer használata, amely önrendelkezési jog gyakorlása csak akkor valósulhat meg, ha a polgárnak valódi döntési szabadsága van a kommunikációs formák közötti választásban. Az alapjog-korlátozással összefüggő alkotmányossági aggályok azonban semlegesíthetőek lehetnek további garanciák törvénybe iktatásával. Ezek egyike az lenne, amely egyértelművé teszi, hogy a kommunikáció adataihoz csak bírói engedéllyel férhet hozzá bármely szervezet.
A jogi képviselőt érintő kötelezés tekintetében fontos megjegyezni, hogy ez a jogi képviselők ügyfeleinek információs önrendelkezési jogát ugyanúgy érinti, mintha közvetlenül őket köteleznék az elektronikus kommunikációra, hiszen a jogi képviselők az ügyfelek adatait küldik a rendszeren keresztül. Igaz lehet, hogy a jogi képviselőktől magasabb technikai felkészültség várható el, de ez az érv nem vihető át az ügyfelek információs önrendelkezési jogára vonatkozó többlet alapjog-korlátozásra. Ebből is az következik, hogy az elektronikus kommunikáció a jogi képviselő számára ugyan mint technikai követelmény kötelezővé tehető, de ha ez egy központon keresztül történik, az – az ügyfelek információs önrendelkezési jogának korlátozása miatt – alkotmányosan aggályos. Ez az aggály elsősorban azzal lenne eloszlatható, ha a törvény garantálná, hogy a jogi képviselő és a hatóságok közötti kommunikációban csak a jogi képviselő kiléte állapítható meg, a két végpont kivételével az ügyfelek adatai kívülről nem állapíthatók meg.
A központosítás kiterjesztése a közszolgáltatókra – még ha a közszolgáltató és az ügyfelei vonatkozásában nem is teszi kötelezővé a központi rendszeren keresztül történő kommunikációt – hasonló alkotmányos problémákat vet fel, mint 1991-ben az univerzálisan használható és általános személyazonosító jel használata [lásd 15/1991. (IV. 13.) AB határozat]. Ugyan ez a rendszer nem egyetlen azonosító jelet használ, de magában hordozza a polgár sokféle, egymással össze nem függő élethelyzetével kapcsolatos személyes adataiból történő profilalkotás lehetőségét, amely 1991-ben a személyi szám alkotmányellenességét is magyarázta. A nagyon széles körű központosítás tehát, ha nem is jár együtt a kötelezéssel, önmagában is (az önrendelkezés tényleges érvényesülését biztosító, kellő garanciák hiányában) alkotmányellenes helyzetet eredményezhet. A törvénynek ezért ki kell zárnia az állampolgárokról való profilalkotást és egyértelművé kell tennie, hogy az univerzális azonosító rendszer nem szolgálhat különböző célú adatkezelések összekapcsolására.
A bíróságokra és az ügyészségre történő kiterjesztés a fenti adatvédelmi aggályokon túl hatalommegosztási problémákat is felvet, tudniillik sérti e szervek függetlenségét. A törvényjavaslat ugyanis ezzel a megoldással az e szervek és ügyfeleik (azok jogi képviselői) közötti kommunikációt a végrehajtó hatalom egy, a Kormány alárendeltségében működő szervének teszi kiszolgáltatottá. Ezzel hozzáférési és befolyásolási lehetőséget ad a végrehajtó hatalom kezébe, amely ellentmond a bíróság és ügyészség végrehajtó hatalomtól való függetlensége követelményének. Ugyanez az érvelés kiterjeszthető az autonóm államigazgatási szervekkel történő kommunikációra, illetve az említett szervek közötti kapcsolattartásra is. Ez – az Intézet álláspontja szerint – legalább egy olyan szabállyal küszöbölhető ki, amely szerint a központosított kommunikációra kötelezett szervek szükség esetén más módon (közvetlenül elektronikusan, futárral, postán, hagyományos levélben stb.) is kommunikálhassanak, ha feltehető, hogy a központi rendszer – üzemzavar vagy akár rosszhiszemű beavatkozás folytán – nem megfelelően biztosítja a kommunikációt.
A 7. §-hoz
A (1) bekezdésben szereplő „adatok szolgáltatása” fordulat bizonytalan tartalmú, rendkívül tág, emiatt esetleges alkalmazása során a törvényjavaslat tárgyától és céljától eltérő életviszonyokra, „adatszolgáltatásokra” is kiterjeszthetik. Így például az adatvédelmi törvény 12. §-a szerinti, az adatalanyra vonatkozó személyesadat-kezelésre vonatkozó tájékoztatási kötelezettségre, illetve a 20. § szerinti közérdekűadat-igénylés megválaszolásának kötelezettségére is. Az ilyen értelmezési lehetőség, amelyre a rendelkezés jelen szövegezése módot ad, mind az adatvédelem, mind az információszabadság már elért védelmi szintjében való visszalépést jelentene. Az említett alkotmányos jogok, azok említett részjogosítványainak gyakorolhatósága nem tehető függővé attól, hogy az azzal élni kívánó polgár rendelkezik-e ügyfélkapuval. Ehhez hasonlóan a törvény bizonytalan szövege más adatszolgáltatások tekintetében is aggályokat vethet fel, ezért a törvényjavaslat megfogalmazását indokolt pontosítani, szűkíteni.
A (3) bekezdés ugyancsak túl tág fogalmat használ: „tájékoztató jellegű szolgáltatási kötelezettség”. Ennélfogva ez a szabály kifejezetten ellentétes rendelkezést tartalmaz az elektronikus információszabadságról szóló 2005. évi XC. törvény (Eitv.) előírásaival, amely kollízió előidézése feltehetően nem áll a jogalkotó szándékában, ám a tág fogalomhasználat mégis ezt eredményezi.
A (2) bekezdésben érintett közüzemi szolgáltatók, amennyiben megfelelnek az Avtv. és az Eitv. szerinti közfeladatot ellátó szerv kategóriáinak, ugyancsak két, egymásnak ellentmondó rendelkezés, az Eitv. és e törvény által meghatározottak szerint lennének kötelesek például az ügyfélfogadás rendjét közzétenni. E bekezdésben azonban az „is” szó párhuzamos közzétételt ír elő, ellentétben az előzőekben tárgyalt (3) bekezdésből következő kizárólagossággal.
A 10. §- hoz
A 10. § (3) bekezdése tekintetében az elektronikus közszolgáltatás kötelező igénybevételének törvényi előírásával kapcsolatban a 6. §-nál leírtak irányadók.
A 12. §-hoz
Az (1)-(3) bekezdésben meghatározott azonosítási módokkal kapcsolatban az Intézet felhívja a figyelmet arra, hogy az azonosítás módszereinek és szintjeinek ilyen általános meghatározása nem pótolja az Avtv. 3. § (3) bekezdésében – a kötelező adatkezelésre adott törvényi felhatalmazással kapcsolatban – előírt kritériumoknak a törvényi szabályozását. [Ezt a kötelezettséget értelemszerűen az általában „jogszabály”-ról szóló (4) bekezdés utalása sem pótolja.] A 12. § (1)-(3) bekezdésében olvasható rendelkezéseket értelmezhetjük úgy, mint olyan általános adatbiztonsági követelményeket, amelyek az azonosítás tekintetében megszabják a (további, ágazati) jogszabályok nyújtotta garanciák minimális szintjét. Azonban ezek semmiképp nem értelmezhetők úgy, mint a személyesadat-kezelésre adott törvényi felhatalmazás. A szükséges törvényi felhatalmazást – az Avtv. 3. § (3) bekezdésének megfelelő részletességgel és pontossággal – az egyes ágazati törvényeknek (vagy ennek a törvénynek) külön kell meghatározniuk. Így tehát még törvényi szabályozásra szorul:
- az adatkezelés pontos célja és feltételei,
- a kezelendő adatok köre és megismerhetősége,
- az adatkezelés időtartama, valamint
- az adatkezelő személye.
Így például egy a 12. § (2) bekezdés c) pontjában írt tulajdonság alapú azonosítás előírása esetén nem elegendő erre a rendelkezésre hivatkozni, az „azonosítás alanyára kizárólagosan jellemző tulajdonság” fordulat ugyanis nem jelöli meg kellő pontossággal a kezelendő adatok körét. Az adatkezelésre adott törvényi felhatalmazásnak kifejezetten ki kell mondania, hogy például az érintett ujjnyomatának / hangjának / íriszképének stb. kezelésére kap az adatkezelő felhatalmazást. Ugyanígy az (1) bekezdés szerinti „személyes megjelenésnél” törvényben pontosan meg kell határozni, hogy mely szervnél kell megjelenni, vagyis hogy mely szerv minősül adatkezelőnek (például okmányiroda).
(Az Intézet megjegyezi: a 16. §-ban szabályozott ügyfélkapu-nyitással kapcsolatos adatkezelés kritériumainak meghatározása sem nélkülözheti azt, hogy az ügyfélkapus azonosítás alkalmazásának eseteit törvényi szinten határozzák meg. Ha nem így lenne, a 16. §-ban meghatározott adatkezeléseket nem törvényben meghatározott jogviszonyokban lenne kötelező elvégezni.)
Az (5) bekezdés a szolgáltató és az adatalany közötti megállapodás függvényében lehetővé teszi a magasabb biztonsági szint használatát, ezzel a szélesebb körű személyesadat-kezelést. Figyelemmel arra, hogy az adatalany és a szolgáltató között általában nincs valódi alkupozíció, a valóban önkéntes megállapodás biztosítása további törvényi garanciára szorul, ennek hiányában a rendelkezés a polgárok jogainak sérelméhez vezethet.
A 16. §-hoz
A (7) bekezdésben említett „ügyfélazonosító kód” képzésének és kezelésének szabályai hiányoznak a törvényjavaslatból. Ennek hiányában az itt lévő adattovábbításra adott felhatalmazás üres, valódi tartalom nélküli, jogbizonytalanságot eredményez.
A 22. §-hoz
A „központi rendszer cím” (amelyet bizonyos rendelkezések „központi rendszeri címnek” hívnak) nem kellően meghatározott: az értelmező rendelkezésből megtudjuk, hogy mi a funkciója, de álláspontunk szerint szabályozni szükséges, hogy ez hogyan képződik, az ügyfél választja-e, tartalmazza-e személyazonosító adatait stb.
A tárhely központi jellege, a tárhelyen a jövőben tárolandó adatok beláthatatlanul tág köre (az adóbevallástól a kórházi zárójelentésekig), valamint az a tény, hogy a dokumentumok a fizikai iratokhoz képest csak korlátozottan állnak az adatalany ellenőrzése alatt, a jogosulatlan hozzáférés kizárásának nemcsak jogi, hanem technikai természetű garanciáit is szükségessé teszi. Ezért tehát adatvédelmi szempontból indokolt, hogy a törvény technikai garancia lehetőségéről is szóljon, így tegye lehetővé, hogy az adatalany a tárhelyen tárolt adatait titkosíthassa. Ennek módját alacsonyabb szintű jogszabály is meghatározhatja, de a titkosítás lehetőségének törvényi szintű garantálása szükséges.
A 23. §-hoz
A (2) bekezdésben foglalt hozzáférés adási lehetőség további garanciák nélkül könnyen kényszerré válhat, hiszen az adatalany a hatóságokkal és a közszolgáltatókkal (és számos piaci szereplővel) szemben is kiszolgáltatott helyzetben van. A harmadik személyek számára a hozzáférés ilyen technikai megkönnyítése azzal a veszéllyel is jár, hogy a könnyebbség ezeket a szerveket, személyeket még több adat bekérésére ösztönzi, továbbá relativizálja az adatkezelés célhozkötöttségét. (Így például egy bank, mivel nagyon könnyű, olyan szolgáltatások nyújtása esetén is feltételül szabja az adóbevalláshoz való hozzáférés engedését, amelyeknél a technikailag bonyolultabb hozzáférés esetén ezt nem tenné.)
A (3) bekezdésben foglalt rendelkezés felesleges, hiszen törvény az alkotmányos követelmények (szükségesség-arányosság) betartásával e szabály nélkül is kötelezővé teheti az adatkezelést. Az alkotmányos követelmények teljesítésének hiányában ugyanakkor ez a szabály nem teszi az adatkezelés előírását alkotmányossá. Mivel azonban keltheti ez utóbbinak a látszatát, veszélyes az alkotmányos alapjogok érvényesülése szempontjából.
Ugyanebben a bekezdésben nem világos, hogy miért „bárki számára való hozzáférhetővé tételről” szól a javaslat, ez ugyanis a nyilvánosságra hozatalt jelentő megfogalmazás. Kedvezmény, juttatás igénybevételének előfeltételeként jellemzően nem szükséges több a meghatározott harmadik személyek számára történő hozzáférhetővé tételnél.
A 24. §-hoz
Az adatok alanyának saját adataihoz való hozzáférését megkönnyítő szabályt kifejezetten jónak tartja az EKINT. Azonban az értelmezési problémák elkerülése miatt – az indokoláshoz hasonlóan – az Intézet is fontosnak tartja hangsúlyozni, hogy a hozzáférés módjának ilyen meghatározása nem ronthatja le az Avtv. 12. § (1) bekezdésében meghatározottakat.
A 31. §-hoz
Az (1) bekezdésben szereplő felhatalmazás ellentmond az Avtv. 3. § (3) bekezdésében meghatározott azon szabálynak, amely szerint a törvény alapján kötelező adatkezelés adatkezelőjét törvényi szinten kell meghatározni.
A véleményezett törvényjavaslat innen, a módosító javaslatok pedig innen tölthetők le. A kapcsolódó módosító javaslatokat az Országgyűlés honlapjáról lehet letölteni.
A ‘Vélemény az elektronikus közszolgáltatásról szóló törvényjavaslatról és az ahhoz benyújtott módosító javaslatokról’ című szakvélemény az EKINT honlapjáról pdf formátumban letölthető.