Egy jelenleg még társadalmi egyeztetés alatt álló jogszabálymódosítási tervezet rendkívül széles körű együttműködésre kötelezi majd – alkalmazott jogrendtől függetlenül – az elektronikus hírközlési szolgáltatókat a Magyar Honvédséggel, különösen, ha a jelenlegi helyzetet vesszük kiindulási alapként.
Az elektronikus hírközlésről szóló 2003. évi C. törvény és a honvédelmi adatkezelésekről szóló 2022. évi XXI. törvény módosításáról szóló törvényjavaslat (amit október 24-ig lehet véleményezni) jogrendtől függetlenül előírja majd, hogy az elektronikus hírközlési szolgáltató köteles együttműködni a Magyar Honvédség katonai kibertér műveleti erőivel a honvédelemről és a Magyar Honvédségről szóló 2021. évi CXL. törvény 48. alcímében meghatározott feladataik végrehajtása céljából.
Ehhez hasonló együttműködés – a különleges jogrendet leszámítva – jelenleg főleg nemzetbiztonsági érdekből történik, leginkább a Nemzetbiztonsági Szakszolgálat bevonásával. Éppen ezért a most módosítani kívánt fejezet címe is úgy szól, hogy „Együttműködés titkos információgyűjtés, leplezett eszközök alkalmazása érdekében, illetve különleges jogrendben és honvédelmi, valamint védelmi és biztonsági érdekből.” A honvédelmi érdek azonban külön eddig nem jelent meg hangsúlyosan a jogszabályban. Most az együttműködés kereteit a 2021. évi CXL. törvény 48. alcíme tölti majd ki, ugyanis a hírközlési szolgáltatóknak a Magyar Honvédség kibertér műveleteit kell majd támogatniuk az együttműködésükkel.
A katonai kibertér műveletek a honvédelmi szervezetek a törvény szerinti katonai feladatok – ideértve az ezekre való felkészülést és a gyakorlatokat is – kibertérből érkező fenyegetésekkel és támadásokkal szembeni védelmét, az arra történő felkészülést és – a jogszabályban meghatározott elektronikus információbiztonsági feladatokra figyelemmel – a kapcsolódó biztonsági feladatokat, a folyamatban lévő, kibertérből érkező támadás megszakításához szükséges intézkedések végrehajtását, vagy annak kezdeményezését, valamint a Magyarország biztonságát, honvédelmi érdekeit, illetve szövetségesi kötelezettségeit sértő vagy fenyegető rendszerekkel szembeni katonai kibertér műveleti fellépést jelentik.
A szabályozás nem terjed ki arra, hogy az érintett hírközlési szolgáltatók milyen biztonsági keretek között értesülhetnek magyar katonai kibertér műveletekről, illetve hogyan történik meg ebben a folyamatban a minősített adatok védelme. A személyes adatok védelméről azonban rendelkezik a törvényjavaslat.
Az az elektronikus hírközlési szolgáltató ugyanis, amely a Magyar Honvédség katonai kibertér műveleti erői részére a fentiekben meghatározott együttműködés keretében valamely személyes adatra is kiterjedő adatszolgáltatást teljesített (tehát a Magyar Honvédségnek), illetve ilyen adathoz hozzáférést biztosított, a GDPR szerinti érintetti jogok gyakorlása során az ezen műveletek tényéről, tartalmáról, a megtett intézkedésekről szóló tájékoztatást az elérni kívánt céllal arányosan késlelteti, a tájékoztatás tartalmát korlátozza vagy a tájékoztatást mellőzi, ha ezen intézkedés honvédelmi érdekből elengedhetetlenül szükséges.
Az elektronikus hírközlési szolgáltató az érintett erre irányuló kérelme estén azonban haladéktalanul megkeresi a Magyar Honvédséget, amely legfeljebb 15 napon belül nyilatkozik a korlátozás szükségességéről. Mindez azt jelenti, hogy azon személyek, akiknek az adatai egy magyar katonai kibertér művelet kapcsán átadásra, vagy felhasználásra kerülnek, jó eséllyel nem kapnak majd értesítést az adatkezelési műveletről, ami nyilvánvalóan következik a katonai kibertér műveletek jellegéből.
Az más kérdés, hogy a „kontrollnak” szánt megoldás mennyire életszerű, hiszen az érintett (aki egyáltalán nem feltétlenül valamilyen ártó aktor, a személye, személyes adata pusztán eszköz is lehet egy ilyen műveletben) az esetek elsöprő többségében „soha” nem tudhat majd ezekről a műveletekről (de még azt sem tudja majd, mikor kell, sőt lehet-e egyáltalán kérdeznie), a Magyar Honvédségnek pedig lényegében saját magát kell majd megvizsgálnia 15 napon belül, hogy még mindig indokolt-e a titkolózás, vagy elfelejtett szólni a hírközlési szolgáltatónak, hogy az végezze el a GDPR szerinti kötelezettségét (vagyis értesíteni az adatkezelésről az érintettet).
Egyébként a tervezett eljárásból a véleményem szerint az is következik, hogy a kibertér műveleti célból végzett adatátadásokról a hírközlési szolgáltatóknak nyilvántartást kell majd vezetniük, különben nem fogják tudni eldönteni, hogy az „érdeklődő” érintett-e, márpedig a törvény szövege szerint csak érintett esetében kereshetik meg a Magyar Honvédséget. Ez különösen akkor lesz nehéz, ha az „ilyen adathoz hozzáférést biztosított” fordulat következik be, amikor feltételezem a katonai művelet végrehajtója fog válogatni az adatok között, és amiről feltételezem a hírközlési szolgáltató már nem kap semmilyen visszacsatolást.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
