Rendszeresen visszatérő témám az adatvédelmi hatóság joggyakorlatának bemutatása, azon belül is különösen gyakran foglalkozok az adatvédelem és a nemzetbiztonsági érdek kapcsolatával, különös tekintettel a jelenlegi, és a jövőbeni fejlesztési lehetőségekre és tervekre vonatkozólag. Ezek az írások elsődlegesen a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) állásfoglalásain alapulnak, de a hatóság minden évben elkészíti az előző évre vonatkozó beszámolóját is, amiből további, addig nem publikált adatvédelmi vizsgálatok, eljárások is megismerhetővé válnak.
A most közzétett beszámoló szerint (amelyből a továbbiakban idézek) – a korábbi évekhez hasonlóan – 2019-ben is azok a nagy informatikai rendszerek voltak az adatvédelmi hatóság figyelmének fókuszában, amelyek sok adatalannyal összefüggésben tartalmaznak adatokat, országos léptékben működnek és rendszerint több adatkezelő szerv közreműködésével. Ilyen volt a korábbi írásaimban már említett, a megvalósítás egy közbenső fázisánál tartó „Szitakötő” projekt, vagy az okos városokban alkalmazandó újszerű szolgáltatások és megoldások előzetes tesztelése céljából megindított pilot projekt. A 2019-ben fókuszba került adatkezelések közül azonban több „kettős rendeltetésű”, azaz az elsődleges rendeltetésén túl van egy kevésbé ismert másodlagos, bűnüldözési vagy nemzetbiztonsági célja is.
OIF adatkezelése
A NAIH egy bejelentés alapján vizsgálta az Országos Idegenrendészeti Főigazgatóság (a továbbiakban: OIF) informatikai rendszerét is. Az OIF főigazgatójától kapott tájékoztatásuk értelmében az OIF által működtetett alkalmazás kizárólag állóképeken végez arcfelismerést és arckép-összehasonlítást, vagyis mozgóképeken, illetve kamera képfolyamokon nem. Az arcképeket a körözési nyilvántartásból származó arcképekkel, valamint az Interpol, az Europol és az FBI közérdekből közzétett, vagyis nyilvánosan felhasználható, ezen szervek honlapján megtalálható, körözés alatt álló személyek arcképeivel is összehasonlítják az ismeretlen, vagy hamis személyazonosságú, illetve körözött személyek kiszűrése céljából.
Az OIF rendszerének működése fél-automatikus, tehát ténylegesen nem személyazonosítást végez, hanem az összehasonlítandó arcképhez leginkább hasonló találatokat mutatja meg. A megjelenített találatok alapján az ügyintéző a magát igazolni nem tudó személlyel szemben a szükségesnek ítélt intézkedést teszi meg, ezek megválasztásához járul hozzá az arckép-összehasonlítás eredménye.
Az adatvédelmi hatóság megállapította, hogy az OIF eljárásaival érintett személyeknek tudomásuk van az arcképek elkészítéséről és felhasználásáról, vagyis az adatgyűjtés nem rejtetten történik. Az OIF hatáskörébe tartozó eljárásokkal kapcsolatban azzal lehet számolni, hogy az érintett külföldiek egy része nem rendelkezik személyazonosító iratokkal és esetleg ellenérdekelt a valós személyazonosságának megállapítását illetően, ezért a személyazonosítás, illetve a személyazonosság ellenőrzés fél-automatikus gépi támogatása indokolt.
A vizsgálat során nem jutott az adatvédelmi hatóság birtokába olyan információ, amely arra utalna, hogy az OIF nagy földrajzi területen folyamatosan működő, automatizált megfigyelést végző infrastruktúrát hozott volna létre. A gépi rendszerrel segített arckép-összehasonlítás, valamint az adatok hatósági célú felhasználása emberi munkát igényel. Az élőmunka igény olyan szűk keresztmetszetet hoz létre az adatok felhasználásának folyamatában, amely kizárja a tömeges, készletező jellegű biometrikus adatgyűjtést.
Adatvédelmi incidensek
Az adatvédelmi incidensek vizsgálata kapcsán a hatóság szerint a bűnüldözési, a honvédelmi és a nemzetbiztonsági célú adatkezelés jellegében sok tekintetben eltér azoktól a – jellemzően a gazdasági élet szereplői által végzett – adatkezelésektől, amelyekkel kapcsolatban a GDPR határozza meg az adatvédelmi kereteket. E körülmények figyelembe vétele az adatvédelmi incidensek kockázatainak mérlegelésekor is szükséges. Az e körbe tartozó adatkezelések esetében egy adatvédelmi incidens nemcsak az érintett személy jogait és érdekeit sértheti, hanem egyúttal annak a – nyomós államérdeket megtestesítő – közfeladatnak az ellátását is, mely a személyes adatok kezelését szükségessé teszi.
A GDPR hatálya alá tartozó adatvédelmi incidensekkel összehasonlítva ugyanis akár az is megemlíthető, hogy míg egy gazdasági társaság által kezelt adatállomány esetében reális lehetőség, hogy illetéktelenek azért próbálják megszerezni a társaság által kezelt személyes adatokat – például a vevők adatbázisát –, hogy azt direkt marketing célra vagy más gazdasági előny megszerzésére használják fel. A NAIH meglátása szerint a bűnüldözési, honvédelmi, vagy a nemzetbiztonsági célú adatkezelések esetében az ilyen jellegű veszély minimális, ezért az adatvédelmi incidens kockázatainak mérlegelésekor sokkal kisebb figyelmet érdemel.
Offenzív kibervédelem
A modern információs társadalmak működése erősen függ az infokommunikációs infrastruktúrák, az informatikai rendszerek és szolgáltatások hozzáférhetőségétől és megfelelő működésétől, ezért a fejlett államokban alapvető szuverenitási és nemzetbiztonsági kérdésként merül fel a kiberbiztonság fenntartásának igénye. A kibervédelem megerősítése az adatbiztonság erősítése révén a személyes adatok védelméhez is hozzájárul, ezért a hatóság egyetértett a Polgári Információ- és Kiberbiztonsági Központ létrehozásával, amelyet egy 2019-ben véleményezett kormány-előterjesztés irányzott elő.
Az állam és az ország informatikai biztonságához és védelméhez nemzetbiztonsági érdek fűződik, továbbá a nemzetbiztonsági szolgálatoknak rendelkezniük kell olyan kifinomult informatikai képességekkel, amelyek a kibervédelemhez is szükségesek, ezért általában véve nem kifogásolható, ha a kibervédelem központi intézménye a nemzetbiztonsági szolgálatok szervezeti rendszerén belül jön létre.
Ugyanakkor egy ilyen jellegű szervezetfejlesztés érzékeny, továbbgondolásra érdemes kérdéseket is felvet. Például felmerülhet az a kérdés, hogy ha egy nemzetbiztonsági szolgálat a kibervédelmi feladatai ellátása céljából hozzáférést kap valamennyi fontos magyar állami és esetleg nagyvállalati informatikai rendszerhez, valamint az ezekben tárolt adatokhoz, akkor vajon mi a garancia arra, hogy ez hosszú távon nem fog olyan helyzet kialakulásához vezetni, amikor a nemzetbiztonsági szolgálat a kibervédelem céljából megszerzett hozzáféréseket egy átfogó titkos megfigyelési infrastruktúra létrehozásához használja fel.
Törvényes keretek között, megfelelő adatvédelmi garanciák alkalmazásával természetesen egy demokratikus jogállamban is jogszerűen végezhető a nemzetbiztonsági és a bűnüldözési célú titkos információgyűjtés, ám az e célból hozzáférhető adatforrások és adatok mennyiségi növekedése, valamint az adatok feldolgozásának és felhasználásának automatizálása idővel olyan, a személyes adatok védelmével és a demokratikus jogállamisággal kapcsolatos kockázatokhoz vezethet, amelyek kezelésére a jelenlegi jogi garanciarendszer nem feltétlenül elégséges.
Ezért fontos, hogy a kibervédelmi tevékenység a más nemzetbiztonsági feladatok ellátásától elválasztva történjék és ezt megfelelő független külső kontroll ellenőrizze. A magyar kibervédelem jövőbeli szerepének meghatározása és lehetséges tevékenységeinek tervezése során felmerült az a lehetőség, hogy ne csak védekező jellegű kiberműveletekre kerülhessen sor, hanem offenzív jellegűekre is, elsősorban a kibertámadások elhárítása céljából.
A NAIH álláspontja szerint a kibertámadó műveletek információs alapjogi keretei törvényi szabályozást igényelnek. Törvényi szintű szabálynak kell meghatároznia, hogy milyen területeken, milyen körülmények között lehetséges valamely kibertámadó művelet végrehajtása, illetve milyen cél elérése érdekében engedélyezhető ilyen művelet.
Megfontolandó olyan szabályok megalkotása, amelyek korlátozzák az olyan offenzív kiberműveleteket, amelyek például a magyar állami szervek, a pártok, az egyházak, a civil szervezetek, a sajtó, vagy a közvélemény befolyásolását eredményezhetik. Az adatvédelmi hatóság egyetért azzal, hogy az offenzív kiberműveletek a külső engedélyhez kötött eszközök között legyenek elhelyezve a nemzetbiztonsági szolgálatokról szóló törvény szabályozási rendszerében.
Terrorelhárítási Központ járőrdrónok
A hatóság a Terrorelhárítási Központ képességeinek bővítéséhez, a feladat végrehajtás magasabb szintű ellátásához szükséges eszközbeszerzések forrásainak biztosításáról szóló kormányhatározat tervezetéből szerzett tudomást a drónok mobil megfigyelőplatformként (például járőrdrónként) történő alkalmazására vonatkozó tervről. A NAIH az elképzelés célszerűségét nem vitatva rámutatott arra, hogy az minden bizonnyal túlmutat a kép- és hangfelvétel készítésnek a törvényben meghatározott hatályos szabályain, ezért a tervezett fejlesztések megvalósítására csak annyiban kerülhet sor, amennyiben azokat a vonatkozó törvény a személyes adatok védelmének követelményeivel összhangban lehetővé teszi.
NOVA.mobil
Egy 2019-ben előkészített törvénymódosítás lehetővé tette a rendőrség számára az igazoltatás során az intézkedés alá vont személy arcképmás alapján, gépi arcfelismerés támogatással történő azonosítását. A módosítások célja a személyi szabadság korlátozásával járó előállítások számának csökkentése, a személyazonosítás egyszerűbbé és gyorsabbá tétele, az intézkedés hatékonyságának növelése volt.
Az azonosítás folyamata a következőképpen zajlik: ha az igazoltatott személy nem tudja a személyazonosságát igazolni, mert nincs nála személyazonosító igazolvány, úgy az intézkedést végző rendőr a nála lévő NOVA.mobil alkalmazással ellátott eszközzel fényképfelvételt készít az intézkedés alá vont személyről.
Az alkalmazás ez alapján az arckép alapján felajánl öt, a központi biometrikus arcképprofil-nyilvántartásból nyert találatot, amelyek közül a rendőr helyben eldönti, melyik egyezik meg az igazoltatás alá vont személlyel. Ezután az alkalmazás letölti a központi személyiadat- és lakcímnyilvántartásból az arckép alapján kiválasztott személy igazoltatáshoz szükséges adatait. Az arcképfájlokat a mobileszköz átmenetileg tárolja, majd automatikusan törli. A NOVA.mobil alkalmazás a Rendőrség által alkalmazott Robotzsaru rendszer része. A Robotzsaru rendszerben végzett minden műveletről naplóállomány készül.
Az adatvédelmi hatóság megállapította, hogy az adatkezelés a rendőri intézkedéshez szükséges adatok kezelését könnyíti meg. Az alkalmazás működése félautomatikus, vagyis az igazoltatott személy azonosságának megállapítását nem a szoftver végzi, hanem az intézkedő rendőr. Az élőmunka igény olyan szűk keresztmetszetet hoz létre az adatok felhasználásának folyamatában, amely nem teszi lehetővé a tömeges adatgyűjtést.
NBSZ arcképfelismerő rendszere
A NAIH egy bejelentés alapján indított vizsgálatot a Nemzetbiztonsági Szakszolgálat (NBSZ) által a körözési nyilvántartási rendszerről és a személyek, dolgok felkutatásáról és azonosításáról szóló törvényben említett, személyazonosítást elősegítő informatikai rendszer alkalmazásával végzett adatkezelés jogszerűségének tárgyában.
A törvény vonatkozó szabályai lényegében azt írják elő, hogy az NBSZ jogosult a körözési adatbázis arckép adatait átvenni, és ha a személyazonosítást elősegítő informatikai rendszere üzemeltetése során olyan találatot észlel, amely olyan körözött személy azonosítását segíti elő, akinek az adatai közérdekből nyilvánosak és a találat jelzése az NBSZ feladatai ellátását nem sérti, úgy a rendszer értesíti a körözési eljárást lefolytató szervet a találatról.
A vázolt jogi szabályozás csak utal az NBSZ személyazonosítást elősegítő informatikai rendszerére, de törvény nem tisztázza annak rendeltetését és alkalmazásának szabályait, ezért a hatóság megkereste az NBSZ főigazgatóját a tényállás tisztázása érdekében. Az NBSZ főigazgatója válaszának értelmében az arcképfelismerő rendszer adatkezelője az NBSZ. A rendszer alapvető célja és rendeltetése az NBSZ nemzetbiztonsági szolgálatokról szóló törvényben meghatározott szolgáltatói tevékenységének elősegítése.
A rendszer azon személyek azonosítását segíti elő, akiket illetően az NBSZ a titkos információgyűjtésre feljogosított szervek megkeresésének teljesítése érdekében figyelési feladatot hajt végre. Emellett a figyelési feladatok végrehajtásának elősegítésére kiépített rendszer a törvény szabályai szerint alkalmazható a körözött személy azonosítására és tartózkodási helyének meghatározására is. A rendszernek az arcképfelismerésen túl nem célja az érintettek személyazonosságának meghatározása, és erre irányuló technikai megoldás nem is része a rendszernek.
A rendszer működéséhez (az arckép felismeréshez) szükséges arckép referenciaadatok az NBSZ szolgáltatásának igénybevételére jogosult szervektől érkezhetnek, illetve a körözési eljárás esetében a körözési nyilvántartást vezető szervtől. A körözési eljárás elősegítése érdekében az NBSZ jogosult közvetlen hozzáféréssel átvenni a körözési nyilvántartás közérdekből nyilvános adatait. Ha az NBSZ a rendszer működtetése során körözött személyre vonatkozó találatot észlel, akkor értesíti a körözési eljárást folytató szervet a további intézkedések megtétele érdekében.
A rendszer állandó helyszíneken, valamint mobil adatgyűjtő pontok alkalmazásával is szerez mozgókép adatokat. Az adatgyűjtési helyszíneket a törvény által feljogosított szervek megrendeléseiben szereplő helyadatok határozzák meg, az adatgyűjtés időtartamával együtt. Egy-egy adott helyszín mérete és elhelyezkedése szabja meg az adatgyűjtési pontok számát, amelyek elhelyezése során az adott helyszín megközelítési útvonalai teljes lefedettsége elsődleges szempont.
Az NBSZ a megkeresésekben szereplő időintervallum, valamint a megrendelő szervvel végzett előzetes egyeztetés alapján dönt arról, hogy állandó kiépítésre vagy mobil adatgyűjtésre kerüljön sor. A rendszerben a törvény által feljogosított szervek írásbeli megrendeléseihez csatolt arcképek egyedi jellemzőinek algoritmikus elemzésével hozzák létre azt a biometrikus arckép referencia-adatbázist, amelyhez a rendszer működése során az adatgyűjtési pontokról származó képadatokat automatizáltan, emberi közreműködéssel hasonlítják.
Az NBSZ a törvény alapján a titkos információgyűjtésre jogosult szervek megkereséseinek teljesítése érdekében kezelt arcképadatokat a megkeresés érvényességi idejére (teljesítésének időtartamára) rendezi be a rendszer biometrikus arckép referencia-adatbázisába. A körözések kapcsán kezelt adatokat folyamatos adatkapcsolattal szinkronizálják a körözési nyilvántartáshoz. Ha az NBSZ a rendszer üzemeltetése során körözött személy azonosítását elősegítő találatot észlel, akkor értesíti a körözési eljárást lefolytató szervet.
A rendszer működtetése során a reagáló képesség érdekében egy adott helyszínen az NBSZ állományának személyes jelenléte mellett az intézkedést foganatosító szerv állományának is jelen kell lennie ahhoz, hogy a körözött személlyel szemben intézkedést lehessen foganatosítani. A rendszer működtetése során közreműködő NBSZ munkatársak csak az arcképet, az ahhoz rendelt egyedi azonosító számot, valamint a megrendelő szerv megnevezését látják. Az adatgyűjtési pontokon nem helyeznek el az NBSZ által végzett képfelvételre utaló figyelmeztető táblát, vagy egyéb jelzést.
A rendszer 2018-ban mintegy 6000 arckép-azonosságot jelzett, amely alapján a nyílt intézkedést folytató szervek a helyszíneken összesen 209 igazoltatást hajtottak végre és 4 fő előállítására került sor. A Hatóság a megismert információk alapján megállapította, hogy az NBSZ által üzemeltetett rendszer elsődleges rendeltetése a figyelési feladatok végrehajtásának elősegítése titkos információgyűjtés keretében, ami választ ad arra, hogy miért nincsenek végrehajtási rendeletben szabályozva a rendszer működtetésének részletei, és miért nem helyez el az NBSZ a figyelési helyszíneken a képfelvétel készítésére figyelmeztető jelzést.
Mindazonáltal az adatkezelő szerv fentebb ismertetett válaszai alapján megállapítható, hogy bár az NBSZ vizsgált rendszerének működése rejtett, részben automatizált és az adatfelvételi pontokon rögzített képállományokban felismert személyek esetében az aktuális (figyelési és körözési) referencia-adatbázissal összevetve a cél a keresett személyek kiszűrése, ám megállapítható, hogy az adatkezelés nem lépi túl a nemzetbiztonsági szolgálatok törvényben meghatározott titkos információgyűjtési és adatkezelési felhatalmazását, különös tekintettel a következőkre:
- Az adatkezelő szerv azzal válaszolt a hatóság adatgyűjtési pontok számára, az adatgyűjtés helyszíneire (a települések megnevezésére), valamint az adatgyűjtő pontok elhelyezésére vonatkozó kérdésére, hogy a helyszíneket a törvény által feljogosított szervek megrendeléseiben meghatározott helyadatok határozzák meg, az adatgyűjtés időtartamával együtt. A hatóság ebből arra következtetett, hogy az NBSZ által működtetett rendszer nem nagy földrajzi területen kiépített, állandóan működő megfigyelőrendszer, hanem egyes konkrét megfigyelési feladatok által meghatározott helyszínekre lokalizáltan, az adott feladat határidejéhez igazodva működtetik azt.
- Az NBSZ által működtetett rendszer nem alkalmas arra, hogy az adatgyűjtési pontokon a kamera látóterében megjelenő személyeket automatizáltan azonosítva tömeges, készletező személyazonosítással járó adatgyűjtést végezzen, hanem kizárólag csak a referencia-adatbázis aktuális adattartalma alapján végez arckép összehasonlítást. A referencia-adatbázis figyelési feladatokkal kapcsolatos adattartalmának megőrzési ideje az adott feladat időtartamára korlátozott. A referencia-adatbázis körözéssel kapcsolatban tárolt arcképadatait a körözési nyilvántartáshoz szinkronizálják.
- A gépi rendszerrel segített arckép összehasonlítás, valamint a reagálás emberi munkát igényel. Az élőmunka igény olyan szűk keresztmetszetet hoz létre az adatok felhasználásának folyamatában, amely kizárja a tömeges, készletező jellegű biometrikus adatgyűjtést. A vizsgálat során nem jutott a NAIH birtokába olyan információ, amely arra utalna, hogy az NBSZ a megfigyelési feladatok végrehajtását segítő és emellett a törvényben foglaltak szerint is használt rejtett megfigyelő rendszere a személyes adatok védelméhez való jog tömeges sérelmét okozó, nagy földrajzi területen folyamatosan működő, automatizált, szűrő-kutató jellegű, tömeges titkos megfigyelést végző infrastruktúraként működne.
Pivacy Shield
A 2016-ban az Európai Bizottság által elfogadott megfelelőségi határozat (amely alapján az EU-USA Adatvédelmi Pajzs, ún. „Privacy Shield”, alá tartozó szervezetek megfelelő védelmi szintet biztosítanak a személyes adatoknak) harmadik éves közös felülvizsgálata 2019. szeptember 11-13. között került megrendezésre Washingtonban, melyen a NAIH egy munkatársa is részt vett. Általános problémaként merült fel – hasonlóan a korábbi évekhez – azt, hogy továbbra sem terjednek ki az eljárások a Privacy Shield elveknek való tényleges, tartalmi jellegű megfelelés vizsgálatára.
A vizsgálat nyomán kiadott jelentés fenntartotta a nemzetbiztonsági és bűnüldözési célú adatkezelésekkel kapcsolatban a korábbi években megfogalmazott aggályok egy részét, így például a jogorvoslat hiányát a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény (’FISA’) 702-es pontja, illetve a 12333. számú elnöki rendelet alapján történő adatgyűjtések esetén. Ismételten megfogalmazódott azon aggály, hogy a nemzetbiztonsági célú adatgyűjtésekkel kapcsolatban nagyon kevés információt oszt meg az Amerikai Egyesült Államok delegációja a felülvizsgálat során, amely megnehezíti a megfelelő védelmi szint meglétének elemzését.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: