A napokban jelentek meg a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) hivatalból indított vizsgálatának megállapításai a „Pegasus” kémszoftver Magyarországon történő alkalmazásával összefüggésben. A médiában ezzel kapcsolatban az anyag terjedelméhez és tartalmához képest meglehetősen leegyszerűsítő (vö.: nem talált problémát a hatóság a szoftver használatával kapcsolatban), a NAIH szerint részben téves meglátásokat tartalmazó cikkek jelentek meg.
A jelentés a véleményem szerint messze túlmutat az adott ügy jelentőségén, és főleg a sajtóban eddig megjelenteken, a másik oldalról viszont jól beilleszthető abba folyamatba, amelynek során a NAIH – az egyébként jogszabályban biztosított keretek között – aktívabb a nemzetbiztonsági területek ellenőrzése kapcsán és ezzel – a véleményem szerint – lassan átbillen (hangsúlyozottan: de facto és nem de jure) az ellenőrzés súlypontja a gyakran döntésképtelen Nemzetbiztonsági bizottságtól, ha annak a mérőfoka a nyilvánosság tájékoztatása és a független vizsgálat ténye.
Amennyiben ez a jelenség esetleg tovább erősödik, annak hosszú távú jelentősége van, hiszen a NAIH működését nyilvánvalóan meghatározó elnöke kilenc évig, vagyis parlamenti ciklusokon átívelően maradhat a köztársasági elnök kinevezése nyomán a tisztségében, és a megbízatásának megszűnését követően a hatóság elnökének egy alkalommal újra kinevezhető, ahogy az legutóbb, 2020. októberében meg is történt. Ezt alátámasztandó, illetve a Pegasus-kérdéskör elemzése érdekében, kiemelnék és idéznék néhány érdekes gondolatot a jelentésből.
Az eszközt a Nemzetbiztonsági Szakszolgálat alkalmazta
„A Hatóság rendelkezésére álló adatok alapján megállapítható, hogy a vizsgálat tárgyát képező eszköz alkalmazását Magyarországon a Nemzetbiztonsági Szakszolgálat hajtotta végre. A Nemzetbiztonsági Szakszolgálatnak a nemzetbiztonsági és rendvédelmi szervek központi szolgáltató szerveként nem csak joga, de kifejezett kötelessége is, hogy a szolgáltató feladatai ellátásához szükséges eszközök rendelkezésre állását biztosítsa.”
A megállapítás számomra egyáltalán nem meglepő, de érdekes aspektus abban a tekintetben, hogy a Kósa Lajos nyilatkozata miatt tett feljelentés elutasításának indokolásából az derült ki, az ügyészség hivatalos tudomással bírt arról, hogy a Belügyminisztérium Pegasus néven nem vásárolt szoftvert. „Mint írták, a fent említett bűncselekményt minősített adatra lehet elkövetni, a feljelentés – a feljelentő feltételezésén túl – ugyanakkor nem tartalmaz olyan körülményre vonatkozó konkrét adatot, tényt, amely az általa kifogásoltak szerint azt támasztaná alá, hogy a feljelentéssel érintett személy minősített adatot tett volna jogosulatlan személyek részére hozzáférhetővé.”
A hatóság széleskörű ellenőrzést végzett
„A Hatóság a vizsgálat keretében megkereste a Nemzetbiztonsági Szakszolgálat főigazgatóját a tényállás tisztázása érdekében szükséges információk rendelkezésre bocsátása érdekében, valamint statisztikai adatszolgáltatást kért az eszközalkalmazást illetően. A Hatóság helyszíni vizsgálatot tartott a Nemzetbiztonsági Szakszolgálatnál, szóbeli felvilágosítást, valamint iratmásolatokat kért, továbbá betekintett a vonatkozó dokumentációkba. A Hatóság helyszíni ellenőrzést tartott az egyes megrendelő szerveknél is, amelynek során a vonatkozó iratanyagba történő betekintéssel vizsgálta meg a külső engedélyezés jogszerűségét.”
A fentiek alapján elmondható, hogy a NAIH nem pusztán a Nemzetbiztonsági Szakszolgálatnál, hanem az egyes megrendelő szerveknél is helyszíni ellenőrzést tartott. Érdekesség a többes szám használata, ami arra utalhat, hogy az eszközt több nemzetbiztonsági szolgálat érdekében is használták, ami nyilván következik a Nemzetbiztonsági Szakszolgálat feladatellátásának sajátosságaiból.
Ezt még tovább gondolva, arra a megállapításra is el lehet jutni, hogy a sajtóban megjelent személyek megfigyelése valójában nem feltétlenül egy nemzetbiztonsági szolgálat megrendeléséből lett végrehajtva. Ezért a véleményem szerint elképzelhető, hogy egy személyt például az Alkotmányvédelmi Hivatal, más személyt viszont más, arra feljogosított szervezet megbízásából figyelt meg a Nemzetbiztonsági Szakszolgálat.
A NAIH megvizsgálta, hogy milyen gyakorlata van külföldön az adatvédelmi hatóságok titkos információgyűjtés törvényességi ellenőrzésének
„A Hatóság feladat- és hatásköre a nemzetbiztonsági szolgálatok adatkezelése, valamint azon belül is a titkos információgyűjtés törvényességi ellenőrzése szempontjából meglehetősen széles körű nemzetközi viszonylatban is. A Hatóság a vizsgálat során megkereste a tagállami adatvédelmi hatóságokat és információt kért a tekintetben, hogy milyen feladat- és hatáskörük van eljárni az adott tagállamok felügyeleti hatóságainak a nemzetbiztonsági célú adatkezelések ellenőrzése során. Az uniós tagállamok adatvédelmi hatóságainak válaszaiból megállapítható, hogy számos tagállam felügyeleti hatósága egyáltalán nem rendelkezik a nemzetbiztonsági szolgálatok adatkezelését, így különösen a titkos információgyűjtést érintően felügyeleti-ellenőrzési hatáskörrel, azon tagállamok többsége pedig, amelyek a nemzeti joguk szerint jogosultak a nemzetbiztonsági célú adatkezelések felügyeletére, még soha nem végeztek ilyen jellegű vizsgálatot.”
És azt állapította meg, hogy számos tagállam felügyeleti hatósága egyáltalán nem rendelkezik a nemzetbiztonsági szolgálatok adatkezelését, így különösen a titkos információgyűjtést érintően felügyeleti-ellenőrzési hatáskörrel, ami pedig még érdekesebb: ahol van ott még soha nem végeztek ilyen jellegű vizsgálatot.
A NAIH egyébként már végzett a Nemzetbiztonsági Szakszolgálatnál titkos információgyűjtéshez/titkos adatszerzéshez kapcsolódó, szolgáltató tevékenységének adatkezelési aspektusait vizsgáló, általános adatvédelmi auditot korábban. Az audit során a Nemzeti Adatvédelmi és Információszabadság Hatóság munkatársai a vonatkozó jogszabályok, belső szabályzatok és eljárásrendek tanulmányozását követően egyedülálló módszerrel világították át a Nemzetbiztonsági Szakszolgálat eljárásait.
A NAIH egy külső szolgáltató segítségét kérte a jelentés elkészítéséhez
„A Hatóság a „Pegasus” kémszoftverrel kapcsolatos hírek és információk elemzésére az Alverad Technology Focus Kft.-t kérte fel. Az információbiztonsági szakértő az alábbi összefoglaló elemzést készítette a „Pegasus” szoftverről.”
Szokatlan, de nem példa nélküli módon, a NAIH a jelentés elkészítéséhez egy információbiztonsági tanácsadó céget kért fel, az Alverad Technology Focus Kft.-t. Tevékenységük leginkább a Pegasus szoftver alkalmazási feltételeinek, illetve működésének vizsgálatára szorítkozott, támaszkodva a külföldi sajtóértesülésekre.
Ezzel kapcsolatban érdekes, hogy a jelentés terjedelmének jelentős részét képezik a megállapításaik, amik tehát a nyilvánosság előtt megismerhető információkon, külföldi sajtóértesüléseken, elemzéseken alapulnak.
A hatóság vizsgálata „nem terjedhetett ki” a titkos információgyűjtésre használt eszközök és módszerek működésének és működtetésének műszaki-technikai adataira
„A külső engedélyezés jogszerűségének vizsgálata során a Hatóság megvizsgálja, hogy az előterjesztő megfelelően igazolta-e, hogy a titkos információgyűjtés nemzetbiztonsági érdekből szükséges. A Hatóság vizsgálata tehát kiterjed a nemzetbiztonsági érdek meglétének és mibenlétének vizsgálatára is. Mivel a Hatóság minden adatkezelés tekintetében vizsgálhatja, hogy az szükséges és arányos mértékben korlátozza-e az érintettek információs önrendelkezési jogát, ezért a nemzetbiztonsági érdekre való hivatkozás esetén is vizsgálandó, hogy a nemzetbiztonsági érdek érvényesítése adott esetben a szükséges és arányos mértékben korlátozza-e a titkos információgyűjtéssel érintettek információs önrendelkezési jogát, illetve a magánszférájuk bizalmasságához való jogot.
A Hatóság feladata annak vizsgálata is, hogy az előterjesztésben foglaltakból okszerűen következik-e az igazságügyért felelős miniszter döntése. E korlátozás értelmében a vizsgálat nem terjedhetett ki a titkos információgyűjtésre használt eszközök és módszerek működésének és működtetésének műszaki-technikai adataira, az azokat alkalmazó személyek azonosítását lehetővé tevő adatokra, valamint a rejtjeltevékenységgel és kódolással kapcsolatos adatokra.”
A jelentésből – a véleményem szerint – az olvasható ki, hogy NAIH nem vizsgálta az eszköz működését, noha a Nemzetbiztonsági Szakszolgálat módszerei korábban vélhetően megismerhetők voltak a számára (például a 2017-es NAIH audit során). A mostani vizsgálat ezért talán kiterjedhetett volna arra is, hogy az eszköz tényleges használata, képességei egyébként megfelelnek-e az ilyen rendszerekkel szemben támasztott adatvédelmi elvárásoknak.
Másként megközelítve: a NAIH megvizsgálta az eljárások jogszabályi és egyéb normatív követelményeknek való, formális megfelelését, megvizsgálta, hogy ezek tartalmilag is indokoltak és arányosak voltak-e, sőt, megvizsgálta azt is, hogy a nemzetbiztonsági érdeknek megfelelően történtek-e a megfigyelések, de azt nem, hogy azt technikailag hogyan végezték és az megfelel-e az adatvédelmi elveknek (pl. adatminimalizálás, célhoz kötöttség stb.).
Minden vizsgált esetben bűncselekmények és terrorcselekmények megelőzése és felderítése volt a cél
„A hatóság vizsgálata során nem merült fel arra vonatkozó információ, hogy a törvény szerinti külső engedélyhez kötött titkos információgyűjtésre felhatalmazott szervek, a gyártó által meghatározott célokon (bűncselekmények és terrorcselekmények megelőzése és felderítése), valamint törvényben meghatározott feladataik ellátásán túl, egyéb célra használtak volna kémszoftvert.
A Hatóság vizsgálata során feltárt körülmények és rendelkezésére álló információk szerint a technikai eszközt a Nemzetbiztonsági Szakszolgálat kizárólag a bűncselekmények és terrorcselekmények megelőzése és felderítése céljára, illetve a vonatkozó magyar jogszabályok által meghatározott feladatai ellátása érdekében használja és biztosítja, hogy azt nem használják alapvető jogok jogellenes korlátozására.”
Talán nem került kihangsúlyozásra, de a hatósági eljárás alapján úgy tűnik, hogy a NAIH, megvizsgálva a megfigyelés és adatgyűjtés okait (ideértve a nemzetbiztonsági érdeket is), minden ellenőrzött esetben azt találta, hogy az valamennyi esetben indokolt volt. Méghozzá azért, mert a bűncselekmények és terrorcselekmények megelőzésének és felderítésének célját szolgálta.
Nem ismert persze az ellenőrzött esetek átfedése a médiában megjelent információkkal, de mindenképp érdekes, ha összevetjük a sajtó által megjelölt személyekkel ezt a megállapítást.
A jelentés alapján számomra úgy tűnik, hogy a szoftvert a Nemzetbiztonsági Szakszolgálat a NAIH vizsgálatának időpontjában, vagyis az ügy kirobbanását követően is használta
„A sajtóban megjelent hírekkel ellentétben, a Hatóság vizsgálata során nem merült fel arra vonatkozó információ, hogy a technikai eszköz használatát az izraeli védelmi minisztérium megtiltotta volna Magyarországnak.”
Érdekesség az is, hogy a jelentés tervezete előszeretettel használta a „vizsgálat” szót és kerülte az „ellenőrzést” (szótöredékként, „ellenőr”: 58 db, „vizsgál”: 213 db). Ez azzal összevetve értékelhető, hogy miközben saját eljárását tehát gyakran „vizsgálatként” említi, addig a társhatóságok eljárásai kapcsán felügyeleti-ellenőrzési eljárások meglétéről és tartalmáról érdeklődött.
Az egyes bekezdések megfogalmazása alapján nekem egyébként úgy tűnik, hogy a rendszert a vizsgálat időpontjában is, vagyis az ügy kirobbanása után is használta a Nemzetbiztonsági Szakszolgálat.
A Nemzetbiztonsági Bizottság eljárása de facto nem nyújtott érdemi tájékoztatást a nyilvánosság számára, a NAIH eljárása viszont igen
„A nemzetbiztonsági szolgálatok működésének jogszerűségét az Országgyűlés Nemzetbiztonsági Bizottsága hivatott ellenőrizni. A szolgálatok parlamenti ellenőrzésének szabályait az Nbtv rögzíti. Eszerint a Nemzetbiztonsági Bizottság az ellenőrzési tevékenysége keretében tájékoztatást kérhet a minisztertől és a szolgálatok főigazgatóitól a szolgálatok működéséről, tájékoztatást kérhet az illetékes miniszterektől, valamint a főigazgatóktól a külső engedélyhez kötött titkos információgyűjtéssel kapcsolatos engedélyezési eljárásról, kivizsgálhatja a nemzetbiztonsági szolgálatok jogellenes tevékenységére utaló panaszokat, és vizsgálat lefolytatására kérheti fel a minisztert, ha valamely szolgálat jogszabályellenes tevékenységét feltételezi.”
A legfontosabb és talán legérdekesebb az egy organikus folyamat, amely már évekkel ezelőtt elindult, és vélhetően nem is a jelenlegi ponton zárul le. A NAIH érdemi ellenőrzési jogköre, és annak tényleges gyakorlata ugyanis már évekkel ezelőtt felvetődött, és úgy tűnik, hogy az Országgyűlés Nemzetbiztonsági Bizottsága helyett egyre inkább a NAIH eljárása fog ezen a területen érvényesülni.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
