A még alig néhány hónapja hivatalban lévő adatvédelmi biztos kiemelt figyelmet fordít az internetes, illetve a számítástechnikával összefüggő adatbiztonságra, ezért motivációiról, valamint terveiről kérdeztük.

IT café: Azt hiszem, nyugodtan kijelenthetjük, hogy megválasztása óta nem tétlenkedik, szinte hetente hallani arról, hogy újabb és újabb adatvédelmi problémákra hívja fel a figyelmet, vizsgálatokat indít, jogszabályok felülvizsgálatát kezdeményezi. Ezek közül igen érdekes az a néhány héttel ezelőtti javaslata, melyben a nemzetbiztonsági szolgálatok megfigyelési szabályozásának hiányosságaira figyelmeztetett.

Jóri András: Ebben az esetben a nemzetbiztonsági szolgálatok külső engedélyhez kötött titkos információgyűjtését vizsgáltam meg. Nekik egyébként vannak más típusú információgyűjtési módszereik is, illetve más tevékenységeik is, melyeket később szintén meg kívánok vizsgálni, ám az említett szűkebb kör talán a legérdekesebb és legbonyolultabb, mivel ezek a legérzékenyebb területek. Ide tartozik a titkos házkutatás, a telefonlehallgatás, valamint a törvény kissé homályosan fogalmazott szövege szerint az ezeket helyettesítő titkos megfigyelések. Vagyis azok a tevékenységek, amikor a szolgálatok mélyen beavatkoznak a magánszférába. Ezek engedélyköteles eljárások, s engedélyért vagy az igazságügyi és rendészeti miniszterhez, vagy a Fővárosi Bírósághoz kell fordulni.

2008-ban Sólyom László köztársasági elnök az adatvédelmi biztos pozíciójára jelölte. Az Országgyűlés 306 igen és 40 nem szavazat ellenében megválasztotta országgyűlési biztossá. E minőségében a személyes adatok védelméről, a közérdekű adatok nyilvánosságáról szóló jogszabályok érvényesülését felügyeli, javaslatot tehet az államtitkok, szolgálati titkok minősítésének feloldására, és képviseli Magyarországot az EU adatvédelmi együttműködési fórumain.
A vizsgálat több érdekes eredményt is hozott, de ami az IT café olvasóit igazán érdekelheti, azok az IT-vonatkozású, az online tevékenységekhez kapcsolódó megállapítások. Itt azzal találkoztunk, hogy az engedélyekhez nem kötött megfigyelések szabályozásában létezik egy olyan pont, mely megengedi, hogy a szolgálat „hírközlési adatállományokból adatokat gyűjthessen”, s ide akár az online házkutatást is beleérthetjük.

Ez nem egyértelmű, nem világos, s ezért az a véleményem, hogy ezt a szabálymegfogalmazást egyértelműsíteni kell – már ha a jogalkotó egyáltalán úgy gondolja, hogy ezt meg kell engednie. Ha az online házkutatás Magyarországon törvényes tevékenységgé válik, akkor a német példát követve be kell sorolni a külső engedélyhez kötött tevékenységek közé, hogy megszűnjön a jogbizonytalanság.

A vizsgálat esetében egyébként problematikusnak találtam azt is, hogy osztott az engedélyezési eljárás – miniszter, illetve bíróság –, vagyis a megrendelő befolyásolja azt, hogy ki lesz az engedély kiadója. Ugyancsak aggályos az is, hogy az utólagos jogorvoslat lehetősége nem adott, a bíróság által kiadott engedélyeket senki nem vizsgálhatja felül később, még a parlament Nemzetbiztonsági Bizottsága sem. E problémák megoldására tettem ajánlásokat márciusban a megfelelő fórumokon.

IT café: Mi a helyzet az Ügyfélkapu ügyével? Az év elején komoly visszhangot keltett az eset, hiszen komoly „adatbiztonsági eseménynek” tekinthető, s ön is roppant aktív módon kezdett el vizsgálódni már a kezdetektől fogva.

Jóri András: Márciusban már rendelkezésre álltak dokumentumok, melyeket az érintettektől megkaptunk, de nem minden, s azt is el kell mondanom, hogy egy kissé készségesebb együttműködést kérnék számon a hivatalokon, egy kissé gyorsabb adatszolgáltatást, mivel különféle bürokratikus kifogásokra alapozva lassították az vizsgálatot. Egyébként is szeretném felgyorsítani az eljárásokat. Nem tartom jó módszernek például a levelezgetést, amikor hetek telnek el, s még mindig csak egyeztetünk, s érdemi előrelépés nem történik. Emiatt forszíroztam – s a jövőben is így teszek – a helyszíni vizsgálatokat. Erre a törvény felhatalmazza a biztost, csak ezt korábban kevésszer alkalmazták. Egy kritikus esetnél az azonnali személyes jelenlét sokat jelenthet. Ez persze nem azt jelenti, hogy én magam végzem a teljes munkát, nem, a biztos kollégái a megfelelő protokoll szerint ott azonnal elkezdik az információkat, dokumentumokat begyűjteni, majd itt a hivatalban alapos elemzésnek vetik alá.

Az Ügyfélkapu esetében is igyekeztem így eljárni, de talán ez nem volt elégséges súlyú. A dokumentumok jó részét megkaptuk, elemezzük őket – készült korábban egy belső kormányzati vizsgálat is, ennek megállapításait is figyelemben vesszük, de nem feltétlenül –, s ha szükséges, külső szakértőket is bevonunk az informatikai szakterület vizsgálatára. A munkánk első része, hogy megállapítsuk: mi történt. Ezt követi a jogi háttér feltárása – e területen a biztosi hivatal az elmúlt évek feladatai következtében nagy szakértelemmel és rutinnal rendelkezik –, majd pedig, s ez némileg újdonság, az auditor végzettségű informatikai szakértők bevonása.

Úgy látom, az Ügyfélkapu ügye lesz a „lakmuszpapír”, hogy képes leszek-e e területen előrelépni, vagyis nem csak érvényesíteni kívánom az adatvédelmi biztos jogát arra, hogy bárhová beléphet, bármilyen adatot kikérhet, ha az adatbiztonságot veszélyeztető eseményről van tudomása, hanem azt is természetessé kívánom tenni, hogy ezeket a vizsgáltatokat gyorsan és hatékonyan végezhessük el.

IT café: Azt hiszem, nyugodtan kijelenthetjük, hogy megválasztása óta nem tétlenkedik, szinte hetente hallani arról, hogy újabb és újabb adatvédelmi problémákra hívja fel a figyelmet, vizsgálatokat indít, jogszabályok felülvizsgálatát kezdeményezi. Ezek közül igen érdekes az a néhány héttel ezelőtti javaslata, melyben a nemzetbiztonsági szolgálatok megfigyelési szabályozásának hiányosságaira figyelmeztetett.

Jóri András: Ebben az esetben a nemzetbiztonsági szolgálatok külső engedélyhez kötött titkos információgyűjtését vizsgáltam meg. Nekik egyébként vannak más típusú információgyűjtési módszereik is, illetve más tevékenységeik is, melyeket később szintén meg kívánok vizsgálni, ám az említett szűkebb kör talán a legérdekesebb és legbonyolultabb, mivel ezek a legérzékenyebb területek. Ide tartozik a titkos házkutatás, a telefonlehallgatás, valamint a törvény kissé homályosan fogalmazott szövege szerint az ezeket helyettesítő titkos megfigyelések. Vagyis azok a tevékenységek, amikor a szolgálatok mélyen beavatkoznak a magánszférába. Ezek engedélyköteles eljárások, s engedélyért vagy az igazságügyi és rendészeti miniszterhez, vagy a Fővárosi Bírósághoz kell fordulni.

2008-ban Sólyom László köztársasági elnök az adatvédelmi biztos pozíciójára jelölte. Az Országgyűlés 306 igen és 40 nem szavazat ellenében megválasztotta országgyűlési biztossá. E minőségében a személyes adatok védelméről, a közérdekű adatok nyilvánosságáról szóló jogszabályok érvényesülését felügyeli, javaslatot tehet az államtitkok, szolgálati titkok minősítésének feloldására, és képviseli Magyarországot az EU adatvédelmi együttműködési fórumain.
A vizsgálat több érdekes eredményt is hozott, de ami az IT café olvasóit igazán érdekelheti, azok az IT-vonatkozású, az online tevékenységekhez kapcsolódó megállapítások. Itt azzal találkoztunk, hogy az engedélyekhez nem kötött megfigyelések szabályozásában létezik egy olyan pont, mely megengedi, hogy a szolgálat „hírközlési adatállományokból adatokat gyűjthessen”, s ide akár az online házkutatást is beleérthetjük.

Ez nem egyértelmű, nem világos, s ezért az a véleményem, hogy ezt a szabálymegfogalmazást egyértelműsíteni kell – már ha a jogalkotó egyáltalán úgy gondolja, hogy ezt meg kell engednie. Ha az online házkutatás Magyarországon törvényes tevékenységgé válik, akkor a német példát követve be kell sorolni a külső engedélyhez kötött tevékenységek közé, hogy megszűnjön a jogbizonytalanság.

A vizsgálat esetében egyébként problematikusnak találtam azt is, hogy osztott az engedélyezési eljárás – miniszter, illetve bíróság –, vagyis a megrendelő befolyásolja azt, hogy ki lesz az engedély kiadója. Ugyancsak aggályos az is, hogy az utólagos jogorvoslat lehetősége nem adott, a bíróság által kiadott engedélyeket senki nem vizsgálhatja felül később, még a parlament Nemzetbiztonsági Bizottsága sem. E problémák megoldására tettem ajánlásokat márciusban a megfelelő fórumokon.

IT café: Mi a helyzet az Ügyfélkapu ügyével? Az év elején komoly visszhangot keltett az eset, hiszen komoly „adatbiztonsági eseménynek” tekinthető, s ön is roppant aktív módon kezdett el vizsgálódni már a kezdetektől fogva.

Jóri András: Márciusban már rendelkezésre álltak dokumentumok, melyeket az érintettektől megkaptunk, de nem minden, s azt is el kell mondanom, hogy egy kissé készségesebb együttműködést kérnék számon a hivatalokon, egy kissé gyorsabb adatszolgáltatást, mivel különféle bürokratikus kifogásokra alapozva lassították az vizsgálatot. Egyébként is szeretném felgyorsítani az eljárásokat. Nem tartom jó módszernek például a levelezgetést, amikor hetek telnek el, s még mindig csak egyeztetünk, s érdemi előrelépés nem történik. Emiatt forszíroztam – s a jövőben is így teszek – a helyszíni vizsgálatokat. Erre a törvény felhatalmazza a biztost, csak ezt korábban kevésszer alkalmazták. Egy kritikus esetnél az azonnali személyes jelenlét sokat jelenthet. Ez persze nem azt jelenti, hogy én magam végzem a teljes munkát, nem, a biztos kollégái a megfelelő protokoll szerint ott azonnal elkezdik az információkat, dokumentumokat begyűjteni, majd itt a hivatalban alapos elemzésnek vetik alá.

Az Ügyfélkapu esetében is igyekeztem így eljárni, de talán ez nem volt elégséges súlyú. A dokumentumok jó részét megkaptuk, elemezzük őket – készült korábban egy belső kormányzati vizsgálat is, ennek megállapításait is figyelemben vesszük, de nem feltétlenül –, s ha szükséges, külső szakértőket is bevonunk az informatikai szakterület vizsgálatára. A munkánk első része, hogy megállapítsuk: mi történt. Ezt követi a jogi háttér feltárása – e területen a biztosi hivatal az elmúlt évek feladatai következtében nagy szakértelemmel és rutinnal rendelkezik –, majd pedig, s ez némileg újdonság, az auditor végzettségű informatikai szakértők bevonása.

Úgy látom, az Ügyfélkapu ügye lesz a „lakmuszpapír”, hogy képes leszek-e e területen előrelépni, vagyis nem csak érvényesíteni kívánom az adatvédelmi biztos jogát arra, hogy bárhová beléphet, bármilyen adatot kikérhet, ha az adatbiztonságot veszélyeztető eseményről van tudomása, hanem azt is természetessé kívánom tenni, hogy ezeket a vizsgáltatokat gyorsan és hatékonyan végezhessük el.

IT café: Egy másik, nagy port felvert esetről is szeretném megkérdezni. Tavaly év végén, illetve az idei év elején a Veszprémi Egyetemen két súlyosnak tekinthető adatbiztonsági incidens is történt. Példaértékűnek tartom őket, mivel nem hiszem, hogy pont Veszprémben dolgoznak a leghanyagabb informatikusok, viszont a körülmények folytán ezek kerültek napvilágra, s több olyan jellemzőre is rávilágítottak, melyekkel Magyarországon eddig nem néztünk szembe. A két eset jelentős mértékben eltér egymástól: az egyiknél egy, a személyét felvállaló ember mondhatni véletlenül bukkant rá a neten „felejtett” adatokra, míg a másikban egy valódi hackertámadásról volt szó. Ami meglepett, hogy mennyire nem tudta az egyetemi vezetés kezelni, kommunikálni a történteket, s azóta is hiába várok a hivatalos állásfoglalásra, mivel számtalan megkeresés után sem hajlandók kiadni egy záróközleményt.

Jóri András: Számomra az a legfőbb tanulsága mind az Ügyfélkapu, mind a Veszprémi Egyetem ügyének, hogy vajon hány olyan eset van, amely nem kerül nyilvánosságra. S épp ezért gondolom, hogy Magyarországon is helye lenne egy olyan szabályozásnak, mely a biztonsági incidensek nyilvánosságra hozását előírná. Erre egyébként reális esély van, mivel létezik egy európai e-privacy irányelv, s kifejezetten az elektronikus hírközlési szektor adatvédelméről szól, s annak most lesz egy módosítása, mely várhatóan ki fog erre terjedni. Azt azért hozzátenném, hogy az Ügyfélkapu esetében a felelősségre vonás menete, sebessége és mértéke úgy zajlott, hogy azt pozitívan kell értékelnünk. S bár a biztonsági szakmák jellegükben zártak, zárkózottak, de talán azt is meg kellene szoknia az informatikai biztonságtechnikai szakembereknek, hogy nem élhetnek az eddigi elzárt elefántcsonttornyukban, és – ahogy ez sok nyugati országban, ha nyögvenyelősen is, de megtörtént –, hogy a biztonsági incidensek nyilvánosságra kerülése az életünk digitalizálódása miatt közügy lett, emellett a nyilvánosság a további hasonló jellegű esetek megelőzését is szolgálja.

Emellett látható a minőségi változás is, eljutottunk hazánkban is egy olyan pontra, amikor már a digitalizált adatkezelés tömegessé válása miatt az átlagembert is sokkal inkább érdekli az adatainak sorsa, s ehhez feltehetően magának az információbiztonsági szakmának, valamint a szoftvertervezésnek, illetve -üzemeltetésnek is alkalmazkodnia kell. Magyarul: újra kell gondolni az eddigi gyakorlatot, főképp ha a közigazgatásról vagy az államigazgatásról van szó.

IT café: A múlt héten adta ki a Google Street View-val kapcsolatos állásfoglalását. Mondana pár szót erről?

Jóri András: A jogi helyzetet most elemzem, és szeretném elérni azt, hogy az európai adatvédelmi hatóságok állásfoglalását, amennyire lehet, harmonizáljuk a Street View ügyében. Sok technológiai és jogi kérdés felmerül: pl. mi a név- és rendszámadatok pontos sorsa, személyes adatnak minősülhet-e egy épület. A Street View mint jelenség azért fontos, mert egy profitorientált cég a helyi közösségek véleményét és a nemzeti jogokat figyelmen kívül hagyva, egyoldalúan kívánja újradefiniálni a magánszféra határait, ami elfogadhatatlan.

IT café: Milyen egyéb, az informatikai adatbiztonságot folytató vizsgálatokat folytat mostanában, illetve miket vett tervbe?

Jóri András: Egy komoly vállalkozás lesz a közeljövőben az iWiW vizsgálata. Két szempontból nézzük meg. Egyrészt, hogy jogi szempontból megfelelően működik-e: adatkezelés, a célzott reklámok ügye, az önrendelkezés jogával élhetnek-e az érintettek, vagyis törlés után mi történik az adatokkal, esetleg milyen adatszolgáltatást teljesítenek külső félnek, nyomozó hatóságnak, illetve monitorozzák-e bármilyen szinten a felhasználók tevékenységét, ha igen, jogszerűen-e vagy nem, mint például a Facebookon, ahol a rossz szándékú felhasználók kiszűrése a cél, s ennek érdekében teljességgel jogszerűen figyelik a tevékenységeket.

Az iWiW-vel egyébként kifejezetten jó a kapcsolatunk, tehát nem gyanús tevékenységek miatt fogunk vizsgálódni, hanem azért, mert az ő esetükben ma már a legnagyobb, nem állami, személyes információkat tároló adatbázisról van szó, s ezért egy ilyen kontroll elkerülhetetlen.

ITCafe.hu, 2009. május 12.

A bejegyzés trackback címe:

https://adatvedelem.blog.hu/api/trackback/id/tr861213017

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása