Kiadta a NAIH a Pegasus ügyről szóló jelentését


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH a Pegasus ügyben közzétett jelentésében megállapította, hogy a Nemzetbiztonsági Szakszolgálat eleget tett a jogszabályi kötelezettségeinek a szoftver használata során.

A NAIH – az Infotv. 51/A. § (1) bekezdése alapján – 2021. augusztus 9. napján hivatalból vizsgálatot indított annak megállapítására, hogy a magyar bűnüldöző szervek és nemzetbiztonsági szolgálatok alkalmazzák-e a sajtóhírekben megjelent „Pegasus” nevű kémszoftvert, és ha igen, e tevékenységük összhangban van-e a személyes adatok kezelésére és védelmére vonatkozó jogszabályi előírásokkal.

A NAIH feladata annak kivizsgálása volt, hogy az Nbtv. 56. § szerinti eszközök és módszerek alkalmazása során az igazságügyért felelős miniszter által engedélyezett titkos információgyűjtésre feljogosított szervek adatkezelése a jogszabályoknak megfelelően működik-e, valamint, hogy a nyilvánosságra került személyek esetében történt-e titkos információgyűjtés, és ha igen, az jogszerűen történt-e. Az érintett szerveknél (megrendelőknél) a vizsgálat tárgyát képező alkalmazással végzett titkos információgyűjtéssel összefüggésben történő adatkezelések általános vizsgálatához a NAIH egy ún. mintavételezési vizsgálati metódust használt.

A NAIH rögzítette, hogy a külső engedélyhez kötött titkos információgyűjtésre jogszabály alapján felhatalmazott szervek az Nbtv. által meghatározott feladataik ellátása érdekében használhatják a titkos információgyűjtés speciális eszközeit és módszereit. Az Nbtv. 53. § (2) bekezdése alapján azonban erre kizárólag abban az esetben van lehetőségük, ha az Nbtv.-ben meghatározott feladataik ellátásához szükséges adatok más módon nem szerezhetők meg. A külső engedélyhez kötött titkos információgyűjtésre jogszabály alapján felhatalmazott szervek feladatait az Nbtv. 4. § – 8. § részletezi, az Nbtv. 9. § b) pontja pedig rögzíti, hogy a nemzetbiztonsági szolgálatok ellátják – többek között – a terrorveszély-helyzettel összefüggő törvényben meghatározott feladatokat.

GDPR

A hatályos magyar jog a külső engedélyhez kötött titkos információgyűjtés alkalmazásának feltételei tekintetében nem differenciál a hivatások, szakmai tevékenységek szerint, vagyis egyetlen hivatás (pl. „újságíró, jogvédő, ellenzéki politikus, ügyvéd és üzletember”) vonatkozásában sem korlátozza a nemzetbiztonsági szolgálatoknak az Nbtv. 56. §-a keretében végzett tevékenysége végzésére való jogosultságát.

A NAIH vizsgálata során nem merült fel arra vonatkozó információ, hogy az Nbtv. 56. §-a szerinti külső engedélyhez kötött titkos információgyűjtésre felhatalmazott szervek, a gyártó által meghatározott célokon (bűncselekmények és terrorcselekmények megelőzése és felderítése), valamint törvényben meghatározott feladataik ellátásán túl, egyéb célra használtak volna kémszoftvert.

A NAIH megállapította, hogy a technikai eszköz alkalmazásáról szóló szerződéses feltételek rögzítik, hogy a szerződő fél az alkalmazás során megteszi mindazokat az intézkedéseket, amelyek az eszköz alkalmazásával érintett személyes adatok illetéktelen külső fél általi megismerését megakadályozzák. A Hatóság álláspontja szerint a szerződés adatvédelemre vonatkozó rendelkezései ehhez az elvárható mértékű garanciákat biztosítják.

A NAIH által megvizsgált igazságügyért felelős miniszteri engedélyek az Nbtv-ben meghatározott tartalmi elemeket – a titkos információgyűjtés helye, ideje, érintettje, az engedélyezett eszköz megnevezése – minden esetben tartalmazták.

A NAIH által megvizsgált előterjesztések tartalmazták a titkos információgyűjtés elrendelésének jogalapját, valamint azt, hogy milyen tények és körülmények indokolják az Nbtv. 56. §-a szerinti eszköz alkalmazását. Az engedélyező az indokolási kötelezettségének – a vonatkozó törvényi előírásoknak megfelelően – a Hatóság által vizsgált valamennyi igazságügyi miniszteri határozatban eleget tett.

A NAIH-hoz egyetlen – a sajtóhírekben megjelent személyi körbe tartozó – érintett sem nyújtott be panaszt vagy kérelmet a Hatóság adatvédelmi hatósági eljárásának indítására, a NAIH feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése, ezért a NAIH a hivatalból indított vizsgálat lefolytatása mellett döntött.

A NAIH hivatalból indított eljárásának fontos szerepe van az érintettek jogainak gyakorlását elősegítendő, tekintettel arra, hogy a nemzetbiztonsági célú adatkezelés során az érintett csak korlátozottan, az Nbtv-ben meghatározottak szerint tudja gyakorolni az Infotv. alapján őt megillető érintetti jogait. Az Nbtv. 48. § szerint ugyanis a nemzetbiztonsági szolgálatok által kezelt adatokról az érintett kérelmére történő tájékoztatást, vagy a személyes adatainak törlését a nemzetbiztonsági szolgálat főigazgatója nemzetbiztonsági érdekből vagy mások jogainak védelme érdekében megtagadhatja, valamint a nemzetbiztonsági szolgálatok minősített adataival kapcsolatban az érintettnek a minősített adat védelméről szóló 2009. évi CLV. törvényben biztosított betekintési jogát a főigazgató nemzetbiztonsági érdekből korlátozhatja. A nemzetbiztonsági szolgálatok kötelezettsége azonban, hogy az érintettektől érkező kérelmeket, azok elbírálásának módját és az elutasításuk indokát nyilvántartsák, és azokról évente tájékoztassák a NAIH-ot.

A NAIH vizsgálata ezért kiterjedt arra is, hogy a NAIH által vizsgált adatkezelőknél történhetett-e adatvédelmi incidens a technikai eszköz alkalmazásával összefüggésben. A NAIH vizsgálata ilyen adatvédelmi incidens bekövetkezésére utaló információt nem tárt fel.

A NAIH nem tudta megállapítani, hogy történt-e adatvédelmi incidens, de amennyiben harmadik fél jogosulatlanul jutott hozzá a kezelt személyes adatokhoz, úgy a Büntető Törvénykönyvről szóló 2012. évi C. törvény (a továbbiakban: Btk.) szerint büntetendő, több bűncselekmény (pl. Btk. 219. §: Személyes adattal visszaélés, Btk. 265. §: Minősített adattal visszaélés, Btk. 261. §: Kémkedés, Btk. 423. §: Információs rendszer vagy adat megsértése, Btk. 424. §: Információs rendszer védelmét biztosító technikai intézkedés kijátszása) tényállásának megvalósulására is sor kerülhetett.
A fentiekre tekintettel nem zárható ki, hogy bűncselekmény történt, ezért a NAIH az Infotv. 70. § (1) bekezdése alapján büntetőeljárás megindítását kezdeményezi a nyomozó hatóságnál.

(naih.hu)




Kapcsolódó cikkek