A sokat mondó és talán jogász-szakmai körökben költőinek ható kérdést Ot Van Daalen tette fel egy nemrég a European Law Blogon megjelent tanulmányában, amelyet minden a magánszféra terén kutatást vagy gyakorlati munkát végző szakember részére jó szívvel ajánlok olvasásra.
Az írás apropója az EU Bizottság által nemrég megalkotott jogalkotási javaslat, amely 2022. májusában látott napvilágot. E, gyermekek szexuális abúzusa elleni harcról szóló rendelettervezet alapjogilag is releváns tartalma mellett egy új decentralizált uniós intézmény (ügynökség), az EU Centre on Child Sexual Abuse létrehozására is javaslatot tesz, melynek székhelyét Hágában helyeznék el.
A rendelettervezet, annak indokolása szerint, az ENSZ Gyermekjogi Egyezménye és az EU Alapjogi Charta szellemében született. Érdekes módon, ellentétben az általában megszokottal, az Emberi Jogok Európai Egyezményére nincs utalás a bizottsági anyagban, bár nyilván azért, mert az nem tartalmaz nevesítetten gyermekjogi, gyermekvédelmi rendelkezéseket. De nem is ez a lényeges, hanem az – amelyre Van Daalen is rávilágít írásában –, hogy a weboldalak blokkolása, az online tartalom kötelező monitoringja, valamint a kommunikáció bizalmasságát biztosító kódolást kijátszó lehetőségek megengedése, mint tervezett eszközök a gyermekek védelmére életre hívott harcban összeegyeztethetőek-e az EU Alapjogi Charta magánszférát és személyes adatokat védő rendelkezéseivel.
A tervezett szabályozás kiterjedt fogalmi hálót alkalmaz, amely meghatározások számos a területen jelentős uniós jogi aktusok (vagy ezek tervezetei) fogalomhasználatára utal vissza, pl. a tartalom-moderálás kapcsán az ún. Digitális Szolgáltatásokról szóló rendeletre, a DSA-ra, míg az ún. „tartalom vagy content-adat” (content data) kapcsán pedig a büntetőügyekben felhasználható elektronikus bizonyítékokat meghatározó ún. e-bizonyíték rendeletre.
Az idézett szerző cikkéből most csak a kommunikáció bizalmasságát érintő kérdésekre összpontosítanék. Van Daalen kiemelte többek között azt a bizottsági „tempóváltást”, amely az ún. CSAM (child sexual abuse material, tkp. gyermekek szexuális abúzusát ábrázoló tartalom) elleni harcban az olyan szolgáltatókat, akik „személyközi kommunikációs szolgáltatásokat” (interpersonal communication services) biztosítanak, elsőként arra jogosította fel 2020-ban, hogy önként monitorozzák rendszereiket ilyen tartalmakat keresve, a mostani tervezetben viszont már egy erre vonatkozó kötelezettség szerepel.
Kihasználva a tech-cégek által már a korábbiakban e célból kialakított technikai lehetőségeket, a cikkben Van Daalen végig elemzi azon lehetőségeket, amelyek alapján az ún. detection order-t (vagyis felderítésre felhívó végzést) egy bíróság kiállítaná a szolgáltató részére.
Az EU Alapjogi Charta alkalmazásával kapcsolatos kérdések sorában számos nagy jelentőségű EUB döntés mellett (pl. Schrems I) a szerző kitér a tartalom monitoringjának „invazív” természetére, illetve annak eltérő mértékére a szerveren, illetve a felhasználó egyéni eszközén. Ennek kapcsán arra az általam is gyakorta hivatkozott „német IT-alapjogra” hívja fel a figyelmet, amelyet a német AB 2008-ban olvasztott ki az általános személyiségi jogból online fedett nyomozások alkotmánykonformitásának vizsgálata kapcsán. (ld. pl. Sulyok 2017, 85. oldal. A soron következő gondolatok az itt írtak összefoglalásából adódnak.) E konkrét ügyben a bíróság az online házkutatást (tkp. fedett nyomozást), bizonyítékszerzést tiltotta meg – bizonyos feltételek mellett – a hatóságok számára zárt online közösségek kommunikációs csatornáinak monitoringja keretében, tehát egy új közérdekre – az IT rendszerekbe vetett közbizalomra – alapozta a védelmet, amelyre szerint azért volt szükség, mert „a létező alapjogvédelmi rendszer nem nyújt ezekkel szemben védelmet, és nemcsak azért, mert a távközlési adatok és a magánlakás védelmével kapcsolatos alkotmányos jogok egyszerűen nem alkalmazhatóak ezekre az esetekre, hanem azért is, mert az információs önrendelkezési jognak az általános személyiségi jogból a népszámlálási határozatban levezetett tartalma sem univerzális, az nincs tekintettel az információtechnológiai rendszerek sajátosságaira és hatásukra a mai ember mindennapi életére.” (saját fordításban, forrás: ld. fent)
Van Daalen ezt a német döntést és az abban kreált alapjogot arra hivatkozással veti fel, hogy igazolja azon állítását, hogy az EU-s szabályozás, amely lehetővé tenné a felhasználói eszközök monitoringját felderítés céljából, valójában sérti a Charta értelmében definiált magánszféra lényeges tartalmát.
Ehhez kapcsolódó ellenpontként vizsgálja a szerver forgalmi adatainak ellenőrzését, és ennek kapcsán pedig egy már ezen a fórumon is elemezett francia előzetes döntéshozatali eljárásra is (Quadrature du Net) utal, amelynek folyamatában az EUB kimondta, hogy nem jelenti a magánszféra lényeges tartalmának sérelmét az elektronikus kommunikációs hálózatok felhasználói forgalmi és lokációs adatainak automatikus megfigyelése. Viszont amikor korlátozás nélkül rendelnek el automatizált forgalom-elemzést a szerveren az már súlyos beavatkozás, hát még ha az egyes eszközökre is kiterjesztik azt, mint a jelen tervezet alapján ez várható. Van Daalen szerint ez egyértelműen „átlépi a küszöböt”, és a magánszféra lényeges tartalmának sérelmével jár, hiszen a telefon „intim természetű” – írja a szerző.
A személyes adatok védelméhez való jog lényeges tartalmának sérelmével kapcsolatban egy másik tervezetbeni lehetőség a kódolás megváltoztatását elrendelő végzés (encryption altering order) esetköre is megjelenik az írásban, amely organikusan kapcsolódik információ- és adatbiztonsági kérdésekhez is. Ezek kapcsán aggály azon megfelelő intézkedések megtételének kikerülése vonatkozásában merülhet fel, amelyeket az érintettek személyes adataik védelmében alkalmaznak (pl. kódolás). Ugyanis, ha ezek megtétele vagy alkalmazása alól „felmentés” adható és a szolgáltató ezáltal olyan helyzetbe hozható, hogy a kommunikáció tartalmába betekinthet, akkor ezzel kitesszük az érintetteket az interneten történő kapcsolattartás összes veszélyének. Pedig a szabályozás célja pont az, hogy ettől őket – mint gyermekeket – megóvjuk. Talán ezért írja a tervezet, hogy a szolgáltató köteles megtenni minden biztonsági intézkedést, hogy biztosítsák a megfigyelt felhasználók kommunikációjának bizalmasságát…
Szerző: Sulyok Márton
Az uniós tagállami ítéletben kiszabott büntetés megfeleltetésével foglalkozik a BH2022. 96. számon közzétett kúriai törvényességi határozat