Elvi oknál fogva nincs fenn a Facebookon, vagy vezető köztisztviselőként nem tartja illőnek-etikusnak?
Személyesen nincsen rá igényem. A feleségemmel széles baráti körünk van, és az jelenléti kapcsolatokon múlik. Maga a rendszer visszaélésekre ad lehetőséget, nem alkalmas a mélyebb emberi kapcsolatok ápolására és manipulálható. Ha nem tudjuk biztosan, hogy a virtuális személy megfelel-e a valóságosnak – hány személyiséglopásról hallunk?! –, nagyon veszélyes rajta keresztül ismerkedni is, kapcsolatot tartani is. Komoly elvi kifogásaim a személyes adataim felhasználása miatt vannak. A Cambridge Analytica című film elég jól bemutatja, hogyan lehet manipulálni az embereket, célzott, sulykoló üzenetekkel megzavarni a demokratikus jogállami működést. Az is világosan kiderül a filmből, hogyan tudták átállítani a billegő választókerületeket Trump javára. Ha mindennek csak a fele igaz, már az is rémisztő. Amikor a Hatóságnál azt latolgattuk, legyen-e Facebook-oldalunk, arra jutottunk, egyelőre nem élünk ezzel az eszközzel.
A Cambridge Analytica kapcsán az angol adatvédelmi hatóság óriási, évekig elhúzódó vizsgálatot folytatott a politikai pártok adatkezeléséről.
Bírságot is kiszabott, de a Cambridge Analyticát felszámolták. Eltűnt. Már nem veszélyezteti a jövőnket – majd más lép a helyébe. A Facebook csaknem nyolcvanhétmillió ember személyes adatát játszotta át a Cambridge Analyticának, ahogyan azt az angol vizsgálat igazolta is. Az internetszolgáltatók mindig is tudtak a személyek világhálón lévő adataiból a képesítésüket, vallásukat, világnézetüket, politikai nézeteiket meglehetősen pontosan meghatározó profilt képezni. A Cambridge Analytica azonban azt az újdonságot kínálta, hogy az összegyűjtött adatok alapján pszichológiailag-ideológiailag személyre szabott üzeneteket juttat el a felhasználónak, és így a kívánt politikai magatartást váltja ki belőle. Roppant veszélyt jelent a parlamenti demokráciára nézve, ha képesek vagyunk arra ösztönözni a választót, hogy ne a saját meggyőződésének, hanem valamilyen más szempontnak megfelelően adja le a szavazatát. A Cambridge Analytica kapcsolattartási célból megosztott személyes adatokat használt fel tehát jogtalanul, politikai befolyásolásra.
Az angol hatóság számos szabálytalanságot tárt fel valamennyi angol pártnál, és komoly intézkedések meghozatalát írta elő számukra.
A múlt héten mi is hosszú ajánlást tettünk közzé a honlapunkon arról, hogy a pártok milyen követelményeknek megfelelően gyűjthetnek kapcsolattartási adatokat. A törvény szigorúan szabályozza az ajánlások gyűjtését is. Az önkormányzati választások során a pártok szövetségben indultak. Ha közös a kampány, ki az adatkezelő? Egy vagy több párt? A közös jelölt? Kin lehet számonkérni a követelmények betartását? Az adatvédelmi hatóságnak volt ezzel kapcsolatban eljárása, erre hivatkozik az ajánlás is. Az uniós adatvédelmi rendelet, a GDPR közvetlenül szabályozza a választókkal való kapcsolattartást, a politikai marketinget, a petíciókat, de nemzeti jogszabály vonatkozik az ajánlóívek aláíratására, a választói adatok kikérésére, a népszavazásokra. Világosan el kell különíteni egymástól az adatkezelési célokat. Folyamatos kapcsolattartás esetén az adat már nem egyszerűen személyes adatnak, hanem különleges adatnak is minősül, hiszen politikai véleményt fejez ki. Ezek a követelmények a GDPR-ből egyértelműen következnek, de a választások közeledtével a pártok mozgósítani akarják szavazóikat, és az alighanem többet ér nekik, mint az uniós játékszabályok betartása. Ezért mi jó előre közöltük, hogy mik a követelmények, és mit kérünk számon.
Minthogy az adatvédelmi törvény 1992-ben született, és 1995-ben választották meg az első adatvédelmi biztost, nem alakulhatott még ki ebben a kérdésben erős, szigorú bírói jogalkalmazás. Az elkövetőket az is bátoríthatja, hogy úgysem büntetik meg őket, miután az utóbbi harminc évben nem volt olyan választásokkal kapcsolatos büntető ügy, amely miatt a pártok megfontoltabban járnának el.
Az angol hatóság határozatát is bírálták, merthogy az összes pártot megrótta, s mindenkinek hátrakötötte a sarkát…
De nem volt lényeges következménye.
Egy elvi dolgot hadd kérdezzek meg. Miben különbözik az, hogy 1919-ben egy forradalmár művész remek plakátot fest arról, hogy az imperialista burzsujok kiszipolyozzák a szegény proletárseregeket, attól, hogy ma a Cambridge Analytica álhírekkel bombázva szít bennem hasonló indulatokat?
Abban, hogy a plakátot az látja, aki elmegy előtte. Az internet pillanatok alatt nagyszámú nézőt biztosít, óriási tömeghez juttat el akár álhíreket is. A magánélet jogi védelmét eleve a technológiai fejlődés tette szükségessé. 1891-ben mondta ki Louis Brandeis és Samuel Warren A magánélethez való jog című klasszikus tanulmányában: jogunk van a háborítatlansághoz, mert a fényképezés ördögi módon beavatkozik magánszféránkba, főleg, ha a képeket az újságok is terjesztik. Hova jutottunk azóta? Szerintem Trump megválasztásával hágtunk át egy újabb határvonalat, mert az álhírek célzott szétküldése befolyásolta a választói magatartást. A legutóbbi európai parlamenti választások előtt Věra Jourová – aligha kell bemutatnom a magyar olvasóknak őt – eljött az Európai Adatvédelmi Testület ülésére azzal, hogy az adatvédelmi hatóságoknak kiemelt szerepük van a választások tisztaságának biztosításában. Ő az adatvédelmi szempontokat firtatta, de nálunk az információszabadság is az adatvédelmi hatóság jogkörébe tartozik. A kérdés ugyanis az, hogy az álhír honnan származik.
A közszférát és a közfeladatot ellátó személyeknek eleve kötelességük valós adatokat közölni. Ez két vonatkozásban is fontos. Történetesen éppen akkor voltam adatvédelmi biztos, amikor elhangzott az őszödi beszéd, és beadványt kaptam azzal a kérdéssel, vajon hazudhat-e a miniszterelnök, és ha nem, tegyek ellene büntetőfeljelentést. A hatályos törvény kimondta, hogy közfeladatot ellátó személy köteles pontos, azaz valós és gyors tájékoztatást közölni a nyilvánossággal. Ráadásul büntetőjogi felelősség is terheli, ha eltitkol, meghamisít vagy megsemmisít közérdekű adatot. Aki tehát felelős a közérdekű adatok közzétételéért, az köteles igazat beszélni.
Az őszödi beszéd kapcsán kiadott adatvédelmi biztosi állásfoglalás hivatkozik arra az alkotmánybírósági határozatra, amely szerint a véleménynyilvánítás szabadsága elválaszthatatlan attól a követelménytől, hogy a közérdekű adatoknak valósaknak és tényszerűeknek kell lenniük.
Ahhoz, hogy véleményt tudjak nyilvánítani, meg kell kapnom a közérdekű adatokat. Ha nem kapom meg a valós adatokat, mondja ki az Alkotmánybíróság, nem működik a jogállam. Jogállamban az állampolgár ellenőrzi a hatalmat. Hogyan ellenőrzi? A közérdekű adatokon keresztül. Ha nincs valós adat, nincs jogállam és nincs demokrácia. Álhírek terjesztésével meg lehet zavarni a hatalom ellenőrzését és a választások kimenetelét.
Az interneten fellelhető adataimból a techcégek szinte tökéletesen pontos képet tudnak alkotni a politikai véleményemről, illetve arról, mi módon kell engem bombázni, hogy a kedvüknek megfelelően szavazzak. Ezt a pártok többnyire fontosabbnak tartják, mint azt, hogy törvényesen és tisztességesen járjanak el, hiszen nem szembesülnek komoly számonkéréssel. A dolog nemzetbiztonsági vonatkozásait pedig éppen csak szőrmentén említettem. Nem rózsaszín a jövő.
A 2016-os amerikai választások orosz befolyásolását vizsgáló Mueller-jelentés tehát nem nyugtatta meg?
Annyiban megnyugtatott, hogy feltárta a működésmódot. Az azonban továbbra is kérdés, mi biztosítja, hogy ez többé ne fordulhasson elő. Mindenki fél ettől. A befolyásolhatóság fölerősített egyéb félelmeket is. Mi is bevezethettük volna az elektronikus szavazást, magam is támogattam, de a politika tartott a manipulálhatóságától. Megértem a félelmüket: vajon tudom-e garantálni a rendszer biztonságát. Elképesztőnek tartom, hogy a világ vezető hatalma esetében felmerülhetnek ilyen kétségek.
Tetézi ezt, hogy az amerikaiak máig vonakodnak olyan adatvédelmi törvényt elfogadni, mint amilyen a GDPR.
Amerikában más a jogfelfogás is. A nemzettudatot meghatározó eszme a vállalkozás szabadsága. A magánszféra határai máshol húzódnak: a hálószoba ajtaját kell bezárni, a vásárlási adatok szabadon hozzáférhetők. Ezért sem alakult ki a magánszféra védelmének olyan rendszere, mint Európában. Ráadásul a 2001-es New York-i terrortámadás miatt elfogadott hazafias törvény (Patriot Act) lerombolta a magánszféra védelmét a nemzetbiztonság előtt. Így a GDPR-ral próbáljuk rábírni az USA adatkezelőit, hogy ugyanazokat a játékszabályokat alkalmazzák, mint mi. Ez azért is fontos, mert mára a személyes adatok feldolgozásában évi 1000, a közérdekű adatokéban évi 2000 milliárd eurónyi üzleti lehetőség rejlik, és a könnyebb játékszabályokat alkalmazó fél nagyobb haszonra tesz szert. A GDPR egyik legfontosabb újítása, hogy az amerikai techcégek ne húzhassanak hasznot abból, hogy uniós polgárok személyes adatait a szigorú uniós szabályok alkalmazása nélkül kezelik. Az USA előbb-utóbb kénytelen lesz az európai szabályozáshoz igazodni, mert a GDPR szerint akkor lehet az Unióból személyes adatot az USA-ba továbbítani, ha a védelem biztosított.
A Facebook és társai cenzúrázási akciói miatt mára mind a republikánus, mind a demokrata elit késznek látszik a szabályozásra.
Magyarországon erről ma értelmes vitát nehezen lehet folytatni. A szakemberek még csak-csak szót tudnának érteni, de a politika mindenbe beleokvetetlenkedik. Én mindig is azt mondtam, hogy a cenzúra elfogadhatatlan, és ha lehet, alkossunk magyar törvényt ellene. A politika ezt megpróbálta kiforgatni, úgy állítva be, mintha én akarnék cenzúrát. A véleménynyilvánítás szabadsága az egyik legfontosabb alkotmányos jog, a demokrácia és a jogállam alappillére. Egy amerikai magáncég ezt az alappillért ki tudja ütni azzal, hogy az általa nemkívánatosnak tartott véleményeknek nem ad teret. Nemzetközi konszenzus van abban, hogy milyen tartalmakat tilos terjeszteni, s ebben a magyar törvények is egyértelműek. A pedofil tartalmakat, a terrorizmusra buzdítást törölni kell, de azt nem szerkesztheti ki amerikai cég, amit a magyar törvények nem tiltanak. Azt, hogy Magyarországon mi jelenik meg s mi nem, a magyar alkotmány szabályozza, nem pedig Zuckerberg úr vagy az általa alkalmazott algoritmus. Az én javaslatom, mely szembemegy mindenfajta ideológiai eredetű cenzúrázási igyekezettel, igen egyszerű. A GDPR felhatalmazza – sőt kötelezi – a nemzeti jogalkotót, hogy a személyes adatok védelméhez fűződő jogot összehangolja a véleménynyilvánítás szabadságát illető joggal. A rendelet bizonyos kérdésekben egyablakos, vagyis ezúttal magyar helyett ír ügyintézést ír elő, de a véleménynyilvánítás szabadsága semmiképpen nem tartozhat ebbe a körbe, mert a magyar jogszabályoknak való megfelelést mérlegelni csak Magyarországon lehet. Fel sem merülhet, hogy uniós tagállamnak nincs joghatósága egy amerikai céggel szemben, hiszen a GDPR biztosítja azt. A javaslatom szerinti törvény egyszerűen felsorolná, milyen jellegű adatokat kell törölni, az összes többit pedig meg kell hagyni. Vitás kérdésekben vagy a nemzeti adatvédelmi hatóság, vagy a bíróság dönt. Ilyen törvény véget vethetne a Facebook és társai önkényes cenzúrázási gyakorlatának, következnék a GDPR-ból, és a Bizottság sem indítana miatta kötelességszegési eljárást.
Nem lenne hatékonyabb ezt uniós szinten szabályozni?
De, csak az a baj, hogy nincs teljes konszenzus a véleménynyilvánításhoz fűződő jog tekintetében, gondoljunk a kommunista jelképek tilalmára – ha lett volna Nyugaton is kommunista diktatúra, biztosan nem csak a náci jelképeket tiltanák.
Az amerikaiak a cenzúra kérdését a régi, bevált módszerrel, trösztrombolással, a nagy techcégek feldarabolásával akarják megoldani. A versenyhelyzet orvosolná a problémát?
Az amerikai szemlélet hajlamos mindent a gazdaságra visszavezetni, vagy onnan várni a megoldást. A Facebook és a Cambridge Analytica nem egy cég volt, mégis összejátszottak. Az a kérdés, van-e biztosíték az efféle visszaélések ellen. Európai jellegű, szigorú szabályozás és számonkérés mellett a feldarabolás jót tenne.
Nem furcsa, hogy a Cambridge Analytica Trumpot segítette a győzelemhez, miközben a Facebook döntően a balliberális világképet terjeszti?
A Cambridge Analytica adta lehetőséget elsőként a republikánusok fedezték fel. Mára a demokraták is nyilván tanultak belőle. A módszer persze törvényt sért, akárkinek áll-állt is az érdekében. És azért, mert korábban elkövették, még nem szabad a préda.
Mi a veszélyesebb, a megfigyelőállam vagy a megfigyelőkapitalizmus? A kínai minden polgárt pontozó rendszer…
A teljes abszurditás.
Vagy a nyugati rendszer, amelyben, mondják, az állam magáncégeknek szervezi ki a megfigyelést?
A kínai rendszer a végletekig központosított, mindenre kihat, és végre is tudja hajtani a korlátozásokat (a túl sok alkoholt fogyasztó polgár például nem bír buszjegyet váltani). Kapitalista rendszerben nincs ilyen központosítás, és a vállalatok nincsenek ilyesmire felhatalmazva (legfeljebb a saját szolgáltatásaikat állíthatják le). Az lényeges különbség, hogy az állam vagy magáncég gyűjt-e adatot. Az államot az európai kultúrkörben, nálunk is nagyon szigorú jogszabályok kötik, amelyek akár büntetőjogilag is számonkérhetők.
Minősített esetnek számít, ha valaki hivatalával visszaélve követ el ilyen bűncselekményt. Az adatvédelmet Magyarországon a rendszerváltás után éppen az állam túlkapásai miatt tartottuk fontosnak. Utána azt mondtuk, az állam rendben van, de a magáncégektől kell megóvni ugyanazt. Az politikai – és szerintem felelőtlen – hangulatkeltés, hogy újra félnünk kell az államtól. Kínával szemben a mi esetünkben demokratikus jogállamról beszélünk. Itt az állam nem engedhet meg magának ilyesmit, szigorúan számonkérhető, és az ellenőrzési mechanizmus is rendelkezésre áll. A nemzetbiztonsági szakszolgálat kérte az adatvédelmi hatóságot, hogy tekintse át a működését. Mi ezt megtettük, semmilyen rendszerszintű törvénytelenséget nem tártunk fel benne. Az állami adatkezelési rendszerek eleve úgy vannak kialakítva, hogy ne lehessen az adatkezeléseket összekapcsolni. És ne feledjük, van számonkérési mechanizmus.
Hogyan értékeli a magyar adatvédelem helyzetét?
Abban a szerencsés helyzetben vagyok, hogy a magyar adatvédelmi szabályozást szinte kezdettől fogva figyelemmel kísérhetem. 1988-ban jelent meg az első cikkem. Az információs törvény tervezetének a Statisztikai Hivatalban folyó munkálatairól szólt. Érdekes eltűnődni azon a folyamaton, amely a világ egyik legszigorúbb, az államot erősen korlátozó adatvédelmi törvényétől kezdve az ombudsmani intézményen és az adatvédelmi hatóságon át eljutott a közös európai szabályozásig. Ez utóbbi nagyon központosított szabályozást jelent, megszabja a joggyakorlatot, még ha vannak is nemzetállami kompetenciák a jogalkotásban és jogalkalmazásban. Az Unióban az adatvédelem egyre inkább közös és harmonizált. Ez szemben állni látszik a nemzetállamok szövetségének gondolatával. A 2016-ban elfogadott GDPR előkészítését még nem húzta szét a tömeges migráció megjelenése. A rendeletet az a felfogás vezérli, hogy a szabályozás ne akadályozzon, ne tiltson, hanem törvényes mederbe tereljen. Segítse elő a digitalizációt, de védje meg a magánszféránkat. Minden megoldásnak európainak kell lennie; nincs önállóságunk a jövő, például a mesterséges intelligencia tekintetében.
A jogi szabályozás mellett legalább olyan fontos, ha nem fontosabb az adatbiztonság. Az adatvédelemre az a különleges felelősség hárul, hogy megtalálja, az adott informatikai megoldás megfelel-e az adatvédelem szabályainak. Egyelőre azt gondoljuk, hogy a GDPR alkalmas a mesterséges intelligencia szabályozására, de ez a konkrét megoldáson múlik. Jó példaként említhetem, hogy a Nemzeti Adatvagyon Ügynökségről szóló törvény teljes egészében megfelel ennek a szempontnak. Az 1990-es évek elején a jogi szabályozást tartottuk a legfontosabbnak, ma a technológia legalább ilyen fontos.
Hogyan fogadtuk el a GDPR-t?
Mi nagyon örültünk neki, jóllehet nekem voltak-vannak fenntartásaim is. Én nem támogattam az egyablakos ügyintézést. Ezt 2015-ben a Néppárt budapesti ülésén is elmondtam. De nagy előrelépést jelent. Jó, hogy tudtuk segíteni a hazai kisvállalkozásokat a felkészülésben. A járvány, sokak szemében úgy tűnhet, hátrább sorolja az adatvédelmet, mi azonban emiatt az eljárásainkban nem enyhíthetünk a követelményeink szigorán.