Jövőre minden szállóvendég útlevelét be kell szkennelni

Az így keletkezett adatokat pedig be kell küldeni egy központi adatbázisba. Az arcképek begyűjtése azonban törvényellenes.

Januártól minden magyarországi szálláshelyen kötelező lesz beszkennelni a vendégek okmányait, és az így keletkezett adatokat beküldeni egy központi adattárba, derül ki egy augusztusban publikált kormányrendeletből.

Az adatszolgáltatási kötelezettséget az elmúlt években fokozatosan vezette be a Magyar Turisztikai Ügynökség (MTÜ). Az okmányolvasó használatának kötelező bevezetése azonban nem csak hogy váratlanul érte a szállásadókat, de komoly adatvédelmi aggályokat is felvet.

Adatvédelmi aggályok

Az adatok begyűjtéséről, és az azokat tároló Nemzeti Turisztikai Adatszolgáltató Központ (NTAK) létrehozásáról a turizmusról szóló törvény rendelkezik. Ez pedig nem ad felhatalmazást fényképek kezelésére, mondta a Szabad Európának Remport Ádám, a TASZ magánszféraprojektjének jogi munkatársa.

A törvény ugyanis tételesen felsorolja milyen adatokat kezelhet az MTÜ kezelésében lévő adatközpont (vendégek neve, születési helye és ideje, neme, állampolgársága, anyja neve, az úti okmány adatai, illetve a beutazás időpontja, helye), arcképről azonban nincs szó.

A jogszabály tervezete kapcsán a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is kiadott egy állásfoglalást. Péterfalvi Attila, a Hatóság elnöke ebben azt írja, hogy az okmányolvasóknak úgy kell működniük, hogy képesek legyenek kezelni a világ bármely országa által kiállított úti okmányt úgy, hogy csak a törvényben előírt adatokat rögzítsék és továbbítsák. Ha ugyanis a teljes okmányt beszkennelik, az mindenképp jogszerűtlen. Azt, hogy ezt a technikai problémát sikerül-e megoldani, majd csak januárban fog kiderülni, az MTÜ ugyanis nem reagált kérdéseinkre. Így azt sem derült ki, készítettek-e (a GDPR és az Infotörvény szerint is) kötelező adatvédelmi hatásvizsgálatot.

Péterfalvi Attila megkeresésünkre viszont elárulta, hogy a Miniszterelnöki Kabinetiroda (az MTÜ Rogán Antal minisztériuma alá tartozik) az okmányolvasó kötelező használatával kapcsolatban előzetesen nem egyeztetett a NAIH-hal. Pedig a kockázatosnak minősülő adatkezelés esetén ez is kötelező. Az NTAK nagy valószínűséggel ebbe a kategóriába esik, a kezelt adatok mennyisége és minősége miatt.

Nem csak az a probléma, hogy a törvény nem nevesíti a fényképeket, hanem az is, hogy az arcképek a GDPR értelmében biometrikus adatnak minősülnek. Az ilyen különleges adatok kezelését pedig az európai adatvédelmi szabályozás nagyon szigorú feltételekhez köti.

Az NTAK létrehozásáról még 2018-ban döntött a kormány, és 2019-től fokozatosan kezdték el bevezetni a kötelező adatszolgáltatást. A hivatalos indoklás szerint az adatbázis célja, hogy segítse a turizmus fejlesztését. A vendégek adatainak, szokásainak megismerése ugyanis segíti a turisztikai stratégia kialakítását. A rendszer a szállodák, panziók gazdálkodási adatairól is begyűjti az információkat, így az ágazat kifehérítéséhez is hozzájárul, így az indoklás. Az adatok bizonyos köréhez ugyanis hozzáfér a NAV, és a KSH is és a rendszer bevezetése az egyik feltétele volt annak, hogy a szálláshely-szolgáltatás áfája 18 százalékról 5-re csökkenhessen.

A rendszerből lekérdezést végezhet a rendőrség, és az NTAK adatokat továbbít az idegenrendészetnek is az unión kívülről érkezett vendégekről.

Az NTAK honlapján azt írja, rendszerükbe „kizárólag statisztikai adatok érkeznek, semmilyen személyes adatot nem fogad be, nem rögzít és nem tárol. A beérkező adatok – vendég neme, állampolgársága, születési éve, állandó lakcímének települése és irányítószáma – alapján a vendég nem beazonosítható, így az NTAK-ba nem érkeznek személyes adatok.”

Ha ez így van, akkor az nem érthető, hogy akkor milyen adatokat küldenek el az idegenrendészetnek, és milyen információkat tudnak lekérdezni a bűnüldöző szervek. Hogy ez januártól mennyiben változik, egyelőre nem tudni.

Készletező adatgyűjtés gyanúja

Míg a szálláshelyek és az MTÜ egy évig tárolják az adatokat, addig az idegenrendészeti hatóság öt évig kezeli a rendszerből átvett információkat. Azt, hogy mi indokolja a szokatlanul hosszúnak számító öt éves tárolási időszakot, nem tudni. A törvényi indoklás mindössze annyit ír, hogy „a tartózkodására vonatkozó rendelkezések betartásának ellenőrzése” miatt van szükség az adatokra.

Ez az indoklás pedig nem elég konkrét, ennek alapján nem lehet eldönteni, hogy arányos-e ez a hosszú ideig tartó tárolás, mondta Remport Ádám. A TASZ jogásza szerint így az idegenrendészeti öt éves tárolási időszak felveti a készletező adatgyűjtés gyanúját (azaz hogy azért gyűjtik az adatokat, hogy „egyszer majd jó lesz valamire” – KAÁ.). Erről a gyakorlatról pedig már az Alkotmánybíróság is kimondta, hogy Alaptörvény-ellenes.

Remport Ádám azt mondta, hogy minden olyan adat személyes adat a GDPR szerint, ami kapcsolatba hozható az érintettel, így nem csak a név vagy a születési adatok tartoznak ebbe a körbe. Abból ugyanis, hogy ki hol száll meg, akár az anyagi helyzetére vagy egészségügyi helyzetére is lehet következtetni, ezek pedig érzékeny információk.

Ezért szükséges, hogy az adatbázishoz csak megfelelő garanciális intézkedések mellett lehessen hozzáférni, például szükséges lenne a hozzáférések naplózása. Fontos a külső kontroll is, ezt a feladatot akár a NAIH is el tudná látni” – mondta Remport Ádám.

Azt, hogy naponta kell beküldeni az adatokat, a kormány bűnüldözési és idegenrendészeti okokkal magyarázza. Az adatbázis bűnüldözési célból való létrehozását egy korábbi állásfoglalásában a NAIH is indokoltnak találta – amennyiben biztosítottak a megfelelő garanciák. Ezzel Remport Ádám is egyetért, de szerinte ez sem elegendő indok arra, hogy akár öt évig is tárolhatnak bizonyos adatokat.