Mindenhova benéznek

Az elmúlt években a turizmusfejlesztés a kormány egyik kiemelt célja lett, a Magyar Turisztikai Ügynökség (MTÜ) a következő tíz évben 300 milliárd forintos fejlesztési forrásról dönthet. Az ágazat fejlesztésének egyik eszköze a tavaly indult Nemzeti Turisztikai Adatszolgáltató Központ (NTAK), amely részletes adatokat gyűjt be a Magyarországon regisztrált összes szálláshely-szolgáltatótól. Az új rendszer bevezetésének fő célja az volt, hogy jobban tudják ellenőrizni a szállodákat, panzi­ó­­­kat, és hatékonyabb legyen a turizmusfejlesztés. Az NTAK egyrészt rögzíti a szálláshelyek bevételi adatait annak érdekében, hogy kevesebb lehetőség legyen a visszaélésekre. A kötelező adatszolgáltatás bevezetése feltétele volt annak, hogy a szálláshely-szolgáltatás áfája 18 százalékról 5-re csökkenhessen. Az MTÜ ugyanakkor a szállóvendégekről is gyűjt adatokat, hivatalosan azért, hogy azok felhasználásával fejleszteni tudja a turizmust. Míg a gazdálkodási adatok ellenőrzésével nagyrészt egyetértenek a szakmabeliek, a vendégadatok begyűjtése (amit bűnüldözési és idegenrendészeti okokkal indokolnak) már komolyabb problémákat vet fel.

A 2018-as törvénymódosítás nyomán a szállodákban tavaly nyáron elindult a kötelező napi adatszolgáltatás, majd folyamatosan kapcsolták be a rendszerbe az egyre kisebb szállásadókat. 2020-tól a legkisebb szobakiadónak is naponta el kell küldenie a kért adatokat az NTAK rendszerébe. Aki nem tartja be e kötelezettségét, azt előbb figyelmeztetik, később pénzbírságot is kiszabhatnak, végső esetben pedig be is zárathatják a renitens szállodákat, panziókat. Az NTAK tudja fogadni számos olyan szoftver adatait, amelyet eddig is használtak a szállodák, és felkészítették azokat a központtal való kommunikációra. A kisebb, ilyen programot eddig nem használó szálláshelyeknek az MTÜ ingyenesen biztosítja az Én vendégszobám nevű programot, amelynek működését mi is megismertük (a program fejlesztése kétmilliárd forintba került, ennek részleteiről lásd a Kinek a vendégszobája? című keretes írást).

Túl sokat akarnak tudni

A szálláshelyeken rögzíteni kell a vendégek adatait (erre később visszatérünk), a foglalásokat, azt, hogy milyen csatornán talált rá a vendég (közvetlenül, közvetítő oldalról, utazási irodán keresztül stb.), hány éjszakát tölt el és milyen szobában, valamint azt is, mennyit és hogyan fizetett a különböző szolgáltatásokért. A központban így pontos képet kapnak a szálláshelyek napi bevételeiről és a szállodák telítettségéről is. „Jó, hogy elmennek ezek az adatok, mert végre komolyabban fel lehet lépni a szürkezónában tevékenykedő szállásadók ellen” – mondta a Narancsnak Csordás Imre, az Accent Hotel Management ügyvezetője. Becslése szerint vannak olyan területek, ahol akár kétszer annyi szálláshely is működhet, mint amennyi hivatalosan regisztrálva van, ez pedig komoly versenyhátrány a szabályokat betartó szállodáknak. Csordás ezért a piac kifehéredésére számít, ahogyan ez történt az online pénztárgépek bevezetése után is. „Ezen túlmenően az adatokat piacelemzésre is lehet használni, ami nem csak a szállásadókat segíti, de a falvakat, régiókat és a turisztikai ügynökségeket is.” Ausztriában és Németországban régóta vannak hasonló rendszerek, és piaci alapon nálunk is működik hasonló szolgáltatás, ahová a szállodák maguk küldenek be információkat, cserébe összesített, elemzésre alkalmas adatokat kapnak vissza. Csordás azt tapasztalta, hogy a szakmában általában örültek az NTAK bevezetésének. Az MTÜ azt ígérte, a szállásadók visszakapnak adatokat a rendszerből, s azokat aztán saját célokra is fel tudják használni.

A szoftverek azonban rögzítik a vendégek adatait is: név, állampolgárság, születési hely, idő, neme, anyja neve, útlevél (vagy a személyi) száma, valamint lakcímből az ország neve és az irányítószám – de lehetőség van a vendégek telefonszámának és e-mail-címének a rendszerben tárolására is. Mivel a felvitt adatokat naponta küldik a programok, és a foglalási adatokat is fel kell vinni, olyan vendégek adatait is továbbíthatják, akik végül lemondják az utazásukat és soha nem szállnak meg az adott helyen. Arra azonban, hogy pontosan milyen adatok kerülnek be a központi adatbázisba, és hogy azokkal mi történik, s hogy mi az adatkezelés alapja, nem sikerült egyértelmű válaszokat kapnunk. Kérdéseinket hiába küldtük el az MTÜ-nek, konkrét válaszok helyett csak egy a korábbi közleményekből összeollózott e-mailt kaptunk.

Az MTÜ azt írta, „személyes adatok kezeléséről kizárólag az egyes szálláshelyek esetében lehet beszélni, akik szálláshelykezelő szoftverükben rögzíthetik és tárolhatják a foglalásaikban szereplő vendégeik adatait”, de azt is csak a GDPR-nak megfelelően. „A rendszer kizárólag statisztikai célú, statisztikai adatkörökbe tartozó adatok digitális kezelésére alkalmas – semmilyen, a vendégekkel kapcsolatos személyes adatot nem rögzít, és nem is fogad be” – ezt Guller Zoltán, az MTÜ vezérigazgatója nyilatkozta tavaly januárban a Magyar Időknek. Guller azt is hangsúlyozta, hogy hasonló adatgyűjtés más európai országokban is bevett gyakorlat. Az NTAK honlapján ezzel szemben az olvasható, hogy a rendszer a személyes adatokat (név, születési hely és idő) csak titkosítva, az azokból képzett hash segítségével tárolja. (Ezt a módszert jellemzően jelszavak tárolására alkalmazzák. A hash lényege, hogy a bevitt adatokból az algoritmus képez egy bizonyos hash értéket. A hash-ből nem lehet visszafejteni, hogy mi az eredeti bevitt adat – arra viszont alkalmas, hogy ellenőrizni lehessen, az eredetileg bevitt adat azonos-e egy másik korábbival, hiszen az algoritmus az eredeti információból mindig ugyanazt a hash értéket állítja elő.) Így elvileg követni lehet egy vendéget a különböző szálláshelyek között anélkül, hogy kiderülne a személyazonossága. Az MTÜ szerint ez a módszer garantálja, hogy az adatbázissal ne lehessen visszaélni, és az adatgyűjtés ne sértsen személyiségi jogokat. Rogán Antal viszont nyáron az Országgyűlés gazdasági bizottságának ülésén ezt mondta az NTAK-ról: „Természetesen megvan a képessége arra, hogy személyi adatokat tartson nyilván, de azokat kódolja, és azokat csak és kizárólag a bűnügyi hatóságok használhatják fel, ezeket a Turisztikai Ügynökség nem látja. Egyedül a külföldiek (itt Rogán feltehetően az Európai Gazdasági Térségen kívülről érkezett ún. harmadik országbeli vendégekre gondolt – K-A. Á.) esetében továbbítunk adatokat folyamatosan az idegenrendészeti szervek részére, az viszont törvényi kötelezettségünk.” Ám ha a rendszer tényleg csak titkosítottan tárolna adatokat, akkor azzal a rendőrség és az idegenrendészet sem menne sokra. Ha tehát az NTAK továbbküld bizonyos adatokat e hatóságoknak, akkor a személyes adatokat valójában nem titkosítják, hiszen lehetséges azok visszafejtése. Az MTÜ által legyártott Én vendégszobám pedig egy webalapú szoftver, amely eleve az ügynökség szerverén tárol minden adatot.

Nem segítenek az eligazodásban a vonatkozó törvények sem. A jelenleg hatályos szabályozás szerint a tárhelyszolgáltató (ez jelenleg az MTÜ, de ezt a törvény nem nevesíti) tárolja a személyes adatokat, azokat nem ismerheti meg. A teljes adatbázishoz csak a szálláshely-szolgáltatók férhetnek hozzá. A szabályozás ezen túl lehetőséget ad más szerveknek is arra, hogy láthassa az adatok egy bizonyos körét; ilyenek a NAV, a KSH, illetve a helyi önkormányzatok.

Utólagos rendezés kérdőjelekkel

Az NTAK-ra vonatkozó szabályozás szeptembertől egyértelműbben rendezi az NTAK-ba kerülő adatok kezelésének módját. A fél év múlva életbe lépő törvény fogja felsorolni, hogy milyen adatokat kell pontosan rögzíteni, hogy az MTÜ az adatkezelő, hogy az adatokat titkosítva kell tárolni, és azt is, hogy az MTÜ érintett munkatársainak titoktartási kötelezettséget kell vállalniuk. Szintén csak a szeptemberi módosítás tartalmazza, hogy a rendőrség a „tárhelyszolgáltatónál tárolt adatokban informatikai eszköz útján keresést végezhet, a keresés eredményeként csak azt az adatot ismeri meg, hogy az általa megadott adatok szerinti keresett személy mely szálláshely-szolgáltatónál szerepel igénybevevőként” – ez utóbbi kitétel azért is furcsa, mert, mint már említettük, ha az adatok valóban titkosítva lennének, erre nem volna lehetőség. Azt, hogy az idegenrendészet is az NTAK-ból kapja meg az unión kívülről érkezők adatait, szintén az egyelőre nem hatályos szabályozás tartalmazza csak.

Remport Ádám, a TASZ magánszféraprojektjének jogi munkatársa szerint a jelenlegi gyakorlat és szabályozás felveti a készletező adatgyűjtés gyanúját, amiről az Alkotmánybíróság már többször is kimondta, hogy Alaptörvény-ellenes. „Nem konkrét célhoz kötve gyűjtik az adatokat, hanem annak alapján, hogy egyszer majd jó lesz valamire” – mondta Remport a Narancsnak. Szerinte ez a folyamatos megfigyelés egy formája. „Minden olyan adat személyes adatnak minősül, amelyből vissza lehet következtetni egy konkrét személyre” – tette hozzá. Így nemcsak az elvileg titkosan kezelt név és születési adatok, de az is, hogy mikor és hol nyaralt, vagy hogy esetleg miért nem kell idegenforgalmi adót fizetnie, hiszen ezekből egészségügyi vagy szociális helyzetére is lehet következtetni. A folyamatos adatszolgáltatást bűnüldözési és idegenrendészeti okokkal magyarázzák, de nagyobb probléma, hogy nincs magyarázat arra, miért kell ennyi ideig tárolni az adatokat. A szálláshelyek és az MTÜ egy évig tarthatják meg ezeket, az idegenrendészeti hatóság viszont 5 évig kezeli az átvett adatokat, ami nagyon hosszú idő – sorolta aggályait Remport Ádám. Hiába küldtük el ezzel kapcsolatos kérdéseinket is az MTÜ-nek, választ nem kaptunk. Azt sem tudtuk meg, készült-e adatvédelmi hatásvizsgálat az NTAK-ra (a GDPR szerint ez kötelező lenne), és ha készült, akkor az miért nem nyilvános. A TASZ munkatársa szerint a központi adatkezelésről a GDPR értelmében tájékoztatni kellene a vendégeket is, de az MTÜ szerint ez nekik nem feladatuk, mert nem kezelnek személyes adatokat. Az általunk megkérdezett szállásadók azt mondták, ők a honlapjukon tájékoztatják a vendégeket az adatkezelésről. Ezek az ismertetők azonban nem említik, hogy egy központi adatbázisba is bekerülnek bizonyos adatok.

Az NTAK-kal kapcsolatos szabályozást a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is véleményezte. Ebben a kormánnyal amúgy általában barátságos NAIH-elnök számos kifogásának adott hangot. Péterfalvi Attila kiemeli, hogy nem ismeri sem az NTAK-hoz kötődő törvénymódosítás indoklását, sem az adatvédelmi hatásvizsgálat tartalmát, így az adatok központi tárolásának szükségességét nem látja kellőképpen alátámasztva. A rendőrségi adatlekérdezésnél a NAIH szerint pontosabban kellene definiálni, hogy az miként történhet – hiszen az is adatkezelésnek minősül, amire szigorú szabályok vonatkoznak. A NAIH szerint sem világos, hogy miért kell az idegenrendészetnek öt évig megőrizni az adatokat. Összességében azt írja a hatóság, hogy a vendégek adatainak kötelező, központi összegyűjtése „a személyes adatok védelméhez való jog érvényesülésének további korlátozását” jelenti, ezért további garanciákra lenne szükség ahhoz, hogy minden törvényesen, szabályosan és a GDPR-ral összhangban működjön. A NAIH szerint ilyen garanciák jelenleg nincsenek.

Hátulütők

Míg Csordás Imre azt mondta a Narancsnak, hogy az ő szállodáikban az új szabályozás nem jár extra adminisztrációval és a vendégek is megszokták, hogy a hotelek elkérik az adataikat, egy magánszállásadónak mások a tapasztalatai. Egy forrásunk, aki név nélkül vállalta csak a nyilatkozatot, Budapest egyik belső kerületében működtet – teljesen szabályosan – néhány szobás magánszálláshelyet. Családi vállalkozásról lévén szó az adatrögzítés nekik napi legalább két óra pluszmunka. Az NTAK-tól nem kaptak külön tájékoztatást arról, miért van szükség az adatkezelésre, és arról sem, hogyan kell használni az Én vendégszobám programot – bár telefonos érdeklődés után készségesen segítettek az MTÜ munkatársai. A legnagyobb probléma azonban a személyes adatok rögzítése. „Sokan nem akarják megadni személyes adataikat, és vonakodnak odaadni az útlevelüket. Hiába mondjuk, hogy ez a törvényi előírás, rossz élménnyel távoznak. Emiatt pedig rossz értékelést adnak a szállásközvetítő oldalon is, ami viszont a mi forgalmunkat veti vissza.”