Mégsem szabad ujjlenyomatokat tárolni a személyazonosító igazolványokban

Az Európai Bíróság az ujjlenyomatok nemzeti személyazonosító igazolványokban való szerepeltetésére vonatkozó uniós jog ellenében döntött.

Az Európai Bíróság (EUB) úgy döntött, hogy egy 2019-es uniós rendelet, amely az uniós polgárokat arra kötelezi, hogy a nemzeti személyazonosító igazolványokhoz adják meg ujjlenyomatukat, rossz jogalapra épül, és teljes mértékben érvénytelennek nyilvánította az uniós jogszabályt. A luxembourgi bíróság azt is kimondta, hogy a két ujjlenyomat feltüntetésére vonatkozó kötelezettség - annak ellenére, hogy az alapvető jogokat érinti - indokolt. A rendeletet a Digitalcourage - egy alapvető jogokért és az adatvédelemért küzdő német szervezet - megtámadta, mivel a személyazonosító igazolványok ujjlenyomat-kötelezettségét a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő Európai Alapjogi Charta aránytalan korlátozásának tartja. Bár a jogszabályt megsemmisítették, az Európai Bíróság bírája úgy döntött, hogy a 2019-től hatályos uniós rendelet mindaddig hatályban marad, amíg egy új rendelet hatályba nem lép, legkésőbb 2026 decemberében. Ellenkező esetben hatályát veszti.

Az uniós szabályozók előírták, hogy a nemzeti személyazonosító igazolványokban ujjlenyomatot kell használni az azonosító okmányok biztonságának növelése érdekében. Németország 2021-ben vezette be a rendeletet, és azóta ujjlenyomatot kér a személyazonosító igazolványokhoz. Emberi jogi csoportok azonban azzal érveltek, hogy az ujjlenyomatok kötelező gyűjtése aránytalan, hatástalan és nyitott a kormányzati visszaélésekre. A Digitalcourage megtámadta azt, kezdetben a német bíróságokon. Szerintük a személyazonosító igazolványokban előírt ujjlenyomat-kötelezettség a magánélet tiszteletben tartására és a személyes adatok védelmére vonatkozó Európai Alapjogi Charta aránytalan korlátozása. "Egy jelszót meg tudok változtatni ha az veszélybe kerül, de a biometrikus adatokkal ezt nem tehetem meg. Nem tudom megváltoztatni az ujjlenyomatomat, és azt könnyen megszerezhetik mások" - magyarázta Rena Tangens, a Digitalcourage alapítója és igazgatósági tagja.

Az uniós jogalkotók most ezt a 2026 decemberéig tartó időkeretet kihasználhatják arra, hogy megfelelő jogalapon alapuló új rendeletet dolgozzanak ki. Korábban a rendeletet rendes jogalkotási eljárás keretében fogadták el, de az Európai Bíróság szerint a rendelethez különleges jogalkotási eljárásra, azaz a Tanács egyhangúságára lett volna szükség. 2019-ben a Cseh Köztársaság és Szlovákia az ujjlenyomat-kötelezettséget bevezető rendelet ellen szavazott.


"Ha a tagállamok nem jutnak megállapodásra, az ujjlenyomatok további tárolásának és kötelező újbóli gyűjtésének jogalapja megszűnik" - mondta Anja Hoffmann, a Center for European Policy digitális gazdasággal foglalkozó szakértője. "Ez azt jelentené, hogy a nemzeti hatóságoknak ujjlenyomatvétel nélkül kellene személyazonosító igazolványokat kiállítaniuk, azok tulajdonosai pedig kérhetnék a személyazonosító igazolványokon már tárolt ujjlenyomatok törlését" - tette hozzá Hoffmann.

2021-ben Detlev Sieber, a Digitalcourage ügyvezető igazgatója pert indított a wiesbadeni közigazgatási bíróságon, miután elektronikus funkcióval ellátott személyazonosító igazolványt kért az ujjlenyomatainak benyújtása nélkül. A Digitalcourage azzal érvelt, hogy az uniós ujjlenyomat-kötelezettség beavatkozik az európai jogban rögzített alapvető jogokba. A wiesbadeni bíróság 2022 januárjában elfogadta a Digitalcourage érvelését arra vonatkozóan, hogy az ujjlenyomat-előírás nem egyeztethető össze az alapvető jogokkal, és a keresetet az Európai Bíróság elé utalta. Egy hónappal később a hamburgi közigazgatási bíróság felfüggesztette a személyazonosító igazolványok ujjlenyomat-kötelezettségét, amíg az Európai Bíróság előtti eljárás folyamatban van.

A német belügyminisztérium szerint az ujjlenyomatokat helyben, a személyi igazolványba épített chipen tárolják. A Digitalcourage szóvivője szerint azonban "a hatóságok által ma még biztonságosnak tartott tárolási módszer néhány éven belül könnyen feltörhetővé válhat". A teljes ujjlenyomatok tárolása növeli a személyazonosság-lopás kockázatát is, ha adatszivárgás történik, és ellentmond az általános adatvédelmi rendeletben (GDPR) meghatározott adatminimalizálás elvének - érvelt az adatjogi szervezet. A Digitalcourage véleménye szerint különösen nagy kockázatot jelent, hogy az ujjlenyomatokat a helyi kibocsátó hatóságok és a személyi igazolványt később legyártó vállalatok tárolják. Bár az adatokat ideális esetben a személyi igazolvány begyűjtésekor törölni kellene, az adatok akár 90 napig is tárolhatók.

A regionális hatóságok esetleg nem rendelkeznek megfelelő kiberbiztonsági intézkedésekkel ahhoz, hogy az ujjlenyomatokat megóvják a hackerek kezétől, így ebben az időszakban az ujjlenyomatok különösen sebezhetőek. Az uniós rendelet azt is a tagállamokra bízza, hogy az ujjlenyomatokat a személyazonosító igazolványok készítésén kívül más célokra is felhasználhatják-e. Ez azt jelenti, hogy az azonosításhoz levett ujjlenyomatok a nemzeti kormányok vonatkozó szabályozásától függően házkutatási parancsokhoz vagy más bűnüldözési célokra is felhasználhatók. Így a személyazonosító igazolványokhoz szükséges ujjlenyomatok gyűjtésének kötelezettsége már nem felel meg az uniós rendelet eredeti céljának, nevezetesen a szabad mozgás előmozdításának - áll a német szervezet keresetében.

Bár az adatjogi szervezet azzal is érvelt, hogy az ujjlenyomat nem hatékony eszköz a hamisítás elkerülésére, az Európai Bíróság úgy ítélte meg, hogy az arckép önmagában kevésbé hatékony eszköz az azonosításra, mint a kép mellett két ujjlenyomat.