Az elmúlt héten több körben is óriási hullámokat vert a Tisza applikációját érintő "adat-ügy". Kezdődött az adatok "kiszivárgásáról" szóló hírekkel, illetve az arról indult vitával, hogy szivárognak-e csak úgy az adatok vagy helyesebb "adatlopásról" beszélni. Ez a szakasz nem tartott sokáig, mert az ügy nagyon hamar az elérhetővé vált adatok jogellenes felhasználásáról, különböző listák készítéséről és publikálásáról (lásd pl. Madiner), a listán szereplő személyek telefonos zaklatásáról, a házuk előtti élő videós bejelentkezésekről (lásd pl. Németh Balázs Fidesz-frakció szóvivő bejelentkezését) kezdett szólni. Ezzel sem volt azonban vége. A hét végére eljutottunk oda, hogy a személyes adatokat "interaktív" térképen tették jogellenesen kereshetővé, visszaélve magánszemélyek - politikai véleményét is tükröző - személyes adataival, súlyosan sértve magánszférájukat. 

Az alábbiakban 10 pontban foglalom össze az "adat-ügy" legfontosabb vetületeit, de mielőtt a részletekbe megyünk, nagyon fontos kiemelni, hogy az adatok jogellenes publikálása, térképen történő megjelenítése és bármi egyéb módon történő felhasználása bűncselekmény, súlyos adatvédelmi jogsértés, de ezeken is túlmenően (különösen a visszaélések tömeges, százezreket érintő jellegére tekintettel) a demokratikus, jogállami működés elleni súlyos merénylet, a tisztességes közélet, a közügyekben való részvétel szabadságának rombolására tett kísérlet. 

1. Hogyan jön képbe egyáltalán az adatvédelem? 

Néhány éve, amikor a GDPR alkalmazására történő felkészülés kapcsán az adatvédelem, mint téma a szélesebb közvélemény számára is az érdeklődés középpontjába került (gyakran a GDPR által bevezetett, a korábbiaknál sokkal nagyobb bírságtételek miatt), úgy tűnhetett, hogy a személyes adatok védelme leginkább a technológiai nagyvállalatok elleni fegyver, a célzott reklámok, az interneten keresztüli tömeges manipuláció elleni eszköz. Kevésbé beszéltünk az adatvédelem ezeken messze túlmutató szerepéről, a magánszféra védelmében elfoglalt, a digitalizációval egyre inkább előtérbe kerülő jelentőségéről, amely nem csak a nagyvállalatokkal, hanem az állammal szemben is kiemelten fontos, a demokratikus működés egyik fontos pillére. 

Kinek ne jutnának eszébe József Attila verssorai: 

Számon tarthatják, mit telefonoztam
s mikor, miért, kinek.
Aktákba irják, miről álmodoztam
s azt is, ki érti meg.
És nem sejthetem, mikor lesz elég ok
előkotorni azt a kartotékot,
mely jogom sérti meg.

(József Attila: Levegőt!, részlet)

Az adatvédelem eredete egyébként 1890-ig Lewis Brandeis és Sámuel Warren amerikai jogtudósok híres, a Harvard Egyetem jogi folyóiratában megjelent cikkére vezethető vissza, amelyben a magánszférához való jogot (right to privacy) nevesítették és ezt a "háborítatlansághoz való jogként" (right to be let alone) határozták meg. A cikk megjelenésének apropója ugyan a fényképfelvételek készítésének forradalma volt (a híres Kodak 1 fényképezőgép megjelenésével), de jól mutatja, hogy mennyire aktuális ez ma is, amikor arról beszélünk, hogy a jogellenesen megszerzett adatok alapján telefonon, személyesen - politikai véleményük vagy érdeklődésük miatt - zaklatnak, fenyegetnek, listáznak embereket. 

Az adatvédelem tehát alapjog, amelyet - többek között - az EU Alapjogi Charta 8. cikke (személyes adatok védelme) és a magyar Alaptörvény (VI. cikk (3) bek.) is elismer és védelemben részesít. Ez gyakran kiegészíthető a magánszféra, a magán- és családi élet szélesebb értelemben vett védelmével (lásd Charta 9. cikk, Emberi Jogok Európai Egyezménye 8. cikk, Alaptörvény VI. cikk (1) bek.). A személyes adatok védelméhez fűződő jog alapjogi és Magyarországon az Alaptörvényben is megjelenő védelme nem öncélú, hanem legfőképpen azt hivatott biztosítani, hogy mindenki szabadon, az adatainak jogosulatlan felhasználásától mentesen élhessen és gyakorolhassa - többek között - a jogait, amelyek egy demokratikus állam működésében és működtetésében elengedhetetlenek. Ezek közé tartozik nyilvánvalóan az is, hogy bárki szabadon eldönthesse miképpen él a véleménynyilvánítás szabadságával (legyen szó akár politikai véleményről is), felfedi-e politikai nézeteit vagy sem és ha igen, akkor milyen módon, milyen körben. Ha az adatvédelem, mint alapjog nem garantálható, ha a gyakorlatban nem érvényesül, akkor a demokratikus működés alapjai kerülnek veszélybe, illetve lehetetlenülhetnek el. 

2. Adatvédelmi gyorstalpaló: személyes adat, különleges adat, adatkezelés, és hasonlók

Ahhoz, hogy a személyes adatok védelmére vonatkozó szabályok alkalmazhatóságáról beszélhessünk, tisztázni kell, hogy mi a személyes adat:  

Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. (GDPR,* 4. cikk, 1. pont)   

Bármely, azonosítható természetes személyre vonatkozó információ tehát személyes adatnak minősül. Egyértelmű tehát, hogy az adatok, amelyekről beszélünk (pl. név, telefonszám, lakcím) személyes adatok. Arra tekintettel azonban, hogy az adatok egy politikai párt adatbázisából származnak és utalhatnak az érintett személyek politikai véleményére, nézeteire, így nem egyszerűen személyes adatokról, hanem különleges adatokról beszélünk. 

Különleges adat a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Infotörvény, 3. § 2. pont). A GDPR a különleges adat fogalmát nem definiálja, de az Infotörvényben meghatározott meghatározással azonos tartalommal használja, amikor a személyes adatok különleges kategóriáinak kezeléséről rendelkezik (lásd GDPR 9. cikk). A személyes adatok különleges kategóriájába tartozó adatokat (különleges adat), amelyek közé tartozik a politikai vélemény is, főszabály szerint tilos kezelni, kezelésükre csak akkor kerülhet sor, ha ennek - az egyéb személyes adatok kezelésére vonatkozó feltételeken túl - egyéb feltételei is adottak (így a GDPR 9. cikk (2) bekezdése szerinti valamelyik kivétel alkalmazandó).      

Anélkül, hogy elvesznénk a részletekben, fontos rögzíteni, hogy a személyes adatok kezelésének az alábbi főbb követelményeknek kell megfelelniük: 

• az adatvédelmi alapelvek érvényesülése („jogszerűség, tisztességes eljárás és átláthatóság", "célhoz kötöttség", „adattakarékosság”, "pontosság", „korlátozott tárolhatóság”, „integritás és bizalmas jelleg”, lásd GDPR 5. cikk), 
• az adatkezelő megfelelő jogalappal rendelkezik az adatok kezelésére (GDPR 6. cikk), 
• különleges adatok kezelése esetén az adatkezelési tilalom alóli kivétel (GDPR 9. cikk (2) bekezdés) is érvényesül (pl. az érintett kifejezett hozzájárulását adta az adatkezeléshez), 
• az adatkezelésben résztvevőknek (adatkezelő, adatfeldolgozó) megfelelő technikai és szervezési intézkedésekkel kell gondoskodniuk az adatok kezeléséről. 

Természetesen a fentieken túl számos részletszabály írja még elő az adatkezelés* pontos feltételeit (pl. az érintetti jogok tekintetében), de a legfontosabb, hogy az az adatkezelőnek** megfelelő jogalappal kell rendelkezniük az adatkezeléshez, az adatokat az alapelveknek megfelelően kell kezelniük. 

3. Hogyan és miért kezelhette a Tisza Párt az adatokat? Meddig terjed a Tisza Párt felelőssége? 

A hírek szerint az adatok, amelyek nyilvánosságra kerültek - legalábbis részben - a Tisza Világ applikáción keresztül gyűjtött adatok voltak. A Tisza Világ applikáció tekintetében a Tisza Párt jár el adatkezelőként az adatokat hozzájárulás, illetve az adatok különleges adat jellegére (politikai vélemény) tekintettel az érintettek kifejezett hozzájárulásával gyűjti és kezeli (GDPR 9. cikk (2) bekezdés a) pont). A Tisza Párt az adatkezelést az adatvédelmi szabályok szerint kell, hogy végezze, beleértve azon intézkedések megtételét is, amelyek az adatok védelme érdekében szükségesek.

Az adatbiztonság sérülése esetén (adatvédelmi incidens) a pártnak a NAIH felé kellett az incidens bejelentést megtennie és - az incidens valószínűsíthetően magas kockázataira tekintettel - az érintetteket kellett tájékoztatni. A hatósági bejelentés alapján a NAIH vizsgálhatja azt, hogy az adatkezelő miként járt el az adatok kezelése kapcsán, mi vezethetett az incidenshez és az adatkezelő megfelelően járt-e el annak érdekében, hogy az adatok biztonságos kezelését biztosítsa (megfelelő védelmi intézkedéseket alkalmazott-e)*, illetve megtette-e a szükséges és indokolt lépéseket az incidensről való tudomásszerzést követően.

A NAIH dönthet úgy, hogy adatvédelmi hatósági eljárást indít az incidens kapcsán, amelynek a végén különböző jogkövetkezményeket is megállapíthat (pl. megállapíthatja, hogy nem voltak megfelelőek a biztonsági intézkedések és kötelezheti az adatkezelőt bizonyos intézkedések megtételére, illetve ha az incidenskezelés kapcsán állapít meg hiányosságokat, akkor ezek orvoslására is felhívhat, pl. előírhatja az érintettek GDPR szerinti tájékoztatását), illetve akár adatvédelmi bírságot is kiszabhat, ha úgy ítéli meg, hogy az adatkezelő mulasztása ezt indokolja vagy ha az adatkezelő az incidens kezelése során nem a GDPR-ban előírtak szerint jár el (lásd erről az alábbi 5. pontban foglaltakat is). 

Függetlenül azonban attól, hogy az adatok kikerülésére pontosan miként került sor, az adatok bármilyen további felhasználása is az adatvédelmi szabályok alá tartozik, ezek tekintetében azonban már nem a Tisza Párt az adatkezelő, hanem azon személyek (legyenek ezek akár természetes vagy jogi személyek), akik vagy amelyek adatkezelőként eljárva, adatkezelési döntéseket hoznak (pl. döntenek az adatok nyilvánosságra hozataláról, listázásáról, térképen történő megjelenítéséről), az adatok tekintetében ugyanis ezen döntések révén adatkezelőkké válnak és teljes felelősséget viselnek az adatkezelésük tekintetében (lásd erről az alábbi 6. pontot).

4. Adatszivárgás vagy adatlopás? Egy biztos: adatvédelmi incidens. 

Ahogy azt az előző pontban is írtam, az adatbázis kikerülésének körülményeiről kevés egyértelmű és megbízható információ áll rendelkezésre. Hallhattunk ezzel kapcsolatban "adatszivárgásról", illetve "adatlopásról" is. Nyilván ezek a kifejezések alkalmasak arra, hogy "hangolják" a közvéleményt az "adat-üggyel" kapcsolatban, azaz befolyásolják azt, hogy inkább kinek a hibájaként jelenjenek meg az adatok kikerülése. Ugyanakkor ezen fogalmak meghatározása nem feltétlenül egyértelmű, nem jogszabályban meghatározott fogalmakról van szó, hanem olyan kifejezésekről, amelyek akár a kiberbiztonsági szakirodalomban is némileg eltérő tartalommal jelenhetnek meg, de a köznyelvben még inkább eltérő árnyalatokat kaphatnak.   

Az adatszivárgás (data leak) általánosságban "érzékeny, bizalmas vagy személyes adatok jogosulatlan feltárása egy szervezet rendszereiből vagy hálózataiból egy külső fél számára. Az adatszivárgás lehet szándékos vagy véletlen, és súlyos következményekkel járhat az érintett szervezetekre és egyénekre nézve". Ez a megfogalmazás szerint tehát önmagában nem feltétlenül dönti el, hogy az adatok véletlenül vagy szándékosan váltak-e jogosulatlanul elérhetővé, inkább magára a kialakult helyzetre, azaz az adatok jogosulatlanul történő megismerhetővé válására utal. Frész Ferenc kiváló - a jelen "adat-ügy" kapcsán írt - fogalmakat tisztázó posztjában azt emeli ki, hogy a kifejezést leginkább "a személyes adatok nem szándékos nyilvánosságra kerülésére használják" és alapvetően az eredményt állítja középpontba, azaz, hogy az adatok nyilvánosan elérhetővé válnak. 

Az adatlopás - Frész Ferenc írása alapján - az elkövető oldaláról közelít, azaz azt a jogszerűtlen cselekményt jelöli, amely az adatokhoz történő hozzáférésre irányul. (Az adatokhoz történő jogellenes hozzáférés büntetőjogi vonatkozásaira az alábbiakban még visszatérek.)    

Azt, hogy ténylegesen mi történt, csak egy alapos és hosszadalmasabb vizsgálat állapíthatja majd meg. Persze kérdés, hogy a jelenlegi politikai klíma, amikor a vizsgálat lefolytatásáért felelős szervek és hatóságok bármilyen érdemi lépését megelőzve már minden kormányzati és propaganda oldalról ömlik a számukra kedvező interpretáció, mennyire teszi lehetővé, hogy egy érdemi vizsgálat bármennyire is megalapozott eredménye, korrekt, szakmai módon kerüljön szélesebb körben bemutatásra.....    

A Kiberblog részletesen végigvette a történéseket, az október eleji első napvilágra került eseményektől (amikor az Index számolt be egy 20 ezres tiszás adatbázis nyilvánosan elérhetővé válásáról, sőt be is linkelte (!) a cikkbe az egyértelműen jogellenesen a neten keringő adatbázist). Az itt bemutató információk is azt mutatják, hogy számos bizonytalanság, kérdés, ellentmondás, akár az adatok manipulálására is utaló jel látható, hiszen az október elején (20 ezres) és az október végén kikerült (200 ezres) adatbázis viszonylag kevés (5000) átfedést mutat, ugyanakkor az adatbázisokban szereplő oszlopok és időpontok között viszont mégis van egyezés. Nem lehet látni így még azt sem, hogy egy vagy két körben kerültek-e ki az adatok: 

Occam borotváját előkapva a fiókból, ez csak úgy lehet, ha két teljesen különböző eseményről beszélünk. Akkor meg mi a fene ez az átfedés az oszlopok és az időpontok - és valamennyi adat - között?     

Ez az ellentmondás büdössé teszi az egész ügyet, „normális” adatszivárgás esetén ilyen ellentmondás nem jelenik meg a vizsgált adatok között. 

A folyamatban lévő vizsgálatok eredményétől függően az viszont már egyértelműen rögzíthető, hogy súlyos adatvédelmi incidens történt. Adatvédelmi jogi szempontból 

adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. (GDPR 3. cikk, 12. pont)

A tárgyalt esetben az adatokhoz történő jogosulatlan hozzáférés és azok jogosulatlan közlése egyértelműen megtörtént, így az adatvédelmi incidens bekövetkezett. A GDPR az adatvédelmi incidensek bekövetkezése esetére különböző kötelezettségeket ír elő az adatkezelő (jelen esetben a Tisza Párt) részére: 

• az adatvédelmi incidens bejelentése a NAIH részére (GDPR 33. cikk (1) bek.), 
• az adatvédelmi incidens nyilvántartásba vétele az adatkezelő által (GDPR 33. cikk (5) bek.), és
• az adatkezelő - indokolatlan késedelem nélkül - tájékoztatja az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. (GDPR 34. cikk (1) bek.) - Jelen esetben a magas kockázat fennállása, az adatok jellegére, és az esetleges következményekre tekintettel megállapítható. 

A bejelentés alapján a NAIH vizsgálódik annak feltárása érdekében, hogy megállapítsa az incidens körülményeit és az adatkezelő incidenst megelőzően, az adatok biztonsága érdekében foganatosított intézkedéseit, illetve az incidens bekövetkezése utáni intézkedéseit. 

Az adatvédelmi incidens kapcsán nagyon fontos hangsúlyozni, hogy - függetlenül attól, hogy az incidens bekövetkezéséhez mi vezetett el - az incidenssel érintett adatok további kezelése és felhasználása külön adatkezelési műveletként értékelendő és a különböző személyek, akik ezen adatkezelések kapcsán döntéseket hoznak szintén felelőssé válnak az adatkezelés kapcsán (beleértve azon médiaszolgáltatókat is, amelyek bármilyen formában közlik az adatokat).    

5. Az adatok felhasználása médiaszolgáltatók (újságok, online hírportálok), illetve egyéb személyek (pl. influenszerek) által 

A jogosulatlanul hozzáférhetővé vált adatok bármilyen további felhasználása, közlése súlyos etikai és jogi kérdéseket vet fel. Nagyon éles a különbség, ha az eset kezelése kapcsán egymás mellé tesszük a kormányhoz közelinek mondott médiaszolgáltatók és a függetlenül működő médiumok eljárását az ügy kapcsán. Az előbbi csoportba tartozó orgánumok (pl. Mandiner, Index, Magyar Nemzet) láthatóan figyelmen kívül hagyták mind a sajtóetikai, mind a jogi megfontolásokat és "nagyon könnyű kézzel" súlyosbították a helyzetet azzal, hogy az adatokat újraközölték, listákat hoztak létre (akár bizonyos szempontok szerint szűrve a kikerült adatbázist, akár a kikerült adatokhoz képest további adatokkal bővítve (!) az adatbázist) vagy éppen térképes keresőt készítettek vagy tettek elérhetővé (akár linkelés útján). A függetlenként működő sajtóorgánumok ugyan szintén beszámoltak az adatok kikerüléséről (hiszen ez közérdeklődésre tart számot), de törekedtek arra, hogy tartózkodjanak a további károk okozásától. 

Az adatvédelmi jogsértések kapcsán illetékes hatóságként, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is megszólalt, és közleményt adott ki a "politikai pártok adatbázisaiból nyilvánosságra kerülő személyes és különleges adatok médiaszolgáltatók általi felhasználásának adatvédelmi követelményeiről".    

A közlemény az alábbiakra hívja fel a figyelmet a médiaszolgáltatók tekintetében (kiemelések tőlem):  

Egy politikai párt által a politikai tevékenységéhez használt informatikai rendszer sérülékenysége közérdekű ügynek minősülhet, ez azonban önmagában nem teremt jogszerű alapot arra, hogy az adatbiztonsági hiányosságot kihasználó személy tárolja és nyilvánosságra hozza az adatbázisban szereplő érintettek személyes és különleges adatait.

Ha pedig ezen közérdekű ügyről valamely médiaszolgáltató beszámol,és ennek során felhasználjaezen jogsértő személy eljárása nyomán nyilvánosságra került személyes és különleges adatokat, akkor be kell tartania az általános adatvédelmi rendelet előírásait, illetve a sajtószabadság és a személyes adatok védelméhez való jog közötti egyensúlyt meghatározó jogalkalmazói gyakorlatot.

[...] a személyes adatok tárolása, médiatartalomban való felhasználása esetén a médiaszolgáltató önálló felelősséggel tartozik az adatkezelési tevékenységéért. Ezen adatkezelés során sincs legitimáló szerepe annak, hogy a politikai párt esetlegesen – az irányadó jogi követelményeket megsértve – nem hozott megfelelő adatbiztonsági intézkedéseket, illetve annak sem, hogy a személyes adatokat már korábban – az adatbiztonsági hiányosságot kihasználva – valaki már nyilvánosságra hozta.

A Hatóság álláspontja szerint a médiaszolgáltatóknak az adatkezelésük során mindenekelőtt azt szükséges mérlegelniük, hogy a nyilvánosságra került személyes adatok általuk történő felhasználása, további megosztása mennyiben szükséges a közügyről szóló tudósítás céljának eléréséhez, illetve, hogy az elérni kívánt cél fontossága és az ennek érdekében okozott alapjogsérelem súlya mennyiben állnak arányban egymással.

Ennek körében egyrészt azt szükséges figyelembe venniük, hogy milyen célból és milyen módon kívánják felhasználni a személyes adatokat. Ha például a médiaszolgáltató újságírója a hiteles tájékoztatás biztosítása érdekében, azért használja fel az érintett elérhetőségi adatait, hogy az érintettekkel való kapcsolatfelvétel útján meggyőződjön a nyilvánosságra hozott adatok valódiságáról, vagy az érintettek véleményét kívánja megismerni ezen közéleti jelentőséggel rendelkező ügyről, akkor ezen adatkezelési tevékenység összeegyeztethető lehet az általános adatvédelmi rendelet előírásaival. A Hatóság álláspontja szerint azonban ellentétes lehet az adatvédelmi követelményekkel az, ha egy cikkben a nyilvánosság számára elérhetővé válnak az eleve jogellenes adatkezeléssel érintettek személyes és különleges adatai (akár közvetett módon, tehát az adatbázisra vagy a személyes adatokat nyilvánosságra hozó honlapra mutató hivatkozás közlésével). Ezzel ugyanis a médiaszolgáltatók tovább fokozzák a bekövetkezett jogsértés mértékét és az érintettek magánszférájára gyakorolt negatív hatást.

Másrészt, a médiaszolgáltatóknak azt is figyelembe kell venniük, hogy az érintettek kiszolgáltatott helyzetben vannak, hiszen nem az érintettek hozták nyilvánosságra személyes és különleges adataikat, hanem az adatbiztonsági hiányosságot kihasználó jogsértő személy. Azt is szükséges értékelniük, hogy valamely érintett korábban a nyilvánosság előtt vállalta-e politikai véleményét, illetve ha igen, akkor milyen formában és módon, különös tekintettel az érintett közéleti szerepvállalására, hivatására.

A Hatóság hangsúlyozza, hogy az érintett által nyilvánosságra hozott személyes adatok (pl. politikai vélemény) mellett, egyes további személyes adatok (pl. lakcím, telefonszám) médiaszolgáltatók általi terjesztése már jogellenesnek minősül. A személyes adatok felhasználásával kapcsolatban az adatkezelőknek fokozott figyelmet kell fordítaniuk az érintettek magánéletének, családi életének és otthonának tiszteletben tartásához fűződő jogára is, tartózkodva a személyes adatok zavaró, zaklató módon történő felhasználásától.

A médiaszolgáltató kizárólag abban az esetben és kizárólag abban az időtartamban tárolhatja jogszerűen az adatvédelmi incidens nyomán tudomására jutott személyes adatokat, ha képes annak igazolására, hogy az érintettek adatainak kezelése összeegyeztethető az általános adatvédelmi rendelet követelményeivel.

A Hatóság végezetül rögzíti, hogy a fentiekben kifejtett követelmények vonatkoznak azon, a közéletben aktív személyekre is, akik az adatvédelmi incidens következtében nyilvánosságra került személyes és különleges adatokat a véleménynyilvánításhoz való joguk gyakorlása során felhasználják.

Látható, hogy a médiaszolgáltatóknak (de egyéb személyeknek, pl. a közösségi médiában az eset kapcsán véleményt nyilvánító személyeknek) számos szempontot kell mérlegelniük és önmagában az, hogy az eset közérdeklődésre tarthat számot, nem mentesíti őket az újságírói etikai és a jogi kötelezettségek alól.

A GDPR 85. cikke tartalmaz különös szabályokat a személyes adatok kezelése és a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog esetleges ütközése kapcsán. Ebben a körben a GDPR lehetőséget biztosít a tagállamoknak arra, hogy kivételeket biztosítsanak a GDPR-ban meghatározott egyes kötelezettségek alól annak érdekében, hogy a véleménynyilvánítás szabadsága és a tájékoztatáshoz való jog érvényesülhessen. A magyar jogalkotó e téren nem tett érdemi lépéseket ezen ütközés feloldására, az újságírói munkát adott esetben elősegítő szabályok megalkotására. Természetesen a magyar jogrendszerben találhatunk néhány olyan jogszabályhelyet, amely alkalmazható lehet jelen esetben is, ezek azonban átfogó rendezését nem adják a kérdésnek.

Egyértelmű azonban, hogy nem képzelhető el olyan szabályozás, amely alapján az érintett magánszemélyek adatvédelemhez fűződő joga oly módon felülírásra kerülhetne, hogy a különleges adatok közlése, listák közzététele, stb. elfogadhatónak minősülhetne. 

Adatvédelmi szempontból egyértelmű, hogy az adatok újbóli nyilvános közlése, hozzáférhetővé tétele, listák készítése, stb. súlyosan jogsértő és alapul szolgálhat adatvédelmi hatósági eljárások lefolytatására, amelyek vége - a jogsértés megállapítása esetén - bírság megállapítása lehet (amelyre a GDPR általános bírságkiszabási szabályai vonatkoznak, így akár igen jelentős összegű bírságok kiszabására is sor kerülhet). 

6. Mi a helyzet a bírákkal? Van-e más, különösen kiszolgáltatott csoport?  

A Kúria november 6-án közleményt adott ki:

A bíróságokba vetett közbizalom alapja a függetlenség és a pártatlanság. Ez az oka annak, hogy Magyarország Alaptörvénye tiltja a bírák párttagságát és politikai tevékenységét. A jogszabályok és a bíróságok – így a Kúria – szabályzatai biztosítják a bírói integritás megvédéséhez és a bírókra kötelező magatartási szabályok megsértése esetén a megfelelő jogkövetkezmények alkalmazásához szükséges eszközöket.

Az igazságszolgáltatás függetlensége és pártatlansága védelmében, valamint a közbizalom fenntartása érdekében a Kúria – miként eddig is – készen áll a megfelelő eljárások lefolytatására. Ennek azonban megkerülhetetlen előfeltétele, hogy meghatározott személyre vonatkozó, pontos, ellenőrizhető bizonyítékkal alátámasztott információ álljon rendelkezésre.

A közlemény kiadására azt követően került sor, hogy az adatok kikerülése után megjelentek hírek, miszerint az applikáció letöltői között bírók is lehettek. A neten keringő adatbázisok "ellenőrizhető bizonyítékként" való elfogadhatósága persze erősen kérdéses, de ez is jól mutatja, hogy milyen jelentős érdeksérelmekhez vezethet az adatbázis jogellenes közzététele, újbóli megjelenítése, a különböző listák készítése. 

Jogszabályt sérthettek-e a bírók, akik letöltötték az applikációt és regisztráltak? Nézzük, mit mondanak a vonatkozó szabályok. Az Alaptörvény rögzíti, hogy 

A bírák függetlenek, és csak a törvénynek vannak alárendelve, ítélkezési tevékenységükben nem utasíthatóak. A bírákat tisztségükből csak sarkalatos törvényben meghatározott okból és eljárás keretében lehet elmozdítani. A bírák nem lehetnek tagjai pártnak, és nem folytathatnak politikai tevékenységet. (26. cikk (1) bekezdés, kiemelés tőlem)

Az összeférhetetlenség szabályozása körében a bírák jogállásáról és javadalmazásáról szóló 2011. évi CLXII. törvény is megismétli a fenti tilalmat, azaz, hogy "a bírák nem lehetnek tagjai pártnak, és politikai tevékenységet nem folytathatnak." (39. § (1) bekezdés) Ezt követően a törvény szövege így folytatódik: "(2) A bíró nem lehet országgyűlési, európai parlamenti vagy önkormányzati képviselő, nemzetiségi szószóló, polgármester, vagy a kormányzati igazgatásról szóló 2018. évi CXXV. törvény szerinti politikai felsővezető, közigazgatási államtitkár és helyettes államtitkár. (3)  Az OBH-ba, a Kúriára, valamint az ügyészség kivételével az érintett szervhez beosztott bíró a vezetői tisztségek közül kizárólag főosztályvezetői, főosztályvezető-helyettesi vagy osztályvezetői munkakört tölthet be, illetve álláshelyen foglalkoztatható." (39. §, kiemelés tőlem)

A Bírák Etikai Kódexe (16/2022. (III.2.) OBT határozat) egy kicsit jobban kibontja az összeférhetetlenség kérdését a politikai tevékenységgel kapcsolatban: 

A bíró politikai tevékenységet nem folytat, nyilvánosság előtt tartózkodik a politikai megnyilvánulásoktól. A bíró jogosult a törvényes keretek között szervezett nyilvános rendezvényen részt venni, de ügyelnie kell arra, hogy részvétele ne keltse politikai elkötelezettség látszatát. (2. cikk (1) bek., kiemelés tőlem)

Látható, hogy a kulcskérdést a politikai tevékenység, mint tilalmazott cselekmény meghatározása jelenti. Ennek azonban nincs egyértelmű törvényi (vagy az etikai kódexben szereplő) definíciója. Egyértelműnek látszik, hogy a törvény nem azt tiltja, hogy a bíráknak legyen véleménye (akár politikai véleménye is), hiszen választójoggal is rendelkeznek, azonban ezen véleményüknek nem adhatnak nyilvánosan hangot. A kérdés tehát úgy tehető fel, hogy egy applikáció letöltése, illetve regisztráció az appban nyilvános politikai véleménynyilvánításnak tekinthető-e. Véleményem szerint a válasz nemleges kell, hogy legyen ezzel kapcsolatban. 

Enyhébb formában ugyan, de például a rendvédelmi feladatokat ellátó szervek hivatásos állományának szolgálati jogviszonyáról szóló 2015. évi XLII. törvény is tartalmaz korlátozásokat a politikai tevékenységet illetően (108. §): 

(1) A rendőrség és az Országgyűlési Őrség hivatásos állományának tagja pártnak vagy pártpolitikai célokat szolgáló egyesületnek nem lehet tagja, ilyen célú alapítvánnyal nem létesíthet jogviszonyt, munkájában nem vehet részt, politikai tartalmú közszereplést szolgálaton kívül – az országgyűlési képviselők, az Európai Parlament tagjainak, a helyi önkormányzati képviselők és polgármesterek, valamint a nemzetiségi önkormányzati képviselők választásán jelöltként való részvételt kivéve – sem vállalhat.

(2) A hivatásos katasztrófavédelmi szerv és a büntetés-végrehajtási szervezet hivatásos állományának tagja pártban tisztséget nem viselhet, párt nevében vagy érdekében – az országgyűlési képviselők, az Európai Parlament tagjainak, a helyi önkormányzati képviselők és polgármesterek, valamint a nemzetiségi önkormányzati képviselők választásán jelöltként való részvételt kivéve – közszereplést nem vállalhat, a szolgálati helyen vagy a szolgálati feladat teljesítése közben a hivatásos állomány tagja politikai tevékenységet nem folytathat.

(3) E § alkalmazásában politikai tevékenységnek kell tekinteni minden olyan, mások előtti megnyilvánulást, amely kifejezetten valamely párt vagy politikai mozgalom céljának megvalósulása érdekében a párt vagy politikai mozgalom segítésére vagy támogatására szólít fel.

A fenti szabályozás a bírákénál szűkebb és egyértelmű, hogy a mások előtti megnyilvánulásra, illetve bizonyos tisztségekre irányul, így egy applikáció letöltése vagy hasonló tevékenység kapcsán nem merül fel olyan élesen a kérdés, mint a bírák esetében.  

7. Milyen bűncselekmények valósulhattak meg az "adat-ügy" kapcsán?  

Az adatok jogellenes megszerzése és ezt követően, a jogellenesen hozzáférhetővé vált adatok kezelése kapcsán egyrészt az adatvédelmi szabályok megsértése történt meg, amely alapján adatvédelmi hatósági eljárás(ok)ra kerülhet sor, illetve az érintettek akár polgári jogi úton is felléphetnek a személyiségi jogaik védelmében (pl. sérelemdíjat követelve) vagy konkrét kár bekövetkezése esetén (pl. állás elvesztése) kártérítési igény lehet érvényesíthető. Másrészt az adat-ügy különböző fázisaiban több, különböző bűncselekmény elkövetése is megvalósulhatott.    

A Büntető Törvénykönyv (Btk.) több olyan bűncselekményt is tartalmaz, amelyek megvalósulhattak a személyes adatok jogellenes megszerzése vagy felhasználása révén. 

Egyrészt az adatok jogellenes megszerzése során megvalósulhattak a Btk. XLIII. fejezetében foglaltak, nevezetesen a tiltott adatszerzés, illetve az információs rendszer elleni bűncselekmények körébe tartozó tényállások. Az elérhető információk alapján valószínűsíthetően inkább az információs rendszer elleni bűncselekmények valósulhattak meg, mint a tiltott adatszerzés.  

Ahogy fentebb már írtam, egyelőre nem lehet pontosan tudni, hogy miként kerülhettek nyilvánosságra az adatok. Ugyanakkor, ha később beigazolódik, hogy az adatokat tároló információs rendszer "feltörésére", illetve "adatlopásra" került sor, akkor ez könnyen együtt járhatott az információs rendszer védelmét biztosító intézkedések megsértésével vagy kijátszásával (423. §):

(1) Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) Aki 

a) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy

b) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, 

bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

(3) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha a (2) bekezdésben meghatározott bűncselekmény jelentős számú információs rendszert érint, vagy jelentős érdeksérelmet okoz.

(4) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el.

(5) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja.

Szintén felmerülhet az információs rendszer védelmét biztosító technikai intézkedés kijátszása (424. §), amely - többek között - a Btk. "423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja, vétség miatt két évig terjedő szabadságvesztéssel büntetendő."

Másrészt a jogellenesen elérhetővé vált, illetve megszerzett adatok további felhasználása kapcsán megvalósulhatott a személyes adattal visszaélés (Btk. 219. §):

(1) Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi vagy az Európai Unió kötelező jogi aktusában meghatározott rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva

a) jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy

b) az adatok biztonságát szolgáló intézkedést elmulasztja,

vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.

[...]

(3) A büntetés két évig terjedő szabadságvesztés, ha a személyes adattal visszaélést különleges adatra vagy bűnügyi személyes adatra követik el.

(4) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha személyes adattal visszaélést hivatalos személyként vagy közmegbízatás felhasználásával követik el.

8. Mit tehet az Adatvédelmi Hatóság?

A NAIH-nak számos ponton van feladat az adat-ügy különböző leágazásai kapcsán. Egyrészt az adatvédelmi incidens körülményeinek vizsgálata kapcsán, illetve ha szükségesnek látja, akkor az incidens tekintetében adatvédelmi hatósági eljárást is lefolytathat.

Ezen túlmenően a NAIH-nak el kell járnia a hozzá érkezett bejelentések kapcsán, amelyek a nyilvánosságra került adatok további kezelését (pl. listázás, újságcikkek, interaktív térkép) érintik. E tekintetben is hatósági eljárás(ok) lefolytatására kerülhet sor. 

A NAIH adatvédelmet érintő eljárásaira (beleértve a vizsgálati eljárást és az adatvédelmi hatósági eljárást is) az Infotörvény szabályai az irányadók. Végső soron - a komolyabb következményekkel járó - adatvédelmi hatósági eljárás(ok) lefolytatására kerül sor (lásd Infotv. 60.§), tekintettel a jogsérelem jellegére és azok hatására, valamint arra, hogy ezen ügyekben a GDPR alapján bírság kiszabásának lehet helye, amelyre csak hatósági eljárásban kerülhet sor. 

Bár a jogsértések jellegére tekintettel a minél gyorsabb eljárás fontos lenne, de a törvényi határidők alapján érdemes felkészülni arra, hogy hosszabb idő telhet el, mire az eljárások határozattal végződnek. Az adatvédelmi hatósági eljárásban az ügyintézési határidő ugyanis 150 nap, amely határidőbe nem számít bele a tényállás tisztázásához szükséges adatok közlésére irányuló felhívástól az annak teljesítéséig terjedő idő (Infotv. 60/A.§ (1) bek.).

Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság, többek között a GDPR-ban meghatározott jogkövetkezményeket alkalmazhatja, így különösen kérelemre vagy hivatalból elrendelheti a jogellenesen kezelt személyes adatok általa meghatározott módon végrehajtandó törlését, illetve átmenetileg vagy véglegesen egyéb módon korlátozhatja az adatkezelést és természetesen bírságot is kiszabhat. 

Ha az eljárások el is húzódnak, a Hatóságnak lehetősége van ideiglenes intézkedést is alkalmazni (Infotv. 61/A. § (1) bek.):

A Hatóság ideiglenes intézkedésként a személyes adat jogellenes kezelésének megakadályozása érdekében azon elektronikus hírközlő hálózat útján közzétett adat (e törvény alkalmazásában a továbbiakban: elektronikus adat) ideiglenes eltávolítására, amelynek közzététele miatt a Hatóság adatvédelmi hatósági eljárást vagy hatósági ellenőrzést folytat, az elektronikus adatot kezelő, az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvényben meghatározott tárhelyszolgáltatót, illetve tárhelyszolgáltatást is végző közvetítő szolgáltatót (a továbbiakban együtt: eltávolításra kötelezett) is kötelezheti, ha annak hiányában a késedelem a személyes adatok védelméhez fűződő jog elháríthatatlan és súlyos sérelmével járna és a közzétett adat 

a) érintettje gyermek, vagy 

b) különleges adat vagy bűnügyi személyes adat.

  Továbbá - szintén ideiglenes intézkedésként - elrendelheti (Infotv. 61/B.§ (1)-(2) bek.): 

(1) A Hatóság ideiglenes intézkedésként személyes adat jogellenes kezelésének megakadályozása érdekében elrendelheti az ideiglenes hozzáférhetetlenné tételét annak az elektronikus adatnak, amelynek közzététele miatt a Hatóság adatvédelmi hatósági eljárást vagy hatósági ellenőrzést folytat.

(2) Az elektronikus adat ideiglenes hozzáférhetetlenné tételére akkor kerülhet sor, ha annak hiányában a késedelem a személyes adatok védelméhez fűződő jog elháríthatatlan és súlyos sérelmével járna, továbbá a Hatóság egyéb intézkedése, ideértve a 61/A. § (1) bekezdésében foglalt ideiglenes eltávolítást is, nem vezetett eredményre és a közzétett adat

a) érintettje gyermek, vagy

b) különleges adat vagy bűnügyi személyes adat.

A fenti ideiglenes intézkedések alkalmazása jelen esetben mindenképpen indokolt lehet, ha az adatokat jogellenesen kezelők és közlők más módon nem teszik az adatokat elérhetetlenné. 

9. Mit tehetnek az érintettek?

Mindenekelőtt érdemes lehet ellenőrizni, hogy egy adott személy egyáltalán valóban érintett-e az adatok jogellenes megszerzésében és felhasználásában. Ehhez segítséget nyújt a  Have I Been Pwned? (HIBP) nevű ingyenes szolgáltatás, amelyen ellenőrizhető az adatvédelmi incidensben való érintettség (azaz, hogy a netre felkerült adatbázisban az adott személyhez köthető adat szerepel-e). Ebbez az adatbázisban már szerepel a Tisza Világ applikációt érintő incidens is. 

Ha az ellenőrzés azt mutatja vagy az érintett más módon arról értesül, hogy az adataival visszaéltek, akkor fordulhat a NAIH-hoz, illetve feljelentést tehet a személyes adattal történő visszaélés kapcsán.

Számos egyéb gyakorlati lépés is megtehető (sőt, szükséges ezeket megtenni). Ezekről részletes áttekintést ad Frész Ferenc összefoglalója. Fontos lehet a bizonyítékok dokumentálása (pl. képernyőfotó), illetve a biztonsági intézkedések megtétele (pl. jelszavak módosítása). Tekintettel arra, hogy lakcímek és telefonszámok is elérhetővé váltak, így adott esetben fizikai biztonsági intézkedések szintén indokoltak lehetnek (pl. végső esetben, telefonszám megváltoztatása). Sor kerülhet lépésekre a jogsértő tartalmak eltávolítása érdekében is (pl. közösségi médiában az érintett posztok, tartalmak jelentése).  

Természetesen az érintettek előtt nyitva áll a polgári jogérvényesítés (pl. valamely, az adatokat közlő médiaszolgáltatóval szemben), adott esetben az egyéni körülményektől is függően (pl. sérelemdíj iránti igény).    

10. Milyen hosszabb távú hatások várhatók?

Egy kicsit ellépve a konkrét ügytől, néhány fontos megállapítást tehetünk, még akkor is, ha számos vizsgálat, eljárás, kommunikációs csűrés-csavarás van még hátra, amelyek majd árnyalják az összképet.

Ahogy a fentiekben is láthattuk ez az eset, különösen a jogellenesen kikerült adatok, gátlástalan, politikai célú további felhasználása (listázás, kereshető újraközlés, stb.) nagyon komoly támadást intéz a demokratikus működés, az állampolgári joggyakorlás ellen. Szomorú látni, hogy milyen sokan veszik semmibe mások legelemibb jogait, és csupán - vélt vagy valós - politikai véleménykülönbség okán szabad prédaként tekintenek mások magánéletére.    

Az eset azonban - a magyarországi demokratikus működés zavarain és a demokratikus működés ellen intézett újabb nagyon jelentős kihíváson túl (amelyekből az elmúlt időszakban volt bőven, gondoljunk például az arcfelismerő kamerák bevetésére a véleménynyilvánítás korlátozása érdekében) - általánosságban a magyar adatvédelmi rendszer nagyon komoly próbája is. Ha ebben a százezreket közvetlenül, de valójában mindannyiunkat érintő ügyben az adatvédelmi intézményrendszer rosszul vizsgázik, az nagyon komoly bizalomvesztéshez vezethet és hosszú távú, súlyos következményekkel járhat az adatvédelmi jogkövetés, az adatvédelmi követelmények figyelembevétele, az adatvédelmi tudatosság alakulása kapcsán. A NAIH-nak kulcsszerepe lehet abban, hogy az adatvédelem iránti bizalmat, a tudatosságot erősítse ezen ügy kapcsán is, ehhez azonban az kell, hogy a kikerült adatokkal bármilyen visszaélést elkövetőkkel szemben, legyenek azok médiaszolgáltatók vagy "megmondó emberek", határozottan és gyorsan fellép (alkalmazva akár az ideiglenes intézkedésre vonatkozó jogosítványait a jogsértő tartalmak eltávolítására).