Rendkívül nagy figyelmet kapott, hogy Lázár János építési és közlekedési miniszter Balatonalmádiban tartott fórumán elhangzott kijelentéseivel szemben, a pár nappal későbbi gyöngyösi fórumon tiltakozók bűnügyi személyes adatait egy videóban (az arcok kitakarásával, és monogramok alkalmazásával) nyilvánosságra hozták. A bűnügyi személyes adatokra vonatkozó közléseket maga a kormánypárt, további politikusok (többek között a miniszterelnök), illetve egyes kormányzati sajtóorgánumok is megismételték, terjesztették. A kérdésekre, hogy mégis milyen módon jutott az adatokhoz, azt milyen alapon kezelte, Lázár János a következő választ adta:
Bocsánat, de a rendőrség egy állami szervezet. Én az állam egyik vezetője vagyok mint kormánytag. Amit a kormány tudhat, azt én is tudhatom.
Az adatok megszerzésének módja kapcsán egy videóban még hozzátette:
a rendőrség igazoltatott, „utána a belügyminiszter jelentett a miniszterelnöknek, mert egy miniszterről van szó”, nyilvánosságra meg nem ő hozta az adatokat.
A miniszter elmondása szerint a rendőrség a gyöngyösi fórumot követően igazoltathatta az ott megjelentek közül azokat, aki kérdést, kritikát, véleményt fogalmaztak meg a miniszter korábbi kijelentései kapcsán és az igazoltatáshoz kapcsolódóan ellenőrizték a bűncselekmények esetleges korábbi elkövetésére vonatkozó adatokat. A Heves Vármegyei Rendőrkapitányság ugyanakkor közleményben cáfolta, hogy bárkit is igazoltattak volna a gyöngyösi fórum kapcsán....
Az alábbiakban az adatkezelés oldaláról mutatom be, hogy a bűnügyi személyes adatok visszaélésszerű kezelése milyen súlyos következményekkel jár.
1. Mi az a bűnügyi személyes adat?
Bármilyen részletes magyarázat és jogi okfejtés nélkül is érezzük, hogy a büntetett előéletre vonatkozó személyes adatok (köznapi megnevezéssel, "priusz") igen érzékeny személyes adatok, amelyekhez hozzáférni, azokat kezelni, pláne nyilvánosságra hozni nem lehet "csak úgy". Nézzük meg azért pontosabban, hogy adatvédelmi szempontból milyen kategorizálásról beszélhetünk ezen adatok kapcsán.
Mindenekelőtt fontos tisztáznunk, hogy egyáltalán mi minősül bűnügyi személyes adatnak. Bűnügyi személyes adat a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat. (Lásd Infotv. 3. § 4. pont.)
A jelen esetben büntetett előéletre vonatkozó személyes adatokról van szó, hiszen egyes konkrét személyekhez köthetően kerültek megnevezésre korábban elkövetett bűncselekmények. Egyértelműnek látszik tehát, hogy amennyiben megvalósult adatkezelés, akkor bűnügyi személyes adat, azaz nagyon érzékeny személyes adatok kezelésére került sor.
A bűnügyi személyes adatok ugyan kifejezetten érzékeny, a személyes adatok körén belül is különösen védett adatok, azonban nem minősülnek ún. különleges adatnak*. Az Infotv. - a hatálya alá tartozó adatkezelések tekintetében - előírja ugyanakkor, hogy "a bűnügyi személyes adatok kezelése esetén – ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa ettől eltérően nem rendelkezik – a különleges adatok kezelésének feltételeire vonatkozó szabályokat kell alkalmazni." Lásd Infotv. 5. § (7) bekezdés.) Ez azt jelenti, hogy az "egyszerű" személyes adatoknál tipikusan fokozottabb védelmet kell biztosítani ezen, kifejezetten érzékeny adatoknak. Fontos, hogy ez a követelmény - az Infotv. 2. § (2) bekezdése alapján - kiterjed azokra az esetekre, amikor a bűnügyi személyes adatot nem az Infotv. hatálya alá tartozó bűnüldözési, nemzetbiztonsági és honvédelmi célra kezelik, hanem bármilyen egyéb célból az EU általános adatvédelmi rendeletével (GDPR) összhangban. Jelen esetben pedig pontosan ez történt, hiszen az adatokat nem bűnüldözési vagy nemzetbiztonsági célból kezelték, amikor egy - a gyülekezési jog alá eső - rendezvényen tiltakozó személyek esetében megszerezték és nyilvánosságra hozták az adatokat.
(*Különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. Lásd Infotv. 3. § 3. pont.)
2. Milyen jogszabályokra kell figyelembe venni jelen esetben?
Az alkalmazandó adatvédelmi jogszabály aszerint állapítható meg, hogy milyen célból történik az adatkezelés. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) 2. §-ad eligazítást atekintetben, hogy mikor mely adatvédelmi jogszabály szerint kell eljárni a személyes adatok kezelése kapcsán. Az Infotv-t a személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére kell alkalmazni. Más esetekben, azaz tipikusan a bűnüldözési, nemzetbiztonsági és honvédelmi célú adatkezelések körén kívül eső adatkezelések tekintetében, a GDPR-t kell alkalmazni. (A GDPR alapvetően a személyes adatok részben vagy egészben automatizált módon történő kezelésére vagy személyes adatok nyilvántartásba rögzített kezelésére vonatkozik, azonban az Infotv. az ezen a körön kívül eső adatkezelésekre, pl. nem automatizált és nem nyilvántartásba rendezett adatok kezelésére is lényegében a GDPR rendelkezéseit, kiegészülve az Infotv. egyes előírásaival, rendeli alkalmazni.)
Jelen esetben tehát elsősorban a GDPR-t kell alapul venni, hiszen a bűnügyi személyes adatokat nem bűnüldözési célra kezelték.
(Természetesen a bűnügyi személyes adatok kezelésére vonatkozóan további jogszabályi rendelkezésekre kell figyelembe venni, pl. a büntetőeljárásra vonatkozó törvény adatkezelésre vonatkozó rendelkezéseit, ha az adatok kezelése a büntetőeljárással összefüggésben történik.)
3. A kormány bármilyen személyes adathoz hozzáférhet?
Az adatok kezelése kapcsán előadott érvelés, miszerint a rendőrség kezelte a bűnügyi személyes adatokat, a rendőrség, mint állami szervezet a kormányzat alá tartozik, így a piramis csúcsán állva a kormány és annak tagjai a miniszterek szintén hozzáférhetnek az adatokhoz, teljesen téves és megalapozatlan.
Az adatkezelések esetében ugyanis minden esetben megkerülhetetlen kiindulást jelent az adatkezelés célhoz kötöttségének elve. Eszerint személyes adatot csak előre meghatározott célból lehet kezelni és csak olyan mértékben, amelyre ezen cél eléréséhez feltétlenül szükség van (adattakarékosság). Azon túl ráadásul, hogy az adatkezelésnek az alapelveknek (célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság, stb.) megfelelően kell történnie, az adatkezelőnek (aki az adatkezelés célját és eszközeit meghatározza) megfelelő jogalappal kell rendelkeznie. Jogalap nélkül az adatkezelés nem lehet jogszerű. A GDPR-ban meghatározott jogalapok közül jelen esetben a jogi kötelezettség teljesítése (azaz, amikor az adatkezelést a jogszabály írja elő), illetve a hozzájárulás jöhet szóba.
Felvethető lehetne az ún. jogos érdek alkalmazhatósága is, de ezzel szemben számos ellenérv hozható fel, pl. nem nagyon látszik olyan azonosítható jogos érdek, amely ahhoz fűződhetne, hogy a véleménynyilvánítás jogával élő állampolgárok - vélhetően jogszerűtlenül megszerzett - érzékeny adatait megtorlásként nyilvánosságra hozzák, így ebben az esetben nem érdemes ezzel érdemben foglalkozni. Ne felejtsük el azt sem, hogy ha meg is állna a miniszteri érvelés, hogy a kormányzati munkához kapcsolódóan fértek hozzá és kezelték az adatokat, akkor a GDPR azon rendelkezésére is figyelemmel kell lenni, miszerint a jogos érdek, mint jogalap nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
Elég könnyen belátható, hogy az adatkezeléshez (a bűnügyi személyes adatoknak az erre jogosult szervektől történő kiadására, az illetéktelenek általi kezelésére és nyilvánosságra hozatalára) nem állt rendelkezésre megfelelő jogalap. Még a kormány, az egyes minisztériumok, illetve miniszterek esetében is alapvető követelmény, hogy az adatkezelésre a vonatkozó jogszabályoknak megfelelően, így meghatározott célból és megfelelő jogalappal (tipikusan jogi kötelezettség teljesítése) kerüljön sor. Ilyenről ez esetben szó sincs. (Arról már nem is beszélve, hogy az adatkezelésnek tisztességesnek is kell lennie, amely feltétel teljesülése ebben az esetben nehezen lenne alátámasztható.)
A NAIH egy határozatában (NAIH-2868-23/2021) egyértelművé teszi azt is, hogy - a fenti szabályra tekintettel, miszerint a bűnügyi személyes adatok kezelése esetén a különleges adatok kezelésének feltételeire vonatkozó szabályokat kell alkalmazni - a bűnügyi személyes adatok tekintetében a GDPR 9. cikkében foglaltakat is alkalmazni kell: "Kiemelendő, hogy az Infotv. 5. § (7) bekezdése a bűnügyi személyes adatokra a különleges adatok kezelésének feltételeire vonatkozó szabályokat rendeli alkalmazni, azaz figyelemmel a GDPR 9. cikk (1) bekezdésére a bűnügyi személyes adatok kezelése főszabály szerint tilos, és azok csak akkor kezelhetők, ha az adatkezelésnek van egy 6. cikk (1) bekezdése szerinti jogalapja, illetve a 9. cikk (2) bekezdése szerinti valamely körülmény fennáll." (határozat 13. o.)
Tegyük fel, hogy a kormány jogosult lenne (lett volna) az adatok kezelésére. Jelentheti-e ez azt, hogy egy miniszter is minden további nélkül, hozzáférhet az adatokhoz és kezelheti ezeket az adatokat? A válasz egyértelmű: nem. Ha meghatározott célból (valamely kormányzati feladat ellátása) és a hozzá kapcsolódó jogalapon (törvényben meghatározottak szerint) jogszerű lenne a kormányzati adatkezelés (például nemzetbiztonsági célból), akkor az adatkezelésnek ezen körön belül kell maradnia. Az adatkezelést a miniszterek is legfeljebb ezen belül végezhetik (férhetnek hozzá az adatokhoz), ha ez a tevékenységük ellátásához szükséges és jogszabály lehetővé teszi. (Az építési és közlekedési miniszternek vajon milyen célból szükséges hozzáférnie egy nyilvános rendezvényen megjelent személyek bűnügyi személyes adataihoz, még akkor is, ha azon a rendezvényen a miniszter felszólalt?)
Feltéve (de meg nem engedve), hogy Lázár Jánosnak miniszterként akár hozzáférése is lehetne ezen adatokhoz egy meghatározott célból, adódik a kérdés: miniszterként, a közfeladat ellátása érdekében kezelte-e Lázár János az adatokat. Még tovább lépve: a gyülekezési jog hatálya alá tartozó rendezvény (Lázárinfó) egyáltalán összefüggésbe hozható-e a kormányzati munkával, azon a miniszter (aki egyébként miniszteri feladatait háttérbe szorítva éppen a kampányra fókuszál, azaz egy párt képviseletében és érdekében jár el elsősorban, nem pedig kormánytagként) milyen minőségben vesz egyáltalán részt. Miért kellene ezek után miniszterként hozzáférnie egy pártrendezvényen résztvevő személyek adataihoz? Ne felejtsük el azt sem, hogy az adatokhoz pedig nem csak a miniszter, hanem a kormánypárt és egyes sajtóorgánumok (pl. Magyar Nemzeti) is hozzáférhettek, amelyek esetében az érvelés, miszerint az adatokhoz a kormányzati munka keretében történhetett hozzáférés, fel sem merülhet.
Összefoglalva: a kormány sem férhet(ne) hozzá cél és jogalap nélkül személyes adatokhoz (különösen nem ilyen érzékeny adatkörökhöz), a kormánynak sincs biankó csekk a kezében az adatkezelések vonatkozásában.
4. Az igazoltatás kapcsán feltétlenül ellenőrizni kell az esetleges büntetett előéletre vonatkozó adatokat?
Bár megdőlni látszik a teória, hogy az adatokhoz történő hozzáférésre rendőrségi igazoltatással összefüggésben került volna sor, de röviden mégis nézzük meg, hogy elméletileg az igazolással összefüggésben kezelhetők lettek volna-e a büntetett előéletre vonatkozó adatok.
Az igazoltatás szabályait a rendőrségi törvény határozza meg (lásd 29. §) és elsősorban a rendőrség végzi az igazoltatást.
A rendőrségi törvény szerint, "a rendőr a feladata ellátása során
a) igazoltathatja azt, akinek a személyazonosságát a közrend, a közbiztonság védelme érdekében, bűnmegelőzési vagy bűnüldözési célból, a tartózkodása jogszerűségének megállapítása céljából, közlekedésrendészeti ellenőrzés során, továbbá az igazoltatott vagy más természetes, illetve jogi személy és egyéb szervezet jogainak védelme érdekében kell megállapítani,
b) az igazoltatott személyt lakcímének, tartózkodási helyének – az igazoltatott választása szerint – a lakcímet igazoló hatósági igazolvánnyal vagy más alkalmas módon történő igazolására, vagy a lakcímre, tartózkodási helyre vonatkozó nyilatkozattételre kérheti fel, valamint
c) amennyiben a 24/A. § (1) bekezdésében meghatározott személy felkérése alapján igazoltat, úgy az igazoltatott személyt a b) pontban megjelölt adatok igazolására, vagy ezen adatokra vonatkozó nyilatkozattételre kéri fel."
Az igazoltatás tehát alapvetően a személyazonosság, illetve a lakcím vagy tartózkodási hely hitelt érdemlő megállapítására szolgál. Nem jelenti azonban azt, hogy a rendőrség bármilyen, az igazoltatott személyre vonatkozó adathoz, így pl. a büntetett előéletre vonatkozó adathoz szükségképpen hozzá kell, hogy férjen az igazoltatás kapcsán. Ha az igazoltatott személy okmányokkal nem tudja magát igazolni (vagy megtagadja az okmányok átadását), akkor a személyazonosság megállapítása céljából az igazoltatottról fényképfelvétel készíthető, az igazoltatottól ujjnyomat vehető, továbbá a külső testi jegyek észlelés és mérés alapján rögzíthetők. Az elkészített fényképfelvételt az erre a célra rendszeresített eszköz alkalmazásával az arcképelemzési nyilvántartásról és az arcképelemző rendszerről szóló törvényben szabályozott automatizált összehasonlítás igénybevételével, az ott meghatározott szabályoknak megfelelően – személyazonosság megállapítása céljából – a helyszínen ellenőrizni lehet (29.§ (4a) bekezdés). (Jelen esetben a rendőrségi közlemény szerint, "a fórumot megelőzően, a fórumon, a fórumot követően a rendőrség a résztvevők közül senkit nem igazoltatott, kép- és hangfelvételt nem készített.")
Ha további intézkedéshez, eljáráshoz szükséges, vagy egyéb körülmények ezt indokolják, az igazoltatás során rögzíteni kell az igazoltatott személyazonosító adatait*, a megismert hatósági igazolvány sorozatát és számát, az igazoltatás helyét, idejét és okát, valamint adott esetben, az igazoltatott személy lakóhelyét, tartózkodási helyét. (*Személyazonosító adaton az érintett személy nevét, születési helyét, születési idejét és anyja születési családi és utónevét kell érteni.)
Az igazoltatással összefüggésben tehát alapvetően nem merül fel a büntetett előéletre vonatkozó adatok kezelése. Legfeljebb arra kerülhet sor, ha további intézkedésre vagy eljárásra kerül sor, akkor ezek keretében, szigorúan a további intézkedés vagy eljárás céljához (!) igazodva, a vonatkozó jogszabályoknak megfelelően (pl. a büntetőeljárásra vonatkozó törvény szerint) történjen hozzáférés további adatokhoz (beleértve az esetleges büntetett előéletre vonatkozó adatokat).
A büntetőeljárásra vonatkozó törvény szigorúan szabályozza, hogy ki és milyen körben kezelhet személyes adatokat a büntetőeljárásban (lásd 98. §): "A bíróság, az ügyészség és a nyomozó hatóság gondoskodik arról, hogy a büntetőeljárásban kezelt védett adat szükségtelenül ne kerüljön nyilvánosságra, ne juthasson illetéktelen személy tudomására, és a személyes adat védelme biztosított legyen. A bíróság, az ügyészség és a nyomozó hatóság kizárólag törvény rendelkezései szerint teheti lehetővé a büntetőeljárásban kezelt személyes adat és védett adat megismerését."
Bár jelen esetben nem beszélhetünk büntetőeljárásról, de a fenti szakaszok is jól illusztrálják, hogy a személyes adatok (bűnügyi személyes adatok) megismerhetősége nyilvánosságra hozataluk nagyon korlátozott.
5. Ha az adatok közzététele során az arcokat kitakarták és csak monogramokat használtak, megvalósult egyáltalán adatkezelés?
Gyakori tévedés, hogy az adatok részleges kitakarása, monogramok használata, stb. minden esetben anonimmá teszi az adatokat, azaz olyan adatok jönnek létre ezáltal, amelyek nem minősülnek már személyes adatnak, így az adatvédelmi szabályokra tekintet nélkül kezelhetők. A helyzet azonban nem ilyen egyszerű.
Egyrészt a személyes adatok anonim adattá alakítása is adatkezelési művelet, amelyet az adatvédelmi szabályoknak megfelelően kell végezni. Természetesen itt is felmerül a kérdés, hogy az adatkezelés milyen célból és milyen jogalapon történik. Ha ezekre nincs megfelelő válasz, akkor jogszerűtlen lesz az adatkezelés.
Másrészt - a megfelelő céllal és jogalapon elvégzett - anonimizálás csak akkor megfelelő, ha az tényleg visszafordíthatatlan és többé az érintett személy már nem azonosítható. Jelen esetben ez a feltétel nem valósult meg, hiszen a rendezvényről elérhetőek voltak olyan felvételek, amelyeken az érintett személyek látszottak, így a felvételek összevetése révén a beazonosítás lehetségessé válhatott. Nem beszélve arról, hogy nem feltétlenül kell a személyeknek bárki számára beazonosíthatónak lenniük, elég, ha csak meghatározott személyek számára lesznek azonosíthatók (pl. a környezetükben élők, személyes ismerőseik számára).
Ahogy a NAIH is rögzítette egy, a Budapest Főváros Levéltárával szembeni ügyben (erre az ügyre alább még visszatérek), "az anonimizálás technikailag valamennyi olyan személyes adat kitakarását jelenti, amely alapján az érintett kilétére következtetni lehet. Az anonimizálással a levéltári anyagban szereplő, a korábban természetes személyhez kapcsolódó adatokat elszakítják a természetes személytől." (NAIH/2020/6141/4., (59), 14. o.)
Összességében tehát az adatokat nem anonimizálták megfelelően, az érintettek felismerhetőek maradtak vagy felismerhetővé válhattak (legalább egy szűkebb kör, pl. ismerősök, családtagok számára), így lényegében nem anonim, hanem személyes adatok kerültek nyilvánosságra.
Az adatok nem megfelelő anonimizálás után történő nyilvánosságra hozatalának ékes példája volt a közelmúltban az USA-ban az ún. Epstein-akták publikálása, amely során olyan módon takartak ki adatokat, hogy azokat nagyon könnyen újra felismerhetővé lehetett tenni.
6. Lehet a bűnügyi személyes adat közérdekből nyilvános adat? Felmerülhet-e ez a jelen esetben?
A magyar jog ismeri a közérdekből nyilvános adat fogalmát (lásd Infotv. 3. § 6. pont). Közérdekből nyilvános adat lehet személyes adat is, beleértve akár a bűnügyi személyes adatot, ha annak nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli.
Jelen esetben nem áll fenn ez a helyzet, nincs olyan törvényi rendelkezés, amely alapján egy nyilvános rendezvényen megjelent személyek érzékeny személyes adatait (bűnügyi személyes adatait) nyilvánosságra lehetne hozni, csupán azért, mert éltek a véleménynyilvánítási jogukkal.
Emlékezetes eset volt, amikor Kiss László egykori úszó szövetségi kapitány 1962-es büntető ügyére vonatkozó adatokat hoztak évtizedekkel később nyilvánosságra. Az ezzel kapcsolatban folytatott NAIH-eljárás megállapította, hogy "a Kiss-ítélet vonatkozásában nincs olyan jogszabály, amely kimondaná, hogy az abban szereplő személyes adatok közérdekből nyilvános adatoknak minősülnek, vagy – a személyes adatokkal együtt – lehetővé tenné a Kiss-ítélet nyilvánosságra hozatalát, megismerhetőségét, hozzáférhetővé tételét" (Határozat, 8. o.). A NAIH megállapította, hogy mivel törvény nem minősíti az adatot közérdekből nyilvános adattá, így az adatvédelmi szabályokat kell rá alkalmaznia, amelyek alapján az adatok nyilvánosságra hozatala jogellenes volt.
7. Milyen következményei lehetnek a bűnügyi személyes adatok jogellenes nyilvánosságra hozatalának?
7.1 Adatvédelmi hatósági eljárás
A fentiek alapján láthattuk, hogy az adatvédelmi szabályok megsértésére több ponton is sor kerülhetett, így különösen: (i) a bűnügyi személyes adatokhoz történő - adott esetben megfelelő adatkezelési cél és jogalap nélküli - hozzáférés (lekérdezés) és adattovábbítás során, (ii) az adatok kormánytagok (beleértve a miniszterelnököt és az építési és közlekedési minisztert) és más szereplők (pl. politikai párt) általi - megfelelő adatkezelési cél és jogalap nélküli - kezelése révén, (iii) az adatok - sajtóorgánumok, a kormánypárt, politikusok, stb. - nyilvánosságra hozatala, terjesztése révén. Ennek megfelelően adatvédelmi hatósági eljárás lefolytatására (akár hivatalból, akár bejelentés alapján) sor kerülhet. Egyelőre nem jelent meg információ arról, hogy adatvédelmi hatósági eljárás megindítására sor került volna. Ez azonban - az eljárást akár hivatalból megindítva - mindenképpen szükséges lenne ebben az esetben az adatok érzékeny jellegére (bűnügyi személyes adat) és a felhasználásuk módjára (nyilvánosságra hozatal), illetve a szándékolt hatásra (véleménynyilvánítás szabadságának gyakorlásától való elrettentés, nagy nyilvánosság előtti lejáratás).
A NAIH adatvédelmet érintő eljárásaira (beleértve a vizsgálati eljárást és az adatvédelmi hatósági eljárást is) az Infotv. szabályai az irányadók. Végső soron - a komolyabb következményekkel járó - adatvédelmi hatósági eljárás(ok) lefolytatására kerül sor (lásd Infotv. 60.§), tekintettel a jogsérelem jellegére és azok hatására, valamint arra, hogy ezen ügyekben a GDPR alapján bírság kiszabásának lehet helye, amelyre csak hatósági eljárásban kerülhet sor.
Bár a jogsértések jellegére tekintettel a minél gyorsabb eljárás fontos lenne, de a törvényi határidők alapján hosszabb idő telhet el, mire az eljárások határozattal végződnek. Az adatvédelmi hatósági eljárásban az ügyintézési határidő ugyanis 150 nap, amely határidőbe nem számít bele a tényállás tisztázásához szükséges adatok közlésére irányuló felhívástól az annak teljesítéséig terjedő idő (Infotv. 60/A.§ (1) bek.).
Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság, többek között a GDPR-ban meghatározott jogkövetkezményeket alkalmazhatja, így különösen kérelemre vagy hivatalból elrendelheti a jogellenesen kezelt személyes adatok általa meghatározott módon végrehajtandó törlését, illetve átmenetileg vagy véglegesen egyéb módon korlátozhatja az adatkezelést és természetesen bírságot is kiszabhat.
Ha az eljárások el is húzódnak, a Hatóságnak lehetősége van ideiglenes intézkedést is alkalmazni (Infotv. 61/A. § (1) bek.):
A Hatóság ideiglenes intézkedésként a személyes adat jogellenes kezelésének megakadályozása érdekében azon elektronikus hírközlő hálózat útján közzétett adat (e törvény alkalmazásában a továbbiakban: elektronikus adat) ideiglenes eltávolítására, amelynek közzététele miatt a Hatóság adatvédelmi hatósági eljárást vagy hatósági ellenőrzést folytat, az elektronikus adatot kezelő, az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvényben meghatározott tárhelyszolgáltatót, illetve tárhelyszolgáltatást is végző közvetítő szolgáltatót (a továbbiakban együtt: eltávolításra kötelezett) is kötelezheti, ha annak hiányában a késedelem a személyes adatok védelméhez fűződő jog elháríthatatlan és súlyos sérelmével járna és a közzétett adat
a) érintettje gyermek, vagy
b) különleges adat vagy bűnügyi személyes adat.
Továbbá - szintén ideiglenes intézkedésként - elrendelheti (Infotv. 61/B.§ (1)-(2) bek.):
(1) A Hatóság ideiglenes intézkedésként személyes adat jogellenes kezelésének megakadályozása érdekében elrendelheti az ideiglenes hozzáférhetetlenné tételét annak az elektronikus adatnak, amelynek közzététele miatt a Hatóság adatvédelmi hatósági eljárást vagy hatósági ellenőrzést folytat.
(2) Az elektronikus adat ideiglenes hozzáférhetetlenné tételére akkor kerülhet sor, ha annak hiányában a késedelem a személyes adatok védelméhez fűződő jog elháríthatatlan és súlyos sérelmével járna, továbbá a Hatóság egyéb intézkedése, ideértve a 61/A. § (1) bekezdésében foglalt ideiglenes eltávolítást is, nem vezetett eredményre és a közzétett adat
a) érintettje gyermek, vagy
b) különleges adat vagy bűnügyi személyes adat.
A fenti ideiglenes intézkedések alkalmazása jelen esetben is indokolt lehet, ha az adatokat jogellenesen kezelők és közlők más módon nem teszik az adatokat elérhetetlenné.
7.2 Büntetőjogi tényállások
Az adatok jogellenes megszerzése és ezt követően, a jogellenesen hozzáférhetővé vált adatok nyilvánosságra hozatala kapcsán több, különböző bűncselekmény elkövetése is megvalósulhatott.
A bűnügyi személyes adatok jogellenes megszerzése és az adatok további felhasználása (nyilvánosságra hozatala) kapcsán megvalósulhatott a személyes adattal visszaélés (Btk. 219. §) tényállása:
(1) Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi vagy az Európai Unió kötelező jogi aktusában meghatározott rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva
a) jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy
b) az adatok biztonságát szolgáló intézkedést elmulasztja,
vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.
[...]
(3) A büntetés két évig terjedő szabadságvesztés, ha a személyes adattal visszaélést különleges adatra vagy bűnügyi személyes adatra követik el.
(4) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha a személyes adattal visszaélést
a) hivatalos személyként,*
b) közmegbízatás felhasználásával, vagy
c) bírósági eljárási cselekményről – a helyszínen vagy a tárgyalás online nyilvánosságáról szóló jogszabály megsértésével – jogosulatlanul készített kép- vagy hangfelvétellel, illetve kép- és hangfelvétellel
követik el.
(*A miniszterelnök és a miniszter a Btk. fogalomrendszerében hivatalos személynek minősül. Lásd Btk. 459. § (1) bekezdés 11. pont.)
A rendelkezésre álló információkból még mindig nem világos, hogy az adatok egyáltalán miként kerültek ki a nyilvántartásokból, ki, miért és hogyan fért hozzá az adatokhoz. Ezen hozzáférés kapcsán is megvalósulhatott a fenti tényállás, de akár más, a Btk-ban szabályozott bűncselekmény is.
Több helyen elhangzott az is, hogy amennyiben a közölt adatok nem lennének valósak, azaz nem tényleges bűnügyi személyes adatok kerültek volna nyilvánosságra, akkor akár ezen "kreált priuszok" konkrét személyekhez kötésével is bűncselekmények elkövetésére kerülhetett sor:
- rágalmazás (Btk. 226. §)
- becsület csorbítására alkalmas hamis hang- vagy képfelvétel készítése (226/A. §)
- becsület csorbítására alkalmas hamis hang- vagy képfelvétel nyilvánosságra hozatala (226/B. §).
226. § (1) Aki valakiről más előtt a becsület csorbítására alkalmas tényt állít, híresztel, vagy ilyen tényre közvetlenül utaló kifejezést használ, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.
(2) A büntetés két évig terjedő szabadságvesztés, ha a rágalmazást
a) aljas indokból vagy célból,
b) nagy nyilvánosság előtt, vagy
c) jelentős érdeksérelmet okozva
követik el.
(3) Nem büntetendő rágalmazás miatt annak a cselekménye, aki az (1) bekezdésben meghatározottakat a közügyek szabad megvitatása körében sajtótermék vagy médiaszolgáltatás útján követi el, feltéve, hogy cselekménye nem irányul a sértett emberi méltóságának nyilvánvaló és súlyosan becsmérlő tagadására.
226/A. § (1) Aki abból a célból, hogy más vagy mások becsületét csorbítsa, hamis, hamisított vagy valótlan tartalmú hang- vagy képfelvételt készít, ha más bűncselekmény nem valósul meg, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.
226/B. § (1) Aki abból a célból, hogy más vagy mások becsületét csorbítsa, hamis, hamisított vagy valótlan tartalmú hang- vagy képfelvételt hozzáférhetővé tesz, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
(2) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha a bűncselekményt
a) nagy nyilvánosság előtt, vagy
b) jelentős érdeksérelmet okozva
követik el.
8. Mit tehetnek az érintettek a jogaik védelmében?
Az érintettek egyrészt fordulhatnak a NAIH-hoz, másrészt feljelentést tehetnek a személyes adattal történő visszaélés vagy esetlegesen megvalósult egyéb tényállás kapcsán.
Természetesen az érintettek előtt nyitva áll a polgári jogérvényesítés, adott esetben az egyéni körülményektől is függően pl. sérelemdíj iránti igény is érvényesíthető.
9. Milyen hatással van az adatok közzététele a véleménynyilvánítás szabadságára, az adatvédelmi követelmények érvényesülésére?
Ahogy ezt korábban már írtam a Tiszától jogellenesen megszerzett ("ellopott") adatok kapcsán, az érzékeny (korábban a politikai véleményre vonatkozó különleges adatok, jelen esetben a bűnügyi személyes adatok) gátlástalan, politikai célú további felhasználása (nyilvánosságra hozatala) nagyon komoly támadást intéz a demokratikus működés, az állampolgári joggyakorlás ellen.
Szomorú látni, hogy milyen sokan veszik semmibe mások legelemibb jogait, és csupán - vélt vagy valós - politikai véleménykülönbség okán szabad prédaként tekintenek mások magánéletére. Talán még elkeserítőbb, hogy a kormányzati rendszer csúcsán álló szereplők élen járnak ebben, feljogosítva ezzel másokat is a súlyosan jogsértő magatartásra. Az elmúlt időszakban pedig egyre több és nagyobb hatással járó ilyen üggyel találkozhatunk, beleértve a Tiszától jogellenesen megszerzett különleges adatok közzétételét (listázás, kereshető interaktív térkép készítése), a Lázárinfón kérdezőről intim fotó közzétételét, de hasonló mintát követett a szőlő utcai javítóintézetben lévők "bűnlajstromának" ismertetése is. (Ez utóbbi ügyben egyébként szintén felmerül, hogy a szőlő utcai javítóintézet egykori lakóinak az adatait pontosan milyen célból és milyen jogalapon kezelték, ki és miért fért hozzá és dolgozta fel annak érdekében, hogy - bár nem egyes személyekhez kötve - de a nagy nyilvánosság elé tárják.)
A bűnügyi személyes adatok (legyenek ezek akár pontos, nyilvántartásokból származó valós adatok vagy koholmányok) nyilvánosságra hozatala a demokratikus működés ellen intézett újabb nagyon jelentős támadás, amely - hasonlóan a Pride kapcsán bevetett eszközökkel - a véleménynyilvánítás szabad gyakorlását hivatottak ellehetetleníteni. Újra azt látjuk, hogy a magyar adatvédelmi rendszer nagyon komoly kihívással néz szembe. Ha ebben az ügyben, amely közvetlenül talán csak egy szűk kört érint, de valójában mindannyiunkról szól, az adatvédelmi intézményrendszer rosszul vizsgázik, az nagyon komoly bizalomvesztéshez vezethet és hosszú távú, súlyos következményekkel járhat az adatvédelmi jogkövetés, az adatvédelmi követelmények figyelembevétele, az adatvédelmi tudatosság alakulása kapcsán, de ami még fájdalmasabb a demokratikus működés, a véleménynyilvánítás gyakorolhatósága kapcsán is. A demokratikus működésre jellemző és annak előfeltételét jelentő "átlátható állam - átláthatatlan polgár" modelljéből ugyanis újra jelentős visszalépés történhet a szocializmusra jellemző "átláthatatlan állam - átlátható polgár" modellje felé. (Lásd Péterfalvi Attila (szerk.): Szemelvények az információs jogok felügyeletének elmúlt 25 évéből, NAIH, 2020, 64. o.) A NAIH-nak kulcsszerepe lehet abban, hogy az adatvédelem iránti bizalmat, a tudatosságot erősítse ezen ügy kapcsán is, ehhez azonban az kell, hogy határozott és gyors hatósági fellépésre kerüljön sor.
