Érdekes ügyben hozott elmarasztaló határozatot és szabott ki bírságot a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). Már a határozat címe is figyelemre méltó: "Államtagadó ideológiákkal kapcsolatos adatkezelés jogellenes adatkezelési célból" (NAIH-5209-29/2025). A nem mindennapi cím és tényállás valójában megfelelő jogalap nélküli és alapelveket sértő adatkezelést takar, amelyet - az ügyben érintettek számához, a gyűjtött adatok köréhez, az adatkezelés időbeli terjedelméhez és egyéb tényállási elemekhez képest (pl. kiskorú érintettek) viszonylag alacsony összegű - bírsággal "díjazott" a NAIH. Emellett elrendelte az adatok törlését, megtiltotta a további adatkezelést, továbbá a határozatot az elmarasztalt adatkezelők megnevezésével tette közzé.    

1. Tényállás rövid összefoglalása

A hatósági eljárás a Magyar Állam Tulajdonosainak Társulása (MATT) nevű szerveződéssel kapcsolatos személyesadat-kezelések vizsgálatára irányult. Az eljárás közérdekű bejelentés alapján indult, amelyben a bejelentő előadta, hogy a MATT adatvédelmi követelményeket sért, és olyan ideológiát képvisel, amely Magyarország alkotmányos berendezkedésének létezését tagadja.

A MATT olyan személyek társulása, akik illegitimnek tartják a jelenlegi politikai-jogi rendet, és magukat igyekeznek kivonni annak hatálya alól. Ideológiájuk szerint a 2011-ben elfogadott Alaptörvény érvénytelen, a jelenlegi államhatalom illegitim, ezért párhuzamos, fiktív államot kívánnak létrehozni. A szerveződés saját „állami szerveket" működtet: „közigazgatási hivatalokat", „bíróságot", „ügyészséget" és „rendőrséget".

A MATT két vezető személyisége Bende István („miniszterelnök", a „Magyar Köztársaság Képviseletének" egyedüli tagja) és Berencsi Béla Miklós (az „első tulajdonos", akivel szerződést kötnek a csatlakozók). A személyes adatokat különféle űrlapokon gyűjtötték: társtulajdonlási igénylőlap, állampolgársági nyilatkozat, parkolásra jogosító igazolás igénylés, azonosító igazolvány igénylés. A MATT, illetőleg annak „állami szervei” a „Magyar Köztársaság” működtetése érdekében okiratokat, igazolványokat, például azonosításra alkalmas, az úgynevezett
„Magyar Köztársaság Azonosító Igazolványát”, korlátlan közterület használatra és ingyenes parkolásra jogosító igazolványokat, azaz parkolási kártyákat állít ki. A Hatóság megállapította, hogy az érintettek száma nagyságrendileg 2–3 ezer fő, beleértve kiskorúakat is.

A MATT tagjai a szervezet által kibocsátott fiktív „okmányokat" használták hivatalos dokumentumok helyett, ami több esetben anyagi kárt okozott nekik, például parkolási díjfizetési kötelezettségek elmulasztása miatt végrehajtási eljárások indultak ellenük.

Rendkívül nagy figyelmet kapott, hogy Lázár János építési és közlekedési miniszter Balatonalmádiban tartott fórumán elhangzott kijelentéseivel szemben, a pár nappal későbbi gyöngyösi fórumon tiltakozók bűnügyi személyes adatait egy videóban (az arcok kitakarásával, és monogramok alkalmazásával) nyilvánosságra hozták. A bűnügyi személyes adatokra vonatkozó közléseket maga a kormánypárt, további politikusok (többek között a miniszterelnök), illetve egyes kormányzati sajtóorgánumok is megismételték, terjesztették. A kérdésekre, hogy mégis milyen módon jutott az adatokhoz, azt milyen alapon kezelte, Lázár János a következő választ adta: 

Bocsánat, de a rendőrség egy állami szervezet. Én az állam egyik vezetője vagyok mint kormánytag. Amit a kormány tudhat, azt én is tudhatom.  

Az adatok megszerzésének módja kapcsán egy videóban még hozzátette: 

a rendőrség igazoltatott, „utána a belügyminiszter jelentett a miniszterelnöknek, mert egy miniszterről van szó”, nyilvánosságra meg nem ő hozta az adatokat.

A miniszter elmondása szerint a rendőrség a gyöngyösi fórumot követően igazoltathatta az ott megjelentek közül azokat, aki kérdést, kritikát, véleményt fogalmaztak meg a miniszter korábbi kijelentései kapcsán és az igazoltatáshoz kapcsolódóan ellenőrizték a bűncselekmények esetleges korábbi elkövetésére vonatkozó adatokat. A Heves Vármegyei Rendőrkapitányság ugyanakkor közleményben cáfolta, hogy bárkit is igazoltattak volna a gyöngyösi fórum kapcsán....

Az alábbiakban az adatkezelés oldaláról mutatom be, hogy a bűnügyi személyes adatok visszaélésszerű kezelése milyen súlyos következményekkel jár. 

Az elmúlt években több iránymutatás is napvilágot látott vállalatfelvásárlásokhoz, illetve eszközértékesítéshez kapcsolódó adatkezelési kérdések kapcsán (lásd pl. a német DSK 2024-es állásfoglalását az eszközértékesítéshez kapcsolódó adattovábbításról, illetve a NAIH kapcsolódó állásfoglalásait). 

Legújabban pedig a Lichtensteini Adatvédelmi Hatóság (Datenschutzstelle Fürstentum Lichtenstein) adott rövid iránymutatást arra vonatkozóan, hogy milyen adatvédelmi szempontokat kell figyelembe venni egy átvilágítás (amelynek természetesen része a jogi, pénzügyi, megfelelőségi, adott esetben környezetvédelmi, stb.  helyzet átvilágítása is) során, például egy vállalat vagy annak egyes részei eladása, illetve felvásárlása kapcsán.

Az év végéhez érve a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elhalmozza az érdeklődőket jelentésekkel. November végén a pártok és az online médiatartartalom-szolgáltatók adattölési gyakorlatáról készült jelentéseket publikálta, december végére pedig a magyar bankszektorban alkalmazott mesterséges intelligencia (MI) rendszerek személyesadat‑kezelésének gyakorlatát áttekintő jelentés látott napvilágot ("Jelentés").

A Jelentés többek között kitér az ügyfélazonosításra, a szöveges és hangalapú adatfeldolgozásra, a tanításra használt adatokra, a „shadow AI” kockázataira, a hitelképesség- és termékaffinitás-modellekre, valamint az anonimizálás szerepére. A Jelentés célja egy körkép készítése volt, nem adatvédelmi hatósági eljárás lefolytatása a tényállás bizonyítékokon alapuló feltárásával, ezért a Hatóság nem vizsgálta a bankoktól kapott válaszok pontosságát, és azokat kizárólag a jogszabály által védett információk kiszűrése céljából nézte át a Jelentésben történő felhasználás előtt. A Jerlentés elkészítésével kapcsolatban a NAIH megkereste a pénzügyi szektor felüghyeletét ellátó Magyar Nemzeti Bankot is. 

December 12-én megjelent az EU hivatalos lapjában a GDPR végrehajtására vonatkozó további eljárási szabályok megállapításáról szóló rendelet (2025/2518) .

A rendelet célja, hogy a határokon átnyúló ügyekben részletes eljárási szabályokkal gyorsítsa és egységesítse a GDPR végrehajtását, különös tekintettel a felügyeleti hatóságok együttműködésére, a panaszkezelésre, a vitarendezésre és az eljárási garanciákra. A szabályozás kifejezetten a GDPR 60., 65. és 66. cikk szerinti együttműködési, egységességi és sürgősségi mechanizmus működését finomítsa, átlátható határidőkkel és egységes eszköztárral.  A rendelet 2025. november 26-án került elfogadásra, és 2027. április 2-tól alkalmazandó, átmeneti szabályokkal a folyamatban lévő és a később indítandó ügyekre. 

Keveset lehetett hallani róla, de a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) november 20-i dátummal közzétett egy jelentést a politikai pártok törléshez való joggal kapcsolatos adatkezelési gyakorlatáról ("Jelentés").  

A Jelentés a GDPR szerinti törléshez (elfeledtetéshez) való jog gyakorlati érvényesítését vizsgálja, kifejezetten a a politikai pártokra fókuszálva. A Jelentés elkészítéséhez a 2024-es európai parlamenti választáson listát állító 14 pártot keresték meg, és a kérdőíves felmérésre adott válaszaik alapján állt össze a Jelentés.  A Hatóság célja a jó gyakorlatok bemutatása, a pártoknak szóló javaslatok megfogalmazása és a nyilvánosság számára helyzetértékelés nyújtása volt. 

A pártok adatkezelése leginkább tagokra, érdeklődőkre/szimpatizánsokra és támogatókra terjed ki, kisebb arányban érintettek a munkavállalók és rendezvényeken résztvevők. Több párt szerint nem kezelnek érzékeny csoportokra vonatkozó adatokat, de egyeseknél megjelöltek érzékeny csoportokat, mint gyermekek, kiszolgáltatott helyzetű személyek és más szenzitív csoportok adatkezelése; egy pártnál romák, idősek és fogyatékkal élők is megjelölésre kerültek a szenzitív csoportok között. 

Az elmúlt héten több körben is óriási hullámokat vert a Tisza applikációját érintő "adat-ügy". Kezdődött az adatok "kiszivárgásáról" szóló hírekkel, illetve az arról indult vitával, hogy szivárognak-e csak úgy az adatok vagy helyesebb "adatlopásról" beszélni. Ez a szakasz nem tartott sokáig, mert az ügy nagyon hamar az elérhetővé vált adatok jogellenes felhasználásáról, különböző listák készítéséről és publikálásáról (lásd pl. Madiner), a listán szereplő személyek telefonos zaklatásáról, a házuk előtti élő videós bejelentkezésekről (lásd pl. Németh Balázs Fidesz-frakció szóvivő bejelentkezését) kezdett szólni. Ezzel sem volt azonban vége. A hét végére eljutottunk oda, hogy a személyes adatokat "interaktív" térképen tették jogellenesen kereshetővé, visszaélve magánszemélyek - politikai véleményét is tükröző - személyes adataival, súlyosan sértve magánszférájukat. 

Az alábbiakban 10 pontban foglalom össze az "adat-ügy" legfontosabb vetületeit, de mielőtt a részletekbe megyünk, nagyon fontos kiemelni, hogy az adatok jogellenes publikálása, térképen történő megjelenítése és bármi egyéb módon történő felhasználása bűncselekmény, súlyos adatvédelmi jogsértés, de ezeken is túlmenően (különösen a visszaélések tömeges, százezreket érintő jellegére tekintettel) a demokratikus, jogállami működés elleni súlyos merénylet, a tisztességes közélet, a közügyekben való részvétel szabadságának rombolására tett kísérlet. 

Október 31-én megjelent a Magyar Közlönyben az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvény ("MI törvény"), amely - néhány kivételtől eltekintve - december 1-én lép hatályba. Az EU mesterséges intelligenciára vonatkozó rendelete (MI Rendelet) közvetlenül alkalmazandó a tagállamokban, de a rendelet alkalmazása, illetve végrehajtása, illetve az erre történő felkészülés kapcsán a tagállamoknak számos feladatuk van a felügyeleti hatóságok kijelölésétől kezdve, egyes, az MI Rendeletben kapott felhatalmazás alapján szükséges részletszabályok megalkotásáig. A magyar Országgyűlés a fenti törvény elfogadásával ebben az implementációs folyamatban tett egy fontos lépést.

A mesterséges intelligencia nyújtotta lehetőségek visszaélésszerű alkalmazására régóta figyelmeztetnek, mostanra azonban saját bőrünkön tapasztalhatjuk ezt. Egymás után, szinte naponta jelennek meg az olyan mesterséges intelligencia alkalmazásával létrehozott képek és videók, amelyek egyértelmű célja a politikai befolyásolás, a választók félreinformálása és megtévesztése. 

Arról lehet vitatkozni, hogy mennyire tűnnek valóságosnak vagy hihetőnek ezek a kísérletek, de az már most is látszik, hogy ezen eszközök alkalmasak lehetnek a demokratikus működés aláásására, így minden lehetséges eszközzel törekedni kell az MI-vel végzett manipuláció megakadályozására, kivédésére vagy ha már megtörtént az ezzel szemben történő fellépésre. Az alábbiakban röviden áttekintem az MI alkalmazásával készülő politikai tartalmak körüli szabályozási környezetet és megvizsgálom, hogy milyen eszközök alkalmazhatók jelenleg a manipulációval szemben. 

A Magyarország versenyképességének javítása érdekében egyes törvények módosításáról szóló 2025. évi LXVII. törvény* több ponton is módosította a hivatalos statisztikáról szóló 2016. évi CLV. törvényt (a továbbiakban: "Stt."). Az Stt. 2. §-át érintő egyik módosítás, hogy új fogalomként megjelenik az "anonimizálás" a törvényben (az álnevesítéssel együtt).  

Az anonimizálás - Stt-ben megjelenő - új fogalma szerint (2.§ 3a. pont): 

anonimizálás: személyes adat olyan módon történő kezelése, amelynek következtében további információk felhasználásával sem állapítható meg többé, hogy a személyes adat mely konkrét természetes személyre vonatkozik.