Mi a személyes adattal visszaélés

Napjainkban óriási mennyiségű adatot tárolnak és továbbítanak elektronikus úton, ezért különösen fontos, hogy a polgárok megőrizzék ellenőrzésüket saját adataik felett.

A Büntető Törvénykönyv (Btk.) 219. §-a pedig büntetni rendeli azokat a magatartásokat, amelyek súlyosan megszegik a személyes adatok védelméről vagy kezeléséről szóló szabályokat, és ezzel mások érdekeit jelentős mértékben sértik vagy éppen anyagi haszonszerzésre törekszenek.

 A személyes adatok kezelése tekintetében több egymással összhangban álló forrás szabályozza a védelmet, például:

• az Alaptörvény VI. cikk (3) bekezdése,
  
  
• az Európai Unió Alapjogi Chartája,
  
  
• a 2016/679/EU (GDPR) rendelet,
  
  
• valamint a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Info. tv).
  
  

Ezek a szabályok meghatározzák, mikor és milyen célból lehet személyes adatokat kezelni, és milyen garanciák szükségesek ahhoz, hogy ne lehessen visszaélni ezekkel az információkkal.

A Btk. 219. §-a e szabályok megsértéséhez rendel büntetőjogi felelősséget: ha valaki szándékosan megszegi az adatvédelmi normákat, és ezzel jelentős érdeksérelmet okoz vagy haszonszerzésre törekszik, az bűncselekményt követ el.

A bűncselekmény jogi tárgya a személyes adatok védelméhez fűződő társadalmi érdek. Ez a védelem végső soron a polgárok magánszféráját, emberi méltóságát és önrendelkezését oltalmazza.

 A bűncselekmény passzív alanya lehet bárki, akit az adat alapján azonosítani lehet. A GDPR és az Infotv. is széles körben határozza meg a „személyes adat” fogalmát:

• Személyes adat:  azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. 
  
  
• Különleges adat: a faji vagy etnikai származásra, politikai véleményre, vallási meggyőződésre, egészségi állapotra, genetikai vagy biometrikus sajátosságokra, szexuális orientációra vonatkozó információk.
  
  
• Bűnügyi személyes adat: a büntetőeljárás során keletkezett, a gyanúsított, vádlott vagy elítélt személyével összefüggő információ.
  

A törvény a különleges és a bűnügyi személyes adatokat fokozottabban védi, ezért ha valaki ezekkel él vissza, szigorúbb büntetési tételre számíthat.

1. Jogosulatlan adatkezelés vagy a céltól eltérő adatkezelés
   
   
• Az adatvédelmi szabályok előírják, hogy személyes adat csak akkor kezelhető, ha ahhoz megfelelő jogalap áll fenn (például hozzájárulás, törvényi felhatalmazás).
  
  
• Továbbá a kezelésnek arányosnak és célhoz kötöttnek kell lennie: a gyűjtött adatok nem használhatók fel más célra, mint amire az érintett engedélyt adott, illetve ami a törvény szerint megengedett.
  
  
• Ha valaki ezeket a feltételeket szegi meg, és a kezelésnek haszonszerzési motivációja van (például az adatok eladása) vagy komoly érdeksérelmet okoz, az elkövetheti a bűncselekményt.
  
  
2. A tájékoztatási kötelezettség megszegése
   
   
• Az érintetteknek joguk van kérni, milyen adatokat kezel róluk az adatkezelő, és hogyan történik a kezelés. A GDPR és az Infotv. alapján az adatkezelő köteles részletes tájékoztatást adni.
  
  
• Aki szándékosan nem tesz eleget ennek a tájékoztatási kötelezettségnek, és ezzel mások érdekeit jelentősen sérti, ugyanúgy bűncselekményt valósíthat meg. Ez a mulasztásos magatartás is büntetendő, ha jelentős kárt vagy sérelmet okoz.
  

 Ahhoz, hogy a bűncselekmény megvalósuljon, a cselekménynek vagy anyagi haszonszerzésre kell irányulnia, vagy az érintett számára „jelentős érdeksérelmet” kell okoznia. Ez a sérelem lehet:

• anyagi természetű (például valakinek meghiúsul egy üzleti szerződése, vagy megrendül a hitelképessége),
  
  
• erkölcsi vagy magánéleti (például jogellenes nyilvánosságra hozatal miatt széles körben megismerik az érintett egészségügyi adatait).
  
  

A „jelentős” mértéket a bírói gyakorlat az eset összes körülményét figyelembe véve állapítja meg.

1. Különleges vagy bűnügyi személyes adat
   
   
• Ha a visszaélés tárgya az érintett szenzitív információja (például egészségügyi állapot, vallási vagy politikai meggyőződés, bűnügyi adat), akkor a büntetés maximuma két évre emelkedhet.
  
  
• Ezek az adatok különösen érzékenyek, mert különleges kárt okozhatnak, ha illetéktelen kezekbe kerülnek.
  
  
2. Hivatalos személyként vagy közmegbízatás felhasználásával
   
   
• A hatósági vagy közszolgálati pozícióban lévők többlet felelősséget viselnek: ha valaki hivatalos személyként fér hozzá a polgárok személyes adataihoz, és azt visszaélésre használja, három évig terjedő szabadságvesztés is kiszabható.

A törvény egyértelműen rögzíti: az (1) bekezdés szerinti cselekmény miatt büntetőjogi felelősség csak akkor merül fel, ha a tettes célja a haszonszerzés, vagy tudatosan okoz jelentős érdeksérelmet, vagyis ez a fordulat csak egyenes szándékkal követhető.

A többi elkövetési forma esetén (például a tájékoztatási kötelezettség megszegése) eshetőleges szándék is elegendő, vagyis ha a tettes belenyugszik abba, hogy másnak jelentős sérelme keletkezhet.

A gondatlan alakzatokat a törvény nem bünteti.

A személyes adatok védelmében a Büntető Törvénykönyv kimondja, hogy aki törvénysértő módon – a GDPR-ben vagy az Infotv.-ben meghatározott kötelezettségek megszegésével – kezeli, gyűjti, vagy biztonsági előírások figyelmen kívül hagyásával kockáztatja az adatokat, és ezzel haszonszerzésre törekszik, vagy jelentős sérelmet okoz, elköveti a személyes adattal visszaélés bűncselekményét.

A szankciók súlyosabbak, ha különleges (érzékeny) adatokról van szó, vagy hivatalos személy sérti meg a rá bízott adatokat, hiszen ezekben az esetekben a társadalomra veszélyesebb a cselekmény.

A szabályozás így igyekszik egyensúlyt teremteni a digitalizáció előnyei és a polgárok magánszférájának védelme között.