Adatvédelmi Szakmai Egyesület Hírek Mi az a doxxing és hogyan védekezzünk ellene? 2. rész

Mi az a doxxing és hogyan védekezzünk ellene? 2. rész


A doxxing megítélése

2020-ban az Egyesült Államok Nemzetbiztonsági Minisztériuma „erőszakos anarchistákat” vádolt meg azzal, hogy Portlandben a rendőrök által George Floyd meggyilkolását követő tüntetéseket követően „doxxingolták” a rendfenntartó erők tisztjeit. A hivatalos szervek közölték, hogy a rendőrök privát szféráját érintő veszély csökkentése érdekében a jelvényeiken a neveket jelvényszámokkal helyettesítették.

Az olyan technológiai vállalatok, mint a Facebook és a Twitter rendelkeznek a doxxing elleni irányelvekkel, és gyakran törlik a bizonyos személyes információkat felfedő tartalmakat. Miután a hongkongi rendőrök gyermekei állítólag a demokráciapárti tüntetők doxxing-támadásainak áldozatai lettek, a Facebook olyan politikát vezetett be, amely eltávolítja a gyermekeket azonosító és a biztonságukat veszélyeztető tartalmakat. 2019-ben egy hongkongi bíróság megtiltotta a rendőrök személyes adatainak közzétételét is, bár sok tüntető kritizálta ezt, mivel ez még inkább védi a tüntetőkkel összecsapó rendőröket.

Az Egyesült Államokban nem egységes a gyakorlat, néhány államában olyan anti-doxxing törvények vannak érvényben, amelyek lehetővé teszik az áldozatok számára, hogy a doxxingolót felelősségre vonják az információik nyilvánosságra hozatala miatt, míg más államok megerősítették a már hatályban lévő „kiberzaklatás” törvényeket, hogy megakadályozzák ezeket a cselekményeket. Egyes törvények lehetővé teszik az áldozatok számára, hogy bepereljék a doxxolót, mások bűncselekménnyé teszik a doxxolást, egyes törvények pedig bizonyos csoportokat, például az egészségügyi dolgozókat védik a doxxolástól.

A doxxing büntetőjogi megítélése hazánkban

A magyar Büntető Törvénykönyv 219. §-a szerint aki a személyes adatok védelméről vagy kezeléséről szóló törvényi vagy az Európai Unió kötelező jogi aktusában meghatározott rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva

a) jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy

b) az adatok biztonságát szolgáló intézkedést elmulasztja,

vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.

A büntetés két évig terjedő szabadságvesztés, ha a személyes adattal visszaélést különleges adatra vagy bűnügyi személyes adatra követik el, illetve a büntetés bűntett miatt három évig terjedő szabadságvesztés, ha személyes adattal visszaélést hivatalos személyként vagy közmegbízatás felhasználásával követik el.

A Nagykommentár a Büntető Törvénykönyvhöz alapján[1] a bűncselekmény jogi tárgya az Alaptörvény VI. cikk (2) bekezdésében deklarált személyes adatok védelméhez való jog, a törvényi tényállás pedig keretdiszpozíció, amelynek háttérjogszabálya az általános adatvédelmi rendelet[2] (továbbiakban: GDPR), valamint az Infotv.[3], illetve egyéb, adatkezelések tárgyában rendelkező ágazati jogszabályok. A GDPR mint uniós rendelet közvetlen hatályú és elsőbbsége van a tagállami jogban is, az Infotv. és az egyéb ágazati jogszabályok a GDPR-hoz képest szubszidiárius jellegűek[4], és a GDPR tárgyi hatályához képest kizárólag kiegészítő rendelkezéseket tartalmaznak. Ezen kívül az Infotv. implementálta a bűnügyi adatvédelmi irányelvet[5] (bűnüldözési adatkezelések), illetve hatálya kiterjed még az uniós jog hatálya alá nem tartozó adatkezelésekre, azaz a honvédelmi és a nemzetbiztonsági célú adatkezelésekre[6].

Ezen törvényi tényállás esetében a személyes adat fogalmát a GDPR[7]  és az Infotv.[8] határozza meg, a bűncselekmény sértettje pedig e személyes adat által érintett természetes személy[9]. A bűncselekmény három tényállási alakzatból épül fel, ebből a doxxing esetében elsősorban az (1) bekezdés a) fordulata releváns. Ebben az esetben az elkövetési magatartás jogosulatlan vagy céltól eltérő adatkezelés, amely aktív magatartást jelent. Az adatkezelés fogalmát a GDPR[10] és az Infotv.[11] határozza meg, ahogy az adatkezelés jogalapját[12] is. Megfelelő jogalap hiányában az adatkezelés jogszerűtlennek minősül, és ezáltal tényállásszerű. Az adatkezelésnek célhoz kötöttnek kell lennie, mely szorosan kötődik a célhoz kötöttség alapelvéhez[13], így az ezen alapelvet megsértő adatkezelés is tényállásszerű lesz.

A törvényi tényállás megvalósításához az elkövetési magatartásnak vagy jelentős érdeksérelmet kell okoznia, vagy – érdeksérelem hiányában – haszonszerzési célból kell azt kifejteni. A jelentős érdeksérelemhez lehet például a munkahelyi vagy társadalmi kapcsolatok, a családi élet elnehezülése, vagy például önkormányzati választások során a képviselőjelölt bűnügyi személyes adatainak nyilvánosságra hozatalával történő lejáratása[14]. A haszonszerzési célzat lehet például az anyagi előnyért történő adattovábbítás, amely még nem feltételezi a jelentős érdeksérelem bekövetkezését. A doxxing esetében általában a jelentős érdeksérelem okozása a cél, bár a haszonszerzés is elképzelhető.

A bűncselekmény materiális alakzata kísérleti szakban marad mindaddig, amíg a jelentős érdeksérelem nem következik be, kivéve ha a tettest haszonszerzési cél vezérli, mert abban az esetben a cselekmény jelentős érdeksérelem bekövetkezése nélkül is befejezetté válik.

A bűncselekmény csak szándékosan követhető el, a tettes tudatának mind a személyes adatoknak minősülő életbeli tényekre (de nem azok minősítésére), mind pedig a jogosulatlanságra ki kell terjednie. A büntetendőséghez elegendő az eshetőleges szándék, a haszonszerzési céllal megvalósuló fordulat azonban egyenes szándékot feltételez, de például a jogosulatlansággal kapcsolatban ilyen esetben is elegendő a belenyugvás.

A bűncselekmény olyan doxxing esetében, amely kimeríti ezt a tényállást, bárki lehet[15]. A bűncselekmény rendbelisége az érintettek száma szerint alakul

A bűncselekmény minősített esete akkor valósul meg, ha azt különleges személyes adatra vagy bűnügyi személyes adatra követik el[16], illetve súlyosabban büntetendő az, aki a bűncselekményt hivatalos személyként[17] vagy közmegbízatás felhasználásával követi el.

A hivatalos személyként elkövetett személyes adattal visszaélés speciális tényállás a hivatali visszaéléshez képest[18]. Ha azonban a hivatalos személy a személyes adattal nem jogtalan haszonszerzés végett (vagy nem jelentős érdeksérelmet eredményezve) él vissza, hanem ettől eltérő előnyszerzési vagy hátrányokozási célzat vezérli, úgy a személyes adattal visszaélés – ezen tényállási elemek hiányában – nem valósulhat meg, viszont a hivatali visszaélés[19] szerinti bűncselekmény igen[20].

Bár – mint a Btk. törvényi tényállása alapján is látható – nem minden doxxing bűncselekmény, azonban ettől függetlenül a cselekmény más jogszabályok, például az adatvédelmi jogszabályok alapján jogszerűtlen lehet. Azért, mert valakit, aki doxxingot követ el, nem valósít meg a cselekedetével büntetőjogi tényállást, a közösségi médiaplatformok és weboldalak még blokkolhatják, illetve az érintettek eljárást kezdeményezhetnek, különös tekintettel a GDPR alapelveire (pl. a jogszerűség és tisztességesség, valamint a célhoz kötöttség elve).

Az elkövetők jó, ha azzal is tisztában vannak, amint az adatkezelésük túlterjed a háztartási adatkezelésen[21], abban az esetben a cselekményük a GDPR alapján jogszerűtlen lehet, és ezért jelentős mértékű közigazgatási bírsággal sújthatóak[22], illetve – adott esetben – a sértettekkel szemben is helyt kell állniuk az adatvédelmi szabályok megsértése miatt[23].

dr. Albert Ágota LL.M adatbiztonsági és adatvédelmi szakjogász


[1] Nagykommentár a Büntető Törvénykönyvhöz alapján. Wolters Kluwer. https://jogaszvilag.hu/szakma/szemelyes-adattal-visszaeles/

[2] a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete

[3] az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

[4] [Infotv. 2. § (2) bekezdés]

[5] a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelv

[6] Infotv. 2. § (3) bekezdés

[7] 4. cikk 1. pont

[8] 3. § 2. pont

[9] az érintett fogalmához lásd GDPR 4. cikk 1. pont és Infotv. 3. § 1. pont

[10] 4. cikk 2. pont

[11] 3. § 10. pont

[12] a GDPR 6. cikk (1) bekezdés és az Infotv. 5. § (1) bekezdés

[13] GDPR 5. cikk (1) bekezdés b) pont és Infotv. 4. §

[14] BH2015. 119.

[15] 1/2012. Büntető jogegységi határozat

[16] ezek definíciójához lásd GDPR 9. cikk (1) bekezdés, 10. cikk és Infotv. 3. § 3. és 4. pont; a kezelési jogalaphoz lásd GDPR 9. cikk (2) bekezdés, 10. cikk és 5. § (2)–(4) bekezdés

[17] Btk. 459. § (1) bekezdés 11. pont

[18] 3/2007. Büntető jogegységi határozat és BH2008. 322.; a BH2005. 338. eseti döntés elavult

[19] Btk. 305. §

[20] BH2013. 146., BH2015. 296.)

[21] GDPR 2. cikk (2) bekezdés c) pont

[22] GDPR 83. cikk

[23] GDPR 82. cikk