Fontos megjegyeznem, hogy ez a bejegyzés nem vizsgálja azt, hogy a Tiszavilág applikációt valóban feltörték-e, mint ahogy azt sem, hogy az publikált adatbázisok valós adatokat tartalmaznak-e, vagy egy tákolt, lejáratás, botránykeltés céljából összeállított adatsorrol van-e szó. A bejegyzés a jelenségről, a személyes adatokkal való visszaélésekről, a fogalmak tisztázásáról szól, javaslatokat fogalmaz meg az adatvédelmi incidensek áldozatai számára.

ff

A Doxxing fogalma és megítélése

A doxxing (vagy doxing) egy angol szleng kifejezésből ered, amely a dropping docs (dokumentumok közzététele) rövidüléséből keletkezett. A jelenség lényege magánjellegű, személyazonosításra alkalmas információk (Personal Identifiable Information – PII) összegyűjtése és szándékos, nyilvánosságra hozatala az interneten, az érintett személy beleegyezése és tudta nélkül. A doxxing elsődleges célja az áldozat online vagy offline anonimitásának megszüntetése, amely gyakran eszköze az internetes zaklatásnak, bosszúhadjáratoknak, megfélemlítésnek vagy társadalmi megbélyegzésnek.

Miközben a jelenség globális, jogi megítélése jelentősen eltér a különböző jogrendszerekben. Az Egyesült Államokban, ahol a jogi diskurzust erősen befolyásolja az Első Alkotmánykiegészítés (szólásszabadság), a doxxing önmagában nem feltétlenül illegális, különösen akkor, ha a közzétett információk már korábban is nyilvánosan elérhetők voltak különböző adatbázisokban.

Ebben a kontextusban gyakran a doxxing következménye – például a zaklatás vagy fenyegetés – teszi a cselekményt jogellenessé.

Ezzel éles ellentétben áll az európai uniós jogi keretrendszer. Az EU-ban, ahol a személyes adatok védelme alapvető jog , a doxxing szinte minden esetben súlyos jogsértésnek minősül, függetlenül attól, hogy az alapinformációk korábban nyilvánosak voltak-e.

Az EU Általános Adatvédelmi Rendelete (GDPR) értelmében a nyilvános adatok (pl. egy online telefonkönyvben szereplő név, egy nyilvános közösségi média profil képe) összegyűjtése, rendszerezése és egy új, aggregált kontextusban (pl. egy listán vagy interaktív térképen) történő közzététele adatkezelésnek (processing) minősül.

Ez az adatkezelés (maga a doxxing) sérti a GDPR alapelveit, különösen a jogszerűség és a célhoz kötöttség elvét (GDPR 5. cikk), mivel az eredeti adatgyűjtés célja (pl. kapcsolattartás) nem azonos a doxxing céljával (listázás, zaklatás). Következésképpen, míg az USA-ban a doxxing következménye teszi azt illegálissá, az EU-ban már maga az adatkezelési aktus (a PII célzott, konszenzus nélküli publikálása) is jogellenes.

Módszerek és motivációk

A doxxing elkövetői (doxxerek) számos technikát alkalmaznak az adatok összegyűjtésére. Ezek a módszerek a viszonylag egyszerű, nyílt forráskódú hírszerzéstől (OSINT) a kifinomult bűncselekményekig terjednek:

• Nyilvános adatbázisok és keresők: Cégnyilvántartások, domain regisztrációs adatok (WHOIS), online telefonkönyvek, lakcímnyilvántartások és egyszerűen a Google-kereső alapos használata.

• Közösségi média Stalking: Nyilvános vagy rosszul védett közösségi média profilok (Facebook, Instagram, LinkedIn, X) aprólékos átfésülése. Az elkövetők itt adatmorzsákat (pl. munkahely neve, fotók alapján beazonosítható helyszínek, családtagok nevei) gyűjtenek.

• Adathalászat (Phishing): A doxxer ártalmatlannak tűnő üzenetekkel vagy e-mailekkel (pl. hamis bejelentkezési oldal) kísérli meg rávenni az áldozatot, hogy önként adja ki érzékeny adatait, például jelszavait.

• Hekkelés és jogosulatlan hozzáférés: Az adatbázisok feltörése, rosszindulatú szoftverek telepítése vagy a hálózati biztonság megsértése a nem nyilvános adatok megszerzése érdekében.

A doxxing lényege gyakran a kontextuális összeomlás1: az elkövető több, különböző forrásból származó, önmagában talán alacsony érzékenységű adatot (pl. egy munkahely neve, egy hobbit mutató fénykép, egy régi fórum-hozzászólás) gyűjt össze és publikál egyetlen, könnyen fogyasztható, fegyverként használható profillá.

A motivációk rendkívül változatosak lehetnek: személyes bosszú , online viták megnyerése, zaklatás, identitáslopás (anyagi haszonszerzés céljából) , vagy akár egy torzult igazságszolgáltatási szándék, ahol az elkövető egy vélt vagy valós sérelem elszámoltatása érdekében cselekszik.

Hatások és társadalmi következmények

A doxxing áldozataira gyakorolt hatás pusztító lehet. A következmények messze túlmutatnak a digitális térben:

• Pszichológiai és érzelmi hatások: A tanulmányok és jelentések következetesen kimutatják, hogy az áldozatok gyakran tapasztalnak súlyos szorongást, depressziót, paranoiaérzést és mély megsértettséget.

• Társadalmi hatások: Az áldozat társadalmi megbélyegzéssel és elszigetelődéssel szembesülhet. A nyilvánosságra hozott adatok károsíthatják a szakmai hírnevet és a munkahelyi kapcsolatokat, ami akár állásvesztéshez is vezethet.

• Fizikai biztonsági kockázatok: A lakcím, telefonszám vagy tartózkodási hely nyilvánosságra hozatala közvetlen fizikai fenyegetésnek teszi ki az áldozatot és családját. Egy 2024-es felmérés szerint az emberek 62%-a a személyes biztonságát félti leginkább a doxxing kapcsán, 2025-re ez az arány 70%-ra nőtt. A reputáció károsodása (72%) szintén a legfőbb félelmek között szerepel.

• További bűncselekmények: A doxxing gyakran csak az első lépés. Gyakran követi kiberzaklatás (cyberbullying) , identitáslopás, vagy a swatting néven ismert életveszélyes tréfa, amikor a doxxer hamis vészhelyzetet (pl. túszejtés, bombafenyegetés) jelent be az áldozat címére, kiváltva ezzel a fegyveres rendőri erők (pl. SWAT) kivonulását.

Adatlopás, adatszivárgás és adatvédelmi incidens

A köznyelv és a sajtó gyakran szinonimaként kezeli az adatszivárgás (data leak), adatlopás (data theft) és adatvédelmi incidens (data breach) kifejezéseket. Jogi szempontból azonban – különösen a felelősség megállapítása során – elengedhetetlen a pontos terminológiai elhatárolás.

Adatvédelmi incidens (data breach)

Ez a központi jogi fogalom a GDPR (és így a magyar adatvédelmi jog) szempontjából. Az adatvédelmi incidens (data breach) az adatkezelő (a szervezeté, amely az adatokat kezeli) szemszögéből írja le az eseményt.

• Jogi definíció (GDPR 4. cikk 12. pont): Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

• Felelősség: Az adatkezelő (pl. a Tiszavilág applikációt üzemeltető Tisza Párt) objektív felelősséggel (GDPR 32. cikk) tartozik az általa kezelt adatok biztonságáért. Ha ez a biztonság bármilyen okból (külső hekkelés, belső hiba, véletlen közzététel) sérül, az adatvédelmi incidensnek minősül.

• Következmény: Az incidenst az adatkezelőnek indokolatlan késedelem nélkül, de legkésőbb 72 órán belül be kell jelentenie az illetékes felügyeleti hatóságnak (Magyarországon a NAIH-nak) , és magas kockázat esetén tájékoztatnia kell az érintett felhasználókat is.

Adatlopás (data theft)

Az adatlopás (data theft) ezzel szemben nem egy adminisztratív jogi állapotot, hanem egy büntetőjogi cselekményt ír le, amely az elkövetőre fókuszál.

• Definíció: Személyes, bizalmas vagy pénzügyi információk illegális áthelyezése vagy tárolása. Ez az adatok jogosulatlan duplikálása vagy eltulajdonítása.

• Felelősség: Ez a fogalom az adat-tolvaj (pl. a hekker, a zsaroló, a rosszindulatú belső munkatárs) cselekményére vonatkozik. Az adatlopás szándékos, rosszindulatú cselekmény.

• Következmény: Az adatlopás büntetőeljárást von maga után (Magyarországon elsősorban a Btk. 219. §, a személyes adattal visszaélés alapján).

Adatszivárgás (data leak)

Az adatszivárgás (data leak) a legkevésbé formalizált jogi fogalom a három közül. Általában az incidens következményét, az adatok kontrollálatlan állapotba kerülését írja le.

• Definíció: Gyakran a személyes adatok nem szándékos nyilvánosságra kerülésére használják , amelyet például emberi hiba, gondatlanság vagy egy rendszer helytelen konfigurációja (pl. egy adatbázis jelszavas védelem nélkül marad az interneten) okoz. Más források az adatszivárgást és az adatvédelmi incidenst szinonimaként kezelik.

• Kontextus: Míg az incidens a biztonsági rés ténye, az adatlopás az eltulajdonítás cselekménye, addig az adatszivárgás az eredmény – az adatok kikerülése a nyilvánosságba.

A fogalmak viszonya a Tiszavilág-ügyben

A Tiszavilág-eset nem vagy-vagy alapon minősíthető, hanem egy láncolatként, amelyben mindhárom fogalom egyszerre van jelen és egymásra épül:

1. Az elkövető (akár külső hekker , akár belső szivárogtató ) adatlopást (Data Theft) követett el, amikor jogosulatlanul megszerezte az adatbázist. Ez a büntetőjogi kategória.

2. Ez az adatlopás az Adatkezelő (Tisza Párt) oldalán adatvédelmi incidenst (Data Breach) okozott, mivel a szervezet adatvagyonának bizalmassága és integritása sérült. Ez egy GDPR/NAIH (adminisztratív) kategória, amely az adatkezelő felelősségét veti fel.

3. Az incidens és a lopás eredménye egy tömeges adatszivárgás (Data Leak) lett, ahol az adatok kikerültek a nyilvánosságba.

A Tiszavilág alkalmazás adatbázisa

Az incidens tényállása és a kiszivárgott adatok jellege

2025 novemberében került nyilvánosságra, hogy a Tisza Párt Tisza Világ elnevezésű mobilalkalmazásához köthető felhasználói adatbázis illetéktelen kezekbe került és kikerült az internetre. Az érintett felhasználók pontos száma ellentmondásos, mint az is, hogy ez ténylegesen az alkalmazás adatbázisa-e, vagy több adathalmazból összetákolt, 200.000 rekordot tartalmazó, manimulált adatsor. A GDPR szerinti minősítés szempontjából a 200.000-es szám rendkívül magas, tömegesnek minősülő incidens.

Az eset súlyosságát azonban nem csupán az érintettek száma, hanem a kiszivárgott adatok minősége adja. Az adatbázis a jelentések szerint nem csupán alapvető személyazonosítókat (nevek, e-mail címek) tartalmazott, hanem lakcímadatokat és esetenként pontos földrajzi koordinátákat (geolokációs adatokat) is.

Ez az adatkombináció (név + lakcím + politikai szimpátia) a legsúlyosabb adatvédelmi kockázati kategóriába sorolja az incidenst. Az ügy jogi megítélésének kulcsa, hogy itt a GDPR 9. cikke szerinti Különleges Személyes Adatok (Special Category Data) sérültek. A GDPR 9. cikke alapértelmezetten tiltja a politikai véleményre vonatkozó személyes adatok kezelését, kivéve szigorúan szabályozott esetekben (mint amilyen egy párt törvényes működése). Az a tény, hogy egy felhasználó regisztrál egy adott politikai párt (Tisza Párt) dedikált alkalmazásába (Tisza Világ), egyértelműen és vitathatatlanul a politikai véleményére, szimpátiájára utaló adat.

Az, hogy ezek a különleges adatok (politikai vélemény) együtt szivárogtak ki a felhasználók pontos lakcímével és földrajzi koordinátáival, a kockázatot a GDPR által mérlegelt magas kockázat (high risk) kategóriánál is magasabbra, a közvetlen fizikai fenyegetettség szintjére emeli.

Az adatkezelő felelőssége

Az incidens kapcsán az adatkezelő (Tisza Párt) jogi felelőssége két síkon – adminisztratív (GDPR) és büntetőjogi (Btk.) – is felmerül.

Az adatkezelő képviselője, Magyar Péter, az eseményt külső, célzott orosz hekkertámadásnak és a hatalom által végzett ellenséges listázásnak minősítette. Ezzel párhuzamosan olyan belső informatikai kommunikációra hivatkozó források is megjelentek, amelyek szerint az első szivárgás egy belsős ember hibájából vagy szándékos cselekedetéből eredt.

Fontos kiemelni, hogy az adatkezelő adminisztratív (GDPR) felelőssége szempontjából szinte másodlagos, hogy a támadás külső vagy belső volt-e. A felelősség alapja a következő:

1. A megelőzés hiánya (GDPR 32. cikk – Az adatkezelés biztonsága): Az a puszta tény, hogy az incidens megtörténhetett, önmagában bizonyítja, hogy az alkalmazott adatbiztonsági intézkedések (legyen szó a külső támadások elleni védelemről vagy a belső hozzáférések kezeléséről) elégtelenek voltak. Különleges adatok (politikai vélemény, lakcím) kezelése esetén a GDPR a kockázat mértékével arányos, fokozott technikai és szervezési védelmi intézkedéseket ír elő. Ennek az elvárásnak az adatkezelő nyilvánvalóan nem felelt meg.

2. A bejelentési kötelezettség (valószínűsíthető) elmulasztása (GDPR 33-34. cikk): Az adatkezelőnek az incidens észlelésétől számított 72 órán belül jelentenie kellett volna azt a NAIH felé, valamint (mivel az incidens vitathatatlanul magas kockázattal jár a természetes személyek jogaira) haladéktalanul tájékoztatnia kellett volna a 200.000 érintettet. Az, hogy az ügy a sajtóból derült ki, és az adatkezelő válasza egyelőre a nyilvános politikai kommunikációra korlátozódott, erősen arra utal, hogy ez a jogi kötelezettség nem, vagy nem időben teljesült.

Emellett felmerül az adatkezelő (vagy annak rendszergazdája) büntetőjogi felelőssége is. Ahogy arra több forrás is rámutat, a Btk. (Büntető Törvénykönyv) alapján az adatkezelő felelhet, amennyiben gondatlanul (pl. nem biztosítottak megfelelő védelmet, elavult rendszert használtak) okozták az adatokhoz való jogosulatlan hozzáférést.

Precedens: A Demokratikus Koalíció (DK) NAIH-bírsága (2019)

Az adatkezelő felelősségének megítéléséhez a Tiszavilág-ügyhöz kísértetiesen hasonló precedenst szolgáltat a NAIH 2019-es döntése a Demokratikus Koalíció (DK) ügyében.

• Tényállás: 2018-ban egy hekker feltörte a DK egyik honlapját, és megszerezte körülbelül 6987 érintett személyes adatát (név, e-mail cím, titkosított jelszó), amelyeket közzé is tett.

• A NAIH döntése: A NAIH 11 millió forintos adatvédelmi bírságot szabott ki a DK-ra.

• Az indoklás kulcspontjai: A hatóság nem elsősorban a sikeres hekktámadás tényéért bírságolt. A bírság indoka az volt, hogy a DK (mint adatkezelő) a GDPR súlyos megsértésével:

  1. Nem jelentette be az adatvédelmi incidenst a NAIH felé (a GDPR 33. cikk megsértése).

  2. Nem tájékoztatta az érintett felhasználókat (a GDPR 34. cikk megsértése).

• Súlyosbító körülmény: A NAIH már ebben az esetben is kimondta, hogy az incidens azért volt különösen súlyos, mert politikai véleményre vonatkozó személyes adatokat érintett, és a kockázat magas volt.

A DK-ügy precedenst teremt, de a Tiszavilág-incidens várható szankciója ennél nagyságrendekkel súlyosabb lehet. Míg a DK-ügy kb. 7000 érintettről és alapvető fiókadatokról szólt, addig a Tiszavilág-ügy kb. 200.000 érintettet és sokkal érzékenyebb, a fizikai biztonságot közvetlenül veszélyeztető adatokat (lakcím, földrajzi koordináták) érint. Figyelembe véve a NAIH adatbiztonsági hiányosságokért kiszabott egyéb, magas összegű bírságait (pl. a DIGI 100 millió forintos bírsága vagy az eKRÉTA fejlesztőjének 110 millió forintos bírsága), a Tiszavilág-üggyel kapcsolatos adatkezelői bírság mértéke reálisan a százmillió forintos kategóriába várható.

Az elsődleges elkövetők és az adatkezelő jogi felelőssége

A Tiszavilág-incidenshez hasonló esetekben a felelősségre vonás két fő pilléren nyugszik: a magyar Büntető Törvénykönyvön (Btk.) és az európai Általános Adatvédelmi Rendeleten (GDPR).

Büntetőjogi felelősség (Btk. 219. § - Személyes adattal visszaélés)

A magyar büntetőjog elsődlegesen a 2012. évi C. törvény (Btk.) 219. §-án keresztül szankcionálja az ilyen típusú cselekményeket. Ez a tényállás a Személyes adattal visszaélés.

A törvény szövege szerint 28:

219. \S (1) Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések (pl. GDPR, Infotv. 7) megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva

a) jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy

b) az adatok biztonságát szolgáló intézkedést elmulasztja,vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.

Ez a tényállás egyedülálló módon teszi büntethetővé az adatvédelmi lánc két különböző, de egymással összefüggő pontját:

1. Az elkövető (hekker/belsős) felelőssége: Az (1) bekezdés a) pontja alapján felel. Az elkövető jogosulatlanul kezeli az adatokat (megszerzi, birtokolja, közzéteszi), és ezzel jelentős érdeksérelmet okoz az érintetteknek.

2. Az adatkezelő (Tisza Párt) felelőssége: Az (1) bekezdés b) pontja alapján felelhet. Az adatkezelő az, aki az adatok biztonságát szolgáló intézkedést elmulasztja. Ha ez a mulasztás (gondatlanság) okozza a jelentős érdeksérelmet, a tényállás megvalósul.

A jelentős érdeksérelem fogalma

A büntetőjogi felelősség megállapításának kulcsa (amennyiben a haszonszerzési cél nem bizonyítható) a jelentős érdeksérelem bekövetkezte. A joggyakorlat egyértelművé teszi, hogy ez nem kizárólag anyagi kárt jelent. Ide tartozik a súlyos erkölcsi vagy magánéleti sérelem, például ha az áldozat egészségügyi vagy egyéb érzékeny adatai jogellenes nyilvánosságra hozatal miatt széles körben megismerhetővé válnak, vagy ha a sérelem az érintett társadalmi, munkahelyi vagy családi kapcsolatait nehezíti el.

A Tiszavilág-ügyben, ahol 200.000 ember politikai hovatartozása (különleges adat) és pontos lakcíme/koordinátái (fizikai biztonsági kockázat) kerültek nyilvánosságra, a jelentős érdeksérelem ténye egyértelműen és súlyosan megvalósul.

Minősített esetek

A Btk. 219. §-a súlyosabban rendeli büntetni a cselekményt, ha azt minősítő körülmények között követik el.

• Btk. 219. § (3) bek.: A büntetés két évig terjedő szabadságvesztés, ha a személyes adattal visszaélést különleges adatra követik el.

• Ahogy azt korábban részleteztük, a politikai véleményre utaló adat (a pártapplikációba való regisztráció ténye) a GDPR és a magyar jog szerint is különleges adatnak minősül.

Ennek fényében a Tiszavilág-ügyben az eljárás (mind a támadó, mind potenciálisan a gondatlan adatkezelő részéről) a 3. bekezdés szerinti minősített esetnek tekintendő.

Adminisztratív felelősség (GDPR bírságok)

A büntetőjogi felelősségtől függetlenül, azzal párhuzamosan fut az adatkezelő adminisztratív felelősségre vonása a NAIH által, a GDPR alapján. A NAIH a GDPR 83. cikke alapján szab ki közigazgatási bírságot, amelynek maximális mértéke súlyos vétség esetén 20 millió EUR, vagy a vállalkozás (pártok esetében a teljes éves bevétel) 4%-a lehet.

A NAIH a bírság mértékének meghatározásakor szisztematikus szempontrendszert követ, amelyben a Tiszavilág-ügy szinte minden súlyosbító tényezőt felvonultat:

• A jogsértés jellege, súlyossága: Extrém (különleges adat + lakcím).

• Szándékos vagy gondatlan jelleg: Az adatkezelő részéről legalábbis súlyos gondatlanság (az adatbiztonság hiánya) megállapítható.

• Az érintettek száma: Rendkívül magas (akár 200.000 fő).

• Az érintett adatok kategóriája: Különleges adat (GDPR 9. cikk).

• Az elszenvedett kár mértéke: Súlyos, az érintettek fizikai biztonságát és magánszféráját közvetlenül fenyegető kár.

A továbbközlők felelőssége: Médiaetikai és jogi következmények

A jelentés központi kérdése a felelősség láncolatának harmadik eleme: mi a jogi és etikai felelőssége annak a sajtómunkatársnak, internetes felhasználónak vagy politikai szereplőnek, aki a már feltört, doxxingolt adatbázist továbbosztja, abból listákat közöl, vagy arra interaktív térképet épít?

A Tiszavilág-incidens után több sajtóorgánum és politikai szereplő kezdte el az adatbázist elemezni, abból neveket (pl. más pártok politikusainak neveit) vagy helyszíneket (interaktív térkép, fenyegető videó egy aktivista otthona előtt) közzétenni, gyakran a közérdeklődésre vagy a tájékoztatásra hivatkozva.

A magyar jogi és etikai keretrendszer ebben a kérdésben egyértelmű.

A NAIH hivatalos állásfoglalása

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a Tiszavilág-incidens kapcsán 2025 novemberében célzott állásfoglalást adott ki, amelyben kifejezetten a sajtó felelősségét vizsgálta.

A Hatóság szerint nincs az rendben, ha sajtótermékek nyilvánosságra hozzák a tiszások kiszivárgott személyes adatait. A NAIH indoklása szerint az érintettek kiszolgáltatott helyzetben vannak, hiszen nem maguk hozták nyilvánosságra adataikat, hanem egy adatbiztonsági hiányosságot kihasználó jogsértő személy. A hatóság hangsúlyozta, hogy a sajtónak minden esetben mérlegelnie kell az arányosságot: az elérni kívánt cél (közügyről való tájékoztatás) fontossága és az ennek érdekében okozott alapjogsérelem (a magánemberek adatainak terjesztése) súlya. A NAIH egyértelművé tette, hogy az adatbázisra mutató linkek közlése vagy az abból való listázás maga is jogsértő lehet.

Médiaetikai felelősség (MÚOSZ)

A Magyar Újságírók Országos Szövetségének (MÚOSZ) Etikai Kódexe egyértelműen szabályozza az újságírói felelősséget a magánélet védelme terén. A kódex kimondja, hogy az újságírónak tiszteletben kell tartania az ember személyiségi jogait és méltóságát, és az információs verseny sem indokolhatja, hogy az érintett személyek személyiségi jogai sérüljenek.

A kódex egy pontja különösen releváns a Tiszavilág-ügyben: etikai vétséget követ el az az újságíró, aki közli szóban, vagy képben közéleti személyiség lakhelyének pontos leírását, részletes térképét, helyszínrajzát.

Ha a MÚOSZ Etikai Kódexe még a közszereplők (pl. politikusok) pontos lakcímének közlését is súlyos etikai vétségként nevesíti, akkor a Tiszavilág-adatbázisban szereplő 200.000 magánember (akik nem közszereplők) lakcímének, sőt földrajzi koordinátáinak listázása, térképen való ábrázolása vagy videóban való bemutatása az újságírói etika legsúlyosabb megsértésének minősül.

A közérdeklődésre való hivatkozás ebben az esetben jogilag és etikailag is tarthatatlan. A közérdek annak a ténynek a bemutatása, hogy az adatvédelmi incidens megtörtént és az adatkezelő hibázott. A közérdek nem terjed ki az áldozatok (magánemberek) személyes adatainak (lakcím, politikai vélemény) további, másodlagos terjesztésére. Aki ezt teszi, az a tájékoztatás álcája alatt maga is doxxingot követ el.

A továbbközlők büntetőjogi felelőssége (Btk. 219. §)

A NAIH állásfoglalásán és az etikai kódexen túl a legsúlyosabb következmény a továbbközlő büntetőjogi felelőssége. Az a sajtómunkatárs vagy felhasználó, aki a lopott adatbázisból adatokat publikál, maga is a Btk. 219. § (Személyes adattal visszaélés) tényállásának elkövetőjévé válik.

Az okfejtés a következő:

1. Adatkezelés: A Továbbközlő (újságíró, blogger, politikai szereplő) adatot kezel (processing), amikor a lopott adatbázist megszerzi, abban keres, és abból adatokat (pl. neveket, lakcímeket) nyilvánosságra hoz.

2. Jogosulatlanul: Ezt jogosulatlanul teszi, hiszen sem az érintett (áldozat), sem az eredeti adatkezelő nem hatalmazta fel erre. A lopott adatbázis birtoklása és felhasználása nem teremt jogalapot.

3. Jelentős érdeksérelem: Cselekményével jelentős érdeksérelmet okoz. A listázás, a fenyegető videó vagy az interaktív térképen való megjelenítés felerősíti az eredeti jogsértést, és közvetlen fizikai, valamint pszichológiai fenyegetést jelent az áldozatokra.

4. Bűncselekmény: A tényállás (Btk. 219. § (1) a)) megvalósul.

5. Minősített eset: Mivel az adat politikai véleményre (is) vonatkozik, a cselekmény a (3) bekezdés szerinti minősített (2 évig terjedő szabadságvesztés) kategóriába esik.

Összefoglalva: A lopott adatbázis felhasználása és az abból való publikálás nem oknyomozó újságírás, hanem a NAIH, a MÚOSZ és a Btk. által egyaránt szankcionált cselekmény. A továbbközlő maga is bűnrészessé, sőt, újabb bűncselekmény tettesévé válik.

Mit tehet az áldozat? Gyakorlati útmutató doxxing esetén

A doxxing áldozatává válni rendkívül traumatikus élmény. Az áldozatoknak gyorsan és szisztematikusan kell cselekedniük a kár enyhítése és a felelősségre vonás megindítása érdekében. Az alábbi lépések javasoltak.

1. lépés: Azonnali kárenyhítés és bizonyítás

1. Fizikai biztonság: Ha a doxxing részeként lakcím, telefonszám vagy egyéb, fizikai biztonságot veszélyeztető adat került nyilvánosságra, és az áldozat fenyegetve érzi magát, haladéktalanul értesítse a rendőrséget a 112-es segélyhívó számon.

2. Bizonyítékok dokumentálása: Mielőtt bármit töröltetne, készítsen mindenről képernyőmentést. Archiválja az URL-címeket, mentse le a weboldalakat, fórum-hozzászólásokat, közösségi média posztokat, ahol az adatai megjelentek. Ezek kulcsfontosságú bizonyítékok lesznek a későbbi hatósági eljárások során.

3. Digitális lábnyom minimalizálása: Azonnal változtassa meg az érintett fiókok jelszavát. Erősen ajánlott minden fontos fiók (e-mail, bank, közösségi média) jelszavát megváltoztatni, és kétfaktoros hitelesítést (2FA) beállítani. Tekintse át az összes közösségi média profilját, és állítsa azokat a legmagasabb szintű privát módra.

2. lépés: Tartalomeltávolítási kérelmek (takedown notices)

Az adatok terjedésének megállítása érdekében vegye fel a kapcsolatot a platformokkal.

1. Keresőmotorok (Google): A Google kifejezetten rendelkezik doxolási tartalom eltávolítására szolgáló eljárással. A Google eltávolíthatja azokat a találatokat, amelyek személyes adatokat (cím, telefonszám, e-mail) nyílt vagy burkolt fenyegetéssel, vagy mások zaklatására való ösztönzéssel együtt tesznek közzé. A Tiszavilág-adatbázis és a hozzá kapcsolódó interaktív térkép egyértelműen burkolt fenyegetésnek és jogalap nélküli összesítésnek minősül. Az eltávolítási kérelem a Google Súgó weboldalán keresztül indítható.

2. Platformok (Közösségi média, Fórumok): Jelentse a tartalmat közvetlenül a platform (pl. Facebook, Twitter/X, Reddit) üzemeltetőjének. A legtöbb platform rendelkezik doxxing és zaklatás elleni irányelvvel, és a bejelentésre eltávolítja a személyes adatokat felfedő tartalmakat.

3. Weboldal tulajdonosa: Keresse meg a weboldal tulajdonosát (gyakran az Impresszum vagy Kapcsolat oldalon), és kérje az adatai eltávolítását.

3. lépés: Hivatalos hatósági eljárások kezdeményezése Magyarországon

Az áldozatnak két, egymással párhuzamosan futó hivatalos eljárást kell indítania: egy büntetőeljárást az elkövető(k) ellen, és egy adatvédelmi eljárást az adatkezelő ellen.

A) Büntetőjogi eljárás (Az elkövető és a továbbközlő ellen)

• Mit tegyen? Tegyens feljelentést.

• Hol? Bármelyik rendőrkapitányságon személyesen, írásban (postai vagy e-mail címre), vagy a 112-es hívószámon.

• Milyen jogcímen? Btk. 219. § (Személyes adattal visszaélés) és/vagy Btk. 222. § (Zaklatás) gyanúja miatt.

• Ki ellen?

  1. Ismeretlen tettes ellen (az eredeti adatlopás elkövetője miatt).

  2. Ismert tettes ellen (pl. az újságíró, a blog vagy a híroldal ellen, amelyik az adatbázisból listákat vagy térképet közölt).

• Cél: Az elkövető(k) büntetőjogi felelősségre vonása.

B) Adatvédelmi hatósági eljárás (Az adatkezelő ellen)

• Mit tegyen? Nyújtson be érintetti beadványt (panaszt).

• Hol? Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).

• Hogyan? A NAIH online ügyintézési felületén (e-Papír).

Fontos: Az áldozatnak (érintettnek) nem az Adatvédelmi Incidensbejelentő Rendszert kell használnia (az az adatkezelőé), hanem az Adatvédelmi hatósági eljárás – érintetti beadvány (GDPR) nevű űrlapot.

• Ki ellen? Az adatkezelő ellen (a Tiszavilág-ügyben a Tisza Párt ellen).

• Milyen jogcímen? A GDPR 32. cikk (az adatkezelés biztonságának elmulasztása) és a GDPR 34. cikk (az érintetti tájékoztatás elmulasztása) megsértése miatt.

• Cél: Az adatkezelő felelősségének megállapítása, adatvédelmi bírság kiszabása, és az adatkezelő kötelezése a jövőbeli biztonságos adatkezelésre.

C) Áldozatsegítés

• Az áldozat hívhatja az éjjel-nappal ingyenesen elérhető Áldozatsegítő Vonalat a +36-80/225-225 telefonszámon.

• Itt tájékoztatást kaphat az eljárási jogairól, és bizonyos feltételek (ha a bűncselekmény miatt kára keletkezett) esetén jogosult lehet azonnali pénzügyi segélyre vagy állami kárenyhítésre.

Mit hoz a jövő?

A doxxing jelenségének és a Tiszavilág alkalmazás adatvédelmi incidensének elemzése rávilágít egy összetett, láncolat-alapú felelősségi rendszerre, amely messze túlmutat az eredeti elkövető személyén. A magyar és európai uniós jog alapján a felelősség az adatvédelmi lánc minden pontján megállapítható.

1. Az elsődleges elkövető (hekker/belsős): Büntetőjogi felelősséggel (Btk. 219. §) tartozik az adatlopásért és a minősített (különleges adatokra elkövetett) jelentős érdeksérelem okozásáért.

2. Az adatkezelő (Tisza Párt): Kétirányú felelősséggel néz szembe. Egyrészt súlyos adminisztratív (GDPR) felelősséggel (a NAIH által kiszabott, potenciálisan százmilliós bírság) az elégtelen adatvédelem (GDPR 32. cikk) és a kötelező incidensbejelentés, valamint az érintetti tájékoztatás (GDPR 33-34. cikk) valószínűsíthető elmulasztása miatt. Másrészt, amennyiben a nyomozás súlyos gondatlanságot tár fel az adatbiztonság terén, felmerül a Btk. 219. § (1) b) pontja szerinti büntetőjogi felelősség is.

3. A továbbközlő (média/felhasználó): A NAIH és a MÚOSZ Etikai Kódexe egyértelműen rögzíti, hogy a lopott, különleges (politikai) és lakcímadatokat tartalmazó adatbázisból való publikálás jogszerűtlen és etikátlan. Az ilyen cselekmény (különösen a listák vagy interaktív térképek közlése) kimeríti a Btk. 219. § (személyes adattal visszaélés) tényállását, és az elkövetőt (pl. az újságírót, a szerkesztőséget) büntetőjogilag felelőssé teheti.

A Tiszavilág-incidens vízválasztó a magyar adatvédelem történetében. Ötvözi a tömeges érintettséget a legérzékenyebb különleges adatokat (politikai vélemény) és a közvetlen fizikai fenyegetést (földrajzi koordináták). Az ügyben hozott hatósági (NAIH) és bírósági döntések precedenst fognak teremteni minden politikai és civil szervezet számára az adatbiztonság kötelező szintjét illetően. Emellett éles határvonalat húznak a közérdekű tájékoztatás és a bűnrészessé váló doxxing között a média szereplői számára.