Bevezetés
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy közelmúltbeli ügyben a „Magyar Állam Tulajdonosainak Társulása” (MATT) nevű szerveződés adatkezelési gyakorlatát vizsgálta.
A hatóság megállapítása szerint a MATT olyan személyek informális közössége, akik a jelenlegi politikai és jogi rendszert illegitimnek tekintik, és állításaik szerint igyekeznek kivonni magukat annak hatálya alól. A csoport tevékenysége egyfajta „alternatív államiság” gondolatára épül.
A NAIH vizsgálata azonban nem a politikai nézetekre, hanem a személyes adatok kezelésére irányult. A hatóság azt vizsgálta, hogy a szervezethez köthető honlapokon elérhető űrlapok és szolgáltatások során megfeleltek-e a GDPR előírásainak.
I. Milyen adatkezelések történtek?
1. „Igazolványok” és egyéb dokumentumok igénylése
A vizsgálat szerint a MATT működésének egyik eleme különböző dokumentumok és kártyák kiállítása volt. Ilyen például az úgynevezett „Magyar Köztársaság Azonosító Igazolványa”, illetve olyan kártyák, amelyek például ingyenes parkolást vagy közterület-használatot ígértek.
Az ilyen dokumentumok igényléséhez a jelentkezőknek online űrlapokat kellett kitölteniük. Az igénylés során több személyes adatot kellett megadniuk, például:
– név
– születési adatok
– arckép
– állampolgárság
– lakcím vagy elérhetőségek
– aláírás
– egyéb azonosító adatok
Ez azt jelenti, hogy a szervezet személyes adatokat gyűjtött és tárolt az igénylőkről.
2. Hiányzó adatkezelési tájékoztatás a Magyar Állam Tulajdonosainak Társulása esetén
A NAIH vizsgálata során kiderült, hogy az űrlapok kitöltésekor nem volt elérhető adatkezelési tájékoztató.
Az érintettek így nem kaptak információt például arról:
– ki kezeli az adataikat,
– milyen célból történik az adatkezelés,
– milyen jogalapon kezelik az adatokat,
– mennyi ideig tárolják azokat,
– milyen jogaik vannak az érintetteknek.
Ez a GDPR egyik alapvető követelménye, ezért a hatóság ezt külön problémaként értékelte.
II. A GDPR alkalmazhatóságának vitatása
A hatósági eljárás során a szerveződés két meghatározó szereplője vitatta, hogy a GDPR és a NAIH eljárása egyáltalán alkalmazható lenne.
Érvelésük szerint:
– a MATT nem tekinthető formális szervezetnek,
– a szerveződés nem tartozik az Európai Unió joghatósága alá,
– ezért az EU jogszabályai – így a GDPR – sem alkalmazhatók.
A NAIH azonban ezt az álláspontot nem fogadta el.
III. A NAIH álláspontja a Magyar Állam Tulajdonosainak Társulása kapcsán
1. A GDPR hatálya
A GDPR hatályát a rendelet 2. és 3. cikke határozza meg.
A NAIH szerint ha egy adatkezelés az Európai Unió területén történik, például Magyarországon működő honlapokon vagy személyek által, akkor főszabály szerint a GDPR alkalmazandó.
A rendelet kivételei között nem szerepel olyan eset, amely lehetővé tenné a GDPR hatályának egyszerű elutasítását.
2. A kibocsátott igazolványok jogi megítélése
A vizsgálat során a hatóság azt is megállapította, hogy a kiállított plasztikkártyák külső megjelenésükben a hivatalos okmányokra hasonlíthatnak.
Fontos azonban, hogy ezek:
– nem minősülnek közokiratnak,
– nem hivatalos állami dokumentumok.
A hatóság szerint inkább olyan fiktív dokumentumokról van szó, amelyek valótlan jogi háttérre épülnek.
Bizonyos helyzetekben az ilyen kártyák használata – például jogosultság megszerzése érdekében – akár csalás gyanúját is felvetheti, bár ez már nem adatvédelmi, hanem büntetőjogi kérdés.
3. Ki minősül adatkezelőnek?
A GDPR szerint adatkezelő az a személy vagy szervezet, aki meghatározza az adatkezelés célját és eszközeit.
A hatósági vizsgálat alapján:
– a MATT működésében két meghatározó személy vett részt,
– ők döntöttek a „tulajdonosi nyilvántartás” létrehozásáról,
– valamint az igazolványok kiállításáról.
Ezért a NAIH megállapította, hogy ők adatkezelőnek minősülnek.
A hatóság arra is rámutatott, hogy az adatkezelői felelősség nem kerülhető meg azzal, hogy az adatkezelést egy informális közösség vagy formálisan nem létező szervezet nevében végzik.
4. Az adatkezelés célja és jogszerűsége
A GDPR egyik alapelve a célhoz kötöttség: személyes adatot csak meghatározott, egyértelmű és jogszerű célból lehet kezelni.
A NAIH szerint a MATT adatkezelése olyan célokhoz kapcsolódott, amelyek egy alternatív „államszervezet” létrehozásának elképzeléséhez kötődtek.
A hatóság álláspontja szerint:
– az ilyen cél nem tekinthető jogszerű adatkezelési célnak,
– ezért az ehhez kapcsolódó adatkezelés sem lehet jogszerű.
Emellett a hatóság a tisztességes adatkezelés elvének megsértését is megállapította. Az érintettek ugyanis azt hihették, hogy valódi joghatással rendelkező dokumentumokat kapnak.
Összegzés – a döntés fő tanulságai
Az ügy több fontos adatvédelmi tanulságot hordoz.
1. A GDPR hatálya nem kerülhető meg egyszerű állításokkal. Ha az adatkezelés az EU területén történik, a rendelet főszabály szerint alkalmazandó.
2. Az adatkezelői felelősség személyhez köthető. Azok a személyek minősülnek adatkezelőnek, akik ténylegesen meghatározzák az adatkezelés célját és módját.
3. Az adatkezelésnek jogszerű célhoz kell kapcsolódnia. Jogellenes vagy megtévesztő célokhoz személyes adatok kezelése nem alapítható.
4. Az érintetteket megfelelően tájékoztatni kell. Adatkezelési tájékoztató nélkül végzett adatgyűjtés súlyos GDPR-kockázatot jelent.
A cikk a NAIH-5209-29/2025. számú határozat alapján készült.
Amennyiben szervezete személyes adatokat kezel – például online űrlapok, regisztrációk vagy nyilvántartások útján –, érdemes rendszeresen felülvizsgálni az adatkezelési gyakorlat jogszerűségét. Ha kérdése merül fel a GDPR alkalmazhatóságával, az adatkezelői felelősséggel, vagy az adatkezelési tájékoztatók megfelelőségével kapcsolatban, forduljon hozzánk bizalommal.
2026.03.06.
Dr. Miklós Péter – adatvédelmi ügyvéd
Dr. Varga Benedek