Bevezetés

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH vagy Hatóság) által meghozott határozat olyan adatvédelmi kérdésben foglalt állást, amely túlmutat az ügy konkrét körülményein. A döntés ugyanis azt vizsgálta, hogy egy médiaszolgáltató pusztán azzal, hogy egy jogellenesen nyilvánosságra került adatbázis elérhetőségét – közvetlenül vagy közvetetten – közzéteszi, maga is adatkezelővé válik-e, és önálló felelősséggel tartozik-e a GDPR rendelkezéseinek betartásáért.

Az ügy előzménye egy jelentős adatvédelmi incidens volt, amelynek során rengeteg természetes személy személyes adatai kerültek illetéktelenek birtokába, majd ezt követően egy interaktív térképen váltak kereshetővé. Több országos médiaszolgáltató beszámolt a térkép létezéséről, azonban nem azonos módon. Míg egyes szerkesztőségek tudatosan mellőzték annak elérhetőségének közzétételét, addig más médiumok közvetlen linket helyeztek el cikkeikben, illetve olyan képet tettek közzé, amely alapján a térkép internetes címe könnyen megismerhető volt.

A Hatóság eljárásának középpontjában nem maga az eredeti adatszivárgás állt, hanem az a kérdés, hogy a médiaszolgáltatók saját szerkesztői döntéseikkel önálló adatkezelést valósítottak-e meg. A döntés jelentősége ezért messze túlmutat ezen az egyedi ügyön: iránymutatást ad arra nézve, hogy a sajtószabadság gyakorlása milyen adatvédelmi korlátok között érvényesülhet, valamint arra is, hogy egy hiperhivatkozás közzététele mikor válhat a GDPR szerinti adatkezeléssé.

I. Előzmény: A TISZA Világ alkalmazás adatvédelmi incidense

Az ügy előzménye a TISZA Világ alkalmazást érintő adatvédelmi incidens volt. Az incidens következtében egy ismeretlen személy hozzáfért az alkalmazás felhasználóinak adataihoz, majd azokat jogosulatlanul nyilvánosságra hozta.

Nem sokkal később az ellopott adatállomány felhasználásával létrejött egy interneten elérhető interaktív térkép. A térkép lehetővé tette, hogy a felhasználók földrajzi hely, név vagy egyéb keresési feltételek alapján megkeressék az érintetteket, és megismerjék a róluk tárolt adatokat.

II. Mit közölt az Origo, a Magyar Nemzet és a Ripost?

A hatósági eljárás három online sajtótermék – az Origo, a Magyar Nemzet és a Ripost – cikkeit vizsgálta.

Az Origo cikkében ismertette a térkép működését, majd egy „ITT ÉRHETŐ EL” feliratú hiperhivatkozást helyezett el, amelyre kattintva az olvasók közvetlenül eljutottak a térképet tartalmazó oldalra. A cikk ugyanakkor maga is idézte a NAIH korábbi közleményét, amely szerint a médiaszolgáltatók nem tehetnek közzé olyan linket, amely az érintettek személyes adataihoz vezet. Ennek ellenére a hivatkozás a megjelenést követően közel két órán keresztül elérhető maradt. 

A Magyar Nemzet írásában hasonló módon egy kattintható hivatkozást helyezett el a „térképre” szó mögé. A cikk részletesen ismertette, hogy az olvasók utca- vagy házszintű keresést is végezhetnek, illetve névre is rákereshetnek az adatbázisban. A hivatkozást valamivel több mint egy órával később eltávolították, majd a cikket úgy módosították, hogy abban már kifejezetten szerepelt: a NAIH álláspontja szerint a térkép nem közölhető, mert azzal a szerkesztőség maga is adatkezelővé válna. 

A Ripost eltérő technikai megoldást alkalmazott. A cikk ugyan nem tartalmazott közvetlen hiperhivatkozást, azonban közzétette a térkép nyitóoldaláról készített képernyőképet oly módon, hogy azon a térkép internetes címe jól olvasható volt. A Hatóság szerint ez ugyanúgy lehetővé tette az olvasók számára a jogellenes adatbázis elérését, mint egy közvetlen link. 

III. Milyen adatok váltak megismerhetővé?

A térkép nem csupán neveket tartalmazott. Az adatbázisban szereplő személyek esetében megismerhető volt

  • a név, 
  • a lakcím, 
  • a telefonszám, 
  • az e-mail-cím, 
  • a lakcím geolokációs koordinátája, 

valamint mindezek alapján az is, hogy az érintett kapcsolatba hozható a TISZA Párttal. Ez utóbbi körülmény miatt a Hatóság arra a következtetésre jutott, hogy a térképen szereplő adatokból az érintettek politikai véleményére is következtetni lehetett, amely a GDPR 9. cikke alapján különleges személyes adatnak minősül. 

A NAIH hangsúlyozta, hogy az érintettek ezeket az adatokat nem önként tették nyilvánossá. Az adatok egy adatvédelmi incidens következtében kerültek illetéktelen személyhez, majd egy újabb jogellenes adatkezelési művelet eredményeként váltak kereshetővé az interneten. A médiaszolgáltatók ezt követően – a térkép elérhetőségének közzétételével – tovább növelték annak kockázatát, hogy az érintettek zaklatásnak, megfélemlítésnek vagy más hátrányos következményeknek legyenek kitéve.

IV. Adatkezelés és adatkezelői minőség megállapítása

A GDPR 4. cikkének fogalomrendszere alapján adatkezelésnek minősül nemcsak a személyes adatok nyilvánosságra hozatala, hanem azok egyéb módon történő hozzáférhetővé tétele is. A NAIH hangsúlyozta, hogy a médiaszolgáltató nem maga hozta nyilvánosságra az eredeti adatbázist, azonban a link közzétételével vagy a térkép URL-jének megjelenítésével lehetővé tette, hogy az olvasók közvetlenül hozzáférjenek közel kétszázezer ember személyes és különleges adataihoz. Ez önálló adatkezelési műveletnek minősül. 

A Hatóság azt is megállapította, hogy az internetes sajtótermékek kiadójaként a Mediaworks Hungary Zrt. maga határozta meg a szerkesztői tartalom közzétételének módját és eszközeit, ezért a GDPR 4. cikk (7) bekezdése alapján adatkezelőnek minősült. Az a körülmény, hogy a térképet más személy készítette és tette közzé, nem mentesítette a médiaszolgáltatót a saját adatkezeléséért fennálló felelősség alól.

V. Miért volt jogellenes az adatkezelés?

V.1. A GDPR 6. cikk szerinti jogalap hiánya

A médiaszolgáltató védekezésének központi eleme az volt, hogy az adatkezelés jogalapját a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek képezte. Álláspontja szerint a sajtószabadság, a véleménynyilvánítás szabadsága és a közvélemény tájékoztatásához fűződő érdek megalapozta a térkép elérhetőségének közzétételét.

A Hatóság emlékeztetett arra, hogy a jogos érdek jogalap alkalmazásához három feltételnek kell együttesen teljesülnie: az adatkezelőnek igazolnia kell egy valós és jogszerű jogos érdeket, bizonyítania kell az adatkezelés szükségességét, végül pedig érdekmérlegeléssel kell alátámasztania, hogy érdeke elsőbbséget élvez az érintettek alapvető jogaival szemben. A Hatóság szerint már az első feltétel sem teljesült, ezért a további vizsgálati lépésekre sem volt szükség. A médiaszolgáltató arra hivatkozott, hogy a Tisza Párt adatbázisában szereplő magánszemélyek a közéleti vita résztvevői, illetve közéleti szereplők voltak. Ezt a Hatóság elutasította, mivel az érintettek nem saját döntésük alapján léptek a nyilvánosság elé, hanem egy adatvédelmi incidens és potenciális bűncselekmény következtében kerültek kiszolgáltatott helyzetbe. A NAIH szerint az sem igazolt, hogy valamennyi érintett korábban nyilvánosan vállalta volna politikai véleményét, továbbá még egy közszereplő esetében sem lenne jogszerű a lakcím, telefonszám vagy e-mail-cím ilyen közzététele. A jogos érdek azért sem volt jogszerű, mert a médiaszolgáltató a NAIH korábbi közleményéből már tudhatta, hogy a jogellenesen nyilvánosságra hozott adatbázisra mutató hivatkozás közlése adatvédelmi szempontból elfogadhatatlan. Ezért a Hatóság megállapította, hogy a sajtószabadság ebben az esetben nem alapozhatta meg a térkép elérhetőségének közzétételét, így az adatkezelés a GDPR 6. cikk (1) bekezdésébe ütközött.

V.2. A politikai vélemény, mint különleges személyes adat

A NAIH határozata nem csupán a személyes adatok jogalap nélküli kezelését állapította meg, hanem külön vizsgálta a GDPR 9. cikke szerinti különleges adatok kezelését is. Az interaktív térkép nem egyszerűen elérhetőségi adatokat tartalmazott, hanem az érintettek politikai véleményére is egyértelmű következtetést engedett levonni.

A GDPR 9. cikk (1) bekezdése alapján a politikai véleményre vonatkozó személyes adatok kezelése főszabály szerint tilos. A rendelet abból indul ki, hogy az ilyen adatok kezelése az érintettek alapvető jogaira és szabadságaira különösen jelentős kockázatot jelenthet, ezért kizárólag kivételes esetekben megengedett.

A Hatóság rámutatott, hogy a térkép egy politikai párthoz kapcsolódó adatbázis alapján készült. A térképen szereplő személyek neve, lakcíme vagy e-mail-címe önmagában ugyan nem minősül különleges adatnak, azonban az a tény, hogy ezek az adatok egy adott politikai párt támogatói adatbázisából származtak, lehetővé tette az érintettek politikai kötődésére való következtetést. Ennek megfelelően a médiaszolgáltatók nem kizárólag általános személyes adatokhoz, hanem különleges adatokhoz is hozzáférést biztosítottak, amikor cikkeikben közzétették a térkép elérhetőségét. 

V.3. A GDPR 9. cikkének alkalmazása

A Hatóság hangsúlyozta, hogy különleges adatok kezelése esetén a GDPR két egymásra épülő követelményt támaszt az adatkezelővel szemben. Egyrészt rendelkezni kell valamely, a GDPR 6. cikk (1) bekezdése szerinti jogalappal, másrészt teljesülnie kell a GDPR 9. cikk (2) bekezdésében felsorolt kivételek valamelyikének is.

A jelen ügyben azonban már az első feltétel sem teljesült. A Hatóság korábban megállapította, hogy a Mediaworks Hungary Zrt. nem rendelkezett megfelelő jogalappal a térkép elérhetőségének közzétételéhez, így a különleges adatok kezelésének egyik alapvető előfeltétele eleve hiányzott. Emellett a Hatóság azt is kijelentette, hogy a GDPR 9. cikk (2) bekezdésében szereplő kivételek közül egyik sem lett volna alkalmazható.

Elsőként kizárható volt az érintettek kifejezett hozzájárulása. Nyilvánvalóan senki nem járult hozzá ahhoz, hogy a róla készült, jogellenesen megszerzett adatbázis elérhetőségét országos médiumok közzétegyék.

Nem volt alkalmazható az a kivétel sem, amely szerint a különleges adat akkor kezelhető, ha azt maga az érintett kifejezetten nyilvánosságra hozta. A Hatóság hangsúlyozta, hogy a térképen szereplő adatokat nem az érintettek tették közzé, hanem egy ismeretlen személy, aki az adatvédelmi incidens során megszerzett adatokat jogellenesen felhasználta. Az érintettek éppen ellenkezőleg: kiszolgáltatott helyzetbe kerültek, hiszen politikai véleményük a saját akaratuktól függetlenül vált bárki számára hozzáférhetővé. 

A Hatóság azt is megvizsgálta, hogy a sajtószabadságra hivatkozva alkalmazható lehetett volna-e a jelentős közérdeken alapuló kivétel. Álláspontja szerint azonban ez sem volt lehetséges. Bár egy politikai pártot érintő adatvédelmi incidens kétségtelenül közérdeklődésre számot tartó esemény, ebből nem következik az, hogy a médiaszolgáltató jogosult lenne közel kétszázezer ember politikai véleményének megismerését elősegíteni. A közérdekű tájékoztatás és a jogellenesen megszerzett személyes adatok széles körű hozzáférhetővé tétele között a Hatóság egyértelmű különbséget tett.

Ennek megfelelően a NAIH megállapította, hogy a médiaszolgáltató a GDPR 9. cikk (1) bekezdését is megsértette, mivel a politikai véleményre vonatkozó különleges adatok kezeléséhez sem megfelelő jogalappal, sem a rendelet által megkövetelt kivételi feltétellel nem rendelkezett.

VI. Szankció

A NAIH az ügy súlyára tekintettel 50 millió forint adatvédelmi bírságot szabott ki.

A bírság összegének meghatározásakor a Hatóság több körülményt is figyelembe vett. Kiemelt jelentőséget tulajdonított annak, hogy az adatkezelés közel kétszázezer érintettet érintett, valamint annak, hogy nem csupán személyes adatok, hanem különleges adatok is hozzáférhetővé váltak.

Súlyosító körülményként értékelte azt is, hogy a médiaszolgáltató a cikkek közzététele előtt már ismerhette a Hatóság közleményét, amely egyértelműen figyelmeztette a szerkesztőségeket arra, hogy a jogellenesen nyilvánosságra került adatbázis elérhetőségének közzététele adatvédelmi szempontból elfogadhatatlan.

Ugyanakkor a Hatóság enyhítő körülményként értékelte, hogy a kifogásolt hivatkozásokat néhány órán belül eltávolították, illetve a Magyar Nemzet később maga is utalt arra, hogy a NAIH álláspontja szerint a térkép közzététele nem jogszerű. Mindez azonban nem változtatott azon, hogy a jogsértés a közzététel időtartama alatt már megvalósult. 

VII. Összegzés 

Mint arra a Hatóság rámutatott a médiaszolgáltatók ugyan jogosultak közérdeklődésre számot tartó ügyekről beszámolni, azonban ez nem terjed ki arra, hogy jogellenesen megszerzett személyes vagy különleges adatokhoz hozzáférést biztosítsanak.

A határozat egy másik fontos tanulsága, hogy a hiperhivatkozás közzététele önmagában is adatkezelési művelet lehet, amennyiben annak eredményeként a nyilvánosság személyes adatokhoz férhet hozzá.  A NAIH világossá tette, hogy az adatvédelmi felelősség nem ér véget ott, hogy egy szervezet nem maga hozta nyilvánosságra a személyes adatokat. Aki saját döntésével elősegíti azok további hozzáférhetőségét, önálló adatkezelőként köteles megfelelni a GDPR valamennyi követelményének.

A cikk a NAIH/962-10/2026 ügyszámú határozat alapján készült.

Dr. Miklós Péter – adatvédelmi jogász

Dr. Varga Benedek

2026.07.10.

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1117 Budapest, Völgycsillag utca 4., 6. emelet 02. a., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap