A héten egy olyan súlyos adatvédelmi ügyről adtunk hírt, mely nem is igazán ritkasága vagy különlegessége miatt vált fontossá, hanem azért, mert úgy tűnik, az érintett intézmény, a veszprémi Pannon Egyetem tökéletesen felkészületlen egy ilyen esemény kezelésére. Az eset kapcsán nyilatkozó mértékadó biztonságtechnikai szakemberek is arra hívták fel a figyelmet, hogy a digitalizáció miatt az adatkezelési incidensek, hiányosságok ma már nálunk is éppoly gyakoriak, mint az ilyen ügyek sorozatait produkáló nyugati társadalmakban, ám hazánkban még ott sem tartunk, ahol ezek az országok, pedig még náluk is komoly problémákat okoz az adatvédelem mind technikai, mind jogi szempontból.
Mint beszámoltunk róla, a történtek kivizsgálására mind az egyetem, mind a rendőrség (saját hatáskörben, a sajtóhírek alapján) eljárást indított. Az esemény megítélését e vizsgálatok eredménye természetesen alapvetően befolyásolhatja, ám bizonyos lehetséges jogi következmények megkérdőjelezhetetlenek, mivel az nyilvánvaló, hogy komoly törvénysértés történt. Épp ezért megkerestünk egy adatvédelmi szakértőt, dr. Simon Évát, a Társaság a Szabadságjogokért (TASZ) jogvédő szervezet programvezetőjét, hogy arról kérdezzük: az eddigi információk alapján milyen lehetséges jogi forgatókönyvek képzelhetőek el, milyen típusú felelősségek merülhetnek fel, azok a hallgatók, akiknek az adatai potenciális veszélybe kerültek, milyen jogorvoslati lehetőséggel élhetnek.
Simon Éva elmondta, hogy az eset pontos megítélésére egyelőre nem rendelkezünk elegendő információval; nem mindegy ugyanis, hogy rendszerhiba okozta az adatszivárgást, emberi mulasztás következtében történt, esetleg szándékos károkozás volt-e a célja annak, akinek a tettei az adatok nyilvánosságra kerüléséhez vezettek. Ennek a kiderítése a rendőrség, illetve a bíróság feladata.
Ám az elkövetőtől függetlenül persze az egyetemi hallgatók személyes adatok védelméhez fűződő joga mindenképpen sérült – hangsúlyozta Simon Éva. Azt tehát nem tudjuk megmondani, hogy kit és miért fognak felelősségre vonni, de általánosságban kijelenthető, hogy a büntető törvénykönyv szabályai szerint az, aki az adatok biztonságát szolgáló intézkedést elmulasztja és ezzel jelentős érdeksérelmet okoz, akár egy évig terjedő szabadságvesztéssel büntetendő. Ha ezt valaki jogtalan haszonszerzés miatt teszi, akkor akár három évig terjedő szabadságvesztésre is számíthat.
Más szemszögből nézve viszont teljes biztonsággal kijelenthető, hogy az adatkezelőnek, aki ebben az esetben az egyetem, mindenképp fennáll a felelőssége. Az adatvédelmi törvény ugyanis kimondja, hogy az adatokat védeni kell, különösen a jogosulatlan hozzáférés, továbbítás, nyilvánosságra hozatal ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az egyetemnek, a rendszergazdának és a hírközlési vagy informatikai eszköz üzemeltetőjének, mert a személyes adatok továbbítása hálózat útján történik. Vagyis bármilyen módon történt is az adatszivárgás, az egyéb lehetséges vétkesek mellett az intézmény mindenképpen felelősséggel – mégpedig adatkezelőként a rendszergazdáénál jelentősen komolyabb felelősséggel – tartozik a történtekért.
Simon Éva külön kiemelte, hogy természetesen a diákok maguk is tehetnek büntetőfeljelentést az adatok kezelője ellen, illetve fordulhatnak az adatvédelmi biztoshoz is, hogy vizsgálja ki az ügyet. Az is jogukban áll, hogy pert indítsanak az adatkezelő, az egyetem ellen, s amennyiben bizonyítást nyer, hogy sérelmet szenvedtek, akkor az egyetem köteles az esetlegesen okozott kárt megtéríteni. E felelősségre vonás alól csak akkor mentesülhet az egyetem, ha az adatok „elháríthatatlan külső ok” miatt kerültek nyilvánosságra (hogy mi számít „elháríthatatlan külső oknak”, azt a bíróság ítéli meg, de egy rendszergazdai hanyagság semmiképpen sem az, ahogyan egy biztonsági rést kihasználó crackertámadás sem minősíthető ilyennek). Ha a diákok az adatvédelmi biztoshoz fordulnak, s ő jogellenes adatkezelést észlel, akkor akár zárolhatja vagy töröltetheti is az adatokat.
