BÜ BH 2017/392
BÜ BH 2017/392
2017.12.01.
Az információs rendszer megsértésének vétségét az követi el, aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad. A büntetőjog alapelveivel összhangban a jogosultság keretein való túllépés is akkor minősül bűncselekménynek, ha az egyben a rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával történik; pusztán e jogosultság kereteinek túllépése nem éri el azt a veszélyességi szintet, mint amit az első fordulat megkíván [Btk. 423. § (1) bek.].
[1] A törvényszék katonai tanácsa a 2016. január 21. napján kihirdetett ítéletében a rendőr törzszászlós vádlottat az ellene a Btk. 423. § (1) bekezdés a) pontjába ütköző információs rendszer megsértése vétségének kísérlete és a Btk. 423. § (1) bekezdés a) pontjába ütköző információs rendszer megsértésének vétsége miatt emelt vád alól felmentette; a további információs rendszer megsértésének vétsége miatt indított büntetőeljárást megszüntette.
[2] Az ügyészi fellebbezés alapján eljárt ítélőtábla katonai tanácsa a 2017. január 11. napján meghozott ítéletében az elsőfokú ítéletet megváltoztatva a vádlottat bűnösnek mondta ki folytatólagosan elkövetett információs rendszer megsértésének vétségében, ezért őt kétszáz napi tétel, napi tételenként 1000 forint pénzbüntetésre ítélte. Rendelkezett arról, hogy a 200 000 forint pénzbüntetést meg nem fizetése esetén szabadságvesztésre kell átváltoztatni akként, hogy egynapi tétel helyébe egynapi szabadságvesztés lép. Kötelezte továbbá a vádlottat az eljárás során felmerült bűnügyi költség megfizetésére.
[3] Az ítélet ellen a vádlott és védője felmentés végett fellebbezését jelentett be.
[4] A Legfőbb Ügyészség a védelmi fellebbezéseket alaposnak tartotta.
[5] Kifejtette: a Btk. XLIII. Fejezetében található, az információs rendszert érintő bűncselekmények az Európai Tanács 2001-ben Budapesten elfogadott, az információs bűnözésről szóló egyezményének (Cyber Crime Egyezmény, illetve Informatikai Egyezmény), és az Európai Tanács információs rendszerek elleni támadásokról szóló 2005/222/IB kerethatározatának rendelkezésein alapulnak. A kerethatározatot utóbb az Európai Parlament és a Tanács 2013/40/EU irányelve váltotta fel. A 2013. június 1. napjáig hatályban volt 1978. évi IV. törvény pedig a 300/C. §-ában a számítástechnikai rendszer és adatok elleni bűncselekmény elnevezéssel biztosított büntetőjogi védelmet, a Btk. pedig büntetni rendeli azt, aki korábban a számítástechnikai, jelenleg az információs rendszerbe a rendszer védelmét szolgáló, tehát biztosító intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy belépési jogosultsága kereteit túllépve vagy azt megsértve bennmarad.
[6] A Legfőbb Ügyészség álláspontja szerint a bíróságok az információs rendszerbe történő belépési jogosultságon túlterjeszkedő adatszerzés esetén a hivatalos személy által elkövetett személyes adattal visszaélés bűntettét, a hivatali visszaélés bűntettét, esetleg e két bűncselekmény halmazatát vizsgálják (Bfv.III.880/2006/5., Bfv.III.654/2006/5., Bfv.536/2006/5., BH 2016.260., valamint Fővárosi Ítélőtábla 6.Kbf.26/2015/5.). Hivatkozott a Kúria BH 2015.296. számú eseti döntésére, amely szerint a cselekmény célzat hiányában információs rendszer megsértéseként is minősülhetne, a terhelt bűnössége azonban hivatali visszaélésben volt megállapítható.
[7] Kifejtette továbbá, hogy az Informatikai Egyezmény preambulumában megfogalmazott cél: a számítástechnikai rendszerek, hálózatok és adatok hozzáférhetősége, sérthetetlensége és titkossága elleni cselekmények, valamint az ilyen rendszerek, hálózatok és adatok visszaélésszerű használatának megelőzése, míg a 2. cikk a jogosulatlan belépés körében a számítástechnikai rendszerbe, vagy annak bármely részébe történő jogosulatlan és szándékos belépés büntetni rendelését írta elő.
[8] Idézte a számítástechnikai rendszer és adatok elleni bűncselekményt a Btk.-ba beillesztő 2001. évi CXXI. törvény indokolását is, mely szerint a bűncselekmény megvalósulása körében a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával történő jogosulatlan belépést, az engedélyezett belépést követően a jogosultság terjedelmi vagy időbeli kereteinek túllépésével, illetőleg a jogosultság más módon való megsértésével történő bennmaradást nevesítette.
[9] Elemezte továbbá az Európai Unió Tanácsának az információs rendszerek elleni támadásokról szóló 2005/222/IB kerethatározatát, amelynek a preambuluma szerint a cél az információs rendszerek elleni támadások terén történő együttműködés javítása (1.), amelynek keretében az információs rendszerhez való jogsértő hozzáférés, valamint a rendszerekbe, illetve adatokba való jogsértő beavatkozás bűncselekmények terén történő közös szemlélet kialakítása (11.). Rámutatott arra, hogy a kerethatározat kerülendőnek határozta meg a büntetőjogi túlszabályozást, különösen enyhébb esetekben, továbbá a jogosultak és engedéllyel rendelkező személyek büntetőjogi felelősségre vonását, és a kerethatározat 1. cikk d) pontjában található fogalommeghatározás alapján a „jogosulatlanul” kifejezés a rendszerbe történő olyan hozzáférést vagy beavatkozást jelent, amelyet a rendszernek vagy a rendszer részének tulajdonosa, vagy egyéb jogosultja nem engedélyezett, vagy amelyet a nemzeti jogszabályok nem tesznek lehetővé, míg a 2. cikk az információs rendszerekhez való jogsértő hozzáférés körében arra kötelezte a tagállamokat, hogy minősítse bűncselekménynek valamely információs rendszerhez vagy annak egy részéhez való szándékos jogosulatlan hozzáférést, legalább a jelentősebb esetekben.
[10] Álláspontja szerint a helyesen megállapított tényállásból a másodfokú bíróság téves következtetést vont a vádlott bűnösségére, mivel a Btk. 423. § (1) bekezdés a) pontjának helyes értelmezése szerint a belépési jogosultság kereteit túllépve vagy azt megsértve történő bennmaradás is kizárólag abban az esetben minősül bűncselekménynek, ha az egyidejűleg az I. tételben meghatározottaknak megfelelően, a rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával – például más jelszavának felhasználásával –, jogosulatlanul történik.
[11] Ezért arra tett indítványt, hogy a Kúria a Be. 392. §-a (1) bekezdésének b) pontja I. tételére figyelemmel, a Be. 398. §-ának (1) bekezdése alapján a megtámadott másodfokú ítéletet változtassa meg, és a vádlottat az ellene folytatólagosan elkövetett információs rendszer megsértésének vétsége miatt emelt vád alól a Be. 6. § (3) bekezdés a) pontjának I. tétele alapján mentse fel.
[12] A védő – aki fellebbezését csak a Legfőbb Ügyészség indítványának kézbesítését követően indokolta meg – a Legfőbb Ügyészség indítványával egyetértve arra hivatkozott, hogy a bűncselekmény törvényi tényállásával védett jogi tárgy nem sérült. Álláspontja szerint az információs rendszer megsértésének bűncselekménye a belépési jogosultság kereteinek túllépésével vagy az annak megsértésével történő bennmaradással is kizárólag akkor valósul meg, ha az a törvényi tényállás I. tételében meghatározottak szerint, a rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával – pl. más jelszavának felhasználásával – jogosulatlanul történik, és ennek alátámasztására a Kúria Bfv.I.1357/2014/11. számú határozatára is hivatkozott.
[13] Utalt a jelenlegi rendőrségi gyakorlatra is, amely szerint bárkit megbízhatnak felettesei a tevékenységi körétől eltérő, bármilyen kiegészítő vagy akár érdemi feladat elvégzésével is szóbeli parancs, utasítás útján, írásbeli nyom nélkül, így álláspontja szerint kizárólag szubjektív elhatározás kérdése, hogy az ilyen, nem az adott munkakörhöz tartozó feladatok elvégzése során történő informatikai rendszerbe való belépés miatt mikor és kit vonnak felelősségre.
[14] A bejelentett másodfellebbezések a Be. 386. § (1) bekezdésének c) pontjára figyelemmel joghatályosak, ezért azok elbírálására a Kúria az ügyben a Be. 392. § a) pontja alapján tanácsülést tartott.
[15] Ennek során az első- és másodfokú ítéletet az azt megelőző első- és másodfokú bírósági eljárással együtt bírálta felül, és megállapította, hogy az eljárt bíróságok maradéktalanul betartották az eljárási törvény rendelkezéseit.
[16] A másodfokon eljárt ítélőtábla az elsőfokú bíróság által megállapított tényállást kismértékben mindkét tényállási pont kapcsán kiegészítette, és e kiegészítésekkel tekintette teljesnek és megalapozottnak. Ezekkel a kiegészítésekkel, illetve helyesbítéssel a tényállást a Kúria is megalapozottnak találta, és mivel az iratellenes megállapítást, téves ténybeli következtetést nem tartalmaz, a Be. 388. § (1) és (2) bekezdésére figyelemmel a harmadfokú eljárásban irányadónak tekintette.
[17] Az irányadó tényállásra tekintettel a másodfellebbezés és a Legfőbb Ügyészség indítványa alapos.
[18] A Btk. 423. §-ának megfelelő szabályozást az 1978. évi IV. törvénybe a 2001. CXXI. törvény iktatta be. E módosító törvény indokolása ebben a körben a következőket tartalmazza: „Az Európa Tanács közeljövőben elfogadandó Informatikai bűnözésről szóló Egyezményében foglalt büntetőjogi rendelkezésekkel összhangban álló, a számítástechnikai rendszer és adatok elleni bűncselekmény tényállását a Btk. jelenlegi rendszerében a gazdasági bűncselekményekről szóló XVII. Fejezetbe lehet beilleszteni. Az új bűncselekmények jogi tárgya egyfelől a számítástechnikai rendszerek megfelelő működéséhez, és a bennük tárolt, feldolgozott, továbbított adatok megbízhatóságához, hitelességéhez, valamint titokban maradásához fűződő érdek, másfelől azonban szoros kapcsolatot lehet kimutatni a hagyományos gazdasági bűncselekményekkel is e tényállás kapcsán, mivel a számítástechnikai rendszer zavartalan működése, illetőleg az adatok hozzáférhetősége, sértetlensége és titkossága elleni bűncselekmények egyben a vagyoni, illetőleg a gazdasági viszonyok sérelmét is eredményezhetik. A törvény a számítástechnikai rendszer és adatok elleni bűncselekmény tényállását a korábbi számítógépes csalás bűncselekményét meghatározó 300/C. §-ának helyébe iktatja be. Az Egyezmény 2. Cikkével összhangban a Btk. 300/C. §-ának törvény szerinti (1) bekezdése büntetendő cselekménnyé nyilvánítja a számítástechnikai rendszerbe történő jogosulatlan belépést. A büntetőjogilag oltalmazott érdek a számítástechnikai rendszer sértetlensége és a benne tárolt, feldolgozott, továbbított adatok megbízhatóságához, hitelességéhez és titokban maradásához fűződő érdek. A bűncselekmény elkövetési tárgya maga a számítástechnikai rendszer. A bűncselekmény megvalósulásához ezért már a számítástechnikai rendszer védelmét szolgáló intézkedések megsértésével vagy kijátszásával történő jogosulatlan belépés, valamint az engedélyezett belépést követően a jogosultság terjedelmi vagy időbeli kereteit meghaladó, illetőleg a jogosultságot más módon megsértő bennmaradás ténye is elegendő.”
[19] A Legfőbb Ügyészség által is hivatkozott, az Európa Tanács Budapesten, 2001. november 23-án kelt Számítástechnikai Bűnözésről szóló Egyezményét a 2004. évi LXXIX. törvény hirdette ki.
[20] Az Egyezmény 2. cikke „jogosulatlan belépés” cím alatt azt tartalmazza, miszerint minden Szerződő Fél tegye meg azon jogalkotási és egyéb intézkedéseket, melyek ahhoz szükségesek, hogy belső jogával összhangban bűncselekménynek minősüljön a számítástechnikai rendszerbe vagy annak bármely részébe történő jogosulatlan és szándékos belépés, és a Fél kikötheti, hogy a bűncselekményt a biztonsági intézkedések megsértésével vagy számítástechnikai adatok megszerzésére irányuló, illetőleg más tisztességtelen céllal, avagy egy másik számítástechnikai rendszerhez kapcsolódó számítástechnikai rendszerre vonatkozóan kövessék el. A 3. cikk pedig „jogosulatlan kifürkészés” címszó alatt azt írja elő, hogy minden Szerződő Fél tegye meg azon jogalkotási és egyéb intézkedéseket, melyek ahhoz szükségesek, hogy belső jogával összhangban bűncselekménynek minősüljön a számítástechnikai rendszeren belüli, az abból származó, illetőleg a rendszerbe irányuló számítástechnikai adatok nem nyilvános továbbítása során technikai eszközök felhasználásával történő jogosulatlan és szándékos kifürkészése, ideértve az ilyen számítástechnikai adatokat továbbító, a számítástechnikai rendszerből származó elektromágneses sugárzást. Az Egyezmény szerint ugyanakkor a Fél kikötheti, hogy a bűncselekményt tisztességtelen céllal vagy egy másik számítástechnikai rendszerhez kapcsolódó számítástechnikai rendszerre vonatkozóan kövessék el.
[21] A Btk. 465. § (1) bekezdésének f) pontja szerint a Btk. XLIII. fejezete az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról szóló, 2013. augusztus 12-i 2013/40/EU európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.
[22] Az irányelv 3. cikke az információs rendszerekhez való jogellenes hozzáférésként arra kötelezi a tagállamokat, hogy hozzák meg a szükséges intézkedéseket annak érdekében, hogy a valamely információs rendszerhez vagy annak egy részéhez való, szándékosan és jogosulatlanul történő hozzáférés legalább a súlyosabb esetekben bűncselekménynek minősüljön akkor, ha a bűncselekményt valamely biztonsági intézkedés megsértésével követték el; a 4. cikk pedig a rendszert érintő jogellenes beavatkozást – valamely információs rendszer működésének számítógépes adatok szándékos és jogosulatlan bevitele, továbbítása, megrongálása, törlése, minőségi rontása, megváltoztatása vagy elrejtése, vagy ilyen adatok szándékos és jogosulatlan hozzáférhetetlenné tétele révén történő súlyos akadályozását vagy megszakítását – tekinti bűncselekménynek.
[23] Ehhez képest a Btk. 423. § (1) bekezdés – elkövetéskor hatályos a) pontja – szerint az követi el az információs rendszer megsértésének vétségét, aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad.
[24] Nem vitás, hogy törvényi tényállás első fordulatának megvalósulásához, a jogosulatlan belépéshez szükséges a rendszer védelmét biztosító technikai intézkedés megsértése vagy kijátszása.
[25] Ugyanakkor a büntetőjog alapelveivel lenne ellentétes, ha a második fordulat szerinti elkövetéshez, a jogosultság keretein való túllépéshez a törvény nem kívánná meg a rendszer védelmét biztosító technikai intézkedés megsértését vagy kijátszását. Ugyanis akkor, ha valakinek van jogosultsága az informatikai rendszerbe történő belépéshez, akkor pusztán e jogosultság kereteinek túllépése nem éri el azt a veszélyességi szintet, mint amit az első fordulat megkíván.
[26] Kétségtelen, hogy a vádlott megszegte az adatkezelés célhoz kötöttségére vonatkozó, a másodfokú ítéletben felhívott belső utasítást.
[27] Azonban az irányadó tényállás szerint a jogosulatlan adatkezeléshez nem kapcsolódott sem a Btk. 219. § (1) bekezdése szerinti haszonszerzésre vagy jelentős érdeksérelem okozására irányuló célzat, sem a 305. § szerinti jogtalan hátrányokozási vagy előnyszerzési célzat, így az nem volt bűncselekmény.
[28] A Legfőbb Ügyészség által felhívott eseti döntések is ennek felelnek meg; azokban ugyanis a személyes adattal visszaélés bűncselekményénél a jelentős érdeksérelem, a hivatali visszaélés bűntetténél a jogtalan előny vagy jogtalan hátrány célzata volt megállapítható.
[29] Mindezek alapján a Kúria az ítélőtábla érveivel szemben az első fokon eljárt katonai tanács és a Legfőbb Ügyészség, továbbá a védelem érveit osztotta.
[30] Ezért a másodfokú ítéletet a Be. 398. §-ának (1) bekezdése alapján megváltoztatva a vádlottat a Be. 392. § (1) bekezdés b) pontja szerinti tanácsülésen az ellene folytatólagosan elkövetett információs rendszer megsértése vétségének vádja alól a Be. 6. § (3) bekezdés a) pontjának I. tétele alapján felmentette.
[31] A vádlott felmentése miatt az eljárás során felmerült bűnügyi költség az államot terheli.
(Kúria Bhar. I. 537/2017.)
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás