November elején a hirado.hu felületén is beszámoltunk a Magyar Péter vezette Tisza Pártot megrengető adatszivárgási botrányról, miszerint feltörték a jelöltek kiválasztásához használt Tisza Világ elnevezésű applikációt, a közel 200 ezer felhasználó adatait pedig feltöltötték a Prohardver számítástechnikai magazin fórumára. Az adatszivárgásról elsőként értesülő Vadhajtások portál szerint 200 ezer felhasználó neveit, lak és e-mail-címeit, telefonszámait, sőt, GPS-adatait töltötték fel.

Az ügyben a Nemzeti Adatvédelmi és Információszabadság Hatóság már vizsgálatot indított, ezzel kapcsolatban nyilatkozott az Indexnek Péterfalvi Attila, a hatóság vezetője, aki a biztonság sérülésének tényállása miatt a külső támadás lehetőségét sem zárta ki, azonban azt leszögezte:

az ügyben az alapvető felelősség egyértelműen a Tisza Párté.

Emlékeztetett, az Európai Unió adatvédelmi rendelete (GDPR) ugyanis világosan kimondja: az adatkezelő felel azért, hogy a kezelt személyes adatok megfelelő biztonságban legyenek.

„Ez nem pusztán technikai kérdés, hanem jogi kötelezettség is”

– hangsúlyozta, mivel az adatkezelőnek a tudomány és technológia mindenkori állása, az adatkezelés jellege, valamint a kezelt adatok köre alapján kell gondoskodnia a védelemről – tette hozzá. Elmondása szerint erre több módszer is rendelkezésre áll, például az adatok álnevesítése, titkosítása, továbbá az adatkezelő köteles folyamatosan megőrizni a kezelt adatok bizalmasságát, integritását, rendelkezésre állását és ellenálló képességét.

„Meg kell nézni, milyen védelmi rétegek működtek a rendszerben – tűzfalvédelem, hozzáférés-szabályozás, titkosítás – és ezek megfeleltek-e annak, amit a GDPR előír”

– mondta, arra utalva ezzel, hogy a vizsgálat kulcsa most az, milyen adatbiztonsági garanciákat tudott ténylegesen biztosítani a Tisza Párt.

A külső támadás lehetőségével kapcsolatban Péterfalvi Attila arról beszélt, a felelősség ebben a kérdésben osztott, mivel fennállhat úgy a támadó, mind az adatkezelő – vagyis a Tisza Párt – részéről is. „Egy ilyen hacker több bűncselekményt is elkövethet – például tiltott adatszerzést vagy számítástechnikai rendszerbe való jogosulatlan beavatkozást” – sorolta. Ugyanakkor,

ha a Tisza Párt nem teljesítette a megfelelő adatbiztonságra vonatkozó kötelezettségeit, akkor azzal adatkezelőként maga is bűncselekményt követett el.

A NAIH elnöke szerint az adatvédelmi incidens akár belső szivárogtatásból is fakadhat, nem feltétlenül külső támadásból. Éppen ezért most azt is vizsgálják, hogy volt-e bárki a párt belső rendszerében, aki jogosulatlanul hozzáférhetett a teljes adatbázishoz. Péterfalvi Attila felhívta a figyelmet a közérdekű és a személyes adatok közötti különbségekre is. Kiemelte, hogy a közérdekű adat bárki által megismerhető és terjeszthető – ez alapjog.

„De személyes adat soha nem lehet közérdekű”

– szögezte le. Vannak kivételek, ilyen például a képviselők vagyonnyilatkozata vagy egyes köztisztviselők fizetése. Azonban még ezek terjesztése is csak a célhoz kötöttség elve alapján lehetséges, vagyis kizárólag arra a célra, amelyre az adatot eredetileg nyilvánosságra hozták – tette hozzá. Ugyanakkor arra hívta fel a figyelmet, a Tisza Párt esetében a helyzet sokkal érzékenyebb, mivel a kiszivárgott adatbázisban szereplő felhasználók adatai politikai véleményt és pártszimpátiát jelezhetnek.

„Ez a GDPR szerint különleges adatnak minősül, amelynek kezelése alapvetően tilos, kivéve, ha az érintett ehhez egyértelmű hozzájárulását adta”

– mondta Péterfalvi Attila. Az adatok felhasználásával kapcsolatban pedig emlékeztetett, „aki átveszi, hivatkozik rá, linkeli, az értelemszerűen terjesztésnek minősül”.

„Ez a terjesztés egy önálló adatkezelés, ezzel a mozzanattal ő adatkezelővé válik. És hát nyilván, ha maga az alap-adatkezelés jogellenes volt, akkor értelemszerűen a terjesztése is jogellenes.”

„Tehát azt tudom mondani, hogy ezt külön kell elbírálni ”– fogalmazott, utalva ezzel a NAIH által közzétett nyilatkozatra, amelyet a hatóság a a vizsgálat elején adott ki, felhívva a sajtó figyelmét az adatvédelmi határokra. Pénteken azonban a NAIH-nak újabb közleményt kellett kiadni, miután ismeretlenek a kiszivárgott Tisza Világ-felhasználók adatait feltöltötték és megjelentették egy interaktív térképen, amely a hirado.hu vagy az MTVA felületein nem jelent meg. Péterfalvi Attila szerint az ügy nemcsak adatvédelmi, hanem büntetőjogi szintre is lépett, hiszen több mint kétszázezer ember lakcíme és politikai szimpátiája vált bárki számára beazonosíthatóvá.

„Ez már minőségi ugrás az ügyben – nem mindegy, hogy néhány ezer ember vagy kétszázezer ember különleges adata kerül nyilvánosságra”

– foglalta össze Péterfalvi Attila. A hatóság ezért egyrészt azt elemzi, a Tisza Párt adatkezelése megfelelt-e a GDPR előírásainak, különös tekintettel az adatminimalizálás elvére – vagyis tényleg szükség volt-e például a lakcímek pontos geolokációs rögzítésére, másrészt azt, hogy a jogellenesen nyilvánosságra hozott adatbázist kik és hogyan terjesztették tovább.

Kiemelt kép: Magyar Péter, a Tisza Párt elnöke és EP-képviselője (Fotó: MTI/Bodnár Boglárka)