A GDPR 5. cikk (1) bek. a) pontja előírja az adatkezelés alapelveit, így tehát az adatokat csak meghatározott és jogszerű célokra lehet gyűjteni. A 6. cikk szerint a személyes adatokat csak akkor lehet jogszerűen kezelni, ha az adatkezelésnek megfelelő jogalapja van. Ilyen jogalap például, ha az érintett hozzájárul a személyes adatai egy vagy több konkrét célból történő kezeléséhez, vagy ha az adatkezelés egy szerződés teljesítéséhez szükséges – írta Lomnici Zoltán az Alaptörvény blogon.

Emellett az adatkezelés jogszerű, ha azt jogi kötelezettség teljesítése indokolja. Amennyiben az érintett felületen a honlap felelősei nem tartják be a GDPR szabályait, a pártot bírsággal sújthatják, ugyanis a GDPR 83. cikke szerint az adatvédelmi szabályok megsértése pénzügyi szankciókat vonhat maga után, súlyosabb esetben pedig végső soron a személyes adattal visszaélés bűncselekménye is megvalósulhat.

A személyes adatok védelme kiemelten fontos alapjog, amelyet hazánkban az Alaptörvény is rögzít. A VI. cikk (3) bekezdés szerint mindenkinek joga van személyes adatai védelméhez.

Ezen alkotmányos elv alapján a magyar törvények, főként az Infotv. erős garanciákat nyújtanak az adatvédelemre. Azonban a mostani eset is rámutat arra, hogy a törvényhozás nem lehet elég szigorú,ha adatvédelemről van szó.

A magyar törvényhozás sokat tanulhat a hasonló hazai és külföldi esetekből. Elrettentő példa a MacronLeaks botrány Franciaországból (2017), amikor Emmanuel Macron kampánycsapatának több mint 20 000 e-mail-je került nyilvánosságra közvetlen a választások második fordulója előtt.

Hatásos gyakorlatnak tűnik, hogy egyes országokban külön figyelmet fordítanak erre: például Németország alaptörvényének 10. cikke kimondja, hogy „A levelezés, valamint a postai és távközlési titok sérthetetlen” és csak nagyon szűk törvényi feltételekkel korlátozható. Ez az alkotmányos garancia nemcsak elvi, hanem gyakorlati védelmet is nyújt a digitális kommunikációban.

Hasonló szigorral járnak el például Máltán is, ahol 2020-ban az adatvédelmi hatóság 65 000 euróra bírságolt egy IT-céget, mert 330 000 választópolgár adatait szivárogtatták ki. A két példa jól mutatja, hogy a demokratikus működés és a közbizalom szempontjából a politikai célú adatkezelés különösen érzékeny terület, amelyet minden államnak saját intézményi eszközeivel kell határozottan védenie.

Ha egy politikai mozgalomnál ismétlődő adatszivárgás történik, az súlyos kétségeket vet fel a szervezet szakmai felkészültségével, jogi tudatosságával kapcsolatban. Az adatvédelem ugyanis nem pusztán technikai, hanem jogi és etikai kérdés. A GDPR 9. cikk (1) bekezdése különleges adatként kezeli a politikai véleményre utaló személyes adatokat, így ezek védelme a legmagasabb szintű biztonsági és szervezeti garanciákat követeli meg.

Ezen esetek azt üzenhetik a választóknak, hogy a politikai szervezet nem képes biztosítani a rá bízott információk védelmét, és hiányzik belőle az a jogi, informatikai és szervezeti minimum, amely egy politikai szervezettől elvárható.

A GDPR már említett 5. cikke alapján minden adatkezelőnek, így egy politikai mozgalomnak is be kell tartania a jogszerűség, tisztesség, átláthatóság és elszámoltathatóság, célhoz kötöttség, adattakarékosság, pontosság elvét. Az ismétlődő adatszivárgás ezzel szemben azt mutatja, hogy a szervezet nem rendelkezik megfelelő belső szabályozással, felelősségi renddel és kontrollmechanizmussal, vagyis hiányoznak a működés jogi garanciái. Ez már nem egyszerű technikai hiba, hanem az adatkezelési kötelezettségek rendszerszintű megszegése.

Kiemelt kép: Magyar Péter, a Tisza Párt elnöke és EP-képviselője (Fotó: MTI/Hegedüs Róbert)