Hatalmas léptékű adatbotrányba keveredett a Tisza Párt: a szervezet saját applikációjából kiszivárgott adatok szerint több mint kétszázezer ember személyes információi – nevek, címek, telefonszámok – kerülhettek illetéktelen kezekbe. Miközben Magyar Péter előbb orosz hackereket, majd a kormányt okolta a történtekért, a Nemzeti Adatvédelmi és Információszabadság Hatóság már vizsgálatot indított, és nem zárja ki, hogy a párt maga is felelőssé tehető. A NAIH elnöke, Péterfalvi Attila szerint az adatszivárgás nemcsak adatvédelmi, hanem büntetőjogi ügy is lehet – különösen azután, hogy az adatok egy része interaktív térképen is megjelent az interneten.
Újabb botrány rázta meg a Tisza Pártot:
kiderült, hogy a párt saját applikációjából több százezer ember személyes adatai szivárogtak ki.
Ami eleinte csak egy gyanús adatbázisként keringett az interneten, arról mára kiderült: részben megegyezik azzal az adatbázissal. Akkor nagyjából húszezer név, lakcím és telefonszám került nyilvánosságra, de a helyzet azóta jóval súlyosabbnak bizonyult: a becslések szerint több mint kétszázezer ember adatai kerülhettek nyilvánosságra.
A botrány kipattanása után volt olyan, kormányváltást támogató médium, amely megpróbálta felkutatni az adatbázisban szereplő személyeket – és sokan közülük megerősítették: valóban regisztráltak a Tisza applikációján, és a kommentmezőkben is sorra jelentek meg azok a hozzászólások, akik saját nevüket vagy ismerősükét vélték felfedezni a listában.
Sőt, több közismert szereplő is megerősítette, hogy valóban szerepel az adatszivárgásban érintettek között.
Magyar Péter magyarázata folyamatosan formálódott. Először orosz hackereket sejtett a háttérben, akik szerinte feltörték az applikációt. Később már azzal vádolta a kormányt, hogy megrendelte a támadást: Szerinte az informatikai rendszereiket „hónapok óta támadják olyan nemzetközi hálózatok, amelyek érdekeltek az Orbán-kormány hatalomban tartásában”.
Közben a Tisza Párt egyik saját embere is megszólalt. A Magyar Nemzetnek nyilatkozó Gyuk Zsolt, a párt egyik koordinátora és informatikusa, aki részt vett az applikáció tesztelésében, elismerte: „Sokat kellett volna még javítani a Tisza Világ szoftverén, de Magyar Péter sürgette az alkalmazás beindítását.” Hozzátette, ők csak a felhasználói élményt vizsgálták, a biztonsági fejlesztés mások feladata volt.
És a botrány itt sem állt meg: a legfrissebb fejlemények szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) már vizsgálatot indított a párttal szemben, miközben a kiszivárgott adatok új életre keltek az interneten. Valaki ugyanis úgy gondolta, „felhasználóbarátabbá” teszi a helyzetet azok számára, akik vissza akarnak élni az információkkal – és interaktív térképes vizualizációt készített a megszerzett adatbázisból.
A folyamatosan terebélyesedő adatbotrány nyomán az Index megkereste Péterfalvi Attilát, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnökét is, hogy megtudjuk, mire számíthat a Tisza Párt a hatósági vizsgálat során, és hogyan látja az ügyet az ország legfőbb adatvédelmi felügyelője.
Ki felel az adatszivárgásért?
Péterfalvi szerint az ügyben az alapvető felelősség egyértelműen a Tisza Párté.
Az Európai Unió adatvédelmi rendelete (GDPR) ugyanis világosan kimondja: az adatkezelő felel azért, hogy a kezelt személyes adatok megfelelő biztonságban legyenek. Ez nem pusztán technikai kérdés, hanem jogi kötelezettség is – az adatkezelőnek a tudomány és technológia mindenkori állása, az adatkezelés jellege,
valamint a kezelt adatok köre alapján kell gondoskodnia a védelemről.
A megfelelő biztonság többféle módon megvalósítható – ilyen lehet például az adatok álnevesítése vagy titkosítása – magyarázta a NAIH elnöke. Hozzátette: az adatkezelő köteles folyamatosan megőrizni a kezelt adatok bizalmasságát, integritását, rendelkezésre állását és ellenállóképességét. „Nyilván bekövetkezett egy adatvédelmi incidens. Az incidens az a biztonságnak a sérülése és ebből a szempontból ez bekövetkezhetett kívülről egy külső támadás formájában” – mondta NAIH elnöke.
Péterfalvi szerint a vizsgálat kulcsa most az, milyen adatbiztonsági garanciákat tudott ténylegesen biztosítani a Tisza Párt.
„Meg kell nézni, milyen védelmi rétegek működtek a rendszerben – tűzfalvédelem, hozzáférés-szabályozás, titkosítás – és ezek megfeleltek-e annak, amit a GDPR előír.” A szakember hangsúlyozta: ha egy külső szereplő feltöri a rendszert, azzal önmaga is adatkezelővé válik, de ez jogellenes adatkezelésnek minősül. „Egy ilyen hekker több bűncselekményt is elkövethet – például tiltott adatszerzést vagy számítástechnikai rendszerbe való jogosulatlan beavatkozást.”
De a felelősség nem áll meg itt. Ha az adatkezelő – jelen esetben a Tisza Párt – nem teljesíti az elvárt biztonsági feltételeket, azzal maga is bűncselekményt követhet el.
„Tehát a bűncselekmény elkövetése fennállhat a Tisza párt oldalán is, mint adatkezelő oldalán. ha nem volt megfelelő az adatbiztonság, de fennáll értelemszerűen a hackelő oldalán is, ott akár több bűncselekményi kategória is megvalósulhatott. Ugyanakkor az adatoknak a kiszivárogtatása, tehát az adatvédelmi incidens az bekövetkezhet belülről is, nyilván, ha valaki jogosulatlanul, tehát nem külső támadás által, hanem a belső adatbázis szivárogtatta ki.” Péterfalvi szerint a Büntető Törvénykönyv szerint ugyanis személyes adattal való visszaélést követ el az is, aki elmulasztja az adatok biztonságát szolgáló intézkedéseket.
A jogsértés tehát kétoldalú lehet. A NAIH elnöke szerint az adatvédelmi incidens akár belső szivárogtatásból is fakadhat, nem feltétlenül külső támadásból. Éppen ezért most azt is vizsgálják, hogy volt-e bárki a párt belső rendszerében, aki jogosulatlanul hozzáférhetett a teljes adatbázishoz. Emlékeztetett arra, hogy attól még mert egy adatbázis jogellenesen kikerül az internetre, az még nem válik szabadon terjeszthetővé. „Az ilyen információk továbbítása vagy publikálása önmagában is újabb jogsértés. Csak a jogszabályban meghatározott közérdekű adatok terjeszthetők szabadon – személyes adatok nem.”
Nem lehet közérdekű az, ami politikai véleményt árul el
Péterfalvi szerint az adatkezelés és -terjesztés jogszerűsége szempontjából alapvető különbség van a közérdekű és a személyes adatok között. A közérdekű adat bárki által megismerhető és terjeszthető – ez alapjog. De személyes adat soha nem lehet közérdekű – magyarázta a NAIH elnöke. Bizonyos esetekben léteznek úgynevezett közérdekből nyilvános személyes adatok – például a képviselők vagyonnyilatkozata vagy egyes köztisztviselők fizetése. Azonban még ezek terjesztése is csak a célhoz kötöttség elve alapján lehetséges, vagyis kizárólag arra a célra, amelyre az adatot eredetileg nyilvánosságra hozták.
A Tisza Párt esetében a helyzet sokkal érzékenyebb. Az applikációt letöltők személyes adatai politikai véleményt is tükrözhetnek, hiszen a regisztrációjuk akár a párthoz való szimpátiát jelezheti.
Ez a GDPR szerint különleges adatnak minősül, amelynek kezelése alapvetően tilos, kivéve, ha az érintett ehhez egyértelmű hozzájárulását adta – mondta Péterfalvi. A hatóság elnöke kiemelte: még ha az applikáció felhasználói bele is egyeztek az adatkezelésbe, a kiszivárgott adatbázis szabadon nem terjeszthető. „Tehát aki átveszi, hivatkozik rá, linkeli, az értelemszerűen terjesztésnek minősül. Ez a terjesztés ez egy önálló adatkezelés, ezzel a mozzanattal ő adatkezelővé válik. És hát nyilván, ha maga az alap adatkezelés jogellenes volt, akkor értelemszerűen a terjesztése is jogellenes. Tehát azt tudom mondani, hogy ezt külön kell elbírálni.” – fogalmazott.
A NAIH ezért már a vizsgálat elején közleményt adott ki, amelyben külön felhívta a sajtó figyelmét az adatvédelmi határokra. A média – a vonatkozó törvények értelmében – ellenőrizheti, hogy valós adatbázisról van-e szó, és felhívhat egyes személyeket, de nem teheti közzé magát a jogellenesen megszerzett adatbázist, és a megkeresett személyek adatait sem írhatja le, ha azok ehhez nem járultak hozzá. Más kérdés, ha valaki korábban nyilvánosan beszélt a politikai szimpátiájáról vagy közéleti szereplőként vállalta ezt – de ez mindig egyedi mérlegelés kérdése. Azonban összességében, ha az egész adatbázist nézzük, jogellenes adatkezelésről van szó.
Péterfalvi Attila szerint a hatóság azért volt kénytelen péntek este újabb közleményt kiadni, mert a botrány tovább gyűrűzött: a kiszivárgott adatokat már nemcsak listákban, hanem interaktív térképen is elkezdték terjeszteni. Ez már nem egyszerűen jogellenes adatbázis-közzététel, hanem annak egy súlyosabb, vizuális formája.
Szerinte az ügy nemcsak adatvédelmi, hanem büntetőjogi szintre is lépett, hiszen több mint kétszázezer ember lakcíme és politikai szimpátiája vált bárki számára beazonosíthatóvá.
A hatóság álláspontja egyértelmű: egy ilyen térkép már a magánélethez való jog súlyos megsértését jelenti, különösen egy olyan politikai közegben, ahol a pártszimpátia miatt is érhet valakit támadás. Péterfalvi emlékeztetett arra, hogy korábban Budapesten is előfordult, hogy embereket „vélt politikai hovatartozásuk” miatt bántalmaztak. Szerinte, ha valaki a politikai szimpátiájához kapcsolva nyilvánosságra hozza a lakcímét, az már eléri a bűncselekményi fokozatot.
A NAIH ezért indított hivatalból vizsgálatot október 7-én, miután a sajtó előző nap beszámolt az első incidensről. A hatóság jelenleg két irányban vizsgálódik:
- egyrészt azt elemzi, a Tisza Párt adatkezelése megfelelt-e a GDPR előírásainak, különös tekintettel az adatminimalizálás elvére – vagyis tényleg szükség volt-e például a lakcímek pontos geolokációs rögzítésére;
- másrészt azt, hogy a jogellenesen nyilvánosságra hozott adatbázist kik és hogyan terjesztették tovább.
„Ez már minőségi ugrás az ügyben – nem mindegy, hogy néhány ezer ember vagy kétszázezer ember különleges adata kerül nyilvánosságra” – foglalta össze Péterfalvi Attila, hozzátéve, az eljárás folyamatban van, és mindkét adatkezelés – a Tisza Párt eredeti rendszere és az illegális terjesztés – külön vizsgálat tárgya.