Kormányközeli szereplők tudatos jogsértései teszik valóban példátlanná a Tisza Világ-ügyet

A Tisza Pártot érintő aktuális, immár sokadik adatszivárgási/adatlopási ügy jogi megítélése sok tekintetben az adatok kijutásának körülményeitől függ. Az viszont védhetetlen, hogy a kikerült adatbázisban szereplő személyeket a kormánypártok politikai harcosai azonosíthatóan mutatják be. Jogellenesen megszerzett adatbázisból személyes adatokat közzétenni ugyanis szinte biztosan jogsértő, itt pedig semmi nincs, ami mentené ezt az eljárást.

Azok kedvéért, akik nem tartják az ujjukat mindig a permanens politikai kommunikációs kampány minden témájának ütőerén, röviden összefoglaljuk, hogy a történtekről mit lehet nagyjából biztosan tudni: A Tisza Párt által közösségépítési céllal elindított, általa üzemeltetett, egyszerű felhasználói regisztráció mellett bárki által letölthető Tisza Világ mobilapplikációból (illetve a Tisza Világ előtti hozzájárulási dátumok alapján valószínűleg részben korábbi netes feliratkozásokból) hozzávetőleg kétszázezer személy adatai kerülhettek ki. (Ez a mostani eset tehát nem a júniusi, Discord-csoportos ötszáz fős önkéntes lista ügye. Az  október eleji, 18 ezer fős, a Tisza szerint csak a Tisza Világ felhasználók által publikusra állított adatokat érintő adatbázissal lehet ugyan valamilyen kapcsolat, de ez egy tízszer akkora lista.)

81%

Év végéig még

23 491 573 forint

hiányzik a

költségvetésünkből.

Támogasd az Átlátszó

tényfeltáró munkáját!

atlatszo.hu/tamogatom

Az adatbázisban a hasonló regisztrációk során szokásosan gyűjtött felhasználói adatok (név, e-mail cím, lakcím, telefonszám) mellett az applikációban végzett adatkezelési műveletekre vonatkozó naplóadatok is szerepeltek. Az adatok néhány óráig a nyílt interneten is elérhetőek voltak adatszivárgásokra specializálódott oldalakon közzétett linkek útján. Ezalatt az adatbázist természetesen számos, eziránt érdeklődő személy és szervezet letölthette.

A Tisza kezdettől adatlopásként kommunikálja a történteket, konkrétumok megjelölése nélkül kormányzati beavatkozást, illetve orosz hekkertámadást emlegetve. A legújabban az üggyel kapcsolatos tiszás belső kommunikációnak is „birtokába kerülő” kormánysajtó ezzel szemben adatszivárgási botrányról beszél, az adatok kijutásának a körülményei pedig látványosan nem érdeklik. A Fidesz kommunikációs iránya az ügyben elsősorban a változatos formákban megvalósított ukránozás volt, az applikáció fejlesztésében állítólag részt vevő ukrán fejlesztőkre, valamint arra hivatkozva, hogy így az adatok Ukrajnába is eljuthattak. (Utóbbit, minthogy a nyílt internetre feltöltött adatokról van szó, nehéz vitatni, ugyanúgy eljuthattak persze az adatok Vanuatuba és a Nemzetközi Űrállomásra is.)

Közben azonban a kormánypárti nyilvánosságban a személyes adatok érintettjeinek és a szuverenitásnak a féltése mellett megjelent egy harmadik, ezekkel nehezen összehangolható irány. Egy sor megszólaló (a teljesség igénye nélkül: a Mandiner, Német Balázs, a Tűzfalcsoport, Menczer Tamás) – itt adatvédelmi okokból nem linkelt – cikkekben és közösségi médiás tartalmakban konkrét személyeket azonosítottak névvel, illetve tesznek azonosíthatóvá más módon – állításuk szerint – az adatbázisból. Saját céljukra használják tehát az adatbázis tartalmát, méghozzá kifejezetten arra, hogy nyilvánosság előtt azonosítsanak a Tiszához szerintük köthető személyeket.

A megnevezettek jelentős részének a reakciója azt mutatja, hogy nem mindenki regisztrált az applikációba. Ha sem az adatok nem manipuláltak, sem a listán szereplésre vonatkozó állítások nem hamisak, akkor a legkézenfekvőbb magyarázat a jelenségre névazonosság vagy valótlan adat rögzítése lehet. (A regisztráció során a Tisza személyazonosítást nem végzett, és arra jogszerűen nem is igen kerülhetett volna ilyen esetben sor.)

Milyen jogsértés történt?

A kikerült adatok a Tisza adatkezelésében voltak, azokat az érintettek által a regisztráció során adott hozzájárulás alapján, a párttal való közvetlen kapcsolattartás céljából kezelték. Az, hogy valaki egy politikai párt applikációján regisztrál, önmagában is politikai véleménnyel összefüggő személyes adat még akkor is, ha abból ugyanúgy nem következik a párt tevékenységében való tényleges részvétel, mint Orbán Viktor vagy Magyar Péter követéséből a Facebookon. Hogy ilyen adatból 200 ezer nyilvánosságra került, de már az is, hogy egy ekkora lakcím- és elérhetőségi adatbázis mások számára hozzáférhetővé vált, az nyilvánvalóan súlyos és kiterjedt adatvédelmi jogsértés, és úgy egy tucat GDPR-rendelkezés megsértése kell hozzá az adatkezelési jogalap hiányától a jogellenes adattovábbításon át a célhoz kötöttség megsértéséig.

Emellett azt is biztosan tudhatjuk, hogy megvalósult a visszaélés személyes adattal bűncselekmény súlyosabban minősülő, különleges adatra elkövetett esete is: az adatbázis nyilvánossá tétele ugyanis akkor is nyilvánvalóan szándékos és jelentős érdeksérelmet okozó adatvédelmi jogsértés volt, ha azt nem hekkelés (a Btk. nyelvén információs rendszer vagy adat megsértése) útján szerezték meg.

Ki követhetett el jogsértést?

Akinek a felelőssége ebben a történetben egyértelmű, ráadásul a személye is ismert, az mindenki, aki a kilopott vagy kiszivárgott adatbázisban foglalt adatokat a saját céljaira felhasználja, az adatokat az érintetteknek a Tisza Párttal való kapcsolatának alátámasztására közzéteszi. Nagyon erős tartalmi alap – a GDPR szerinti jogos érdek – kellene ugyanis ahhoz, hogy az eredetileg nem publikus adatkezelésben gyűjtött, majd kiemelten súlyos jogsértéssel megszerzett adatokat kezelni lehessen. Ilyennek viszont itt nyoma sincs.

Ráadásul a valódi érdeksérelmet egyéni szinten ebben az ügyben nem az okozza, hogy a viszonylag rövid ideig elérhető adatbázisban sok tízezer név között ott van egy közéleti szereplő neve vagy egy tiszás helyi szervező lakcíme, hanem az, hogy ezt valaki leválogatja, és az információt közzéteszi olyan módon, hogy az széles kör számára ismert lesz és tartósan elérhető is marad. Különösebb paranoia nélkül felvethető az is, hogy azok, akik most használják ezt az adatbázist, vajon mit terveznek tenni a jövőben az ölükbe hullott kinccsel. Rákeresnek-e majd a Mandiner, a kormányzati kommunikáció, a fideszes választókerületi kampánystábok vagy ki tudja még, hogy ki más hónapok vagy évek múlva is arra, hogy egy később érdekessé váló célszemély neve benne volt-e a listában?

Természetesen a külső támadás elkövetői, ha voltak ilyenek, biztosan elkövettek adatvédelmi jogsértést és – nagy valószínűséggel, hacsak nem voltak egyszerű lekérdezéssel elérhetők az adatok – bűncselekményt is. A párt és munkatársai, illetve adatfeldolgozóként közreműködő segítőik is felelősek lehetnek jogsértésekért, de az ő felelősségük terjedelme már attól függ, hogy pontosan mi történt. Azt ugyanis csak az adatok kijutását eredményező jogsértés pontos körülményeinek ismeretében lehet eldönteni, hogy a Tisza végzi-e annyira rosszul a saját adatkezelési folyamatait, hogy egymást érik az adatszivárgási ügyeik, vagy tényleg folyamatos és nem is mindig kivédhető külső támadások alatt működnek.

Az adatvédelmi hatóság vizsgálata elvileg feltárhatja ezeket a körülményeket, de ha ez meg is történik, az akkor sem várható az áprilisi választások előtt. A Tisza júniusi, önkéntesek adatait érintő adatvédelmi incidense kapcsán például még folyamatban van a NAIH eljárása, amit onnan tudunk biztosan, hogy az akkori lista valódiságát visszaigazoló cikk után az Átlátszót is bevonták az eljárásba. (Az Átlátszó abban az ügyben úgy írt a nyilvánosságra került adatok hitelességéről, hogy senkinek a nevét nem írta le, az adatbázist anonimizálta, és még a NAIH-nak sem adott ki személyes adatokat.)

Mit tehetnek az érintettek a jogsértések miatt?

Három jogág is kínál jogvédelmi eszközöket ilyen helyzetre. Azt viszont csak az adott személyt a jogsértés miatt érő következmények súlyának, az érdeksérelem jelentős vagy csekélyebb voltának a vizsgálata alapján lehet megítélni, hogy az érintettnek ezek közül melyikkel ésszerű és hatékony élnie. Ebben ez a cikk, de még a ChatGPT sem tud megfelelő eligazítást adni, ezért az érintetteknek ügyvéddel érdemes konzultálniuk a lehetőségeikről.

1. Büntetőfeljelentés

A legsúlyosabb esetek esnek büntetőjogi tilalom alá. Visszaélés személyes adattal vétsége miatt akkor célszerű feljelentést tenni, ha a jelentős érdeksérelem bekövetkezése már egyes érintettek esetében is megállapítható, azaz ha az érintettet komoly hátrány éri az adatai jogellenes nyilvánosságra hozása vagy felhasználása miatt. Ilyen lehet például, ha emiatt zaklatják, munkahelyén vagy egyéb tevékenysége során őt vagy szeretteit hátrány éri. Ez a bűncselekmény hivatalból, közvádra üldözendő. A büntetőjogi felelősség megállapítása a polgári jogi igényérvényesítést is segítheti, még úgy is, hogy ez általában külön polgári pert igényel.

2. Hatósági eljárás iránti kérelem

Végül szintén nem a következmények teljes körű orvoslására, hanem elsősorban a jogsértés elkövetőjének szankcionálására szolgál a NAIH adatvédelmi hatósági eljárásának kezdeményezése. Itt csak a szankciók súlyosságát, így például a bírság mértékét befolyásolja az érdeksérelem nagysága, azaz a NAIH-hoz kisebb súlyú jogsértéssel is lehet fordulni.

3. Személyiségi jogi per

Az adatvédelmi jogsértés miatti vagyoni és nem vagyoni kárát az érintett a személyes adatokhoz való joga, illetve a magánélethez való joga megsértésén alapuló személyiségi jogi perben, kártérítés és sérelemdíj iránti igényként tudja érvényesíteni. Ezt akkor érdemes megtenni, ha az érdeksérelem mértékére tekintettel alá lehet támasztani számottevő összegű vagyoni igényeket. Az ilyen igények az általános szabálynak megfelelően öt év alatt évülnek el. A perben a jogi képviselet kötelező, és abban első fokon a törvényszék jár el.

Mi köze a történteknek a magyar szuverenitáshoz?

Olyan országban élünk, amelyikben minden számottevő politikai párt elsősorban külföldi, az Európai Unión kívüli országokból irányított internetes felületeken kommunikál a választókkal. Ahol az ellenzék és a kormánypártok online akcióinak többsége egyformán a Google és a Meta szolgáltatásainak az igénybevételével zajlik. Ahol a digitális polgári körök zárt Facebook-csoportokként jöttek létre, így a digitális honvédelembe csak úgy tud bekapcsolódni az analóg kormánypárti választó, hogy „felmegy a fészbukra”.

Ennek a fényében érdemes értelmezni azt az érvelést, ami szerint önmagában azzal sérülne a szuverenitás, hogy külföldről valaki hozzáfér magyar választópolgárok adataihoz. A kérdés nem a hozzáférés ténye, hanem annak a módja és jogszerűsége, és persze az, hogy mi történik az adatokkal. A külföldi szálak keresése közben pedig akár arra is lehetne figyelni, hogy magyar politikai szereplők ne publikáljanak jogellenesen különleges adatokat.

Sepsi Tibor

Címlapfotó: Tisza Párt / Facebook