Vizsgálódik a NAIH a Tisza kiszivárgott önkéntes-adatbázisával kapcsolatban

Hatósági ellenőrzést indított a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a Tisztelet és Szabadság Párt (Tisza) adatkezelését érintő esetleges adatvédelmi incidens ügyében. Ebbe ügyfélként bevonta az incidensről elsőként beszámoló Átlátszót, a kiszivárgott adatbázis megküldését kérve. Az adatbázist az érintettek azonosítására alkalmas adatoktól – név, e-mail-cím, telefonszám, digitális azonosítók – megfosztva juttattuk el a hatóságnak: többségüket a cikkünk megjelenése után töröltük, az általunk megkeresett érintettek azonosítását lehetővé tevő adatokat pedig forrásvédelmi okból tartottuk vissza.

A múlt hét végén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ügyfélként bevonta az Átlátszót a Tisza discordos adatszivárgásával kapcsolatos adatvédelmi hatósági eljárásába, és korábbi cikkünkre hivatkozva felhívott minket arra, hogy tizenöt napon belül adjuk át a kiszivárgott adatbázist, illetve adjunk tájékoztatást az üggyel kapcsolatos releváns további körülményekről.

A felhívást az Átlátszó teljesítette ugyan, de megvannak az egyértelmű korlátai annak, hogy internetes sajtótermékként milyen információkat adhatunk ki jogszerűen egy állami szervnek. Az adatbázist ezért az érintettek azonosítására alkalmas adatoktól – név, e-mail-cím, telefonszám, digitális azonosítók – megfosztva juttattuk el a hatóságnak. Ezeknek az adatoknak a többségét ugyanis cikkünk megjelenését követően helyreállíthatatlanul töröltük, hiszen további kezelésük, megtartásuk ezt követően nem volt már szükséges, így nem lett volna jogszerű sem.

Azon érintettek viszont, akik nyilatkoztak nekünk a cikkhez, megerősítve az adatok valódiságát és ismertetve velünk az adatok kezelésével kapcsolatos egyes körülményeket, az újságírói forrásaink: az ő azonosításukra alkalmas információt természetesen senkinek nem adunk át, így ezek átadását a NAIH felé is megtagadtuk, az ezt lehetővé tevő törvényi rendelkezésekre hivatkozva.

Az anonimizált adatbázis átadása mellett így az adatvédelmi hatóságot csak a cikkünkben leírtak megerősítésével, valamint azzal tudtuk segíteni, hogy jeleztük, hogy az adatok a Magyarleaks szivárogtató portál útján érkeztek a szerkesztőségünkbe.

Az ügy miatt indult adatvédelmi hatósági eljárás ténye aligha lehet meglepetés, hiszen – politikai véleményre vonatkozó személyes adatokról és több száz érintettről lévén szó – magas kockázatú, komoly adatvédelmi incidens történt. Ügyek tömött sora bizonyítja (professzionálisan védett állami adatbázisokra is kiterjedően), hogy 2025-ben adatszivárgásnak és adatlopásnak bármelyik adatkezelő ki van téve, aki az online térben személyes adatokat kezel: az érettségi informatikai rendszert érintő, félmillió ember adatait érintő incidens például pont aznap került nyilvánosságra, mint a Tisza ügye.

A GDPR alapján lefolytatott hatósági eljárás éppen ezért elsősorban az adatkezelői felelősség mértékének vizsgálatát, valamint természetesen azt célozza, hogy az adatkezelő a jövőre nézve teremtse meg a kezelt személyes adatok megfelelő védelmét. Az eljárás pontos kimenetele, az esetleges szankció mértéke attól függ, hogy az adatkezelő mit tett annak érdekében, hogy megelőzze a jogsértést és kezelje annak az érintettekre káros következményeit.

Nem ez az első ilyen eset

Politikai pártok szimpatizánsi adatainak kiszivárgását érintő korábbi ügyekben mindenesetre a NAIH a Demokratikus Koalícióra 2019-ben 11 milliós adatvédelmi bírságot szabott ki egy több mint hatezer személy adatait érintő incidens miatt, ahol a párthonlap könnyen kihasználható sérülékenységét és a megfelelő titkosítás alkalmazásának hiányát használta ki egy külső támadó az adatbázis megszerzésére és nyilvánosságra hozatalára, és az adatkezelő az incidenst nem jelentette be a NAIH-nak.

Az MKKP pedig egy ötszáz szimpatizánst érintő, a Tisza mostani ügyéhez az adatok száma mellett a körülményeiben is sokban hasonló szivárgás miatt 2022-ben kapott 3 milliós bírságot: ott Google Sheets táblázatként online megosztott kapcsolati adatok kerültek nyilvánosságra, és az ugyan nem derült ki, hogy ez belső kiszivárogtatás vagy külső támadás eredménye volt, viszont az incidenst a párt bejelentette.

Címlapfotó: Tisza Párt / Facebook