Elismerték, az összes tiszás adatai kiszivároghattak

„Információink szerint leginkább a koordinátor, a titkár és a moderátor adatait publikálták, de elvileg mindenkinek az adata érintett lehet” – írta egy a Magyar Nemzethez eljuttatott levélben az egyik Tisza-sziget koordinátora. 

A Tisza-szimpatizánsoknak írt levél szerint:

A levélben emellett azt javasolják, hogy a Tisza Világ appban mindenki olyan felhasználónevet adjon meg, amiből nem lehet visszakövetkeztetni a valódi nevét.

Mint ismert, újabb súlyos adatszivárgási botrány rázta meg a Tisza Pártot, ráadásul erős ukrán szál is felmerült az ügyben. A világhálóra kikerült majdnem húszezer olyan magánszemély neve, telefonszáma, e-mail-címe, akik – az Index hétfői cikke szerint – csatlakoztak a párt mobiltelefonos alkalmazásához, a Tisza Világhoz. Bár a linket korábban terheléses támadás érhette, a kiszivárgott adatlista nyilvános, és, mint kiderült, valódi is.

Érdemes megemlíteni, hogy nem ez az első adatszivárgási botrány Magyar Péterék háza táján. Júniusban is nyilvánosságra került egy lista, az több mint 560 ember nevét és számos személy adatát tartalmazta osztályozó és olykor becsmérlő megjegyzések kíséretében. Ezekből a jórészt elkötelezett személyekből próbálta akkor a Tisza a digitális kommandóját kialakítani. A botránynak és Magyar Péterék arra adott magyarázkodásának nagy visszhangja volt a párt szimpatizánsainak körében.

Személyes adat az Európai Unión kívüli harmadik országba csak akkor továbbítható, ha az uniós szintű védelem nem csorbul, azonban Ukrajna jelenleg nem tartozik ebbe a körbe, ezért oda adattovábbítás csak megfelelő garanciákkal lehetséges – nyilatkozta a Magyar Nemzetnek ifjabb Lomnici Zoltán alkotmányjogász. Mint hangsúlyozta, a Tisza Párt adatkezelőként felel a jogszerű és biztonságos adatkezelésért, nem tolhatja át a felelősséget a felhasználókra.

Mivel a Tisza Világ applikáció politikai jellegű, közösségszervező célra készült, a felhasználói adatok utalhatnak közvetetten politikai véleményre, így különleges személyes adatnak minősülhetnek az uniós általános adatvédelmi rendelet, vagyis a GDPR alapján. Az ilyen adatok kezelése kizárólag kifejezett, önkéntes hozzájárulás alapján jogszerű – közölte  ifjabb Lomnici Zoltán alkotmányjogász, a Századvég Közéleti Tudásközpont Alapítvány, Állam- és Jogtudomány Kutatóintézet tudományos igazgatója.

Arról, hogy a Tisza Világ alkalmazás felhasználóinak esetében felmerült az adataik Ukrajnába kerülése, az alkotmányjogász leszögezte:

Az adatkezelőnek és az adatfeldolgozónak biztosítania kell, hogy jogosulatlan személyek ne férjenek hozzá az adatkezelő rendszerhez, és meg kell akadályoznia az adathordozók illetéktelen olvasását, másolását vagy törlését. Ezenfelül nyomon követhetőnek kell lennie, hogy ki, mikor és milyen adatot vitt be vagy adott tovább, továbbá üzemzavar esetén biztosítani a rendszer helyreállítását, illetve működéséről jelentést készíteni – hívta fel a figyelmet az elemző.

Életszerűtlen és jogszerűtlen a Tisza Párt felelősség-hárítása

Ifjabb Lomnici Zoltán hangsúlyozta: az adatkezelőnek a tudomására jutott adatvédelmi incidenst haladéktalanul, legkésőbb 72 órán belül be kell jelentenie az illetékes hatóságnak, kivéve, ha valószínűsíthető, hogy az incidens nem jár kockázattal az érintettek jogaira nézve. A bejelentésnek tartalmaznia kell az érintettek körét és hozzávetőleges számát, az érintett adatok kategóriáit, a lehetséges következményeket, valamint az incidens kezelésére tett intézkedéseket. Az adatkezelő köteles megfelelő technikai és szervezési intézkedéseket hozni az adatok védelmére, figyelembe véve a kockázatokat – mutatott rá.

Az alkotmányjogász szerint a kiszivárgott adatok mértéke alapján valószínűsíthető, hogy az applikáció nem alkalmazott megfelelő hozzáférés‑szabályozást és titkosítást, amivel megsérthette a GDPR‑t. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) múlt heti közleménye az applikáció súlyos adatvédelmi kockázataira hívta fel a figyelmet, ugyanis Magyar Péter pártja az általános felhasználási feltételekben (ÁFF) a teljes felelősséget a felhasználóra hárítja.

– vélekedett a tudományos igazgató.

Börtönbüntetés és tízmillió eurós bírság várhat az elkövetőkre

Hozzátette, a regisztrációkor a felhasználótól bekért adatok, így az anyja neve, lakcíme és tényleges lokációja túlmutathat azon, ami egy politikai jellegű applikáció céljaihoz szükséges, ami szintén sértheti a GDPR-t. Ezenfelül a közéleti szereplőnek nem minősülő személy interneten közzétett képmásának az eredetitől eltérő célú felhasználásához az érintett személy hozzájárulása szükséges, ennek hiánya személyiségi jogot sért.

Különösen problémás, ha Myroslav Tokar, az ukrán PettersonApps munkavállalója és a cég tényleg hozzáfért a felhasználók adataihoz, mivel ez nemzetközi adattovábbításnak minősülne, márpedig Ukrajnának nincs uniós megfelelőségi határozata. Ha a PettersonApps vagy más ukrán cég adatfeldolgozóként jár el, a Tisza Pártnak és az adatfeldolgozónak írásbeli szerződést kell kötnie, melynek elmulasztása ismételten a GDPR megsértését jelentené – tájékoztatott ifjabb Lomnici Zoltán.

A lehetséges jogkövetkezményekről az alkotmányjogász ismertette:

Továbbá aki a rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. A NAIH több, egymáshoz kapcsolódó eljárást és intézkedést indíthat vagy alkalmazhat egy ilyen ügyben. Ez lehet felszólítás az adatok törlésére, valamint akár ötvenmillió forintos bírságot is kiszabhatnak a jogsértőkre – olvasható a Riposton.