Péterfalvi Attila: az adatbotrányban a felelősség a Tisza Párté
Magyar Péter
Az adatvédelmi hatóság elnöke rámutatott, az alapvető felelősség egyértelműen a Tisza Párté. Péterfalvi Attila szerint a Tisza Párt applikációját letöltők adatai a GDPR szerint különleges adatnak minősülnek, hiszen politikai véleményt is tükrözhetnek.
Megszólalt Péterfalvi Attila is a Tisza Párt adatszivárgásos botrányáról, aki kijelentette: az alapvető felelősség egyértelműen a Tisza Párté. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke az Index-szel ismertette az Európai Unió adatvédelmi rendeletét (GDPR) amely világosan kimondja: az adatkezelő felel azért, hogy a kezelt személyes adatok megfelelő biztonságban legyenek.
Ez nem pusztán technikai kérdés, hanem jogi kötelezettség is – az adatkezelőnek a tudomány és technológia mindenkori állása, az adatkezelés jellege, valamint a kezelt adatok köre alapján kell gondoskodnia a védelemről
- mondta a NAIH elnöke. Hozzátette: az adatkezelő köteles folyamatosan megőrizni a kezelt adatok bizalmasságát, integritását, rendelkezésre állását és ellenálló képességét.
Péterfalvi Attila szerint a feltételek nem teljesítése ugyanúgy bűncselekmény
Péterfalvi szerint a vizsgálat kulcsa most az, hogy milyen adatbiztonsági garanciákat tudott ténylegesen biztosítani a Tisza Párt.
"Meg kell nézni, milyen védelmi rétegek működtek a rendszerben – tűzfalvédelem, hozzáférés-szabályozás, titkosítás – és ezek megfeleltek-e annak, amit a GDPR előír. Ha az adatkezelő – jelen esetben a Tisza Párt – nem teljesíti az elvárt biztonsági feltételeket, azzal maga is bűncselekményt követhet el."
A szakember hangsúlyozta: ha egy külső szereplő töri fel a rendszert, azzal önmaga is adatkezelővé válik, ám ez jogellenes adatkezelésnek minősül.
„Egy ilyen hekker több bűncselekményt is elkövethet – például tiltott adatszerzést vagy számítástechnikai rendszerbe való jogosulatlan beavatkozást.”
A NAIH elnöke szerint az adatvédelmi incidens akár belső szivárogtatásból is fakadhat, nem feltétlenül külső támadásból. Éppen ezért most azt is vizsgálják, hogy volt-e bárki a párt belső rendszerében, aki jogosulatlanul hozzáférhetett a teljes adatbázishoz. Péterfalvi szerint a Tisza Párt applikációját letöltők adatai a GDPR szerint különleges adatnak minősülnek, hiszen politikai véleményt is tükrözhetnek. A különleges adat, és mint ilyen, kezelése alapvetően tilos, még ha az applikáció felhasználói bele is egyeztek az adatkezelésbe, a kiszivárgott adatbázis szabadon nem terjeszthető.
A helyzetet nehezíti, hogy a kiszivárgott adatokat már nemcsak listákban, hanem interaktív térképen is elkezdték terjeszteni, ami nem egyszerűen jogellenes adatbázis-közzététel, hanem annak egy súlyosabb, vizuális formája. Péterfalvi szerint az ügy nemcsak adatvédelmi, hanem büntetőjogi szintre is lépett, hiszen több mint kétszázezer ember lakcíme és politikai szimpátiája vált bárki számára beazonosíthatóvá. A hatóság álláspontja egyértelmű: egy ilyen térkép már a magánélethez való jog súlyos megsértését jelenti, különösen egy olyan politikai közegben, ahol a pártszimpátia miatt is érhet valakit támadás.
A NAIH október 7-én hivatalból indított vizsgálatot az ügyben. Jelenleg két irányban vizsgálódik:
- egyrészt azt elemzi, a Tisza Párt adatkezelése megfelelt-e a GDPR előírásainak, különös tekintettel az adatminimalizálás elvére – vagyis tényleg szükség volt-e például a lakcímek pontos geolokációs rögzítésére;
- másrészt azt, hogy a jogellenesen nyilvánosságra hozott adatbázist kik és hogyan terjesztették tovább.
Kiemelt kép: Képernyőfotó.
