Brutális botrányba került Magyar Péter: a hatóság szerint több bűncselekmény is történhetett

Az alapvető felelősség egyértelműen a Tisza Párté – nyilatkozta az Indexnek Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke a Tisza Párt adatbotránya kapcsán. Mint kifejtette: az Európai Unió adatvédelmi rendelete (GDPR) ugyanis világosan kimondja: 

Ez nem pusztán technikai kérdés, hanem jogi kötelezettség is – az adatkezelőnek a tudomány és technológia mindenkori állása, az adatkezelés jellege, valamint a kezelt adatok köre alapján kell gondoskodnia a védelemről. Hozzátette: az adatkezelő köteles folyamatosan megőrizni a kezelt adatok bizalmasságát, integritását, rendelkezésre állását és ellenálló képességét.

Kétoldalú lehet a jogsértés

Péterfalvi szerint a vizsgálat kulcsa most az, hogy milyen adatbiztonsági garanciákat tudott ténylegesen biztosítani a Tisza Párt. Úgy véli, „meg kell nézni, milyen védelmi rétegek működtek a rendszerben – tűzfalvédelem, hozzáférés-szabályozás, titkosítás – és ezek megfeleltek-e annak, amit a GDPR előír.” 

A szakember hangsúlyozta: ha egy külső szereplő töri fel a rendszert, azzal önmaga is adatkezelővé válik, ám ez jogellenes adatkezelésnek minősül. „Egy ilyen hekker több bűncselekményt is elkövethet – például tiltott adatszerzést vagy számítástechnikai rendszerbe való jogosulatlan beavatkozást.”

A NAIH elnöke szerint az adatvédelmi incidens akár belső szivárogtatásból is fakadhat, nem feltétlenül külső támadásból. Éppen ezért most azt is vizsgálják, hogy volt-e bárki a párt belső rendszerében, aki jogosulatlanul hozzáférhetett a teljes adatbázishoz. 

Péterfalvi szerint a Tisza Párt applikációját letöltők adatai a GDPR szerint különleges adatnak minősülnek, hiszen politikai véleményt is tükrözhetnek. A különleges adat, és mint ilyen, kezelése alapvetően tilos. még ha az applikáció felhasználói bele is egyeztek az adatkezelésbe, a kiszivárgott adatbázis szabadon nem terjeszthető. 

A helyzetet nehezíti, hogy 

ami nem egyszerűen jogellenes adatbázis-közzététel, hanem annak egy súlyosabb, vizuális formája. Péterfalvi szerint az ügy nemcsak adatvédelmi, hanem büntetőjogi szintre is lépett, hiszen több mint kétszázezer ember lakcíme és politikai szimpátiája vált bárki számára beazonosíthatóvá. A hatóság álláspontja egyértelmű: egy ilyen térkép már a magánélethez való jog súlyos megsértését jelenti, különösen egy olyan politikai közegben, ahol a pártszimpátia miatt is érhet valakit támadás.

A NAIH október 7-én hivatalból indított vizsgálatot az ügyben. Jelenleg két irányban vizsgálódik:

• egyrészt azt elemzi, a Tisza Párt adatkezelése megfelelt-e a GDPR előírásainak, különös tekintettel az adatminimalizálás elvére – vagyis tényleg szükség volt-e például a lakcímek pontos geolokációs rögzítésére;
• másrészt azt, hogy a jogellenesen nyilvánosságra hozott adatbázist kik és hogyan terjesztették tovább.

Az adatszivárgási botrány előzményei

Mint arról a Mandiner is beszámolt, a Tisza Párt adatszivárgási botránya októberben kezdődött, ám akkor még csak 20 ezer felhasználó adatai kerültek ki az internetre. A múlt héten újabb lista kezdett terjedni, amelynek a hitelessége azóta többszörösen bizonyítást nyert. A legfrissebb listán 200 ezer felhasználó érzékeny személyes adatai szerepeltek, több regisztrálónak még a feltöltött profilképét is meg lehetett tekinteni.

Bár nem minden Tisza-szimpatizáns regisztrált az alkalmazásban, és nem is minden felhasználó adata szivárgott ki, a mintegy 200 ezer érintett így is súlyos nagyságrendnek számít. A botrány tovább súlyosbodott azután, hogy egy ideig gyakorlatilag bárki megtekinthette egy interaktív térképen a Tisza Párt mobilapplikációjának felhasználóit.

Először orosz hekkerekről beszélt, majd a kormány nyakába akarta varrni az ügyet. Azt állította, támadás történt, és az állítólagos időzítés sem volt véletlen szerinte: a folyamatosan csúszó jelöltállítással magyarázkodott.

Később kiszivárgott egy hangfelvétel, amelyen Gyuk Zsolt, a Tisza Párt Győr-Moson-Sopron, Vas és Zala vármegyei régiós koordinátora beszélt az applikációról. 

– mondta egy a Nyugati fény birtokába került hangfelvételen. Gyuk egy olyan eseményen beszélt, amit nem sokkal a Tisza korábbi, októberi adatszivárgása után tartottak. 

Ukránok is részt vettek a fejlesztésben

A sajtóértesülések szerint 

ami tovább növeli az ügy nemzetközi súlyát. A bejelentkezési naplókból pedig az is kiderült, hogy az alkalmazást már a szeptember 9-i hivatalos indulás előtt Ukrajnában és az Egyesült Államokban is tesztelték. Az előbbit bizonyítja az is, hogy a kiszivárgott listán tesztelőként szerepel az ukrán Andriy Galelyuka, aki a PettersonAppsnal dolgozik. A PettersonApps vezérigazgatója Oleh Ostroverkh, aki a Defence Robotics UA nevű civil szervezet felügyelőbizottsági tagja. Ez egy civil nonprofit szervezet, amelyet azzal a céllal hoztak létre, hogy robotikai fejlesztéseket és dróntechnológiákat támogasson az ukrán hadseregben.

„Itt alkotmányos jogsértés történt. Aki a magyarok személyes adataira sem képes vigyázni, az hogyan akar működtetni egy egész országot?” – szögezte le Orbán Viktor miniszterelnök a digitális polgári köröknek írt körlevelében. Úgy véli, az ukrán érintettség miatt az ügy nemzetbiztonsági kérdés is, ki kell vizsgálni.

Nyitókép: ATTILA KISBENEDEK / AFP