Adatvédelmi kockázatok a Tisza Világ applikációban?

Az Alaptörvény VI. cikk (3) bekezdése alapján mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez.

Az Infotv. 25/I. § előírja, hogy az adatkezelő és az adatfeldolgozó a kezelt személyes adatok megfelelő szintű biztonságának biztosítása érdekében az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető kockázatok mértékéhez igazodó műszaki és szervezési intézkedéseket tesz.

Így biztosítaniuk kell például, hogy jogosulatlan személyek ne férjenek hozzá az adatkezelő rendszerhez; megakadályozzák az adathordozók illetéktelen olvasását, másolását vagy törlését; nyomon követhető legyen, ki, mikor, milyen adatot vitt be vagy adott tovább; üzemzavar esetén helyreállítható legyen a rendszer; és a rendszer működéséről jelentések készüljenek.

A 25/J. § szerint az adatkezelőnek a tudomására jutott adatvédelmi incidenst haladéktalanul, legkésőbb 72 órán belül be kell jelentenie a Hatóságnak, kivéve, ha valószínűsíthető, hogy az incidens nem jár kockázattal az érintettek jogaira nézve.

A bejelentésnek tartalmaznia kell az érintettek körét és hozzávetőleges számát, az érintett adatok kategóriáit, a lehetséges következményeket, valamint az incidens kezelésére tett intézkedéseket.

Az uniós adatvédelmi rendelet, a GDPR 5. cikk (1) bekezdése szerint a személyes adatok kezelésének jogszerűnek, tisztességesnek és átláthatónak kell lennie. A célhoz kötöttség, pontosság, tárolási korlát, integritás és bizalmas kezelés, valamint az elszámoltathatóság követelményének érvényesülnie kell.

Mivel a Tisza Világ applikáció politikai jellegű, közösségszervező célra készült, azt jelenti, hogy a felhasználói adatok, akár közvetetten politikai véleményre utalhatnak, és így különleges személyes adatnak minősülhetnek a GDPR 9. cikk (1) bekezdése alapján.

Az ilyen adatok kezelése kizárólag kifejezett, önkéntes hozzájárulás alapján jogszerű, aminek feltételeit a GDPR 7. cikke rögzíti. A GDPR 12–14. cikkei szerint pedig az adatkezelőnek világosan és érthetően kell tájékoztatnia az érintetteket az adatkezelés céljáról, jogalapjáról, az adatok címzettjeiről és a harmadik országba irányuló adattovábbításokról, ezek elmaradása az átláthatóság elvének megsértése. A tiszás applikáció működésével kapcsolatban joggal merül fel a kérdés, hogy valóban szimpatizánsokat keresnek, vagy inkább adatgyűjtésre használják a rendszerbe belépő aktivisták személyes adatait.

A biometrikus azonosítás, valamint a kamera, mikrofon, fotók, helyadatok és egyéb eszközfunkciókhoz való hozzáférés lehetősége ugyanis olyan széles körű megfigyelést tesz lehetővé, amely túlmutathat a szimpatizánsszervezés ésszerű keretein. A GDPR 9. cikk (1) bekezdése szerint a biometrikus adatok különleges adatnak minősülnek, így kezelésükhöz kifejezett hozzájárulás és fokozott adatbiztonsági garanciák szükségesek. További kockázat, hogy nem egyértelmű, hol és meddig tárolják ezeket az adatokat: ha például az Egyesült Államokban létrehozott szervereken kerülnek tárolásra, az felveti a külföldi hozzáférés, sőt a nemzetbiztonsági aggályok veszélyét is.

A NAIH 2024-ben kiadott ajánlása külön felhívta a figyelmet arra, hogy a politikai pártok adatkezelésének átláthatónak, konkrétnak és ellenőrizhetőnek kell lennie. A Hatóság kifejezetten bírálta a sablonos, semmitmondó adatkezelési tájékoztatókat, és hangsúlyozta, hogy az érintetteknek pontosan tudniuk kell, ki kezeli az adataikat, milyen célból és meddig.

A hatóság helyes gyakorlatként említi az adatfeldolgozók pontos megnevezését, a tájékoztatók közérthetővé tételét, valamint annak világossá tételét, hogy az adatkezelés célja nem rejtett adatbázisépítés, hanem valóban a választóval való kapcsolatfelvétel. Végezetül meg kell említeni, hogy Magyarországon is a Btk. 219. §-a büntetni rendeli a személyes adattal visszaélést.

Eszerint aki a személyes adatok védelméről vagy kezeléséről szóló törvényi vagy az Európai Unió kötelező jogi aktusában meghatározott rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy az adatok biztonságát szolgáló intézkedést elmulasztja, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.

Ugyanígy büntetendő az is, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi vagy az Európai Unió kötelező jogi aktusában meghatározott rendelkezések megszegésével az érintett hozzáféréshez való jogának gyakorlása érdekében szükséges tájékoztatására vonatkozó kötelezettségének nem tesz eleget, és ezzel más vagy mások érdekeit jelentősen sérti.