Péterfalvi Attila: Az adatvédelmi incidens a személyes adatok biztonságának sérülését jelenti

A Tisza Világ app néven indított Tisza-applikáció adatszivárgási ügyében a Nemzeti Adatvédelmi és Információszabadság Hatóság hivatalból vizsgálatot indított a tényállás tisztázása, illetve a releváns információk ellenőrzése ügyében. A történet előzménye, hogy az Index hírportál hétfőn arról írt, a Tisza Világból 18 ezer felhasználó személyes adata szivároghatott ki. Szerintük egy ukrán IT-cég, a PettersonApps is részt vehetett az app fejlesztésében.

A Tisza Párt először tagadta az adatszivárgás tényét, azt is, hogy az ukrán fejlesztőhöz, Miroslav Tokarhoz közük lenne, majd kedden arról adtak ki közleményt, hogy belső vizsgálatuk szerint a TISZA adatbázisait összehangolt titkosszolgálati akció keretében támadták, és erős a gyanú, hogy a TISZA egyik, az adatbázisokra rálátó önkéntese az orbáni titkosszolgálat beépített embere volt. Az érintett személyt szeptember 12-én azonnali hatállyal eltávolították a szervezetből, és rövidesen feljelentést tesznek személyes adatokkal történő visszaélés miatt.

Péterfalvi Attila, az adatvédelmi hatóság elnöke lapunknak nyilatkozva azt mondta, a hatósági ellenőrzés határideje 60 nap, azután fog eldőlni, indul-e hatósági eljárás. Az ellenőrzés azt a célt szolgálja, hogy felderítsék, pontosan milyen adatvédelmi incidens történt, milyen adatokat érintett, mit tett az adatkezelő a kiszivárgás elhárításáért, milyen az applikáció biztonsági rendszere. Hozzátette, ha ezekre választ kapnak, akkor lehet eldönteni, indul-e hatósági eljárás. Azt kell megállapítani, megfelelő volt-e a személyes és különleges adatok védelmében a biztonsági szint, történt-e jogellenesség – fogalmazott. Ha igen, ebben az esetben az adatgazdára bírságot szabunk ki, illetve határozatban kötelezik a mulasztás felszámolására – fogalmazott az elnök.

Péterfalvi elmondta, korábban a Demokratikus Koalíciónál is történt már adatvédelmi incidens, hasonlóan a Kétfarkú Kutyapártnál, a Momentumnál, s számos más esetben is előfordult ez a magán és a közszférában is. Az adatvédelmi incidens a személyes adatok biztonságának sérülését jelenti. Péterfalvi kérdésünkre reagálva a DIGI Távközlési Rt. példáját hozta fel, amely a luxemburgi emberi jogok bíróságát is megjárta. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről szóló uniós rendelet, vagyis a GDPR-szabályzat 2018. május 25-e óta hatályos Magyarországon. Akkor alakult ki az incidens-bejelentési rendszer is, amelynek lényege, hogy 72 órán belül be kell jelenteni az adatgazdának, ha valamilyen adatszivárgás történik.

Hangsúlyozta, a szabályozás nem csupán az online térben kezelt adatokra vonatkozik, hanem a papír alapú nyilvántartásokra is. A szabályok megszegésére az egyik legkirívóbb eset az volt, amikor az adatgazda a vasúti töltés mellett dobta ki a tárolt dokumentumokat, amelyeket a szél elfújt, s illetéklenekhez kerülhettek személyes adatok. A kőbányai egészségháznál pedig a szintén különleges személyes adatnak számító egészségügyi adatokat egy konténerben helyezték el, amelyhez bárki hozzáférhetett.

Péterfalvi Attila felhívta a figyelmet arra is, hogy a politikai vélemény a GDPR-szabályok szerint szintén különleges adatnak minősül, amit fokozottan kell védeni. „Ez az oka annak, hogy a parlamenti beszámolóm kapcsán többször kifejtettem – legutóbb a DK képviselőjének – , hogy a párt szimpatizánsainak egyébként jogszerűen, célhoz kötötten kezelt adatainak nincs helye külföldi szervereken. A GDPR az Európai Unióban ugyanazokat a követelményeket írja elő az adatkezelésben minden tagállamban. A külföldön kezelt adatok miatt tehát senkit sem bírságolhatunk meg. De ettől még a szólásszabadság okán mondhatom, hogy nincs keresnivalója külföldi szervereken a magyar választópolgárok személyes adatainak, mert ez a tárolási mód nagyobb szuverenitási és nemzetbiztonsági kockázatot is jelenthet. Nem teljesen értem tehát, miért kell például egyes politikai szereplőknek luxemburgi szerveren tárolni azokat az adatokat, amelyik párttal szimpatizálókat rögzítik. Miközben itthon is ugyanazt a védelmi szintet kell biztosítani, mint Luxemburgban” – fejtette ki véleményét az adatvédelmi hatóság elnöke.

Péterfalvi kiemelte, a személyes és a különleges személyes adatok védelme, vagyis a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyőződésre, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre, valamint a büntetett előéletre vonatkozó személyes adatok védelme nemzetbiztonsági kérdés. Az Európai Unió területét az adatvédelem egységes, itt megvalósult az európai egyesült államok.

A luxemburgi bírósági gyakorlat is ennek megfelelő, még ha van is tagállami jogalkotási lehetőség, ám az nem ütközhet uniós jogba. Ha ha bárki meghekkel egy adatvédelmi rendszert, az nem bocsánatos bűn, hanem bűncselekmény. Nevesítve ezt, számítástechnikai rendszerbe történő illetéktelen behatolás bűntette, valamint személyes adattal történő visszaélés. Aki letölti egy párt applikációját, az önmagában is különleges adat, mert politikai véleményre utal, ami védendő személyes adat – tette hozzá Péterfalvi Attila.