Hatósági vizsgálatot indított a Tisztelet és Szabadság Párt (Tisza) adatkezelési gyakorlatával kapcsolatban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), miután felmerült egy esetleges adatvédelmi incidens – írja az Átlátszó.
Az incidenssel összefüggésben az Átlátszót is bevonták az eljárásba, és bekérték tőlük a szóban forgó, kiszivárgott adatbázist. Az adatbázis átadása során a személyek beazonosítására alkalmas információkat – úgymint név, e-mail-cím, telefonszám, illetve digitális azonosítók – eltávolították; ezek jelentős részét a publikációt követően törölték, míg az újságírói források védelme érdekében az azonosításukat lehetővé tevő adatokat nem adták ki. Az előző hét végén a NAIH az Átlátszót hivatalosan is érintettként bevonta a Tisza Párt Discordos adatszivárgásához köthető eljárásába, és arra kérte a szerkesztőséget, hogy tizenöt napon belül adják át a kiszivárgott adatbázist, valamint tájékoztassák a releváns további részletekről.
Bezárja a Discord-szerverét a Tisza Párt, miután érzékeny adatok szivárogtak ki az aktivistáikrólAz Átlátszó eleget tett a hatósági felszólításnak, ugyanakkor jelezték, hogy internetes médiumként jogilag szigorúan szabályozott, milyen adatokat adhat át állami szerveknek. Az adatbázis így a személyek beazonosítására alkalmas adatok nélkül került a hatósághoz, hiszen ezek többsége a cikk megjelenése után visszaállíthatatlanul törlésre került, mivel további adatkezelésük indokolatlanná vált, jogalap hiányában nem volt megengedhető sem.
Azok az érintettek, akik a cikkhez nyilatkoztak és az adatok hitelességét megerősítették, újságírói forrásnak minősülnek, az ő azonosításukat lehetővé tevő adatokat az Átlátszó nem adta át senkinek, ezt a NAIH-nak is megtagadták a vonatkozó törvényi rendelkezésekre hivatkozva. Az adatvédelmi hatóságot az anonimizált adatbázis mellett kizárólag azzal segítették, hogy visszaigazolták a cikkben közöltek valóságtartalmát, valamint jelezték, hogy az adatbázis a Magyarleaks nevű szivárogtató oldalon keresztül jutott el hozzájuk.
Az adatvédelmi hatósági eljárás megindítása várható volt, tekintettel arra, hogy politikai véleményhez köthető személyes adatok, ráadásul jelentős számú érintett adatai szivárogtak ki, így jelentős kockázatú adatvédelmi incidens történt. Több eset is igazolja, hogy 2025-ben bármely szervezet, amely személyes adatokat kezel az interneten, ki van téve adatszivárgás vagy adatlopás veszélyének – emlékeztető példaként említhető, hogy ugyanazon a napon hozták nyilvánosságra egy érettségikkel kapcsolatos, félmillió embert érintő incidenst is, mint amikor a Tisza Párt ügye ismertté vált.
11 milliós bírságot kapott a DK a szervereit ért hacker-támadás miattA GDPR szabályozásai alapján folyó eljárás főként az adatkezelő felelősségének megállapítására, valamint arra irányul, hogy a jövőben megfelelő védelmet biztosítsanak a kezelt személyes adatok számára. Az eljárás kimenetele és az esetleges bírság nagysága attól függ, hogy az adatkezelő milyen intézkedéseket tett a jogsértés megelőzésére, illetve az érintettekre nézve káros következmények enyhítésére.
A mostani eset nem egyedi, hiszen korábban is történt már politikai pártok szimpatizánsainak adatainak kiszivárgása: például 2019-ben a NAIH 11 millió forintos adatvédelmi bírságot szabott ki a Demokratikus Koalícióra (DK), miután egy külső támadó a párt honlapjának sebezhetőségeit kihasználva több mint hatezer fő adatait szerezte meg és hozta nyilvánosságra, ráadásul a párt az incidenst nem jelentette a hatóságnak. A Magyar Kétfarkú Kutya Párt (MKKP) esetében 2022-ben 3 millió forintos bírságot róttak ki egy több száz szimpatizánst érintő, Google Sheets táblázatként online elérhetővé tett kapcsolati adatokat érintő szivárgás miatt – bár itt nem derült ki, hogy belső vagy külső forrásból ered-e az incidens, azt azonban bejelentette a párt a hatóságnak.
