Aki fenyegető videókhoz vagy listázó cikkekhez használja fel a Tisza app adatait, bűncselekményt is elkövethet

Egy kétszázezer soros adatbázist hoztak nyilvánosságra a múlt hét végén ismeretlen elkövetők. Azt állították, hogy a lista a Tisza Párt Tisza Világ nevű applikációjának felhasználóit és a regisztrációnál megadott adataikat tartalmazza. A listáról a kormányközeli média már november 2-án cikkeket közölt. A Magyar Nemzet arról írt, hogy a neveket, emailcímeket, lakcímeket és más személyes adatokat tartalmazó listát egy kiszivárogtató oldalra töltötték fel.

Felsorolták, kik használják a Tisza applikációját

Bár a listát azóta törölték arról az oldalról, ahova eredetileg kikerült, a kormányközeli média azóta is használja. A Mandiner kedden cikket írt olyan közéleti szereplők, politikusok, bírák vagy épp újságírók nevét sorolva, akik állításuk szerint szerepelnek a listán. A Lázár Jánoshoz köthető hódmezővásárhelyi lap, a Promenad24 pedig egy szerdán megjelent cikkben arról írt, hogy Hódmezővásárhelyről és a környező településekről szám szerint hányan szerepelnek a nyilvánosságra került listán. A Tisza Párt applikációjának felhasználói között a munkahelyük vagy beosztásuk megjelölésével megemlítenek több pedagógust, volt óvodavezetőt, volt katonákat, több ügyvédet, egy faárus vállalkozót vagy éppen az egyik bokszklub korábbi vezetőjét.

Németh Balázs, a Fidesz-frakció szóvivője és a Harcosok órája (újabban Józan ész) műsorvezetője pedig el is ment egy tiszás aktivista háza elé, és videóban bizonygatta, hogy tudja az illető lakcímét. Az aktivista a videóra úgy reagált, hogy „már a házam előtt próbál burkoltan fenyegetni engem, hogy tudja az adataimat”.

Rácz András Oroszország-szakértő arról írt, hogy egykor állami alkalmazásban álló biztonságpolitikai elemzőként furcsának találja, hogy a kormányközeli média milyen gyorsan használni kezdte a listát, ráadásul egy olyan hétvégén, amin ünnepnap is volt. „Összességében nagyon nehezen hiszem el, hogy ez spontánul alakult így” – írta. Azt is furcsának találta, hogy „a kormánymédia szinte azonnal tudta, hogy a kikerült adatbázis valódi, és nem valami ChatGPT-vel generált hamisítvány. Sőt, azt is tudták, hogy az a bizonyos fájl a kétszázezer adattal biztonságos”.

Kulcskérdés, ki hogy bánik az adatokkal

Az újságírók munkájuk során gyakran kerülnek személyes adatok birtokába; a fő kérdés az, hogyan bánnak ezekkel, és döntéseiket a jog és a szakmai etika határain belül hozzák-e meg. Mivel személyes adat nyilvánosságra hozásához a médiának is be kell tartania az alapvető szabályokat, megkérdeztük a Telex jogászát és Remport Ádámot, a TASZ jogi szakértőjét arról, hogy ebben az esetben történhetett-e visszaélés azzal, hogy a lapok megnevezték a lista szereplőit, és mit tehetnek az érintettek.

Bodrogi Bea, a Telex jogásza szerint egy párthoz kötődő alkalmazás adatkezelésének biztonsági kudarca nyilván közügy – erről a sajtónak be kell számolnia. Továbbá önmagában az, hogy egy szerkesztőség személyes adatokhoz jut, nem jogellenes, de az már kulcskérdés, hogy hogyan bánik ezekkel. Az még nem elég jogalap a publikáláshoz, hogy egy adatbázisban közismert emberek nevei szerepelnek – mondta. A sajtó feladata nem a listázás, hanem az információ ellenőrzése és a tájékoztatás.

Bodrogi szerint amikor egy szerkesztőség személyes adatokat tartalmazó információhoz jut, az első lépés mindig az, hogy ellenőrizze az adatok hitelességét és eredetét. A felelős sajtó nem közöl le semmit anélkül, hogy megbizonyosodna arról, valódi adatokról van-e szó, és azok hogyan kerülhettek nyilvánosságra. Fontos megkeresni például a Tisza Pártot is, hogy megerősítsék, valóban az ő rendszerükből származnak-e az adatok, és utánajárni annak, de minimum feltenni azt a kérdést, hogy ki és milyen szándékkal hozta az adatokat nyilvánosságra.

Közérdek, közszereplők, személyes adatok, forrásvédelem

Ráadásul a személyes adatok nyilvánosságra hozatala különösen nagy körültekintést és egyedi mérlegelést igényel – mondta a Telex jogásza. A sajtónak minden esetben meg kell győződnie arról, van-e valós közérdek, milyen típusú adatot közöl, és az adott személy mennyiben közszereplő.

Önmagában az ismertség nem elég. Mielőtt bárkit megnevezünk, meg kell keresni az érintettet, és valós lehetőséget adni neki a reagálásra – ez egy ekkora adatbázisnál akár hetekig is eltarthat. Az pedig, hogy egy cikk élesítése előtt alig egy órával keresik meg az érintetteket, nem tekinthető valódi lehetőségnek a reagálásra. Ha ez a típusú gondos és előzetes munka elmarad, megkérdőjelezhető, hogy az adott médium sajtóként működik-e, vagy csak az esetleges jogsértés eszközeként.

Alapvetés, hogy önmagában az, hogy ha egy újsághoz, például a Mandinerhez vagy a Promenad24-hez eljutott egy személyes adatokat tartalmazó lista, és ezt ők tárolják, illetve valamilyen módon használják, nem feltétlenül jogsértő, mondta Remport Ádám. Még akkor sem az, ha a listát nem legális úton szerezte meg az, aki elküldte nekik. A sajtóra ugyanis vonatkozik a forrásvédelem, ami pont azt hivatott biztosítani, hogy bárki bizalommal fordulhasson egy újsághoz, ha valamilyen fontos információ a birtokába kerül.

A kulcskérdés az, hogy az adott újság hogyan jár el a megszerzett adatokkal, mert az adatkezelés jogszerűsége attól is függ, hogy az milyen célból történik. Egy cikk elkészítéséhez például lehetett volna tárolni a nyilvánosságra került listát, ha egy tényfeltáró cikk készült volna arról, hogy nyilvánosságra kerültek az adatok, mondta Remport. Szerinte lehetett volna arra használni a személyes adatokat, hogy az újság megkeresse az érintetteket, és kiderítse, valóban regisztráltak-e az applikációba.

Családtagokat, magánembereket is listáztak

A kormányközeli lapok azonban nem erről írtak cikket, hanem listázták, hogy kik azok szerintük, akik letöltötték a Tisza applikációját, és azt sugallták, hogy ezek az emberek a Tisza támogatói. Annak ellenére, hogy a cikk megjelenése után többen jelezték, hogy nem töltötték le a Tisza Világot. Alföldi Róbert és Krekó Péter, a Political Capital vezetője azt írták, hogy sosem töltötték le az alkalmazást, így nem értik, hogyan kerülhettek oda az adataik.

A politikai vélemény különleges személyes adat, amit a sajtó ugyan nyilvánosságra hozhat, de csak akkor, ha ez valamely közügy megvitatásához szükséges, mondta Remport. Ráadásul az sem mindegy, hogy közhatalmat gyakorolnak vagy közszereplők-e azok, akiknek a politikai véleményét nyilvánosságra hozzák, tette hozzá. Azt pedig, hogy valaki közszereplőnek minősül-e, mindig az adott, konkrét esetben lehet megítélni.

Az például, hogy aktív vagy korábban aktív politikusok politikai véleményét megírja egy újság, lehet közügy a szakértő szerint, mert a közélet alakítóiról van szó, a politikai mozgásaik követése pedig segíti a közéleti tájékozódást. Tehát róluk meg lehetne írni, hogy melyik pártot támogatják. Ez azonban már nem igaz olyanokra, akik se közhatalmat nem gyakorolnak, se nyilvános közéleti szereplést nem vállaltak, akkor sem, ha egyébként ismert emberek.

Ilyenek lehetnek a közéletben inaktív színészek, celebek, de a politikusok civil házastársai is. Más kérdés, hogy például egy színész politikai véleménye is lehet közügy és közéleti vita tárgya, ha egyébként aktívan megnyilvánul közéleti kérdésekben – ezért kell mindig esetileg vizsgálni, hogy ki számít aktív közszereplőnek. Nem lehet azonban nyilvánosságra hozni magánemberek személyes adatait, mert ez szinte biztosan szükségtelen a közügyek megvitatásához.

Minél távolabb van valaki a közszerepléstől, annál inkább aggályos Remport szerint, hogy névvel listázzák. A Promenad24 cikkében is szerepelnek olyanok, akik nem közszereplők. Több helyi politikai szereplőről is megírták, hogy a családtagjaik, például a házastársuk vagy a gyerekük is szerepel a listán.

A Mandiner újságírókat is névvel szerepeltetett a cikkében, ezt azonban szintén nem tehette volna meg a Remport szerint. „Könnyen kiderülhet, hogy politikai újságírók azért regisztráltak az applikációba, mert egyszerűen a munkájukat végezték, és mindenféle felületre regisztrálnak, ahonnan információkat tudnak szerezni közéleti cikkekhez” – mondta Remport. Ez a listán szereplő egyik újságíró, Bódis András a Válasz Online-tól meg is írta a Mandinernek. A Mandiner a Telex egyik politikai újságíróját is megtalálta a listán, aki szintén azért töltötte le a Tisza appját, mert a munkájához tartozik pártok, politikusok, hírlevelek, alkalmazások, közösségi oldalak követése.

Mennyiben releváns az, hogy valaki szimpatizál egy párttal?

Remport Ádám szerint nemcsak az újságírók, hanem mindenki más esetében fontos a gondos utánajárás.

„Előzetes informálódás nélkül következtetéseket levonni a politikai véleményre abból, hogy valaki szerepel a listán, jogellenes lehet, mert ez a vélt politikai vélemény is különleges személyes adat, még ha pontatlan is.”

Ahhoz, hogy egy újság mégis nyilvánosságra hozza valakinek a személyes adatait, meg kellene indokolnia, hogy milyen jogalappal rendelkezik erre. Remport szerint tehát le kellene tudnia vezetni, hogy egy közügyben miért releváns, hogy az érintett – például egy újságíró – szimpatizál egy párttal.

Ugyanígy Németh Balázsnál sem egyértelmű, hogy miért fűződött közérdek ahhoz, hogy egy Tisza-aktivista háza előtt elmondta egy videóban, hogy ismeri az aktivista lakcímét. Remport erről azt mondta, hogy ugyan ebben az esetben a nyilvánosság nem tudja személyhez kötni a lakcímet, a visszaéléshez az is elég, hogy Németh Balázs igen. Amikor Németh felhasználta ezt a lakcímet, akkor ő maga is adatkezelővé vált, és Remport szerint ilyenkor felmerül, hogy ő kezelheti-e ezt a személyes adatot, és ha igen, akkor milyen célból teszi ezt:

„Fenyegető videó készítése nem lehet az adatkezelés legitim célja, sőt itt már megállhat a Büntető törvénykönyv szerinti személyes adattal visszaélés bűncselekménye”.

Remport szerint személyes adatokkal való visszaélés esetén eljárhat a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), és az érintettek adott esetben feljelentést is tehetnek, vagy peres úton követelhetnek elégtételt. Azt azonban hozzátette, hogy bűncselekményhez az is kell, hogy valamilyen jelentős érdeksérelem történjen. A bíróság például vizsgálná, hogy mekkora hátrányt szenvedett az illető, akinek az adataival visszaéltek.

NAIH: A jogellenesen kikerült adatok közlése is jogsértő lehet

A fent elmondottakat erősítette meg a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is, amely csütörtök délután kiadott állásfoglalásában néhány fontos elvet rögzített.

• Jogellenes, ha egy párt nem gondoskodik megfelelően az adatai biztonságáról, de jogellenes az adatokhoz való illetéktelen hozzáférés, azok megszerzése és nyilvánosságra hozatala is. Ez a körülményektől függően akár bűncselekmény is lehet.
• A közérdek nem legitimálja az adatok kiszivárogtatását. Egy politikai párt informatikai rendszerének sérülékenysége lehet közérdekű ügy, de ez önmagában nem ad jogalapot arra, hogy valaki kihasználja a hibát, majd tárolja és nyilvánosságra hozza az adatbázisban szereplő emberek személyes és különleges adatait, például a politikai véleményükre vonatkozóan.
• Ha egy médium felhasználja a jogsértően nyilvánosságra került adatokat, akkor önállóan felelős az adatkezeléséért. Hiába vétett egy párt az adatbiztonság ellen, azok hiába kerültek korábban nyilvánosságra, ez nem menti fel az adott sajtóterméket.
• A médiának mérlegelnie kell, hogy az adatok felhasználása és további megosztása mennyire szükséges a közügyről szóló hiteles tájékoztatáshoz, illetve hogy a tájékoztatás fontossága arányban áll-e a vele okozott alapjogsérelem súlyával, azaz az érintettek magánszférájának sérelmével.
• Az adatvédelmi előírásoknak megfelel, ha egy újságíró azért használja fel az elérhetőségeket, hogy felvegye a kapcsolatot az érintettekkel, és ellenőrizze az adatok valódiságát.
• Jogellenes a lista nyilvánossá tétele, ha egy cikkben akár közvetlenül, akár az adatbázisra vagy a kiszivárogtató honlapra mutató link közlésével a nyilvánosság számára elérhetővé válnak a jogellenesen megszerzett adatok.
• Mérlegelni kell, hogy valaki vállalta-e korábban nyilvánosan politikai véleményét, illetve milyen mértékű a közéleti szerepvállalása.
• Jogellenes a lakcím, telefonszám terjesztése, emellett fokozottan figyelni kell az érintettek magánéletének és otthonának tiszteletben tartásához fűződő jogára, kerülve a zavaró, zaklató célú felhasználást.

Megkerestük a NAIH-ot, arra voltunk kíváncsiak, folytatnak-e vizsgálatot amiatt, hogy a Mandiner, a Promenad24 és Németh Balázs felhasználták az adatokat, és neveket is nyilvánosságra hoztak. A hatóság azt írta, hogy október 6-án hivatalból értesültek „a TISZA Világ applikációt érintő potenciális adatvédelmi incidensről”, és másnap hivatalból hatósági ellenőrzést indítottak a Tisza Párttal szemben. Azt vizsgálják, hogy a párt betartotta-e az adatkezelői kötelezettségeit és az adatvédelmi törvényeket. A hatóság tehát még egy korábbi incidensnél kezdte az ellenőrzést, amikor egy interneten terjedő file szerint 18 ezer felhasználó személyes adata kerülhetett a Tisza alkalmazásából az internetre.

Azt írták, hogy a legfrissebb sajtóhírekben megjelent információkat is ennek keretében vizsgálják. Emellett „kérelemre indult eljárásokban” azt is vizsgálják, hogy a médiaszolgáltatók hogyan kezelték a személyes adatokat, de a konkrét folyamatban lévő ügyekről nem adnak tájékoztatást, az eljárások végén tájékoztatni fogják a nyilvánosságot.

Magyar Péter is reagált az ügyre. Ő azt írta, „itt jelzem, hogy minden fideszes politikus és propagandista, aki az illegálisan megszerzett adatbázis alapján honfitársait listázza és fenyegeti, bíróság előtt fog felelni a tettéért a kormányváltás után”. Posztjában távozásra szólította fel Sulyok Tamás köztársasági elnököt és Péterfalvi Attilát, a NAIH vezetőjét is.