Az utóbbi időben egyre többször van szó a politikában adatgyűjtéssel, listázással kapcsolatos esetekről. A legfrissebb természetesen annak a 200 ezer személyes adatnak a nyilvánosságra kerülése, ami állítólag a Tisza Világ applikációból származott, és amivel a kormányközeli média nem teketóriázott, napokon belül nyilvánosságra hozta. Eszünkbe juthat Menczer Tamás is, aki aláírásokért cserébe intézne fejlesztéseket kormányzati támogatásból. Sőt a Fidesz mozgósításáról is időtlen idők óta lehet tudni, hogy adatbázisokra épül, bár a legutóbbi kormányinfón Gulyás Gergely letagadta a Kubatov-lista létezését.
A támogatók elérhetőségeit gyűjtő adatbázisok fontos eszközei a pártoknak. Egy naprakész szimpatizánslista segít mozgósítani: aktivistákat lehet vele gyűjteni, rendezvényre lehet hívni az embereket, meg lehet kérni őket, hogy jelentkezzenek szavazatszámlálónak, vagy épp adományokat lehet kérni tőlük. A pártot támogatóknak is hasznos, ha feliratkozhatnak az általuk kedvelt párt adatbázisába. Az elérhetőségeik megadásával értesítőket kaphatnak a párt akcióiról, meghívhatják őket a fontos eseményekre, és azonnal értesülhetnek a párt közleményeiről – egyszóval naprakészek maradhatnak a párt tevékenységében.
A szimpatizánsok nyilvántartása fontos politikai eszköz. Azonban ahhoz, hogy a pártok jogszerűen tárolják a támogatóik személyes adatait, számos szabálynak meg kell felelniük. Ebben a cikkben annak jártunk utána, hogy mikor listáz jogszerűen egy párt, kiket szabad és kiket nem szabad nyilvántartásba vennie, mire használhatja a személyes adatokat, és mit lehet tenni, ha szeretnénk kikerülni egy párt adatbázisából.
Csak kimondott hozzájárulással
A politikai adatbázisok legfontosabb jellemzője, hogy pártszimpátia alapján listáznak. Ennek azért van nagy jelentősége, mert a politikai vélemény különleges adatnak minősül, és szigorú szabályoknak megfelelve lehet csak nyilvántartani. A GDPR alapvetően tiltja a különleges adatok gyűjtését – ide tartozik még például az etnikai hovatartozás, a vallás és az egészségügyi adatok is –, kivéve ha az adott illető kifejezetten hozzájárult ehhez, mondta Jóri András ügyvéd, volt adatvédelmi ombudsman. Ahhoz tehát, hogy politikai véleménye alapján bárkit listára vegyenek, az első és legfontosabb lépés a beleegyezése.
A hozzájárulás sem lehet akármilyen, különleges személyes adatok esetében kifejezett hozzájárulásra van szükség Jóri András szerint. Ez azt jelenti, hogy a hozzájárulónak akaratlagosan tennie kell azért, hogy hozzájáruljon az adatai kezeléséhez, nem elég a ráutaló magatartás. A gyakorlatban ez például azt jelenti, hogy egy internetes feliratkozásnál nem lehet automatikusan kipipálva a doboz, a feliratkozónak bele kell kattintania, vagy át kell billentenie a kapcsolót.
Az is lényeges a hozzájárulás esetében, hogy csak a saját maga személyes adatait adhatja át valaki egy pártnak, mondta Szigetvári Viktor, az Estratos Digital GmbH társtulajdonosa és ügyvezetője. Tehát ha valaki szimpatizál egy párttal, és szeretne felkerülni az adatbázisukba, például mert szeretne értesítőt kapni a párt tevékenységéről, akkor ezt megteheti, de más nevében már nem iratkozhat fel. Nem kérheti például, hogy a párttal szintén szimpatizáló családtagját is vegyék nyilvántartásba. „Azt lehet nyilvántartani, amit önkéntes beleegyezéssel az adott állampolgár önmagáról mond” – mondta Szigetvári.
Mivel politikai véleményről van szó, a kulcs mindig a hozzájárulás, mondta Jóri András. Ezért
nem lehet olyan adatbázisa egy pártnak, amiben az őt nem támogatókat, vagyis az antipátiát listázza.
Bár a szakértő szerint elméletben lehetséges lenne, hogy egy párt csináljon ilyen listát, ehhez a listán szereplők hozzájárulása kellene. Vagyis mindenkinek hozzá kellene járulnia, hogy az adott párt listáján szerepeljen az ő elutasítása, mondta Jóri. Ez pedig nem túl életszerű. Pont ezért nem lehet olyat csinálni, hogy ha két párt egymás mellett pultozik, akkor arról is listát vezessenek, hogy a másik standnál ki ír alá. Sőt azt sem lehet gyűjteni, hogy házról házra melyik lakók nem írtak alá egy pártnak.
Szigetvári Viktor arról beszélt, hogy a GDPR előírásaival összhangban készült adatbázisok nagyon fontos erőforrást jelentenek egy pártnak. A szakember szerint általában 30-40 százalékát fedik le egy párt támogatói bázisának, de ez a 30-40 százalék mozgósítható támogatót jelent. Az internetes aktivitás ráadásul mára fontos politikai részvételi lehetőség, mondta Szigetvári, amit érdemes kihasználni a pártoknak.
Nem kérhetnék örökbe
Amikor valaki megadja az adatait egy pártnak, tájékoztatást kell kapnia, hogy az adatait kicsoda, meddig és milyen célból fogja használni. Bár az elektronikus feliratkozásnál ezt a tájékoztatót gyakran külön linkre kattintva lehet elérni, ettől még ott van. Ebből minden feliratkozó előre megtudhatja, hogy kik fognak hozzáférni a személyes adataihoz, és milyen célból fogják használni azokat.
Ez utóbbit célhoz kötöttségnek nevezik, és azt jelenti, hogy csak abból a célból lehet felhasználni az adatainkat, amibe mi beleegyeztünk. „Ha például valaki aláírja egy párt online petícióját, hogy küldjünk embert a Marsra, akkor bármikor keresheti őt a párt, hogy hogy áll ez a kezdeményezés. De azt már nem írhatja meg neki, hogy mikor menjen a Kossuth Lajos térre tüntetni” – mondta Szigetvári. Pont emiatt a pártok törekszenek arra, hogy minél szélesebben határozzák meg az adatkezelés célját: ha például valaki egy párt hírlevelére iratkozik fel, akkor nincs megkötés, hogy miről szólhat a hírlevél, mondta.
A célhoz kötöttség elve miatt nem lehet nyilvántartásba venni azokat sem, akik egy párt webshopjából rendeltek. Egy internetes rendelésnél is személyes adatokat kell megadni, nevet, lakcímet és elérhetőségeket, ezeket azonban csak a csomag kiszállításához lehet használni, mondta Jóri András. Egy rendelésnél ráadásul az adatkezelés jogalapja is megváltozik, mondta a szakember. Míg a listázásnál a hozzájárulás ad lehetőséget a pártnak az adataink tárolására, internetes rendelésnél szerződést köt a párt és a megrendelő, mondta a szakember. Ha mégis megtörténik, hogy valakit nyilvántartásba vesz egy párt egy online rendelés után, akkor az csak úgy történhetett, hogy a rendelés során kipipálta az erről szóló dobozt, tette hozzá Jóri.
A GDPR előírásai alapján arról is tájékoztatást kell kapnia a feliratkozónak, hogy ki fog hozzáférni az adataihoz. Ha az adatkezelő egy párt, akkor az alkalmazásában állók hozzáférhetnek a szimpatizánsok adatbázisához, mondta Jóri András. Ezen kívül azonban lehetnek mások is, akik hozzáférnek az adatokhoz. Sokszor megtörténik például, hogy egy adott pártban hiányzik a szakértelem, ami az adatkezelési műveletekhez kellene, ezért másokat is be kell vonni az adatkezelésbe. Őket adatfeldolgozóknak hívják, és a feliratkozóknak róluk is tájékoztatást kell kapni.
Fontos kérdés, hogy mi történik, ha megszűnik vagy átalakul a párt, akinek megadtuk az adatainkat. Szigetvári Viktor szerint jogszerűen nagyon nehezen megoldható, hogy ha megszűnik egy párt és új jön létre helyette, akkor a régi párt adatbázisait az új is használja. Az aláírók abba egyeztek bele, hogy az adott párt kezeli az adataikat, és adatkezelőt cserélni egy adatbázis mögött problémás, mondta a szakember. Ennek ellenére van lehetőség arra, hogy az adatok egy párttól egy másikhoz vándoroljanak. Szigetvári szerint például jogszerű, hogy ha egy adott politikus az adatkezelő, akkor ő egy másik pártba átmenve továbbvigye az adatbázisát.
Azt is meg kell adni az adatkezelési tájékoztatóban, hogy mennyi ideig kezeli a párt a személyes adatokat. Bár értelmezési kérdés is, hogy egy párt használhatja-e korlátlan ideig az adatokat, Jóri András szerint ez nem elfogadott gyakorlat. Azt mondta, egy, a tagállami hatóságok tagjaiból álló uniós testület ad ki értelmezéseket erről. Az ő álláspontjuk szerint nem jó gyakorlat korlátlan időre kérni a hozzájárulást. Ehelyett időről időre meg kellene újítani azt, vagyis az adott pártnak újra meg kellene kérdeznie a listáján szereplőket, hogy szeretnének-e még szerepelni az adatbázisban.
A kockázat mértékében kell védeni
Nem mindegy, hogy egy párt hogyan védi az adatbázisát. Ugyan a GDPR-ban vannak előírások, nehéz konkrétan szabályozni ezt, mondta Jóri András. Ennek az az oka, hogy a rengeteg különböző méretű és célú adatbázisra nem lehet konkrét védelmi lépéseket megszabni, mert ami az egyik adatbázis esetében elég, egy másiknál már kevés lehet. Ezért a GDPR kockázatelemzést vár el, amiben többek között azt kell figyelembe venni, hogy milyen és mekkora adatbázisról van szó, és milyen céllal készült. Vannak konkrét javaslatok is a GDPR-ban az adatok védelmére, javasol például álnevesítést és titkosítást. Azt azonban, hogy egy adatbázist megfelelően védtek-e, már hatósági vizsgálatban, szakértőknek kell eldöntenie, mondta Jóri.
Sokakban az is felmerülhet, hogy hol vannak fizikailag az adataik, mondta Szigetvári Viktor. „Régen mindenki emlékezett, hogy ott volt egy szerver a szekrényben”, mondta a szakember, azonban ez ma már nincs így. Ennek ellenére fel szokott merülni, hogy a személyes adatoknak nem kellene elhagyni Magyarországot. Szigetvári szerint ha egy párt Magyarországon szeretné tartani az általa tárolt adatokat, akkor ehhez erőfeszítéseket kellene tennie. Arra viszont szerinte oda szoktak figyelni a tudatos pártok, hogy az Európai Unión belül lévő szerveren tárolják az adatokat.
Ha mégis az unión kívül tárolná az adatbázisát egy párt, Szigetvári szerint akkor is meg kell felelnie az adatfeldolgozónak bizonyos szabályoknak. Ha például az Egyesült Államokban tárolná egy párt az adatait, akkor ezt az EU és az USA közötti adatvédelmi egyezményekkel összhangban teheti meg. Szigetvári azt is kiemelte, hogy valójában nem az adatok fizikai helye a fontos, hanem hogy a tárolás megfeleljen az előírásoknak.
Ha egyszer valaki feliratkozott egy listára, akkor le is kell tudnia iratkozni róla. A leiratkozás módját szintén közlik a feliratkozásnál, erre azonban általában nem szoktak emlékezni az emberek, mondta Szigetvári. Szerinte a pártoknak ebben kereshetőnek kell lenniük, és általában fent is tartanak egy emailcímet erre a célra. Jóri András azt emelte ki, hogy a hozzájárulást bármikor vissza lehet vonni, ilyenkor azonban nem válik visszamenőleg is jogszerűtlenné a korábbi adatkezelés. Jóri szerint fontos, hogy a leiratkozást indokolatlan késedelem nélkül feldolgozza a párt, és törölje az adott személyt az adatbázisából.
