Mandinerrel súlyosbított adatlopás – a Tisza-app ügye a szakértő szemével
Először a Tisza applikációjának adatszivárgása, azaz az onnan történt adatlopás volt az „ügy”, a Mandiner eljárása miatt azonban sokkal súlyosabb dolog is történt, amelyben egyértelműen sérültek az érintettek jogai Szakál Péter szerint. A adatvédelmi szakértő közgazdász a hét botrányának első két fejezetéről írt lapunknak. Ami már csak azért is fontos, mert időközben lavina indult el: a Fidesz-közeli Promenád24 is név szerint listázott embereket, Németh Balázs, a Fidesz-frakció szóvivője pedig egy Tisza-aktivista házához ment el és videóban magyarázta, hogy ismeri annak lakcímét. Szakértői vélemény.
Az adatvédelem célja pofonegyszerű: annyi, hogy a személyes adatokat jogszerűen, célhoz kötötten kezeljük, és ne kerüljenek illetéktelenekhez. A Mandiner esete azért pikáns, mert ők eleve illetéktelenként értek hozzá az adatcsomaghoz – cselekedetükkel kiválóan demonstrálva, miért fontos az adatvédelem. A témában sok írás jelent már meg, számtalan feltételezéssel; alább nézzük meg adatvédelmi szemmel, kinek mi a felelőssége ebben a többszereplőssé dagadt ügyben.
Az adatkezelésről elfogadhatatlanul röviden
Minden jogszerű adatkezelés mögött szükséges három alapelem:
- az adatkezelő – ő kezeli az adatokat, dönt azok sorsáról, meghatározza a célokat és az eszközöket;
- egy igazolható jogalap – enélkül tulajdonképpen hozzá sem nyúlhat senki az adatokhoz jogszerűen;
- egy jól meghatározható cél – mert ha nincs célunk, akkor az egész adatkezelés okafogyott.
Mi a Tisza szerepe?
A Tisza az adatkezelő, az adatokat ez a párt gyűjtötte és használta, vélhetően jól meghatározott célok és jogalapok mentén. Itt első ránézésre nem találhatunk problémát, hiszen nyilvánvaló, hogy mire való az alkalmazás, és feltételezhetjük, hogy a Tisza munkatársai a szükséges hozzájárulást is megszerezték az érintettektől.
A Tisza Párt felelőssége
Ha az adatok védelme arányos volt a vélelmezhető kockázatokkal és a bejelentési kötelezettség teljesült, könnyen előfordulhat, hogy komoly büntetést sem kap a szervezet: a hatóság bírság helyett például helyreállító intézkedéseket is előírhat, ha az arányos védelem és az incidenskezelés igazolható. Egy adatlopás esetén a Tisza a „felelős áldozat”, akit bizony kiraboltak, csak az a kérdés, hogy
nyitva felejtették-e az ajtót és a tolvaj simán besurranhatott, vagy dinamittal kellett felrobbantani a páncélajtót, hogy az elkövetők megszerezhessék a szajrét.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is éppen ezt fogja vizsgálni.
A Tisza védekezése főképp az intézkedéseik bemutatásáról szól majd: megvannak-e a szükséges dokumentumok, az adatbázishoz hozzáférő személyek írtak-e alá titoktartási nyilatkozatot, a szerverek védelme technikailag arányos-e az adatbázis jelentőségével, méretével, alkalmas volt-e a rendszer arra, hogy észrevegyék az adatlopás bekövetkezését. Ezen túlmenően még azt kell majd bizonyítaniuk, hogy megtették a szükséges lépéseket akkor, amikor kiderült számukra, hogy megtörtént a baj.
Azonban még ha egy vizsgálat ki is mutatja az esetleges gondatlanságot, a Tisza az ügy kapcsán nem válik elkövetővé, legfeljebb gondatlan áldozatként kell számolnia következményekkel.
A sztori második, és a jelek szerint súlyosabb felvonása már nem róluk szól. Az adatcsomag ugyanis egy médiumhoz is eljutott — és ott történt meg az, ami az érintettek jogait a GDPR szerint a legsúlyosabban sérti.
Mandiner: leleplező vagy elkövető?
A Mandiner az adatbázisból származó adatok publikálásakor úgy tett, mintha külső szemlélőként, a közvélemény egyébként semleges hangjaként szólalna meg, leplezne le és tenne le bizonyítékokat az asztalra.
Csakhogy ez a semleges szerepkör ekkorra már megszűnt: abban a pillanatban ugyanis, hogy az újság letöltötte, megszerezte vagy megkapta az adatcsomagot, maga is adatkezelővé vált.
Ekkor tehát a Mandiner már nem minden lében kanál járókelő, hanem egy ténylegesen felelős jogi entitás volt, amely személyes és védendő adatokat kezelt.
Azaz ekkor már a Mandinernek is ügyelnie kellett volna a jogtiszta eljárásra, és minimális három kérdésre pontosan tudniuk kellett volna a választ:
- mi a szerepünk az adatok kapcsán?
- milyen jogalappal kezeljük az adatokat?
- mi a célunk az adatokkal?
Nos, a Mandiner szerepe nem kérdéses, az adatok megszerzésének pillanatától önálló adatkezelőként dönthettek az adatok sorsáról. A jogalap kapcsán szerencsére hasonlóan egyértelmű a helyzet a GDPR előírásai alapján. Ebben a történetben bizonyosak lehetünk abban, hogy a Mandinernek:
- nincs hozzájárulása az érintettektől;
- nincs olyan jogi kötelezettség, életvédelmi vagy közérdek, amely megkövetelné az adatok kezelését;
- nincs a Mandinernek szerződéses kötelezettsége az érintettek adataival összefüggésben.
Jogos érdek? Közérdek?
Egyéb esetekben talán kapaszkodót jelenthetne a „jogos érdek”, mint jogalap, ám ez a lehetőség itt nem áll fenn. Nyilvánvaló ugyanis, hogy az adatbázis megszerzése nem volt legális, a forrás is bűncselekménygyanús, a kezelés pedig teljes mértékben aránytalan, különösen attól a pillanattól kezdve, amikor a Mandiner listázni kezdte az adatbázisban szereplő érintetteket.
A sajtó képviselői azt is mondhatnák, hogy ők a köz érdekében dolgoznak. Igen ám, de ahhoz egyáltalán nem szükséges személyes és érzékeny adatok listázása. A két legfontosabb kérdés:
- Nélkülözhetetlen volt-e a név szerinti közlés? (Nem volt.)
- Arányos-e a közlés kára az érintettekre nézve? (Nem arányos.)
Ha a forrás ráadásul illegális, az nem menti fel a lapot, épp ellenkezőleg, súlyosbítja a helyzetet.
A közzétett információk egy része ráadásul a politikai vélemény tényállását érinti: különleges adat, amelynek kezelése főszabály szerint tilos. A helyzet nagyon jól körbeírható, jogilag egyértelmű.
Na jó, de mit vizsgál a hatóság egyáltalán?
Tetszik vagy sem, a NAIH pont a feljebb felvetett kérdésekre akar ilyen esetben választ kapni. Kicsit szárazabban, a hatóság célja annak megállapítása, hogy:
- az újság adatkezelőként járt-e el;
- ha igen, volt-e jogalapja és célhoz kötöttsége;
- a kezelt adatok köre arányos és szükséges volt-e;
- az adatkezelés jogellenes forrásból történt-e;
- történt-e különleges adatok (politikai vélemény) jogellenes kezelése;
- az adatkezelés sértette-e az érintettek alapvető jogait;
- és fennáll-e a sajtó célú kivétel (GDPR 85. cikk szerinti „journalistic exemption”) feltétele.
Nem kell több a józan paraszti észnél ahhoz, hogy megállapítsuk: a Mandiner hibázott, ráadásul nem áldozata volt az ügynek – a szerkesztőség volt az elkövető a történetnek ebben a fejezetében.
Kicsit vagy nagyot hibázott a Mandiner?
A hitelesítés kulcskérdés a felelősség megállapításakor. Vegyünk egy egyszerű példát: ha találunk az utcán egy dobozt, amire nagy, kézzel írott, piros betűkkel rá van firkálva, hogy „SZUPERTITKOS KATONAI ADATOK – USA”, akkor persze gondolhatunk arra, hogy azt a Pentagon ügynökei hagyták el a Baross utca 16. előtt, ebéd utáni sétájuk közben, de az is eszünkbe juthat, hogy a szomszédban lakó vicces fiatalok unalmukban már megint kieszeltek valami vicceset.
A Mandiner szerkesztőinek először is mindenféleképpen meg kellett volna bizonyosodniuk az adatbázis hitelességéről. Ez egyáltalán nem történt meg: tulajdonképpen jelen pillanatban még senki sem mondhatja ki, hogy amiről beszélünk, az valóban az, ami.
Nézzük tényszerűen: vajon ki az, aki képes hitelt érdemlően megállapítani, hogy az internetről megszerzett adatbázis valóban az, amit a Tisza szerveréről valakik valahogyan megszereztek?
Egyszerű a válasz: maga az adatokat összegyűjtő adatkezelő, azaz a Tisza. Senki más.
A Mandinernek – ezt kimondhatjuk bátran – semmiféle eszköze vagy információs alapja nincs, és nem is lehetett arra vonatkozóan, hogy megállapítsa az adatbázis hitelességét, és azt, hogy az adatokat senki sem manipulálta.
Az egyetlen lehetséges megoldás az lett volna, ha a Mandiner a Tiszához fordul a hitelesítés érdekében, a Tisza pedig összeveti a Mandiner listáját a sajátjával, majd hitelesnek ismeri el a lapét – ám tudomásunk szerint ilyen nem történt.
Ráadásul a listázottak közül többen is jelezték, hogy sohasem regisztráltak a szóban forgó felületen, a szerepeltetésük tehát tévedés. Ez tovább erősíti azt az érzést, hogy senki sem tudhatja, a neten rövid ideig elérhető adatcsomag pontosan micsoda, és hogy pontosan kik, mi alapján állították elő azt. A hitelesség megállapítása nélkül az adatkezelés és különösen a listázás nem csupán jogsértő. Olyan adatkezelési orosz rulett, ahol teli tárral játszik az adatkezelő.
Amíg nincs megerősítés, addig felelős, felnőtt szerkesztőség semmit sem közöl az adatokból. Ha pedig, tegyük fel, megtörtént volna a hitelesítés, akkor is kutya kötelessége lett volna a Mandinernek anonimizálni az adatokat a publikáláskor. A kéretlen publikálás ugyanis szintén jogszerűtlen, különösen az esetben markáns szerepet játszó védendő, érzékeny adatok miatt.
A Mandiner tehát többszörösen megsértette az érintettek jogait, amit több körülmény súlyosbít:
- egy jogszerűtlenül hozzájuk került adatbázist vizsgáltak meg, anélkül, hogy annak hitelességéről meggyőződhettek volna;
- bár az adatbázis és az adatok nem lettek hitelesítve, súlyos megállapításokat tettek;
- a megállapításokat konkrét személyes és érzékeny adatokkal együtt publikálták.
A vélhetően hamarosan elinduló vizsgálat középpontjában az érintettek jogainak védelme kell, hogy álljon. Ez az, ami összeköti a történet két fő fejezetét. A kivizsgálás során pedig már az ismert információk alapján is óriási különbség lesz a szereplők felelőssége és jogi megítélése között.
A Tisza Pártnak az áldozat szerepkörében kell bizonyítania, hogy megfelelő gondossággal járt el, és a lopás annak ellenére következett be, hogy minden elvárhatót megtett az adatok védelme érdekében. A Mandiner ugyanakkor tudatos elkövetőjévé vált az adatvédelmi incidensnek, és első ránézésre nincs sok adu a kezében.
Ráadásul itt nem pusztán jogilag, hanem szakmailag, erkölcsileg is vétett a lap: a jó újság ugyanis nem attól bátor, hogy ész nélkül listáz embereket, adatokat, hanem attól, hogy nem fél a fékre lépni akkor, amikor a kattintásvágy vagy a politikai logika egyébként elsöpörné a személyiségi jogokat. Itt ez a fék láthatóan nem működött.
Ezt az cikket nem közölhettük volna olvasóink nélkül. Legyen támogatónk a Donably-n, a biztonságos, magyar fejlesztésű előfizetési platformon. Paypal, utalás és más lehetőségek itt >>>
