A Magyar Kétfarkú Kutya Pártnál tapasztalt adatkezelési szabálytalanságokat és adatvédelmi hiányosságokat emleget egy, magát pártoló tagnak nevező idegen, aki azonban maga tette nyilvánossá a párt több adatbázisát. A laza adatbiztonságon a párt állítása szerint javított, és bár gyanítják, ki a szivárogtató, nem tudják felelősségre vonni.
Akár visszaélésre is alkalmas mennyiségű és minőségű személyes adat került ki nyáron a Magyar Kétfarkú Kutya Párttól (MKKP), és ezután hónapokig tartott, amíg megtették azokat a védelmi intézkedéseket, amelyek eddig hiányoztak. Az érzékeny pártadatokat érintő adatvédelmi incidens azzal kezdődött, hogy még hónapokkal ezelőtt,
egy külföldi fájlmegosztó oldalra töltöttek fel féltucat fájlt, az MKKP pártdokumentumait, bennük személyes, a párt gazdálkodására, a 2022-es országgyűlési képviselőjelöltjeire és választási kampánystratégiájára is vonatkozó adatokkal.
A táblázatokat június 24-én töltötték fel a fájlmegosztóra. A link még elérhető, de a fájlok már nem tölthetők le. A feltöltés utáni első egy hónapban azonban bárki ingyen letölthette őket. A linket két magyar oldalon is közzétették, az egyiken az állítólagos feltöltő által írt levelet is közölték. Ha az ott leírt szöveg valós, akkor figyelemfelhívás, illetve a bosszú motiválhatta a szivárogtatást.
A magát „kivert kutyaként” azonosító szivárogtató állítása szerint maga is pártoló tag, akit „átvertek”, mert a párt külön indulásról beszél a 2022-es parlamenti választáson, de a valójában nincs meg az ehhez minimum szükséges, 71 egyéni jelöltjük, emiatt majd „Gyurcsányékkal állnak össze”.
A levélíró szerint a fenti forgatókönyvet szükségessé tevő káderhiányra bizonyíték az általa feltöltött dokumentum. Azt írta: „2018-ban is 39 jelöltünk volt, és most is csak ennyi a leokézott, ld. az alábbi táblázatban (...) Ráadásul olyan hely, ahova egyáltalán tudunk akármilyen nevet írni, csak 57 van...” Az adatokat kiszivárogtató állítólagos pártoló tag azt is megjegyzi, hogy a pártban „500 tag sincs”. Végül a laza adatkezelési gyakorlatra is utal:
Többször próbáltam felhívni a vezetőség figyelmét arra is, hogy felelőtlenség ilyen könnyelműen kezelni a jelentkezők adatait és minden nyilvántartást, de mindenki leszarta. (…) simán meg tudtam szerezni ezeket a táblázatokat.
A szivárogtató ezek alapján úgy gondolta bizonyítani a laza adatkezelési gyakorlatot, hogy ő maga tette nyilvánossá azokat az adatokat, amelyek senkire nem tartoznak.
Mivel a fájlmegosztó szerverre feltöltött elemek már nem érhetők el, azokat a hvg.hu sem tudta letölteni, a fájlok tartalmát más forrásból ismertük meg, és a betekintés nyomán szerzett információk alapján tettük fel a kérdéseinket a Kutyapártnak. A fájlok egy része ártalmatlannak tűnő adat, bár azok sem tartoznak senkire.
Az egyik fáljban a párt egy kampányakciójának szórólapjait terítők névsora volt megyei bontásban, egy másik adatsor a kampányteendőkkel kapcsolatos beszerzésekről szólt, egy harmadik táblázat pedig a 2018-as parlamenti, illetve a 2019-es önkormányzati választásra segítségüket ígérők listája, ezernél is több ember személyes adatával (név, lakcím, telefonszám). Egy másik fájl a párton belüli operatív és kampányjellegű feladatok felelőseit és azok munkáját összegzi.
Az egyik fájlban olyan adatok is vannak, amelyeket biztos bizalmas kezelésűnek szántak, hiszen azon a jövő évi parlamenti választáson indítani kívánt, tervezett egyéni jelöltek adatai is szerepelnek, amit a pártok a lista véglegesítéséig és bejelentéséig bizalmasan kezelnek. Ezen a listán a szivárogtató szerinti 39 biztos jelölt neve szerepel, illetve a szintén említett 57-es névsor is.
A fentiek olyan gazdasági, szervezeti és kampányadatok, melyek nyilvánosságra kerülése nem érdeke egy pártnak, akár árthat is neki.
Még súlyosabb adatvédelmi incidens azonban annak a táblázatnak a kiszivárgása, amely mintegy félezer „pártoló tag” részletes adatbázisát is tartalmazza, benne a személyes adataikkal (név, lakcím, mobilszám, e-mail), sőt a személyiigazolvány-számukkal is.
A listákat nézve, sokaknál az adatok közt „megjegyzésként” van olyan adat is, amelyre a pártnak aligha volt szüksége a tagnyilvántartáshoz. A megjegyzések többsége ennek ellenére adatvédelmi szempontból “ártalmatlan” adat, mint például: „biciklisfutár”, „hobbifotós”, vagy éppen az, hogy „még nem csinált velünk semmit, de szeretne”.
A foglalkozásra utaló megjegyzések még érthetők is, hiszen van például olyan is, hogy „grafikus, ezzel is segítene” vagy „nyomdájuk van, fénymásol, ha kell”.
Kérdés ugyanakkor, mi célból gyűjtött és tárolt az MKKP saját tagjairól olyan személyes adatokat, melyek még érintőlegesen sem hozhatók összefüggésbe pártbéli tevékenységgel. Erősen kérdéses például az olyan adatok feltüntetése és tárolása, mint a „válásban van”, „Londonba költözik”, „fura ember”, de a leginkább érthetetlenek az egészségi állapotra utaló olyan megjegyzések, minthogy az illetőt „nyirokrákkal kezelik”, „pánikbeteg”, „márciusban fog szülni”, vagy az, hogy „két éve volt egy infarktusa”.
Az egészségügyi adatok a magyar jogi szabályozás szerint különleges adatnak minősülnek – éppúgy, mint a szexuális irányultságra, politikai véleményre vagy pártállásra vonatkozóak. Az információszabadságról szóló törvény szerint személyes- és különleges adat is csak akkor kezelhető, ha ahhoz az érintett írásban hozzájárul, vagy törvény közérdekből elrendeli.
A párt tagjainak, pártoló tagjainak adatait persze nem csak az MKKP, hanem minden más párt is nyilvántartja, ehhez a tagok belépésükkor, tagságuk létesítésekor járulnak hozzá általában, de kérdés, hogy az MKKP az illetők írásos nyilatkozatát beszerezte-e az egészségügyi adatok tekintetében is, mivel enélkül nem is kezelhette volna jogszerűen a különleges adatok ezen részét.
A pártoknál általában az alapszabály mellékleteként külön nyilvántartási szabályzat is rendelkezik az adatnyilvántartásról, továbbá segítséget jelenthet számukra a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ajánlása is „a politikai pártok és szervezetek adatkezelésével kapcsolatos egyes adatvédelmi követelményekről".
Az MKKP-nál az alapszabály mindössze annyit ír e témában: „A párt tagjairól az elnökség hiteles nyilvántartást vezet, amely tartalmazza a tag nevét, lakcímét, értesítési címét, telefonszámát, e-mail-címét, a taggal összefüggő taggyűlési és elnökségi határozatok számát, valamint a tagdíjfizetésre vonatkozó adatokat.”
A személyes- illetve különleges adatok kezelésével, továbbá a konkrét adatszivárgással és annak elhárításával kapcsolatban a hvg.hu kereste a párt mindkét társelnökét, Kovács Gergelyt és Döme Zsuzsannát is – az adatvédelmi incidens ténye egyiküket sem lepte meg. Írásban feltett kérdéseinkre végül Nagy Dávidtól kaptunk választ, aki levelének aláírása szerint „pártigazgatóféle”.
A válasza szerint értesültek az adatszivárgásról és kérték a sajtót, hogy ha lehet, ne hozzák le, mert “bármikor újra feltöltésre kerülhet a táblázat”. Kiderült, rendőrségi feljelentést nem tettek ugyan – a BRFK és a Központi Nyomozó Ügyészség is ezt közölte a hvg.hu kérdésére –, ám a NAIH-nál tettek lépéseket, hogy a link és így a fájlok elérhetetlenné váljanak. Sőt – mint írták – “az ügy miatt megterveztük és végrehajtottuk adatvédelmi intézkedési tervünket”.
Arra a kérdésre, hogy a hasonló esetek megelőzése érdekében mit tettek, az intézkedési tervet részletezték, amely a hvg.hu értesülése szerint október közepére készült el. Ennek része a felhő alapú szolgáltatás biztonságának megerősítése, az adatvédelmi tájékoztató frissítése, adatfeldolgozási megállapodások megkötése a párt dolgozóival és az adatfeldolgozói rendszer működtetése, folyamatleírás, plusz biztosítékok, felelősségrevonhatóság.
Megkérdeztük azt is, tudták-e a pártban azonosítani a szivárogtatót. Azt válaszolták: „nem tudjuk egyértelműen bizonyítani, hogy ki követte el a visszaélést, a NAIH-nál tettük meg a szükséges lépéseket.” Közölték: a tagok személyes adatainak nyilvántartása törvényi kötelezettség,
a személyiigazolvány-számokat pedig azért írták fel, mert „félévente kajmán-szigeteki nyaralást sorsolunk ki a tagok között és a repjegyre kell a SZIG-szám”.
Megkérdeztük, rendelkeztek-e az egészségügyi adatok kezeléséhez szükséges írásos felhatalmazással. Erre először azt írták, hogy az érintettek „vélelmezhetően” tudtak erről, de „kifejezett írásbeli engedéllyel nem rendelkezett a párt”. Ám néhány órával később a választ úgy módosították, hogy „ez az információ téves, nem kerültek szenzitív jellegű adatok szivárogtatásra.”
Arra ugyan nem válaszoltak, hogy korábban hányan fértek hozzá az adatokhoz, ám jelezték, hogy most már csak négyen. Arra a kérdésre, értesítették-e a tagokat az adatszivárgásról, azt válaszolták: az érintettek „értesültek a sajtóból is”, és „az EU Adatvédelmi Rendeletének 4. fejezetének 34. cikkelyének értelmében egy, a jövőbeli visszaéléseket megelőző intézkedési terv ezt helyettesíti.” Sajtó alatt a pártigazgató azt a portált értheti, ahol hónapokkal ezelőtt elérhetővé tették a linkeket.
A belső vizsgálatra, a pártból való kizárásra vonatkozó kérdésünkre azt írták: „A hatósághoz fordultunk az incidenst követően, a vizsgálat során pedig azonnal elkezdtük az adatvédelmi akcióterv kidolgozását.” Hozzátették: “A szivárogtatással gyanúsított személy nem a párt tagja, így egyedül a NAIH-on keresztül tehetünk érdemi intézkedést ellene. Az addig számára elérhető adatok köréből kizártuk még aznap.”
| Ritka eset |
A nyilvánosságra került MKKP-s adatbázishoz hasonló jellegű és nagyságrendű adatszivárgás igen ritka a magyar politikában. A parlamenti, illetve önkormányzati kampányok, választások idején használt, vitatott jogszerűségű pártadatbázisok ugyanakkor időről-időre a politikai közbeszéd és viták kereszttüzébe kerülnek, sőt hatósági és jogi eljárásokban is folynak. Emlékezetes adatbázisügy azonban a Kubatov-lista ügye: a Fidesz pártigazgatójáról-kampányfőnökéről, Kubatov Gáborról elnevezett lista első változata a 2000-es években készülhetett. A lista léte nem vitatott, a Fidesz által használt, a 2018-as majd a 2019-es választások előtt is szóba került választói adatbázisról a párt és Orbán Viktor kormányfő-pártelnök is úgy beszélt, mint legális adatbázisról. Ugyanakkor a Kubatov-lista tartalmának és építésének jogszerűsége a mai napig vitatott. Más pártok is készítettek egyébként választói adatbázisokat – egy hasonló létezésére 2010-ben derült fény az MSZP-nél, ahol a Fideszhez hasonlóan azt állították, hogy az teljesen legális. Klasszikus adatszivárgási incidens eddig egy esetben kavart vihart, bár az adatok akkor nem szimpatizánsi vagy tagi személyes adatokat érintettek, hanem kampányanyagok szivárogtak ki. Egész pontosan ellopták őket egy óvatlanul kezelt jelszóval. Már-már burleszkbe illő történet volt a 2006 februárjában kirobbant szerverügy. Akkor a Magyar Nemzet tette közzé az MSZP-s Hiller István kampányanyagait, szórólapjait, mire Hiller azt állította, hogy a Fidesz hatolt be hozzájuk, és töltötték le a belső használatra szánt fájlokat. A Fidesz el is ismerte, hogy „nyilvános fórumokon” szerzett felhasználónévvel (mszp) és jelszóval (pirosvirág) „meglátogatta” az oldalt. Mint kiderült, nem csak „meglátogatták” az oldalt: az MSZP anyagainak elkészítésével megbízott kft. – a párt kampánykiadványait tároló – ftp-szerverére a letöltési naplóban rögzített adatok szerint a server.fidesz.hu gépről beléptek, és letöltötték a gyártás-előkészítésre elhelyezett anyagokat. A Fidesz hasonlóval vádolta ugyanakkor a szocialistákat, mondván: az MSZP-sek „számtalan alkalommal kíséreltek meg támadásokat a www.fidesz.hu weboldal ellen”, és a Fidesz szervereiről letöltött „anyagokkal visszaélnek, a párt lejáratására használják fel őket”. Reagálásukban a szocialisták jelezték: nagyon más minősítésű dolgokról van szó, hiszen a Fidesz egy óvatlanul kezelt jelszóval lépett be hozzájuk és lopott el anyagokat, míg ők a Fidesz-oldalon bárki számára nyilvánosan elérhető kampányplakátokat mentettek le és figuráztak ki. |
Visszaléphet a billegő körzetekben a Magyar Kétfarkú Kutya Párt
