Nemzetbiztonsági kockázatot is rejt a Tisza-applikáció

Valóban szimpatizánsokat keresnek, vagy inkább adatgyűjtésre használják a rendszerbe belépő aktivisták személyes adatait? – tette fel a kérdést ifj. Lomnici Zoltán a Tisza-applikációval kapcsolatban. Az alkotmányjogász szerint akár nemzetbiztonsági kockázata is lehet Magyar Péterék alkalmazásának.

Megjegyezte, noha a hatályos törvények világosak az adatkezeléssel és a különleges adatok fokozott védelmével kapcsolatban, nincs semmilyen tényleges garancia arra, hogy egy politikai párt vagy mozgalom a gyakorlatban maradéktalanul betartja ezeket a szabályokat.

Az applikáció működésével kapcsolatban joggal merül fel a kérdés, hogy valóban szimpatizánsokat keresnek, vagy inkább adatgyűjtésre használják a rendszerbe belépő aktivisták személyes adatait – hívta fel a figyelmet ifj. Lomnici Zoltán, a Tisza Világ elnevezésű mobilos alkalmazásával kapcsolatban.

Az alkotmányjogász szerint nem árt az óvatosság.

A biometrikus azonosítás, valamint a kamera, mikrofon, fotók, helyadatok és egyéb eszközfunkciókhoz való hozzáférés lehetősége ugyanis olyan széles körű megfigyelést tesz lehetővé, amely túlmutathat a szimpatizánsszervezés észszerű keretein.

Magyar Péter mondhatni már rutinos az önkéntesek toborzásában, igaz, legutóbb nem kezelte túl diszkréten a szimpatizánsai adatait. A júniusban kirobbant tiszás adatkezelési botrány rámutatott, hogy Magyar Péter még a sajátjaival sem bánik jól. Kiderült, hogy az adatbázisban a szimpatizánsok alapadatain kívül külön osztályozták, minősítették és megjegyzésekkel illették az aktivistákat. Volt aki megúszta annyival, hogy „visszahúzódónak” írták le, míg másokat „alkoholistaként” vagy „rokiként” jegyeztek be.

A listán emellett olyan adatok is szerepeltek, kinek van tapasztalata online kampányban, van-e álprofilja a Facebookon, rendelkezik-e politikai múlttal, ha igen, milyennel. De volt, akinél a családja politikai nézeteit is feljegyezték.

Az országos adatkezelési botrány nem szegte kedvét Magyar Péternek, sőt lapot húzott rá: a Tisza új applikációjának indítását Kötcsén jelentette be a pártelnök, azóta viszont kiderült,

az Amerikában fejlesztett mobilos applikáció többek között azt is látja, hol tartózkodik a felhasználó, milyen tartalmakat kedvel vagy mennyire aktívan használja a mobiltelefonját.

A Tisza-applikáció tehát jóval több lehet egy mobiltelefonon működő kampányeszköznél.

A GDPR 9. cikk (1) bekezdése szerint a biometrikus adatok különleges adatnak minősülnek, így kezelésükhöz kifejezett hozzájárulás és fokozott adatbiztonsági garanciák szükségesek. További kockázat, hogy nem egyértelmű, hol és meddig tárolják ezeket az adatokat: ha például az Egyesült Államokban létrehozott szervereken kerülnek tárolásra, az felveti a külföldi hozzáférés, sőt a nemzetbiztonsági aggályok veszélyét is – vélekedett a szakértő.

Felidézte, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2024-ben kiadott ajánlása külön felhívta a figyelmet arra, hogy a politikai pártok adatkezelésének átláthatónak, konkrétnak és ellenőrizhetőnek kell lenniük. A hatóság kifejezetten bírálta a sablonos, semmitmondó adatkezelési tájékoztatókat, és hangsúlyozta, hogy az érintetteknek pontosan tudniuk kell, ki kezeli az adataikat, milyen célból és meddig.

Jó gyakorlatként említi az adatfeldolgozók pontos megnevezését, a tájékoztatók közérthetővé tételét, valamint annak világossá tételét, hogy az adatkezelés célja nem rejtett adatbázisépítés, hanem valóban a választóval való kapcsolatfelvétel.

Az alkotmányjogász tisztázta:

amennyiben a Tisza Párt által készített applikáció nem a szimpatizánsok megszólításának tiszta eszközének minősülne, hanem egy kifinomult adatgyűjtési mechanizmus lenne, úgy a személyes adattal visszaélés bűncselekménye valósulhat meg és akár két évig terjedő szabadságvesztéssel is büntethető.

Ifj. Lomnici Zoltán szerint az adatkezelési tájékoztató alapján a párt jogosult az önkéntesek által megadott adatokat kezelni, ami önmagában ugyan még megfelelhet a jogszabályoknak, de az, hogy a gyakorlatban valóban átlátható ez a folyamat, már más kérdés.

A GDPR 6. cikk (1) bekezdés a) pontja és a 9. cikk (2) a) pontja lehetővé teszi az adatkezelést az érintett kifejezett hozzájárulása esetén. Ugyanakkor a kérdés az, hogy a gyakorlatban mennyire átlátható ez a folyamat. A GDPR 5. cikk (1) bekezdés a) pontja szerint az adatkezelésnek „jogszerűnek, tisztességesnek és átláthatónak” kell lennie, míg a 12. cikk (1) bekezdése előírja, hogy a tájékoztatásnak világosnak és közérthetőnek kell lennie – mondta.

Ha a párt adatkezelési tájékoztatója csak általános megfogalmazásokat tartalmaz, és nem ad pontos választ arra, kik férhetnek hozzá az adatokhoz, milyen célból kezelik azokat, és mennyi ideig őrzik meg, akkor a szabályok puszta formális teljesítése mellett is hiányzik a valódi átláthatóság – magyarázta.

A Tisza Világ applikáció letöltése, majd regisztráció után az érdeklődő rögtön be is állhat aktivistának, ehhez azonban el kell fogadni egy önkéntes szerződést.

A terjedelmes írást azonban nem árt alaposan átnézni, ugyanis az önkéntesek kötelezettségei és feladatainak részletezése mellett egy titoktartási szerződést is tartalmaz a dokumentum.

Ebben leszögezik: „A Párt számára végzett bármely tevékenységnél fogva, vagy egyébként bármely más módon tudomására jutott, általa megismert, illetve az előtte feltárt és a jövőben feltárandó, a Pártra vagy Pártot érintő bizonyos információk, így különösen a pénzügyi titkok, üzleti titkok és know-how-k, ügyfelek, megbízók adatai és egyéb tulajdonosi információk bármelyike bizalmas jellegűeknek minősülnek.”

A szerződés tartalmazza azt is, mi számít bizalmas információnak, így például:

• bármely fél ellenjegyzésével vagy aláírásával ellátott, egymásnak írott, nyomatott vagy más adatrögzített formában átadott információ,
• bármely fél papír alapon vagy elektronikusan küldött dokumentum és információ,
• szóban közölt információ kapcsán is titoktartást kérnek.

Ifj. Lomnici Zoltán szerint az online szerződéskötések kapcsán számos jogi aggály merülhet fel, amelyek indokolttá teszik az óvatos hozzáállást. – Különösen veszélyes lehet, ha a visszaigazolás rendszere nem működik megfelelően, hiszen a Ptk. 6:84. § és a 2001. évi CVIII. törvény 6. § (2) bekezdése szerint a felhasználó mentesülhet a kötelezettségek alól, ha a szolgáltató nem igazolja haladéktalanul a nyilatkozat megérkezését. Ez bizonytalanságot teremt a szerződés létrejötte körül, ami politikai célú adatgyűjtés esetén különösen aggályos – hívta fel a figyelmet, kiemelve, hogy:

a technikai hibák, a hiányos tájékoztatás vagy a visszaigazolás elmaradása könnyen érvénytelenné teheti a jognyilatkozatot, miközben a felhasználó személyes adatai és politikai szimpátiája már a szolgáltató kezében vannak.

Ez átláthatósági, adatbiztonsági és jogérvényesítési szempontból is súlyos kockázatot jelent – jelezte az alkotmányjogász.

(magyarnemzet.hu)