Ursula von der Leyenig is elmegy Robert Fico a Barátság kőolajvezeték ügyében
Nagy bajban Magyar Péter, az adatszivárgás során több bűncselekmény is történhetett
Péterfalvi Attila, az adathatóság elnöke szerint az alapvető felelősség egyértelműen a Tisza Párté. Az Európai Unió adatvédelmi rendelete ugyanis világosan kimondja: az adatkezelő felel azért, hogy a kezelt személyes adatok megfelelő biztonságban legyenek.
2025. november 10., hétfő 19:47
Hatalmas botrányba keveredett a Tisza Párt: a szervezet saját applikációjából kiszivárgott adatok szerint több mint kétszázezer ember személyes információi – nevek, címek, telefonszámok – kerülhettek illetéktelen kezekbe – írja az Index. A botrány kipattanása után volt olyan, kormányváltást támogató médium, amely megpróbálta felkutatni az adatbázisban szereplő személyeket – és sokan közülük megerősítették: valóban regisztráltak a Tisza applikációján, és a kommentmezőkben is sorra jelentek meg azok a hozzászólások, akik saját nevüket vagy ismerősükét vélték felfedezni a listában. Sőt, több közismert szereplő is megerősítette, valóban szerepel az adatszivárgásban érintettek között.
A Tisza elnöke mindig mást mondott
Magyar Péter magyarázata folyamatosan változott. Először orosz hackereket sejtett a háttérben, akik szerinte feltörték az applikációt. Később már azzal vádolta a kormányt, hogy megrendelte a támadást:
„Ha jól értem, önök külföldi szolgálatokkal összejátszva feltöretik a Tisza Párt applikációját, aminek eredményeként rengeteg magyar ember személyes adatai nyilvánosságra kerülnek.”
Korábban azt állította, nem is történt adatszivárgás:
szó sincs adatszivárgásról, hanem ártó szándékú támadás történt.
Szerinte az informatikai rendszereiket hónapok óta támadják olyan nemzetközi hálózatok, amelyek érdekeltek az Orbán-kormány hatalomban tartásában.
A legfrissebb fejlemények szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) már vizsgálatot indított a párttal szemben, miközben a kiszivárgott adatok új életre keltek az interneten. Valaki interaktív térképes vizualizációt készített a megszerzett adatbázisból.
A folyamatosan terebélyesedő adatbotrány nyomán a lap megkereste Péterfalvi Attilát, a NAIH elnökét is, hogy megtudja, mire számíthat a Tisza Párt a hatósági vizsgálat során, és hogyan látja az ügyet az ország legfőbb adatvédelmi felügyelője.
Megszólal a hatóság elnöke
Péterfalvi szerint az ügyben az alapvető felelősség egyértelműen a Tisza Párté. Az Európai Unió adatvédelmi rendelete (GDPR) ugyanis világosan kimondja: az adatkezelő felel azért, hogy a kezelt személyes adatok megfelelő biztonságban legyenek. Ez nem pusztán technikai kérdés, hanem jogi kötelezettség is – az adatkezelőnek a tudomány és technológia mindenkori állása, az adatkezelés jellege, valamint a kezelt adatok köre alapján kell gondoskodnia a védelemről.
A megfelelő biztonság többféle módon megvalósítható – ilyen lehet például az adatok álnevesítése vagy titkosítása – magyarázta a NAIH elnöke. Hozzátette: az adatkezelő köteles folyamatosan megőrizni a kezelt adatok bizalmasságát, integritását, rendelkezésre állását és ellenálló képességét.
Nyilván bekövetkezett egy adatvédelmi incidens. Az incidens az a biztonságnak a sérülése, és ebből a szempontból ez bekövetkezhetett kívülről egy külső támadás formájában
– mondta a NAIH elnöke.
Péterfalvi szerint a vizsgálat kulcsa most az, milyen adatbiztonsági garanciákat tudott ténylegesen biztosítani a Tisza Párt. Közölte, meg kell nézni, milyen védelmi rétegek működtek a rendszerben – tűzfalvédelem, hozzáférés-szabályozás, titkosítás – és ezek megfeleltek-e annak, amit a GDPR előír. A szakember hangsúlyozta: ha egy külső szereplő feltöri a rendszert, azzal önmaga is adatkezelővé válik, de ez jogellenes adatkezelésnek minősül.
Egy ilyen hacker több bűncselekményt is elkövethet – például tiltott adatszerzést vagy számítástechnikai rendszerbe való jogosulatlan beavatkozást
– jelentette ki. De a felelősség nem áll meg itt. Ha az adatkezelő – jelen esetben a Tisza Párt – nem teljesíti az elvárt biztonsági feltételeket, azzal maga is bűncselekményt követhet el.
Belső szivárogtatás is történhetett, nem feltétlenül külső támadás
Tehát a bűncselekmény elkövetése fennállhat a Tisza Párt oldalán is mint adatkezelő oldalán. ha nem volt megfelelő az adatbiztonság, de fennáll értelemszerűen a hackelő oldalán is, ott akár több bűncselekményi kategória is megvalósulhatott. Ugyanakkor az adatoknak a kiszivárogtatása, tehát az adatvédelmi incidens az bekövetkezhet belülről is, nyilván, ha valaki jogosulatlanul, tehát nem külső támadás által, hanem a belső adatbázis szivárogtatta ki
– közölte Péterfalvi, aki szerint a Büntető törvénykönyv alapján ugyanis személyes adattal való visszaélést követ el az is, aki elmulasztja az adatok biztonságát szolgáló intézkedéseket.
A jogsértés tehát kétoldalú lehet. A NAIH elnöke szerint az adatvédelmi incidens akár belső szivárogtatásból is fakadhat, nem feltétlenül külső támadásból. Éppen ezért most azt is vizsgálják, hogy volt-e bárki a párt belső rendszerében, aki jogosulatlanul hozzáférhetett a teljes adatbázishoz. Emlékeztetett arra, hogy attól még, mert egy adatbázis jogellenesen kikerül az internetre, az még nem válik szabadon terjeszthetővé.
Az ilyen információk továbbítása vagy publikálása önmagában is újabb jogsértés. Csak a jogszabályban meghatározott közérdekű adatok terjeszthetők szabadon – személyes adatok nem
– mondta.
Péterfalvi szerint az adatkezelés és -terjesztés jogszerűsége szempontjából alapvető különbség van a közérdekű és a személyes adatok között. A közérdekű adat bárki által megismerhető és terjeszthető – ez alapjog. De személyes adat soha nem lehet közérdekű – magyarázta a NAIH elnöke. Bizonyos esetekben léteznek úgynevezett közérdekből nyilvános személyes adatok – például a képviselők vagyonnyilatkozata vagy egyes köztisztviselők fizetése. Azonban még ezek terjesztése is csak a célhoz kötöttség elve alapján lehetséges, vagyis kizárólag arra a célra, amelyre az adatot eredetileg nyilvánosságra hozták.
A Tisza Párt esetében a helyzet sokkal érzékenyebb. Az applikációt letöltők személyes adatai politikai véleményt is tükrözhetnek, hiszen a regisztrációjuk akár a párthoz való szimpátiát jelezheti. Ez a GDPR szerint különleges adatnak minősül, amelynek kezelése alapvetően tilos, kivéve, ha az érintett ehhez egyértelmű hozzájárulását adta – mondta Péterfalvi. A hatóság elnöke kiemelte: még ha az applikáció felhasználói bele is egyeztek az adatkezelésbe, a kiszivárgott adatbázis szabadon nem terjeszthető.
Tehát aki átveszi, hivatkozik rá, linkeli, az értelemszerűen terjesztésnek minősül. Ez a terjesztés egy önálló adatkezelés, ezzel a mozzanattal ő adatkezelővé válik. És hát nyilván, ha maga az alap adatkezelés jogellenes volt, akkor értelemszerűen a terjesztése is jogellenes. Tehát azt tudom mondani, hogy ezt külön kell elbírálni
– fogalmazott.
Adatvédelmi határok
A NAIH ezért már a vizsgálat elején közleményt adott ki, amelyben külön felhívta a sajtó figyelmét az adatvédelmi határokra. A média – a vonatkozó törvények értelmében – ellenőrizheti, hogy valós adatbázisról van-e szó, és felhívhat egyes személyeket, de nem teheti közzé magát a jogellenesen megszerzett adatbázist, és a megkeresett személyek adatait sem írhatja le, ha azok ehhez nem járultak hozzá. Más kérdés, ha valaki korábban nyilvánosan beszélt a politikai szimpátiájáról, vagy közéleti szereplőként vállalta ezt – de ez mindig egyedi mérlegelés kérdése. Azonban összességében, ha az egész adatbázist nézzük, jogellenes adatkezelésről van szó.
A botrány tovább gyűrűzött: a kiszivárgott adatokat már nemcsak listákban, hanem interaktív térképen is elkezdték terjeszteni. Ez már nem egyszerűen jogellenes adatbázis-közzététel, hanem annak egy súlyosabb, vizuális formája. Szerinte az ügy nemcsak adatvédelmi, hanem büntetőjogi szintre is lépett, hiszen több mint kétszázezer ember lakcíme és politikai szimpátiája vált bárki számára beazonosíthatóvá.
Kétirányú vizsgálat
A hatóság jelenleg két irányban vizsgálódik: egyrészt azt elemzi, a Tisza Párt adatkezelése megfelelt-e a GDPR előírásainak, különös tekintettel az adatminimalizálás elvére – vagyis tényleg szükség volt-e például a lakcímek pontos geolokációs rögzítésére;
másrészt azt, hogy a jogellenesen nyilvánosságra hozott adatbázist kik és hogyan terjesztették tovább.
Fotó: Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke köszöntőt mond a magyarországi információs jogok intézményrendszere fennállásának 30. évfordulója alkalmából alkalmából a hatóság épületében tartott nemzetközi konferencián 2025. szeptember 17-én. MTI/Máthé Zoltán
+Ez is érdekelheti
A Tisza szerint nincs háború, de ez a katapultált pilóta máshogy gondolja
Kétarcú Tisza: amíg defenzív a külpolitikában, addig mindenben támogatja Kijev törekvéseit
Dömötör: itt a bizonyíték, a tiszások megszavazták a leválást az olcsó orosz energiáról
Több mint 50 százalékkal ugrottak meg az európai gázárak a katari termelés leállítása után
Éves csúcson a Shell, a háborún gazdagodik meg az összes részvényesük
Szentkirályi: magyar embereket rabolnak el, de Ruszin-Szendi szerint nincs háború
Az iráni háborút mi is a bőrünkön érezzük – Mutatjuk, mi vár a benzin árára
Szijjártó Péter: bekérették az ukrán nagykövetet a továbbra is zajló kényszersorozások miatt
Orbán Viktor reagált Magyar Péter levelére: Hagyjuk a színjátékot!
Menczer: Magyar és Zelenszkij haverja közösen zárták el a Barátság vezetéket
Menczer Tamás Magyar Péternek: Mindenki tudja, hogy Zelenszkij haveroddal együtt zártátok el a Barátság-vezetéket!
