Amennyiben egy platform az Európai Unióban személyes adatokat gyűjt és kezel, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló (EU) 2016/679 rendelet (GDPR) szabályozása értelmében szigorú adatvédelmi előírásoknak kell megfelelnie.
A GDPR 5. cikk (1) bek. a) pontja előírja az adatkezelés alapelveit, így tehát az adatokat csak meghatározott és jogszerű célokra lehet gyűjteni. A 6. cikk szerint a személyes adatokat csak akkor lehet jogszerűen kezelni, ha az adatkezelésnek megfelelő jogalapja van. Ilyen jogalap például, ha az érintett hozzájárul a személyes adatai egy vagy több konkrét célból történő kezeléséhez, vagy ha az adatkezelés egy szerződés teljesítéséhez szükséges.
Emellett az adatkezelés jogszerű, ha azt jogi kötelezettség teljesítése indokolja. Amennyiben az érintett felületen a honlap felelősei nem tartják be a GDPR szabályait, a pártot bírsággal sújthatják, ugyanis a GDPR 83. cikke szerint
az adatvédelmi szabályok megsértése pénzügyi szankciókat vonhat maga után, súlyosabb esetben pedig végső soron a személyes adattal visszaélés bűncselekménye is megvalósulhat.
A személyes adatok védelme kiemelten fontos alapjog, amelyet hazánkban az Alaptörvény is rögzít. A VI. cikk (3) bekezdés szerint mindenkinek joga van személyes adatai védelméhez.
Ezen alkotmányos elv alapján a magyar törvények, főként az Infotv. erős garanciákat nyújtanak az adatvédelemre. Azonban
a mostani eset is rámutat arra, hogy a törvényhozás nem lehet elég szigorú, ha adatvédelemről van szó.
A magyar törvényhozás sokat tanulhat a hasonló hazai és külföldi esetekből. Elrettentő példa a MacronLeaks botrány Franciaországból (2017), amikor Emmanuel Macron kampánycsapatának több mint 20 000 e-mail-je került nyilvánosságra közvetlen a választások második fordulója előtt.
Hatásos gyakorlatnak tűnik, hogy egyes országokban külön figyelmet fordítanak erre: például Németország alaptörvényének 10. cikke kimondja, hogy „A levelezés, valamint a postai és távközlési titok sérthetetlen” és csak nagyon szűk törvényi feltételekkel korlátozható. Ez az alkotmányos garancia nemcsak elvi, hanem gyakorlati védelmet is nyújt a digitális kommunikációban.
Hasonló szigorral járnak el például Máltán is, ahol 2020-ban az adatvédelmi hatóság 65 000 euróra bírságolt egy IT-céget, mert 330 000 választópolgár adatait szivárogtatták ki. A két példa jól mutatja, hogy a demokratikus működés és a közbizalom szempontjából a politikai célú adatkezelés különösen érzékeny terület, amelyet minden államnak saját intézményi eszközeivel kell határozottan védenie.
Ha egy politikai mozgalomnál ismétlődő adatszivárgás történik, az súlyos kétségeket vet fel a szervezet szakmai felkészültségével, jogi tudatosságával kapcsolatban. Az adatvédelem ugyanis nem pusztán technikai, hanem jogi és etikai kérdés. A GDPR 9. cikk (1) bekezdése különleges adatként kezeli a politikai véleményre utaló személyes adatokat, így ezek védelme a legmagasabb szintű biztonsági és szervezeti garanciákat követeli meg.
Ezen esetek azt üzenhetik a választóknak, hogy a politikai szervezet nem képes biztosítani a rá bízott információk védelmét, és hiányzik belőle az a jogi, informatikai és szervezeti minimum, amely egy politikai szervezettől elvárható.
A GDPR már említett 5. cikke alapján minden adatkezelőnek, így egy politikai mozgalomnak is be kell tartania a jogszerűség, tisztesség, átláthatóság és elszámoltathatóság, célhoz kötöttség, adattakarékosság, pontosság elvét. Az ismétlődő adatszivárgás ezzel szemben azt mutatja, hogy a szervezet nem rendelkezik megfelelő belső szabályozással, felelősségi renddel és kontrollmechanizmussal, vagyis hiányoznak a működés jogi garanciái. Ez már nem egyszerű technikai hiba, hanem az adatkezelési kötelezettségek rendszerszintű megszegése.
Címlapkép: A Tisza applikációja – Fotó: Magyar Nemzet/Máté Krisztián
