applikáció gdpr Ifj Lomnici Zoltán Tisza Párt bírság Magyar Péter adatvédelmi

Nagy bajban vannak Magyar Péterék, a tiszás adatszivárgás miatt börtön és brutális bírság is járhat

Személyes adat az Európai Unión kívüli harmadik országba csak akkor továbbítható, ha az uniós szintű védelem nem csorbul, azonban Ukrajna jelenleg nem tartozik ebbe a körbe, ezért oda adattovábbítás csak megfelelő garanciákkal lehetséges – jelentette ki lapunknak ifjabb Lomnici Zoltán alkotmányjogász. Mint hangsúlyozta, a Tisza Párt adatkezelőként felel a jogszerű és biztonságos adatkezelésért, nem tolhatja át a felelősséget a felhasználókra.

2025. 10. 06. 17:33

Mivel a Tisza Világ applikáció politikai jellegű, közösségszervező célra készült, a felhasználói adatok utalhatnak közvetetten politikai véleményre, így különleges személyes adatnak minősülhetnek az uniós általános adatvédelmi rendelet, vagyis a GDPR alapján. Az ilyen adatok kezelése kizárólag kifejezett, önkéntes hozzájárulás alapján jogszerű – közölte lapunkkal ifjabb Lomnici Zoltán alkotmányjogász, a Századvég Közéleti Tudásközpont Alapítvány, Állam- és Jogtudomány Kutatóintézet tudományos igazgatója.

Tisza Világ applikáció (Forrás: Facebook)

Arról, hogy a Tisza Világ alkalmazás felhasználóinak esetében felmerült az adataik Ukrajnába kerülése, az alkotmányjogász leszögezte:

személyes adat az Európai Unión kívüli harmadik országba csak akkor továbbítható, ha az uniós szintű védelem nem csorbul, azonban Ukrajna jelenleg nem tartozik ebbe a körbe, ezért oda adattovábbítás csak megfelelő garanciákkal lehetséges.

Az adatkezelőnek és az adatfeldolgozónak biztosítania kell, hogy jogosulatlan személyek ne férjenek hozzá az adatkezelő rendszerhez, és meg kell akadályoznia az adathordozók illetéktelen olvasását, másolását vagy törlését. Ezenfelül nyomon követhetőnek kell lennie, hogy ki, mikor és milyen adatot vitt be vagy adott tovább, továbbá üzemzavar esetén biztosítani a rendszer helyreállítását, illetve működéséről jelentést készíteni – hívta fel a figyelmet az elemző.

Életszerűtlen és jogszerűtlen a Tisza Párt felelősség-hárítása

Ifjabb Lomnici Zoltán hangsúlyozta: az adatkezelőnek a tudomására jutott adatvédelmi incidenst haladéktalanul, legkésőbb 72 órán belül be kell jelentenie az illetékes hatóságnak, kivéve, ha valószínűsíthető, hogy az incidens nem jár kockázattal az érintettek jogaira nézve. A bejelentésnek tartalmaznia kell az érintettek körét és hozzávetőleges számát, az érintett adatok kategóriáit, a lehetséges következményeket, valamint az incidens kezelésére tett intézkedéseket. Az adatkezelő köteles megfelelő technikai és szervezési intézkedéseket hozni az adatok védelmére, figyelembe véve a kockázatokat – mutatott rá.

Az alkotmányjogász szerint a kiszivárgott adatok mértéke alapján valószínűsíthető, hogy az applikáció nem alkalmazott megfelelő hozzáférés‑szabályozást és titkosítást, amivel megsérthette a GDPR‑t. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) múlt heti közleménye az applikáció súlyos adatvédelmi kockázataira hívta fel a figyelmet, ugyanis Magyar Péter pártja az általános felhasználási feltételekben (ÁFF) a teljes felelősséget a felhasználóra hárítja.

Életszerűtlen és jogszerűtlen, hogy a párt nem köteles figyelni a jogellenes tevékenységre, mert a fotós felel a hozzájárulásért

– vélekedett a tudományos igazgató.

Börtönbüntetés és tízmillió eurós bírság várhat az elkövetőkre

Hozzátette, a regisztrációkor a felhasználótól bekért adatok, így az anyja neve, lakcíme és tényleges lokációja túlmutathat azon, ami egy politikai jellegű applikáció céljaihoz szükséges, ami szintén sértheti a GDPR-t. Ezenfelül a közéleti szereplőnek nem minősülő személy interneten közzétett képmásának az eredetitől eltérő célú felhasználásához az érintett személy hozzájárulása szükséges, ennek hiánya személyiségi jogot sért.

A Tisza Párt mint adatkezelő felel a jogszerű és biztonságos adatkezelésért, nem tolhatja át a felelősséget a felhasználókra.

Különösen problémás, ha Myroslav Tokar, az ukrán PettersonApps munkavállalója és a cég tényleg hozzáfért a felhasználók adataihoz, mivel ez nemzetközi adattovábbításnak minősülne, márpedig Ukrajnának nincs uniós megfelelőségi határozata. Ha a PettersonApps vagy más ukrán cég adatfeldolgozóként jár el, a Tisza Pártnak és az adatfeldolgozónak írásbeli szerződést kell kötnie, melynek elmulasztása ismételten a GDPR megsértését jelentené – tájékoztatott ifjabb Lomnici Zoltán.

A lehetséges jogkövetkezményekről az alkotmányjogász ismertette:

az adatkezelő és az adatfeldolgozó legfeljebb tízmillió eurós közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb két százalékát kitevő összeggel sújtható, ezentúl a személyes adattal való visszaélés vétsége miatt egy évig terjedő szabadságvesztéssel büntetendő.

Továbbá aki a rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. A NAIH több, egymáshoz kapcsolódó eljárást és intézkedést indíthat vagy alkalmazhat egy ilyen ügyben. Ez lehet felszólítás az adatok törlésére, valamint akár ötvenmillió forintos bírságot is kiszabhatnak a jogsértőkre.