Péterfalvi szerint a vizsgálat kulcsa most az, milyen adatbiztonsági garanciákat tudott ténylegesen biztosítani a Tisza Párt. – Meg kell nézni, milyen védelmi rétegek működtek a rendszerben, tűzfalvédelem, hozzáférés-szabályozás, titkosítás, és ezek megfeleltek-e annak, amit a GDPR előír – mutatott rá a NAIH vezetője. A szakember hangsúlyozta: ha egy külső szereplő feltöri a rendszert, azzal önmaga is adatkezelővé válik, de ez jogellenes adatkezelésnek minősül. – Egy ilyen hekker több bűncselekményt is elkövethet, például tiltott adatszerzést vagy számítástechnikai rendszerbe való jogosulatlan beavatkozást.
De a felelősség nem áll meg itt. Ha az adatkezelő – jelen esetben a Tisza Párt – nem teljesíti az elvárt biztonsági feltételeket, azzal maga is bűncselekményt követhet el.
Tehát a bűncselekmény elkövetése fennállhat a Tisza Párt oldalán is mint adatkezelő oldalán. Ha nem volt megfelelő az adatbiztonság, de fennáll értelemszerűen a hekkelő oldalán is, ott akár több bűncselekményi kategória is megvalósulhatott. Ugyanakkor az adatok kiszivárogtatása, tehát az adatvédelmi incidens bekövetkezhet belülről is, nyilván, ha valaki jogosulatlanul, tehát nem külső támadás által, hanem a belső adatbázist szivárogtatta ki – fejtette ki Péterfalvi Attila. Közölte: a Büntető törvénykönyv alapján személyes adattal való visszaélést követ el az is, aki elmulasztja az adatok biztonságát szolgáló intézkedéseket.
A jogsértés tehát kétoldalú lehet. Éppen ezért most azt is vizsgálják, hogy volt-e bárki a párt belső rendszerében, aki jogosulatlanul hozzáférhetett a teljes adatbázishoz.
A NAIH hivatalból indított vizsgálatot október 7-én, miután a sajtó előző nap beszámolt az első incidensről. A hatóság jelenleg két irányban vizsgálódik:
- Egyrészt azt elemzik, a Tisza Párt adatkezelése megfelelt-e a GDPR előírásainak, különös tekintettel az adatminimalizálás elvére, vagyis tényleg szükség volt-e például a lakcímek pontos geolokációs rögzítésére.
- Másrészt azt, hogy a jogellenesen nyilvánosságra hozott adatbázist kik és hogyan terjesztették tovább.
– Ez már minőségi ugrás az ügyben. Nem mindegy, hogy néhány ezer ember vagy kétszázezer ember különleges adata kerül nyilvánosságra – foglalta össze Péterfalvi Attila, hozzátéve: az eljárás folyamatban van, és mindkét adatkezelés, a Tisza Párt eredeti rendszere és az illegális terjesztés külön vizsgálat tárgya.
A Tisza Párt adatgyűjtési botránya
Szóljon hozzá!
Jelenleg csak a hozzászólások egy kis részét látja. Hozzászóláshoz és a további kommentek megtekintéséhez lépjen be, vagy regisztráljon!