magyar Péter Tisza Párt Péterfalvi Attila

Bűncselekményt is elkövethetett a Tisza, ha nem vigyázott a felhasználók adataira

Az ügyben az alapvető felelősség egyértelműen a Tisza Párté – hangsúlyozta Péterfalvi Attila a Tisza Párt adatszivárgási botránya kapcsán. A Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke emlékeztetett: az Európai Unió adatvédelmi rendelete világosan kimondja, hogy az adatkezelő köteles garantálni a kezelt személyes adatok biztonságát. Magyar Péterék így nagy bajba kerülhetnek.

2025. 11. 10. 14:33

Péterfalvi Attila szerint az adatszivárgási ügyben az alapvető felelősség egyértelműen a Tisza Párté. Az Európai Unió adatvédelmi rendelete (GDPR) ugyanis világosan kimondja: az adatkezelő felel azért, hogy a kezelt személyes adatok megfelelő biztonságban legyenek. Ez nem pusztán technikai kérdés, hanem jogi kötelezettség is. Az adatkezelőnek a tudomány és technológia mindenkori állása, az adatkezelés jellege, valamint a kezelt adatok köre alapján kell gondoskodnia a védelemről – mondta az Indexnek Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vezetője a Tisza-adatbotránnyal kapcsolatban.

Péterfalvi, Tisza Párt, Magyar Péter — Magyar Péterék bajba kerülhetnek az adatszivárgás miatt. Fotó: Mandiner/Ficsor Márton

Mint korábban beszámoltunk róla, hatalmas adatbázis jelent meg a világhálón: a Tisza Párt mobiltelefonos alkalmazásából, a Tisza Világból szivárgott ki kétszázezres névsor. A Tisza Párt vezetője azóta önmagáról úgy próbálja elterelni a figyelmet, hogy perrel fenyegeti azon portálokat, amelyek beszámoltak az adatszivárgás következményeiről. Ráadásul úgy tűnik, hogy mindezt az Átlátszó tanácsára teszi Magyar Péter.

A pártelnök magyarázata folyamatosan formálódott a botrányról. Először orosz hekkereket sejtett a háttérben, akik szerinte feltörték az applikációt. Később már azzal vádolta a kormányt, hogy megrendelte a támadást.

Közben a Tisza Párt egyik saját embere is megszólalt. A Magyar Nemzetnek nyilatkozó Gyuk Zsolt, a párt egyik koordinátora és informatikusa, aki részt vett az applikáció tesztelésében, elismerte:

Sokat kellett volna még javítani a Tisza Világ szoftverén, de Magyar Péter sürgette az alkalmazás beindítását.

Hozzátette, ők csak a felhasználói élményt vizsgálták, a biztonsági fejlesztés mások feladata volt. A legfrissebb fejlemények szerint a NAIH már vizsgálatot indított a párttal szemben, miközben a kiszivárgott adatok új életre keltek az interneten.

A Tisza Párt és a garanciák

A megfelelő biztonság többféle módon megvalósítható, ilyen lehet például az adatok álnevesítése vagy titkosítása – magyarázta a NAIH elnöke. Péterfalvi Attila hozzátette: az adatkezelő köteles folyamatosan megőrizni a kezelt adatok bizalmasságát, integritását, rendelkezésre állását és ellenálló képességét.

Nyilván bekövetkezett egy adatvédelmi incidens. Az incidens a biztonság sérülése, és ebből a szempontból ez bekövetkezhetett kívülről egy külső támadás formájában

– mondta a NAIH elnöke.

Péterfalvi szerint a vizsgálat kulcsa most az, milyen adatbiztonsági garanciákat tudott ténylegesen biztosítani a Tisza Párt. – Meg kell nézni, milyen védelmi rétegek működtek a rendszerben, tűzfalvédelem, hozzáférés-szabályozás, titkosítás, és ezek megfeleltek-e annak, amit a GDPR előír – mutatott rá a NAIH vezetője. A szakember hangsúlyozta: ha egy külső szereplő feltöri a rendszert, azzal önmaga is adatkezelővé válik, de ez jogellenes adatkezelésnek minősül. – Egy ilyen hekker több bűncselekményt is elkövethet, például tiltott adatszerzést vagy számítástechnikai rendszerbe való jogosulatlan beavatkozást.

De a felelősség nem áll meg itt. Ha az adatkezelő – jelen esetben a Tisza Párt – nem teljesíti az elvárt biztonsági feltételeket, azzal maga is bűncselekményt követhet el.

Tehát a bűncselekmény elkövetése fennállhat a Tisza Párt oldalán is mint adatkezelő oldalán. Ha nem volt megfelelő az adatbiztonság, de fennáll értelemszerűen a hekkelő oldalán is, ott akár több bűncselekményi kategória is megvalósulhatott. Ugyanakkor az adatok kiszivárogtatása, tehát az adatvédelmi incidens bekövetkezhet belülről is, nyilván, ha valaki jogosulatlanul, tehát nem külső támadás által, hanem a belső adatbázist szivárogtatta ki – fejtette ki Péterfalvi Attila. Közölte: a Büntető törvénykönyv alapján személyes adattal való visszaélést követ el az is, aki elmulasztja az adatok biztonságát szolgáló intézkedéseket.

A jogsértés tehát kétoldalú lehet. Éppen ezért most azt is vizsgálják, hogy volt-e bárki a párt belső rendszerében, aki jogosulatlanul hozzáférhetett a teljes adatbázishoz.

A NAIH hivatalból indított vizsgálatot október 7-én, miután a sajtó előző nap beszámolt az első incidensről. A hatóság jelenleg két irányban vizsgálódik:

Egyrészt azt elemzik, a Tisza Párt adatkezelése megfelelt-e a GDPR előírásainak, különös tekintettel az adatminimalizálás elvére, vagyis tényleg szükség volt-e például a lakcímek pontos geolokációs rögzítésére.
Másrészt azt, hogy a jogellenesen nyilvánosságra hozott adatbázist kik és hogyan terjesztették tovább.

– Ez már minőségi ugrás az ügyben. Nem mindegy, hogy néhány ezer ember vagy kétszázezer ember különleges adata kerül nyilvánosságra – foglalta össze Péterfalvi Attila, hozzátéve: az eljárás folyamatban van, és mindkét adatkezelés, a Tisza Párt eredeti rendszere és az illegális terjesztés külön vizsgálat tárgya.