Bárki szabadon hozzáférhetett a Magyar Kétfarkú Kutya Párt (MKKP) belsős táblázataihoz, melyekben közel 2000 pártoló tag, aktivista, jelölt adatai és elérhetőségei szerepeltek. Az esetről az MKKP értesítette a Nemzeti Adatvédelmi Hatóságot (NAIH), amely a vizsgálat végén megállapította, hogy a párt megsértette az adatvédelmi rendeletet (GDPR), ezért 3 millió forintos büntetést szabtak ki rájuk.
Az áprilisi határozat szerint az MKKP-nál Google Sheets táblázatban tartották számon többek között a párttagok és a pártolók elérhetőségi adatait (telefonszám, e-mail címek, lakcímek, személyi igazolvány számok), de a feladatokat, aktivistákat is itt gyűjtötték össze.
A táblázatokhoz a párt vezetői és az aktivisták is hozzáfértek, és a Hvg.hu decemberi cikke szerint olyan adatok is szerepeltek benne az MKKP tagjairól, melyek még érintőlegesen sem hozhatók összefüggésbe pártbéli tevékenységgel. Olyan megjegyzések szerepeltek egyes tagok mellett, mint hogy „válásban van”, „Londonba költözik”, „fura ember”, de az egészségi állapotra utaló olyan megjegyzéseket is találtak, mint hogy az illetőt „nyirokrákkal kezelik”, „pánikbeteg”, „márciusban fog szülni”, vagy az, hogy „két éve volt egy infarktusa”.
A Hvg.hu-nak azt válaszolták decemberben, hogy nem tudják egyértelműen bizonyítani, hogy ki követte el a visszaélést, de a NAIH-nál megtették a szükséges lépéseket. A tagok személyes adatainak nyilvántartása törvényi kötelezettség, a személyiigazolvány-számokat pedig állításuk szerint azért írták fel, mert „félévente kajmán-szigeteki nyaralást sorsolunk ki a tagok között, és a repjegyre kell a szigszám”.
Az MKKP vezetői azt nem tudták megállapítani, hogy az adatok kiszivárgása külső cselekmény (pl. hekkertámadás) vagy belső szivárogtatás eredménye volt. Az incidenst követően mindenesetre a társelnökök kivételével mindenkitől megvonták a hozzáférést a fájlok megtekintéséhez.
A bejelentés után a NAIH további adatszolgáltatást kért a párttól, de nem válaszoltak. A hatóság az érintettek személyes adatainak kezelését magas kockázatúnak minősítette, mivel ezek politikai véleménnyel összefüggésbe hozható adatok voltak – írja a Gdprbirsagok.hu. Márpedig a magas kockázattal szemben a Google Sheets online, ingyenesen elérhető szolgáltatása nem volt arányosan biztonságos, így azzal, hogy az MKKP nem alkalmazott megfelelő technikai és szervezési intézkedéseket a pártszimpatizánsok adatainak megőrzése érdekében, megsértették az adatvédelmi törvényt.
A 3 millió forintos bírság mellett utasították az MKKP-t, hogy igazolja a NAIH felé, hogy mikor, milyen formában és tartalommal értesítette az érintetteket az adatvédelmi incidensről, valamint arról is tájékoztatást kell adniuk, hogy az adatkezelést hogyan alakították át.
Frissítés 15:11: Nagy Dávid, az MKKP pártigazgatója a Telexnek azt mondta, az adatvédelmi incidensről ők értesítették a NAIH-t, akik ezután adatszolgáltatást kértek a párttól, valamint azt, hogy az érintett személyeket is értesítsék az adatszivárgásról. Ezt először azért nem tudták megtenni, mert az adatok még elérhetők voltak azon a tárhelyen, ahová a szivárogtató feltöltötte azokat, így még több illetéktelen férhetett volna hozzájuk.
Azóta viszont már nem elérhetők nyilvánosan ezek az adatok, és minden alkalommal reagáltak a NAIH megkereséseire – mondta Nagy. A hatóságot tájékoztatták arról, miként alakították át az adatkezelési gyakorlatukat és az IT hátterüket. Nagy azt mondta, jelenleg is zajlik a vizsgálat az ügyben. Hozzátette: az érintetteket tájékoztatták az incidensről, és elnézést is kértek tőlük az érzékeny adatok kiszivárgása miatt. Elismerte, hogy hibáztak, de ígérete szerint ilyen többet nem fog előfordulni az általuk kezelt adatokkal. Az MKKP esettel kapcsolatos hirdetménye itt olvasható.