50 millióra büntette az adatvédelmi hatóság a Mediaworksöt, amiért linkelték a Tisza applikációjából lopott adatokat a cikkeikben
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 50 millió forintos bírságot szabott ki a Mediaworksre, amiért az Origo, a Magyar Nemzet és a Ripost is linkelte tavaly november 7-i cikkeiben azt interaktív térképet, amelyen ismeretlenek közzétették azoknak a személyes adatait, akik letöltötték a Tisza Párt Tisza Világ nevű alkalmazását.
A tavaly novemberi cikkek olyan címekkel jelentek meg, mint „Interaktív térképen mutogatják a Tisza-szimpatizánsokat”, „Mindenki megkeresheti, ki a tiszás az utcájában vagy a falujában” és „Elképesztő link kering a világhálón: mindenki megnézheti ki a Tiszás a közelében”.
A NAIH szerint a link közzétételével a Mediaworks szándéksan megsértette az adatvédelmi rendeletet. A lapkiadó vállalatnak 30 napja van befizetni az ötvenmilliós bírságot.
Tavaly november elején ismeretlen elkövetők mintegy kétszázezer Tisza Világ-felhasználó adatait hozták nyilvánosságra az interneten. A kiszivárogtatott listán az érintettek neve, telefonszáma, e-mail címe és lakcíme is szerepelt. Ezután valaki egy interaktív honlapon térképes formában közzétette az érintettek személyes adatait.
A térképről részletesen beszámolt a kormányközeli sajtó, elsőként az Index írt róla hosszú cikket, majd ennek nyomán a Magyar Nemzet is beszámolt róla. Az Indexen az oldalt nem linkelték, de több kormányközeli portálon ez is megtörtént, a Magyar Nemzet mellett az Origo és a Vadhajtások is megosztották az oldal linkjét is, igaz, később törölték a cikkekből a hivatkozást. Miután a kormányközeli lapok, például a Mandiner lényegében elkezdték listázni, hogy kik azok szerintük, akik letöltötték a Tisza applikációját, a NAIH közleményt adott ki arról, hogy nincs rendben, ha sajtótermékek nyilvánosságra hozzák a tiszások kiszivárgott személyes adatait. A hatóság később azt is leszögezte, bűncselekményt követett el, aki létrehozta a térképes oldalt.
A Tisza Párt adatbázisait érintő adatvédelmi incidensek miatt Magyar Péter, a Tisza Párt elnöke is feljelentést tett. A Tisza Párt applikációjának ügyében a Kiberbiztonsági Intézet vizsgálatot indított, valamint információs rendszer vagy adat megsértésének gyanúja miatt ismeretlen tettes ellen a Nemzeti Nyomozó Iroda (KR NNI) is nyomozást rendelt el. A NAIH-hoz néhány nap alatt mintegy 700 beadvány érkezett a a médiában megjelent cikkek miatt, ezért a hatóság hivatalból adatvédelmi eljárásokat indított több médiaszolgáltatóval szemben is. A NAIH december elején a Tisza központjába is kiszállt. Az adatszivárgási ügyről ebben a cikkben írtunk részletesen.
A NAIH kedden közzétett határozatában olvasható, hogy a Mediaworks az Origo cikkének esetében először azzal védekezett, a térképet nem ő hozta nyilvánosságra, „az bárki által hozzáférhető volt”, az adatszivárgás pedig „közérdeklődésre számot tartó közéleti vita”, ezért számoltak be róla. Később kikerült a link az Origo cikkéből. Amikor a hatóság kikérte a kiadótól a cikk eredeti verzióját, a Mediaworks azt válaszolta „már nem tudja megállapítani, hogy mi volt a publikálás eredeti időpontja, és nem tudja az eredeti szöveget sem továbbítani”. Azt sem tudták megmondani, meddig volt elérhető a térképre mutató link a cikkben. A hatóság végül a minden internetfelhasználó számára elérhető és használható Wayback Machine segítségével fejtette vissza, mi és mikor változott a cikkben, és megállapította, hogy kevesebb mint két órán keresztül szerepelt a link a cikkben.
A Mediaworks azt sem tudta megválaszolni, hogy ebben az időszakban hányan kattintottak a cikkre, ezért ezt a NAIH a Gemius hivatalos mérése alapján számolta ki.
A Magyar Nemzet cikkében azt írták „a térképre, amely »felhasználóbarátabbá« teszi a tiszások felkutatását, az Index bukkant rá. Az oldalon földrajzi koordináták alapján böngészhetők az érintettek – így akár utca- vagy házszinten is megnézhető, kik a Tisza-szimpatizánsok a környéken. De az emberek nevére külön is rá lehet keresni, azt is megtudhatják az érdeklődők, hogy kik tiszások az ismerőseik közül”. Később ebből a cikkből is kikerült a link, de a hatóság hiába kérte ki a Medaworkstől az eredeti cikk szövegét, a kiadó ebben az esetben is azt válaszolta, nem tudja, mikor publikálták a cikket, és nem tudja továbbítani a szövegét. A NAIH ezért megint a Wayback Machine-hoz fordult segítségért, és megállapította, hogy csak egy órán keresztül volt benne a link a cikkben.
Később a cikk szövege is módosult, arra, hogy „a térképre, amit a NAIH állásfoglalása szerint nem közölhetünk, hiszen azzal adatkezelőkké válnánk, az Index bukkant rá”.
A Ripost cikkében nemcsak a térkép linkje, de egy képernyőkép is szerepelt a térképről. A Mediaworks a Ripost esetében is azt írta a hatóságnak, „már nem tudja megállapítani, hogy mi volt a publikálás eredeti időpontja, és nem tudja az eredeti szöveget sem továbbítani”, annyit közölt, hogy a cikkből még aznap kikerült a link. A hatóság ezt is megpróbálta ellenőrizni, de mivel a Wayback Machine csak aznap este (akkor még benne volt), majd két nappal később készített oldalmentést (akkor már nem volt benne), csak annyit tudott megállapítani, hogy legalább 4 óra 22 percen keresztül elérhető volt a térkép linkje a cikkben.
A NAIH álláspontja szerint önmagában az, hogy a cikkek egy közérdeklődésre számot tartó ügyet mutatnak be, nem elégséges érv a kiadóvállalat részéről, hiszen nem a cikkek közlésével, hanem azokban a térkép linkjének közzétételével valósított meg adatkezelést, ez pedig „meghaladja a közügyről szóló tudósítás kereteit”. Ezt ráadásul a Mediaworks is tudhatta, hiszen a NAIH erre vonatkozó közleménye már a cikkek közzététele előtt ismert volt – sőt, maguk a cikkek is hivatkoztak erre.
A NAIH szerint a Mediaworks cikkei – mint ahogy más médiaszolgáltatók, például a cikkekben hivatkozott Index is – a térkép elérhetőségének közzététele nélkül beszámolhattak volna a térkép létezéséről.
A Mediaworks azzal is védekezni próbált, hogy a TiszaPárt „adatkezeléseivel kapcsolatos botrányokhoz kapcsolódó közéleti vita” „részvevői” és így „közéleti szereplők”. A hatóság szerint a cég hibásan következtett arra, hogy „az érintettek aktív közéleti szereplőkké váltak azon egyszerű ténynél fogva, hogy érintettjei voltak a Tisza Párt adatkezeléseit érintő adatszivárgásnak”, ez ugyanis nem így van, ők egy „potenciális bűncselekmény áldozatai”.
A hatóság szerint a jogsértést súlyosbította az is, hogy az érintettek személyes adatainak (különösen a lakcímüknek) a terjesztése a parlamenti választások előtt öt hónappal számos potenciális negatív következménnyel járhatott „az érintettekre nézve (célzott zaklatás, társadalmi megbélyegzés, hátrányos megkülönböztetés, megfélemlítés, munkahelyi vagy családi konfliktusok, hátrányok, személyes biztonság veszélye, szabad politikai véleménynyilvánítás csorbulása)”.
Súlyosbító körülmény volt az is, hogy a Mediaworks kiadványai egyértelműen szándékosan tették bele a linket a cikkekbe, hiszen az általuk is hivatkozott Index a cikkében még kifejezetten hangsúlyozta, hogy ezt nem teszi meg, és az olvasókat is arra kérték, hogy ne keressenek rá. Az Origo, a Magyar Nemzet és a Ripost cikkeiben ennek ellenére már – ha csak pár óra erejéig is – de ott volt a link.
A NAIH ezért 50 millió forintra bírságolta a lapokat kiadó Mediaworksöt.
