A rendszerváltás utáni legsúlyosabb választási csalásról beszél a Fidesz, de azt se tudni, hogy történt-e jogsértés

Nem volt egyszerű dolga annak, aki az elmúlt időszakban naprakész akart maradni a kampányról szóló hírek tengerében, de voltak persze olyan hangsúlyos témák, amiknek a követése nem igényelt túl sok erőfeszítést. Ilyen volt a választási csalások kérdése is, ahol a kidobott levélszavazatokra a Fidesz azzal reagált, hogy „a baloldal a magyar rendszerváltás óta éppen a legsúlyosabb választási csalásokat követi el a Bajnai-féle teljesen illegális DatAdat adatbázissal”. Erről a teljes kormánymédia beszámolt az elmúlt napokban, pénteken pedig maga Orbán Viktor is beszélt róla a Kossuth rádióban, majd a székesfehérvári kampányzárón is, így láthatóan fontos téma a Fidesznek. De miről van szó pontosan?

Milyen csalás?

Orbán a választás előtti utolsó rádióinterjújában nagyon súlyos ügynek és orbitális választási csalásnak nevezte azt, hogy a választópolgárok névre szóló sms-eket és telefonhívásokat kaptak az ellenzéktől, amit szerinte ki kell majd vizsgálni, mert jogsértés történt. A miniszterelnök az általunk is megírt telefonhívásokra gondolhatott, amelyekben Márki-Zay Péter felesége beszél arról, hogy békét akar, mint Orbán Viktor, az sms-ek alatt pedig a vélhetőleg az egységes ellenzék kampányüzeneteit közvetítő üzenetekre gondolhatott.

Márki-Zay kampánystábja a Telexnek megerősítette, hogy a hívásokban hallható hanganyagot valóban Márki-Zayné Vincze Felícia mondta fel, a szöveges üzenetek kapcsán viszont azt közölték, hogy

„az Egységben Magyarországért kampánya kizárólag legális adatbázisokat használ, nem küldtek senkinek a fideszes propagandamédiában neki tulajdonított sms-eket”.

Csütörtök reggel aztán több kormányközeli lap is arról írt a Mediaworks Hírcentruma nyomán, hogy az sms-ek hátterében a Datadat-csoport állhat, az akciót pedig illegális adatbázis felhasználásával hajtották végre. Azt is hozzátették, hogy értesüléseik szerint „az illegális úton beszerzett adathalmaz Facebook-profilokból letöltött, nevekkel összekapcsolt telefonszámokból, illetve banki és kereskedelmi adatbázisokból kinyert elérhetőségekből áll”. A Fidesz hamar le is csapott a dologra, délelőtt már ezzel reagáltak az ellenzék levélszavazatokkal összefüggő aggályaira.

Milyen Datadat?

Nem ez volt ugyanakkor az első alkalom, hogy a Datadat bekerült a hírekbe az elmúlt időszakban. Az Index hetekkel ezelőtt indított cikksorozatot a cégről, melyre csak „Bajnai Gordon offshore csodafegyvereként” hivatkoztak rá, később pedig adathalászatról, kamuprofilokról, zavaros pénzügyi háttérről és a GDPR kijátszásáról is írtak a témában. A lap már hetekkel ezelőtt azt írta, hogy Bajnai Gordon mozgatja a szálakat a háttérben az egykori titkosszolgálati minisztere, Ficsor Ádám által alapított és vezetett cégnél, ezt pedig azóta a teljes kormánymédia, sőt, maga a Fidesz is átvette.

A Datadat a cikksorozatra, illetve az elmúlt napokban megjelent hírekre reagálva hosszú reakciót tett közzé a honlapján, amelyben visszautasították az összes felmerült állítást, beleértve a fentebb külön kiemelteket is. Mint írták, Bajnai Gordon passzív kisebbségi tulajdonosként nem is vesz részt a napi működésben és hangsúlyozták, hogy minden országban jogszerű a működésük, legyen szó akár az adózásról vagy az adatvédelmi törvényeknek való megfelelésről. Azt is cáfolták, hogy azért lenne észt leányvállalatuk, mert ott lazábbak a GDPR-szabályok.

Ennek lehetőségét a Telexnek nyilatkozó szakértők is egyértelműen elvetették, de egy gyors Google-keresésből is jól látszik, hogy az észteknél sem lehet megkerülni az egész EU területén érvényes rendeletet. Az egyetlen különbségnek az tűnik, hogy az országban nincs lehetőség a maximális, 20 millió eurós vagy a cégcsoport szintű árbevétel 4 százalékát kitevő büntetés kiszabására, ehelyett 400 ezer euró a plafon. A GDPR Enforcement Tracker adatai szerint például Magyarországon sosem szabtak még ki ekkora bírságot, az eddigi legmagasabb büntetés 288 ezer euró, vagyis durván százmillió forint volt – ezt a DIGI kapta még 2020-ban. Az észteknél eddig 100 ezer euró volt a plafon.

Egyáltalán mit csinál a Datadat?

A Datadat röviden összefoglalva egy digitális cégcsoport, amely közéleti és politikai kampányokat támogat fejlett technológiákkal. A honlapon szereplő leírás szerint az eszközeikkel garantálni tudják, hogy az ügyfeleik a lehető legtöbb embert tudják elérni és a megfelelő üzeneteket el tudják juttatni a kívánt célközönséghez. Ehhez adatbázisokat építenek, ez azonban nem jelenti azt, hogy a tulajdonukban lennének a magyar választópolgárok adatai. Az EU-s általános adatvédelmi rendeletben (ismertebb nevén GDPR) foglaltak alapján ugyanis a cég nem adatkezelő, hanem adatfeldolgozó, amely kizárólag megbízásból kezel személyes adatokat.

Természetesen azt, hogy a Mindenki Magyarországa Mozgalom számára pontosan milyen szolgáltatásokat nyújtanak, milyen adatokat gyűjtenek és milyen forrásokra támaszkodnak, nem lehet tudni.

Ezt Rónaszéki Péter az információbiztonsággal foglalkozó FORTIX Consulting ügyvezetője is kiemelte, amikor az ügyről kérdeztük, de hozzátette, hogy azt általánosan el lehet mondani, hogy az állampolgárok információvédelmi és adatbiztonsági tudatossága sajnos alacsony. Ez azt jelenti, hogy az átlagemberek nincsenek annak tudatában, hogy ki és hogyan használja a személyes adataikat, ha egyszer beleegyeznek azok kezelésébe. Ezért különféle módszerekkel viszonylag könnyen rá lehet őket bírni arra, hogy megadják ezeket.

Ettől még persze, ha valakit megfelelően tájékoztatnak arról, hogy milyen célra kérik el az adataikat, előre hozzájárulást kérnek tőle, és biztosítanak olyan lehetőségeket, mint a hozzájárulás visszavonása, vagy akár az adatok törlése, akkor a cég teljesen jogszerűen jár el. A Datadat pedig minden jel szerint így tesz. Szigetvári Viktor, a cég műveleti igazgatója a Telexnek azt mondta: kizárólag olyan adatot dolgoznak fel, amelyhez az adatkezelő dokumentált módon beleegyezést kért és kapott.

Mi van az sms-ekkel?

Rónaszéki a kiküldött sms-ekről, amelyekből saját bevallása szerint Deutsch Tamás is kapott, azt mondta, hogy ha azokat olyanoknak is megküldték, akik előtte nem adták hozzájárulásukat az adataik kezeléséhez, akkor nyilván jogsértésről van szó. Ahhoz viszont, hogy ezt kijelentsük, nem tudunk eleget a dolog hátteréről. A kormánymédia az ügy kapcsán arról írt, hogy „információik szerint a szolgáltatók és a hatóságok közös vizsgálatából kiderült, hogy az üzenetek kiküldését egy közbeiktatott cégen keresztül a Datadat-csoport osztrák leánycége rendelte meg, a művelethez szükséges hatalmas adatbázist is ez a vállalkozás biztosította”.

A Datadat viszont az ellenzéki összefogáshoz hasonlóan határozottan elutasította, hogy bármi közük lenne a kiküldött sms-ekhez. Mint írták a cégcsoport semmilyen módon nem vett részt ilyen kampányban.

Ugyan erről egyáltalán nem esett szó az ügy kapcsán, a szakértő szerint magyarázat lehet akár az is, ha az adatbázishoz valaki jogszerűtlenül hozzáfért és letöltötte, hiszen innentől nem lehet követni az adat útját. Mint mondta, az az orosz-ukrán háborúban is látszik, hogy nem nehéz illetéktelenül behatolni egy kritikus informatikai infrastruktúrába, mert a tudatosság sokszor még az ezeket üzemeltető embereknél is alacsony.

Szigetvári ugyanakkor hangsúlyozta, hogy adatfeldolgozóként nem tárolták azokat a számokat – például Deutschét, vagy az ügyben személyes érintettsége miatt Márki-Zayt faggató Bohár Dánielét –, amelyek kapcsán nyilvánosan felmerült, hogy kaptak a fent említett SMS-ekből. Mint írta, mások mellett az ő számaikat sem kezelték, nem dolgozták fel, így tőlük nem is kerülhetett ki máshoz, még adatlopással sem. Ennek kapcsán azt is közölte, hogy a rendszereik védettek, behatolást pedig nem tapasztaltak.

Rónaszéki arról is beszélt, hogy a GDPR alapján mindent meg kell tenni az adatok védelméért, így ha ebben az esetben akár egy ember adataival kapcsolatban is történt jogsértés, akkor ez egy adatvédelmi ügy, amivel a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) fog foglalkozni a megfelelő hatóságok bevonásával. Ez a folyamat egyébként már meg is indult, a NAIH péntek este bejelentette, hogy eljárást indított az ellenzéki sms-kampány ügyében.

Akkor most oké, vagy nem?

A Telexnek egy kiberbiztonsági szakértő röviden úgy foglalta össze a dolgot, hogy a GDPR megköveteli a célhoz kötött adatgyűjtést – és még egy rakás más követelményt is támaszt, itt meg lehet nézni mindent. Ha ez nem áll meg, akkor gond van, de ha az adatokat úgy gyűjtötték be, hogy előre tájékoztatták az adat tulajdonosát arról, hogy mire fogják felhasználni az adataikat és ez világosan érthető volt, akkor rendben van a dolog. Mint mondta, ez nem mindenhol van így, az Egyesült Államokban például sokkal ködösebb ez az egész, de az Európai Unióban egyértelmű a helyzet. Végül úgy foglalta össze a dolgot, hogy

ha egy adatbázisban olyan emberek vannak, akik engedélyt adtak arra, hogy használják az adataikat, akkor oké; ha nincs engedély, akkor nem.

Azt is hozzátette, hogy kulcskérdés, hogy honnan származnak az adatok: ha adatszivárgásból vagy hasonló forrásból, akkor természetesen nem használhatók fel. Azt, hogy jelen helyzetben mi történt, ki küldte az sms-eket, egyelőre lehetetlen megmondani, a NAIH vizsgálatának lezárultáig annyit lehet rögzíteni, hogy a Datadat kategorikusan tagadja az érintettségét, a kormánypárti lapok viszont azt is tudni vélik, hogy „a szolgáltatók és a hatóságok közös vizsgálatából” már az is kiderült, hogy pontosan hogyan küldték ki az üzeneteket.

Amennyiben a NAIH vizsgálata nyomán esetleg bebizonyosodik, hogy a cégnek köze volt az ügyhöz, annak nyilván lesznek következményei, de egyelőre semmi nem bizonyítja, hogy ez lenne a helyzet. Azt ugyanakkor érdemes kiemelni, hogy az Átlátszó két évvel ezelőtti cikke szerint a Datadatnak szerepe lehetett az ellenzéki propagandacsatornák legnagyobb gravitációs központjának, az Ezalényeg-birodalomnak a létrehozásában.

Az ide tartozó oldalak oroszlánrészt vállalnak az ellenzék online térben zajló szürkezónás kampányköltéseiből – bár még mindig messze elmaradnak az olyan, kormánynak kedves véleményeket sulykoló oldalaktól, mint a Megafon központ. A Datadat érintettségére ebben az esetben sincs kézzel fogható bizonyíték az Átlátszó forrásain túl, és még ha lenne is, ahogy azt ebben a cikkünkben is írtuk, az Ezalényeg és a hasonló oldalak működése ugyancsak teljesen törvényes és legális, így nem lenne miért felelősségre vonni a céget. Az viszont biztos, hogy ez sokkal véleményesebb az adatgyűjtésnél.