Júniusban zárult le az az aláírásgyűjtés, amit Hadházy Ákos, független parlamenti képviselő kezdeményezett annak érdekében, hogy Magyarország csatlakozzon az Európai Ügyészséghez. Összesen majdnem 700 ezer aláírás jött össze, ám valaki bepanaszolta Hadházyt a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), mondván szabálytalanul zajlott az aláírásgyűjtés.
Péterfalvi Attila, a NAIH elnöke főként a GDPR-ra hivatkozik, ám a Narancs által megkérdezett szakértő szerint több helyen is alaptalanul. Egy helyen pedig kifejezetten hibásan, hiszen Péterfalvi egy ponton beleírt egy szót a GDPR-ba, hogy saját álláspontját alátámassza.
| Az Európai Ügyészség lett volna a cél
Hadházy Ákos tavaly ősszel indított aláírásgyűjtést annak érdekében, hogy Magyarország csatlakozzon az Európai Ügyészséghez. A politikus egymillió aláírást akart összegyűjteni annak érdekében, hogy nyomást gyakoroljon a kormányra, és csatlakozzon a közös szervezethez. Ellenzékben a Fidesz még támogatta az Európai Ügyészség ötletét, ám kormányon már úgy látta, egy ilyen szervezet csökkentené az ország szuverenitását. Az egymillió helyett végül 680 ezer aláírás jött össze, ebből 130 ezret a kezdeményezéshez csatlakozó MSZP és Momentum aktivistái gyűjtöttek, összesen mintegy 26 ezer önkéntes segített a munkában. |
„Véleményem szerint a NAIH politikailag kényes ügyekben részrehajló, és nem hiszem, hogy más ügyekben is ennyire elszántan igyekezett volna – sokszor igen erőltetetten – fogást találni az adatkezelőn”, összegezte véleményét Remport Ádám. A TASZ magánszféra projektjének jogi munkatársa Péterfalvi érvelésének több pontját és problémásnak találta. Hadházyék szerint Péterfalvi olyan feltételeket vár el, amik egyszerűen ellehetetlenítenék az aláírásgyűjtéseket – például azért, mert a NAIH szerint nem elég egy aláírással kifejezni az adatkezeléshez való hozzájárulást.
Péterfalvi Attila szerint egy politikai petíció aláírásával különleges adatok keletkeznek, hiszen fény derül az aláíró politikai véleményére. Egy ilyen különleges adat kezeléséhez viszont a GDPR „kifejezett hozzájárulást” vár el. Péterfalvi szerint az, hogy valaki odamegy egy aláíró pulthoz, elolvassa a petíció célját, az adatkezelési tájékoztatót, majd megadja az adatait és aláír, nem tekinthető „az érintettek akaratának egyértelmű és konkrét kinyilvánításának”.
Remport szerint az aláírás elegendő hozzájárulás még egy különleges adat kezeléséhez is, Hadházy pedig ezt támasztja alá az EU Adatvédelmi Munkacsoportjának erről szóló ajánlása is. A szakértők szerint ennél többet elvárni aránytalanul szigorú elvárás.
Hasonlóan „szőrszálhasogató” Péterfalvi a jogvédő szerint akkor, amikor a kapcsolattartáshoz szükséges adatok gyűjtését kifogásolta. Az aláírásgyűjtő íveken ugyanis a hitelesítéshez szükséges adatokon (név, lakcím) túl azok, akik szerettek volna továbbra is információkat kapni Hadházyéktól megadhatták e-mail címüket és telefonszámukat is. Ez azonban opcionális volt, nem is minden aláíró élt a lehetőséggel.
Péterfalvi szerint ezen adatok kezeléséhez megint, külön hozzá kellett volna járulni minden aláírónak. „A NAIH állásfoglalásában hozzátoldott egy szót a GDPR szövegéhez, amely így az ő álláspontjukat erősíti: a (32) preambulumbekezdést így hivatkozzák: »Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan külön [kiemelés tőlem] meg kell adni.” A »külön« szó nem szerepel a GDPR szövegében, amely eredeti formájában – a NAIH álláspontjával szemben – teret enged annak az értelmezésnek, hogy több adatkezelési cél esetén is egy aktussal járuljon hozzá az adatalany az adatkezeléshez. Az adatvédelmi tájékoztató tartalmazta mindkét célt, és az érintettek dönthettek arról, hogy melyik adataikat adják meg, így az egy aláírással való hozzájárulás elfogadható kell, hogy legyen”, magyarázta Remport a Narancsnak.
| ||
A kapcsolattartási adatok kezelését ráadásul a GDPR sem kezeli olyan szigorúan, ezek kezeléséhez Hadházy szerint a ráutaló magatartás is vagy az aláírás is elegendő, ezt kimondja az EU Adatvédelmi Munkacsoportja is. Hadházy Ákos szerint, ha ez a fajta jogértelmezés teret nyerne, annak egész radikális következményei lehetne, és akár el is lehetetlenítené a politikai aláírásgyűjtéseket és a pártok online kampányait is. „Ha a kapcsolattartási adatokat ebben az esetben különleges adatnak minősítenénk, az abszurd jogértelmezési következményekre vezetne, és az összes politikus és politikai párt online megjelenését és szociális hálózaton való tevékenységét ellehetetlenítené”, áll a NAIH-nak megküldött válaszban.
Péterfalvi azt is kifogásolta, hogy az adatvédelmi tájékoztatóban nem írták le, pontosan kik lesznek az adatfeldolgozók. „Itt hibásan hivatkozik Péterfalvi a GDPR-ra, hiszen abban nincs ilyen előírás”, mondja Remport. „Ráadásul értelme sem lenne ennek: az adatfeldolgozó személye bármikor megváltozhat, az adatok jogszerű felhasználásáért pedig elsősorban az adatkezelő viseli a jogi felelősséget, nem az adatfeldolgozó”.
Hadházy Ákos a Narancsnak ráadásul azt mondta, hogy ők még az aláírás megkezdése előtt megküldték az adatvédelmi tájékoztatót a NAIH-nak, ám azt akkor Péterfalvi teljesen rendben lévőnek találta.
Az önkéntesek az aláírásgyűjtő íveket online is feltölthették az adatbázisba, ám ehhez meg kellett adniuk az e-mail címüket is. A NAIH elnöke szerint ez is jogellenes, mert ez esetben az e-mail cím megadása nem tekinthető önkéntesnek. Remport szerint ez a kifogás is erőltett, Hadházyék szerint viszont abszurd, hiszen ehhez a felületet eleve csak olyan önkéntesek használták, akikkel amúgy is kapcsolatban voltak. Ráadásul Péterfalvi egy korábbi állásfoglalásában – egy nyereményjáték kapcsán – elfogadhatónak találta ezt a gyakorlatot.
A politikus azt sem érti, miért rótta fel nekik Péterfalvi, hogy az adatok tárolására egy amerikai cég szolgáltatását használta. Hadházy arról beszélt lapunknak, hogy az általuk igénybe vett szolgáltatók minden szempontból megfelelnek a GDPR követelményeinek. „Minden párt, amelyik Facebookon levelez a választókkal, amerikai szolgáltatást vesz igénybe, a Fidesz is. Ezt a gyakorlatot akkor miért nem tartja problémásnak Péterfalvi?”
Rumport egy ponton azonban igazat adott Péterfalvinak „Az adatkezelési tájékoztatóból nem derült ki, hogy mi történik az összegyűjtött adatokkal, ha 2019. május 31-éig nem gyűlik össze egymillió aláírás, és ezért az ívek közjegyzőnek se lesznek átadva – ami főként azoknál aggályos, akik nem adtak meg elérhetőséget és ezért később se tudták kérni az adataik törlését. Ez a cél nélküli adatkezelés jogellenes, és az így kezelt adatok tekintetében jogos a törlésre felszólítás”. Ezt egyébként Hadházyék is elismerték, és felszólítás után azonnal törölték ezeket az adatokat.
Hadházy egyértelműen politikai támadásnak tartja a NAIH elnökének határozatát, amit az is alátámaszt szerinte, hogy Péterfalvi körbenyilatkozott a kormánypárti sajtóban az ügyről, még a vizsgálat lefolytatása előtt. „Az is tudomásunkra jutott, hogy olyan, közvélemény-kutatásnak álcázott kérdéseket is feltettek telefonon választóknak, hogy tudják-e, hogy csak az adatok megszerzéséről szólt az aláírásgyűjtés?”
A képviselő azt is fontosnak tartja kihangsúlyozni, hogy Péterfalvi kéréseinek nagy részét teljesítették: az ajánlóíveket megsemmisítették, az adatbázisokat törölték. A kapcsolattartási adatokat viszont nem fogják megsemmisíteni, csak ha jogerős bírói végzés kötelezi őket erre.
„A Fidesz célja ezzel a támadással, hogy hiteltelenítsen minket, mert nagyon fáj nekik az a 680 ezer aláírás, amit összegyűjtöttünk.” Hadházy szerint az is egyértelművé teszi, hogy Péterfalvi politikai megrendelésre dolgozik, hogy a Kubatov-listák ügyében nem tartja fontosnak a vizsgálódást. „Több mint egy hónapja beadtam azzal kapcsolatban egy beadványt, de semmiféle válasz nem érkezett még. Vizsgálat nélkül pedig azt kell elhinnünk, amit a Fidesz mond: hogy a listán szereplők maguk egyeztek bele az adatkezelésbe. De ez teljes képtelenség, hiszen a saját szememmel láttam, hogyan működik a Kubatov-lista. Azon nevek mellett az is szerepel, hogy »barát«, »közömbös« vagy »ellenfél« az illető. Egy »közömbös« vagy »ellenfél« szavazó pedig biztos nem írt alá a Fidesznek”.
| A Fideszt elmarasztalta a bíróság jogszerűtlen adatkezelés miatt Remport Ádám egy olyan ügyről is beszámolt a Narancsnak, melyben a bíróság a Fidesz adatkezelési gyakorlatát találta szabálytalannak. A TASZ egyik ügyfele a 2018-as választások előtt kezdett különböző propagandaanyagokat kapni Bakondi György miniszterelnöki megbízottól, miközben soha nem adta meg e-mail címét a Fidesznek. Egy idő után a jogvédő szervezethez fordult segítségért. A TASZ adatigénylés formájában próbálta megtudni a Fidesz-től, hogyan került hozzájuk az ügyfelük elérhetősége. Mivel a kormánypárt nem válaszolt az adatigénylésre, a TASZ perre vitte az ügyet. A per során kiderült, hogy különböző aláírásgyűjtések kapcsán keletkezett íveken szerepelt ügyfelük neve. „A különböző helyeken ránézésre is különböző aláírások szerepeltek a név mellett. Egy helyen még a neve is hibásan szerepelt. A Fidesz nem tudta bizonyítani, hogy jogszerűen kezelte az adatokat, ezért a bíróság jogellenesnek találta az adatgyűjtést”, mondta Remport. A Fidesz azt sem nem tudta bizonyítani, hogy beépítette azokat a kontrollmechanizmusokat az adatgyűjtésébe, aminek során az ilyen visszaélések kiszűrhetők lennének. „Ebből viszont az is következik, hogy a legtöbb aláírásgyűjtő jogszerűtlenül kezelheti az adatokat. Hiszen Magyarországon ezeket a kontrollmechanizmusokat senki nem építi be az aláírásgyűjtésbe. Például nem kérik el az aláírók személyi igazolványát, nem kérnek visszaigazoló e-emailt. Ezekkel tudnák bizonyítani, hogy tényleg a saját adatait adta meg az aláíró, tehát valóban hozzájárult személyes adatainak kezeléséhez.” Mivel az ítélet szerint bebizonyosodott, hogy a Fidesz politikai marketingcéllal jogellenesen is kezel személyes adatokat, a TASZ kezdeményezte a Fidesz ilyen jellegű adatkezeléseinek átfogó vizsgálatát a NAIH-nál. |
