Külföldre vihették az előválasztásra regisztrálók adatait

Bonyolult megrendelői lánccal rejtették el, ki is a felelős a szabálytalan adatkezelésért.

Az adatvédelmi hatóság minap lezárult vizsgálatából kiderült, hogy bonyolult megrendelői lánccal rejtették el, ki lehetett a tényleges adatkezelője azoknak a politikai véleményeket is tartalmazó személyes adatoknak, amelyeket valakik külföldre vittek ki a 2022-es választások előtt. Az ellenzéknek kedvező hírhedt telefonhívás- és sms-áradat miatti vizsgálat azonban több visszaélésre is rámutatott. A baloldal kampányán rengeteget dolgozó DatAdat cégcsoport mindeközben azzal védekezett, „nem tudta beazonosítani”, kik voltak a konkrét hívások megrendelői.

– derül ki a hatóság nemrég közreadott jelentéseiből.

Mint az közismert, néhány nappal a választások előtt tömegesen kaptak nyilvánvalóan a baloldalnak kedvező politikai üzeneteket olyan választók, akik nem adták meg személyes adataikat az ellenzéki pártoknak. „A bátrak változást hoznak április 3-án. Légy egyike azoknak” – szerepelt az egyik sms szövegében, de volt olyan üzenet, ami eképpen nézett ki:

A hatóság megállapította, hogy a tömegével kiküldött sms-ek „tartalmukat tekintve kétséget kizáróan kampányüzenetnek tekinthetőek”. A NAIH vizsgálata feltárta, hogy az ellenzéki kampányüzenetek küldői megszegték s az Európai Unió (EU) általános adatvédelmi rendeletét (GDPR). Az „SMS-üzenet küldéshez kapcsolódó adatkezelésről az érintettek semmilyen információt nem kaptak, az SMS szövegében nem állt rendelkezésre arra utaló információ, amely az érintettek tájékozódását segítette volna, illetőleg legalább az adatkezelő azonosítását lehetővé tette volna az érintettek számára” – olvasható a NAIH jelentésében.

Mindezen felül az érintettek adatait megfelelő indok nélkül külföldre vitték az ellenzéki telefonos kampány lebonyolítói, amit szintén kifogásol az adatvédelmi hatóság. Mint írták:

A hatóság ennek kapcsán hangsúlyozta, hogy „az EU-n belül szintén adatszuverenitási és a nemzetbiztonsági kérdéseket vethet fel, ha nagy számú magyar érintett politikai véleményét is magában hordozó személyes adatait szükségtelenül külföldön tárolják és dolgozzák fel, miközben az megoldható lenne Magyarországon belül is”.

Ráadásul nem egyértelmű, ki követte el mindezeket a visszaéléseket, hiszen a telefonos ellenzéki kampányt szándékosan úgy szervezték meg, hogy egy bonyolult megbízási láncot hoztak létre, annak érdekében, hogy ne lehessen megállapítani, ki volt az adatkezelő. 

„A Hatóság hangsúlyozza, hogy az adatkezelői felelősség alól nem lehet mentesülni oly módon, hogy szervezetek egymás megbízása által, többszöri szerződési konstrukcióval, lényegében egy szerződési láncolaton keresztül próbálják kikerülni az adatkezelői felelősséget” – húzta alá jelentésében  a NAIH, amelynek ugyanakkor nem sikerült megállapítania, hogy kik lehettek a rejtélyes adatkezelők.

Emlékezetes, hogy száznál is több bejelentés érkezett az adatvédelmi hatósághoz a választások előtt az ellenzéket népszerűsítő sms-kampány ügyében. A bejelentők azt kifogásolták, hogy 2022. március 29-én kéretlen, politikai tartalmú sms-üzeneteket kaptak három telefonszámról a személyes használatukban lévő mobiltelefonszámra. 

A NAIH hivatalból indított eljárást az ügyben. A kérdés az, hogy kik, milyen forrásból, milyen célokból és milyen jogalappal kezelték a nagy számú felhívott érintett telefonszám személyes adatát politikai célokból a 2022. tavaszi ellenzéki kampány során.

Az adatvédelmi hatóság a szerződéses láncolatok visszafejtésével, számos közvetítőn át jutott el az adatkezelésért felelős személyek azonosításáig. A panaszokban szereplő hívó telefonszámokat biztosító telefonszolgáltatókon, call centereken és köztes ügynökökön keresztül történt a tömeges politikai hívások lebonyolítása. Az alábbi ábrán látható a feltárt szerződéses láncolat.

A Datadat GmbH nyilatkozata szerint a vizsgált 2022. tavaszi időszakban nagyszámú megbízást teljesítettek számos megrendelő számára, és az összes adatot törölték a megrendelés teljesítését követően, így nem tudták beazonosítani a konkrét hívások megrendelőjét. 

Az adatvédelmi hatóság szerint: „A DatAdat Professional Kft. és a Datadat GmbH cégeken kívül a Datadat GmbH nyilatkozatai szerint a jelenleg vizsgálton kívüli más politikai marketingkampányokban részt vett még a Datadat OÜ is. 

Egy másik érdekes szál, hogy a Márki-Zay-féle Vásárhely Jövőjéért Egyesület a kampányhívások lebonyolítására a NIB Research Kft.-nek adott megbízást anélkül, hogy konkrétan meghatározta volna a megkeresendő személyeket. Utóbbiak kapcsolati adatait a NIB Research Kft. szolgáltatta, egy osztrák lakcímű harmadik fél magánszemélytől beszerezve azokat, csak ezen kampány idejére. Ez az osztrák lakcímű magánszemély nem válaszolt a NAIH megkereséseire. E tekintetben a hatóság tovább vizsgálódik.

Mindemellett az adatvédelmi hatóság szerint: „A Datadat-cégcsoporton keresztül lebonyolított hívások esetén a Call to Action Hungary Kft. saját marketing-adatbázisából történtek a hívások. Ennek az adatbázisnak a jogi megfelelőségét a hatóság külön eljárásban fogja vizsgálni.”

A vállalkozás tömeges sms-küldő szolgáltatást biztosít hazai és külföldi ügyfelek számára. A BitMessaging Kft. nyilatkozata szerint az sms üzenetküldések a SINCH UK Limited nevű társaságon keresztül valósultak meg.

A Készenléti Rendőrség Nemzeti Nyomozó Iroda megállapította, hogy az üzenetküldésben a SINCH Ltd. társaságon kívül két másik társaság érintett, a szintén az Egyesült Királyságban regisztrált Infobip Ltd. és a Hollandiában regisztrált Silverstreet BV. Az Infobip Ltd. hatóság általi megkeresése sikertelen volt, és nem tudtak kapcsolatba lépni a Silverstreet BV. nevű társasággal sem. 

Éppen ezért egyáltalán nem kizárt, hogy az adatvédelmi hatóság megállapításai a most létrejött, Lánczi Tamás vezette Szuverenitásvédelmi Hivatal érdeklődését is felkeltik.