A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2014-ben kiadott, a választási eljárással kapcsolatos adatkezelésekről szóló ajánlásában már számos adatvédelmi követelményt tisztázott a pártok adatkezeléseivel kapcsolatban. Hamarosan újabb kiegészítéseket okozhat az uniós GDPR szabályozási rendszer életbe lépése, azonban a 2018-as magyarországi országgyűlési választásig így is fontosnak érezte a NAIH a korábbi ajánlás kiegészítését.
Ennek oka, hogy az adatvédelmi hatóság ismét megvizsgálta a pártok adatkezelési gyakorlatát és úgy látta, hogy több tekintetben is szükséges lenne az adatkezelési gyakorlatuk megváltoztatására. A NAIH például azt tapasztalta, hogy néhány párt harmadik országban letelepedett cégek szolgáltatását veszi igénybe az adatkezelései során.
A hatóság itt elsődlegesen a személyes adatok felvételére, tárolására, rendszerezésére, valamint felhasználására gondolt, mint amilyen például a Mailchimp hírlevélküldő és adatbázis kezelő szolgáltatása. Ugyanis a személyes adatok harmadik országbeli adatkezelőknek, adatfeldolgozóknak történő továbbítása esetén nem sérülhet a természetes személyeknek az Infotv.-ben biztosított védelmi szintje.
Alapvetően ilyen, védelmet biztosító jogi eszköznek tekinthető például a 2016-ban elfogadott Privacy Shield is, amely lehetővé teszi a jogszerű adattovábbítást az Európai Unió és az Amerikai Egyesült Államok adatkezelői és adatfeldolgozói között. Azonban a NAIH véleménye szerint a Privacy Shield megfelelő működése kapcsán még továbbra is vannak nyitott kérdések, mivel az Európai Unió még nem győződött meg kétséget kizáróan arról, hogy az USA maradéktalanul betartja a Privacy Shieldben vállalt kötelezettségeit.
Ráadásul ilyen esetben különleges adatokat, politikai véleményre vonatkozó személyes adatokat adnak át a másik fél számára. A politikai véleményre vonatkozó személyes adatok harmadik országban történő tárolása ezért plusz kockázatot jelenthet más adatkezelésekhez képest, hiszen harmadik ország egyes állami szervei (például titkosszolgálatok) a saját jogszabályaikra támaszkodva hozzáférhetnek az ott tárolt különleges adatokhoz.
A NAIH összességében ezért azt tartja jó gyakorlatnak, ha a pártok európai uniós cégek hasonló szolgáltatásait választják, amellyel csökkenthetik az adatvédelmi kockázatokat. Tekintettel arra, hogy a pártok adatkezelései különleges adatokat érintenek, ezért az adatvédelmi hatóság szerint a legjobb megoldás az, ha a pártok magyar cégek szolgáltatásait veszik igénybe, vagy még inkább, ha saját maguk üzemeltetik ezeket a rendszereket.
Az Infotv. alapján továbbá az adatkezelőknek alkalmazniuk kell a legújabb technológia újításokat, amelyek magasabb adatbiztonsági szintet jelentenek az adatkezeléseik vonatkozásában, „így például az SSL és TLS technológiák használatát az olyan honlapok esetében, amely titkosítja a kommunikációt a felhasználó számítógépe és a honlap szervere között. Ennek különösen akkor van jelentősége, ha a felhasználó személyes adatokat ad meg a honlapon: a https protokoll használata magasabb adatbiztonsági szintet jelent a http protokollhoz képest.”
Megnéztem gyorsan, hogy melyik pártra gondolhatott a NAIH, az MSZP, a Jobbik, a Párbeszéd, az LMP, az Együtt és a Momentum rendben van HTTPS ügyben.
Egyetlen pártnál nem találtam működő HTTPS protokollt
Az eljárás során egébként több párt is hivatkozott arra, hogy a honlapjukat vagy belső informatikai rendszerüket átalakítják vagy ezt tervezik. Ezzel összefüggésben a hatóság felhívja a figyelmet, arra, hogy „a pártoknak már az adatkezelés megtervezésekor felelősségteljesen kell eljárniuk, és úgy kell kialakítaniuk az adatkezelésüket, hogy maradéktalanul érvényesüljenek az adatvédelmi garanciák.”
Ezzel összefüggésben például a párt a honlap fejlesztőjével közreműködve a honlap elindítása előtt meg kell győződjön arról, hogy a honlap használata nem jár együtt személyes adatok „nem kívánt” kezelésével (például az analitikai süti alkalmazása személyes adatok gyűjtésével nem jár együtt). Amikor viszont kifejezetten szükség van az adatkezelésre, akkor azt meg kell, hogy előzze egy előzetes és megfelelő tartalmú tájékoztatás az érintettek részére.
Több párt esetében formai szempontból nem volt megfelelően strukturált, átlátható az adatkezelési tájékoztató, valamint több adatkezelési tájékoztató is szó szerint megismétli az Infotv. rendelkezéseit, ami nyilvánvalóan nem tekinthető egyszerű, közérthető tájékoztatásnak, ráadásul nem a jogszabály szövege a fontos ilyenkor, hanem például a párt elérhetősége.
Az egyes adatkezelési tájékoztatók alapján nem állapítható meg minden esetben pontosan, hogy milyen adatkezelést milyen jogalapon végez az adott párt, és ehhez kapcsolódóan milyen személyes adatokat, mennyi ideig kezel. A pártoknak ezért ezeket az adatkezelési körülményeket pontosabban kell bemutatniuk, különösen ha adatfeldolgozót is igénybe vesznek. A NAIH ezért azt ajánlja, hogy a pártok vizsgálják felül az adatkezelésre és előzetes tájékoztatásra vonatkozó gyakorlatukat.
Ha tetszett, ne maradj le a következőről:
