Vizsgálja a NAIH a Tisza adatvédelmi incidensét

dr. Kéri Ádám ügyvéd, compliance szakértő

2026.01.07., 12:35 Frissítve: 2026.01.07., 09:53

Megosztás

Tetszik

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2025. december 17-i közleményében jelezte, hogy a Tisza párttal szemben adatvédelmi hatósági eljárást indított, illetve a pártnál helyszíni szemlét is tartott. Az ügy részleteit az alábbiakban mutatjuk be.

Így keletkezett az incidens, ezek a teendők

A Tisza pártot adatvédelmi incidens érintette, amikor az applikációjában regisztráltak, illetve az önkéntesek adatbázisának adatai nyilvánosságra kerültek. A 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) alapján az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Olvassa el az Adózóna „Fontosabb adóváltozások 2026-ra”, „Társadalombiztosítási változások 2026-ra” és a „Minimálbér-emelés 2026: így változnak a fizetendő összegek január 1-jétől” című összefoglaló írásait!

Jelen esetben a jogellenes hozzáféréssel, nyilvánosságra kerüléssel adatvédelmi incidens történt. A GDPR pontosan meghatározza, hogy ilyen esetben hogyan kell az adatkezelőnek (jelen esetben ez a Tisza párt) eljárni. Az adatvédelmi incidenst először is nyilvántartásba kell venni, ez valamennyi adatvédelmi inicdensre nézve fennálló kötelezettség. Ezzel egyidejűleg az adatkezelő kötelezettsége a tényállás feltárása. Vizsgálni kell

az adatvédelmi incidens jellegét,
az érintettek kategóriáit és számát,
az érintett személyes adatok kategóriáit és számát,
az adatvédelmi incidens okát, valamint
az érintettekre gyakorolt hatást, illetve
szükség esetén védő intézkedéseket kell hozni (például az alkalmazott technikai és szervezési intézkedéseket felülvizsgálni, szigorítani).

Ezen vizsgálat alapján lehet megállapítani az incidens kockázatát. Amennyiben az adatvédelmi incidens az érintettekre (akikre a személyes adatok vonatkoznak) kockázattal lehet, azt a felügyeleti szervnek is be kell jelenteni. Magas kockázatú incidens esetén pedig az érintetteket is tájékoztatni szükséges.

A kockázati értékelés kapcsán kiemelendő, hogy a GDPR 9. cikke a politikai véleményt különleges adatként kezeli, annak felhasználását pedig főszabályként tiltja. Ez természetesen nem a Tisza pártra vonatkozik, hiszen a 9. cikk alapján (2d pont) a szervezet a tagjai vonatkozásában mentesül a tilalom alól. Az ilyen adatokat nyilvánosságra hozó vagy ezen adatokhoz hozzáférő személyek ugyanakkor érintettek lehetnek.

OLVASSA TOVÁBB! Erről szól még a cikk:

ezek az eljárási részletek,
a kiszivárgott adatok leközlése jogsértő
magánszemélyek is GDPR-jogsértést követhettek el és bírságolhatók.

A folytatáshoz előfizetés szükséges.
A teljes cikket előfizetőink és 14 napos próba-előfizetőink olvashatják el! Emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.