NAIH: kockázatos harmadik országban tárolni a pártok támogatóinak adatait

A pátoknak tekintettel kell lenniük arra, hogy a politikai véleményre vonatkozó adatok mint a személyes adatok harmadik országban történő tárolása önmagában kockázatokat rejthet magában – mondta Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke csütörtöki budapesti sajtótájékoztatóján.

A NAIH a Liberálisok, illetve az LMP internetes oldalán található űrlapkitöltő szolgáltatást vizsgálta.
A Liberálisok internetes oldalán a „Belépek a pártba” felületen keresztül végzett adatkezelést vizsgálták, állampolgári bejelentésre. A menüpont ugyanis egy olyan oldalra (MailChimp) irányítja át a felhasználót, amelyet az Amerikai Egyesült Államokban székhellyel rendelkező cég, a The Rocket Science LLC üzemeltet. A felhasználóknak ezen az oldalon kell megadniuk  személyes adataikat, amelyből a bejelentő állítása szerint arra lehet következtetni, hogy az adatokat – a MailChimp szolgáltatás igénybe vételén keresztül – a Liberálisok külföldön tárolják.
A hatóság vizsgálatában megállapította, hogy a Mailchimp összes szervere az Egyesült Államokban található.
A Liberálisoknak az általános adatvédelmi rendeletre (GDPR) tekintettel érdemes felülvizsgálniuk azt, hogy az általuk végzett adatkezelések vonatkozásában milyen kockázatokat is jelenthet a jövőben a The Rocket Science LLC igénybevétele – mondta Péterfalvi Attila.
Hozzátette: a hatóság álláspontja szerint a politikai véleményre vonatkozó adatok mint a személyes adatok harmadik országban történő tárolása önmagában kockázatokat rejthet.     Különösképpen, ha ez egy olyan ország, amely az elmúlt években, évtizedben széles körű megfigyelési programot alkalmazott – jegyezte meg.
A hatóság azt is megállapította, hogy az adatfeldolgozókkal összefüggésben a Liberálisok nem tettek eleget a tájékoztatási kötelezettségüknek, mivel az adatvédelmi nyilatkozat általánosan fogalmaz, nem részletezi az adatfeldolgozó igénybevételének körülményeit, például, mely adatfeldolgozót veszik igénybe és az mely országban található.
A NAIH szerint a Liberálisoknak az adatvédelmi nyilatkozatban kifejezetten ki kell térniük arra, hogy az Egyesült Államokban található adatfeldolgozót vesznek igénybe.
A hatóság vizsgálta az LMP oldalán az „Aláírásgyűjtés a tiszta kampányfinanszírozásért” felületen keresztül végzett adatkezelést is, ugyancsak állampolgári beadványra. A bejelentő azt kifogásolta, hogy a honlap Google Forms szolgáltatása az érintettek személyes adatait a Google Inc.-nek az Amerikai Egyesült Államokban üzemeltetett szervereire menti el, így az LMP külföldön tárolja a megadott személyes adatokat.
A hatóság megállapította: az LMP részéről a Google Inc. harmadik országban található adatfeldolgozó igénybevételére a hazai jogszabállyal összhangban került sor, azonban – tekintettel a jövő évtől alkalmazandó általános adatvédelmi rendeletre tekintettel felhívták az LMP figyelmét arra, hogy érdemes felülvizsgálni, hogy az általuk végzett adatkezelések vonatkozásában milyen kockázatokat jelenthet a jövőben a Google használata.
A hatóság jelentése szerint ezzel összefüggésben az LMP arról tájékoztatta a hatóságot, hogy az „LMP a weboldalán egy helyen használ Google Forms felületet, az ilyen felületekre érkező adatok egyebekben belső szerverre kerülnek, azonban ezen felület megszüntetése is folyamatban van.”
A NAIH álláspontja szerint az LMP ezen törekvése „magasabb szinten biztosítaná az adatvédelmi követelmények érvényesülését” – mondta a hatóság vezetője.
A NAIH megállapította azt is, hogy az LMP nem nyújtott megfelelő tájékoztatást az adatfeldolgozó igénybevételéről, és felhívták a pártot, hogy a jövőben kifejezett tájékoztatást nyújtson arról, ha harmadik országban található adatfeldolgozót vesz igénybe.
Tekintettel arra, hogy az LMP az állampolgári bejelentésben kifogásolt felületet megszüntette, és ebből fakadóan az adatkezelést a jövőben nem folytatja, ezért a hatóság nem alkalmazott jogkövetkezményt – tette hozzá.