Van elég bajuk enélkül is: bár semmilyen vizsgálat nem marasztalta el, óvakodnak a DatAdattól az ellenzéki pártok

Péterfalvi Attila adatvédelmi biztos átveszi újabb megbízólevelét Áder János köztársasági elnöktől 2020. október 28-án

Az ÁSZ-büntetésekkel is sakkban tartott ellenzéki pártok elkerülik a Fidesz által támadott, a 2022-es ellenzéki kampányt is vivő céget. A kormány feljelentést ígért, végül mégsem tette meg. A cég egyik vezetője biztos abban, hogy az önkormányzati kampányban is lesz magyar megrendelésük.

A Budapest V. kerületének polgármesterségéért induló egyik ellenzéki jelöltet, Juhász Pétert jelölő szervezet, a Magyar Kétfarkú Kutya Párt (MKKP) információink szerint részben amiatt lépett ki a politikus mögül február elején, alig másfél hónap után, mert Juhász kampányában a DatAdat nevű, a 2022-es ellenzéki kampány legfontosabb kommunikációs feladatait végző cég dolgozik.

Az adatalapú marketing-tanácsadással és más kampánytechnológiai szolgáltatásokkal foglalkozó cégcsoportot jórészt Juhász Péter korábbi párttársai tulajdonolják és/vagy vezetik, így Bajnai Gordon vagy Szigetvári Viktor.

A Kutyapárt a nyilvánosság előtt azzal indokolta lépését, hogy a Momentum beállt Juhász mögé. A Momentum addigi jelöltje, Kerpel-Fronius Gábor visszalépése/visszaléptetése után jelentette be, hogy Juhászt támogatja. A fővárosi listaállításhoz az MKKP-nek szüksége van egy harmadik kerületi polgármesterjelöltre a Hegyvidéken és Újpesten induló kettő mellé (információk szerint ez az I. kerület lesz), de – valószínűleg antiestablishment imázsa miatt – nem szeretné jelöltjeit más ellenzéki pártokkal közösen kampányoltatni. Ami Juhász Péter esetében nemcsak nyilvánosság előtti közös fellépést jelentene más ellenzéki pártok politikusaival, hanem az MKKP támogatói adatbázisának a DatAdat általi használatát is.

Akár politikai karakterének, akár adatbázisának megőrzése volt az MKKP döntésének fő oka, a DatAdat intenzív kormányzati támadása miatti chilling effect is visszatarthatja az ellenzéki pártokat, így a Kutyapártot is az együttműködéstől a céggel.

A 2022-es, az összefogott ellenzék országgyűlési kampányának kommunikációs és közösségimédia-alapú kampányszervezési feladatait főleg a DatAdat végezte (pontosabban bécsi székhelyű, Datadat GmbH nevű leányvállalata), mégpedig elsősorban abból a körülbelül 1,7 milliárd forintból, amely az USA-ból érkezett a Mindenki Magyarországa Mozgalomhoz.

A céget évek óta több irányból támadja a kormány. A DatAdat ellen már 2022 előtt intenzív fideszes sajtókampány folyt, a választás után NAV-nyomozás is indult házkutatással és iratlefoglalással, és az MMM-hez érkező amerikai támogatás miatt titkosszolgálati vizsgálat is (amelynek politikai kommunikációs indíttatását mutatja, hogy a jelentést szokatlan módon nyilvánosságra hozták) kiemelten foglalkozott a cégcsoporttal.

A választási támogatást az amerikai Action for Democracy adta az MMM-nek, a fővállalkozó DatAdat ügyfelének, megbízójának. Információink szerint abban a vizsgálatban a DatAdattal nem foglalkoztak, csak szerepel a titkosszolgálatok által prezentált jelentésben.

Folyik az Állami Számvevőszék ellenőrzése a pártok tiltott kampányfinanszírozásáról, a pártok a napokban számítanak a számvevőszéki határozatra. A DatAdattól iratokat kértek, de a cég pártoknak nem dolgozott, csak az MMM-nek.

Ide kapcsolható a kormányzati kémszoftver, a Pegasus használata is Páva Zoltán cége ellen, amelynek szintén dolgozott a DatAdat. Az Oraculum 2020 Kft., amely az ellenzéki portál, az Ez a lényeg kiadója, szintén kapott az Action for Democracytól egymilliárd forint támogatást (és majdnem kilencszázmilliót egy svájci alapítványtól). A tulajdonos-ügyvezető szerint ezek a pénzek nem támogatások, hanem elvégzett piaci munkák ellenértékei voltak.

Ezenkívül a kormánysajtó megtámadott ellenzéki politikai vagy civil szervezeteket is a DatAdattal való együttműködéssel: ilyen Juhász Péter, a Szikra vagy a Tanítanék Mozgalom. Ők a cég által licencelt e-mail-küldő, illetve adománygyűjtő szoftvereket használják legálisan. Egyébként sok ilyen szoftverszolgáltatás létezik.

A DatAdattal viszont sok adatvédelmi vizsgálat foglalkozott. Erre maga a DatAdat, konkrétan Szigetvári Viktor szólította fel a NAIH-ot. A két utolsó NAIH-vizsgálatot lezáró beszámolók február 1-jén kerültek ki a hatóság oldalára. Ezután a DatAdat közleményben hangsúlyozta, hogy a hatóság semmilyen, bűncselekményre, szabálysértésre utaló, a cégüket is érintő dolgot nem talált.

Nincs jogszabálysértés

Az egyik vizsgálat a 2022 tavaszi parlamenti választásokkal kapcsolatos kampány-telefonhívásokkal összefüggő adatkezeléseket vizsgálta. Annyit tudott megállapítani, hogy „külföldi adatfeldolgozók többlépcsős igénybevétele nehezíti az átláthatósági és elszámoltathatósági követelményeknek történő megfelelést”, és „nagyszámú személyes adat – amelyek politikai véleményhez kötődnek, és felhasználásuk kifejezetten erre tekintettel történik – objektív indok hiányában külföldön történő tárolása adott esetben jogos kétségeket vethet fel, hogy ennek célja, illetve eredménye a jogszabályok kijátszása lehet”. A hatóság szerint ez „az Európai Unión belül is adatszuverenitási és nemzetbiztonsági kérdéseket vethet fel”.

Bár a hatóság nem írja, de a jogszabályi megfelelést értékelő szövegben használt jogos kétségek kifejezés puhasága is jelzi, hogy semmilyen jogszabály, az uniós GDPR-rendelet sem tiltja az EU-ban (vagy akár Amerikában és több más, nem európai országban) történő személyesadat-tárolást – különben bajban is lennének a magyar Facebook-felhasználók. A magyar parlament ültette át a magyar jogba az EU adatvédelmi rendeletét.

A hatóság – jelentése szerint – annyit tudott lépni, hogy adatvédelmi hatósági eljárást indított azok „adatbázisai forrásának és jogszerűségének” vizsgálatára a pártoktól, illetve a Márki-Zay Péter vezette MMM-től induló megbízások végrehajtói (vagyis adatfeldolgozói) láncában szereplő két – nem DatAdat-érdekeltségű – céggel kapcsolatban.

A NAIH másik, most lezárult vizsgálata egy 2022. március 29-i tömeges kampány-SMS-küldéssel foglalkozott. Ebben a DatAdatnak a neve sem szerepel, vannak benne viszont külföldi bejegyzésű, más európai országokban is ilyen szolgáltatást végző cégek. Ezek nem törték magukat az információszolgáltatásban a NAIH felé. Ezért – állapítja meg a jelentés – „a tényállás feltárásának nehézsége miatt az adatkezelésben betöltött szerepek nem tisztázhatók, azaz az adatkezelő(k) személye – akik az SMS-üzenetek tartalma alapján vélhetően hazai személyek, szervezetek, akik ezzel a módszerrel tudatosan elfedik személyüket – nem volt megállapítható, az SMS-küldéshez felhasznált érintetti telefonszámok forrása is ismeretlen”.

A hibás magyarsággal írt tömeges SMS-küldés ügyében a DatAdat számos sajtópert megnyert, a céget ebben az ügyben nem is vizsgálta a NAIH.

Egyedül a NAV-nyomozás zajlik több mint egy éve költségvetési csalás (vagyis adócsalás) ügyében, de ennek állásáról, nyomozati cselekményeiről sem tudni semmit az indító, médiafigyelmet kiváltó házkutatás óta.

Magyar joghatóság híján

Egy 2023 decemberében lezárult NAIH-vizsgálat konkrétabban tudta vizsgálni a DatAdat adatkezelését. Ez egy, a 2021-es ellenzéki előválasztás alatt történő, 119 ezres SMS-küldést vizsgált, eredménye pedig egy határozat, egy felszólítás lett.

Az SMS-küldést célzó megbízási láncban több vállalkozás szerepel, a végén két DatAdat-cég. Ők is csak adatfeldolgozóként (vagyis nem adatgazdaként/adatkezelőként) határozták meg magukat, és mint a NAIH-nak írták, a megbízóiktól származó adattömeget vagy visszaadták, vagy megsemmisítették már.

A DatAdat Professional Kft., amely a megbízást kapta, adatgazdaként a Karácsony Gergely-féle civil szervezetet, a főpolgármester miniszterelnöki kampányára létrehozott Kilencvenkilenc Mozgalom Egyesületet jelölte meg. A hatóság viszont azt állapította meg, hogy az egyesület, a DatAdat Kft. és a Datadat GmbH közös adatkezelőnek minősül a vizsgált esetben.

A hatóság ugyanakkor kimondta, „hogy a GmbH-val szemben joghatósággal nem rendelkezik, ezért ezen szervezet tekintetében megállapítást nem áll módjában tenni. A Hatóság hangsúlyozza azonban, hogy a jövőben a társaság adatkezelését érintő ügyek (…) helyi ügyként kikérhetők.”

Ez a vizsgálat már kimondja, hogy a DatAdat nem megfelelően gyűjtötte és kezelte a politikai célú adatokat, jelesül „az érintettek adatkezeléshez történő hozzájárulásának hiányoznak a legfontosabb fogalmi elemei, amelyek megléte szükséges ahhoz, hogy az adatkezelés jogalapja, azaz a hozzájárulás érvényes legyen”. Végeredményben a hatóság az egyesületet az adatok törlésére, az érintettek utólagos tájékoztatására, a DatAdatot pedig a későbbiekben „megfelelő megállapodások megkötésére” szólította föl.

A cég okkal jelezte decemberi közleményében is, hogy a hatóság nem állapított meg törvénysértést a DatAdatot érintően, és bírságot sem szabott ki rá.

A DatAdat más NAIH-vizsgálatokban is előkerült, így például a Párbeszéd 2022 márciusában kiküldött kampányleveleiről folytatottban. Ez a párt adatkezelését elmarasztalta, de a DatAdattal kapcsolatban szintén nem tett ilyen megállapításokat.

A NAIH korábban kevésbé aprólékosan vizsgálta a kormányzati Vakcinainfón begyűjtött adatok politikai célú felhasználását. Egy 2022. áprilisi, egyoldalas jelentésében leszögezi, hogy azzal, hogy az adataikat megadók rákattintottak a „Hozzájárulok, hogy későbbi kapcsolattartás céljából a megadott kapcsolattartási adataimat visszavonásomig kezeljék…” mondatra, hozzájárultak adataik kormányzati kezeléséhez „további kapcsolattartás, véleménykérés, tájékoztatás, illetve elektronikus levél küldése céljából”.

A hatóság nem foglalkozott azzal, hogy az emberek nagy része egyetlen alkalommal, az oltási regisztrációkor adta meg adatkezelési hozzájárulását, és nyilvánvalóan nem tette volna, ha nem ilyen környezetben, egy pusztító járvány idején, oltásregisztrációval együtt kérik.

A Telexnek 2020 decemberében nyilatkozó adatvédelmi szakértő, Ivanics Krisztina akkor azt mondta, hogy „ez a hozzájárulás túl általános, nem derül ki belőle az adatkezelés pontos célja, és megtévesztő, hogy egy oltásról szóló oldalon ilyen széles körű adatkezelési hozzájárulást kérnek”.

Nemrég Vadai Ágnes DK-s képviselő újból kifogásolta a Vakcinainfó kampánycélú használatát. A NAIH most is azzal válaszolt, hogy bárki szabadon leiratkozhat a Miniszterelnöki Kabinetiroda hírleveléről. Ez az opció egyébként a NAIH által kifogásolt ellenzéki kampányüzeneteknél is adott volt.

A kormány végül nem tett feljelentést

A DatAdatot tehát eddig semmilyen hivatalos vizsgálat nem marasztalta el (persze a cégcsoport nagy része külföldi bejegyzésű, adatvédelmi vizsgálatuk így nehézkes), Rogán Antal mégis maga jelentette be, hogy a kormány feljelenti. „DatAdat-ügyben feljelentést fogunk tenni. Ez sem a magyar törvényi szabályozással, sem a GDPR-ral nem fér össze, hogy a választók adatait külföldön tárolják” – mondta miniszteri meghallgatásán, 2023 novemberében.

Megkerestük a Miniszterelnök Kabinetirodát, hogy megtették-e a feljelentést. A sajtóosztály válaszából kiderül, hogy csak a NAIH-hoz fordultak, és a fentebb bemutatott jelentésre hivatkoznak válaszukban: „A DatAdat ügyében épp múlt héten zárta le a Nemzeti Adatvédelmi és Információszabadság Hatóság a vizsgálati eljárását, ami megállapította, hogy magyar választók tömegeinek kerültek külföldre személyes adatai. Hasonló visszaélés gyanúja miatt a Miniszterelnöki Kabinetiroda a Magyar Hang által üzemeltetett Eleve app alkalmazás kapcsán is adatvédelmi vizsgálatot kezdeményezett a Nemzeti Adatvédelmi és Információszabadság Hatóságánál.”

Megkérdeztük az összes parlamenti párt sajtóosztályát, hogy tervezik-e kampányukban valamely DatAdat-cég szolgáltatásait használni. A Momentum, az MSZP, az LMP és a Jobbik nemmel válaszolt, a Párbeszéd és a DK nem felelt. E két utóbbi kötődik leginkább a DatAdathoz: a cég először Gyurcsány Ferencnek dolgozott, aztán Karácsony Gergely 2019-es főpolgármesteri kampányát, majd 2021-es miniszterelnök-jelölti előválasztási kampányát vitte. Utána kezdtek el az előválasztási győztes ellenzéki jelölt Márki-Zay Péternek és az MMM-nek dolgozni.

Honlapja alapján a Párbeszéd most is használja a DatAdat szolgáltatásait az actionetwork.org internetes felületen kezdeményezett, a Stripe internetes fizetési szolgáltatás útján történő adományozás esetén, de úgy tudjuk, ez már lejárt szerződés, csak a honlapon szerepel még.

Valószínűleg a DK kapcsolata sem szakadt meg a céggel. Korábban a párt több szervezetének oldalán is szerepelt (ők működtették a pártelnök chatbotját is), de most nem kattinthatók az adatfeldolgozók adatai a dkp.hu oldalon.

A Datadat GmbH (amely időközben megváltoztatta a nevét Estratos Digital GmbH-ra) civileknek is dolgozik: Juhász Péter mellett például a Tanítanék és a Szikra Mozgalom számára biztosítanak e-mail-küldő, illetve adománygyűjtő szolgáltatásokat az Action Network e-mail-küldő és feliratkozási oldal szoftverének licencelésével.

„Érzékeljük a kitüntető hatósági figyelmet, látjuk, hogy minden negyedévben találnak valamit, ami miatt újabb és újabb dologgal próbálnak minket vizsgálni, sikertelenül. Mi jogszabályt nem sértettünk semmilyen ügyben” – mondta megkeresésünkre Szigetvári Viktor, a cégcsoport egyik tulajdonosa/vezetője.

Magyar ügyfeleikről nem szoktak beszélni. „De adatvédelmi szempontból, ha valaki ért hozzá, egy pont után nem is tudnánk eltitkolni a jelenlétünket, hiszen a cégeink adatfeldolgozóvá válnak. Tisztességes, sikeres, a maga területén Európa egyik vezető cégében dolgozunk. Érezzük, hogy fenyegetik az ügyfeleinket, érezzük a fenyegetettségi légkört, de ami munkát kapunk, azt elvégezzük, és az önkormányzati kampányban is lesz dolgunk, ebben biztos vagyok” – mondta Szigetvári Viktor.