50 milliós bírság a Mediaworksnek a Tisza-szimpatizánsok adatainak linkeléséért

„Interaktív térképen mutogatják a Tisza-szimpatizánsokat” – ezzel a címmel indult 2025. november 7-én az Origó cikke, amely egy olyan térképre mutató linket tartalmazott, ahol közel kétszázezer ember személyes adatai váltak elérhetővé.

A link, ami túl messzire vezetett

2025. november 7-én egy ismeretlen személy olyan honlapot hozott nyilvánosságra, amelyen egy interaktív térkép segítségével bárki kereshetett a Tisza Párthoz köthető érintettek adatai között. A felületen közel kétszázezer ember neve, lakcíme, telefonszáma, e-mail-címe, valamint a lakcímük geolokációs koordinátája vált megismerhetővé. Mivel az adatokat egy politikai párthoz kapcsoltan publikálták, a térkép alapján következtetést lehetett levonni az érintettek politikai véleményére is, ami az általános adatvédelmi rendelet (GDPR) értelmében különleges adatnak minősül.

A Mediaworks Hungary Zrt. még aznap három hírportálján – az Origo, a Magyar Nemzet és a Ripost – olyan cikkeket jelentetett meg, amelyek hozzáférést biztosítottak a jogsértő adatbázishoz. Az Origo és a Magyar Nemzet közvetlen hivatkozást (linket) helyezett el a szövegben, míg a Ripost a térkép URL-címét tartalmazó képpel illusztrálta az írását. A cikkek címei is beszédesek voltak: „Interaktív térképen mutogatják a Tisza-szimpatizánsokat”, „Mindenki megkeresheti, ki a tiszás az utcájában vagy a falujában” és „Elképesztő link kering a világhálón: mindenki megnézheti ki a Tiszás a közelében”.

A NAIH döntése: nem a sajtószabadság, hanem az adatvédelem a mérvadó

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2026. május 19-én hozott határozatában elmarasztalta a Mediaworks-t. A hatóság megállapította, hogy a kiadó megsértette a GDPR-t, mert a közzétételhez nem rendelkezett megfelelő jogalappal.

A Mediaworks az eljárás során azzal védekezett, hogy a közzététel a GDPR szerinti jogos érdek jogalapján alapult. Érvelésük szerint a sajtó- és véleménynyilvánítás szabadsága, valamint a nyilvánosság tájékoztatása indokolta a lépést, mivel a Tisza Párt adatkezelési botrányai széles körű közérdeklődésre számot tartó közéleti vitát képeztek.

A NAIH azonban elutasította ezt az érvelést. A hatóság hangsúlyozta: a jogos érdek jogalapjának alkalmazásához három együttes feltételnek (a jogos érdek fennállása, az adatkezelés szükségessége és arányossága) kell teljesülnie, ám a Mediaworks esetében már az első, a jogszerű jogos érdek sem volt megállapítható. A Hatóság kimondta: egy politikai párt szimpatizánsainak tömeges név-, lakcím-, telefon- és e-mail-listája, valamint geolokációs koordinátái nem minősülnek közérdeklődésre számot tartó eseménynek, így az ezekhez való hozzáférés biztosítása sem tekinthető a nyilvánosság jogszerű tájékoztatásának.

Enyhítő körülmények és a bírság mértéke

Az 50 milliós bírság megállapításánál a NAIH figyelembe vette a jogsértés magas súlyát, illetve azt, hogy a Hatóság korábban több alkalommal is megbírságolta már a Mediaworkst. Enyhítő körülményként értékelték azt, hogy „a Mediaworks még a cikkek megjelenése napján eltávolította a térkép elérhetőségét a cikkekből, valamint azt is, hogy nem jelentős számú egyedi látogató olvashatta el a cikkeket” addig, amíg a térkép elérhetősége szerepelt bennük.

A cég valószínűleg nem roppan bele a bírságba, hiszen a fideszes médiabirodalmat irányító cég bevétele 2024-ben 57,1 milliárd forint volt. A határozatot 30 napon belül megtámadhatja a Mediaworks közigazgatási perben a bíróságon, amennyiben ezt nem teszi meg, a NAIH határozata véglegessé válik.

Az adatszivárgás háttere: a Tisza Párt applikációjának sebezhetősége

Az adatszivárgás 2025. október 6-án történt, amikor a Tisza Párt szeptember elején élesített Tisza Világ applikációjából mintegy 20 ezer felhasználó adatai kerültek ki. Erre válaszul a Tisza Párt belső vizsgálatot jelentett be, és azt állította, hogy „összehangolt titkosszolgálati akció keretében támadták” a rendszert. Később a kormányközeli sajtó már 200 ezer felhasználó adatainak kikerüléséről írt, majd elindult a listázás több kiadványnál is.

Az Index még tavaly októberben írta meg, hogy Magyar Péter pártjának applikációjából mintegy 20 ezer felhasználó adatai kerülhettek ki. Később a szintén kormányközeli Magyar Nemzet már 200 ezer felhasználó adatainak kikerüléséről írt, majd elindult a listázás több kiadványnál is, valamint készült egy interaktív honlap, ahol közzétették az applikációt érintő adatvédelmi incidens nyomán ismerté vált érintettek személyes adatait.

Az ügyben hivatalból nyomozást indított a rendőrség is, ugyanakkor az applikáció egyik letöltőjét, aki egy fenyegető levél miatt akart feljelentést tenni, akkoriban a rendőrök még arra próbálták rávenni, hogy az alkalmazás fejlesztőit jelentse inkább fel. A Tisza Párt adatbázisait érintő adatvédelmi incidensek miatt Magyar Péter, a Tisza Párt elnöke is feljelentést tett. A Tisza Párt applikációjának ügyében a Kiberbiztonsági Intézet vizsgálatot indított, valamint információs rendszer vagy adat megsértésének gyanúja miatt ismeretlen tettes ellen a Nemzeti Nyomozó Iroda (KR NNI) is nyomozást rendelt el.

A NAIH korábbi lépései és a média felelőssége

A NAIH-hoz néhány nap alatt mintegy 700 beadvány érkezett a médiában megjelent cikkek miatt, ezért a hatóság hivatalból adatvédelmi eljárásokat indított több médiaszolgáltatóval szemben is. A NAIH december elején a Tisza központjába is kiszállt. Miután a kormányközeli lapok, például a Mandiner lényegében elkezdték listázni, hogy kik azok szerintük, akik letöltötték a Tisza applikációját, a NAIH közleményt adott ki arról, hogy nincs rendben, ha sajtótermékek nyilvánosságra hozzák a tiszások kiszivárgott személyes adatait. A hatóság később azt is leszögezte, bűncselekményt követett el, aki létrehozta a térképes oldalt.

A döntés jelentősége és a jövőbeli következmények

A NAIH döntése precedensértékű lehet a hasonló ügyekben. A hatóság egyértelművé tette, hogy a sajtószabadság nem jelent felhatalmazást a tömeges adatvédelem megsértésére, és a közérdeklődésre hivatkozva sem lehet jogalap nélkül nyilvánosságra hozni személyes adatokat. A döntés azt is jelzi, hogy a NAIH az új kormányzat alatt is aktívan fellép az adatvédelmi jogsértésekkel szemben, függetlenül attól, hogy a jogsértő melyik politikai oldalhoz kötődik.

A Mediaworks számára a bírság anyagilag nem jelent komoly terhet, de a reputációs kár annál nagyobb lehet. A cég a NER egyik legfontosabb médiabirodalma volt, és a döntés rávilágít arra, hogy a korábbi gyakorlat – amikor a kormányközeli média szabadon használhatta fel a politikai ellenfelek személyes adatait – már nem tolerálható. A döntés várhatóan hatással lesz a többi, hasonló ügyben folyó eljárásra is, és erősítheti az adatvédelem intézményi függetlenségét.