Személyes Adatok Kampánycélú Felhasználása és Védelme a Magyar Választási Rendszerben - Részletes Készítette : Borsi Miklós https://borsifeleelmelkedes.blogspot.com/2026/02/szemelyes-adatok-kampanycelu.html Forrás : Nyíltan elérhető adatok és személyes tapasztalat

Bevezetés Magyarországon az Alaptörvény VI. cikkének (3) bekezdése garantálja a személyes adatok védelméhez való jogot, miközben a választási eljárásról szóló 2013. évi XXXVI. törvény (a továbbiakban: Ve.) megteremti a politikai kommunikációhoz szükséges adatigénylés legális kereteit.

1. A Választói Adatok Legális Beszerzése: Jogi Keretek, Források és Intézményi Háttér

A politikai jelöltek és a jelölő szervezetek számára a választópolgárokkal való közvetlen kapcsolatfelvétel legfőbb legális, transzparens és az állam által garantált csatornája a központi névjegyzékből, illetve a szavazóköri névjegyzékekből történő adatszolgáltatás.

1.1. Az Adatszolgáltatás Jogalapja és Hatóköre

A választási eljárásról szóló 2013. évi XXXVI. törvény (Ve.) 153. § (1) bekezdése egyértelműen fogalmazza meg a politikai kampánycélú adatszolgáltatás feltételeit. A jogszabály alapján a jogerősen nyilvántartásba vett jelöltek, illetve a listát állító jelölő szervezetek (pártok, nemzetiségi önkormányzatok) közvetlen politikai kampány folytatása céljából igényelhetik a szavazóköri névjegyzékben szereplő választópolgárok meghatározott adatait.

. Az NVI vagy az illetékes választási iroda által átadott hivatalos adatcsomag kizárólag a következő adatmezőket tartalmazhatja:

A választópolgár neve
A választópolgár lakcíme
A választópolgár életkora
A választópolgár neme

Kiemelendő, és a rendszer integritása szempontjából alapvető fontosságú garanciális elem, hogy az állami választási szervek semmilyen körülmények között nem adnak át telefonszámot, e-mail címet, vagy egyéb elektronikus elérhetőséget a politikai pártoknak, függetlenül attól, hogy ezen adatok esetlegesen rendelkezésre állnak-e más állami nyilvántartásokban.

Ezeknek a kommunikációs csatornáknak a kampánycélú felhasználása kizárólag a polgár kifejezett, önkéntes és tájékozott hozzájárulása (opt-in) alapján történhet, amelyet a pártoknak saját maguknak kell beszerezniük a GDPR szabályainak megfelelően.

1.2. Az Adatigénylés Folyamata és Adminisztrációja

Az adatszolgáltatás nem automatikus juttatás; azt az érintett politikai szereplőnek formanyomtatványon (például a P3-as vagy a névjegyzéki adatszolgáltatást igénylő űrlapokon), az illetékes választási szervnél kell kezdeményeznie. Egyéni jelöltek esetében a kérelmet az országgyűlési egyéni választókerületi választási irodához (OEVI), míg országos vagy területi listák esetében a Nemzeti Választási Irodához (NVI) kell benyújtani.

A 12/2025. (IX. 15.) IM rendelet és a 11/2025. (IX. 15.) IM rendelet részletesen szabályozza a választási irodák informatikai és adminisztrációs feladatait, köztük a jelöltek és jelölő szervezetek nyilvántartásba vételét és az adatszolgáltatások rögzítését a központi informatikai rendszerben. Az igénylő a hatékonyság növelése érdekében kérheti az adatok korcsoport vagy lakcím (például konkrét települések, utcák vagy irányítószámok) szerinti bontását, ami a hagyományos postai direkt marketing (DM) levelek és a szórólapozás alapvető feltétele.

1.3. Célhoz Kötöttség és az Adatok Megsemmisítése

A Ve. 155. §-a rögzíti az adatkezelés korlátozott időtartamát és a célhoz kötöttséget. A megvásárolt adatok kizárólag közvetlen politikai kampány (direct mail, személyes felkeresés a lakcímen) céljára használhatók fel. Tilos azokat másolni, harmadik személynek – például elemző cégeknek vagy adatbrókereknek – átadni, vagy a választásokat követően a párt saját adatbázisába (például adománygyűjtési vagy toborzási célból) beépíteni.

A törvény szigorú kötelezettséget ír elő az adatok megsemmisítésére: a jelölteknek és jelölő szervezeteknek legkésőbb a szavazás napján meg kell semmisíteniük a kapott adatbázist. A megsemmisítés tényéről hiteles jegyzőkönyvet kell felvenni, amelyet a szavazást követő három napon belül be kell nyújtani az adatszolgáltatást teljesítő választási irodának. Bár a törvényi előírás egyértelmű, a megsemmisítés tényleges és visszaállíthatatlan megtörténtének ellenőrzése a digitális másolatok korában komoly hatósági kihívást jelent, és a gyakorlatban a NAIH utólagos, célzott vizsgálatain múlik az elszámoltathatóság.

2. A Kampányadatok Árazása: Hol és Mennyiért Lehet Címet Vásárolni a 2026-os Választásokon?

A demokratikus választási folyamat finanszírozása és az állami adatszolgáltatás infrastrukturális költségeinek fedezése okán a névjegyzéki adatok átadása díjköteles.

2.1. A Költségek Kiszámításának Képlete és a Minimálbér Szerepe

. Az országgyűlési választások évében alkalmazandó díjak pontos összegét a kormányrendeletekben megállapított gazdasági mutatók határozzák meg.

A kötelező legkisebb munkabér (minimálbér) és a garantált bérminimum megállapításáról szóló 426/2025. (XII. 23.) Korm. rendelet 2. § (1) bekezdése alapján 2026. január 1-jétől a teljes munkaidőben foglalkoztatott munkavállaló részére megállapított alapbér kötelező legkisebb havi összege bruttó 322 800 forint.

A Ve. rendelkezései és a választási irodák gyakorlata alapján az adatvásárlás költségei a 2026-os választási ciklusban az alábbi táblázat szerint alakulnak:

Az Adatigénylés Típusa	Jogszabályi Feltétel / Normatíva	Kiszámított Díj a 2026-os Választásokon
Egyéni választókerületi jelölt (OEVK) alapdíja	A kötelező legkisebb munkabér egyhavi összege	322 800 HUF
Fejenkénti adatigénylési díj (darabdíj)	Fix, a Nemzeti Választási Iroda által meghatározott normatíva	3 HUF / választópolgár
Országos lista (Pártlista) adatszolgáltatási alapdíja	A minimálbér tízszerese (Ve. 153. § (2) bekezdés szerinti kiterjesztett adatkérés)	3 228 000 HUF (becsült érték a törvényi szorzó alapján)

A táblázat a jogszabályok és a 2026-ra megállapított gazdasági mutatók szintetizálásával készült.

2.2. A Pénzügyi Tranzakció Dinamikája és Állami Támogatások

A folyamat a gyakorlatban úgy néz ki, hogy az adatszolgáltatás iránti igény elektronikus benyújtását követően az informatikai rendszer (a megadott választópolgárok száma x 3 Ft képlet alapján) kiszámolja a pontos összeget. A választási iroda az igénylő által megadott e-mail címre küldi el a fizetendő díjról szóló tájékoztatást. Az adatszolgáltatás teljesítésének szigorú feltétele a megállapított díj – amely kerekítésből származó különbözet nélkül, pontosan fizetendő – maradéktalan megfizetésének igazolása. Ezt követően a Nemzeti Választási Iroda biztonságos csatornán keresztül átadja az adatbázist.

A politikai pártok számára ezek a kiadások a kampányfinanszírozás részét képezik. A 2026-os kampányidőszakra vonatkozó állami támogatási rendszer alapján egy párt, amelyik mind a 106 egyéni választókerületben képes jelöltet állítani, megközelítőleg 1,03 milliárd forint állami kampánytámogatásban részesülhet (míg 80 jelölt esetén 857,89 millió, 71 jelölt esetén 686,31 millió forint jár). Ebből az állami forrásból a választói adatbázisok legális megvásárlása marginális tételnek számít, így az adatigénylés pénzügyi korlátja a releváns politikai szereplők számára gyakorlatilag nem létezik.

A Nemzeti Választási Iroda költségvetése – amely a 2026-os választások lebonyolítására rekordösszegű, összesen 31,3 milliárd forintot irányoz elő az infrastrukturális drágulások, a licencdíjak és a logisztikai költségek miatt – az adatszolgáltatási díjakból realizálódó bevételeket az intézmény saját bevételeként kezeli, amelyet az informatikai háttér finanszírozására forgat vissza.

3. Az Adatletiltás (Opt-Out) Intézménye: Lehetőségek és Végrehajtás

A választási kampányok intenzitásának növekedésével a polgárok egy része egyértelmű igényt formál a kéretlen politikai megkeresések (kampánylevelek, szórólapok) elutasítására. A jogalkotó ennek biztosítására hozta létre a személyes adatok választási kampánycélú szolgáltatásának tiltása, azaz az adatletiltás (opt-out) jogintézményét.

3.1. A Letiltás Részletes Folyamata az Elektronikus Közigazgatásban

A 2026-os évre az elektronikus közigazgatás jelentős fejlődésen ment keresztül, a korábbi Ügyfélkapu rendszert fokozatosan kiegészítette és felváltotta a Digitális Állampolgárság Program (DÁP) és az eIDAS alapú azonosítás. A választópolgárok legkényelmesebben a magyarorszag.hu portálon, a Személyre Szabott Ügyintézési Felületen (SZUF) keresztül intézhetik az adatletiltást.

A letiltási folyamat pontos adminisztratív lépései a következők:

Lépés	Tevékenység Leírása	Technikai és Jogi Háttér
1. Belépés és Navigáció	A magyarorszag.hu (SZUF) portál felkeresése, majd az „Adatok választási kampány célú szolgáltatásának tiltása/engedélyezése” menüpont kiválasztása.	Az elektronikus ügyintézést biztosító szervek együttműködését a Ve. és az e-ügyintézési törvények garantálják.
2. Hitelesítés (Azonosítás)	A felhasználó azonosítása a rendelkezésre álló hitelesítési modulok egyikével (DÁP mobilalkalmazás, eIDAS eID, vagy Ügyfélkapu+).	A magas szintű biztonsági követelmények kizárják az illetéktelen személyek általi visszaélést a nyilatkozattétel során.
3. Nyilatkozattétel	A „Nyilatkozat” űrlapon a polgár kifejezett akaratnyilvánítása a megfelelő opció bejelölésével: „Megtiltom a központi névjegyzékben nyilvántartott személyes adataim kampánycélú kiadását a jelöltek, jelölő szervezetek részére.”	Ez az aktus egy preventív jogi eszköz, amely korlátozza az állami nyilvántartásból történő adattovábbítást harmadik felek (pártok) felé.
4. Értesítési Preferenciák	A kérelmező meghatározhatja, hogy a választási iroda döntéséről (határozatáról) elektronikus tárhelyére, e-mailben, vagy postai úton kér értesítést.	A döntést az NVI elektronikus úton, aláírás és bélyegzőlenyomat nélkül érvényes formában állítja elő, de a törvény szerint postai úton is meg kell küldeni az érintett lakcímére.
5. Benyújtás és Bizonyíték	Az adatok végső ellenőrzése és az „Ügyintézés indítása/Benyújtás” gomb megnyomása. A visszaigazoló képernyő megjelenése.	Jogvédő szervezetek, mint a Társaság a Szabadságjogokért (TASZ), kiemelten javasolják a visszaigazolás elmentését (PDF vagy képernyőfotó), amely későbbi adatszivárgás vagy jogvita esetén bizonyító erővel bír.

Azon polgárok számára, akik nem élnek az elektronikus ügyintézés lehetőségével, a rendszer biztosítja a papíralapú ügyintézést is. Az adatletiltási kérelem formanyomtatványon benyújtható bármely helyi választási irodában (HVI) személyesen, vagy kézbesítési meghatalmazott útján. A cselekvőképességükben korlátozott személyek nevében törvényes képviselőjük járhat el. A nyomtatvány kialakítása lehetőséget biztosít arra is, hogy a polgár egy korábbi tiltó nyilatkozatot a kampány közeledtével feloldjon, amennyiben mégis igényt tart a politikai formációk tájékoztatására.

3.2. A Letiltás Időbeli Hatálya és a "Naptári Kiskapu"

A jogintézmény egyik legnagyobb előnye, hogy a tiltás határozatlan idejű. Amennyiben egy választópolgár sikeresen letiltotta az adatai kiadását, ezt a folyamatot nem kell minden egyes újabb választás (országgyűlési, EP, önkormányzati) előtt megismételnie; a nyilatkozat mindaddig érvényben marad, amíg azt az állampolgár kifejezetten vissza nem vonja.

Azonban a rendszer mechanizmusában rejlik egy jelentős időbeli korlát, egy "naptári kiskapu", amely a gyakorlatban gyakran okoz frusztrációt, és amely miatt a letiltás ellenére is kaphatnak a polgárok kampányanyagokat. Az adatletiltás jogi természete szerint ex nunc (a jövőre nézve) hatályú. A jogszabályok értelmében a pártok és jelöltek az adatbázisokat az adott választás kitűzését követően, már jóval a hivatalos kampányidőszak kezdete előtt megvásárolhatják az NVI-től.

A folyamat a következő anomáliát eredményezi: ha egy párt például 2026 januárjában jogerősen megvásárolja a választói névjegyzék aktuális állapotát az NVI-től, akkor birtokába kerül egy legális, befagyasztott adathalmaz. Ha egy választópolgár csak ezt követően, februárban nyújtja be a letiltási kérelmét a SZUF-on keresztül, az NVI a februári dátumtól kezdve már nem adja ki az adatait az új igénylőknek. Azonban a januári adatbázisban a polgár adatai még benne szerepelnek, és a párt ezt az adatbázist legálisan használhatja a kampány végéig (áprilisig). Így a polgár, hiába rendelkezik érvényes letiltással, továbbra is kapni fogja a kampányleveleket attól a párttól, amely korábban már megvette a listát.

Ezen anomália kiküszöbölése érdekében a TASZ és az adatvédelmi szakértők nyomatékosan felhívják a figyelmet arra, hogy az adatletiltást prevenciós jelleggel, legalább 3-4 hónappal a választások előtt, vagy legkésőbb a választások hivatalos kitűzésének pillanatában (2026-os választások esetén jellemzően január elején) célszerű megtenni. A rendszer transzparenciáját javítja, hogy a választópolgárok az NVI-től díjmentesen (az első alkalommal) tájékoztatást kérhetnek arról, hogy adataikat a múltban kiknek, milyen jelölő szervezeteknek adták ki kampánycélra, így nyomon követhetővé válik az adatok útja.

4. A Letiltás Valósága: Az Állami Adatok Politikai Célú Újrahasznosítása

A központi névjegyzékből történő opt-out lehetősége elméletben robusztus védelmet nyújt, a gyakorlatban azonban hatóköre rendkívül limitált.

A letiltás kizárólag a Nemzeti Választási Iroda által kezelt hivatalos, szavazóköri listákra (név és lakcím) vonatkozik.

Nem érinti és nem akadályozza meg a politikai formációk saját maguk által gyűjtött adatbázisaiból ("Kubatov-listák"), a harmadik felektől származó adatbázisokból, vagy – ami a leginkább aggályos – az államigazgatási rendszerekből átvett adatok alapján történő célzást.

A 2022-es és a 2024 - es közelgő 2026-os választások tapasztalatai alapján az aszimmetrikus kampányok korában az NVI hivatalos listája csupán a politikai marketing felszínét jelenti; a valódi, mikroadatokra támaszkodó kampány a mélyebb adatbázisokban zajlik.

4.1. A Közigazgatási és a Pártpolitikai Határvonalak Elmosódása

A 2022-es országgyűlési választások során a kampánycélú adatkezelés egy új, rendszerszintű kihívást hozott felszínre, amely alapjaiban rengette meg a tisztességes és egyenlő választási feltételek (level playing field) koncepcióját. A Human Rights Watch (HRW) független emberi jogi szervezet 2022 decemberében publikált, "Trapped in a Web: The Exploitation of Personal Data in Hungary's 2022 Elections" című átfogó kutatási jelentése részletesen dokumentálta, hogy a kormánypárt (Fidesz) miként használta fel a közhatalmi pozíciójából adódó információs monopóliumát a kampány során.

A magyar kormány olyan személyes adatokat (elsősorban e-mail címeket és telefonszámokat) csatornázott be a kormánypárti politikai kommunikációba, amelyeket az állampolgárok eredetileg teljesen más, szigorúan közszolgáltatási vagy adminisztratív célokból adtak meg az államnak.

A HRW által feltárt konkrét adatforrások között szerepeltek:

A Covid-19 vakcinációs regisztrációs felület (Vakcinainfó): Milliók regisztráltak az állami egészségügyi portálon az oltás reményében. Az itt megadott e-mail címekre a kampányidőszakban a kormányzat – a tájékoztatási kötelezettségre hivatkozva – a kormánypárt választási narratíváját tükröző, az ellenzéket támadó, burkolt vagy nyílt politikai üzeneteket tartalmazó hírleveleket küldött.
Adókedvezmények és Kormányzati Támogatások: A különböző családtámogatási és adó-visszatérítési programok igénylésekor megadott elérhetőségek felhasználása.
Szakmai Kamarák: Kötelező tagsághoz kötött szakmai regisztrációk során gyűjtött adatok integrálása a kormányzati kommunikációs mátrixba.

4.2. A Célhoz Kötöttség Elvének Rendszerszintű Megsértése

Amikor egy állampolgár az egészségének megóvása érdekében regisztrál egy állami portálon, nem rendelkezik azzal a jogi és pszichológiai elvárással, hogy az adatait politikai véleménybefolyásolásra fogják felhasználni. A GDPR 5. cikk (1) bekezdés b) pontja szerinti célhoz kötöttség elve szigorúan rögzíti, hogy személyes adat csak meghatározott, egyértelmű és jogszerű célból gyűjthető, és nem kezelhető e célokkal össze nem egyeztethető módon. Az állami adatbázisok kampánycélú militarizálása (weaponization) ennek az alapelvnek a súlyos megsértését jelenti.

Az információs aszimmetria ezen a ponton válik demokratikus deficitté: míg a kormányzó erő a központosított állami adatvagyont képes volt a saját kampánygépezetébe csatornázni (anélkül, hogy a polgároknak érdemi lehetőségük lett volna a SZUF-on keresztül ezt az adatáramlást letiltani), addig az ellenzéki formációk fizikailag és jogilag el voltak zárva ezektől az állami forrásoktól. A NAIH 2026-os kampányra vonatkozó friss iránymutatása maga is elismeri és kritizálja ezt a gyakorlatot (bár konkrétan a pártok, és nem az állam viszonylatában), kimondva, hogy jogsértő az a gyakorlat, amikor egy közérdekű témára (pl. árvízvédelem, önkormányzati fejlesztések, közműügyek) hivatkozva gyűjtenek adatokat, majd azokat később országos politikai kampányüzenetek kiküldésére újrahasznosítják.

A civil szervezetek (pl. K-Monitor, TASZ) értékelése szerint a NAIH ezekben a politikailag szenzitív, az állami intézményeket érintő adatkezelési ügyekben gyakran a defenzív, a kormányzati érdekeket nem sértő jogalkalmazást választotta, ami a panaszok kivizsgálásának intézményi objektivitását kérdőjelezi meg.

5. Az Ellenzéki Oldal Alternatívája: Adatbrókerek, CRM Rendszerek és a DatAdat- Eset

A hivatalos állami adatbázisokhoz (mint a vakcinaregisztráció) való hozzáférés hiányában, és a tradicionális médiatérből való nagymértékű kiszorulás okán a hatpárti ellenzéki összefogás ("Egységben Magyarországért") a 2022-es kampányban a digitális innováció, a harmadik feles adatfeldolgozók és az agresszív mikrotargetálás felé fordult. Ez az adatközpontú stratégia azonban olyan technológiai és szerződéses kiskapukat nyitott meg, amelyek súlyos GDPR-sértésekhez vezettek, és rávilágítottak az opt-out rendszer teljes alkalmatlanságára a digitális térben.

5.1. A Közös Adatbázis Építése és a Technológiai Architektúra

Az ellenzéki formációk a kampány során egy integrált, közös adatbázist igyekeztek felépíteni a szimpatizánsok adataiból. Mivel nem állt rendelkezésükre kész, országos digitális lista, tradicionális (utcai aláírásgyűjtés, petíciók, online űrlapok) módszerekkel gyűjtöttek adatokat, majd ezeket egy központi CRM (Customer Relationship Management) rendszerbe integrálták.

Ennek a folyamatnak a technológiai motorja egy privát, politikai kampánytechnológiákra specializálódott cég, a DatAdat volt. A DatAdat egy rendkívül komplex "tech stack"-et (technológiai architektúrát) biztosított a pártoknak, amelynek központi eleme az Action Network platform volt. Ez a rendszer nem csupán egyszerű e-mail küldőként funkcionált, hanem interaktív kampányoldalakat, adománygyűjtő felületeket és kifinomult Facebook chatbotokat működtetett. A chatbotok képesek voltak interakcióba lépni a választókkal, kvízeken és kérdőíveken keresztül rögzíteni a felhasználók politikai reakcióit adott társadalmi kérdésekre, és ez alapján egy pontozási rendszert (scoring) felépíteni, amely hihetetlenül precíz, pszichográfiai alapú célzást tett lehetővé.

Ezek a mély, profilozó adatbázisok ("ellenzéki Kubatov-listák") a politikai véleményre, mint különleges adatkategóriára fókuszálnak. A GDPR értelmében a politikai szimpátia rögzítése és elemzése – a diszkrimináció és az identitáslopás magas kockázata miatt – csak a legszigorúbb adatbiztonsági garanciák mellett, és az érintett transzparens, egyértelmű beleegyezésével történhet.

A DatAdat által üzemeltetett rendszer legnagyobb problémája az átláthatóság teljes hiánya volt. Sem a hatpárti összefogás, sem az egyes pártok adatkezelési tájékoztatóiban nem szerepelt nevesítve a DatAdat mint adatfeldolgozó. A választópolgár, aki aláírt egy petíciót az utcán, vagy kitöltött egy online űrlapot, nem kapott tájékoztatást arról, hogy adatai egy nemzetközi szervereken futó, mesterséges intelligenciával támogatott profilozó gépezetbe kerülnek.

5.2. A Szerződéses Láncolatok Kiskapuja: Az Április 3-i Tömeges SMS Kampány

A transzparencia hiánya és a szerződéses láncolatokba rejtett adatkezelés csúcspontja a 2022. április 3-i, a választás napján végrehajtott tömeges SMS-kampány volt. Polgárok százezrei kaptak kéretlen, az ellenzéki miniszterelnök-jelölt támogatására buzdító SMS-eket ismeretlen feladótól, gyakran olyanok is, akik korábban soha semmilyen formában nem adták meg a telefonszámukat az ellenzéknek. Ez az incidens bizonyította, hogy a központi névjegyzékes opt-out nem ér semmit, ha a pártok harmadik felektől vásárolt vagy aggregált adatbázisokból dolgoznak.

A NAIH utólagos, hivatalból indított vizsgálata (NAIH-5529-1/2024 ügyszám) egy elképesztően bonyolult, multinacionális alvállalkozói hálót tárt fel, amelynek célja az adatkezelői felelősség elmosása volt.

A megállapítások szerint az adatbázis (amely több mint 250 ezer telefonszámot tartalmazott) a Mindenki Magyarországa Mozgalomtól (MMM) származott. Az adatok útja a következőképpen alakult:

MMM (Adatkezelő) átadta a listát az osztrák bejegyzésű Estratos Digital GmbH-nak (korábban DatAdat GmbH).
Az osztrák cég a magyarországi DatAdat Kft.-t vonta be a folyamatba.
A magyar DatAdat Kft. megbízta a telemarketingre specializálódott SzondaPhone Kft.-t.
A SzondaPhone Kft. továbbította az adatokat a VCC Live Hungary Kft.-nek.
Végül a tényleges SMS kiküldést a LINK Mobility Kft. hajtotta végre.

A NAIH jelentése lesújtó képet festett a jogszabályi kötelezettségek kijátszásáról. Az SMS-ek nem tartalmaztak semmilyen azonosítót a feladóra vonatkozóan, nem volt bennük hivatkozás az adatkezelési tájékoztatóra, és teljesen hiányzott a leiratkozás (letiltás) lehetősége. A Hatóság egyértelműsítette, hogy a GDPR 5. cikk (2) bekezdése szerinti elszámoltathatóság elvéből fakadóan a pártok és politikai szervezetek (mint az MMM) nem mentesülhetnek az adatkezelői felelősség alól azzal, hogy többszörös szerződési konstrukciókkal, lényegében egy szerződési láncolaton keresztül "kiszervezik" a kampányt. Közös adatkezelés (Joint Controllership) esetén – amit a NAIH a kapcsolódó telefonos kampányhívásoknál is megállapított (NAIH-3182/2022) – az érintett feleknek transzparens adatkezelői megállapodást kell kötniük, amelyben világosan meghatározzák, ki felel a polgárok adatvédelmi jogainak biztosításáért.

6. Biztonsági Incidensek és Kiberbiztonság: A "Tisza Világ" Applikáció Adatszivárgása

A magyar politikában elkerülhetetlenül kiberbiztonsági kockázat - a 2026-os választások előkészületeit már most alapvetően meghatározó és beárnyékoló példája a Tisza Párt "Tisza Világ" nevű mobilalkalmazásának kompromittálódása 2025 év végén.

A Tisza Világ alkalmazás fejlesztése során az adatbiztonsági garanciák (Data Protection by Design) sérültek. Az incidens során közel 200 ezer felhasználó adatrekordja szivárgott ki, amelyeket rosszindulatú, ismeretlen hátterű szereplők illegális weboldalakon (pl. a www.tiszavilág.co és a www.tisza-lista.com domaineken) tettek közzé. A kiszivárgott adatok alapján a pártszimpatizánsok lakóhelyét térképes formátumban vizualizálták, kvázi "halállistákat" hozva létre a politikai támogatókról. A politikai szimpátia, mint a GDPR 9. cikke szerinti különleges személyes adat, térképes és nyilvános listázása súlyos egzisztenciális fenyegetést, társadalmi megbélyegzést (diszkriminációt) és a demokratikus részvételtől való elrettentést (chilling effect) eredményezhet a választópolgárok körében.

6.1. Rendszerszintű Adatkezelési Anomáliák a Szivárgás Mögött

Független szakértői elemzések szerint a közzétett metaadatok és attribútumok arra utalnak, hogy a "Tisza Világ" alkalmazás több százezres felhasználói bázisát nem kizárólag az applikáción belüli, organikus és önkéntes regisztrációk alkották. Az adatok jelentős részét nagy valószínűséggel külső marketingautomatizációs vagy korábbi CRM-rendszerekből, korábbi petíciós listákról importálták (tömeges adatmigráció útján) az alkalmazásba.

Ha ez az importálás az érintett állampolgárok előzetes, kifejezett, konkrét és az új célra (az applikációban való részvételre) vonatkozó, önkéntes hozzájárulása (opt-in) nélkül történt, az súlyosan sérti a GDPR több fundamentális előírását, különösen a célhoz kötöttség és a tájékozott hozzájárulás elvét. Egy utcai standnál megadott aláírás és e-mail cím nem konvertálható át automatikusan egy mobilalkalmazás geolokációs adatokkal kombinált profiljává.

6.2. A Hatósági Válasz: NAIH Vizsgálat és Büntetőeljárás

Az incidens súlyára való tekintettel a NAIH azonnali és erőteljes hatósági fellépést koordinált. A Tisza Párt 2025. októberi bejelentését követően a Hatóság hivatalból adatvédelmi eljárást indított, majd 2025. december 16-án helyszíni szemlét tartott a pártnál a bizonyítási eljárás keretében, hogy feltárja a biztonsági rés okait és az adatkezelés jogalapját.

A NAIH elnöke, Péterfalvi Attila hangsúlyozta, hogy az adatkezelő köteles folyamatosan garantálni a rendszerek biztonságát (például végpontok közötti titkosítással, álnevesítéssel, megfelelő tűzfalakkal és hozzáférés-szabályozással), függetlenül attól, hogy a támadás kívülről érkezett-e. A Hatóság a közigazgatási eljárás mellett büntetőfeljelentést is tett a rendőrségen a személyes és különleges adatokkal való visszaélés miatt, továbbá határozottan fellépett azon médiaszolgáltatók ellen is, amelyek híradásaikban felhasználták a kiszivárgott, jogellenesen közzétett adathalmazokat vagy térképes linkeket.

7. NAIH Iránymutatások és Civil Monitorozás a 2026-os Választásokra

Az elmúlt évek sorozatos – mind a kormánypárti, mind az ellenzéki oldalon tapasztalható – adatvédelmi botrányaira (állami adatok újrahasznosítása, átláthatatlan bróker-hálózatok, applikációs szivárgások) válaszul a NAIH egy rendkívül részletes, a 2026-os országgyűlési választási kampányra vonatkozó hivatalos tájékoztatót bocsátott ki. Az iránymutatás célja, hogy a pártokat rászorítsa a GDPR alapelveinek betartására, és helyreállítsa a választási folyamat tisztaságába vetett megrendült közbizalmat.

7.1. Adattakarékosság, Átláthatóság és a "Sötét Mintázatok" Tilalma

A Hatóság 2026-os dokumentuma konkrét "jó gyakorlatokon" keresztül definiálja az elvárásokat. A jogszerűség és átláthatóság elve megköveteli, hogy az adatkezelési tájékoztatókat ne rejtsék el bonyolult aloldalakon, és az adatok útja egyszerűen követhető legyen az állampolgár számára.

Az adattakarékosság (data minimization) terén a NAIH szigorú határokat szab: a politikai marketinghez és hírlevelek küldéséhez nincs szükség a személyi azonosító (személyi szám) bekérésére. Elegendő a név és az e-mail cím; a fizikai lakcím szisztematikus gyűjtése egy digitális hírlevélhez aránytalan és jogsértő. Továbbá, amikor a polgár élni kíván a leiratkozás (letiltás) jogával, a pártok nem alkalmazhatnak úgynevezett "sötét mintázatokat" (dark patterns) – nem kérhetnek be újabb azonosító adatokat (pl. születési dátumot) csak azért, hogy megnehezítsék a leiratkozást.

A pontosság és korlátozott tárolhatóság elve értelmében az NVI-től vásárolt hivatalos (a 2. fejezetben tárgyalt 322 800 forintos) listákat a szavazás napján kötelező megsemmisíteni. A kampány során gyűjtött egyéb, saját adatokat pedig csak akkor tarthatják meg a pártok a választások után (pl. adománygyűjtésre), ha ehhez kifejezett, új jogalapot szereznek be a polgároktól. A Hatóság arra is figyelmeztet, hogy a mesterséges intelligenciával támogatott profilozás (mint amit a banki szektorban is szigorúan bírságoltak) csak a legmagasabb szintű technikai garanciák mellett alkalmazható a politikai szférában.

7.2. A Civil Társadalom Szerepe: A TASZ Monitorozó Tevékenysége

Az állami hatóságok munkáját a civil jogvédő szervezetek, kiemelten a Társaság a Szabadságjogokért (TASZ) kritikus ellenőrző és támogató tevékenysége egészíti ki. A TASZ a 2026-os választásokra készülve önálló választási forródrótot működtet, ahol a polgárok bejelenthetik az adatvédelmi visszaéléseket és a kéretlen kampányüzeneteket.

A szervezet felismerte, hogy az egyéni állampolgár eszköztelen a pártok adatgépezeteivel szemben, ezért kész, letölthető jogi formanyomtatványokat (kifogás-mintákat) biztosít, amelyek segítségével a polgárok a Ve. 208. §-a alapján panaszt tehetnek az illetékes választási bizottságoknál a kampányszabályok megsértése miatt.

8. Összegzés: A Jog és a Technológia Aszimmetriája

A személyes adatok választási kampányban történő felhasználásának és letiltásának vizsgálata egy mély, strukturális aszimmetriát tár fel a magyar politikai és jogi rendszerben a 2026-os választásokhoz közeledve.

A legális, állam által biztosított keretrendszer felszíne racionális és jól szabályozott. Az NVI által kezelt szavazóköri névjegyzékből történő adatvásárlás árazása transzparens (3 forintos fejenkénti normatíva), az átadható adatok köre (név, lakcím, kor, nem) szigorúan limitált. A polgárok számára az állam egy korszerűsített, DÁP/SZUF alapú elektronikus opt-out rendszert biztosít, amellyel viszonylag egyszerűen letilthatják adataik kiadását.

A valóság azonban – a modern mikrotargetált kampányok hatékonysági kényszere és a politikai tér polarizáltsága miatt – messze túllépett ezen a papíralapú, hivatalos kereten. Mivel az NVI nem ad ki e-mail címeket és telefonszámokat, a pártok a valódi kampányt a mélyebb, "árnyék" adatbázisokban (CRM rendszerekben, Kubatov-listákban) folytatják. Ezen a digitális terepen a SZUF-on keresztül tett központi letiltás hatástalan.

A rendszer torzulása kétirányú.

Kormányzati oldalon a közhatalmi pozícióból fakadó információs monopólium, az állami közszolgáltatások (egészségügy, adóügyek) során gyűjtött adatok politikai kampánycélú, a célhoz kötöttség elvét sértő újrahasznosítása jelent rendszerszintű kockázatot, ami ellen a polgár egyedi opt-out nyilatkozata nem nyújt védelmet.

Ellenzéki oldalon a technológiai felzárkózási kényszer vezetett átláthatatlan, sokszoros alvállalkozói láncolatokba (DatAdat konstrukció) rejtett tömeges megkeresésekhez, valamint a megfelelő kiberbiztonsági kultúra hiányában olyan katasztrofális adatszivárgásokhoz (Tisza Világ incidens), amelyek a különleges politikai adatok nyilvánosságra kerülésével a demokratikus részvétel alapjait veszélyeztetik.

A 2026-os választások tisztaságának záloga így már nem az NVI által szolgáltatott címlisták szabályozásában rejlik, hanem abban, hogy a NAIH és a független igazságszolgáltatás képes lesz-e kellő szigorral és következetességgel kikényszeríteni az átláthatóság, a célhoz kötöttség és az elszámoltathatóság elveit azokban az adatvezérelt, technológiai szürkezónákban, ahová a modern politikai kampányok áthelyeződtek.