50 milliós bírság a Mediaworksnek a Tisza-adatok linkeléséért

A NAIH 50 millió forintra bírságolta a Mediaworkset, mert az Origo, a Magyar Nemzet és a Ripost jogalap nélkül linkelt egy, a Tisza-szimpatizánsok adatait tartalmazó térképet. A hatóság szerint a sajtószabadság nem ad felhatalmazást személyes adatok tömeges terjesztésére.

A térkép, ami mindent megváltoztatott

2025. november 7-én egy ismeretlen személy olyan honlapot hozott nyilvánosságra, amelyen egy interaktív térkép segítségével bárki kereshetett a Tisza Párthoz köthető érintettek adatai között. A felületen közel kétszázezer ember neve, lakcíme, telefonszáma, e-mail-címe, valamint a lakcímük geolokációs koordinátája vált megismerhetővé. Mivel az adatokat egy politikai párthoz kapcsoltan publikálták, a térkép alapján következtetést lehetett levonni az érintettek politikai véleményére is, ami az általános adatvédelmi rendelet (GDPR) értelmében különleges adatnak minősül.

Még aznap a Mediaworks Hungary Zrt. három hírportálja – az Origo, a Magyar Nemzet és a Ripost – cikkeket jelentetett meg, amelyekben közvetlen hivatkozást (linket) vagy a térkép URL-címét tartalmazó képet helyeztek el. Az Origo „Interaktív térképen mutogatják a Tisza-szimpatizánsokat” címmel, a Magyar Nemzet „Mindenki megkeresheti, ki a tiszás az utcájában vagy a falujában” címmel, a Ripost pedig „Elképesztő link kering a világhálón: mindenki megnézheti ki a Tiszás a közelében” címmel számolt be.

A NAIH döntése: jogalap nélkül

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2026. május 19-én hozott határozatában elmarasztalta a Mediaworks Hungary Zrt.-t. A hatóság megállapította, hogy a kiadó három internetes hírportálja megfelelő jogalap nélkül tette közzé a térkép elérhetőségét, ezáltal hozzáférést biztosítva az olvasók számára az érintettek személyes és különleges adataihoz.

A Mediaworks az eljárás során azzal védekezett, hogy a közzététel a GDPR szerinti jogos érdek jogalapján alapult. Érvelésük szerint a sajtó- és véleménynyilvánítás szabadsága, valamint a nyilvánosság tájékoztatása indokolta a lépést, mivel a Tisza Párt adatkezelési botrányai széles körű közérdeklődésre számot tartó közéleti vitát képeztek, és az adatbázisban szereplők maguk is e vita résztvevői.

A NAIH azonban elutasította ezt az érvelést. A hatóság hangsúlyozta: a jogos érdek jogalapjának alkalmazásához három együttes feltételnek (a jogos érdek fennállása, az adatkezelés szükségessége és arányossága) kell teljesülnie, ám a Mediaworks esetében már az első, a jogszerű jogos érdek sem volt megállapítható. A Hatóság kimondta: egy politikai párt szimpatizánsainak tömeges név-, lakcím-, telefon- és e-mail-listája, valamint geolokációs koordinátái nem minősülnek közérdeklődésre számot tartó eseménynek, így az ezekhez való hozzáférés biztosítása sem tekinthető a nyilvánosság jogszerű tájékoztatásának.

A bírság mértéke és a körülmények

A hatóság 50 millió forint bírságot szabott ki. A bírság megállapításánál a NAIH figyelembe vette a jogsértés magas súlyát, illetve azt, hogy a Hatóság korábban több alkalommal is megbírságolta már a Mediaworkst. Enyhítő körülményként értékelték azt, hogy a Mediaworks még a cikkek megjelenése napján eltávolította a térkép elérhetőségét a cikkekből, valamint azt is, hogy nem jelentős számú egyedi látogató olvashatta el a cikkeket addig, amíg a térkép elérhetősége szerepelt bennük.

A cég valószínűleg nem roppan bele a bírságba: a fideszes médiabirodalmat irányító cég bevétele 2024-ben 57,1 milliárd forint volt. A határozat 30 napon belül megtámadható közigazgatási perben a bíróságon, amennyiben ezt nem teszik meg, a NAIH határozata véglegessé válik.

Az adatszivárgás háttere

Az adatszivárgás 2025. október 6-án történt, amikor ismeretlenek hozzáfértek a Tisza Párt Tisza Világ applikációjának adatbázisához. Az Index még tavaly októberben írta meg, hogy Magyar Péter pártjának szeptember elején élesített applikációjából mintegy 20 ezer felhasználó adatai kerülhettek ki. Erre válaszul a Tisza Párt belső vizsgálatot jelentett be, és azt állította, hogy „összehangolt titkosszolgálati akció keretében támadták” a rendszert.

Később a szintén kormányközeli Magyar Nemzet már 200 ezer felhasználó adatainak kikerüléséről írt, majd elindult a listázás több kiadványnál is. Az ügyben hivatalból nyomozást indított a rendőrség is, a Kiberbiztonsági Intézet vizsgálatot indított, valamint információs rendszer vagy adat megsértésének gyanúja miatt ismeretlen tettes ellen a Nemzeti Nyomozó Iroda (KR NNI) is nyomozást rendelt el. A NAIH-hoz néhány nap alatt mintegy 700 beadvány érkezett a médiában megjelent cikkek miatt, ezért a hatóság hivatalból adatvédelmi eljárásokat indított több médiaszolgáltatóval szemben is.

Következmények és tanulságok

A NAIH döntése fontos precedenst teremt a magyar sajtó szabadsága és az adatvédelem határvonalainak meghúzásában. A hatóság egyértelművé tette, hogy a sajtószabadság nem ad felhatalmazást személyes adatok tömeges terjesztésére, még akkor sem, ha az adatok közérdeklődésre számot tartó eseményhez kapcsolódnak. A döntés várhatóan hatással lesz a jövőbeni hasonló esetekre, és erősítheti az adatvédelmi tudatosságot a magyar médiában.