Sự cố rò rỉ dữ liệu từ ứng dụng Tisza khởi phát, nhưng bước ngoặt nặng nề đến khi Mandiner tiếp cận gói dữ liệu và công bố danh sách tên tuổi, làm dấy lên làn sóng mới. Cùng lúc, Promenád24 liệt kê đích danh một số người, còn Németh Balázs, người phát ngôn nhóm nghị sĩ Fidesz, đến nhà một Tisza-activist và nói biết địa chỉ cư trú, khiến mức độ xâm phạm quyền cá nhân thêm đáng lo ngại.

Mục tiêu của bảo vệ dữ liệu rất đơn giản: xử lý hợp pháp, gắn với mục đích rõ ràng và không để lọt vào tay người không có thẩm quyền. Mọi xử lý hợp pháp dựa trên ba yếu tố: bên kiểm soát dữ liệu, căn cứ pháp lý có thể chứng minh và mục đích xác định cụ thể.

Tisza là bên kiểm soát, thu thập và sử dụng dữ liệu cho mục đích dự kiến, có thể đã kèm theo sự đồng ý. Trách nhiệm của Tisza nằm ở việc chứng minh biện pháp bảo vệ tương xứng rủi ro, tài liệu hóa, cam kết bảo mật của người truy cập, bảo vệ máy chủ, khả năng phát hiện sự cố và kịp thời báo cáo. Ngay cả nếu có sơ suất, Tisza vẫn là nạn nhân của hành vi trộm dữ liệu và chủ yếu phải chứng minh sự cẩn trọng trước Cơ quan Bảo vệ Dữ liệu và Tự do Thông tin Quốc gia (Nemzeti Adatvédelmi és Információszabadság Hatóság), gọi tắt là NAIH.

Khi Mandiner tải, nhận hoặc truy cập gói dữ liệu, họ trở thành bên kiểm soát độc lập và phải trả lời: vai trò là gì, căn cứ pháp lý nào, mục đích xử lý ra sao. Họ không có sự đồng ý, không nghĩa vụ pháp lý, không lợi ích sống còn, không hợp đồng; lập luận lợi ích hợp pháp hay vì lợi ích công không đứng vững, vì công bố tên người là không cần thiết và không tương xứng. Thêm vào đó, dữ liệu về quan điểm chính trị là dữ liệu nhạy cảm, nguyên tắc là bị cấm xử lý theo Quy định bảo vệ dữ liệu chung (GDPR).

NAIH sẽ xem xét liệu Mandiner có hành xử như bên kiểm soát; có căn cứ pháp lý và mục đích; phạm vi dữ liệu có cần thiết, tương xứng; nguồn dữ liệu có bất hợp pháp; có xử lý trái phép dữ liệu đặc biệt; có xâm phạm quyền cơ bản của người liên quan; và liệu có đáp ứng ngoại lệ vì mục đích báo chí theo Điều 85 GDPR hay không. Các tiêu chí này cho thấy việc liệt kê tên từ nguồn dữ liệu bất minh khó có thể được miễn trừ.

Một điểm then chốt là xác thực: chỉ Tisza mới có thể đối chiếu và xác nhận tính xác thực của gói dữ liệu. Mandiner không làm điều đó, trong khi có người bị nêu tên khẳng định chưa từng đăng ký, càng làm dấy nghi ngờ về thao túng dữ liệu. Khi chưa được xác nhận, việc xử lý và đặc biệt là liệt kê công khai là hành vi liều lĩnh; ngay cả nếu được xác thực, họ vẫn phải ẩn danh khi công bố.

Tổng hợp lại, Mandiner vi phạm nhiều lớp: dùng nguồn bất hợp pháp, không xác thực, rồi công bố dữ liệu cá nhân và dữ liệu nhạy cảm, gây tổn hại không tương xứng. Cuộc điều tra cần đặt trọng tâm vào bảo vệ quyền của người liên quan, đồng thời phân định rõ trách nhiệm: Tisza phải chứng minh sự cẩn trọng của nạn nhân, còn Mandiner đối diện trách nhiệm pháp lý, nghề nghiệp và đạo đức vì đã không “đạp phanh” trước cám dỗ công bố danh sách.