"az elsődleges felelőssel, az adatgazdával (TISZA) mi lesz?"
GDPR szempontból egyértelműen ők lesznek elővéve. És itt az a tény, hogy az adat valamilyen külső fél "rosszindulatú" tevékenysége során került ki, nem enyhítő, hanem inkább súlyosbító körülmény (lévén, hogy így biztosra vehető, hogy visszaélnek az adatokkal, nem csak "kinn volt felejtve, de senki nem tudott róla").