A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) most lezárult vizsgálata szerint semmilyen személyes adat nem került a Yandex nevű cég szervereire. Ezzel megdőlt az az ellenzéki portálokon terjesztett összeesküvés-elmélet, amely szerint orosz szervereken landoltak volna a nemzeti konzultációt interneten kitöltők személyes adatai. A vizsgálat alapján kimondható, hogy a kormány semmilyen mulasztást nem követett el, nem kérte semmilyen analitikai program használatát, viszont a konzultációs honlapot működtető cég munkatársai szakmai hibát követtek el. A NAIH vizsgálata a Liberálisok adatkezelési gyakorlatában is visszásságokra bukkant.
A honlapot készítő cég munkatársának szakmai hibája, gondatlansága miatt futott orosz analitikai kód a nemzeti konzultáció honlapján, de az elküldött adatokat az orosz szerver nem fogadta – állapította meg a NAIH vizsgálata, amelyet csütörtökön ismertetett Péterfalvi Attila, a hatóság elnöke. A NAIH azután vizsgálta a nemzeti konzultáció honlapját, hogy sajtóhírek szerint a honlap kódjában szerepel a Yandex nevű orosz IT-cég forgalomfigyelő, adatgyűjtő mérőkódja, amely – az ellenzéki sajtó összeesküvés-elmélete szerint – orosz szervereknek küldte el magyar állampolgárok adatait. A Kormányzati Tájékoztatási Központ akkor közleményben tudatta, hogy a honlapon szereplő analitikai eszközök a honlap hatékonyságát szolgálják, és senkinek semmilyen személyes adatát nem továbbították sehová. De természetesen a mindent mindenkinél jobban tudó újságírókat és a témára rávetődő ellenzéki politikusokat ez a magyarázat nem hatotta meg.
A honlap működtetője és alvállalkozója hibázott
A NAIH vizsgálata viszont megállapította, hogy a Miniszterelnöki Kabinetiroda sem a vállalkozót, sem az alvállalkozót nem utasította a Yandex igénybevételére, és sem a vállalkozó, sem az alvállalkozó nem tájékoztatta a kabinetirodát, hogy a Yandex szolgáltatását veszik igénybe. Péterfalvi Attila elmondta: az alvállalkozó szerint a honlap indulása előtt 1-3 nappal történt az analitika beállítása azzal, hogy a fejlesztő beépítette a honlap html-kódjába a Yandex mérőkódra utaló hivatkozást, és a Yandex szerverén beállította az adatok feldolgozását. Azonban az alvállalkozó projektmenedzsere jelezte, hogy nem lesz szükség a funkcióra, így az informatikus kikapcsolta a Yandex szerverén a funkció működését. Ám a honlap html-kódjából nem törölte manuálisan, holott ezt kellett volna tennie ahhoz, hogy az adatokat ne küldje el a felhasználó számítógépe a Yandexnek.
A Yandex az eljárásban arról tájékoztatta a hatóságot, hogy decentralizált adatközpont-rendszere van, a magyarországi adatokat a legtöbb esetben a hollandiai szerverre továbbítja. Közölték azt is, hogy mivel a Yandex-fiók ki volt kapcsolva, nem fogadták, és így nem is tárolták az adatokat. A NAIH megállapítása szerint a Yandex-kód használatával kapcsolatos adatkezelési kérdésekről az alvállalkozó döntött, ezért a Yandex Metrica szolgáltatás igénybevételével összefüggésben indult vizsgálat nem érintette a kabinetirodát. A hatóság szerint az alvállalkozó gondatlanságból személyes adatok kezelésével együttjáró módon alkalmazta a Yandex analitikai szolgáltatását, amihez nem volt adatkezelői célja és jogalapja, ezért adatkezelése jogellenes volt. A vállalkozó is hibázott, amikor nem ellenőrizte a Yandex analitikai beállításait. A vizsgálat eredményeként a NAIH arra hívta fel a vállalkozót és az alvállalkozót, hogy a jövőben a honlapok fejlesztésénél egyértelműen jelöljék meg, mely analitikai szolgáltatót fogják igénybe venni, és olyan megoldást válasszanak, amely nem jár együtt személyes adatok kezelésével.
Cáfolt a kormány
Április 9-én írta meg a George Soros hálózatába tartozó 444.hu, hogy a nemzetikonzultacio.kormany.hu című weboldalon egy orosz technológiai cég, a Yandex kódja fut. Az ultraliberális oldal elismerte, hogy ez csak egy mérőkód, ami az oldalak gazdájának segít statisztikákat készíteni a látogatókról, és a segítségével azt is ellenőrizni lehet, hogy az oldal jól van-e összerakva, könnyen tudják-e használni a látogatók. Ezzel önmagában a 444.hu szerint sincs semmi probléma, szinte minden weboldalon futnak ilyen kódok. A cikknek mégis azt a címet adták, hogy személyes adatainkat továbbítják Oroszországba, ami még a 444.hu szerint sem igaz. Ám azt problematikusnak tartják, hogy a konzultációs weblap orosz szerverekre küldi a felhasználók által beírt adatokat, tehát nem csak azt, hogy hova kattintanak az oldalon, hanem a nevüket, emailcímüket és életkorukat is, amit a Nemzeti Konzultáció kitöltése előtt meg kell adni. A kormány ugyanakkor cáfolt, és kiemelték:
A személyes és véleményadatok egymástól szigorúan elzárt és összeköthetetlen módon vannak tárolva. A honlapon szereplő analitikai eszközök a honlap hatékonyságát szolgálják. Hasonló megoldásokat a konzultációt folyamatosan támadó 444.hu is használ.
Visszásságok a Liberálisoknál
A NAIH a Liberálisok, illetve az LMP internetes oldalán található űrlapkitöltő szolgáltatást is vizsgálta. (Ennek előzménye az a tényfeltáró cikk, amely a PestiSrácok.hu-n jelent meg még áprilisban.) A Liberálisok internetes oldalán a „Belépek a pártba” felületen keresztül végzett adatkezelést vizsgálták, állampolgári bejelentésre. A menüpont ugyanis egy olyan oldalra (MailChimp) irányítja át a felhasználót, amelyet az Amerikai Egyesült Államokban székhellyel rendelkező cég, a The Rocket Science LLC üzemeltet. A felhasználóknak ezen az oldalon kell megadniuk személyes adataikat, amelyből a bejelentő állítása szerint arra lehet következtetni, hogy az adatokat – a MailChimp szolgáltatás igénybe vételén keresztül – a Liberálisok külföldön tárolják. A hatóság vizsgálatában megállapította, hogy a Mailchimp összes szervere az Egyesült Államokban található.
A Liberálisoknak az általános adatvédelmi rendeletre (GDPR) tekintettel érdemes felülvizsgálniuk azt, hogy az általuk végzett adatkezelések vonatkozásában milyen kockázatokat is jelenthet a jövőben a The Rocket Science LLC igénybevétele. A hatóság álláspontja szerint a politikai véleményre vonatkozó adatok mint a személyes adatok harmadik országban történő tárolása önmagában kockázatokat rejthet. Különösképpen, ha ez egy olyan ország, amely az elmúlt években, évtizedben széles körű megfigyelési programot alkalmazott
– fogalmazott Péterfalvi Attila. A hatóság azt is megállapította, hogy az adatfeldolgozókkal összefüggésben a Liberálisok nem tettek eleget a tájékoztatási kötelezettségüknek, mivel az adatvédelmi nyilatkozat általánosan fogalmaz, nem részletezi az adatfeldolgozó igénybevételének körülményeit, például, mely adatfeldolgozót veszik igénybe és az mely országban található. A NAIH szerint a Liberálisoknak az adatvédelmi nyilatkozatban kifejezetten ki kell térniük arra, hogy az Egyesült Államokban található adatfeldolgozót vesznek igénybe.
Az LMP már intézkedett
A hatóság vizsgálta az LMP oldalán az „Aláírásgyűjtés a tiszta kampányfinanszírozásért” felületen keresztül végzett adatkezelést is, ugyancsak állampolgári beadványra. A bejelentő azt kifogásolta, hogy a honlap Google Forms szolgáltatása az érintettek személyes adatait a Google Inc.-nek az Amerikai Egyesült Államokban üzemeltetett szervereire menti el, így az LMP külföldön tárolja a megadott személyes adatokat. A hatóság megállapította: az LMP részéről a Google Inc. harmadik országban található adatfeldolgozó igénybevételére a hazai jogszabállyal összhangban került sor, azonban – tekintettel a jövő évtől alkalmazandó általános adatvédelmi rendeletre – felhívták az LMP figyelmét: érdemes felülvizsgálni, hogy az általuk végzett adatkezelések vonatkozásában milyen kockázatokat jelenthet a jövőben a Google használata. A hatóság jelentése szerint ezzel összefüggésben a párt arról tájékoztatta a hatóságot:
az LMP a weboldalán egy helyen használ Google Forms felületet, az ilyen felületekre érkező adatok egyebekben belső szerverre kerülnek, azonban ezen felület megszüntetése is folyamatban van.
A NAIH álláspontja szerint az LMP ezen törekvése „magasabb szinten biztosítaná az adatvédelmi követelmények érvényesülését” – mondta a hatóság vezetője. A hatóság megállapította azt is: az LMP nem nyújtott megfelelő tájékoztatást az adatfeldolgozó igénybevételéről, és felhívták a pártot, hogy a jövőben kifejezett tájékoztatást nyújtson arról, ha harmadik országban található adatfeldolgozót vesz igénybe. Tekintettel arra, hogy az LMP az állampolgári bejelentésben kifogásolt felületet megszüntette, és ebből fakadóan az adatkezelést a jövőben nem folytatja, ezért a hatóság nem alkalmazott jogkövetkezményt – tette hozzá.
Forrás: MTI/PS; Vezető kép: zabor.net
Ferenc
2017-07-28 at 10:41
Újabb rémhírről hullt le a fátyol? Efftársak? Mi lesz így a “haladással”?
pot_ember
2017-07-28 at 10:37
Figyelem!
Köztudottan amerikai szerverre kerül az összes Facebook (és egyéb közösségi oldalak) felhasználóinak megadott összes adatai, vásárlási szokása, politikai nézete, kapcsolati köre, talán mág az alsógatya mérete is. Így hát aggódjunk az orosz szerverre került email címünk miatt!
Kaktusz
2017-07-28 at 12:38
nálad a pont.
khm
2017-07-27 at 19:37
lilafenyves i
Igen persze. Csak az a bajod,hogy nem érted,vagy az a bajod,hogy nincs mivel megértsél valamit?
Nagy Testvír
2017-07-27 at 19:33
Óóó… hát ez nem újdonság! Most már, a Péterfalvi is egy Fidesz hívő lett szerintük!
Kaktusz
2017-07-27 at 18:58
No tessék. Újfent kiderül, hogy az ellenzék, mindig ajvékol, gondolkodás helyett.