A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) most lezárult vizsgálata szerint semmilyen személyes adat nem került a Yandex nevű cég szervereire. Ezzel megdőlt az az ellenzéki portálokon terjesztett összeesküvés-elmélet, amely szerint orosz szervereken landoltak volna a nemzeti konzultációt interneten kitöltők személyes adatai. A vizsgálat alapján kimondható, hogy a kormány semmilyen mulasztást nem követett el, nem kérte semmilyen analitikai program használatát, viszont a konzultációs honlapot működtető cég munkatársai szakmai hibát követtek el. A NAIH vizsgálata a Liberálisok adatkezelési gyakorlatában is visszásságokra bukkant.
A honlapot készítő cég munkatársának szakmai hibája, gondatlansága miatt futott orosz analitikai kód a nemzeti konzultáció honlapján, de az elküldött adatokat az orosz szerver nem fogadta – állapította meg a NAIH vizsgálata, amelyet csütörtökön ismertetett Péterfalvi Attila, a hatóság elnöke. A NAIH azután vizsgálta a nemzeti konzultáció honlapját, hogy sajtóhírek szerint a honlap kódjában szerepel a Yandex nevű orosz IT-cég forgalomfigyelő, adatgyűjtő mérőkódja, amely – az ellenzéki sajtó összeesküvés-elmélete szerint – orosz szervereknek küldte el magyar állampolgárok adatait. A Kormányzati Tájékoztatási Központ akkor közleményben tudatta, hogy a honlapon szereplő analitikai eszközök a honlap hatékonyságát szolgálják, és senkinek semmilyen személyes adatát nem továbbították sehová. De természetesen a mindent mindenkinél jobban tudó újságírókat és a témára rávetődő ellenzéki politikusokat ez a magyarázat nem hatotta meg.
Fotó: MTI
A honlap működtetője és alvállalkozója hibázott
A NAIH vizsgálata viszont megállapította, hogy a Miniszterelnöki Kabinetiroda sem a vállalkozót, sem az alvállalkozót nem utasította a Yandex igénybevételére, és sem a vállalkozó, sem az alvállalkozó nem tájékoztatta a kabinetirodát, hogy a Yandex szolgáltatását veszik igénybe. Péterfalvi Attila elmondta: az alvállalkozó szerint a honlap indulása előtt 1-3 nappal történt az analitika beállítása azzal, hogy a fejlesztő beépítette a honlap html-kódjába a Yandex mérőkódra utaló hivatkozást, és a Yandex szerverén beállította az adatok feldolgozását. Azonban az alvállalkozó projektmenedzsere jelezte, hogy nem lesz szükség a funkcióra, így az informatikus kikapcsolta a Yandex szerverén a funkció működését. Ám a honlap html-kódjából nem törölte manuálisan, holott ezt kellett volna tennie ahhoz, hogy az adatokat ne küldje el a felhasználó számítógépe a Yandexnek.
A Yandex az eljárásban arról tájékoztatta a hatóságot, hogy decentralizált adatközpont-rendszere van, a magyarországi adatokat a legtöbb esetben a hollandiai szerverre továbbítja. Közölték azt is, hogy mivel a Yandex-fiók ki volt kapcsolva, nem fogadták, és így nem is tárolták az adatokat. A NAIH megállapítása szerint a Yandex-kód használatával kapcsolatos adatkezelési kérdésekről az alvállalkozó döntött, ezért a Yandex Metrica szolgáltatás igénybevételével összefüggésben indult vizsgálat nem érintette a kabinetirodát. A hatóság szerint az alvállalkozó gondatlanságból személyes adatok kezelésével együttjáró módon alkalmazta a Yandex analitikai szolgáltatását, amihez nem volt adatkezelői célja és jogalapja, ezért adatkezelése jogellenes volt. A vállalkozó is hibázott, amikor nem ellenőrizte a Yandex analitikai beállításait. A vizsgálat eredményeként a NAIH arra hívta fel a vállalkozót és az alvállalkozót, hogy a jövőben a honlapok fejlesztésénél egyértelműen jelöljék meg, mely analitikai szolgáltatót fogják igénybe venni, és olyan megoldást válasszanak, amely nem jár együtt személyes adatok kezelésével.
Cáfolt a kormány
Április 9-én írta meg a George Soros hálózatába tartozó 444.hu, hogy a nemzetikonzultacio.kormany.hu című weboldalon egy orosz technológiai cég, a Yandex kódja fut. Az ultraliberális oldal elismerte, hogy ez csak egy mérőkód, ami az oldalak gazdájának segít statisztikákat készíteni a látogatókról, és a segítségével azt is ellenőrizni lehet, hogy az oldal jól van-e összerakva, könnyen tudják-e használni a látogatók. Ezzel önmagában a 444.hu szerint sincs semmi probléma, szinte minden weboldalon futnak ilyen kódok. A cikknek mégis azt a címet adták, hogy személyes adatainkat továbbítják Oroszországba, ami még a 444.hu szerint sem igaz. Ám azt problematikusnak tartják, hogy a konzultációs weblap orosz szerverekre küldi a felhasználók által beírt adatokat, tehát nem csak azt, hogy hova kattintanak az oldalon, hanem a nevüket, emailcímüket és életkorukat is, amit a Nemzeti Konzultáció kitöltése előtt meg kell adni. A kormány ugyanakkor cáfolt, és kiemelték:
A személyes és véleményadatok egymástól szigorúan elzárt és összeköthetetlen módon vannak tárolva. A honlapon szereplő analitikai eszközök a honlap hatékonyságát szolgálják. Hasonló megoldásokat a konzultációt folyamatosan támadó 444.hu is használ.
Fodor Gábor, a Liberálisok elnöke; Fotó: MTI/Marjai János
Visszásságok a Liberálisoknál
A NAIH a Liberálisok, illetve az LMP internetes oldalán található űrlapkitöltő szolgáltatást is vizsgálta. (Ennek előzménye az a tényfeltáró cikk, amely a PestiSrácok.hu-n jelent meg még áprilisban.) A Liberálisok internetes oldalán a „Belépek a pártba” felületen keresztül végzett adatkezelést vizsgálták, állampolgári bejelentésre. A menüpont ugyanis egy olyan oldalra (MailChimp) irányítja át a felhasználót, amelyet az Amerikai Egyesült Államokban székhellyel rendelkező cég, a The Rocket Science LLC üzemeltet. A felhasználóknak ezen az oldalon kell megadniuk személyes adataikat, amelyből a bejelentő állítása szerint arra lehet következtetni, hogy az adatokat – a MailChimp szolgáltatás igénybe vételén keresztül – a Liberálisok külföldön tárolják. A hatóság vizsgálatában megállapította, hogy a Mailchimp összes szervere az Egyesült Államokban található.
A Liberálisoknak az általános adatvédelmi rendeletre (GDPR) tekintettel érdemes felülvizsgálniuk azt, hogy az általuk végzett adatkezelések vonatkozásában milyen kockázatokat is jelenthet a jövőben a The Rocket Science LLC igénybevétele. A hatóság álláspontja szerint a politikai véleményre vonatkozó adatok mint a személyes adatok harmadik országban történő tárolása önmagában kockázatokat rejthet. Különösképpen, ha ez egy olyan ország, amely az elmúlt években, évtizedben széles körű megfigyelési programot alkalmazott
– fogalmazott Péterfalvi Attila. A hatóság azt is megállapította, hogy az adatfeldolgozókkal összefüggésben a Liberálisok nem tettek eleget a tájékoztatási kötelezettségüknek, mivel az adatvédelmi nyilatkozat általánosan fogalmaz, nem részletezi az adatfeldolgozó igénybevételének körülményeit, például, mely adatfeldolgozót veszik igénybe és az mely országban található. A NAIH szerint a Liberálisoknak az adatvédelmi nyilatkozatban kifejezetten ki kell térniük arra, hogy az Egyesült Államokban található adatfeldolgozót vesznek igénybe.
Az LMP már intézkedett
A hatóság vizsgálta az LMP oldalán az „Aláírásgyűjtés a tiszta kampányfinanszírozásért” felületen keresztül végzett adatkezelést is, ugyancsak állampolgári beadványra. A bejelentő azt kifogásolta, hogy a honlap Google Forms szolgáltatása az érintettek személyes adatait a Google Inc.-nek az Amerikai Egyesült Államokban üzemeltetett szervereire menti el, így az LMP külföldön tárolja a megadott személyes adatokat. A hatóság megállapította: az LMP részéről a Google Inc. harmadik országban található adatfeldolgozó igénybevételére a hazai jogszabállyal összhangban került sor, azonban – tekintettel a jövő évtől alkalmazandó általános adatvédelmi rendeletre – felhívták az LMP figyelmét: érdemes felülvizsgálni, hogy az általuk végzett adatkezelések vonatkozásában milyen kockázatokat jelenthet a jövőben a Google használata. A hatóság jelentése szerint ezzel összefüggésben a párt arról tájékoztatta a hatóságot:
az LMP a weboldalán egy helyen használ Google Forms felületet, az ilyen felületekre érkező adatok egyebekben belső szerverre kerülnek, azonban ezen felület megszüntetése is folyamatban van.
A NAIH álláspontja szerint az LMP ezen törekvése „magasabb szinten biztosítaná az adatvédelmi követelmények érvényesülését” – mondta a hatóság vezetője. A hatóság megállapította azt is: az LMP nem nyújtott megfelelő tájékoztatást az adatfeldolgozó igénybevételéről, és felhívták a pártot, hogy a jövőben kifejezett tájékoztatást nyújtson arról, ha harmadik országban található adatfeldolgozót vesz igénybe. Tekintettel arra, hogy az LMP az állampolgári bejelentésben kifogásolt felületet megszüntette, és ebből fakadóan az adatkezelést a jövőben nem folytatja, ezért a hatóság nem alkalmazott jogkövetkezményt – tette hozzá.
Forrás: MTI/PS; Vezető kép: zabor.net
Facebook
Twitter
YouTube
RSS