A honlapot készítő cég munkatársának szakmai hibája, gondatlansága miatt futott orosz analitikai kód a nemzeti konzultáció honlapján, de az elküldött adatokat az orosz szerver nem fogadta - állapította meg a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálata, amelyet csütörtökön ismertetett Péterfalvi Attila, a hatóság elnöke.
A NAIH azt követően vizsgálta a nemzeti konzultáció honlapját, hogy sajtóhírek szerint a honlap kódjában szerepel a Yandex nevű orosz IT-cég forgalomfigyelő, adatgyűjtő mérőkódja, amely, szintén sajtóhírek szerint, orosz szervereknek küldte el magyar állampolgárok adatait.
A Kormányzati Tájékoztatási Központ akkor közleményben tudatta, hogy a honlapon szereplő analitikai eszközök pedig a honlap hatékonyságát szolgálják.
A hatóság megállapította, hogy a Miniszterelnöki Kabinetiroda sem a vállalkozót, sem az alvállalkozót nem utasította a Yandex igénybevételére, és sem a vállalkozó, sem az alvállalkozó nem tájékoztatta a kabinetirodát, hogy a Yandex szolgáltatását veszik igénybe.
A BKK válaszolt az adatvédelmi hatóság megkeresésére
A Budapesti Közlekedési Központ válaszolt a Nemzeti Adatvédelmi és Információszabadság Hatóság megkeresésére az online jegyértékesítés ügyében - mondta el Péterfalvi Attila, hozzátéve, hogy ő maga még nem tanulmányozta át a dokumentumot. Jelezte: a BKK válaszának ismeretében dönt arról, hogy milyen típusú - vizsgálati vagy hatósági - eljárás indul az ügyben.
Azzal kapcsolatban, hogy a 24.hu azt írta, több mint háromezer ember személyes adatai kerültek a birtokukba a BKK online jegyértékesítési rendszeréből, Péterfalvi Attila elmondta: értékelni fogják "az ilyen jellegű adatbázisokat" is.
Hozzátette: a hatóság az eljárása során bárkit megkereshet, "akár azt is, aki hozzájuthatott az adatokhoz, vagy a hiányosságokat jelezte".
Péterfalvi Attila elmondta: az alvállalkozó szerint a honlap indulása előtt 1-3 nappal történt az analitika beállítása azzal, hogy a fejlesztő beépítette a honlap html-kódjába a Yandex mérőkódra utaló hivatkozást, és a Yandex szerverén beállította az adatok feldolgozását.
Azonban az alvállalkozó projektmenedzsere jelezte, hogy nem lesz szükség a funkcióra, így az informatikus kikapcsolta a Yandex szerverén a funkció működését, azonban a honlap html-kódjából nem törölte manuálisan, holott ezt kellett volna tennie ahhoz, hogy az adatokat ne küldje el a felhasználó számítógépe a Yandex számára.
A Yandex az eljárásban arról tájékoztatta a hatóságot, hogy decentralizált adatközpont-rendszere van, a magyarországi adatokat a legtöbb esetben a hollandiai szerverre továbbítja. Közölték azt is, hogy mivel a Yandex-fiók ki volt kapcsolva, nem fogadták, és így nem is tárolták az adatokat.
A NAIH megállapítása szerint a Yandex kód használatával kapcsolatos adatkezelési kérdésekről az alvállalkozó döntött, ezért a Yandex Metrica szolgáltatás igénybevételével összefüggésben indult vizsgálat nem érintette a kabinetirodát.
A hatóság szerint az alvállalkozó gondatlanságból személyes adatok kezelésével együttjáró módon alkalmazta a Yandex analitikai szolgáltatását, amihez nem volt adatkezelői célja és jogalapja, ezért adatkezelése jogellenes volt. A vállalkozó is hibázott, amikor nem ellenőrizte a Yandex analitikai beállításait.
A vizsgálat eredményeként a NAIH arra hívta fel a vállalkozót és az alvállalkozót, hogy a jövőben a honlapok fejlesztésénél egyértelműen jelöljék meg, mely analitikai szolgáltatót fogják igénybe venni, és olyan megoldást válasszanak, amely nem jár együtt személyes adatok kezelésével.
Kockázatos harmadik országban tárolni a pártok támogatóinak adatait
A NAIH a Liberálisok, illetve az LMP internetes oldalán található űrlapkitöltő szolgáltatást vizsgálta.
A Liberálisok internetes oldalán a "Belépek a pártba" felületen keresztül végzett adatkezelést vizsgálták, állampolgári bejelentésre. A menüpont ugyanis egy olyan oldalra (MailChimp) irányítja át a felhasználót, amelyet az Amerikai Egyesült Államokban székhellyel rendelkező cég, a The Rocket Science LLC üzemeltet. A felhasználóknak ezen az oldalon kell megadniuk személyes adataikat, amelyből a bejelentő állítása szerint arra lehet következtetni, hogy az adatokat - a MailChimp szolgáltatás igénybe vételén keresztül - a Liberálisok külföldön tárolják.
A hatóság vizsgálatában megállapította, hogy a Mailchimp összes szervere az Egyesült Államokban található.
A Liberálisoknak az általános adatvédelmi rendeletre (GDPR) tekintettel érdemes felülvizsgálniuk azt, hogy az általuk végzett adatkezelések vonatkozásában milyen kockázatokat is jelenthet a jövőben a The Rocket Science LLC igénybevétele - mondta Péterfalvi Attila.
Hozzátette: a hatóság álláspontja szerint a politikai véleményre vonatkozó adatok mint a személyes adatok harmadik országban történő tárolása önmagában kockázatokat rejthet.
Különösképpen, ha ez egy olyan ország, amely az elmúlt években, évtizedben széles körű megfigyelési programot alkalmazott - jegyezte meg.
A hatóság azt is megállapította, hogy az adatfeldolgozókkal összefüggésben a Liberálisok nem tettek eleget a tájékoztatási kötelezettségüknek, mivel az adatvédelmi nyilatkozat általánosan fogalmaz, nem részletezi az adatfeldolgozó igénybevételének körülményeit, például, mely adatfeldolgozót veszik igénybe és az mely országban található.
A NAIH szerint a Liberálisoknak az adatvédelmi nyilatkozatban kifejezetten ki kell térniük arra, hogy az Egyesült Államokban található adatfeldolgozót vesznek igénybe.
A hatóság vizsgálta az LMP oldalán az "Aláírásgyűjtés a tiszta kampányfinanszírozásért" felületen keresztül végzett adatkezelést is, ugyancsak állampolgári beadványra. A bejelentő azt kifogásolta, hogy a honlap Google Forms szolgáltatása az érintettek személyes adatait a Google Inc.-nek az Amerikai Egyesült Államokban üzemeltetett szervereire menti el, így az LMP külföldön tárolja a megadott személyes adatokat.
A hatóság megállapította: az LMP részéről a Google Inc. harmadik országban található adatfeldolgozó igénybevételére a hazai jogszabállyal összhangban került sor, azonban - tekintettel a jövő évtől alkalmazandó általános adatvédelmi rendeletre tekintettel felhívták az LMP figyelmét arra, hogy érdemes felülvizsgálni, hogy az általuk végzett adatkezelések vonatkozásában milyen kockázatokat jelenthet a jövőben a Google használata.
A hatóság jelentése szerint ezzel összefüggésben az LMP arról tájékoztatta a hatóságot, hogy az "LMP a weboldalán egy helyen használ Google Forms felületet, az ilyen felületekre érkező adatok egyebekben belső szerverre kerülnek, azonban ezen felület megszüntetése is folyamatban van."
A NAIH álláspontja szerint az LMP ezen törekvése "magasabb szinten biztosítaná az adatvédelmi követelmények érvényesülését" - mondta a hatóság vezetője.
A NAIH megállapította azt is, hogy az LMP nem nyújtott megfelelő tájékoztatást az adatfeldolgozó igénybevételéről, és felhívták a pártot, hogy a jövőben kifejezett tájékoztatást nyújtson arról, ha harmadik országban található adatfeldolgozót vesz igénybe.
Tekintettel arra, hogy az LMP az állampolgári bejelentésben kifogásolt felületet megszüntette, és ebből fakadóan az adatkezelést a jövőben nem folytatja, ezért a hatóság nem alkalmazott jogkövetkezményt - tette hozzá.
