Yandex-ügy - Kikapcsolt adatvédelem

Az adatvédelmi hatóság szerint csak az alvállalkozó hibázott, ezért kerültek az orosz céghez a kormányzati konzultáció online kitöltőinek adatai. A hozzáértők szerint ez nonszensz.

A személyes adatok védelmének jogi rendszerében elképzelhetetlen, hogy egy alvállalkozó jogi felelősséggel tartozzon egy személyes adatsérelem ügyében, viszont az őt megbízó ne feleljen. Az adatvédelemben ez nem létezik – reagálta lapunknak Majtényi László volt adatvédelmi biztos, miután a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálatában azt állapította meg, hogy csak az alvállalkozó hibázott, ezért kerültek az orosz Yandexhez a nemzeti konzultáció kitöltőinek adatai.

Péterfalvi Attila, a hivatal vezetője csütörtöki sajtótájékoztatóján leszögezte: az alvállalkozót megbízó Rogán Antal vezette Miniszterelnöki Kabinetiroda nem felelős az ügyben. A NAIH azután kezdett vizsgálódni, miután kiderült: a nemzetikonzultacio.kormany.hu kódjában szerepel a Yandex forgalomfigyelő, adatgyűjtő mérőkódja, amely orosz szervereknek küldte el magyar állampolgárok adatait. Péterfalvi szerint a honlapot készítő cégnél történt a mulasztás, az illetékes munkatárs ugyanis csak kikapcsolta a funkció működését, de a honlap hmtl-kódjából nem törölte azt, ezért a felhasználói információkat elküldték a Yandexhez. Az orosz cég az eljárásban arról tájékoztatta a hatóságot, hogy decentralizált adatközpont-rendszere van, a magyarországi adatokat a legtöbb esetben egy hollandiai szerverre továbbítja. Közölték azt is, hogy mivel a Yandex-fiók ki volt kapcsolva, nem fogadták, és így nem is tárolták az adatokat. A NAIH eljárása során az állításokkal szemben nem jutott ellentétes megállapításra, bár azt Péterfalvi is megjegyezte: ilyen bizonyítás nem is lehetséges a külföldi szerverek átvizsgálása nélkül.

A lapunk által megkérdezett informatikus szakértő szerint a Yandex különböző szolgáltatásairól és adatvédelméről szóló összes jogi dokumentumban csak a cég orosz tevékenységére utalnak, említve sincs bennük az Európai Unió vagy konkrétan Hollandia. Utóbbiban csak egy 16 ember foglalkoztató mikrorészlege van a cégnek, semmi nyoma, hogy ott dolgoznának föl vagy tárolnának adatokat. Az viszont dokumentálható, hogy közvetlen kapcsolat van a Yandex és az orosz titkosszolgálat között. (A BBC korábban feltárta, hogy a cég együttműködik az orosz titkosszolgálattal. A Yandex 2011-ben adatokat adott át a KGB utódszervezetének, az FSZB-nek arról, hogy kik támogatták a cég online fizetési megoldásán keresztül Alexander Navalnij orosz ellenzéki vezetőt.) A cég fő profilja egyébként egyáltalán nem a hatékonyságnövelés, hanem a látogatók/felhasználók viselkedésének mérése és elemzése. Péterfalvi magyarázatában a szakértő szerint egyetlen értelmezhető indok sincs arról, hogy miért került a honlapra a Yandex kódja, és miért csak „kikapcsolta” ezt a funkciót a fejlesztő. Ennek ugyanis csak akkor van értelme, ha valamilyen másik Yandex-szolgáltatást a megrendelő továbbra is igénybe vesz, hiszen egyébként minden fölöslegesen betöltődő kódrész rontja az oldal működését. Vagyis az egyik funkció kikapcsolása nem bizonyíték arra nézve, hogy nem történt adatküldés – ezt bemondásra elhinni pedig „több mint naivitás”.

„A független ombudsmani intézmény megszűnése óta nem tudok felidézni olyan helyzetet, amikor politikailag kényes ügyben bármely állami szervet a NAIH elmarasztalta volna” – fogalmazott a Népszavának Majtényi László is. A volt adatvédelmi biztos szerint nagyon régóta nincsenek biztonságban a személyes adataink, éppen ezért kell független adatvédelmi hatóságnak működnie az Európai Uniós tagállamokban. Majtényi leszögezte: a NAIH alapvető feladata az állam ellenőrzése lenne.

A vizsgálat eredményeként azonban Péterfalvi hatósága csupán arra hívta fel a figyelmet, hogy a jövőben a honlapok fejlesztésénél egyértelműen jelöljék meg, mely analitikai szolgáltatót fogják igénybe venni, és olyan megoldást válasszanak, amely nem jár együtt személyes adatok kezelésével.

Tanulmányozzák a BKK válaszát

A Budapesti Közlekedési Központ válaszolt a NAIH megkeresésére az online jegyértékesítés ügyében, de ezt Péterfalvi "még nem tanulmányozta át". A NAIH elnöke jelezte: a BKK válaszának ismeretében dönt arról, hogy milyen típusú – vizsgálati vagy hatósági – eljárás indul az ügyben.