Veszélyes úton a DNS-ek, a házhoz rendelhető tesztekkel szerzett személyes adatok illetéktelen kezekbe kerülnek

Magyarországon is népszerűek a családfakutatás címén reklámozott DNS-tesztek, amelyeket külföldi vállalatok kínálnak az interneten.

Messze nem vagyunk még azon a tudatossági szinten, hogy pontosan meg tudjuk ítélni, kire bízzuk a személyes adatainkat. A DNS-tesztekkel foglalkozó cégek a kiberbűnözőktől kezdve a titkosszolgálatokon át sok szervezetnek lehetnek érdekes célpontjai – fogalmazott lapunknak Gyömbér Béla jogász, elektronikus információbiztonsági vezető a házhoz rendelhető DNS-tesztekkel kapcsolatban.

Magyarországon is népszerűvé váltak a családfakutatás címén reklámozott DNS-tesztek, amelyeket külföldi vállalatok kínálnak az interneten körülbelül 30-50 ezer forint közötti áron. Az eljárás lényege, hogy a DNS-teszt csomagokat házhoz szállítják, a megrendelő általában nyálmintát vesz, majd visszaküldi a csomagot. Egy idő után pedig nem csak az derül ki, hogy a DNS-e szerint milyen származású – például hány százalékban kelet-európai, vagy francia, vagy valamely más nemzetiséghez tartozó – hanem az is, hogy kik a lehetséges rokonok öt generáción keresztül, ráadásul mindez akár név szerinti bontásban.

Amikor ez 2019-ben elkezdtek itthon is terjedni, a Nemzeti Adatvédelmi és Információszabadság Hatóság kiadott egy közleményt arról, hogy nem javasolják ezen teszteknek az elvégzését, mert adatvédelmi (GDPR) szempontból aggályosak lehetnek. Leginkább azért, mert az anyacégek nemhogy nem magyarok, de többségében még csak nem is európaiak, így az ő adatvédelmi irányelveik eltérőek. Igaz, az utóbbi időben voltak előrelépések; az unió például vizsgálta, hogy az érintett országok GDPR-szintje megfelel-e az érvényben lévő uniós szabályoknak, illetve azt is, hogy egy adatot mennyi ideig tárolnak, vagy kérésre törlik-e azokat.

Gyömbér Béla szerint az embereknek sokszor fogalmuk sincs arról, hogy kire bízzák az adataikat. – A DNS-teszttel foglalkozó cégek piaca nagy, és rendelkeznek ugyan adatvédelmi nyilatkozattal, ami jó esetben részeletesen leírja, hogy a szerződéskötés után mi történik az adatokkal. Az már más kérdés, hogy ezt ki olvassa el, ahogy az is, hogy mit ért meg belőle. Például van olyan cég, ahol csak angolul érhető el a dokumentum (noha magyar nyelven is hirdeti magát), ami egy bonyolult jogi szöveg esetén még azoknak is problémát okozhat, akik jól beszélik az adott nyelvet. De a magyar nyelvű szövegek is sokszor kacifántosak, pedig elvárás lenne a közérthető tájékoztatás és megfogalmazás is – érvel a szakértő, aki hozzáteszi, hogy a DNS ráadásul egy különleges személyes adat.

Lapunk több, hazánkban is fogalmazható DNS-teszt adatvédelmi nyilatkozatát összevetette, és a skála elég széles.

Külön gond, hogy a minták szállítása, tárolása, informatikai feldolgozása közben elveszhetnek, vagy ellophatják azokat. Gyömbér Béla szerint ezeknek az adatoknak az informatikai védelmi szintjét egy távoli ország esetében még egy szakembernek is nehéz megvizsgálnia, nemhogy egy laikusnak. – Egy egyszerű vásárló nem fogja tudni megítélni, mennyi az esélye az adatlopásnak – hívja fel a figyelmet a szakértő.

Annyira valós ez a veszély, hogy az egyik érintett cégnél már történt "információbiztonsági incidens", igaz, ekkor még "csak" az email-címek és a jelszavak szivárogtak ki. Az adatvédelmi nyilatkozatokat általában a felhasználónak kell megkeresnie a cégek oldalain. Az egyetlen figyelmeztetés minderre az, hogy az internetes vásárlás egyik utolsó állomásaként ki kell pipálni, hogy valaki elolvasta ezt a dokumentumot. Általában szintén ilyenkor lehet kipipálni, hogy valaki hozzájárul-e ahhoz, hogy az adatait kutatási és más célra használják fel. Gyömbér Béla szerint mindenkinek érdemes átrágnia magát ezeken a tájékoztatókon, hisz könnyű visszaélni az adatokkal.

– Ezek a tesztek tudnak hasznosak lenni, ugyanakkor a mai világban nem kerülhető el, hogy fejlesszük a tudatossági szintünket – tette hozzá a szakértő.