A napokban tette közzé a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke, Péterfalvi Attila a Yandex-botránnyal kapcsolatos vizsgálatának eredményét. A jelentésből több fontos részlet is napvilágot látott, többek között az is, hogy a weboldalt készítő alvállalkozó kifejezetten javasolta az orosz kormányhoz közelinek tartott Yandex megoldásának használatát. Azonban még így is egy hiba vezetett végül az aktiválásához. De a Liberális párt és az LMP adatkezelése sem volt rendben.
Érdekesség, hogy a jelentés megemlíti azt is, hogy mind a kerületi ügyészség, mind a Fővárosi Főügyészség – a büntetőjogi felelősség megállapítása szempontjából figyelembe veendő jelentős érdeksérelem fennállásának hiányában – elutasította a személyes adattal visszaélés vétségének megállapítására irányuló feljelentést. A NAIH eljárást azonban mindezt nem befolyásolta, mivel az információs önrendelkezési jog védelme érvényesülése érdekében is vizsgálatot indíthat.
A jelentés szerint a Miniszterelnöki Kabinetiroda 2017. február 14-én vállalkozási keretszerződést kötött a New Land Media Kft. és a Lounge Design Kft. (a továbbiakban: Vállalkozó) által alkotott konzorciummal. A www.nemzetikonzultacio.kormany.hu honlap fejlesztésére ezen szerződés keretében került sor.
Azonban a mérésre vonatkozó részt és a konkrét honlapot egy alvállalkozó a Trendency Online Zrt. készítette. Az alvállalkozó a nyilatkozatában elmondta, hogy a korábbi kormányzati projektek során a honlapok fejlesztői a Google Analytics szolgáltatását vették igénybe, azonban ők számos szempontot soroltak fel amellett, hogy milyen megfontolások miatt célszerű inkább a Yandex által nyújtott Yandex.Metrica szolgáltatását használni.
Szerintük a Yandex más megközelítéssel mér, mint a Google Analytics, illetve különösen a felhasználói magatartásról és más paraméterekről pontosabb információkat nyújt, mint a Google. A honlapot fejlesztő alvállalkozó továbbá azt is elmondta, hogy azért esett a választás a Yandex szolgáltatására, mert véleményük szerint a mobileszközök (mobiltelefon, tablet) használata esetén még pontosabbak az analitikai szoftvereik mérései, mint a Google hasonló szolgáltatása esetében.
A NAIH az eljárás során egyébként megállapította azt is, hogy a Miniszterelnöki Kabinetiroda sem a vállalkozót, sem az alvállalkozót nem utasította arra, hogy konkrét analitikai eszközt, vagy akár a Yandex.Metrica analitikai szolgáltatást használják, továbbá egyik partnere sem tájékoztatta a Miniszterelnöki Kabinetirodát arról, hogy a Yandex szolgáltatását akarják majd használni.
A Yandex beállítása úgy történt, hogy az alvállalkozó Yandex mérőkód beállításával megbízott munkatársa a Nemzeti Konzultáció honlapja számára létrehozott egy külön Yandex-fiókot. A külön erre a célra létrehozott Yandexfiókban először bekapcsolta a „Session Replay, scroll map, form analytics” funkciót. Ez a beállítás tartalmazta a felhasználó által megadott adatok elküldését is.
Később, de még a honlap indulását megelőzően azonban az alvállalkozó projektmenedzsere jelezte a munkatársnak, hogy erre a funkcióra nem lesz szükség, ezért a fiókban ennek működését kikapcsolta. Azonban a honlap html kódjából nem távolította el az erre vonatkozó utalást („WebVisor” modul). Ezt manuálisan ki kellett volna törölni a kódból, de a vizsgálat szerint erről az alvállalkozó munkatársa nem tudott, a projektmenedzser pedig nem ellenőrizte.
Vagyis a mérőkód végül egy hiba folytán maradt aktív az informatikai rendszerben.
Az adatvédelmi jelentésből kiderül, hogy az adatforgalom körülményeivel kapcsolatban a NAIH megkereste a Yandex-et is. A Yandex a válaszában kiemelte, hogy decentralizált adatközpont-rendszere van, így Oroszországban, Finnországban és Hollandiában egyaránt rendelkezik adatközponttal. A Yandex elmondta, hogy a hálózati topológiának megfelelően a „legközelebbi szerverre” küldi a felhasználó gépe az adatcsomagot. Magyarország esetében ez a legtöbb esetben Hollandiát jelenti.
A Yandex a Hatóság kérdésére kifejtette, hogy abban az esetben, ha a Yandex fiókban „Session Replay, scroll map, form analytics” funkció nincs bekapcsolva, azonban a Yandex mérőkódjában aktív marad a „WebVisior” modul, akkor a Yandex nem tárolja az adatokat. A Yandex tájékoztatása szerint csak abban az esetben kerül sor az adatok két hétig terjedő tárolására, ha a „Session Replay, scroll map, form analytics” funkció is be van kapcsolva a Yandex-fiókban.
A NAIH megállapította, hogy a Miniszterelnöki Kabinetiroda 2017. április 8-án 9 óra 7 perckor indította el a www.nemzetikonzultacio.kormany.hu honlapot, majd a sajtóban megjelent cikkek hatására 2017. április 9-én 10 óra 45 perckor távolították el az oldalról a Yandex mérőkódját. Ezen időszak alatt összesen 11572 kérdőív kitöltés történt, de a konkrét érintettek száma pontosan nem megismerhető.
A vizsgálat szerint az alvállalkozó nem járt el megfelelő gondossággal, mivel egy munkatársának szakmai hibájából fakadóan a Yandex mérőkódban aktív maradt a „WebVisior” modul, és ezért ahogyan – a kód funkcionalitásából látható – a felhasználó számítógépe által elküldött adatcsomag az az összes interakciót tartalmazta, amelyet felhasználó a honlapon végrehajtott.
A mulasztásból fakadóan az ilyen jellegű, nem tervezett adatkezeléshez az alvállalkozó nem rendelkezett megfelelő adatkezelési céllal és jogalappal. A NAIH azt is megállapította, hogy az alvállalkozó gondatlanságból személyes adatok kezelésével együtt járó módon alkalmazta a Yandex analitikai szolgáltatását, amellyel megsértette az Infotv. 4. § (1)-(2) bekezdését (megfelelő adatkezelési cél nélküli adatkezelés), és az Infotv. 5-6. §-át (megfelelő jogalap nélküli adatkezelés), ezért az alvállalkozó ezen adatkezelése jogellenes volt.
A NAIH az esettel összefüggésben kiemelte, hogy az alvállalkozónak a jelentésben leírt mulasztása az Infotv. 3. § 26. pontja szerinti adatvédelmi incidensnek tekinthető, hiszen a Yandex.Metrica szolgáltatás nem megfelelő beállításai jogellenes adatkezeléshez vezetett. A Yandex által adott tájékoztatásnak ellentmondó körülményt a NAIH nem tárt fel, továbbá az alvállalkozónál tartott helyszíni vizsgálata során megbizonyosodhatott arról, hogy a Yandex fiók valóban nem tartalmazott mérési adatokat.
A Hatóság a jelentés közzétételével egyidejűleg az Infotv. 56. § (1) bekezdésére hivatkozva az alábbiakra hívja fel a jelentésben érintett minden szervezet figyelmét, amennyiben analitikai szolgáltatást kívánnak igénybe venni:
– a jövőben a honlap fejlesztésére kötött szerződésben vagy árajánlatban egyértelműen jelölje meg, hogy mely szolgáltatónak az analitikáját használják majd a honlapon, illetve a tervezett beállításokat is rögzítse a szerződésben (így különösen a szerződésben szerepeljen az, hogy az analitika készítése nem jár együtt személyes adatok kezelésével);
– dolgozzon ki egy hatékony adatvédelmi szempontú ellenőrzési mechanizmust a honlapon igénybe vett analitikai szolgáltatással összefüggésben, amellyel a honlap indítását megelőzően meg lehet győződni arról, hogy az analitika használata nem jár együtt személyes adatok kezelésével;
– a jövőben az Infotv.-nek megfelelően vezesse az adatvédelmi incidens nyilvántartást.
A NAIH a jelentés elkészítésével és közzétételével egyidejűleg a vizsgálatot lezárta. A jelentés azonban nem ezen a ponton zárul, mert érdekes módon a részévé váltak a két magyarországi párt, az LMP és a Liberálisok weboldalával kapcsolatos bejelentésekre vonatkozó vizsgálatok megállapításai is. Történt ugyanis, hogy vélhetően a Yandex-botrányra reflektáló bejelentések kifogásolták a két párt adatkezelését is.
A párhuzamos vizsgálata során a NAIH megállapította, hogy a Liberálisok párt az igénybe vett adatfeldolgozókról – Liberálisok által végzett adatkezelés sajátos körülményeire tekintettel – nem nyújt megfelelő tájékoztatást az érintettek számára, mivel az Adatvédelmi nyilatkozatuk nem részletezi az adatfeldolgozó igénybevételének körülményeit.
A NAIH ezen túlmenően megjegyezte, hogy a Liberálisoknak az általános adatvédelmi rendeletre (a továbbiakban az angol nyelvű rövidítését használva: GDPR) tekintettel érdemes felülvizsgálniuk azt, hogy az általuk végzett adatkezelések vonatkozásában milyen kockázatokat jelenthet a jövőben az Amerikai Egyesült Államokbeli honosságú The Rocket Science LLC igénybevétele.
Továbbá az egyik beadványozó állítása szerint, az LMP honlapjának Google Forms szolgáltatása az érintettek személyes adatait a Google Inc.-nek (1600 Amphitheatre Parkway, Mountain View, CA 94043, Amerikai Egyesült Államok, a továbbiakban: Google Inc.) az Amerikai Egyesült Államokban üzemeltetett szervereire menti el, így az LMP külföldön tárolja a megadott személyes adatokat az „Aláírásgyűjtés a tiszta kampányfinanszírozásért” LMP felület kapcsán.
A NAIH megkeresésére az LMP azt a tájékoztatást adta, hogy ezt a felületet azért választották,
„mert ingyenes, és egyebekben is kézenfekvőnek tűnt a használata.”
Az LMP a válaszlevelében kifejtette, hogy a „Google Inc.-nek nem kizárólag az Amerikai Egyesült Államokban üzemeltett szerverei vannak, hanem az egész világon, így többek között Magyarországon is.” Ugyanakkor az LMP elismerte, hogy a konkrét honlapon „tárolt adatok vonatkozásában az LMP-nek nincs azzal kapcsolatos információja, hogy a tárolásra szolgáló szerver külföldön van-e.”
Az LMP adatkezelésével összefüggésben a NAIH az Infotv. értelmező rendelkezései alapján megállapította, hogy az adatkezelések különleges adatokra, politikai véleményre vagy pártállásra vonatkozó személyes adatokra is kiterjed. A NAIH ezen túlmenően megállapította azt is, hogy az LMP nem nyújtott megfelelő tájékoztatást az adatfeldolgozó igénybevételéről: mely adatfeldolgozót is veszik igénybe (és mely országban is található az adatfeldolgozó), milyen személyes adatokra nézve milyen tevékenységet lát el a LMP számára.
Kép: pixabay.com
Ha tetszett az írás, akkor ne maradj le a következőről:
