„A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) a 444.hu internetes hírlapon megjelent cikkekből értesült arról, hogy a Nemzeti Konzultáció honlapján, a www.nemzetikonzultacio.kormany.hu oldalon a Yandex.Metrica analitikai szolgáltatásának használata sértheti az adatvédelmi követelményeket. A Hatósághoz ezt követően több
állampolgári beadvány is érkezett, amelyekben – a sajtóban megjelent cikkek állításait megismételve – a Hatóság vizsgálatát kezdeményezték az ügyben…[NAIH] ”
„A NAIH szerint nem a Miniszterelnöki Kabinetiroda felelős azért, hogy a nemzeti konzultáció honlapján az orosz Yandex cég adatgyűjtő mérőkódja futott.
A nemzeti konzultáció honlapját készítő cég munkatársának szakmai hibája, gondatlansága miatt futott orosz analitikai kód a nemzeti konzultáció honlapján, de az elküldött adatokat az orosz szerver nem fogadta – ezt állapította meg a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálata, amelyet csütörtökön ismertetett Péterfalvi Attila elnök.
A hatóság azután vizsgálta meg a nemzeti konzultáció honlapját, hogy sajtóhírek szerint a honlap kódjában szerepel a Yandex nevű orosz IT-cég forgalomfigyelő, adatgyűjtő mérőkódja, amely állítólag orosz szervereknek küldte el magyar állampolgárok adatait. A Kormányzati Tájékoztatási Központ akkor azzal érvelt, hogy a honlapon szereplő analitikai eszközök a honlap hatékonyságát szolgálják.
A hatóság megállapította: a Miniszterelnöki Kabinetiroda sem a vállalkozót, sem az alvállalkozót nem utasította a Yandex igénybevételére, és sem a vállalkozó, sem az alvállalkozó nem tájékoztatta a kabinetirodát, hogy a Yandex szolgáltatását veszik igénybe.
Péterfalvi Attila azt mondta: az alvállalkozó szerint a honlap indulása előtt 1-3 nappal állították be az analitikát azzal, hogy a fejlesztő beépítette a honlap html-kódjába a Yandex mérőkódra utaló hivatkozást, és a Yandex szerverén beállította az adatok feldolgozását.
Az alvállalkozó projektmenedzsere jelezte azonban, hogy nem lesz szükség a funkcióra, így az informatikus kikapcsolta a Yandex szerverén a funkció működését. A honlap html-kódjából nem törölte viszont manuálisan, holott ezt kellett volna tennie ahhoz, hogy az adatokat ne küldje el a felhasználó számítógépe a Yandex számára.
A Yandex az eljárásban arról tájékoztatta a hatóságot, hogy decentralizált adatközpont-rendszere van, a magyarországi adatokat a legtöbb esetben a hollandiai szerverre továbbítja. Közölték azt is, hogy mivel a Yandex-fiók ki volt kapcsolva, nem fogadták, és így nem is tárolták az adatokat.
A hatóság megállapítása szerint a Yandex kód használatával kapcsolatos adatkezelési kérdésekről az alvállalkozó döntött, ezért a Yandex Metrica szolgáltatás igénybevételével összefüggésben indult vizsgálat nem érintette a kabinetirodát.
A hatóság szerint az alvállalkozó adatkezelése jogellenes volt. A vállalkozó is hibázott, amikor nem ellenőrizte a Yandex analitikai beállításait. A vizsgálat eredményeként felhívták a vállalkozót és az alvállalkozót figyelmét arra, hogy legközelebb egyértelműen jelöljék meg, melyik analitikai szolgáltatót fogják igénybe venni, és olyan megoldást válasszanak, amely nem jár együtt személyes adatok kezelésével – zárul a tájékoztatás.[IT café]”
Forrás:
A Nemzeti Adatvédelmi és Információszabadság Hatóság jelentése. A Nemzeti Konzultáció honlapján a Yandex.Metrica analitikai szolgáltatás igénybevételével összefüggésben indított vizsgálatáról, a Liberálisok honlapján alkalmazott űrlap-kitöltő szolgáltatás miatt indított vizsgálatról, valamint az LMP honlapján alkalmazott űrlap-kitöltő szolgáltatás miatt indított vizsgálatról; Nemzeti Adatvédelmi és Információszabadság Hatóság; 2017. július 27. (pdf)
Lásd még: Yandex-botrány az nem volt; IT café; 2017. július 27.
