A honlapot készítő cég munkatársának szakmai hibája, gondatlansága miatt futott orosz analitikai kód a nemzeti konzultáció honlapján, de az elküldött adatokat az orosz szerver nem fogadta – állapította meg a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálata, amelyet csütörtökön ismertetett Péterfalvi Attila, a hatóság elnöke.
A NAIH azt követően vizsgálta a nemzeti konzultáció honlapját, hogy sajtóhírek szerint a honlap kódjában szerepel a Yandex nevű orosz IT-cég forgalomfigyelő, adatgyűjtő mérőkódja, amely, szintén sajtóhírek szerint, orosz szervereknek küldte el magyar állampolgárok adatait. A Kormányzati Tájékoztatási Központ akkor közleményben tudatta, hogy a honlapon szereplő analitikai eszközök pedig a honlap hatékonyságát szolgálják.
A hatóság megállapította, hogy a Miniszterelnöki Kabinetiroda sem a vállalkozót, sem az alvállalkozót nem utasította a Yandex igénybevételére, és sem a vállalkozó, sem az alvállalkozó nem tájékoztatta a kabinetirodát, hogy a Yandex szolgáltatását veszik igénybe.
Péterfalvi Attila elmondta: az alvállalkozó szerint a honlap indulása előtt 1-3 nappal történt az analitika beállítása azzal, hogy a fejlesztő beépítette a honlap html-kódjába a Yandex mérőkódra utaló hivatkozást, és a Yandex szerverén beállította az adatok feldolgozását. Azonban az alvállalkozó projektmenedzsere jelezte, hogy nem lesz szükség a funkcióra, így az informatikus kikapcsolta a Yandex szerverén a funkció működését, azonban a honlap html-kódjából nem törölte manuálisan, holott ezt kellett volna tennie ahhoz, hogy az adatokat ne küldje el a felhasználó számítógépe a Yandex számára.
A Yandex az eljárásban arról tájékoztatta a hatóságot, hogy decentralizált adatközpont-rendszere van, a magyarországi adatokat a legtöbb esetben a hollandiai szerverre továbbítja. Közölték azt is, hogy mivel a Yandex-fiók ki volt kapcsolva, nem fogadták, és így nem is tárolták az adatokat.
A NAIH megállapítása szerint a Yandex kód használatával kapcsolatos adatkezelési kérdésekről az alvállalkozó döntött, ezért a Yandex Metrica szolgáltatás igénybevételével összefüggésben indult vizsgálat nem érintette a kabinetirodát. A hatóság szerint az alvállalkozó gondatlanságból személyes adatok kezelésével együttjáró módon alkalmazta a Yandex analitikai szolgáltatását, amihez nem volt adatkezelői célja és jogalapja, ezért adatkezelése jogellenes volt. A vállalkozó is hibázott, amikor nem ellenőrizte a Yandex analitikai beállításait.
A vizsgálat eredményeként a NAIH arra hívta fel a vállalkozót és az alvállalkozót, hogy a jövőben a honlapok fejlesztésénél egyértelműen jelöljék meg, mely analitikai szolgáltatót fogják igénybe venni, és olyan megoldást válasszanak, amely nem jár együtt személyes adatok kezelésével.