„Oroszországban minden kormányzati oldal a Yandexszel mér, a Google-t nem szabad használniuk”

„Talán két vagy három látványosabb ügy volt személyes adatok továbbítása miatt. Egyértelműen felhívjuk a klienseink figyelmét, hogy működik a Yandex szoftvere, és hogy az ő felelősségük megvédeni a felhasználóik személyes adatait.”

Ezt Victor Tarnavsky, a Yandex nevű technológiai cég munkatársa mondta a 444-nek. Először másfél héttel ezelőtt számoltunk be róla, hogy a kormány frissen megnyitott nemzeti konzultációs holnapján a Yandex nevű orosz cég mérőkódja fut. Másnapra az is kiderült, hogy a program a konzultációt kitöltő magyar állampolgárok személyes adatait is külföldre továbbítja. A kormány néhány órával később eltávolította az orosz kódot az oldalról, azt írták, hogy

rosszindulatú félremagyarázásokra adhat lehetőséget.

Másnap vizsgálatot indított az ügyben az adatvédelmi hatóság, a fideszes képviselők pedig kivonultak az országgyűlés nemzetbiztonsági bizottságának üléséről, mikor az ellenzékiek az orosz kódról akartak kérdezni.

A világon szinte minden weboldal használ valamilyen, vagy akár többféle mérőprogramot is. Ez teszi lehetővé, hogy az oldalak gazdái megtudják, hányan olvassák őket, milyen linkeket kattintanak a site-on. A világon a legelterjedtebb az amerikai Google Analytics nevű megoldása. Az orosz Yandex Metrica nevű programja viszont bizonyos szempontból többet tud, mint a Google. Alaphelyzetben ez is számolja például, hogy hány látogató jár egy oldalon, de külön be lehet kapcsolni egy funkciót, ami rögzíti, hogy mit írtak a siteon az egyes mezőkbe a felhasználók. A magyar nemzeti konzultációs weboldal esetében például a nevet, az életkort és az emailcímet is ki kell tölteni, ezek azok a személyes adatok, amiket a Yandex programja összegyűjtött, és egy külföldi szerverre továbbított. Annak ellenére történt ez így, hogy a kormányzati oldalon külön megígérték, hogy semmilyen adat sem jut harmadik félhez, vagy külföldi országba.  

Tarnavskynak egyébként abban tényleg igaza van, hogy a Yandex programjának leírásában egyértelműen szerepel, a kliens (jelen esetben a konzultációs oldalt jegyző Rogán minisztérium) felelős az elküldött adatokért. A Yandex programja alaphelyzetben nem is rögzíti, hogy az egyes mezőkbe mit írnak be a felhasználók, ezt a funkciót külön be kapcsolni, ezt pedig a magyar oldal esetében megtette valaki.

„Éppen az adatvédelmi szempontok miatt is vannak alaphelyzetben bizonyos funkciók kikapcsolva. Egyébként az oldal készítői nagyon könnyen meg tudják oldani, hogy bizonyos mezőkbe írt adatokat ne rögzítsen a programunk.”

Tényleg könnyen meg lehet védeni egyes mezőket, tényleg csak néhány percig tart egy fejlesztőnek úgy módosítani egy oldalt, hogy mondjuk a személyes adatokat ne rögzítsék, de minden mást igen. Ez a nemzeti konzultációs oldalon nem történt meg, az gyakorlatilag minden leírt betűt külföldre továbbított.

Tarnavsky a 444-nek arról beszélt, hogy a legtöbb szerverük Európában, egész pontosan Finnországban működik, tehát a magyar felhasználók adatai nem mentek Oroszországba. Amikor felvetettük neki, hogy több online eszközzel is megpróbáltuk azonosítani annak a külföldi szervernek a helyét, ahová a magyar felhasználók adatait továbbították, és minden esetben Oroszországot adták vissza a programok, akkor Tarnavsky azt mondta, a IP cím ugyan Moszkvában van regisztrálva, de ettől a szerver fizikailag máshol is lehet. Azt is hozzátette hogy előfordulhat, hogy fizikailag is Oroszországban  lévő szerverre kerültek az adatok, a rendszerük automatikája dinamikusan, csak és kizárólag a hatékonyságot szem előtt tartva dönti el, hogy fizikailag melyik adatközpontba küldi a rögzített adatokat.

Az orosz szakember szerint valójában nincs is komoly jelentősége, orosz, finn vagy holland szerveren kötöttek ki a magyar adatok. Arról beszélt, hogy Oroszországban ugyan kötelezhetik törvények együttműködésre a technológiai cégeket a hatóságokkal, de az legfeljebb az orosz állampolgárok adataira vonatkozhat, külföldiekére nem. Tarnavsky azt állította, hogy az ő rendszereik nincsenek közvetlen technikai összeköttetésben a hatóságokkal (így akár a tudtuk nélkül is belenézhetne a dolgaikba az orosz állam), ilyen szabályok csak az internetszolgáltatókra vonatkoznak. Mivel kódolva küldik az adatokat a kliens és saját rendszereik között, ezért út közben még a szolgáltatókon keresztül sem tud abban senki belepillantani.

Utoljára egyébként 2014-ben terjesztették ki az online megfigyelésre vonatkozó törvényeket Oroszországban. Annak a változtatásnak pont az volt a lényege, hogy már nem csak az internetszolgáltatóknak, hanem a közösségi- és más népszerű oldalaknak is automatikus hozzáférést kellett biztosítaniuk a hatóságoknak a rendszereikhez. Akkor a Yandex is a felháborodott cégek között volt, és hangsúlyozták, hogy velük sosem egyeztettek az új törvényről.

„Nem tudom, hogyan tudnák megkülönböztetni az orosz és a nem orosz állampolgárok adatait, különösen, hogy nem is tudják, mibe néznek bele a hatóságok"

- ezt tech cégeket rangsoroló Ranking Digital Rights nevű civilszervezet munkatársa, Amy Brouillette mondta a 444-nek. Hozáátette, hogy az általuk vizsgált orosz cégek közül a Yandex még a legjobb, próbálnak lelkiismeretesen eljárni, de az orosz törvények miatt kötött pályán mozognak.

A Yandex munkatársa szerint ezer feletti magyar oldal használja a kódjukat, és a magyar kormányzati oldal készítői nem léptek velük kapcsolatba se a konzultációs oldal elkészítése előtt, se azóta.

Hogy a magyaron kívül melyik EU-s vagy NATO tagországok kormányai használják még a Yandex programját weboldalaik forgalmának mérésre, Victor Tarnavsky azt válaszolta, hogy Törökországban tud még ilyenről, illetve azt mondta, hogy van más ilyen ország is, de több konkrét példát nem tudott mondani. Megemlítette viszont, hogy Oroszországban minden állami szerv oldala Yandexet használ.

„A Google mérőprogramjának a használatát tiltják az orosz törvények, azok nagyon szigorúak: külföldi szerverre egyáltalán nem kerülhetnek adatok.”