„Mi történt a nemzeti konzultációs botrányban, avagy az állampolgári adatok Moszkvába mennek?”

Ezzel a címmel tett fel 18 kérdést a Yandex-botránnyal kapcsolatban Tóth Bertalan szocialista képviselő Rogán Antalnak, a nemzeti konzultációért is felelős propagandaminisztérium vezetőjének.

„Nem rendjén való, hogy a nemzeti konzultációt az interneten kitöltő választópolgárok adatai egy orosz szerveren kötöttek ki"

Ezt Ibolya Tibor fővárosi főügyész mondta az ügyről május közepén. Április 9-én írtuk meg, hogy a kormány hivatalos nemzeti konzultációs weboldalán az orosz Yandex nevű cég mérőkódja fut, ami a konzultációt kitöltő állampolgárok adatait orosz szerverekre továbbította. A kódot még aznap törölték a weboldalról.

A szocialista Tóth Bertalan arra volt kíváncsi, hogy

1. Melyik cég végezte a Rendszer fejlesztését?
   
2. Hogyan, milyen eljárásban került kiválasztásra a Rendszert fejleszt ő cég? Volt-e közbeszerzés a Rendszer fejlesztésére?
3. Mennyibe került eddig a Rendszer fejlesztése és üzemeltetése ?
   
4. A fejlesztett Rendszer közigazgatási ellenőrzését ki/mely szervezet végezte el ?
   
5. A fejlesztett Rendszer informatikai ellenőrzését ki/mely szervezet végezte el ?
   
6. A fejlesztett Rendszer informatikai biztonsági ellen őrzését, ezen belül kiemelten a kód auditot ki/mely szervezet végezte el?
   
7. A Rendszer üzemeltetését mely szervezet végzi?
   
8. Az üzemeltető az üzemidő alatt miért nem vette észre a Rendszer működéséből és/vagy a hálózati forgalomban, hogy a Yandex felé állampolgári adatok kerülnek továbbításra?
   
9. Miért került deaktiválásra a Yandex mérőkód a botrány második napjának végére, ha a botrány első és második napján a Kormány álláspontja szerint a Yandex mérőkód törvényesen futott a Rendszeren, és a Kormány nem látott benne kivetnivalót?
   
10. A Yandex mérőkód mikortól, meddig futott pontosan a Rendszeren? Kérem, hogy válaszához szíveskedjen mellékelni a közhiteles üzemnaplók másolatát is!
11. A Yandex mérőkód futási ideje alatt mennyi adatot (byte pontossággal megadva) küldött ki a Rendszer a Yandex felé? Ebben hány állampolgár adata volt benne? Válaszához, kérem, mellékelje az azokat alátámasztó független szakértői jelentéseket!
    
12. Milyen jogi, technikai szervezeti, társadalmi, és egyéb garanciák biztosítják, hogy a jövőben ilyen eset ne fordulhasson elő még egyszer?
    
13. Milyen vizsgálatot rendelt el az ügyben? Kérem küldje meg az eddigi összes rendelkezésre álló dokumentációt, és amennyiben készül még ilyen a jövőben, akkor azokat is. Ha nem rendelt el vizsgálatot, akkor annak mi az oka, jogalapja?
    
14. Az internetes nemzeti konzultációt a Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH) milyen adatkezelési számon vette nyilvántartásba? Milyen személyes adatok kezelését jelölték meg benne?
    
15. Melyik bejelentkezési kérelmében szerepeltette a külföldre történő adattovábbítást? Milyen adatkezelési számon vette azt nyilvántartásba a NAIH?
16. Beszerezte-e a külföldre történ ő adattovábbításhoz a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) engedélyét az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013 . évi L . törvény 3 . §-ának megfelelően? Kérem, hogy válaszához szíveskedjen mellékelni az engedély másolatát is!
17. Amennyiben nem rendelkezik a két előző pontban hivatkozott engedélyekkel, úgy kikérte- e a NAIH szakmai, szakértői álláspontját? Amennyiben igen, kérem, hogy válaszához szíveskedjen mellékelni a kérelmet, és a NAIH válaszát is! Ha nem kérte a NAIH vizsgálatát, akkor annak mi az oka, jogalapja?
18. Tett-e bármilyen polgári jogi, büntetőjogi, közigazgatási intézkedést a Rendszer tervezőit, fejlesztőit, üzemeltetőit érintően? Kérem, hogy válaszában szíveskedjen ismertetni a megtett intézkedéseket! Ha nem tett polgári jogi, büntetőjogi, közigazgatási intézkedést, akkor annak mi az oka, jogalapja?

Erre a kérdésre Rogán Antal miniszter nevében Dömötör Csaba államtitkár több dolgot is válaszolt.

Egyrészt elmondta, hogy melyik két cégtől rendelték meg a honlapot (New Land Media és Lounge Design), és egy linket is küldött Tóth Bertalannak, hogy hol lehet a vállalkozásokkal kötött keretszerződéseknek utánanézni. Sajnos a propagandaminisztériumnak nem sikerült megfelelően beilleszteni a linket a levélbe, ezért az nem működik, de a kormányzati honlapon egyébként is csak egy összefoglaló táblázatban szerepel a két vállalkozás neve, a konkrét megbízásukról érdemi információ nem tudható meg belőle.

Dömötör azt írja, hogy

A Miniszterelnöki Kabinetiroda a konzultáció elindulása óta is folyamatosan egyeztet az adatvédelmi hatósággal, és minden szükséges tájékoztatást megad a hatóság számára.

Ez azért fontos, mert az ügyben április közepe óta vizsgálat folyik a NAIH-nál. Úgy tudjuk az orosz kód alkalmazásáról egyébként nem kérték ki előre az adatvédelmi hatóság véleményét.

A végső érv a levélben mégsem ez, hanem hogy Dömötör állítása szerint

„az LMP úgy toborozhatott tagokat az interneten, hogy a regisztráló állampolgárok adatai külföldi szerverekre kerülhettek”

Ha ez nem magyarázat az Oroszországba küldött személyes adatokra, akkor semmi sem az.