Tegnap került nyilvánosságra a Nemzeti Adatvédelmi és Információszabadság Hatóság jelentése a Yandex-ügyről. Április 9-én írtuk meg, hogy a kormány hivatalos Nemzeti Konzultációs honlapja orosz szerverre továbbítja a kitöltők személyes adatait. Ezután indított vizsgálatot az adatvédelmi hatóság, ami azt állapította meg, hogy a Rogán Antal propagandaminisztériumának dolgozó alvállalkozó hibázott a konzultációs oldal elkészítésekor.

A Yandex a magyar adatvédelmi hatóság kérdésére a vizsgálat során azt mondta, hogy

a szerverük nem fogadta a magyar konzultációs oldalról feléjük elküldött személyes adatokat. 

Ez így nem teljesen életszerű, és nem is bizonyítható.

A Yandex mérési szolgáltatása kb. önkiszolgáló módon működik. Bárki felmehet a Yandex oldalára, létrehozhat egy felhasználói fiókot, és aztán minden további nélkül csinálhat magának egy mérőkódot, amit csak be kell illeszteni a weboldalába, hogy lássa, hány látogatója van, és azok mit csinálnak az site-ján. A kód elkészítésekor lehet azt is beállítani, hogy a weboldalon található különböző mezőkbe írt szövegeket is mentse a Yandex, ennek a funkciónak "webvisor" a neve. Mivel a magyar konzultációs weboldalon a nevet és az emailcímet is meg kellett adni a kitöltőknek, ezért ezeket a személyes adatokat is elküldték Magyarországról az orosz cég szerverei felé.

Most a NAIH vizsgálata során a konzultációs honlapot készítő alvállalkozó arról beszélt, hogy ők a kód elkészítése után, de még a honlap élesedése előtt kikapcsolták a "webvisor" nevű funkciót, az csak a kódban maradt benne véltelenül. Ezt a nyilatkozat alapján fogadta el a NAIH.

„Tekintettel arra, hogy az egyik ilyen elemző eszköz rosszindulatú félremagyarázásokra adhat lehetőséget, a kormány arra kérte a fejlesztőket, hogy ezt a technikai funkciót kapcsolják ki"

Ez a mondat Rogánék április 9-én kiadott közleményében szerepel, és nem az olvasható ki belőle, hogy a személyes adatokat külföldre küldő "webvisor" funkciót már a konzultációs honlap élesedése előtt kikapcsolták, hiszen akkor április 9-én már nem nagyon lett volna mit kikapcsolni.

A Yandex képviselői a vizsgálat során azt mondták, hogy a személyes adatokat ugyan elküldte feléjük a konzultációs honlap, de azokat a szerverük nem fogadta, pont mert ki volt kapcsolva a "webvisor" funkció, és "csak" a kódban maradt benne.

„A Hatóság megjegyzi, hogy ilyen bizonyítás nem is lehetséges a külföldi szerverek átvizsgálása nélkül.”

Ezt írja a NAIH vizsgálati jelentése a dologgal kapcsolatban. Ez azt jelenti, hogy valójában nem lehet kétséget kizáróan bizonyítani, hogy mi történt annak a 11 ezer magyar állampolgárnak a személyes adataival, akik ez első napon töltötték ki a Nemzeti Konzultációs weboldalt, még mielőtt a 444 cikke nyomán a propagandaminisztérium kiszedette a site-ból az orosz kódot. 

Az sem túl életszerű, hogy a Yandex szerverei egyáltalán ne fogadták volna a Magyarországról küldött személyes adatokat. Az lehet, hogy a rendszerben nem kerültek feldolgozásra, és így nem jelentek meg a felhasználó fiókjában, de amit a magyar konzultációs honlap kiküldött, az feltehetően az orosz cégnél megtalálható.

Ezzel kapcsolatban is csak a szerverek átvizsgálása jelenthetne bizonyítékot, illetve jelenthetett volna, hiszen a szabálytalan adatküldés április elején történt, az eltelt idő hosszúsága mostanra már mindenféle rosszhiszeműség nélkül is törölhették az adatokat a Yandexnél.

Az sem érdektelen, hogy a NAIH-nál valamiért összevonták három politikailag érzékeny ügy vizsgálatát. Először a konzultációs honlap miatt érkezett bejelentés, ez nyilván a kormány számára volt kellemetlen történet, majd közvetlenül ezután az LMP és a Liberálisok adatkezelési gyakorlatát kifogásolták bejelentők. Péterfalvy Attila hivatal valamiért a három egymástól teljesen független ügyben folytatott vizsgálat eredményét egy dokumentumban, közös jelentésben hozta nyilvánosságra. UPDATE: Úgy tudjuk Péterfalvy Attila július elején, a Yandex-ügy vizsgálata közben, saját hatáskörben ellenőrzést indított más ellenzéki pároknál is a támogatók adatkezelésének ügyében.