Kínos adatvédelmi baki a médiahatóságnál

Az NMHH egyik munkatársa egy olyan hibát vétett, mely katasztrófát ugyan nem okozott, de rombolja a hivatal presztízsét.

Tegnap sok újságíró kollégámmal együtt tapasztalhattuk, hogy kaptunk egy levelet a Nemzeti Média- és Hírközlési Hatóságtól (tárgyként, azaz fejlécként a „sajtólista L-Z” megjelöléssel), amely tartalom nélküli volt ugyan, ám a bevett eljárástól eltérően nem tartalmazta a körlevél címzettjeinek takarását (undisclosed recipients”), hanem minden címzett látható volt, vagyis egy komplett, több száz címet tartalmazó adatbázist kaptunk meg.

Nem sokkal később visszahívták a levelet – jelentsen ez bármit is –, majd röviddel ez után érkezett egy felszólítás, hogy töröljük az üzenetet.

Ezen a technikán csak mosolyogtunk – kínunkban –, nem foglalkoztunk vele, ám Szalay Dániel a media1.hu oldalon szépen összefoglalta a történéseket, és ezt érdemes elolvasni.

Mint Szalay írja, és ezt magam is megerősíthetem, a kiküldött adatbázisban és a címzettek között magáncímek, például gmail.com végződéssel is fellelhetők. Az e-mailben egy 2018-ban szerkesztett e-mail is elérhető volt mellékletként, .EML formátumban. További érdekesség, hogy az adatokat átbogarászva jó pár olyan volt újságíró elérhetőségét is megtalálták, akik már évek óta nem dolgoznak a sajtólistában szereplő munkahelyükön, sőt a médiát is elhagyták, már 2018-at megelőzően, vagy nyugdíjba vonultak.

Mindez arra utal, fogalmaz a cikkíró, hogy az NMHH azután is tárolta olyan emberek e-mail címét, akik ehhez felhatalmazást aligha tudtak adni azóta, hogy az új uniós adatvédelmi szabályozás, a GDPR-rendelet tavaly májusban életbe lépett. Ahhoz pedig biztosan nem szerzett az NMHH engedélyt, hogy elérhetőségeiket közszemlére tegyék, és több száz másik ember elérhetőségével együtt az NMHH körbeküldje ugyancsak több száz ember részére.

Fontos megjegyezni, amit Szalay leír, hogy az NMHH egyébként észlelve az incidenst, megpróbálta visszahívni az e-mailt a levelezőprogram „recall” nevű funkciójával, de ekkor az adatbázisban szereplők ismételten kaptak egy levelet, és újból láthatták a többi érintett e-mail címét, akik a levél címzetti sorában szerepeltek, ráadásul a recall funkció csak bizonyos levelezőrendszerek esetében hatásos.

A Nemzeti Média- és Hírközlési Hatóság az adatvédelmi incidenst követően végül egy harmadik e-mailt is körbeküldött. Ebben már nem látszódtak az érintettek, és az NMHH azt kérte a címzettektől, hogy ne nyissák meg az e-mailt, mert az „nem nyilvános információkat tartalmazott”. Az NMHH kérte azt is, hogy az adatvédelmi okok miatt az érintettek töröljék az e-mailt.

Azóta történt

Előzmények