Magam is megkaptam azt a levelet, melynek tárgya sajtólista L-Z volt, és amelyben ábécé sorrendben L-től Z-ig több száz újságíró e-mail elérhetősége volt fellelhető. (Ebből látszik részlet a fenti borítóképen, persze kitakarással.) A kiküldött adatbázisban és a címzettek között magán címek, például gmail.com végződéssel is fellelhetők. Az e-mailben egy 2018-ban szerkesztett e-mail is elérhető volt mellékletként, .EML formátumban. (Megnyitottam a mellékletet is, hátha véletlenül elküldték azokat a rádiós pályázatokat, amelyek rejtegetése miatt a Nemzeti Adatvédelmi és Információszabadság Hatóság sokszorosan elmarasztalta korábban az NMHH-t, de sajnos nem.)

További érdekesség, hogy az adatokat átbogarászva jó pár olyan volt újságíró elérhetőségét is megtaláltuk, akik már évek óta nem dolgoznak a sajtólistában szereplő munkahelyükön, sőt a médiát is elhagyták, már 2018-at megelőzően, vagy nyugdíjba vonultak.

Mindez arra utal, hogy az NMHH azután is tárolta olyan emberek e-mail címét, akik ehhez felhatalmazást aligha tudtak adni azóta, hogy az új uniós adatvédelmi szabályozás, a GDPR-rendelet tavaly májusban életbe lépett. Ahhoz pedig biztosan nem szerzett az NMHH engedélyt, hogy elérhetőségeiket közszemlére tegyék, és több száz másik ember elérhetőségével együtt az NMHH körbeküldje ugyancsak több száz ember részére.

Az NMHH egyébként észlelve az incidenst, megpróbálta visszahívni az e-mailt a levelezőprogram „recall” nevű funkcióval, de ekkor az adatbázisban szereplők ismételten kaptak egy levelet, és újból láthatták a többi érintett e-mail címét, akik a levél címzetti sorában szerepeltek, ráadásul a recall funkció csak bizonyos levelezőrendszerek esetében hatásos.

A Nemzeti Média- és Hírközlési Hatóság az adatvédelmi incidenst követően végül egy harmadik e-mailt is körbeküldött. Ebben már nem látszódtak az érintettek, és az NMHH azt kérte a címzettektől, hogy ne nyissák meg az e-mailt, mert az „nem nyilvános információkat tartalmazott”. Az NMHH kérte azt is, hogy az adatvédelmi okok miatt az érintettek töröljék az e-mailt.

Az NMHH kommunikációs munkatársa technikai hibával magyarázta az adatszivárgást, ami miatt az érintettektől elnézést kért.

Érdekesség, hogy a média mellett a hírközlési terület ellenőrzésével is foglalkozó NMHH feladatai közé tartozik a spamek elleni védekezés elősegítése, ennek érdekében honlapján külön menüpont is található, ahol a hatóság közreműködését is kérni lehet a kéretlen e-mailek ügyében.

Nem először történik furcsaság az NMHH rendszerei körül

A mostani nem az első furcsaság az NMHH kapcsán. Tavaly például észrevételt tettem néhány, a hatóság hatáskörébe tartozó ügyben, az NMHH fogadta is beadványokat. Az NMHH azonban a panaszbeadványok elvesztésére hivatkozva nem járt el, pedig később mégis perc pontossággal meg tudta mondani, hogy a beadványokat mikor kapta. Vagyis az e-mailek az NMHH-hoz biztosan eljutottak, ám ott, házon belül egyszerűen elvesztek.

Amikor arról érdeklődtem az NMHH-nál, hogy hogyan fordulhat elő, hogy számítógépes rendszeréből csak úgy eltűnik egy panaszbeadvány, ám mégis meg tudják mondani annak beérkezési idejét, nem adtak érdemi, pláne megnyugtató választ.

Mostanában egyébként több súlyos bírság is született a GDPR-rendelet megsértése miatt. A Sziget Zrt.-re például 30 millió forint összegű bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság, a Facebook pedig épp most kap az amerikai adatvédelmi hatóságtól 5 milliárd dolláros büntetést, az Egyesült Királyságban British Airways több mint 66 milliárd forintnak megfelelő összegű, rekord összegű bírságot egy sokakat érintő súlyos adatvédelmi incidens miatt. Az NMHH-nál történt adatszivárgás ezekhez képest ugyan közel sem tűnik olyan súlyosnak, hiszen kevesebb embert érint, ráadásul a következmények elenyészőek, de az mindenképp érdekes, hogy a hírközlési hatóságnál előfordulhatnak ilyen esetek.

Forrás: media1.hu