A kormány informatikai biztonsági felügyelője szerint nem élt senki vissza az Ügyfélkapu hétfői rendszerhibája alatt a hibásan megjelenített adatokkal, az adatvédelmi biztos azonban az [origo]-val azt közölte, hogy az adatok összekeveredése és nyilvánosságra hozatala önmagában is kifogásolható, ezért hivatalból vizsgálja az incidenst. Az Ügyfélkapuval már korábban is előfordult, hogy illetéktelenek juthattak egy hiba folytán személyes adatokhoz.

Idegen felhasználóknak küldött visszaigazolások jelentek meg hétfőn az Ügyfélkapuba belépő emberek gépén hétfőn, ezért állították le a megújult kormányzati portált - közölte szerdán Dedinszky Ferenc, a kormány informatikai biztonsági felügyelője.

Dedinszky pénteken az [origo] megkeresésére azt közölte, hogy "a hibásan megjelenített adatok személyes és bizalmas adatokat, adótitkokat nem képeztek, adatvesztésre, az adatokkal való visszaélésre nem került sor, és a hiba jellege miatt ennek lehetősége sem állt fenn".

Az idegenek előtt megjelenő visszaigazolások Dedinszky szerint adószámmal rendelkező ügyfelek esetében az adószámot és a hozzá kapcsolódó nevet tartalmazták. Az adószám a vállalkozások azonosítására szolgál, nem személyes adat, továbbítása, nyilvánosságra hozása megengedett.

A magánszemélyeknek nem adószáma, hanem úgynevezett adóazonosító jele van, ez már érzékeny, személyes, bizalmas adat. Dedinszky [origo]-nak küldött tájékoztatása szerint ez nem volt veszélyben, mert a visszaigazolások adóazonosító jellel rendelkező ügyfelek - vagyis magánszemélyek - esetében csak a nevet tartalmazzák, az adóazonosító jelet nem, a további adatok pedig csak az "adott szakrendszer szempontjából hordoznak feloldható információt".

"Önmagában is kifogásolható"

Bár a kormány informatikai biztonsági felügyelője azt írta, hogy az adatokkal nem éltek vissza, Jóri András adatvédelmi biztos mégis hivatalból vizsgálja az Ügyfélkapunál bekövetkezett informatikai biztonsági incidenst. "A személyes adatok összekeveredése és véletlen nyilvánosságra hozatala önmagában is kifogásolandó, attól függetlenül, hogy a véletlenül hozzáférhetővé tett adatokkal később visszaél-e valaki" - közölte az adatvédelmi biztos az [origo]-val.

Nem ez volt az első eset az Ügyfélkapuval, amikor illetéktelen juthattak hozzá a felhasználók személyes adataihoz. Tavaly februárban is volt egy meghibásodás, amikor a rendszer a saját jelszavukkal belépőket véletlenszerűen navigálta mások levelezési bokszába, és emiatt tízezrek láthatták mások APEH-hel folytatott levelezését. (Erről részletesen korábbi cikkünkben, itt olvashat.)

Lehet panaszt tenni

Az Ügyfélkaput is magába foglaló úgynevezett Központi Rendszer adatvédelmi nyilatkozatában az áll: a felhasználó az ügyfélszolgálat útján panasszal élhet, ha véleménye szerint adatainak kezelésével kapcsolatban sérelem érte, vagy annak közvetlen veszélye fennáll, illetve jogszabályba ütköző adatkezelést észlel.

A bejelentés után kötelezően vizsgálatnak kell indulnia, a vizsgálatot lezáró döntést pedig 22 napon belül kell meghozni. A határidő indokolt esetben egy alkalommal legfeljebb újabb 22 nappal meghosszabbítható. Az adatvédelmi nyilatkozat szerint az adatkezelő akkor mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső, elháríthatatlan ok idézte elő.