A járvány teret adott egy újabb adatvédelmi zűrzavarnak is
Kádár Kata utolsó frissítés: 18:44 GMT +2, 2020. május 06.A szükségállapot alatt többszöri eset volt, hogy a rendőrség lefényképezte a személyi igazolványokat és a nyilatkozatokat. Az oktatás és a munka is gyakran olyan felületen zajlik, amelyről kiderült, hogy adatvédelmi szempontból veszélyes. Szakértőt kérdeztünk.
A járvány komoly kihívások elé állította az egész társadalmunkat. A távolságtartás következtében nagyon sok eddigi hétköznapi tevékenység tért át az online térbe, bevásárlástól kezdve munkán át minden típusú kapcsolattartásig. Több hírt lehetett olvasni a sajtóban, hogy a home office-al alkalmazkodó vállalatok több kibertámadásnak lettek áldozatai, a veszély pedig továbbra is fennáll, főleg, hogy olyan típusú alkalmazásokat kezdtünk használni, amelyeket eddig nem ismertünk, ezek pedig számos adatvédelmi problémát okozhatnak.
Mielőtt egy nagyot legyintünk az adatvédelmi veszélyekre, érdemes kiemelnünk, hogy a térségünkben nagy népszerűségnek örvendő Zoom videochat-platform készítői saját maguk is elismerték, hogy az alkalmazás jó pár adatvédelmi aggálynak adott okot, azóta ezeket próbálták kiszűrni és pótolni a védelmi rendszer hiányosságait.
A figyelem középpontjába most a Facebook helyett a Zoom került
„A Zoom valóban nagyon népszerű, jelenleg piacvezető a videokonferencia appok piacán, roppant gyorsan bővült a felhasználók száma az utóbbi három hónapban. Míg decemberben 10 millió napi aktív felhasználóval rendelkeztek, márciusra ez meghaladta a 200 milliót, április végére már 300 milliónál tart az aktív felhasználók száma. Ez a hatalmas ugrás, illetve az app működésének magas kockázatú adatvédelmi és - biztonsági hiányosságai indokolttá teszik a közelmúltban kapott sajtófigyelmet” – mondta el megkeresésünkre Székely Barnabás, minősített adatvédelmi szakember (CIPP/E, OTCP/P) és jogász, a Cluj Privacy Hub társalapítója.
Székely Barnabás.
„A Zoom adatvédelmi hiányosságai márciustól kerültek a figyelem középpontjába. Első körben a Zoom azon funkcióját kérdőjelezték meg, amely jelzi a meeting házigazdája (host) számára, ha egy részvevőnél 30 másodpercnél tovább nem a videokonferenciát futtató ablakra fókuszál. Ez lehetővé tette a vállalatok számára, hogy az alkalmazottak aktivitását figyelemmel kövessék az online megbeszélések során, az érintettek beleegyezése nélkül.
A videokonferenciák rögzítését biztosító funkció is felvet adatvédelmi kérdéseket. Ezt aktiválva, képpel, hanggal, a meeting során váltott üzenetekkel és esetenként az elhangzottak szöveges átiratával együtt lementésre kerül a videokonferencia, mindez a résztvevők megfelelő tájékoztatása és hozzájárulása nélkül” – részletezte a szakértő.
Székely Barnabás kitért arra is, hogy a Zoom adatkezelési tájékoztatója nem fogalmazott elég egyértelműen a felhasználói adatok gyűjtéséről és felhasználásáról, mint például a harmadik feleknek való adattovábbításokról.
„Az Általános adatvédelmi rendelet előírásai értelmében a személyes adatok kezelése átlátható, az erről való tájékoztatás egyértelmű és közérthető kell legyen a felhasználók számára. Időközben kiderült, nem volt véletlen a ködös fogalmazás, a Zoom iOS változata adatokat továbbit a Facebooknak a felhasználói tevékenységről, még olyan esetben is, amikor a felhasználó nem rendelkezik Facebook-fiókkal. Ezt követően a Zoom módosított az adatkezelési tájékoztatóján” – mondta.
Az adatvédelmi szakember külön kiemelte a zoombombing-nak nevezett jelenséget is, amikor rosszindulatú külső személyek hívatlanul csatlakoztak egy-egy videokonferenciához – legtöbb esetben épp az online oktatás alatt – ezt pedig oda nem illő tartalmakkal zavarták meg. A tanárok sokszor azt sem tudták, hogyan kell eljárni az ilyen esetben, a kiskorúakra nézve ez pedig igen súlyos dolog – hangsúlyozta.
Információbiztonsági szakemberek nyilvánosságra hoztak számos sérülékenységet, többek között olyant is, amely lehetővé tette egy résztvevő mikrofonja és webkamrája fölötti irányítás átvételét. Aztán napról-napra újabb és újabb incidensekről szóló hírek láttak napvilágot – folytatta Székely.
„Kiderült, hogy egy tervezési hiba miatt több ezer Zoom felhasználó nevét, e-mailcíme és profilfotója elérhetővé vált más Zoom felhasználók számára. A Zoom egyik belső adatbányász funkciója lehetővé tett a fizető felhasználók számára, hogy a videókonferencia további résztvevőinek LinkedIn adataihoz is hozzáférjenek. Továbbá, számos videokonferencia felvétele nyilvánosan elérhetővé vált a videómegosztó oldalakon, köztük egészségügyi terápiák és üzleti megbeszélések. A legsúlyosabb adatbiztonsági mulasztás, ami felróható a Zoomnak, hogy szolgáltatása nem biztosít végponti titkosítást, mint ahogy a hivatalos oldalán erre számos alkalommal utalt. Ezekkel a Zoom a GDPR több előírását is megszegte, mint például az adatbiztonsági követelmények vagy a beépített és alapértelmezett adatvédelem elvét. Ugyanakkor, fogyasztóvédelmi (termékfelelősség) és versenyjogi jogsértések is felmerülnek” – részletezte.
„A Zoom elismerte, hogy szolgáltatása adatvédelmi- és biztonsági hiányosságokkal küzd, és április 1-jén bejelentette, hogy a következő 90 napban az egyéb fejlesztések helyett az adatvédelmi problémák kiküszöbölésére összpontosít. Azóta napvilágot látott még néhány további incidens, amely beárnyékolja a Zoom csillagát. Az incidensek hatására számos vállalat és kormány tiltotta meg alkalmazottainak a Zoom használatát, mint például a SpaceX, a Google, a német kormány vagy Szingapúr Oktatási Minisztériuma” – hangsúlyozta ki Székely Barnabás.
Mint elmondta, az adatvédelmi hatóságok folyamatosan vizsgálják a videokonferencia applikációk működését, a Berlin tartományi adatvédelmi hatóság április 8-án közzétett állásfoglalása szerint például a Zoom mellett a Microsoft (Skype és Teams) specifikus szolgáltatásai sem felelnek meg teljesen az adatvédelmi előírásoknak.
Forrás: in.mashable.com
A romániai szükségállapot alatt is felmerült néhány adatvédelmi probléma
Egy személyes eset kapcsán érdeklődtem arról, hogy adatvédelmi szempontból mennyire volt rendben igazoltatáskor a személyi igazolvány lefotózása úgy, hogy a saját felelősségre kitöltött nyilatkozatom tartalmát nem is ellenőrizték.
Székely Barnabás kifejtette, a személyes adatokhoz fűződő jogok relatív jogok, tehát mérlegelni kell azokat, esetenként külön-külön meg kell vizsgálni, hogy a személyes adatok védelméhez fűződő egyéni érdek vagy valamilyen közérdek érvényesül, mint a közegészségügy, a közbiztonság vagy akár a szólásszabadság..
Szerinte a személyi igazolványok vagy akár nyilatkozatok lefotózásának nem volt túl sok értelme, ezek utólagos használata bizonyítékként megkérdőjelezhető több szempontból is.
„Én írhatok bármit a nyilatkozatba, kitalálhatok olyan indokot, ami nem fedi az igazságot, de megfelel a hatóságok előtt. Utólag persze kiderülhet, hogy akaratból vagy akaratomon kívül terjesztettem a vírust (mert lappangott bennem és nem voltak tüneteim), így a papír önmagában nem segíti elő a járvány terjedésének megakadályozását. Persze véleményem szerint a szükségállapot alatt elősegítheti a polgárok tudatosabb viselkedését egy ilyen nyilatkozat kitöltése, viszont nem értek egyet azzal, hogy a nyilatkozat első változatán a szükségesnél több adatot (pl. személyi számot) is fel kellett tüntetni, és hogy ezeket a kitöltött nyilatkozatokat lefotózták, akár saját telefonnal. Ezek számos visszaélésre adnak lehetőséget. A probléma igazából itt az, hogy a belügyminisztériumnak nincs olyan rendszere, egy applikáció például, ahová a szolgálati telefonokkal készült fotókat feltöltsék és rendszerezzék. A legtöbb esetben a rendőr saját okostelefonjával rögzítette ezeket a dokumentumokat, ami már súlyos probléma. Még a szükségállapot elején olyan szenzitív adatokat is be kellett írni a nyilatkozatra, mint a személyi szám, vagy a személyi igazolvány száma, ezekkel az adatokkal pedig könnyen vissza lehet élni. Az országos rendőrfőfelügyelőség nem is olyan rég adott ki egy közleményt arról, hogy parancsba adták minden rendőrnek a képek törlését saját telefonjukról, miután azt továbbították” – emlékeztet a szakértő.
Forrás: Wikipedia. Saját felelősségre készített nyilatkozat formanyomtatványa.
Ami a személyi igazolványok lefotózását illeti, szerinte azért értelmetlen, mert az a dokumentum helyben igazol a rajta szereplő fényképpel. Ha talál az arc, akkor találnak az adatok. Távolságból nem lehet senkit sem azonosítani, esetleg webkamerával. A személyi igazolvánnyal kapcsolatosan már régóta fennállnak problémák, hiszen sok esetben kérnek másolatot – legyen szó állami intézményekről, vagy akár különböző fintech szolgáltatásokról, mint a Revolut –, és nem tudjuk, hogyan kezelik a másolatot, mi történik akkor, ha az általuk kezelt felületeket hackertámadások érik. Az adatlopás létező bűncselekmény a mindennapokban, amit például identitáslopásra használnak, esetleg bitcoin felhasználói fiókokat törnek fel és teszik pénzzé – fejtette ki a szakértő.
Az állami intézmények törekednek a helyes adatkezelésre, de még nem tudatosak
Arra a kérdésünkre, miszerint milyen véleménnyel van a saját felelősségre írt nyilatkozatok körül kialakult herce-hurcáról, a szakértő így vélekedett:
„„A módosítások azért történtek meg, hogy az adattakarékosság több évtizedes elvének megfeleljen a nyilatkozat. A nyilatkozatok célja ugyebár, hogy adjunk magunkról annyi adatot, amivel minket igazoltathat a rendőrség. Egy szükségállapot esetében, az esetek 99,9%-ban elég ehhez a név és a lakcím, hiszen nagyon ritka az, amikor egy háztartásban két ugyanolyan nevű személy tartózkodik, ezért kivették a fentebb említett személyi számot és a személyi igazolvány számát” – magyarázta.
„Az látszik, hogy van valamilyen fajta törekvés arra, hogy az állami intézmények adatvédelmi szempontból megfeleljenek, viszont az is látszik ebből a kapkodásból, hogy első körben ezeket nem veszik figyelembe, csak miután a szakemberek reagáltak . A javaslatokat végül vagy gyakorlatba ültetik, vagy nem veszik figyelembe. Az indokolt utólagos módosítások mutatják tulajdonképpen a tudatosság szintjét az állami intézmények körében.”
Bizonyos közérdek felülírhatja az adatvédelmi elveket
Arra is kíváncsi voltam, hogy a jelenleg bevezetett szükségállapot és katonai rendeletek tartalmaznak-e olyan pontokat, amelyek felülírják a GDPR elveit.
„Én nem mondanám azt, hogy a GDPR-t bármi is fölülírja, inkább úgy fogalmaznék, hogy mivel a személyes adatokhoz fűződő jog nem abszolút, hanem relatív, ezért bizonyos esetekben nem ez érvényesül elsőként, hanem mondjuk a közrendhez vagy a közegészségügyhöz fűződő érdek. Így, ha például egy bizonyos közérdek elsőbbséget élvez a személyes adatok védelméhez fűződő jogokkal szemben, akkor előbbi érvényesül. Ebből a szempontból azonban nem lehet általánosítani, mert nem mindig a közrend vagy a közegészségügy érvényesül. Ahogy korábban is említettem, minden esetet külön kell vizsgálni" - magyarázta.
Székely Barnabás egy példával is érzékeltette: hogyha egy személyről kiderül, hogy egy nap alatt gyógyult meg a koronavírus-fertőzéstől – amire eddig még nem volt precedens– akkor biztos, hogy az ő egészségügyi adatait a hozzájárulása nélkül fogják közölni, nem úgy, mint más esetekben. Ehhez nem kell az ő hozzájárulása, mert az adatait közérdekből fogják kezelni. Ilyenkor is a kitűzött célhoz mérten, csak szükséges esetben és arányos mértékben kezelik az említett adatokat. Ugyanakkor, fontos az adatkezelést megelőzően megvizsgálni egy érdekmérlegelés során, hogy az egyéni érdek vagy a közérdek erősebb a konkrét esetben.
koronavírusadatbázisapplikáció