Előfordul, hogy az oltásértesítő-levélben, amit kapunk, látjuk még többszáz másik ember elérhetőségeit is, hívta fel figyelmünket olvasónk. Ez persze nem nagy probléma (relatíve egy járványhelyzethez), de azért az egyértelmű, hogy a GDPR-nek például egyáltalán nem felel meg.
Csütörtökön keresett meg minket olvasónk, Róbert azzal, hogy néhány perccel korábban megkapta a behívást vakcinálásra. Mint mondta, igencsak meglepődve tapasztalta, hogy a címzettek között nem csak ő van ott, hanem további 494 ember e-mail-címe és neve is. Ez azt jelenti, hogy ezáltal Róbert is közel félezer ember elérhetőségéhez jutott hozzá, és ez történt fordítva is. Az e-mail-címek persze önmagukban nem annyira értékesek (jelszóval volnának azok legfeljebb), de ő az oltásregisztráció során mindenki csak abba egyezett bele, hogy az állam bizalmasan kezelje adatait, és azokat csak a legszükségesebb szerveknek adja tovább.
A regisztrációs oldalon található adatkezelési tájékoztató (ezt a dokumentumot kell elfogadnunk a regisztrációhoz, és ez rendelkezik azon jogokról, melyeket az adatkezelő érvényesíthet a felhasználó adatait illetően) egészen pontosan úgy fogalmaz, hogy „a Miniszterelnöki Kabinetiroda a közölt személyes adatokat a NEAK (Nemzeti Egészségbiztosítási Alapkezelő) részére történő átadásig titkosított adatbázisban tárolja, nyilvánosságra nem hozza, külföldre és a NEAK-on kívül harmadik félnek nem továbbítja”.
Csakhogy azzal, hogy a háziorvosokon túl még egy kisebb falunyi ember tudta meg Róbert teljes nevét és mail-címét (és fordítva), ezt nyilvánvalóan megszegte a NEAK.
A regisztráció során olyan adatokat kell egyébként megadni, mint név, lakcím, e-mail-cím, telefonszám, életkor és TAJ-szám, szerencsére csak kettő került nyilvánosságra ezek közül. Azt persze nem tudni, hogy milyen gyakori az ilyen figyelmetlen adatkezelés, de feltételezhető, hogy ritkábban előforduló esetről van azért szó. Főleg, ha figyelembe vesszük, hogy egyetlen gomb megnyomásával mindez elkerülhető lett volna, és a címzetteket lehetett volna titkosított másolatban értesíteni (azaz csak a feladó háziorvos és a saját adatait látta volna Róbert is, másokét nem).
A másik bibi, amit felfedeztünk, hogy az adatkezelési tájékoztató szerint a NEAK „a közölt személyes adatokat a részére megadott szempontrendszer alapján az általa vezetett nyilvántartásokkal összeveti és annak eredményéről az érintett háziorvosát tájékoztatja a koronavírus elleni védőoltás beadhatóságának megállapítása érdekében”. Csakhogy Róbertet nem saját háziorvosa értesítette, hanem egy másik szegedi háziorvos.
A tájékoztató szerint amúgy a NEAK az oltást követően törli a személyes adatokat, de ezt nyilván csak a saját adatbázisukból tudják, a 494 magánember levelezéséből nem. Róbert szerint a levélcímek egy része olyan szenzitív információkat tartalmazott (bár ez saját felelősség), mint születési dátumok részletei vagy cégnevek. Ráadásul a Facebookon lehet e-mail-cím alapján is keresni, így még több adatot gyűjthetünk be honfitársainkról, ha akarunk. És bár azt nem tudjuk, hogy a 495 fő közül hányan élnek majd a vakcinálás lehetőségével (Róbert is elutasítja ezt a vakcina típusa miatt), az tény, hogy mindenkinek a Sputnik V-t ajánlották fel.
Nyitókép: Vajda János / MTI