Brevo Mailchimp kampány honlap Hadházy Ákos

Ismét felelőtlenül kezelheti Hadházy a magyar emberek adatait

A baloldali politikusnak tudnia kellene, hogy 2016 óta soha nem látott szigorral lépett hatályba az Európai Unió általános adatvédelmi rendelete.

Munkatársunktól

2023. 07. 10. 14:53

Hadházy Ákos baloldali független országgyűlési képviselő adatkezelői eljárásával kapcsolatban ismét súlyos kétségek merülhetnek fel, jóllehet adatvédelmi ügyekben már többször is megégette magát – világít rá honlapján a Tűzfalcsoport áttekintő elemzése.

Figyelmeztetnek: a nagy cégek és nemzetközi szervezetek bekapcsolódásával egyre inkább együttműködik a politikai szféra és a nem kormányzati civil társadalom a magánszektor szereplőivel a globális információs hálózatokban. Az adatkezelői együttműködés újabb formái politikai mozgásteret nyitnak meg.

Mint a tényfeltáró blog közli, Hadházy mint adatkezelő tevékenysége – a választási kampányában és egyéb politikai kezdeményezéseiben közreműködő aktivisták személyes adatainak kezelése – kapcsán adatfeldolgozóként jár el több gazdasági társaság, így a DotRoll Kft. és a Microware Hungary Kft., továbbá adatfeldolgozóként van feltüntetve a Sendinblue SAS, melynek a fő tevékenységi körét a hírlevélküldő szolgáltatások jelentik. A Sendinblue számos digitális marketingeszközt kínál, amelyek elősegítik a politikus kampányát, biztosítva e-mail- és sms-marketinget élő chat- és postafiókrendszerrel.

A Tűzfalcsoport felhívja a figyelmet arra, hogy Hadházy, aki az uniós értékek szigorú védelmezőjeként állítja be magát, tudhatná: 2016 óta soha nem látott szigorral lépett hatályba az Európai Unió általános adatvédelmi rendelete, a GDPR. A Brevo (korábban: Sendinblue) digitális marketingplatformjának világszerte több mint háromszázezer felhasználója van és naponta több mint 140 millió e-mailt küld ki. Internetes források szerint már három éve nem létezik a Sendinblue név, Hadházy mégis a régi nevet használja.

A Tűzfalcsoport forrása hét nappal ezelőtt megkereste a Hadházy által megadott e-mail-címen a Sendinblue-t, de a nyilvántartáson kívül érdemi válasz nem érkezett.

Az Omnisend nevű szolgáltató – a Brevo egyik legkeresettebb alternatívája – díjnyertes ügyfélszolgálata minden időzónát lefedve átlagosan öt perc alatti válaszidővel rendelkezik. A Brevo által kínált digitális marketingeszközök többek között: e-mail-marketing, sms-marketing, chat, tranzakciós e-mail és marketingautomatizálás. A platform emellett céloldalakat, feliratkozási űrlapokat, webes hirdetések retargetingjét és integrált Facebook-hirdetések kezelését is biztosítja, azonban velük szemben több adatbiztonsági és adatvédelmi kérdés felmerült.

A vállalat korlátozott információt nyújt az e-mailek titkosításáról. Mint írják, „nagy jelentőséget tulajdonítanak a titoktartásnak”, és „amennyire csak lehetséges”, titkosítják a kapcsolatokat a szerverek és az ügyfelek e-mailjei között. A kimenő kapcsolatokhoz a Brevo mindig igyekszik a TLS protokollt használni, ám ha ez nem elérhető, akkor „a nem biztonságos SMTP protokollt használja”.

Emellett a Brevo felhasználási feltételei nem hivatkoznak a fogyasztók védett egészségügyi információinak védelmét szolgáló HIPAA-ra (Health Insurance Portability and Accountability Act).

A vállalat minden felelősséget elhárít az egészségügyi vagy egyéb személyes adatok platformján való jelenlétéért, és egyértelművé teszi, hogy a felhasználó a Brevo irányába fennálló kártalanítási kötelezettséggel és kizárólagos felelősséggel tartozik az ebből eredő adatvédelmi incidensek következményeiért.

Az adatvédelmi szabályzat szintén nem említi a HIPAA-t, és az egészségügyi adatokról sem szól érdemben. Sőt, a HIPAA kifejezésre a Help Center keresője sem ad találatot. Tekintettel a felhasználási feltételekben rögzített, egészségügyi információkat érintő kifejezett tilalomra, valamint a HIPAA-specifikus információk hiányára a weboldalon, feltételezhető, hogy a Brevo nem HIPAA-kompatibilis marketingplatform.

Komáromi Zsolt üzletember neve is feltűnik, aki a saját szakmai közösségi profilja szerint 2011 májusa óta a Microware Hungary Kft. ügyvezető igazgatója, és ezt a pozíciót 2007 óta a DotRoll Kft.-ben is betölti. A DotRoll Kft. a cég nyilvánosan hozzáférhető adatai szerint 2007 májusában jött létre, jegyzett tőkéje 20 460 000 forint, míg a nettó árbevétele 417 179 008 forint.

Az sem lényegtelen, hogy a több mint 120 ezer domainnévvel rendelkező DotRoll Kft. saját weboldalán azt olvashatjuk: „Magyarország piacvezető domainregisztrátor cége”, amely .hu (ISZT), .eu (EURid) és .com, .net, .org (ICANN) akkreditációja is van, így ezen végződések esetén közvetlen hozzáféréssel rendelkezik a regisztrációs adatbázisokhoz. A saját weboldalukon olyan cégeket tüntetnek fel „őket választó” partnerként, mint a Honda, a Prezi, a Deloitte, az MTA Sztaki vagy a Gránit Bank. Így tehát nem kis jelentőséggel bírt a hírek szerint, hogy a DotRollhoz és a szintén a DotRoll tulajdonában lévő Microware Hungary Kft.-hez is ismeretlen kiberbűnözők törtek be 2021-ben. Egyértelmű nyom nem volt arra vonatkozóan, hogy adatokat tulajdonítottak volna el, azonban ezt kizárni sem lehetett. Egy kiküldött tájékoztató e-mailben ugyanis az állt, hogy „a támadó elméletileg hozzáférhetett számlázási adatokhoz, számlákhoz, tárhelybelépési adatokhoz, logokhoz, domain kontaktadatokhoz” is.

Emlékezetes, hogy még 2019 júniusában vizsgálat indult Hadházy Ákos ellenzéki országgyűlési képviselő EU-ügyészségi aláírásgyűjtése miatt. Az aggályos helyzet átnézésére irányuló eljárást a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) indította a politikussal szemben, miután a gyanú szerint külföldre kerülhettek magyar állampolgárok adatai, és a szignógyűjtés miatt még az adatvédelmi biztos, Péterfalvi Attila is hangot adott szakmai kételyeinek.

Hadházy az Európai Ügyészséghez való csatlakozás érdekében egymillió aláírást akart gyűjteni, ebből összesen 680 ezer sikerült neki. Az adatvédelmi biztos szerint a gondot az jelentette, hogy a gyűjtés online felületén a tájékoztatóban az állt, hogy adatfeldolgozóként az egyesült államokbeli The Rocket Science Group LLC és a kanadai Sync.Com Inc. cég van feltüntetve a Microware Hungary Kft. mellett.

A The Rocket Science Group LLC társaság egy Mailchimp nevű hírlevélküldő szolgáltatást üzemeltet, és az lehet problémás, ha a magyar állampolgárok e-mail-címeit egy külföldi, például amerikai szerveren tárolják.

Egy évvel később, 2020 nyarán egymillió forintos bírságot szabtak ki Hadházyra, emellett arra kötelezték a baloldali politikust, hogy törölje az Európai Ügyészségért folytatott kampány során gyűjtött kapcsolattartási adatokat.

Ugyancsak 2020-ban felmerült, hogy törvényt sérthetett Hadházy, mivel sajtóértesülés szerint nem jelezte Kövér László házelnöknek, hogy egy alapítványt működtet, amellyel az aktuális nemzeti konzultációs íveket gyűjtötte be. Azt megelőzően már többször is felvetődött, hogy az egykori LMP-s politikus adatbázis-építésre használhatja a lakossági adatokat – emlékeztetett a Tűzfalcsoport.

Összességében elmondható, hogy az elmúlt évek zavaros ügyei nyomán az idegen érdekeket is képviselő vagy betolakodó külföldi hálózatokat segítő baloldal – az egyes kampányai mögött álló adatcégek felelősségét is tekintve – elveszíteni látszik azt a pozíciót, amellyel még méltó lehetne arra, hogy a magyar választópolgárok megbízhassanak benne és vezető politikusaiban – vonja le a következtetést a Tűzfalcsoport.