Váratlan emailt kaptak a napokban azok, akik január elején kipróbálták az akkor frissen indult állami használtautó-ellenőrző rendszert, a Jármű Szolgáltatási Platformot (JSZP). A Belügyminisztérium március 29-i dátumozású levele szerint ugyanis a rendszerben a tesztidőszak során személyes adatok kerülhettek nyilvánosságra – derül ki az olvasóinktól hozzánk is eljutott tájékoztatóból.
A különböző hivatalok gépjármű-nyilvántartási adatait egyesítő JSZP-ben ingyenesen lekérhetők az autók műszaki adatai, a baleseti előéletük és az eredetiségvizsgálaton róluk készült fotók, ami nagy segítség lehet a vásárlás előtt állóknak, és a minisztérium reményei szerint hozzájárulhat a csalások visszaszorulásához. Az Ügyfélkapun keresztül elérhető rendszer érkezését december végén jelentették be, és január elején valóban el is indult a nyilvános tesztüzem.
A Totalcar akkor ki is próbálta a JSZP-t, majd külön cikkben összegyűjtötte a saját és az olvasói tapasztalatokat is.
Különösen bizarr, amikor éppen az adatgazda Belügyminisztérium rendszerének tesztelésekor kerülnek nyilvánosságra személyes adatok, melyeket a GDPR, vagyis az Európai uniós adatvédelmi rendelet értelmében ilyen lazán talán még maga a minisztérium sem közölhetne
– írták már ebben a második, január 17-i cikkben is, példákkal is illusztrálva, hogy szükségtelenül sok személyes adat vált a rendszerben bárki által hozzáférhetővé. Erről a cikk szerzője még január 6-án levelet is írt a Belügyminisztériumnak, aminek hatására változtattak is a rendszeren, de a válaszukban mosták kezeiket: "... a Belügyminisztérium intézkedett az esetleges további incidensek elkerülésére. Mint azt korábban közöltük, a Jármű Szolgáltatási Platform – előreláthatólag 2019. január végéig – tesztüzemben működik. A keresési felületen elérhető adatvédelmi tájékoztató részletesen tájékoztatja az ügyfeleket az adatvédelemmel kapcsolatos jogaikról."
Hogy ez a hozzáállás most miért változott, illetve hogy mi tartott január elejétől március végéig, amikor végül közzétették, hogy mi történt, nem tudjuk. Mindenesetre több olvasónk is az alábbi levelet kapta a minisztériumtól.
A lényeg röviden:
Az nem derül ki, hányan érintettek. Mint ahogy nagyvonalúan arról sem szól a Pintér Sándor belügyminiszter nevében Kőműves Bianka Réka, a Közlekedési Igazgatási és Nyilvántartási Főosztály vezetője által aláírt közlemény, hogy az "incidens" nem valamiféle támadás eredménye, hanem a jelek szerint az adatkezelő gondatlanságából fakadó szivárgás. Nem közlik azt sem, felelősnek tartják-e magukat a kialakult helyzet miatt.
Utóbbi már csak azért is érdekes, mert a közleményben is hivatkozott GDPR szerint minden adatkezelőnek bejelentési kötelezettsége van adatvédelmi incidens esetén: amint az incidensről tudomást szerez, de lehetőség szerint legkésőbb 72 órán belül jelentenie kell ezt az ilyen ügyekben illetékes Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH), és az érintett felhasználókat is "indokolatlan késedelem nélkül", illetve "az észszerűség keretei között a lehető leghamarabb" tájékoztatni kell, ha az incidens valószínűsíthetően magas kockázatot jelent rájuk nézve.
A fentiekkel kapcsolatos kérdéseinkkel megkerestük a Belügyminisztériumot és a NAIH-t is, ha válaszolnak, közöljük.
A JSZP működését korábban videóban is bemutattuk: