Adatvédelmi hiányosság miatt vált zsarolhatóvá 300 ezer álláskereső

A piacvezető álláskereső portál önéletrajz-adatbázisához néhány napja bárki hozzáférhet. Kiderült, ugyanez a lehetőség egy másik karrieroldalon is megvan. Konkrét személynévre is lehet keresni, ami adatvédelmi aggályokat vet fel - figyelmeztet a hvg.hu.
K. Kiss Gergely, 2018. június 22. péntek, 16:40

A jelenséget a portál jelezte az adatokat nyíltabb formában közlő Profession.hu lépésével 300 ezer ember munkahelyváltási szándéka és sok esetben fizetési igénye is egyszerűen megismerhetővé vált. A cikk megjelenése után, pénteken délelőtt a legnagyobb állásportál végül mégis megszüntette a vonatkozó lehetőséget.

A Profession.hu-ra regisztrálás után adataik hitelességét láthatóan senki nem ellenőrizte. Hiszen több napja be tudtak lépni a leírt módon létrehozott fiókba, sőt újakat is regisztrálni tudtunk. Ugyanezt tapasztalták a szintén sokak által használt Workania.hu oldalon is. A két oldal adatbázisában együtt nagyjából 300 ezer személy (aktivált) önéletrajza található meg.

Egy más által, de hasonló módon létrehozott fiókkal az oldalra belépve a keresővel könnyedén megtaláltuk az aktív álláskeresők között jelenlegi és volt kollégáinkat, ismerőseinket, és sok más munkakeresőt. (Cégnévre is kereshetünk, de akár konkrét személynevet is beírhatunk.)

Mindent megtudhatnak rólunk

A Profession.hu-n a személyes beazonosításra alkalmas információk közül a lakhelyre, életkorra, aktuálisan betöltött pozícióra, nyelvtudásra és bizonyos esetben a ritka családnevek kezdőbetűjére vonatkozó információkat kitörölték. Ezek valójában ott szerepelnek a találati listában.

Az így nagy biztonsággal beazonosítható felhasználó(k) összes általuk rögzített információja - köztük az aktuálisan betöltött pozíciójuk, ha megadták - elérhető, és letölthető a teljes adatlapjuk, beleértve az esetlegesen jelzett fizetési igényt is. Ebből nemcsak az aktuális felettes vonhat le következtetéseket, de ezekkel akár egy rosszakaró is visszaélhet - vélekedik a hvg.hu.

Hasonló szolgáltatást (önéletrajz-adatbázis) több nagy álláskereső oldalon is elérhetnek a munkaadók. Az általunk vizsgált legnagyobb oldalak közül a Profession.hu és a Workania.hu akadt fenn a szűrőn. A Cvonline.hu, a Jobline.hu és a Monster.hu vonatkozó önéletrajz-adatbázisainak bogarászásához az üzemeltető egy munkatársa előbb felveszi a kapcsolatot a regisztrálni kívánó cég képviselőjével, folyamatosan aktualizált cégadatbázisban ellenőrzi a vállalkozás adatait, és elvben ha megbizonyosodott azok hitelességéről, akkor küldi ki a szolgáltatás igénybe vételéhez szükséges szerződést és számlát.

Az anonimitás útja

A hvg.hu által megkérdezett, neve elhallgatását kérő szakértő - és a józan ész logikája - szerint a munkaerőt kereső vállalatok szinte "mindenáron" szeretnék rövidebbre faragni az üresjáratot, azaz azt az időt, amely alatt az adott pozíciót már és még nem tölti be senki. Mivel már több szektorban is gyakorlatilag elfogytak a munka nélküli álláskeresők, már csak az állásban lévőket lehet megpróbálni "becserkészni". Ami korábban a közép- és felső vezetői réteg kiváltásága volt, ma már az egész munkaerőpiacra jellemző: elvárás lett a dolgozók részéről, hogy megszólítsák, ajánlattal keressék meg őket.

A munkaerőhiány egyik következménye pedig az lett, hogy a felhasználók már az adatbázisba regisztráláskor jelzik a fizetési igényüket is, ezzel akarják kiszűrni a komolytalan ajánlatokat. Ezek az információk fokozottan bizalmasak, és az állásportáloknak biztosítaniuk ezek megfelelő védelmét. Ebből a szempontból vajon mi mehetett félre a Profession.hu és a Workania.hu oldalakon?

Különösen aktuális felvetés mindez most, a május 25-e óta alkalmazandó, de a gyakorlatban még nem teljes mértékben honosított GDPR fényében. Első ránézésre az adatvédelmi regulák előírásait betű szerint akár teljesíthetik is az oldalak üzemeltetői, mivel a regisztráció során a rendszerük tájékoztatja a felhasználót, hogy az adatait kiadhatják munkáltatói megkeresésre.

Ámde nehezen képzelhető el, hogy a felhasználók abba is beleegyeznének, hogy egy olyan listára kerüljenek fel, amelyet kis erőfeszítéssel bárki tetten érhető kontroll nélkül böngészhet, név szerint beazonosítva az álláskeresőket. Mindenképpen probléma, ha a rendszer nem ellenőrzi, hogy a keresést végző "potenciális munkáltató" - vagyis a leendő ügyfél - valóban létezik-e.

Ehhez képest azt tapasztaltuk: a nagy szigorral meghatározott adatok körét feltételezhetően nem ellenőrzi senki. "Ha a szolgáltató a szerződési feltételeiben vagy adatkezelési tájékoztatójában vállalja, hogy harmadik félként csak egy ellenőrzött kör számára enged hozzáférést, akkor akár adatvédelmi incidensről beszélünk, hiszen nem ellenőrzött, tehát jogosulatlan harmadik felek fértek hozzá az adatkör kisebb-nagyobb részéhez" - nyilatkozta a portálnak Ormós Zoltán internetes szakjogász.

Forrás: Unsplash.com

HOZZÁSZÓLÁSOK
 

Mekelekke, 2018.06.23 10:20

Ha viszont a HR-es észreveszi, hogy kamu nevet és lakcímet adtál meg az önéletrajzodban, akkor meg nem kapsz soha munkát, mert a legtöbb HR-es nem vesz emberszámba senkit, akinek a nevéhez nem talál Faceboook profilt. Persze a Facebook szintén egy adatvédelmi rettenet.
Tehát Magyarországon csak az kaphat munkát, aki nem törődik a személyes adataival.
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html