Mennyire vigyázunk a személyes adatainkra?

Interjú.

Mi az a GDPR?

A GDPR egy új uniós adatvédelmi jogszabály, ami az Európai Unió összes tagállamára nézve kötelezően alkalmazandó, közvetlen hatályossággal. Nem egy irányelv, amit még át kell ültetnie a magyar jogalkotónak, hanem az összes tagállamban alkalmazható anélkül, hogy a helyi jogrendbe beillesztenék.

Mi számít személyes adatnak a GDPR alapján?

Ez lényegében nem változott. Minden adat vagy információ, ami egy konkrét személyhez kapcsolódik. Ezek lehetnek olyan információk is, amelyeknek nem tulajdonítunk komoly jelentőséget, pedig például személyes adat az is, hogy milyen színű nadrágokat szeret valaki. Ahogy az arckép, egy hangfelvétel, vagy egy szerződés is személyes adatnak minősül.

Tényleg forradalmi a GDPR, vagy csak a bírságok drasztikus emelése a legfőbb változás?

Magyarországon eddig is szigorú adatvédelmi szabályok voltak. Annak az adatkezelőnek, aki betartotta az Infotörvényben leírtakat, nem jelentett nagy feladatot a GDPR-re való felkészülés. Túl sok újdonság nincs benne, a probléma az, hogy sokan eddig sem tartották be az adatkezelési szabályokat, mert viszonylag kicsi szankciókra számíthattak. Most viszont a magasabb bírság miatt egyre többen érzik úgy, hogy elkerülhetetlenné vált a szabályok betartása.

Mit érezhetnek ebből a felhasználók? Az e-mail fiókjaink tele vannak most ezzel kapcsolatos levelekkel.

Az e-mailek egy része teljesen felesleges, indokolatlan, sőt, bizonyos esetekben jogellenes is. Az Európai Unió ilyen szempontból könnyít a helyzeten, ahol eddig nem kellett hozzájárulás, ott most sem kell. Itt inkább arról van szó, hogy akik korábban nem jogszerűen kezelték az adatokat, most megpróbálnak hozzájárulást kérni ezekben az e-mailekben a későbbi megkeresésekhez. Ez káros dolog, mert ennek köszönhetően azt is gondolhatják a felhasználók, hogy a GDPR egy teljesen felesleges, bürokratikus valami.

Az lett volna az igazi, ha senki nem veszi észre, hogy életbe lépett az új szabályozás. Maximum annyit kellene ebből érzékelnünk, hogy több tájékoztatást kapunk az adataink kezeléséről, például a bankban, vagy egy internetes hitelkalkuláció esetén. Nem a zavaró e-mailekben kellene érzékelnünk a változást, hanem az átláthatóság növekedésében és az adatkezelési incidensek megszűnésében.

Megadtam egy cégnek az adataim, engedélyt is kaptak tőlem azok kezelésére, de később meggondolom magam. Mit tudok tenni?

Főszabály szerint tudjuk kérni, hogy töröljék az adatainkat. Ennek vannak korlátai, ha például szerződést kötöttem, és én még nem fizettem ki a szerződésben foglalt díjat, akkor értelemszerűen a díjköveteléssel kapcsolatos adatok törlését hiába kérem. Ami viszont már nem kell a díjkövetelés érvényesítéséhez, törölni kell.

Az már a GDPR újdonsága, hogy nem csak töröltethetem, hanem áthordozhatom az adataimat, ha szeretném. Ha például egy e-mail szolgáltatót használok, de úgy döntök, hogy váltani szeretnék, akkor kérhetem, hogy az évek alatt kiépült levelezési listámat letölthessem egy olyan formátumban, amiben importálható lesz az új szolgáltatónál az e-mail fiókomba.

Sokan attól tartanak, hogy vállalatok szűnhetnek meg a GDPR miatt, pedig két éve tudjuk, hogy mikortól lép hatályba ez a szabályozás. Ennyi idő alatt nem lehetett felkészülni?

Nem gondolom, hogy a hatóság célja az lenne, hogy cégek szűnjenek meg, vagy menjenek tönkre. Eddig is méltányosan járt el az adatvédelmi hatóság, a cégeket az árbevétel figyelembe vételével fogja megbírságolni, így olyan nagy félnivaló nincs például a kis cégeknél. A húszmillió eurós büntetés nem minden esetben reális.

Két év alapvetően elég lenne a felkészülésre, akkor, ha tényleg két évvel ezelőtt minden információ rendelkezésre állt volna. Ehhez képest a magyar jogalkotó sem fogadta még el azt a törvényt, ami az Infotörvény és a GDPR viszonyát határozná meg. Most június van, mégis rengeteg a bizonytalanság az alkalmazást illetően.

A techóriásokra szabták a GDPR-t?

Melyik szereplő számít techóriásnak? Erre ma már nehéz válaszolni. Ha egy startup létrehoz egy jó alkalmazást, pillanatok alatt milliós nagyságrendű regisztrált felhasználója lesz, így könnyen lehet kisebb adateszközöknél, például egy GPS-alapú nyomkövető rendszernél vagy mobilos applikációnál is óriási mennyiségű adathoz jutni.

Ismerve a digitális viszonyokat és a fejlődés gyorsaságát, korszerű a GDPR?

Ez jogos kritika. Egy példa: a GDPR szempontjából a fénykép csak akkor minősül biometrikus adatnak, ha olyan speciális eszközzel készült, ami lehetővé teszi az egyedi azonosítást. Ez valamikor igaz lehetett, de ma már a telefonom is képes arra, ha készítek egy fotót, kikeresse azokat a képeket, melyeken ugyanaz az ember szerepel. Egy sima telefonos kamera is alkalmas ma már az arcfelismerésre, ahogy a Facebook is.

A social media platformokon megosszuk egymással az életünket, de közben adatvédelmi tudatosságra is törekednünk kellene. Összehangolható a kettő?

Nehéz meghúzni a határvonalat aközött, hogy mi az ami még belefér egy átlagfelhasználó életébe és mi az, ami tabu. Valaki abszolút nem oszt meg semmit, valaki csak cikkeket, valaki ennél bátrabb. Az is fontos eleme ennek, hogy hogyan kezeljük a jelszavainkat. Tipikus példa, amikor egy adott szolgáltatónál valaki feltöri a rendszert, kikerülnek a netre az e-mailek, a jelszavakkal együtt. Azon túl, hogy ez önmagában probléma, a kockázatot jelentősen növeli, hogy több felületen is ugyanazt a jelszavat használják az emberek, így az összes szolgáltatása feltörhetővé válik. Mindenképp szükség van arra, hogy adatkezelési szempontból is legyen bennünk tudatosság.

Sokan azt gondolják, hogy „miért kellenének bárkinek is pont az én adataim?”.

Ezzel a hozzáállással nem értek egyet, a tapasztalatok mást mutatnak, bár szerencsére nem nagy számban, de világszinten történnek visszaélések. Egyéni szinten is vannak példák, hogy rosszakarók, zaklatók hogyan tudnak visszaélni ezekkel. Ha például a kedvenc állatom a kutya, sok képet osztok meg kutyákról, és ha egy ingyenes e-mail szolgáltatónál a jelszóemlékeztető-kérdés az, hogy mi a kedvenc állatom, egyből tudni fogják, hogy mit kell beírni. Ha nem lennének adatkezelési szabályok, olyan helyzet is előfordulhatna, hogy egy egészségügyi szolgáltató tévedésből fals adatokat rögzít az én droghasználattal kapcsolatos szokásaimról. Ha nem védenének az adatvédelmi szabályok, mindig az lenne látható a rendszerben az orvosok számára, hogy én drogos voltam. Ezért is kell, hogy fontos legyen az adatvédelem mindenki számára.

Tálcán kínált titkaink, avagy adatvédelmünk az interneten

Néhány forintot érő pontokért külön kártyán vezetünk részletes adatbázist vásárlási szokásainkról, majd adjuk át egy ismeretlen külföldi cégnek. Naponta fotózzuk le és mutatjuk meg magunkat és szeretteinket, vagy közöljük aktuális tartózkodási helyünket egy olyan külföldi oldalon, ahonnan ezek az információk talán soha nem fognak törlődni.