security

Az adatvédelemről – Nagyobb biztonság és átláthatóság minden EU-s állampolgárnak


Pontosan egy hónapja, május 25- én lépett életbe az új adatvédelmi törvény, mely elsődleges célja a magánszemélyek adatainak fokozottabb védelme, illetve az EU tagállamokra vonatkozó szabályok egységesítése.

A rendelet amellett, hogy jelentős változásokat eredményez a cégek életében, nagyobb teret is ad az állampolgároknak, hogy saját személyes adataik felett rendelkezzenek. Ezekről, a mindenkit érintő változásokról beszélgettünk Dr. Horváth Péter, ügyvéddel.  

Két évvel ezelőtt az Európai Uniós szervek arra döbbentek rá, hogy az EU-n belül az állampolgárok egyáltalán nem érzik úgy, hogy uralják a személyes adataikkal kapcsolatos kérdéseket. Ennek az oka a mérhetetlen mennyiségű internetes adatgyűjtés és a globalizáció, digitalizáció, ami a rendelet szükségességét életre hívta.

Elég csak a Google-re, vagy a Facebookra gondolni, amelyek nagy mennyiségű adatokat kezelnek világszerte, hogy belássuk, mennyire is hiánypótló ez a rendelet.

A közelmúltban sem véletlenül robbantak ki a Facebook körüli botrányok, hiszen a közösségi oldal végzi a legnagyobb adatgyűjtést, ők mindent ellenőriznek. Aki a Facebookon van, annak tudják a politikai nézeteit, hiszen látják, hogy milyen cikkeket olvas, tudják a szexuális beállítottságát, azt, hogy milyen szavakat pötyög be a kommentekbe. Ezek mind érzékeny adatok, és a rendelet azt tiltja, hogy bárki, a felhasználók egyértelmű hozzájárulása nélkül ilyen jellegű adatokat gyűjtsön.

Az egyik szembetűnő változás a közösségi oldalon, hogy az arcfelismerő szoftvert engedélyezni kell. Most már nem teheti meg azt a Facebook, hogy az összes képet, amit a világhálón talál, automatikusan összeveti a sajátunkkal, hogy szerepel-e rajta az arcunk. Ez ugyanis nem felelne meg az új adatvédelmi törvénynek, hiszen az arcunk is a személyes adatunk. De ide vonatkozik az is, hogy politikai, vagy szexuális irányultságú, vallási, vagy világnézeti kérdésekben sem szabadna adatokat gyűjtenie.

adatved

Azért is volt ez a változás szükséges, mert például a fiatalabb generáció, mint a 18 év alattiak, rengeteg adatot kiadnak magukról. Bennük kell tudatosítani ennek jelentőségét, hogyan tudnak ezzel a szolgáltatók visszaélni, kihasználni, és erre kínál megoldást az adatvédelmi törvény.

Nyílt titok, hogy a Facebookon közzétett profilunkat, többnyire leellenőrzik a munkáltatók, pedig jog szerint ezt nem tehetnék meg a munkavállaló előzetes tájékoztatása nélkül.

És itt a hangsúly az előzetes tájékoztatáson van: a rendelet nem tiltja az efféle cselekvést, de mindenképpen megköveteli az érintett személy előzetes tájékoztatását arról, hogy milyen adatkezelést akar folytatni az adott adatkezelő. S ha ehhez hozzájárul a másik fél, akkor ez megengedetté válik.

Az Európai Unió minden vállalkozásra kiterjesztette ezt az általános szabályozási rendszert. Itt nem csak arról van szó, hogy az a célja ennek a rendeletnek, hogy az állampolgárok személyes adataik felett újra visszaszerezzék az uralmat, hanem az is egy cél volt, hogy az összes uniós tagállamra ugyanazok a szabályok vonatkozzanak.

A rendelet pedig a gyakorlatban gazdaságélénkítő hatással is bírhat, mert ha innen egy magyar vállalkozás Portugáliába, vagy Németországba akar webshopon keresztül valamilyen szolgáltatást nyújtani, akkor az adatkezelés szempontjából ugyanazok a szabályok lesznek irányadóak. Sokkal egyszerűbbé válik a cég működése, hiszen nem kell az ottani szabályokkal foglalkozni, a rendelet minden tagállamra vonatkozik, és mindenkinek ugyanazokat a szabályokat kell betartania.

„Ami miatt most szerintem nagyon sok levelet kapnak a felhasználók, az az, hogy az eddig létrehozott ügyféladatbázisokat nem használhatják a cégek tovább, és ezért most megpróbálnak újabb hozzájárulásokat szerezni, és újra felépíteni az adatbázisaikat különösen a hírlevél és marketing szempontjából. Ez azért van, mert a korábban megadott hozzájárulások már nem felelnek meg az új előírásoknak. A vállalkozásoknak egy önkéntes hozzájárulással kell rendelkeznie az érintett személyektől, egyértelműen igazolnia kell, hogy ezt beszerezte, emellett a vállalkozónak tájékoztatni kell az érintettet arról, hogy milyen célból kezeli az ő adatait, mi ennek a jogalapja, milyen adatokat gyűjt, és ami nagyon fontos, meddig tartja meg. A végtelenségig ugyanis nem lehet adatot kezelni.”

adat

Ezzel különösen a hírlevél szolgáltatók lesznek nagy bajban, mert általában annyit fektetnek le, hogy az érintett hozzájárulásának visszavonásáig kezelik az adatokat. Azonban ez így nem lesz jó. Egy határidőt, 5-8-10 évet mindenképpen meg kell adni, és utána újra meg kell kérni a hozzájárulást, máshogy ez nem fog működni. Ami miatt a korábbi hozzájárulások nem lesznek megfelelőek, az az, hogy a rendelet egy csomó új jogot fogalmazott meg az érintettek számára, melyekről tájékoztatást kell adni. Az egyik, ami a legerősebb és talán a legérdekesebb, az a hozzáférési jog. Ez azt jelenti, hogy bármelyik szolgáltatót, bármelyik vállalkozást megkereshetem azzal, hogy tájékoztasson arról, milyen személyes adatokat kezel rólam, és miért, és ha többféle adatbázisban vagyok benne, akkor mindegyik adatbázisról értesítést kell adnia.

„Én azt gondolom, hogy az érintett hozzájárulása a vállalkozások szempontjából a leggyengébb jogalap, mert azt bármikor vissza lehet vonni. És sok esetben, ha rossz jogalapot jelölünk meg, akkor kínos helyzetbe kerülünk. Például, ha azt mondjuk, hogy hozzájárulás alapján kezeljük a munkavállaló adatait, milyen képtelen szituáció alakulna ki, ha a munkavállaló azt mondja öt hónap után, hogy nem kezelheted az adatait, közben a jogszabály előírja, hogy adatszolgáltatási kötelezettségünk van az OEP felé, vagy a nyugdíjbiztosító felé.”

Hasonló a helyzet a webes megrendelésekkel is. A szolgáltatások teljesítéséhez meg kell adnia a vásárlónak a személyes adatait, mint például a szállítási címet, nevet, telefonszámot, azonban az adatkezelési tájékoztató elfogadása nem jelentheti azt, hogy az adott cég további hírleveleket is küldjön a részére. Erről külön kell az érintett engedélyét kérni, és ennek hozzájárulás alapúnak kell lenni, nem lehet automatikusan hozzácsatolni a megrendeléshez kötelezően a hírlevelet, hiszen akkor nem lesz önkéntes a hozzájárulás.

adatvedelem

„Ami szerintem rendet fog tenni, amit a rendelet is előír, hogy lesznek olyan tanúsító szervezetek, és általános magatartási kódexek, amelyekhez lehet majd csatlakozni, és ezzel ki lehet váltani bizonyos dokumentációkat. Ez várhatóan egy félév, év múlva el fog elkezdődni, olyasmi lesz, mint az ISO minősítés.
És aki ezzel rendelkezik, tehát vállalja azt, hogy kijönnek, ellenőrzik az ő adatait, az ő adatkezelését, és azt mondják, hogy ő megfelel a törvénynek, akkor azokat a fogyasztók is biztonsággal kereshetik. Azt gondolom, hogy ez lesz a jövő, de ettől még nagyon messze vagyunk.”

Az állampolgároknak abban az esetben, ha nem kívánják, hogy egy adott cég rendelkezzen az adataikkal, lehetőségük van személyes adataik törlését is kérni. Ezért vezették be a Robinson listát. Az a lista, amiben azoknak az adatait vezetik fel a cégek, akik megtiltották számukra az adatkezelést.

„Egyetlen olyan kivétel van, amelyre nem vonatkozik a GDPR, ez pedig a bíróság. Ők az egyetlenek, akik úgy rendelkeznek az adatokkal, ahogy akarnak. Mindenki másra, akár az ügyvédekre, az orvosokra, a közintézményekre, még az egyetemekre is vonatkozik a GDPR, ezt mindenkinek be kell tartania.
Úgy gondolom, hogy a nagyobb szolgáltatók lesznek elsősorban fókuszban. Például a mobilszolgáltatók, a biztosítók és a bankok. Ezek lesznek azok, akiknél az adatbiztonság kiemelt szerepet fog játszani.”

 

Fülöp Tímea

Hozzászólások