Az adat az új olaj. Ennek a helyzetnek a jogi környezetnek is meg kell felelnie, de leginkább nekünk lesz nagy kihívás.
Az elmúlt évben globálisan több adatot hoztunk létre, mint korábban összesen az emberiség történetében. Egy olyan korszak előtt állunk, amely lényegesen meg fogja változtatni azt, ahogyan élünk, de az egymáshoz fűződő kapcsolatainkat is. Ezt az új korszakot az IoT-nek köszönhetjük, amit magyarul gyakran a dolgok internetének nevezünk. Az IoT nem a távoli jövő, hanem nagyon is a jelen: minden eszköz, ami körülöttünk van, össze van már kötve, kommunikálnak egymással, sőt, együttesen önálló döntéseket is fognak hozni. Ez pedig azzal jár, hogy ezeknek a termékeknek és szolgáltatásoknak a hozzáadott értéke jellemzően nem a szolgáltatásokban van vagy lesz, hanem az adatokban. Ennek az új helyzetnek pedig nem csak a társadalomnak, hanem a jogi környezetnek is meg kell felelnie.
Az adat az új olaj.
Megvalósult a nagy álom, hogy a terméket nyomon tudják követni az egész életciklusán keresztül. Tudják, hogy hol, ki és mikor használja. És ez az adat sokkal fontosabbá vált, mint maga a szolgáltatás – jelentette ki Barabás László , a Codespring műszaki igazgatója azon a kerekasztal beszélgetésen, amelyet az Adatvédelmi Szakértők Nemzetközi Szervezete és a Cluj Privacy Hub szervezett, és amelyen Kis Júlia , ügyvéd, emberjogi szakértő, a Jogaink egyesület elnöke, valamint Székely Barnabás adatvédelmi tanácsadó, az Adatvédelmi Szakértők Nemzetközi Szervezetének tagja, a Cluj Privacy Hub társalapítója is részt vett.
A tudatosító eseménynek egyébként az volt az apropója, hogy 37 éve, 1981. január 28-án terjesztették elő ratifikálásra az Európa Tanács 108-as számú egyezményét, amely az első kötelező érvényű nemzetközi szabályozás az adatvédelem terén. Ennek az elfogadásának a napját a nevezték ki a személyes adatok védelmének világnapjává. A témát emellett az is aktuálissá teszi, hogy május 25-től életbe lép a magánszemélyek adatainak védelmét az Európai Unióban egységesen szabályozó általános adatvédelmi rendelet, a General Data Protection Regulation (GDPR), amely számos adatokat kezelő vállalatnak és intézménynek is komoly fejtörést okozhat már az év második felében.
Az új előírásokra azért is van szükség, mert a technológiai fejlődés következtében az adatokkal nagyon belepiszkálhatnak a magánéletünkbe. Kis Júlia szerint ugyan nagyon gyakran csak a névvel, lakcímmel, születési hellyel, dátummal kapcsolatos információk jutnak eszünkbe akkor, amikor személyes adatokról beszélünk, azok viszont újabban sokkal többet jelentenek, egyre inkább vonatkoznak már a vásárlási szokásainkra, vagy akár az orvosi adatainkra is. Ezeknek az adatoknak a védelme már technikai szempontból is egyre nagyobb kihívást jelent, nem beszélve arról, hogy
a nyilvánosságra kerülésük a kellemetlenségen túl már egyre gyakrabban okozhat anyagi kárt is a tulajdonosoknak.
Utóbbi egyre inkább veszélyezteti a felhasználókat, hiszen a szolgáltatásokat nyújtó nagy cégek érdekeltek abban, hogy adatot gyűjtsenek rólunk, ellenkező esetben nem tudják eladni a szolgáltatásaikat és piaci részesedést veszítenek. Barabás László szerint tulajdonképpen élet-halál harc zajlik közöttük az adatokért, hiszen a mesterséges intelligencia csak akkor fog működni, ha rengeteg adat áll a szolgáltató rendelkezésére, ellenkező esetben nem tudják megjósolni, hogy a fogyasztó hogyan fog viselkedni a következő időszakban. A szakértő szerint bár ez kissé vészesen hangzik, és bizonyos tekintetben az is, vannak azért olyan területek, ilyen az egészségügyi szektor is, ahol akár életet is menthetnek a „felhasználóról”, vagyis a betegről rendelkezésre álló információk.
Ezért is rendkívül fontos a május 25-én érvénybe lépő szabályozás, a GDPR, amely az adatkezelők, illetve az adatfeldolgozók elé állít konkrét szabályokat. Megnevezi, hogy milyen kötelességeknek kell megfelelniük az adatkezelőknek és adatfeldolgozóknak:
- a felhasználói tájékoztatást például nagyon egyszerű nyelven kell megfogalmazniuk, így hamarosan véget fog érni a bonyolult, átláthatatlan adatvédelmi tájékoztatások kora;
- az adatok felhasználásáról szóló hozzájárulás bármikor visszavonható kell legyen;
- emellett publikusan elérhetővé kell tenniük az adatkezelőknek azt is, hogy konkrétan milyen adatokat gyűjtenek és tudnak a felhasználóról. És ezek tényleg csak a legfontosabb változások.
A szabályozás egyébként úgy fogalmaz, hogy személyes adatoknak számítanak azok az információk, amelyek közvetlen vagy közvetett módon hozzájárulnak az egyén azonosításához. Így az olyan „klasszikus” adatokon túl, mint a név vagy a lakcím, az egyén személyes adatának számít az IP-cím, az eszköz- és az online azonosítók, vagy akár a saját autó parkolási helye, illetve az, hogy mikor ment be az üzletbe és jött ki onnan.
Felvetődik viszont az a kérdés is, hogy hol van az a határ, amikor az egyén megtagadhatja a személyes adataihoz való hozzáférést, például ha nem akar többé kapni egy bizonyos marketinglevelet, és mikor nem tehet semmit például az ellen, hogy egy arcfelismerő kamerával levideózzák. Székely Barnabás ezzel kapcsolatban azt részletezte, hogy a közbiztonsági kérdésekre, a terrorelhárításra, a bűncselekmények felderítésére és megelőzésére nem vonatkozik az 2016/679 sz. uniós adatvédelmi rendelet. Ez azt is jelenti, hogy egy köztéren elkövetett bűncselekmény esetén továbbra is attól függetlenül fel lehet használni egy esetleges felvételt, hogy ennek rögzítéséhez az érintett hozzájárult vagy sem.
Ezeket leszámítva viszont érdemes odafigyelni, már csak azért is, mert számos eset előfordult, amikor éppen az állam nem tartotta be a személyes adatok védelméről szóló előírásokat. Nagy visszhangot kapott legutóbb az az eset is, amikor az adóhatóság nyilvánosságra hozta azoknak az adósoknak a nevét, személyi számát, lakcímét és az adótartozás mértékét, akik nem fizették be a közterheket. Székely szerint bár ebben a konkrét esetben az adatvédelmi hatóság meg is büntette az adóhatóságot, viszont a helyzet némiképp komikus, gyakorlatilag az állam egyik zsebéből áthelyezi a pénzt a másikba.
Kis Júlia arra hívta fel a figyelmet, hogy az adóhatóság példáján felbuzdulva több önkormányzat is kereste a módját annak, hogy szégyenlistát tegyen közzé, de a bankok és egyéb szolgáltatók is kaptak már büntetést amiatt, hogy a velük szemben tartozást felhalmozó ügyfeleket úgy tették rá egy más szolgáltatók által is elérhető feketelistára, hogy előzőleg vagy egyáltalán nem értesítették az ügyfeleket erről, vagy azt nem közölték, hogy mi lesz ennek a következménye, vagy, hogy pontosan kik fogják megkapni ezeket az adatokat.
Székely Barnabás ezt kiegészítve arra is rámutatott, hogy a nem teljesítő hitelesekről szóló adatok továbbadásánál nem szükséges az ügyfél hozzájárulása, hiszen
nem csak a hozzájárulás lehet egy megfelelő jogalap az adatok továbbadására, hanem az is, ha egy adatkezelőnek van egy jogos érdeke erre vonatkozóan.
Egy vállalatnak például van olyan jogos érdeke, hogy ellenőrízze az alkalmazottait, és jogos érdeke lehet az is, hogy visszaszerezze azt a pénzt, amit hitelként kihelyezett. Ebben az esetben a jogi személynek nem kell hozzájárulást kérnie, fontos viszont, hogy tájékoztatnia kell az adatok továbbadásáról az ügyfelet – magyarázta Székely. Hozzátette, a mostani romániai joggyakorlat alapján 30 nappal azelőtt, hogy továbbadnák az adós adatait, kell őt értesíteni arról is, hogy kinek és pontosan milyen adatait adják át. Ellenkező esetben a hitelező azt is kockáztatja, hogy az érintett az adósság visszaszerzését meg tudja támadni a bíróságon.
Bármilyen adattal kapcsolatos szolgáltatásnál nagyon fontos azt is tudni, hogy mit tudnak rólam.
És ha nem tetszik, akkor vissza kell vonni ezeket az adatkezelési hozzájárulásokat – mondta Barabás László a beszélgetés azon részében, amikor hasznos praktikákat és tanácsokat osztottak meg a szakértők a jelenlévőkkel. Barabás szerint az internetes böngészőket, az e-mail fiókokat, valamint a közösségi médiát is tudatosan kell használni, hiszen ott mindent megtudhatnak rólunk, és korra, lakóhelyre, vásárlási szokásokra lebontva tudnak célzott reklámokat nyújtani nekünk.
A szakértő szerint emellett nagyon fontos odafigyelni a mobiltelefon használatára is, nem kell minden információt megosztani, és teret engedni például az olyan értesítéseknek, amelyek a McDondald's előtt a buszon elhaladva kérnek arra, hogy minősítsük a gyorsétterem szolgáltatásait. A szakértő szerint ha túl sokat tudnak rólunk, előbb vagy utóbb pénzünkbe kerül, mert nem nehéz belátni, hogy bizonyos minket érdeklő szolgáltatásokat drágábban fizethetünk így majd meg, mint más, aki a hasonló funkciókat nem tartja bekapcsolva.
Az adatok és az IoT egy olyan kultúrát teremt meg, amelyet lehet nagy számok kultúrájának nevezni, vagy a sok lúd disznót győz típusú kultúrának, amikor a nagy számok fogják diktálni a döntéseket több szinten is, és nem pedig a minőség. Ez azt jelenti, amit gyakran az internetes keresőknél is tapasztalhatunk, amikor az első találat nem feltétlen a legjobbat jelenti, hanem azt, hogy bizonyos kontextusban arra találtak a legtöbben rá. Barabás szerint el kell fogadni, hogy abban a kultúrában fogunk élni, amikor a minőség ránk, emberekre van bízva. Ahogy azt is el kell fogadni, hogy
az adatvédelemben a legnagyobb biztonságkritikai elem nem a szoftver, hanem maga az ember.
Bár a technikai oldalra nagyon gyakran nagyobb hangsúlyt fektetünk, Barabás szerint az emberi viselkedés jelenti a legnagyobb kockázati tényezőt, ezért bizonyos szinten kulturális változásra van szükség: meg kell tanítani magunkat arra, hogy megfeleljünk ennek a helyzetnek.
Egyúttal nem árt azt sem tudni, hogy hova kell fordulni jogorvoslatért. Arra a kérdésre válaszolva, hogy milyen szankciókkal sújthatóak azok az intézmények, jogi vagy magánszemélyek, amelyek megsértik az adatvédelemmel kapcsolatos szabályozásokat, és egyáltalán mennyire hatékony a szankcionálás, Kis Júlia elmondta, hogy az állami intézményeknél a szankcionálás egyelőre nem működik elég hatékonyan, a büntetések súlyából elvesz az, hogy gyakorlatilag egy másik állami intézménynek fizetik a büntetéseket. Az állami szférán kívül viszont véleménye szerint már kezdenek pozitív változások megmutatkozni.
Kiemelte, hogy szankciókért az adatvédelmi hatósághoz kell fordulni, ahol akár az is elérhető, hogy töröljék a kért adatokat, emellett kártérítést is megítélhetnek, főleg abban az esetben, amikor érzékeny adatokról van szó. Elmondta, volt már olyan eset is, amelyben 10 ezer eurós kártérítést ítéltek meg a károsult javára, ami a romániai jogrendszerben jelentősnek számít a hasonló esetekben.
Székely Barnabás elmondta, Romániában jelenleg 50 ezer lej a maximális büntetés, amennyiben viszont online adatkezelés vagy a hírközlés területén történt a visszaélés, akkor már 100 ezer lej a maximális kiróható büntetés, ami az igazán nagy vállalatokat nem feltétlen rettenti el. A május végén érvénybe lépő GDPR alapján viszont már 20 millió eurós büntetést is meghatározhatnak, vagy piaci szereplők esetén a büntetés mértéke az előző éves globális pénzügyi összforgalom 4%-át is elérheti. Erre azért is volt szükség, mert az olyan nagy globális szereplőket is el kell ijeszteni a visszaélésektől, mint a Facebook, a Google vagy az Alibaba.
A Transtelex egy egyedülálló kísérlet
Az oldal mögött nem állnak milliárdos tulajdonosok, politikai szereplők, fenntartói maguk az olvasók. Csak így lehet Erdélyben cenzúra nélkül, szabadon és félelmek nélkül újságot írni. Kérjük, legyél te is a támogatónk!
Támogató leszek!