Mától érvényesek az új adatvédelmi szabályok – De mi a fene az a GDPR?
Néhány hete megcsördült a telefonom. Láttam, hogy ismeretlen számról keresnek, mégis felvettem. Egy hölgy jelentkezett, és rögtön a dolgok közepébe vágott: kivételes ajánlatom van az ön számára, ha most megrendeli a terméküket akár harminc százalék kedvezményt is kaphat – hadarta. Ekkor szakítottam félbe. Rákérdeztem, hogy honnan van meg neki a telefonszámom. Egy adatbázisból – felelte. Miféle adatbázisból? – kérdeztem vissza. Azt ő nem tudhatja, – válaszolta – a főnökétől kapta a listát. Amikor kértem, hogy beszélhessek a főnökével, gyorsan rövidre zárta a beszélgetést, és sietve elköszönt.
Azóta sem tudom, hogy kik húznak hasznot abból a listából, amelyiken ki tudja hány telefonszám között az enyém is megtalálható. Az efféle illegális számgyűjteményekkel ezentúl viszont csak a legelvetemültebb cégek próbálnak majd visszaélni. Ma kezdik el ugyanis alkalmazni az új uniós adatvédelmi szabályzatot, a GDPR-t (General Data Protection Regulation), ami amellett, hogy szigorúbb a korábbi előírásoknál, hatalmas bírságokkal sújtja a személyes adatokat nem megfelelően kezelő társaságokat. Eddig a magyar jogszabályok szerint legfeljebb 20 millió forintos bírságot lehetett kiróni az adatvédelmi szabályokat megsértő cégekre. Az új rendelet ezt az összeget 6,2 milliárd forintra emeli, de nagyobb vállalatok esetében akár magasabb is lehet a bírság.
A GDPR célja, hogy egységes adatvédelmi szabályokat vezessen be az EU tagállamaiban, és lehetővé tegye, hogy a felhasználók alaposabb kontrollt gyakoroljanak az adataik fölött. Az adatainkat ezentúl csak akkor használhatják a cégek, ha igazolni tudják, hogy joguk van hozzá. Ezt a jogot pedig az esetek többségében csak úgy szerezhetik meg, ha engedélyt kérnek tőlünk. Ezért tömik tele mostanában email fiókjainkat az adataink felhasználásának jóváhagyásáért esedező cégek levelei. És ezért kell újra kipipálnunk az adatvédelmi szabályzatokat a honlapokon.
Az efféle emailek bosszantóak tudnak lenni, főleg, ha naponta tucatnyi érkezik belőlük, de megéri átfutni őket. Érdemes csak olyan honlapoknak, online áruházaknak vagy sajtótermékeknek megadni a jogot adataink használatához, amelyek tényleg releváns üzenetekkel tudják megkönnyíteni az életünket. Aki szeretne értesítést kapni arról, hogy a kedvenc áruháza mikor árazza le az ágyneműket, nyugodtan hozzájárulhat a hírlevél küldéséhez. Azon viszont érdemes elgondolkozni, hogy egy mobiltelefonos játékkal meg szeretnénk-e osztani azt az információt, hogy éppen hol tartózkodunk.
Adatok millióit lophatták el FacebookrólA személyes adataink jóval szerteágazóbbak lehetnek, mint azt gondolnánk. Mindenki megtapasztalhatja, hogy a Google vagy a Facebook mennyi mindent tud rólunk. Ha rákeresünk egy vasalóra egy online áruházban, a megnyitott oldalainkon hetekig visszaköszönnek a háztartási gépek hirdetései. A GDPR életbe lépése után ezek a célzott hirdetések csak akkor érhetnek el minket, ha hozzájárulunk ahhoz, hogy a Google marketing célokra használja a keresési előzményeinket.
De a nevünkön, email címünkön és a telefonszámunkon kívül rengeteg más információ is keringhet rólunk a digitális térben. Az egészségügyi adataink, a keresési előzményeink, a vásárlásaink nyoma, a jelszavaink mind olyan érzékeny információk, melyek illetéktelen kezekbe kerülve komoly visszaélésekre adhatnak lehetőséget.
Épp ezért az adatlopások kezelése is megváltozik. Eddig az ilyen esetekről nem mindig tájékoztatták a cégek az érintetteket. A magyar szabályok csak néhány vállalatot, például a pénzügyi szektor szereplőit kötelezték arra, hogy ilyen esetekben felvegyék a kapcsolatot az ügyfeleikkel. Mostantól viszont minden cég köteles lesz jelezni az érintetteknek, ha az érzékeny adataik illetéktelen kezekbe kerülnek.
A szabályok megalkotói a gyerekek sebezhetőségére különösen nagy hangsúlyt fektettek. A 16 évesnél fiatalabbak adatait akkor sem használhatják fel a cégek, ha kipipáltatják velük az adatkezelési kérdőív megfelelő rublikáját. A szüleiknek kell nyilatkozniuk a nevükben. Persze ez esetben nyitva marad a kérdés: hogyan bizonyosodhat meg róla a szolgáltató, hogy nem egy kiskorú nyilatkozik a szülő nevében.
A GDPR tágan értelmezi a személyes adatok fogalmát, ezért a cégeknek sokkal körültekintőbben kell eljárniuk mint ezelőtt. A rendelet úgy fogalmaz, hogy az tekinthető személyes adatnak, ami alapján egy ember azonosítható. Kézenfekvő tehát, hogy a név vagy a telefonszám beletartozik ebbe a kategóriába, de a rendelet az efféle egyértelmű példákon túl olyan információkat is személyes adatnak tekint, mint például a testi jellemzők, a gazdasági vagy szociális tényezők. Az olyan érzékeny területek mint a politikai nézetek, a szexuális irányultság a vallási és világnézeti meggyőződések pedig különösen érzékeny adatnak minősülnek.
A szabályzatukat átdolgozó vállalkozások számára épp ez a tág értelmezés okoz gondot. Nem teljesen egyértelmű ugyanis, hogy mi alapján lehet beazonosítani egy személyt. Így nem marad más számukra, mint hogy a bírság elkerülése érdekében a lehető legszigorúbban értelmezik a szabályokat.
Ráadásul van néhány olyan változás is, ami a magánemberek számára hasznos lehet, de a cégektől jelentős és költséges átalakításokat követelhet meg. Az egyik ilyen az adathordozhatósághoz való jog. Ez teszi lehetővé, hogy az ügyfelek visszaszerezhessék és továbbíthassák a korábban átadott adataikat, így azok akadály nélkül kerülhetnek át a régi szolgáltatónktól az újhoz. A másik nehezen teljesíthető elvárás az elfeledtetéshez való jog. Ez annyit tesz, hogy kérésünkre minden adatunkat törölni kell az adatbázisokból.
A GDPR egyik alapelve, hogy a személyes adatokat csak egy adott célra, adott ideig lehet használni. Amikor a cél megszűnik, a kezelési határidő letelik, vagy az ügyfél visszavonja a hozzájárulását, akkor az adatokat törölni kell. Csakhogy ez koránt sem olyan egyszerű, mint az első pillantásra tűnik. Könnyen előfordulhat, hogy a cég időközben mással is megosztotta az ügyfele adatait. Ilyen esetben sorra kell vennie, hogy kik fértek még hozzá az információkhoz, és mindannyiuktól kérnie kell, hogy töröljék az adatokat. Ehhez természetesen nagyon alapos dokumentáció, és egy egészen új eljárásrend szükséges. Többek között az efféle többletfeladatok miatt érezték úgy sokan a cégeknél, hogy ez az egész GDPR-mizéria csak púp a hátukon.
Nekünk, ügyfeleknek azonban hasznunkra válnak az új szabályok. A saját butaságainktól viszont a GDPR sem tud megvédeni bennünket. Ezért fontos, hogy leszokjunk végre arról, hogy a pénztárcánkban, a bankkártyánk mellet tartjuk a pin-kódunkat, olvasatlanul ikszelünk le minden elénk tolt szerződést, és olyan jelszavakat használunk, amelyek egy 10 éves hekkernek sem okoznak fejtörést. Az adataink biztonságáért elsősorban mi vagyunk felelősek, a GDPR ehhez nyújt törvényi keretet.
