közzétéve: 2019-01-31 18:15
Már nyolc hónapja, hogy hatályba lépett a GDPR – General Data Protection Regulation -vagyis a személyes adatok védelméről és az ilyen adatok áramlásáról szóló rendelet, amely mindenkit érint, azonban leginkább a jogi személyeknek érdemes odafigyelni. Viszont nem olyan könnyű elmagyarázni, hogy mi is ez pontosan és hogyan felelhetünk meg vállalkozóként, hogyan vezetnek minket félre, illetve mennyit ér egyetlen ember személyes adata. A január 28.-án a K+ Közösségi térben rendezett Adatvédelmi Minikonferencián hasznos információkat és tippeket is hallhattunk szakemberektől.
A minikonferencia első előadója W. Szabó Péter (UX Expert, Director of UX, a farZenith alapítója) volt, aki a design sötét oldaláról beszélt, vagyis hogy mit jelent a dark pattern. Ez arra vonatkozik, hogyan szerzik meg a személyes adatokat bizonyos internetes oldalak vagy applikációk anélkül, hogy az ember észrevenné. Ilyen eset lehet az, amikor adatokért cserébe ajánl bizonyos információkat az adott oldal, ami lehet akár árajánlat egy termékhez. Ott van még az az eset is, amikor egy oldal öszecsomagolva használja a cookie-kat és kényszerít, hogy mind fogadjuk el, holott a mi döntésünk kellene legyen, milyen mennyiségű személyes adatot adunk ki. Olyan is előfordulhat, hogy az adott alkalmazás felismeri használóját eddigi adatai alapján. Legérdekesebb mégis, mikor megpróbálnak minket félrevezetni, erre pedig a legjobb példa az adatvédelmi szabályzat. Ugyanis a kisbetűs részeket nem minden ember olvassa, mégis minden ember meggondolás nélkül elfogadja, igazából nincs is más választása. Érdemes ezekre azonban odafigyelni, mert sokszor vannak olyan rejtett információval vagy követelménnyel ellátva, amelyek számunkra valamilyen veszteséggel vagy hátránnyal járnak.
Fontos azt is megemlíteni, hogy azoknak az alkalmazásoknak, amelyekkel látszólag úgy kommunikálunk, mint egy másik emberrel, könnyebben adunk ki személyes adatokat. Ilyenek például Siri vagy Alexa, akik intelligens személyi asszisztensként segítik a felhasználókat.
Az est következő előadója, Székely Barnabás (Certified Privacy Management Professional, Co-Founder: Cluj Privacy Hub, Knowledgenet Chapter Chair :International Association of Privacy Professionals), aki a GDPR-kompatibilis honlapokról és applikációkról beszélt. Témái közt ő is érintette a cookie-kat, azaz a sütiket, amiket egy honlap megnyitásakor észlelünk. Vannak azonban olyanok is, amik elengedhetetlenek az oldal betöltéséhez, vagyis ha nem fogadjuk el őket, az oldal részlegesen vagy egyáltalán nem töltődik be. Tehát ha extra felhasználói élményben szeretnénk részesülni, személyes adatainkkal kell fizetnünk érte, ami végülis nem egy olcsó dolog. Egyetlen ember személyes adatának pénzbeli értéke függ attól, hogy ki az illető személy, illetve milyen helyzetben és ki akarja azt felhasználni. Mégis, ha egy körülbelüli összeget kéne mondani, olyan 90 amerikai dollár körül lenne.
Az előadásokat egy kerekasztal-beszélgetés követte Boros Anita (LL.M., Certified Data Protection Officer, Master’s degree in European and International Business Law, PhD Student: Eötvös Lóránd University) moderátorral, illetve a meghívottakkal: Asztalos Botonddal (Compliance Officer & LEAN Coordinator: MOL Romania), Mike Nimróddal (Data Protection Officer & Legal Adviser :NTT Data Romania, PhD Student: Corvinus University) és Székely Barnabással. A szakemberek megosztották személyes tapasztalataikat, illetve hogyan sikerült eleget tenniük saját területükön a GDPR-nak. Elmondásuk szerint a GDPR már csak azért is hasznos, mert az adatvédelmi irányelvek egységesítve vannak az egész Európai Unióban, a rendelet a szabályozásbeli eltérések megszűnését hozta a tagállamokban: azonos szinten fogják kezelni az unió egész területén a magánszféra védelmét úgy, hogy minden fél érdekeit számításba veszik. Fokozottabb védelem alá esnek a kiskorúak személyi adatai is, ami megelőzheti az ebből profitáló applikációgyártók érvényesülését. Ugyanis bármi felkerül a felhőbe, elég csekély az esélye, hogy az eltűnjön, valamilyen nyoma biztosan marad.
A GDPR még mindig viszonylag új dolognak számít, a cégeknek sem volt és még mindig nem könnyű felkészülni rá. Elsősorban az adatfeltérképezésre van szükség, hogy milyen információkkal rendelkezünk, azok milyen úton kerülnek hozzánk, mik történnek az adott adatokkal, s azok hova kerülnek, kikhez jutnak el. Ezt követően kísérletezni kell, új intézkedéseket bevezetni, megvizsgálni az eltéréseket, s ha a kísérlet sikeres, gyakorlatba lehet ültetni az új módozatot. A GDPR betartásához szabályszerűen kell haladnunk, ugyanis a legapróbb hibánk is többezer lejes büntetésekkel járhat.
Nyolc hónap után a tanulság az, hogy folyamatosan kell foglalkozni a témával, ami az adatvédelmi biztosok feladatai közt is szerepel. A kerekasztalon többször is elhangzott, hogy a nevelés, oktatás nagyon fontos lenne: az adatvédelmi biztosoknak „jó pedagógusoknak” is érdemes lenniük: ne csak büntessenek, hanem segítsék a cégeket a GDPR alkalmazásában.
A jövőt tekintve a cégek számára az informálódás és a fejlődés a legfontosabb támpontok. Romániában például létezett egy olyan szokás, miszerint egy jogi személynek vagy vállalkozónak a számlán kibocsátáskor az ügyfele személyi számát is fel kellett tüntetnie, tehát személyes adatokhoz jutott. Annak ellenére, hogy ezt a törvényben egyébként nem előírt szokást hivatalosan is szabályellenesnek nyilvánították, az emberek „biztos, ami biztos” alapon folytatták az említett módszert, ami azt eredményezte, hogy a számlát kiállító fél olyan adatok birtokában volt, amire nem volt jogosultsága.
A beszélgetésbe a résztvevők is belekapcsolódtak, tanácsot kértek saját honlapjukhoz, cégükhöz. Többek közt szóba került, hogy a képek is személyes adatnak számíthatnak s ha azok nyilvánosságra kerülnek, szerződéstől függ, hogy ki vállal felelősséget értük.Például egy fesztivál esetében a résztvevők általában már jegyvásárláskor beleegyeznek abba, hogy kép készül róluk, amelyek a fesztivál felületein megjelennek. Ezért ha egy fotós a fesztiválnak dolgozik szerződéssel, akkor nem ő felelős a képek esetleges más célú felhasználásáért, hanem a fesztivál.
A GDPR egyre nagyobb szerepet kap a vállalkozók és a cégek életében. Nekünk csak annyi a dolgunk, hogy törekedjünk a fejlődésre, és tartsuk szem előtt: „az internet nem felejt”.
Szerző: Petru Barbara
Képek: Serar Szabolcs/Cluj Privacy Hub Facebook oldala
