A cégek nem foglalkoznak a GDPR-ral az első pánik után, aki igen, az sem jól. Nem lenne elég csak nyers adatokat visszaküldeni. Aki pánikból emailcímeket törölt, valószínűleg feleslegesen tette. A doménügyek pedig nehezebbek lettek az EU-s rendelet értelmezése miatt.
Az Európai Unió általános adatvédelmi rendelete 2018. május 25-e óta hatályos, minden tagországnak, így Magyarországnak is alkalmaznia kell. Fő célja az adatok védelme, azaz, hogy azok a cégek, akik személyes adatokat kezelnek, vagy azokkal kereskednek, ezt biztonságosan és átláthatóan tegyék. Utóbbi az, ahol az átlagemberek is belépnek a képbe: én mint EU-s állampolgár kikérhetem bármilyen cégtől, hogy kezel-e rólam adatokat és milyeneket (és még jóval több mindent is, ezekről kicsit később).
És ezt meg is tettem, erről előző cikkemben részletesen: a Revealu nevű, kifejezetten adatigénylésre specializálódott magyar startup alkalmazásával több szolgáltatónak – csupa olyannak, amelyekről biztosan tudom, hogy kezelnek adatot rólam – küldtem igénylést. Nem túl nagy meglepetés, de azért zavaró, hogy alig kaptam választ.
Kikértem a GDPR-ral az adataim, megkaptam, most akkor mi van?
Most viszont megnéztem azt is, mi a helyzet azokkal az adatokkal, amiket egyáltalán visszakaptam. Hat céget kerestem meg, ebből ketten válaszoltak (és a Telenor önhibáján kívül nem tudott, a Revealu rendszere rossz helyre küldte az adatigénylést): az Index és a Díjnet. Bár nem vagyok jogász, de az azért feltűnt, hogy ez így kevés lesz: mindkét szolgáltatótól gyakorlatilag csupa olyan dolgot kaptam vissza, amit saját magam is megnézhetek a felületeiken, például a felhasználónevem, a különböző beceneveim, a Díjnetnél hogy melyik szolgáltatónál regisztráltam, és mindkettőnél csupa olyan adat, amit a regisztrációkor kötelezően megadtam.
Az a helyzet, hogy ez így még semmi.
És ezt már nem én mondom, hanem dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda GDPR-szakértője.
A nekem visszaküldött tájékoztatóban semmi más nem szerepel, mint az, hogy milyen adatokat kezelnek rólam. A GDPR viszont pontosan szabályozza, mit kellene nekem megmondani, ha – jogi nyelven fogalmazva – a hozzáférési jogomat gyakorolom. Kilenc pontból csak az egyik, hogy milyen adatokat kezelnek rólam, ezt sikerült teljesíteni. A többit nem. Meg kellett volna írni nekem, hogy:
- milyen célra kezelik ezeket az adatokat (kategóriánként);
- ha továbbítják vagy közlik ezeket az adatokat, akkor kinek,
- ha külföldre továbbítják, akkor pedig azt is, hogy milyen garanciák vannak az adott külföldi országban a biztonságos adatkezelésre vonatkozóan;
- mennyei ideig tárolják ezeket az adatokat (szintén adatkezelési célonként külön-külön);
- külön tájékoztató rész kellett volna arról, milyen jogaim vannak: adatkezelés korlátozása, törlés, helyesbítés, tiltakozási jog;
- panaszbenyújtási jogról is tájékoztatást kellett volna kapnom;
- illetve, ha olyan adatok is vannak rólam, amiket más adatbázisokból vagy forrásból gyűjtöttek, ezek honnan vannak;
- meg kellett volna mondani, hogy alkalmaznak-e bármilyen automatizált döntéshozatalt és azzal járó profilalkotást (a célzott reklámokkal operáló oldalak mind így működnek, vagy például késedelmes fizetés esetén automatikus szerződés megszüntetés a számítógép által), és ha igen, erről külön kell részletes tájékoztatást adni.
Például, ha valaki Facebook pixeleket használ (ez egy reklámos nyomkövető) arra, hogy személyre szabott reklámokat jelenítsen meg, amelyhez különböző csoportokba sorol (szegmentál), arról is tájékoztatást kellene kapnom.
„Személyes adatnak ugyanis nemcsak az minősül, amit gyűjtenek, hanem az abból levont következtetés is”
– mondja Horváth Katalin.
Nemcsak az igénylésekkel van baj
A GDPR hozott néhány furcsa gyakorlatot is Magyarországra, leginkább félreértések matt: az egyik ilyen, hogy nagyon sok cég törölte emailes adatbázisát, mert féltek a büntetéstől – ha nem tudják igazolni, hogy a felhasználóktól engedélyt kértek az adatok kezelésére, akkor jogellenesen kezelik azokat. A GDPR preambuluma külön foglalkozik a rendelet előtti helyzettel, amely alapján a korábbi adatbázisokat nem kell törölni akkor, ha csupán azért nem felel meg a rendeletnek, mert az új tájékoztatási kötelezettségeket a korábbi jogszabály alapján nem tudta teljesíteni az adatkezelő. Ha viszont a hiba abban volt, hogy nem volt megfelelő jogalapja az adatkezelésre, így például, ha nem kért hozzájárulást edm levelek (ezek a marketinglevelek, például egy cég új szolgáltatásairól) küldéséhez, azaz spamelt, az adatbázist törölni kell.
A magyar szabályozás sok ponton szigorúbb volt és most is szigorúbb, mint a GDPR, az edm küldéshez például itthon már korábban is engedély kellett. Így aki most törölte az adatbázisát, az vagy feleslegesen tette, mert jogilag rendben volt, vagy eddig is jogellenesen kezelt adatokat.
Apró furcsaság még, de sokakat érinthet, hogy a magyar doménadatbázist kezelő testület úgy döntött, mostantól nem írja ki az doméntulajdonos nevét, ha rájuk keresünk, csak annyit, hogy „természetes személy”. Ezt megteheti, mivel nem állami szerv, nem hatóság, ez a saját döntése volt – de azért sokak életét megkeserítheti, ha mondjuk védjegybitorlás vagy szerzői jogsértés miatt perelnének, és nincs meg (könnyen) kit, főleg, ha az amúgy kötelező impresszum sincs a honlapon.
Összességében sem túl jó a helyzet az egész témában: az informatikai rendszerekkel, rendszerek GDPR-ra való felkészítésével foglalkozó TMSI Kft. a bevezetés előtt nem sokkal felmérte, mennyire készültek fel a cégek. Az eredmények magukért beszélnek: a kötelező adatkezelési nyilatkozat a szervezetek honlapjának egyharmadánál nincs kint, amik ráadásul zömmel állami tulajdonú intézmények és cégek. Tíz százalék közülük semmilyen megkeresésre sem reagált. Még rosszabb, hogy az adatot kérők hitelesítését – ami azért van, hogy ne kerülhessen illetéktelenek kezébe személyes adat a kérés után – csak 14,3 százalék végezte el, és 83 százalék nem jó válaszokat adott az adatigénylésekre.
