Adatvédelmi kitekintő

Napjainkban a személyes adatok forgalma (begyűjtése, kezelése, továbbítása) globális szinten igencsak megnőtt. Az ezeket nyilvántartó cégek vagy kormányzati szervek már nemcsak iratszekrényekben vagy CD-ken tárolják a rólunk szóló információkat, hanem a kibertérben is. Könnyen belátható, hogy a világot átszövő digitális gazdaság, a pénzügyek és az elektronikus ügyintézés informatikai hálózatok és online adatforgalom nélkül nem működhetnének. Itt viszont nagyobb a veszélye annak, hogy ellopják az adatokat, és illetéktelenek férnek hozzájuk haszonszerzési céllal.

Ahogyan a jogaszvilag.hu egyik tavalyi cikkében találóan megfogalmazzák: „...nemzetközi szinten elfogadottá vált, hogy az adat lesz a 21. század olaja és a következő évtizedekben annak birtoklásáért fog folyni a harc.” (10. forrás) Nem meglepő tehát, hogy az egyes országok kormányai törvényekkel igyekeznek megteremteni a jogszerű adatkezelés kereteit és biztosítani a megfelelő adatvédelmet. Emellett az informatikai rendszerek megfelelő állapotáért és védelméért felelős IT biztonság ma már kiemelten fontos területté vált.

Személyes adat

A személyes adat fogalma a következőképpen írható le: „bármely, a természetes személlyel kapcsolatba hozható adat és az adatból levonható, az érintettre vonatkozó következtetés. Különösen név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális és szociális azonosságára vonatkozó információ.” (Definíció innen, 8. forrás). 

Léteznek továbbá szenzitív személyes adatok, amelyek különleges védelmet élveznek. Ilyenek például a faji, etnikai származásra, vagy a vallási meggyőződésre vonatkozó információk. De ugyanígy kiemelt az egészségügyi, genetikai, biometrikus adatok köre is. Az arcképünk vagy ujjlenyomatunk például különösen védendő.

EU-s és hazai szabályozás (GDPR, Infotv., e-Privacy)

A sokat emlegetett GDPR az EU általános adatvédelmi rendelete, amelyet 2018. május 25-től kell alkalmazni. A General Data Protection Regulation angol elnevezésből képzett mozaikszó az Európai Parlament és a Tanács 2016/679. rendeletét takarja, amely a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szól. Az új szabályozás tisztességes és átlátható adatkezelést kíván biztosítani unió szerte, különösen az online tevékenységek esetében. Már az Európai Unió Alapjogi Chartája kimondja, hogy személyes adataink védelme alapvető jog, melyet a GDPR is megerősít. A rendelet az adatkezelőkre és az adatfeldolgozókra egyaránt kötelezettségeket ró. A személyi hatály kiterjed mindazon vállalkozásokra, amelyeknek a székhelye az EU-ban van, illetve amelyek az EU területén értékesítenek árut vagy szolgáltatást. 

Fontos kitétel, hogy személyes adatok kezelése csak

• közérdekből elvégzendő feladat végrehajtása érdekében,
• jogi kötelezettség teljesítése érdekében,
• az érintett létfontosságú érdekének védelmében,
• az érintettel szembeni szerződéses kötelezettség teljesítése érdekében, 
• a vállalkozás jogos érdekében, 
• vagy az érintett személy beleegyezésével történhet.

A hozzájárulás visszavonását persze lehetővé kell tenni. A természetes személyek tájékoztatást kérhetnek személyes adataik kezeléséről, illetve kérhetik adataik helyesbítését, bizonyos esetekben azok törlését is. A vállalkozások számára kötelező az adatvédelmi szabályzat elkészítése, és meghatározott esetekben adatvédelmi tisztviselő kijelölése is. Ilyen eset például, ha nagy számban kezelnek bűncselekményekre vonatkozó információt.

A GDPR természetesen Magyarországon is mérvadó. Emellett vonatkozó hazai jogszabályunk az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tv. (röviden Infotv.). Az adatvédelmi incidenseket a vállalkozásoknak mielőbb, de legkésőbb 3 napon belül be kell jelenteniük a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felé. Kivéve, ha azok nem sértik az egyének jogait. Adatvédelmi incidens akkor következik be, ha az adatok jogosulatlan felek birtokába jutnak, illetve átmenetileg elérhetetlenné válnak vagy módosulnak.

Az EU adatvédelmi reformjának része az e-Privacy is, azaz az elektronikus hírközlési adatvédelmi rendelet. Ez a jogszabály még nem lépett hatályba, az Európai Parlament tervezet formájában dolgozik rajta. A rendelet egységes szabályozást fog megvalósítani az elektronikus hírközlési szolgáltatások és az elektronikus kommunikáció területén. Górcső alá kerül mindenféle tartalom: szöveg, kép, hang, videó, de újítás várható a cookie szabályozás és az elektronikus direktmarketing kommunikáció esetében is. A változások várhatóan olyan szolgáltatásokra is kiterjednek majd, mint a Skype, a WhatsApp vagy a Facebook Messenger.

GDPR − betartják vagy sem?

Ha az adatkezelők nem tartják be a GDPR rendelkezéseit, akkor akár éves árbevételük 4%-áig, illetve 20 millió euróig is büntethetőek. A jelenlegi uniós gyakorlatot Zala Mihály, az EY Magyarország információbiztonsági vezetője a következőképpen foglalta össze: „A számokból egyértelműen látszik, hogy véget ért a türelmi időszak. Míg 2018-ban mindössze 151 millió forint bírságot szabtak ki az európai adatvédelmi hatóságok, a tavalyi évben már a 130 milliárd forintot is meghaladta ez az összeg.” (Idézet innen, 6. forrás) Hazánk egyébként azok közé az országok közé tartozik, ahol gyakran fellépnek a szabálytalanságok ellen, ahogy például Spanyolország, Románia, Németország vagy Bulgária is teszi. Másutt viszont kevesebbszer, ahogy azt Írország, Észtország vagy Horvátország példája is mutatja. 

A Hamburgi Adatvédelmi Hatóság ez év októberében kelt határozata alapján a H&M ruházati társaságnak 35 millió eurót kellett fizetnie. A szankcióra az szolgáltatott okot, hogy a cég jogellenesen gyűjtött adatokat a munkavállalóiról. A kollégák magánéletére, családi életére, vallási meggyőződésére vonatkozó információkról adatbázist is vezettek, amely egy konfigurációs hiba miatt elérhetővé vált vállalaton belül. A bírságok tekintetében rekordernek számít még a Google, a British Airways és a Marriott International nevű szállodalánc is. 

Sok adat áll rendelkezésre a magyarországi helyzet elemzésére is. Az ado.hu 2020. februári cikke alapján a NAIH a hazánkban működő cégeket addig összesen több mint 140 millió forinttal súlytotta a GDPR megsértése miatt. A hatóság legtöbbször a következő vétségeket állapította meg: jogalap nélküli adatkezelés és az előzetes tájékoztatás hiánya vagy hiányossága. A kisebbek mellett nagyobb összegű bírságok is születtek. Tavaly nyáron a Sziget Zrt.-t büntették 30 millió forintra, mert a nagyobb események alkalmával nem volt megfelelő a beléptetéssel kapcsolatos adatkezelése. A hatóság több évre visszamenően ellenőrizte a cégnél szokásos gyakorlatot. Idén júniusban hozták nyilvánosságra a hírt, hogy a DIGI 100 milliós adatvédelmi bírságot kapott, mert a nem megfelelő titkosítás miatt honlapján keresztül 2 ügyféladatbázisa is hozzáférhetővé vált. A hibát egy etikus hacker jelezte az adatkezelőnek, aki jelentette az adatvédelmi incidenst.  

Nagy-Britannia és az adatvédelem

Köztudomású, hogy a Brexit az Európai unióból való brit kilépést jelenti, mely 2020. január 31-gyel megvalósult. A kilépési megállapodás rendelkezett arról is, hogy az átmeneti időszak (2020. február 01. − 2020. december 31.) alatt a korábbiakhoz hasonlóan továbbra is alkalmazzák a GDPR-t az Egyesült Királyságban. De mi történik utána? Ha később a britek lazítanak a jelenlegi, szigorú szabályozáson, akkor uniós polgárok személyes adatai is veszélybe kerülhetnek. Ezeket könnyebben lehet majd továbbítani unión kívüli országokba. A szigetország egyébként tervezi, hogy a jövőben a GDPR-tól részben eltérő szabályozást vezet be, mely változást hozhat a kiszabható pénzbírságok összegében is. 

Privacy policy világviszonylatban

Az EU tagállamok tekintetében 2018 óta egységes adatvédelmi szabályozás valósul meg a GDPR bevezetésével. A világ más pontjain azonban különböző a személyes adatok védelmének szintje. A multinacionális vállalatok számára ez a heterogén jogi környezet nehezíti a működést, valamint nagy rugalmasságot és odafigyelést kíván. A Forrester 54 ország 2017-es privacy policy-ját (adatvédelmi szabályozását) osztályozta és azt találta, hogy a legszigorúbb jogi védelem az európai országokban tapasztalható. Velük szemben pedig ott van például Kína, Thaiföld vagy Paraguay, ahol igen gyengének bizonyult a szabályozás. Vannak olyan helyek, ahol szigorítottak a biztonságosabb adatvédelem érdekében, mint mondjuk Japánban, Nigériában vagy Argentínában. 

Mindezzel szembeállítható a világ több országában észlelhető azon jelenség, hogy az állam egyre inkább ellenőrizheti, megfigyelheti állampolgárait. Indiában például a CMS (= Central Monitoring System; állampolgár-azonosító program és központi figyelőrendszer) segítségével követhető az egyes személyek internetes tevékenysége, de a telefonbeszélgetések lehallgatása is lehetséges. Kínában pedig 2020-tól mindenki számára kötelező a szociális kreditrendszer. Ennek alapja a teljes megfigyelés, mely kiterjed még a vásárlási szokásokra, számlabefizetésekre is. A megvalósítás alapját egy kamerarendszer adja, mely arc- és hangfelismerő funkcióval is rendelkezik. 

Szót kell még ejtenünk az EU−USA Adatvédelmi Pajzsról is. A Privacy Shield egy nemrégiben megszüntetett keretrendszer, melynek feladata az EU-ból az USA-ba kereskedelmi célból továbbított személyes adatok védelme volt. A megállapodás 2016. augusztus 01-jén lépett életbe és kb. 5000 amerikai vállalkozás vállalta, hogy meg fog felelni az adatvédelmi követelményeknek. Az Európai Unió Bírósága ez év júliusában azonban érvénytelenítette a Privacy Shield határozatot, mivel úgy találta, hogy az nem biztosítja az elvárt védelmi szintet, és az uniós polgárok személyes adatai nincsenek biztonságban a tengerentúlon.

Az amerikai adatkezelés semmiképpen sem feleltethető meg a GDPR-nak. Az USA szövetségi hatóságai nemzetvédelmi érdekekre hivatkozva vagy bűnüldözési céllal bármely személyes adathoz hozzáférhetnek. A jogorvoslat biztosítására létrehozott Adatvédelmi Pajzs Ombudsmanja intézmény sem bizonyult hatékonynak. A Bíróság vizsgálata Maximilian Schrems osztrák adatvédelmi aktivista keresete nyomán indult meg. Ő azt szerette volna elérni, hogy a Facebook ne továbbíthassa az Amerikai Egyesült Államokba az uniós polgárok személyes adatait, hogy az ottani szerverein tárolja azokat. Ezt pedig pontosan azért tette, mert nem találta megbízhatónak a helyi adatkezelést.

A Bíróság egyébként szintén Schrems keresete nyomán érvénytelenítette a Safe Harbor egyezményt 2015-ben. Az öntanúsításon alapuló keretrendszer a Privacy Shield elődje volt, de ez sem biztosított valódi védelmet. Jelenleg olyan új megoldáson dolgoznak, amely az adatvédelmi pajzs helyébe lépve végre megfelelően be tudná tölteni funkcióját. 

Felhasznált források

• A GDPR után érkezik az e-Privacy rendelet. www2.deloitte.com, 2019. február 28.
• A Hamburgi Adatvédelmi Hatóság határozata. datenschutz-hamburg.de, 2020. okt. 01. 
• Az általános adatvédelmi rendelet szerinti adatvédelmi szabályok. europa.eu, 2020. szeptember 14.
• Bodnár Zsolt: Először robbant a GDPR-bomba: a franciák egyből 50 millió euróra büntették a Google-t. qubit.hu, 2019. január 22.
• Érvénytelenítette az Európai Bíróság az EU-USA adatvédelmi pajzsot. bruxinfo.hu, 2020. július 18.
• EY: Egyre több a GDPR bírság. ado.hu, 2020. február 04.
• Gálffy Csaba: Elkaszálta a Safe Harbort a bíróság. hwsw.hu, 2015. október 06.
• GDPR − amit az Általános Adatvédelmi Rendeletről tudni érdemes. drsziklai.hu
• Guba Zoltán, dr.: Az Adatvédelmi Pajzs megsemmisítése és következményei. jogaszvilag.hu, 2020. augusztus 05.
• Guba Zoltán, dr.: Rés az Adatvédelmi Pajzson. jogaszvilag.hu, 2019. november 26.
• Halász Bálint: E-Privacy Rendelet tervezet 

  − 

  folytatódnak a tárgyalások a Tanácsban. twobirdsideas.hu, 2019. szeptember 30.
• Koi Tamás: Rekord mértékű adatvédelmi bírságot kapott a DIGI. hwsw.hu, 2020. jún. 15.
• Majláth Ronald: 2020 a nagy megfigyelés éve. hang.hu, 2020. február 13.
• Miért büntet leggyakrabban az Adatvédelmi Hivatal. adatjog.hu
• Móray Gábor: Adatvédelem a nagyvilágban. computerworld.hu, 2018. január 31.
• NAIH határozat. naih.hu, 2020. május 18.
• poklaszlo blogger: 30 millió forintos adatvédelmi bírsággal indul a fesztiválszezon. gdpr.blog.hu, 2019. június 14.
• poklaszlo blogger: Egy 100 milliós adatvédelmi bírság tanulságai. gdpr.blog.hu, 2020. július 03.
• poklaszlo blogger: Gigabírság Hamburgban munkavállalók magánéletének ellenőrzése miatt. gdpr.blog.hu, 2020. október 02.

Jogszabályok

• GDPR (az Európai Parlament és a Tanács 2016/679. rendelete)
• Infotv. (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tv.)

A képek forrásai 

• 1. kép innen
• 2. kép innen
• 3. kép innen
• 4. kép innen: Maximilian Schrems osztrák ügyvéd, adatvédelmi aktivista egy 2018-as, bécsi konferencián.