General Data Protection Regulation, röviden GDPR, magyarul Általános Adatvédelmi Rendelet egy olyan rendelet, amely az Európai Unió állampolgárainak adatai védelmét felelős biztosítani. A rendelet 2016. május 24-én lépett hatályba és kétéves türelmi időszakot biztosított az alkalmazkodásra. Sajnos sok cég és weboldal a kétéves türelmi idő lejártával sem teljesíti a GDPR minden pontját.
Elkészítésekor és hatálybalépésekor a GDPR-rendelet szinte minden híroldalon vezető cikkek témája volt. Miután az első nagy büntetéssorozatok végetértek és sokan alkalmazkodtak az új szabályozáshoz, így egy időre eltűnt, mint téma és kikerült a köztudatból. Csakhogy a rendelet továbbra is érvényben van és látva, hogy az apró cégektől a legnagyobb óriásvállalatokig minden szinten vannak kihágások, egyre több és több büntetést osztanak ki, mégha ez nem is került ismét a figyelem központjába. Íme néhány eset a közelmúltból és pár érdekesség a témával kapcsolatban.
A GDPR hatást gyakorol a közösségi médiára
A Facebook és a működtető cége a Meta legalább annyira fontosnak tartja az adatbiztonságot mint az Európai Unió. Ennek érdekében a weboldal a Privacy Shield, magyarul: Adatvédelmi Pajzs, égisze alatt működik, de a Facebook korábban is szenvedett már adatszivárgástól és az adatvédelmi hiányosságok következtében rengeteg felhasználó adatait hacker-ek kaparintották meg. Pontosan ezen botrányok vezettek a cég névváltoztatásához is.
A Meta alapvetően egy amerikai cég. Ennek fényében nem meglepő, hogy az Atlanti-óceán túloldalán tárolja és dolgozza fel a felhasználók adatait. Ez azonban szembemegy a GDPR-ral, mely alapján az Európai Unió 2020 júniusában megtámadta a Privacy Shield-et és ezzel együtt a Facebook is érintett az ügyben.
Erre a válasz Mark Zuckerberg részéről egy veszélyes kijelentés volt miszerint a Meta cég kivonulhat az EU-ból. Persze erre kicsi esély van a valóságban. Az európai felhasználók elvesztése fájdalmas lenne mind a Facebook-nak, mind a Meta egészének, főleg akkor, amikor a felhasználók száma elenyészó számban növekszik csak a cég weboldalain. A valóságban inkább egy mindkét félnek megfelelő megállapodás fog születni.
Új adatvédelmi szabályok a Brexit következtében
2020. január 31-én kilépett az Európai Unióból az Egyesült Királyság, ezzel pedig kötelessé vált eleget tenni a GDPR harmadik országokra vonatkozó szabályainak. Természetesen a GDPR 2 éves türelmi időt hagy az átállásra melyet az Egyesült Királyságban bejegyzett cégek is magkaptak.
Ahhoz, hogy egy az Európai Unió szempontjából harmadik ország GDPR szabályozás alatt álló adatokat fogadjon és használjon az Európai Bizottságnak el kell fogadnia egy megfelelősségi nyilatkozatot. Ez abban az esetben történik meg, amennyiben az adott országban az érintett adatok megfelelő szintű védelemmel vannak kezelve, azaz legalább olyan szintű védelmet kapnak mint azt az EU-n belül is kapnák. Az említett határozat 4 évre szól, az Egyesült Királyság a 4 év letelte után szabadon módosíthat a szabályzatán és amenniben az ismét megfelel a GDPR követelményeinek ismét elfogadhatnak egy határozatot.
Kicsivel később mint a 2 év lejárta, egészen pontosan 2022. március 21-én lépett hatályba az új szabályozás. Ez nem csak az Európai Unió, de más országokkal szemben is megköveteli az Egyesült Királyság a kölcsönös adatvédelmet. Ezzel lényegében kibővítve az EU adatvédelmi határait.
A GDPR be nem tartása komoly büntetést von maga után. Az Egyseült Királyság adatvédelmi hatósága többször is fellépett már az adatvédelem be nem tartása miatt egy Clearview AI nevű vállalat ellen. A vállalat által működtetett szoftver egy képkereső szolgáltatást nyújt mely emberi arcokkal foglalkozik. A cég több ízben is helytelenül bánt a személyes adatokkal, hiszen nem adott tájékoztatást a tevékenységéről, nem biztosította az adatok törlését egy bizonyos idő elteltével, de még csak okot sem tudott felmutatni az információ gyűjtő tevékenységének igazolására. Az ügy végül büntetéssel végződött miután Olaszország is fellépett a cég tevékenysége ellen.
Mesterséges intelligencia használása miatt osztottak ki GDPR-büntetést
A mesterséges intelligencia felhasználását nem tiltja a GDPR, mégis egy cég 250 millió forintos büntetést kapott miatta. Ez egyike az első eseteknek amely a mesterséges intelligencia alkalmazása elleni büntetés.
A szoftvert az ügyfélszolgálati hívások elemzésére használták. Az adatvédelmi hatóság úgy ítélte meg, hogy a cég szükségtelen mértékben támaszkodott a hangelemző programra. A szóban forgó szoftver olyannyira fejlett, hogy figyelni tudja az ügyfél érzelmi állapotát, viselkedését, képes mérni, hogy az ügyfél mennyire érti meg a tájékoztatást, vagy éppen mennyire elégedetlen az ügyintézéskor és ezt akár valós időben is képes jelezni.
De a szoftver nem csak az ügyfelet értékeli. Az ügyintéző hibáit is képes felismerni. A hadarás vagy a nehéz megérthetőség, esetleges félretájékoztatást is képes észlelni.
Ez a mesterséges intelligencia nem csak kielemezte a hanganyagokat, de képes az emberi munkatársnak javaslatot tenni, mely felvételeket kellene visszahallgatnia. Tovább komplikálta az ügyet, hogy a szoftver működéséről nem megfelelően tájékoztatták az ügyfeleket, de egy megfelelő tájékoztatást tömör, emészthető formában nem egyszerű készíteni a szoftverhez.
Emellett a cég más problémái is felfedezésre kerültek a vizsgálat során. Például kiderült, hogy az ügyfeleknek nem biztosított a tiltakozásra és panasztevésre való jogaiknak megfelelő lehetőségek.
A pénzbírság mellett a szoftver használatát is betiltották ami megrengette a hasonló vállalkozásokat az unió területén, amelyek ezt vagy hasonló szoftvert alkalmaznak. A büntetést súlyosbította, hogy a szoftver használatát nem jelentették be az adatvédelmi hatóságnak. Az adatvédelmi hatóság kijelentette, hogy minden esetet külön kivizsgálnak így nem feltétlenül jelent ilyen súlyos büntetést a szoftver használata, ha a körülmények eltérőek.
Luxemburg megbírságolta az Amazont, Magyarország is közelít a top 10-hez
Hazánk is helyet kapott a GDPR-büntetések rekordjait tartó országok között. Ellentétben a a lista legtöbb résztvevőjével, hazánkban nem a kiszabott büntetés nagysága, hanem a büntetések gyakorisága jelent gondot.
Más országok hasonló helyzetben
A lista tetején Luxemburg díszeleg. Egy ország amely a tavalyi évben nem is szerepelt a listán, de csupán egy incidens az Amazonnal, elég is volt, hogy az összes kiszabott büntetések listáján az élre kerüljön. Mögötte az EU alapítók közül még jópáran felsorakoznak, mint Németország, Franciaország vagy Olaszország is szerepel a listában, de a második helyet is egy kissebb ország, Írország foglalja el.
Egyere több a büntetés
Ahogy telik az idő a GDPR-rendelet hatályba lépése óta egyre súlyosabb bírságok kerülnek kiszabásra és egyre gyakoribbak a kissebb büntetések is. Egyértelmű, hogy amíg a szabályzatot nem sikerül széles körben a köztudatba beépíteni, és természetessé tenni a neki való megfelelést addig tovább fognak záporozni a büntetések.
2021-ben hétszeresére nőttek a büntetések 2020-hoz képest. Ezek a bírságok képesek egyből a csődbe juttatni a kisebb cégeket így pont azok vannak a legnagyobb veszélyben akiknek a legnehezebb a szabályzat feltételeihez való alkalmazkodás az anyagi gondok miatt.
Mennyire is vagyunk közel?
Bár egyes híroldalak a top 10-re veszélyesnek sorolják Magyarországot, valójában hazánk egy 476 millió forintos (1,3 millió euró) összesítéssel jelenleg a 14.helyen áll Lengyelország mögött. Hazánk jelenleg nem tűnik valóban veszélyesnek a top 10-re, mivel a 10. helyen álló Alsó-Szászország kiszabott büntetései összesen 10,4 millió euró.
Nincsenek megjegyzések:
Megjegyzés küldése