Hé, te! Igen, te, aki ezt olvasod! Azt hiszed, hogy tudod mi a GDPR? Vagy talán azt, hogy tudsz mindent az adatvédelemről? Hát azért jöttem, hogy elmondjam, hogy valószínűleg közel sem tudsz eleget, és ez rossz neked. Úgyhogy gyere tölts velem egy kis időt és hátha valamennyire jobban megértjük a dolgokat!
Felemás Zokni
A GDPR egy rövidítés, aminek a jelentése General Data Protection Regulation és egy olyan törvénycsomag, amit az EU hozott annak érdekében, hogy az európai uniós állampolgárok adatait védje. Tudom, hogy ez milyen unalmasnak hangzik, és becsület szavamra nem lesz ilyen unalmas ez az egész cikk. A lényeg az, hogy a GDPR határozza meg, hogy a cégek mit csinálhatnak a te adataiddal, és mit nem.
Ez a téma régóta foglalkoztatott és már egy ideje füleltem minden információra, ami e körül forgott. Ezeket az információkat próbálom meg átadni ebben a cikkben neked, de annyit azért kikötnék, hogy én nem vagyok egy szakértő ebben a témában és amiket ide leírok, azok nem tekinthetőek jogi tanácsadásnak. Ez nem jelenti azt, hogy ez a cikk nem lesz tanulságos és szórakoztató. A cikk Felemás Zokniként van aláírva, ehhez igazítsd az elvárásaid!
Nem jogi szakértő
Ebben az egész témában 3 fő dologról beszélhetünk. Először is ott vagy te, akinek a személyes adatairól szól ez az egész. De mik a te személyes adataid? Milyen jogokkal rendelkezel felőlük? Vagy, hol érintenek ezek téged? A második játékos a cég, ami a te adataidat felhasználja, ami lehet, hogy ugyancsak te vagy, ha van egy céged. Erről is beszélnünk kell. Ha egy kis- vagy középvállalkozás vagy (KKV), mire kell odafigyelned? Miket csinálhatsz az online világban? És milyen ára van, ha ezekre nem figyelsz oda? A harmadik meg maga a GDPR. Mivel eszik? Kik eszik? Miről szól? Mire képes és mire nem?
Talán kezdjük az utolsóval: mi fán terem a GDPR és mi közöd van hozzá?
Ahogy mondtam, a GDPR-t az EU hozta létre még 2016-ban és 2018-tól lépett érvénybe és minden uniós országra vonatkozik, így Romániára is. A GDPR olyanokat ír le, mint pl:
mik a személyes adatok
mik a jogai egy személynek ami a személyes adatait illeti
milyen jogi normáknak kell megfelelnie egy cég, hogy felhasználhassa a személyes adataid
milyen technikai normáknak kell megfelelnie egy cég, hogy biztonságosan tárolja az adataidat
stb.
Mivel a GDPR egy törvénycsomag, ebből egyből következik, hogy a nem-betartása következményekkel jár, ami eddig a legtöbb esetben pénzbünti volt. Bár Romániában egy kicsit lassúak vagyunk a felzárkózással ebben a tekintetben (ezért olvasol egy magyarázó cikket róla 3 évvel azután, hogy már alkalmaznod kéne azt), azért nálunk is történnek ellenőrzések és jócskán szabtak ki már büntetéseket is ezügyben, 200 lejtől 150000 lej értékig. Persze nem a sarki virágosbódéval kezdték az ellenőrzéseket, hanem először a nagyobb vállalkozásokat vették célkeresztbe, és az olyanokat akik érzékeny személyi adatokkal foglalkoznak (erről picit többet később). Nem meglepő módon a toplista első négy helyén bankok helyezkednek el.
Ha mostanában megnőtt a bankkölcsönöd, sajnálom… a bankok nem a barátaid (Forrás)
Térjünk át rád
Mik is akkor a te személyes adataid? Röviden: A személyes adat minden olyan információ, amely valamely azonosított vagy azonosítható élő személlyel kapcsolatos. Ez elég nyilvánvaló, eddig, gondolom. Erre példák: a neved, a címed, az e-mail címed, telefonszámod, gyakorlatilag minden infó a személyidből, egészségügyi- és pénzügyi adataid stb. Ezek, gondolom olyan dolgok, amelyekre valószínűleg gondoltál már. Ha valaki ezeket kérné tőled, akkor a minimum az, hogy elgondolkozz rajta, hogy mire is kellenek valakinek ezek az infók. (link)
De itt jön a csavar: minden olyan adat is személyes adatnak számít, ami által azonosítani tudnak, és ez nagyon kiterjeszti a fogalmat. Ilyenek: az IP címed; az arcod; a likejaid a facebookon; helymeghatározó adataid (pl. a GPS a telefonodon); sütik (cookiek); a telefonod hirdetési azonosítója; a weboldalak, amiket megtekintettél; vagy bármilyen információ, ami a viselkedésed leírja stb. Ha nem mindenről tudod, hogy micsoda az előbbi felsorolásból, az csak egy jele annak, hogy mennyivel komplikáltabb dolog ez az egész, mint gondoltad. És még egy dolgot mondok: minden személyes adatod pénzt ér, és sokat! Egy kutatás szerint egy átlag felnőtt viselkedéséből egy hónapnyi generált adat értéke átlagban 35 dollárt ér, de egy árva e-mail cím is érhet 89 dolcsit. (link)
Ez egy akkora biznisz, hogy már 2012-ben, rég a GDPR előtt, az adatkereskedelmi piac 150 milliárd dollárt ért!
A kérdés egyből felvetődik, hogy: Miért? Kinek kellhetnek azok az adatok, hogy én mikor megyek a vécére? Vagy, hogy melyik dél-koreai fiúbandát hallgatom a legtöbbet? Mármint, hogy a telefonszámomat vagy az e-mail címemet ne kaparintsa meg akárki, az rendben van, de mit érdekel ha valaki tudja, hogy lájkolom az Irigy Hónaljmirigyet.
Nos, ez egy elég komplikált kérdés, a rövid válasz az, hogy célzott hirdetések miatt. Ez nem is hangzik olyan rosszul, elvégre, ki ne szeretné, hogy csak olyan dolgokat reklámozzanak neki, ami érdekli. Milyen jó lenne, ha nem kellene semmit mondanom, és nem ajánlanának nekem csak olyan dolgokat, amiket szeretnék és amikor szeretném. Ha nem kellene 2 Coca-Cola reklámot végignéznem, mielőtt az egészséges táplálkozásról nézek videót a Youtube-on.
Miért nem egy jó dolog ez?
Hogy ez miért nem fenékig tejfel, arról hadd mutassak egy pár példát, és talán könnyebben megérthetjük. A leghíresebb visszaélés az ilyen típusú adatokkal az a Cambridge Analytica botrány (link).
Aki nem tud róla, annak melegen ajánlom, hogy nézzen utána, a Netflix már filmet is készített róla The Great Hack címen, de a sztori röviden a következő: A CA egy egyesült királyságbeli cég volt, ami arról vált híressé, hogy kiderült róluk, hogy két választást befolyásoltak csupán azzal, hogy emberek Facebook-oldalait vizsgálták és reklámokat küldtek nekik. Egyes becslések szerint ők tehetnek a Brexit-szavazás eredményéről és Trump megválasztásáról is, de ezeket az állításokat nagyon nehéz lenne bebizonyítani.
Csak azért mert a nevében van, hogy Cambridge, nem biztos, hogy egy nemes célt szolgál
A módszerük abból állt, hogy egy internetes játékon keresztül, ahova a Facebook-kal kellett bejelentkezni,hozzáfértek az emberek a Facebook-profiljához és azon belül minden adatukhoz: az összes lájkjukhoz, az összes ismerősükhöz, és, megint egy csavar, az ismerőseik adataihoz is és az ismerősök ismerőseinek az adataihoz is. Ez a gyakorlatban azt jelenti, hogy elég volt, ha a baráti körödből nagymamádnak valamelyik barátnője, akit te lehet nem is ismersz, bejelentkezett egy online Itt-a-pirosba, és hirtelen egy cég, amiről te soha nem is hallottál mindent tud rólad. Ez olyan jól működött, hogy a 2016-os amerikai elnökválasztásokon 220 millió amerikai állampolgárt tudtak lekövetni és átlagban 5000 adatpontot tudtak gyűjteni minden illetőről. Ez csak az első része volt a terveknek.
Ezekből az adatokból ki tudtak alakítani egy teljes hálót, amiből meg azt fejtették meg, hogy ki kinek az ismerőse, és környezeti adatokból azt is meg tudták fejteni, hogy ki melyik politikai párthoz vonzódik és hogy kinek mekkora szavazási kedve van. Mindez arra volt jó, hogy tudjanak célzott reklámokat küldeni azoknak a személyeknek, akik körülbelül középen helyezkedtek el az adott választáson, nem döntötték még el, hogy kire szavazzanak. Azokkal a reklámokkal annyira tudták befolyásolni őket, hogy saját bevallásuk szerint megfordították a választások végkimenetelét.
Ez az egész lájkokból kezdődött. Nem feltétlenül csak politikai lájkokból. A legkülönfélébb érdeklődésekből tudták a CA-sok kikövetkeztetni a politikai hovatartozást. Az adatok néha úgy vannak összekötve, hogy mi elképzelni sem tudjuk, de egy program könnyen felfedezi ezeket a kapcsolatokat.
Röviden egy másik példa, hogy ezt szemléltessem.
Amikor valaki teherbe esik, akkor komplikált hormon-változásokon megy keresztül (esküszöm, hogy ennek köze van az adataidhoz).
Hormonváltozások illusztrálva
Ezek miatt a nőknek megváltozik étvágyuk, szinte észrevétlenül. Nem a párhónapos terhességi kívánósságról beszélek, hanem az első pár héten zajló folyamatokról, amikor még sok esetben nem is tudnak az állapotról.
Nos, a sztori az, hogy Minneapolisban egy apuka elment a Target nevű amerikai szupermarketláncba reklamálni (link). A férfi fel volt háborodva, hogy a 15 éves lányának az üzletlánc terhességhez köthető termékeket ajánlott egy applikációban. Az apuka fel volt háborodva, mert úgy gondolta, hogy a Target manipulálni próbálta a fiatal generációt, hogy a lányának azt sugallta, hogy essen teherbe. Azt hiszem mindenki megérti a felháborodását, mi sem szeretnénk ha a célzott reklámok így próbálnának manipulálni. Csakhogy, a sztorinak nincs vége, mert két hét múlva kiderült, a lány, az apuka és a Target meglepetésére is, hogy a lány már pár hete várandós.
Na de mi történt? Honnan tudta a Target applikációja előre, hogy a lány terhes?
A Target applikációjának sikerült egy összefüggést kidolgoznia azok között a termékek között, amiket egy frissen terhes nő kíván és a konkrétan terhességhez köthető termékek között. Tehát a lány tényleg nem tudta még, hogy terhes, de már a hormonváltozásoknak köszönhetően az ízlése, a viselkedése és ezekkel együtt a vásárlási szokása, annyira megváltozott, hogy az applikáció már össze tudta kötni a terhességgel. Még a Target sem tudta, hogy a saját applikációja erre képes.
El tudjuk képzelni, hogy egy cég ennyire invazívan ismerjen bennünket? Az egészségügyi állapotunkat olyan szinten tudja, ahogyan még mi magunk sem?
Nekem viccesnek tűnik, amikor az emberek leragasztják a webkameráikat, mert félnek a megfigyeléstől de közben bármilyen weboldalon automatikusan rákattintanak az “Elfogadom az összes sütit” gombra. Többek között ezekkel a sütikkel követnek végig az interneten és tudják, hogy mit lájkolsz, kik az ismerőseid, kire szavazol és milyen az egészségügyi állapotod.
Nos, az ilyen rémálmoktól próbál megóvni a GDPR. Ezért a következő jogokat határozza meg neked az adatgyűjtéssel kapcsolatban (link):
Az informáláshoz való jog, vagyis a cégek kell szóljanak neked, hogy mit csinálnak az adataiddal
A hozzáféréshez való jog, bármikor lekérheted a rólad gyűjtött adatokat
A törléshez való jog, bármikor kérheted, hogy töröljék a rólad gyűjtött adatokat
Továbbá, a kicsit komplikáltabb adatgyűjtés visszaszorításához és megtagadásához való jog és az automatizált adatfelhasználásról és profilozásról való döntési jog, amiknek a részleteibe nem mennék bele
Legvégül, lássuk a céges oldalát a dolognak
Ha cég vagy és adatokat szeretnél gyűjteni a következő nagyon fontos dolgokra kell odafigyelni:
A gyűjtött adatokat csakis az Európai Unión belül lehet tárolni, tehát minden ami Facebook-on és Google-n van, az elméletileg esik, mert ők amerikában tárolják az adatokat
Csak jól megalapozott céllal lehet személyi adatokat gyűjteni, a „jó lesz majd valamire” nem egy jó érv
Tájékoztatni kell mindenkit, hogy milyen adattal mit tervez csinálni a cég
Minden jogot amit fentebb említettem biztosítani kell minden személynek akinek a személyes adatait gyűjthetjük
Ha te, aki ezt épp olvasod, egy cég vezetője vagy, és alig vártad, hogy eljussak ehhez a részhez, akkor szeretném neked azt mondani, hogy sajnálom. Bevallom, ez a legkomplikáltabb része a dolognak, és ez az, amihez a legkevésbé értek.
Ezért ellátogattam egy online előadásra, amit a Cluj Privacy Hub szervezett, egy kolozsvári civil szervezet, aminek célja a biztonságos adatkezelésről való felvilágosítás. Az előadás témája a Az online marketing jövője - Az üzleti érdek és az adatvédelem párbaja volt. Az előadás meghívottjai Dr. Seer László marketingszakértő, valamint Markó Eszter és Székely Barnabás (aki nem mellesleg a PRIVACYᴾᴿᴼ adatvédelmi szakértő cégnek, az Érted és Éter adatvédelmi partnerének a munkatársa) jogászok voltak.
Itt közel sem tudok összegezni mindent, ami ebben a témában elhangzott, és nyilván nem csak erről volt szó, de azért egy pár dolgot le tudtam szűrni, ami a KKV-ket illeti. Ha valaki több információt szeretne, akkor nyilván felkeresheti az előbb említett szakembereket.
Lehet megijedtél a cikk elején ahol írtam a büntetésekről, majd duplán megijedtél, amikor arról írtam, hogy milyen komplikált az adatkezelés. Ezzel kapcsolatban van egy jó és egy rossz hírem. A rossz hír az, hogy tényleg nagyon komplikált. Nem lennék most szívesen cégvezető, hogy ezzel a kérdéssel foglalkozzak, mert a GDPR útvesztőjéből valószínűleg csak profi, szakértői segítséggel lehet kikecmeregni. De, ahogy az elején is írtam, a jó hír, hogy nem a sarki virágbódéval kezdik az ellenőrzéseket, és ha nem gyűjtesz személyi adatokat a cég működtetése közben, akkor nagyon nincs mitől félni (a virágbódé nem kell tudja senkinek sem a CNP-jét). Továbbá,
a GDPR 20%-ban politika.
Vagyis nem csak arra van kitalálva, hogy a cégeket porig büntesse egy lehetetlen jogi szélmalomharcban, hanem hogy egy újfajta magatartásfélét neveljen a társadalomba. Ezért sokszor egy vesztes pernél sem állapítanak meg büntetést, még ha kihágást is találnak, mert gyakran egyszerűen nincs alternatíva. A Facebook-ot és a Google-t, amelyekhez sok cégnek a léte kötődik, nem lehet egyik napról a másikra helyettesíteni, mert egyszerűen nincs másik. Ott vannak a kliensek, ott van a megélhetése és az egyetlen online felülete rengeteg KKV-nak.
Sok cégnek a technikai háttér tűnik a legkomplikáltabb résznek (és egy kicsit az is), de az ellenőrzéseknél nem ez az elsődleges célpont. A kiosztott büntetéseknél legtöbbször a nem elég jó átláthatóság és a jogi szempontoknak nem elég jó megfelelőség volt a két fő szempont, majd csak harmadikként a technikai háttér. Úgyhogy azt melegen tudom ajánlani, hogy minden cég kezdjen el foglalkozni ezzel a problémával, főleg olyan szempontból, hogy mi az az adat, amit gyűjt és mi az ami szükséges.
A jogi meghatározásban van egy olyan tétel is, amit úgy hívnak, hogy jogos érdek (vagy legitim interest, lehet láttad már süti ablakokban), ami azt jelenti, hogy egyes adatok egyszerűen szükségesek a cég működéséhez. Például, ha ki kell küldened postán dolgokat a vevőknek, akkor normális, hogy elkérd a címüket, ez jogos érdek, de ha utána ezt a címet arra is használod, hogy reklámokat küldj nekik, az már nem, abba a kliens külön bele kell egyezzen. Ahogy mondtam, elég komplikált, de foglalkozni kell vele.
Ha két üzenetet le lehet vonni ebből a hosszú csapongásból, amit én cikknek nevezek, akkor azok legyen a következők: ha egy egyszerű állampolgár vagy, akkor érdekeljen, hogy mik történnek a személyes adataiddal, mert valószínűleg felhasználják őket a te akaratodon kívül is és nem a te érdekedben. Ha kiskorú vagy, akkor tudd, hogy téged még jobban véd a törvény. Ha pedig cégvezető vagy, akkor ideje, hogy foglalkozz ezzel az üggyel, mert bár konkrét felmérés nincs ezzel kapcsolatban, hasamra csapva azt mondanám, hogy az erdélyi KKV-k 90%-a nem foglalkozik ezzel kellőképpen és a többségük nem is hallott a GDPRról.
Upsz, ez három lett!