Az ember mint adathalmaz – Az online térből nem tudjuk törölni magunkat, de odafigyelhetünk adataink védelmére

A GDPR ingyenesen letölthető az Európai Unió Hivatalos Lapján (https://eur-lex.europa.eu/), és mivel a rendelet időközben többször módosult, fontos, hogy mindig a hivatalos oldalról tájékozódjunk.

A rendelet minden tagállamra nézve kötelező, az EU szintjén egységesíti az adatvédelmi jogot, amely elsőbbséggel rendelkezik a tagállamok szintjén elfogadott joggal szemben, ugyanakkor megengedi a tagállamoknak, hogy bizonyos kérdésekben kiegészítsék azt országos szabályozással.

Az uniós és országos jogszabályokat kiegészíti az Európai Unió Bíróságának joggyakorlata is, legfőképpen az előzetes döntéshozatal keretében elfogadott értelmező határozatok révén. És hogy még komplikáltabb legyen mindez: mivel az adatvédelmi jogok részben a magánélethez való jog részét képezik, figyelembe kell venni az Emberi Jogok Egyezményét és az Emberi Jogok Európai Bíróságának döntéseit is.

Mit is kell védenünk?

De mit is értünk személyes adatokon? Laczkó Réka rámutatott: ide tartozik minden olyan információ, amely egy azonosított vagy azonosítható természetes személyre vonatkozik. Személyes adat például a név, a személyi szám, egészségügyi adatok, arcról készült fénykép, vélemények, etnikai hovatartozás, de ide tartozik a tetoválás vagy a ruhaméret is.

Ezeket az adatokat három kategóriába sorolhatjuk: a személyes adatok általános kategóriájába, a fokozott védelmet élvező személyes adatok különleges kategóriájába, valamint abba a kategóriába, amely tekintetében az európai rendeletet az országos szabályozás is kiegészíti.

A különleges védelmet élvező személyes adatok közé soroljuk az arcképet, ujjlenyomatot, az egészségügyi, valamint a szexuális irányultságra vonatkozó adatokat. Ezeket csak kivételes esetekben és szigorúbb feltételekkel lehet feldolgozni.

A szakember hangsúlyozta: amikor adatvédelemről van szó, mindenekelőtt különbséget kell tennünk az adatkezelő és az adatfeldolgozó között. Az adatkezelő az a természetes vagy jogi személy, hatóság, ügynökség vagy egyéb intézmény, amely meghatározza a személyes adatkezelés céljait és módjait – a feldolgozás az ő érdekei mentén történik. Az adatfeldolgozó pedig az a természetes vagy jogi személy, amely az előző nevében jár el a személyes adatokkal.

Laczkó Réka arra is kitért, hogy jogszerű adatkezelésről akkor beszélünk, amikor egyrészt az érintett hozzájárulását adja ehhez. Másrészt akkor is jogszerűen járunk el, ha ezekre az adatokra szükség van például egy szerződés megkötésekor, vagy amikor az adatkezelőnek jogi kötelezettséget kell teljesítenie, mondjuk át kell küldenie az adóhivatalnak a munkavállalóra vonatkozó információkat.

Ide tartoznak azok az esetek is, amikor az érintett létfontosságú védelme érdekében ki kell szolgáltatni az adatait, például ha valakihez mentőt hívunk, akkor meg kell adnunk a nevét, az életkorát és egészségi állapotát.

Az adatvédelmi szakember elmondta: a gyermekek adatai különös védelmet igényelnek, hiszen ők nincsenek tisztában a kockázatokkal, ezért őket a megfelelő nyelvezettel és hangnemben kell tájékoztatni.

Az EU-s rendelet ezzel kapcsolatban kimondja, hogy ha az adatkezelés hozzájárulás alapján történik, a közvetlenül gyermekeknek kínált szolgáltatásokra vonatkozó személyes adatok kezelése akkor jogszerű, ha a kiskorú a 16. életévét betöltötte. Ha fiatalabb, akkor már szülői hozzájárulásra van szükség. Ezt a korhatárt ugyanakkor a tagállamok lecsökkenthetik 13 évre.

Bár legtöbben hallottak az adatvédelmi rendeletről, kevesen ismerik alaposabban. Az embereket nem igazán érdekli ez behatóbban, de a 87 oldalas szöveg sem könnyíti meg a tájékozódást.

„Fontos tudni, hogy ha megnyílik egy weboldal, ne fogadjam el egyből az összes cookie-t, az úgynevezett sütiket, hiszen ezek révén is tárolhatók bizonyos személyes adataim. Sok esetben egyenként kell elutasítani az előzetesen kipipált engedélyeket – bár ez nem jogszerű, még mindig nagyon sok honlap alapbeállítása feltételezi automatikusan, hogy hozzájárulásomat adom az adatfeldogozáshoz.

Amikor szolgáltatói szerződést kötünk vagy egy weboldalon kérik a beleegyezésünket, minden esetben olvassuk el, hogy mire adunk engedélyt. Időigényes, de csak így védhetjük meg személyes adatainkat” – összegzett Laczkó Réka.

előbbi kategóriába tartozik az az információ, amit tudatosan teszünk közzé magunkról például a közösségi médiában. A legtöbb felhasználó esetében ugyanakkor sokkal nagyobb a passzív digitális lábnyom, ami a cookie-kban tárolt információk összessége.

Az már egy 2018-as tanulmányból kiderült, hogy a szülők átlagosan 13 ezer alkalommal posztolnak gyermekeikről a közösségi médiában, a kiskorúak pedig 18. életévük elérése előtt körülbelül 70 ezerszer tesznek közzé tartalmat magukról. A szakember szerint ha ma elvégeznék ezt a tanulmányt, az utóbbi szám szinte biztosan elérné az egymilliót.

„Ezek az információk azért fontosak, mert manapság a mesterséges intelligencia sebességével nagyon jó mintákat lehet felfedezni, rá lehet jönni arra, hogy a felhasználónak mi lesz a következő lépése, például mit fog vásárolni. Lehet tudni, hogy hol lakik, akkor is, ha nem adta meg a lakcímét, kik a rokonai, ismerősei, barátai, de azt is, hogy milyen banki szolgáltatásokat használ, hova fog menni kirándulni a nyáron. Ezen adatok mentén pedig célzott hirdetéseket lehet megjeleníteni számára” – magyarázta a szakember.

Törölhetjük magunkat az internetről?

W. Szabó Péter szerint teljesen nem tudjuk eltüntetni magunkat az online térből. Ugyan nekiállhatunk saját magunk törölni a digitális lábnyomunkat, de ez 100 százalékban nem fog sikerülni. Vannak viszont erre szakosodott cégek, amelyek el tudják érni a 99 százalékos hatékonyságot.

„Az adatvédelmi szabályozás rendelkezik a felejtéshez való jogról, amit – kelletlenül ugyan, de – immár a Google és a Facebook is kénytelen betartani. A Google esetében egyenként kérhetjük a rólunk őrzött adatok törlését, de ez egy hihetetlenül nagy munka, ezért vannak erre szakosodott cégek” – mutatott rá W. Szabó Péter.

Ha mondjuk munkát keresünk, és nem szeretnénk, ha összekeveredne a személyes életünk a szakmaival, akkor létrehozhatunk egy új e-mail-címet kimondottan álláskeresésére – ezt ne használjuk randioldalakon, a közösségi médiában és más személyes dolgokra.

W. Szabó Péter ugyanakkor javasolni szokta, hogy ha például a Chrome böngészőt használjuk személyes dolgokra, esetleg felnőtt tartalmakat nézünk, akkor álláskeresésre és egyéb hivatalos tevékenységekre nyissunk meg egy Firefox-ablakot, és azt használjuk. „A cookie-k általánosan böngészőspecifikusan tárolnak adatokat. Ez azt jelenti, hogy két böngésző használatával létrehozunk két párhuzamos identitást, az egyik az álláskeresős identitás, a másik a személyes” – részletezte.

Amikor nem szabályozott az adatgyűjtés

A törvényes és szabályozott adatgyűjtés és -kezelés mellett nem szabad megfeledkezni a törvénytelen vagy szürke zónában lévő adathalászatról sem, amikor adott informatikai módszerrel igyekeznek minél nagyobb mennyiségű adatot összeszedni.

A legtöbb weboldal – így például a Facebook is – meglehetősen jól védi magát az adathalászattal szemben, védve saját piaci értéküket, hiszen a felhasználók adatai komoly értéket jelentenek számukra. Blogokról vagy Twitterről azonban még mindig elég hatékonyan lehet halászni.

„Az adathalászat elleni védekezés olyan, mint a vírusok elleni védekezés. Folyamatos verseny van az adathalászok és a nagy mennyiségű adatot tartalmazó weboldalak között, és az előbbiek egy lépéssel előbb vannak” – tudtuk meg W. Szabó Pétertől.

Összeszednek egy úgynevezett data dumpot, adathalmazt, amely több millió vagy akár milliárd adatot jelenthet. A rendelkezésükre álló adatokból megpróbálják kitalálni, hogy egy adott személynek mi lehet a felhasználóneve és a jelszava.

Abból indulnak ki, hogy sokan több weboldalon ugyanazt a felhasználónevet és jelszót használják, így ha van az adathalmazban egy jelszó és egy azonosító, azt több helyen kipróbálják. Ha bejutottak a felhasználói fiókba, akkor ismerősöknek küldött linkeken keresztül terjeszthetnek vírusokat, digitális kártevőket.

– emelte ki W. Szabó Péter is a sokszor hangsúlyozott jó tanácsot. Fiókjaink feltörése ellen egyebek mellett kétfaktoros azonosítással tudunk védekezni: ebben az esetben a belépéshez nem elég a felhasználónév és a jelszó, hanem a mobilunkra vagy az e-mail-címünkre kapott egyszeri azonosítót is be kell írnunk. A legtöbb bank egyébként már használja a kétfaktoros ellenőrzést.

„Az is fontos, hogy egy aktuálisan használt e-mail-címhez legyenek kapcsolva a közösségi médiában létrehozott fiókjaink, a már nem használt címet pedig távolítsuk el mindenhonnan. Céges e-mailt ne használjunk személyes célra, mert ha megszűnik a munkaviszonyunk, a cím használhatatlanná válik, de a céges rendszergazda újra létre tudja hozni, és így ki tudja magát adni a korábbi felhasználónak” – sorolta a jó tanácsokat W. Szabó Péter.

„Mondjuk valaki megvásárol 10 ezer e-mail-címet, olyanokét, akik az elmúlt időszakban hűtőszekrényt vettek. A listától elvárja, hogy legyen 100 eladása, ehelyett csak 10 lesz. Mert az emailek 30 százalékát ki sem tudta küldeni, a kiküldöttek 95 százalékát pedig nem nyitották meg. És az sem mellékes, hogy ha az adathalász vagy a cég lebukik, annak súlyos következményei lehetnek. Hosszú távon nem lehet, nem szabad így vállalkozást építeni” – hangsúlyozta Kállai Emánuel.

Adathalászat helyett profilozás

A szakember rámutatott: régebben az adathalász az emberek által megadott, begépelt információt halászta el. Ha valaki megadta a bankszámlaadatait egy áruháznak, akkor azt egy hekker megszerezhette.

Ezen a téren az utóbbi két évben óriási fejlődés történt, ugyanis megjelentek a weboldalokon a „https” jelölések. Ez azt jelenti, hogy az adatot már nem olyan könnyű halászni, mert titkosításon keresztül jön-megy – erre utal a kifejezés utolsó, „s” betűje, amely a secure, vagyis biztonságos jellegre vonatkozik.

Az, amikor én rákeresek valamire, elolvasok cikkeket, és ezek alapján egy cég profilt tud kialakítani rólam. Úgy, hogy én nem tudok erről. A profilozás az adathalászat frissített verziója” – magyarázta Kállai Emánuel.

A szakember egy olyan weboldalt (https://optout.aboutads.info/?c=2&lang=EN) ajánlott a figyelmünkbe, ahol utána lehet nézni annak, hogy az adott számítógép vagy telefon, amit használunk, milyen honlapoknak ad ki információt rólunk. Mielőtt megnyitjuk, gyűjtsünk elég bátorságot, hiszen többtucatnyi vagy adott esetben több száz cégről is kiderülhet, hogy ebben a pillanatban figyel minket mint potenciális vásárlót – úgy, hogy valamikor mi magunk hagytuk jóvá az adatvédelmi tájékoztatót. Többségüknek pedig talán a neve sem cseng ismerősen.

Az adatkezelés tulajdonképpen jövőkutatás

Kállai Emánuel hangsúlyozta: ma már nem az a fontos, hogy a felhasználó mit csinált tegnap, hanem mit csinált az elmúlt időszakban és ezek alapján mit akar tenni a jövőben. Vannak nagy momentumok, értékes információk, amelyeket egy cég fel tud használni.

„Ha például a válófélben lévők létrehoznak egy online csoportot, akkor ez a lista érdekes, értékes lehet a családterapeutáknak. De nem az történik, hogy a családterapeuta megtudja, hogy Kis János a Függetlenség 34. szám alól épp válófélben van, hanem azt tudja meg, hogy egy adott régióban hány ember van válófélben. Ilyenkor a Google és a Facebook segítségével célzott hirdetést indít. Vagyis az adatgyűjtést és adattárolást a nagyvállalat végzi, a felhasználók beleegyezésével, és az ő felületein fut a hirdetés. De nem adja ki a nyersanyagot, a felhasználók személyes adatait, hanem lehetőséget biztosít arra, hogy rajta keresztül kommunikáljon a kereskedő a célcsoportjával” – magyarázta az adatfelhasználás módját a marketingszakember.