Változik a hazai adatvédelmi szabályozás, talán erről már mindenki hallott. 2012. január elsejétől már nem csak bejelentési kötelezettség lesz, hanem büntethet is a hatóság.
Akár 10 millió forint is lehet a büntetés.
Sokan biztos helyesen kezelik az adataikat a webáruházuknál, vagy a hírlevelüknél, de biztos vannak néhányan akiknek nem jut eszébe, hogy a közösségi oldalakon végzett kommunikációval illetve a közösségi oldalak weboldalba épített moduljaival kapcsolatosan is vannak olyan kérdések, amik az adatvédelmi törvényhez kapcsolódnak.
Egy céget (vagy bármilyen szervezetet, illetve magánszemélyt) több oldalról érinthet az adatkezelési kötelezettség, amikor a közösségi médiát el kezdi használni valamilyen célra.
Egyrészről felmerül az adatkezelés kérdése akkor, amikor valaki a weboldalába épít be Facebook like boxot, Tetszik gombot, Twitter gombot, Google+ gombot (vagy akár Google Analytics-et). Másrészről felmerülhet a kérdés, hogy mi történik akkor, ha a Facebook oldalunkon küldünk értesítést az ismerősöknek, vagy meghívót küldünk nekik a Facebook felületein keresztül.
Fontos terület a különböző promóciók kérdése is, amik nagyon kedveltek a Facebook oldal üzemeltetők körében, viszont a promócióknál nem csak a Facebook szabályait kell betartani. Mivel itt adatkezelés is történik, erre is kiemelten figyelni kell. És persze nem szabad elfeledkezni a közösségi oldalak örök biztonsági kérdéseiről sem, amit rendszeresen felkap a média.
Többek között ezekről a kérdésekről beszélgettem Dr. Kulcsár Zoltán adatvédelmi szakértővel.
Mi is ez a nagy felhajtás most az adatvédelmi témák körül?
2011. július 11-én az Országgyűlés elfogadta az új adatvédelmi törvényt, amibe többek között bekerült az is, hogy aki nem jelenti be adatkezeléseit az adatvédelmi nyilvántartásba, az 10 millió forintra büntethető 2012-től. Erre sokan felkapták a fejüket.
Biztos sokan tudják, hogy adatkezelési szabályzat vonatkozik hírlevelekre, webáruházakra, de honnan indul ez az egész? Mikortól kell abban gondolkodnunk, hogy adatkezelési szabályzatra van szükségünk ha az on-line világban is megjelenik a cégünk?
Egész hamar. Ha van egy weboldal statikus tartalommal, akkor a webszerver rögzít egy IP címet a látogató számítógépéről.
Ez már egy személyes adatkezelés lesz. Bár ez régi vita az informatikusokkal, de könnyen belátható, hogy annak ellenére, hogy az IP cím gépet azonosít, a gép mögött mindig ember ül.
Például ha pedofil tartalmat tölt fel vagy le valaki, akkor igaz, hogy a gépet azonosítják, mégis a személyt viszik el a rendőrök.
Ez jól mutatja azt, hogy az IP cím egy személyes adat. Az IP címmel magához a személynek a nevéhez, lakcíméhez lehet eljutni.
Egy szálloda, egy cég esetében viszont a hálózatán kifelé csak egy IP cím lesz, ami nem csak egy személyhez tartozik. Abból még nem derül ki, hogy melyik felhasználó járt az adott weboldalon. Egy cookie-val összekapcsolva, az előzményekből vagy a belső hálózatok különböző naplózásaival jobbak lehetünk, hiszen megtalálható a keresett személy. Jogsértés esetén ez az esetek többségében jól nyomon követhető.
Ezek szerint a hálózatot üzemeltetők megvédhetik magukat, ha odafigyelnek az adatvédelmi szabályzatra, de nekem, mint felhasználónak van ebből előnyöm?
Természetesen! Önmagában az a tudat, hogy a te adataidat kezeli valaki, ez már jelentősen befolyásolhatja a te életedet még akkor is, ha te erről nem tudsz. Ezt kutatások is bizonyították. Ennek pedig veszélyei vagy éppen következményei vannak.
Ha ezt te informáltan tudod, hogy pontosan mi fog történni, akkor nyilván ez a veszély jóval kisebb és kvázi a veszélyt átvállaltad te a döntéseddel, hozzájárulásoddal. Ha te tudod, hogy ezeken a honlapokon, IP címeken cookie-kat kezelgetnek, akkor mindjárt meggondolod, hogy szeretnéd e te azt a pornóoldalt meglátogatni és nem szeretnél e olyan helyzetbe kerülni, mint mondjuk én kerültem egy ügyfelemmel:
Meg kívánt mutatni egy weboldalt, hogy ő ilyet szeretne és megjelent egy pornográf hirdetés… ő elkezdte mondani, hogy „jajj, hát ő nem érti miért ez a hirdetés jelent meg” és elkezdett mentegetőzni. Én nem akartam mondani, hogy én viszont értem és tudom, hogy miért ez jelent meg és nem más.
Nyilván ő korábban ilyen típusú oldalakat látogatott és a személyiség profil kialakításakor a rendszer úgy vélte, hogy őt ez érdekli.
Nincs itt semmi jogsértés, csak nem volt tisztában vele az illető, hogy az ő adatait hogyan kezelik és ezáltal került kellemetlen helyzetbe.
Ha ő ezzel tisztában van, akkor eldönti, hogy szeretné e kitároltatni, vagy utólag törli, esetleg olyan böngészőt használ, ami az előzményeket nem tárolja.
Valószínűleg azokon az oldalakon, amik alapján az ügyfelednek pornó hirdetéseket jelenített meg a számítógépe, lehet, hogy volt adatkezelési szabályzat.
Ez még sem védte meg őt. Sőt – valljuk be – nem nagyon szokták az emberek ezeket az adatvédelmi szabályzatokat nézegetni.
Ez igaz, de ebben nagy részt szerepe van azoknak a közismert szakembereknek, akik nagyon keveset kommunikáltak erről a fogyasztók irányába. Az ő szavuk az tv-n és az egyéb csatornákon keresztül könnyen eljutna a felhasználókhoz, mint ahogy nyugaton az adatvédelmi hatóságok például a cookie-k ügyében is sok oldalas ódákat írtak még azelőtt, hogy az emberek elmentek volna egy rossz irányban az alkalmazás során.
Akkor az ember talán elgondolkozik azon, hogy esetleg egyszer-kétszer elolvas egy ilyet. Nem kell minden meglátogatott weboldalét elolvasnia. Ha egy jót elolvas, onnan már látja azt, hogy hogy milyen adatkezelésekre számíthat. Innentől pedig meg tudja védeni magát.
Mikortól kell vállalkozóként ezzel komolyabban foglalkozni?
Nyilván a szabályozásban nem az előbb említett IP cím lesz a fő csapás, hanem mondjuk egy regisztrációs űrlap, ahol már adatokat kérnek direkt marketing céllal, vagy legyen csak egy egyszerű hírlevélre feliratkozás, ahol direkt marketing levélkezelés lesz, az már jóval mélyebb adatvédelmi kötelezettségeket fog nekünk, mint adatkezelőknek adni. Itt megint nem csak az adatvédelmi tájékoztatási kötelezettség van, amit az emberek többsége nem fog elolvasni, hanem az adatkezelő kötelezettsége, hogy eleve határozza meg azt, hogy pontosan milyen célból, milyen adatokat kezel, ezeket mennyi ideig kezeli. Hiszen nem mindegy, mire kéred be az adatokat.
Például ha van egy regisztrációs űrlap, mondjuk egy webáruháznál, ahol elkéred az e-mail címet, a nevet, telefonszámot, de semmi mást. Ezeket az adatokat csak arra használjuk fel, hogy regisztrál, kiszolgáljuk a megrendelését, odaírjuk hogy melyik futár fogja kiszállítani, odaadjuk a termékét, majd egy év múlva látjuk, hogy ez az ember nem rendel tőlünk, akkor töröljük a regisztrációját.
Innentől kezdve nem is lesz annyira érdekes, hogy mi van leírva az adatkezelési tájékoztatóban, mert egy teljesen normális folyamatunk van, hiszen csak olyan adatokat kértük el ami ahhoz szükséges, hogy a megrendelését teljesítsük. Várunk egy darabig, hogy rendel-e, de ha nem, nincs értelme tovább őrizni az adatot, töröljük. Nyilván ez kerül részletes kifejtésre az adatvédelmi tájékoztatóban.
Ez egy egyszerű eset. Onnan kezdve válik érdekessé, ha bonyolítjuk az adatkezelést, vagy ha nem megfelelően járunk el és hosszú évekig tároljuk az adatokat anélkül, hogy bárkinek is érdekében állna, vagy éppen rengeteg adatot kezelünk vagy átadjuk fűnek-fának az adatokat, annak ellenére, hogy ez az adatvédelmi tájékoztatóban le van írva részletesen mit teszünk.
Ezért kell tehát megfelelő adatkezelési nyilatkozatot készíteni és bejelenteni.
Egyébként az adatvédelmi nyilvántartásba vétel az jövő év januártól lesz kötelező?
Nem, 93-tól kötelező. Egyrészt büntethető lesz, másrészt azt mondja ki a törvény, hogy nem kezdhető meg az adatkezelés addig, amíg nincs bejelentve. Pontosabban, amíg nem vették nyilvántartásba.
Mennyi idő lesz, mire ezt nyilvántartásba veszik?
Azt mondja a törvény, hogy 8 nap, meghatározott szolgáltatóknál 40 nap, ha új technológiáról van szó, de egyébként 8 nap. Ha a 8 napos határidőt elmulasztja a hatóság, akkor automatikusan úgy kell tekinteni, hogy megkezdhető az adatkezelés.
Ezek szerint mielőtt elkezdeném a regisztrációt vagy a hírlevél feliratkozást, előtte 8 nappal kell bejelenteni a hatóságnak az adatkezelést?
Igen. Feladod postán és a beérkezéstől ketyeg a 8 nap, vagy elviszed személyesen – még nem tudjuk hova – ott leadod és onnan indul a 8 nap. A 8. napon meg fogod nézni a honlapon az adatvédelmi nyilvántartások között – mert ez nyilvános most is és később is nyilvános lesz- , és ott láthatod, hogy a cégedet és a kérelmedet nyilvántartásba vették-e már. Persze ezt nézheted előbb is pl. a 7. napon. Ahogy nyilvántartásba lett véve, kezdheted az adatkezelést. Ha megnézed és a 9. napon sem vették még nyilvántartásba, elkezdheted az adatkezelést.
Ez veszélyes egyébként szerintem. Előfordulhat, hogy elkezded az adatkezelést, összejön az 1000 vagy 10.000 embered és 1 hónap múlva jön a levél, hogy elutasítják a nyilvántartásba vételt valamivel. Akkor mit csinál az adatkezelő? Erre ugyanis nem tér ki a törvény. Mert ugye azt mondja ki, hogy megkezdheted az adatkezelést, nem azt, hogy nyilvántartásba vették, tehát csak megkezdheted akkor és még elutasíthatják a nyilvántartásba vételt.
Valószínű, erre azért kevés esély van, hogy elutasítják, hiszen nem vizsgálják a jogszerűségét csak a formai kritériumokat a bejelentő lapon, de miért ne utasíthatnák el?
A nyilvántartásba vétel pénzbe fog kerülni. Erre milyen költségek lehetnek?
Ezt nem lehet még tudni, azt külön jogszabályok fogják majd megállapítani, de talán 2000-3000 Ft körüli lehet.
Meddig érvényes ez a bejelentés? Vagy ezt én határozom meg a szabályzatomban? Vagy esetleg automatikusan lejár?
Nem, ez nem jár le, nem kell megújítgatni, viszont ha változik az adatkezelés – ide értem azt is, ha megszűnik – akkor be kell jelentened újra a változást.. Tehát, ha kitalálod, h mostantól elkéred pl. a születési dátumot is. Akkor ez egy új bejelentőlap.
Összekapcsolhatom ettől függetlenül a két adatbázist? Például az előzőben nem volt benne a születési adat?
Kiegészíted azzal. Az adatkezelési célt is ezáltal kiterjeszted. De a régiektől valószínűleg nem fogod már bekérni ezeket az adatokat. Ha mégis elkéred, akkor elfogadtatod vele az új adatkezelési feltételeket. Ha meg csak az újaktól kéred el, akkor ők meg úgyis az újat fogadják el.
Ha én jelszavakat is tárolok, akkor arra vonatkozik más kötelezettség is, mint a sima adatokra?
Nem, nincs leírva, hogy ezt titkosítva, kódolva vagy hogyan kellene tárolni, semmilyen technológiai követelmény nincs.
Az adatvédelmi törvény -bár most kicsit részletesebben fogja szabályozni az adatbiztonságbeli kérdéseket-, de az azért elmondható, hogy a lényege a legmodernebb technológiával, legnagyobb figyelemmel, legnagyobb gondossággal kell figyelemmel lenni arra és meg kell tenni mindenféle intézkedést, hogy a személyes adatok illetéktelen kézbe ne kerüljenek, ne semmisüljenek meg, ne változzanak meg.
Személyes adatnak tekinthető egy szavazás vagy egy véleménynyilvánítás?
Hogyne, minden. Igazából minden, ami egy természetes- egy magánszeméllyel kapcsolatba hozható, de akár még csak egy következtetés is személyes adatnak tekinthető. Mondok egy példát:
Kifogásolta az adatvédelmi biztos azt, hogy a politikai pártok telefonkampányokat végeznek véletlenszerű telefonszámokra. Ott azt mondta, hogy ez önmagában már azért is jogsértő – ha a direkt marketing szabályokat nem is nézzük – mert az érintettek hozzájárulása nélkül fog személyes adatokat kezelni. Szerinte az is személyes adat, hogy az illető meghallotta mondjuk Gyurcsány Ferenc, Orbán Viktor vagy akárkinek a hangját és letette. Azzal pedig következtetni lehet arra, hogy ő nem szimpatizál velük.
A közösségi hálózatokkal elég sokan sérelmezik az adatkezelési gyakorlatot. A Facebookot és a Google-t is elég sokszor támadták már ez miatt.
Mennyire valósak ezek a félelmek szerinted?
Én annyira nem félek, van fent a családról is fotóm a saját profilomon. Annyira nem félek attól, hogy ezekkel az adatokkal önmagában vissza lehetne élni. Megkönnyíti a visszaélést, inkább azt mondom, ha sokféle fotót, információt felteszel. Minél nagyobb az információ, amit megosztasz másokkal, annál jobban ismernek és annál jobban megtalálják a gyengéidet és azokat a pontokat, ahol te sebezhető vagy.
Ami egyértelmű, hogy nem osztanék meg én sem, az például az, hogy mikor megyünk nyaralni, mi a bankkártya számom és egyebek.
Ezeknél én is figyelek, de ahhoz képest, hogy milyen sokan használják ezeket – Magyarországon most 3.5 millióan – , ahhoz képest azért nem nagyon hallani visszaélésekről. Legfeljebb gyerekes dolgokat, hogy valaki a volt barátnője jelszavával belép… ilyenek vannak, de megint miért? Mert a felhasználó kiadta a jelszavát.
Talán még az gyakori probléma, hogy valaki intim fényképet készít a párjáról, és a szakítás után ezeket publikálja az interneten vagy éppen a közösségi oldalakon.
Így van, ez még egyszerűbb. Itt mindig a másikban való bizalom, hogy milyen információkat osszunk meg.
Benne van a pakliban, hogy ezt bűnözők fogják olvasgatni, olvasgathatják az adatainkat. Én például a fotókat úgy osztottam meg, hogy ismerőseim ismerősei láthatják. Ez szerintem még vállalható. Egyébként minden adatkezelés kockázattal jár.
De hát ne menjen fel a Facebokra, aki nem vállal ilyet, ne menjen az utcára, aki fél, hogy elüti a villamos, ne üljön autóba, mert úgyis karambolozni fog. Nagyjából hasonló ez. Annyira veszélyesnek én nem érzem. Itt az egyének és szolgáltatók felelőssége is számít és nemcsak a Facebook hanem minden más tekintetében. Például webáruházak esetében is.
Mindenre igaz, hogy nem kell feltenni olyan adatot, ami nem szükséges. Ha nem teszi fel azt az adatot, hogy milyen autói vannak, akkor nem fog kiderülni. Például ha kamerát teszek a házamra és nem veszem a szomszéd kertjét, akkor valószínűleg nem fognak engem meggyanúsítani, hogy én figyelem az ő kertjét, és innen tudta a betörő, mikor kell betörni. A felesleges adatkezelések megszüntetése az a kockázatokat nagyban csökkenti.
A másik oldal pedig az, hogy a felhasználó olvassa el, hogy mire adja meg az adatokat. Ha úgy érzi, hogy túl sok adatot kérnek, ahhoz képest, amit ők szeretnének a regisztrációval elérni, akkor ne adja meg!
Veszélyesebbnek tartom, hogy ne fizessünk előre egy olyan szolgáltatónál, akit nem ismerünk.
Tegnap vagy tegnapelőtt láttam valamilyen műsorban, azt javasolta a szakértő, először vásároljunk egy kisebb mennyiségű terméket a weboldalon és ha az megérkezik rendben, utána vásároljuk meg a kívánt mennyiséget.
De hát ha először venni akarok egy plazma tévét akkor előtte veszek egy ceruza elemet???
Szerintem sokkal fontosabb az, hogy az árukereső rendszereken meg lehet nézni, hogy milyen visszajelzések érkeznek az adott forgalmazótól, mióta létezik az a forgalmazó. Van e normális impresszum rovata, normális vásárlási feltételek oldala, normális adatkezelési tájékoztatója. Ha ezekre adott eleget is a cég, akkor neki fontosak az ügyfelei és jól fogja teljesíteni a megrendelést.
Az adatkezelésnek és az adatkezelési törvény változásának akkor örüljünk?
Örüljünk! Nagyon sokan nem örülnek a szigorításoknak. De szerintem ha valaki jogszerűen szeretne szolgáltatni az ügyfelei részére és jogszerűen szeretne eljárni, akkor neki örülnie kell.
Ha valaki hosszú távon szeretne a piacon maradni, akkor neki örülnie kell. Ha valaki fogyasztó, neki is örülnie kell, hogy jobb adatvédelmi törvényünk lesz és az adatvédelmi hatóság bírságolni fogja, akik nem jogszerűen kezelik az adatokat.
Nagyon sokszor az adatvédelemnek való megfelelés egy biztosítás lesz és ez olyan, hogy például sosem vágott még az én házamba villám, nem áztam be, nem tört be az ablak, minek kössek biztosítást? Ez után sem fog. Az adatvédelemnek való megfelelés is ilyen.
Általában kevés az esély arra, hogy nagy bajba kerüljön az adatkezelő. De könnyen meglehet, és ha ezek nem voltak kellően szabályozva előre akkor még a felelősséget is megállapítják. Ezért pedig kétszer fizethetnek a cégek. Először a bírságért, utána pedig az adatvédelmi auditért, mert az első bírság után szinte mindenki megcsinálja tisztességesen az adatkezeléseit, adatkezelési szabályzatát.
Ezeket a biztosítás jellegű témákat mindig nehéz megérteni az embernek addig, amíg bele nem csapott a villám, el nem vontatták az autóját, addig nehezebb erre rászánni magát. Ez a büntetési tétel most jól megkeverheti az álló vizet.
Igen, amíg az NHH sűrűn bírságolt a spamek miatt, addig volt nem egy olyan ügyfelünk, aki azért jött, mert megkapta az első levelét a hatóságtól és szeretné a dolgait rendbe tetetni.
Nyilván most is sokan lesznek, akik kétszer „szeretnének” fizetni. Én azt gondolom, ha tényleg be lesz tartatva, akkor tényleg örül mindenki, ha pedig nem lesz, akkor tényleg semmi értelme az egésznek.
(folyt. köv.)
Legyen most ez a végszó, de a következő cikkben kitérünk a Facebookot és a közösségi média használatot érintő adatkezelési szabályokról.
Neked mi a véleményed az új adatvédelmi törvényről?
A leírtak függvényében Te örülsz neki?
Ha észrevételeid vannak, ne tartsd vissza, szólj hozzá! Ha pedig hasznosnak találtad a cikket, akkor nyomd meg a Like gombot vagy a +1 gombot!