Az alábbi cikk online térben az adatvédelem jelentőségéről szól. Az elektronikusan tárolt személyes adatok védelmének fontosságára kívánja közérthetően felhívni a figyelmet. Érintőlegesen ad tájékoztatást a témához kapcsolódó jogi vonatkozásról. Ennek okán nem tér ki a fizikai formában tárolt személyes adatok eltartására, megsemmisítésére vonatkozó követelményekre. Az egyéb, nem személyes adatokról is csupán a fő téma tárgyának tisztázása végett esik szó.
Kiknek van szükségük az online térben adatvédelemre?
Erre a kérdésre igen egyszerűen az a válasz; hogy mindenkinek, aki legalább egy olyan oldalt látogat, amely használata felhasználói azonosító és jelszó megadásához kötött. Hiszen ezeken az oldalakon már vannak személyes adataink. Ezen felül vannak egyéb adatok is, amiket az internet használata során rólunk, mint felhasználókról, felhasználói szokásainkról nyilvántartanak. [21, 27, 28, 25, 36, 37]
Mi az a digitális lábnyom?
Mivel a digitális világban minden elektromos jel formájában kerül rögzítésre, ezért minden ebben a térben végzett tevékenységünknek nyoma van. Megmutatja mivel, mennyi időt töltöttünk, mire kerestünk rá, az interneten hol jártunk. Emiatt kapta a digitális lábnyom elnevezést, mivel ezek a tevékenységeink után maradó nyomok, egy hozzáértő számára egyértelműen hozzánk vezethetnek. Ilyen információk például az email-ezések, bejegyzések írása, online értékelések, felhasználói regisztrációk, cookie-k elfogadása, videók, filmek fel- és letöltése, keresések, jegy vásárlások, étel rendelések, navigáció használata, helymeghatározás, képfeltöltés. Minél aktívabbak vagyunk online annál több adatot tárol rólunk az internet. [10, 11, 12, 13, 14, 23, 38, 39]
Mely adatokat szükséges védenünk?
Két egyszerű példa talán segíthet megértenünk miért, és mi ellen lehet szükségünk az online térben adatvédelemre:
Ha arra gondolunk, hogy az értékeinket az otthonunkban tartjuk, figyelünk a házunk biztonságára, ha elmegyünk becsukjuk az ablakokat, kulcsra zárjuk az ajtót. Akár egyéb óvintézkedéseket is teszünk, annak érdekében, hogy mások ne tudják mikor üres az otthonunk. Azért, hogy ne is akarjanak betörni hozzánk lámpát, riasztót kapcsolunk. Egy másik példa, hogy ha elhagyjuk a személyes iratainkat, bankkártyánkat, azonnal bejelentjük, azok eltűnését, nehogy bárki jogtalanul használhassa.
Kényelmi okokból a lakosság nagyobb része mára már a pénzügyi és személyes adataikat digitálisan is tárolja, sőt egyes szolgáltatóknál gyakori, hogy a tagsághoz tartozó fizikai kártya igénylése csupán opcionális. Ez valójában azt jelenti, hogy az adataink már nem csak egy adott helyen vannak – a pénztárcánkban, vagy az előszoba szekrényen -, hanem virtuális formában mindenhol, ahol valaha használtuk őket. [15, 16, 17, 21, 27, 28, 29, 30]
Mit tekintünk személyes adatnak
Minden olyan adatot, amely kapcsolatba hozható egy természetes személlyel, – a példa kedvéért velünk – tehát hozzánk visszavezethető, velünk azonosítható, ránk vonatkozóan következtetés levonható. Az 1992 évi LXIII. törvény úgy fogalmaz, hogy „a személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható”. Ezt a törvényt ugyan már a 2011. évi CXII. törvény hatályon kívül helyezte, utóbbi az információs önrendelkezési jogról és az információszabadságról szól, figyelembe véve a korszerű adatközlési technológiákat, az online világ nyújtotta környezetet is. [1, 3, 4, 21, 27, 28, 32, 33]
Virtuális betörés – valós veszély?
Ahhoz, hogy a veszély valószínűségét fel tudjuk mérni, a fenti példákon keresztül nézzük meg, hogy mely tényezőkkel milyen mértékben szükséges számolnunk:
Otthonunk esetében a hely adott, egy betörő időnként próbálkozhat a behatolással, amikor is egyszerre egy címre tud menni és közben, ha bárki meglátná fennáll a lebukás veszélye. Ha egy iratunkat valaki megtalálja és megpróbálja használni akár személyazonosításra, ott is egyszerre egy alkalom adódik és ha valakinek gyanús lesz, lefoglalják, nincs több lehetősége, rendőrségi ügy lesz belőle.
Hogyha a betöréssel a virtuális térben próbálkoznak, azt legtöbbször észre sem vesszük csak, amikor már azt tapasztaljuk, hogy valami nem stimmel. Nincs személyes találkozás, nincs fizikai helyszín így a virtuális betörők annyiszor próbálkoznak ahányszor akarnak. Egyszerre nem egy címet próbálnak feltörni, hanem egy egész rendszert. Például egy webshop oldalát, ahonnan a korábbi vásárlók bankkártya adatait megszerezhetik.
Látható, hogy hatványozottan megnő az anyagi károkozás kockázata. Minél nagyobb a digitális lábnyomunk, annál több adat kering rólunk, azaz annál több oldalon keresztül vagyunk elérhetőek. Ezért is hívják fel évek óta egyre több fórumon a figyelmünket az adataink védelmére. [11, 19, 27, 28, 29, 30, 37, 38, 39]
Hogyan védjük meg adatainkat?
- Csak olyan adatot, képet, bejegyzést tegyünk közzé, amit valóban mindenkinek elmondanánk. Ami nekünk, vagy másoknak nem okozhat kellemetlenséget, kiszolgáltatottságot.
- A felhasználói élményt, azaz kényelmet szolgáló funkciók használatát nem javasoljuk.
- A jelszavak rendszeres cseréje valóban segíti az adatok védettségét.
- A jelszavak erőssége Ehhez hosszú, legalább 12 karakteres változatos jelkombinációkat javasolnak a szakértők, semmiképpen sem értelmes szavakat, vagy hozzánk köthető neveket, dátumokat.
- Ne használjuk több helyen ugyanazt a jelszavunkat, felhasználói nevünket.
- Ne tároljuk egy helyen a felhasználói adatainkat.
- Figyeljünk oda az elavult, jelentéktelennek tűnő regisztrációink törlésére.
- Készülék csere alkalmával legyünk nagyon alaposak, ne maradjon rólunk információ a régi telefonokon. [21, 27, 28, 29, 35, 36, 37, 41]
Online adatok értéke
Az egyéb, – nem személyazonosságunkhoz, folyószámlánkhoz, hanem leginkább szokásainkhoz, érdeklődésünkhöz köthető – személyes adatok értéke felbecsülhetetlen a globális nagyvállalatok számára. Fejlesztések célját, mértékét, ütemezését határozzák meg az előzetes adatgyűjtések eredményei. Azok a vállalatok, szolgáltatók, akik nagy mennyiségű, adott területen releváns adattal rendelkeznek – piackutatás, igényfelmérés szempontjából adatvagyonnal – tudatosan gazdálkodhatnak a megszerzett adatokkal és egyre többen élnek is ezzel a gazdasági a lehetőséggel. Az innovációk egyik alappillére az igényfelmérés. Mivel az adatainkra való érdeklődés megnőtt a visszaélések száma is el tudott szaporodni. Érthető, hogy egyre fokozottabbá válik az igény személyes adataink védelme. Az adathalászok vagy személyiség tolvajok elsődleges célja általában nem az, hogy a sértett felet károsítsák, sokkal inkább egy másik fél számára, esetleg saját maguk számára kívánnak biztonságot szerezni, kilétüket titokban tartani vagy valamilyen adatot szolgáltatni. [2, 11, 27, 28, 29, 31, 32, 33, 34, 42]
Adatvédelem joga
A jogi védelem célja elsődlegesen az adatvédelmi incidensek és azok másodlagos hatásainak elkerülése. A természetes személyek személyes adataik kezelésével összefüggő védelem alapvető jog. Az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. A 2011. évi CXII. törvény hozatal célja volt, az adatok kezelésére vonatkozó szabályok rögzítése, hogy ez által az adatkezelők munkájuk végzése során tiszteletben tartsák a természetes személyek magánszféráját. Továbbá, hogy a közügyek átláthatósága a rá vonatkozó jog, – azaz a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog – érvényesítésével valósuljon meg. [2, 5, 7, 8, 22, 24, 25, 27, 28, 29, 38, 39, 40, 41, 42]
Online felhasználói jogok
Annak ellenére, hogy milyen sok felületen használjuk az adatainkat, általában nem nagyon tájékozódunk arról, milyen jogaink vannak vagy hogy pontosan mihez adjuk a hozzájárulásunkat, amikor egy-egy felugró ablakot elfogadunk. Most ezeket csupán felsoroljuk, nem részletezzük egyesével, de talán első olvasatra így is figyelem felkeltők:
- Tájékoztatáshoz való jog
- Hozzáférési jog
- Helyesbítéshez való jog
- Törléshez való jog
- Elfeledéshez való jog
- Adatkezelés korlátozáshoz való jog
- Adathordozhatósághoz való jog
- Felhasználói kérelmek kezelése [7, 9, 19, 22, 24, 25, 35, 36, 37]
GDPR jelentése és legfontosabb elvei
A GDPR – angolul General Data Protection Regulation, magyarul pedig Általános Adatvédelmi Rendelet – az Európai Unió rendelete, amely az Unió területén tartózkodó természetes személyek adatait védi és rendelkezik a tagállamok közötti szabad információáramlásról. A 2016-ban hatályba kerülő (EU) 2016/679 rendelet – röviden GDPR rendelet – 2018. májusától szabályozza a személyes adatok kezelésére vonatkozó elveket és az eljárások alapjait. Nem csupán a digitálisan tárolt személyes adatokra vonatkozik, hanem a nem személyes adatokra is, melyek lehetnek közérdekűek, vagy az érintettre vonatkozó különleges adatok, de ezeket a részeit most nem elemezzük. [2, 6, 8, 18, 20, 24, 25, 40, 41]
- Az adatkezelés célhoz kötött. Személyes adat kizárólag egyértelműen meghatározott, jogszerű célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Az adatok minőségére vonatkozóan a törvény kimondja, hogy „Korlátozás nélkül használható, általános és egységes személyazonosító jel alkalmazása tilos”. A tudományos kutatás céljából felhasznált személyes adatot abban az esetben lehet nyilvánosságra hozni, ha az az eredmények bemutatásához szükséges. [1, 5, 8, 20]
- Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg a sérülés vagy a megsemmisülés ellen. [1, 8, 20]
- Az adatokat a szükséges időn túl meg kell semmisíteni vagy oly mértékben szükséges módosítani, amely alkalmatlanná teszi arra, hogy az érintettekhez elvezessen. [8, 20]
- Adathozzáférés az adatvédelmi dolgozók számára korlátozott. A felvett személyes adatokat kizárólag a tájékoztatóban meghatározott személyek, ott meghatározott és munkakörük szerinti feladataik teljesítéséhez adott mértékben jogosultak kezelni. Tehát egyes jogosultak hozzáférése személyes adatonként eltérő, – ha technikailag is megoldható – akkor csak az adott feladat ellátáshoz feltétlenül szükséges adatokhoz enged hozzáférést. [8, 20]
- A digitális dokumentumokhoz, az elektronikus rendszer érintett részéhez való hozzáférést – ahol az adatok tárolása történik vagy arra vonatkozóan bármilyen egyéb információ – olyan azonosító és jelszó párossal kell védeni, ami kizárólag az illetékes személyek számára teszi lehetővé a hozzáférést. A belépési adatok használatával pedig megállapítható a hozzáférés időpontja és a hozzáférő személye. Így a változtatások – szükség esetén az illetékes hatóságok számára – teljesen transzparensek. [7, 20]
- Adatkezelésnek tekintjük – az eljárás módjától függetlenül – a személyes adatokkal vagy azokon végzett bármely tevékenységet; kiemelten a személyes adatok gyűjtését, rögzítését, tárolását, rendszerezését, felhasználását, továbbítását, terjesztését, elérhetővé tételét, betekintését, lekérdezését, közlését, nyilvánosságra hozatalát, összekapcsolását, átalakítását, tagolását, megváltoztatását, korlátozását, törlését, archiválását, megsemmisítését. [7, 20]
- Az elektronikus formában kezelt személyes adatokhoz a számítástechnikai rendszer karbantartásához szükséges elengedhetetlen mértékig hozzáférést kell biztosítani, amennyiben a feladat nem végezhető el enélkül. A biztonság növelése érdekében a karbantartást végző személye rögzített, egyéb okokból a rendszer használatára már jogosult személy. Vagy előfordul, hogy az adatokat azok védelme érdekében kis mértékben ideiglenesen módosítják, majd a karbantartást követően visszaállítják. [7, 18, 20, 22, 27, 29, 31, 32, 33, 34, 40, 41]
Kivételek, melyek nem tartoznak a GDPR alá
- A GDPR rendelet tárgyi hatálya a nemzetbiztonsági és honvédelmi célokkal nem összeegyeztethető esetekben és ezen felül a bűnügyi adatkezelésre nem vonatkozik. Továbbá az Európai Unió adatvédelmi reformjának a telekommunikációs szektort érintő rendelete hiányzik az itthoni szabályozásból, ennek elfogadásában még nincs konszenzus.
- Azokon az adatokon, amelyek semmilyen formában, azaz semmilyen rendszeren keresztül nem kerülnek elektronikus feldolgozásra, hanem mindvégig papír alapú kézi adatgyűjtések maradnak nem alkalmazható a rendelet.
- Közérdekű adatok nyilvánosságának nincs Európai Uniós egységes szabályrendszere, ezzel együtt a véleménynyilvánítás is nemzeti kompetenciába tartozik. Mivel a digitális adatkezelő platformok jelenleg még önállóan dönthetnek a felhasználók véleménynyilvánításainak törlése, elrejtése felől, ezért az információ torzul. [6, 18, 20, 22, 31, 32, 33, 34]
Adatkezelés
Adatkezelői szempontból a leglényegesebb elv, hogy csak a szükséges személyes adatok kerüljenek a gyűjtésbe és a lehető legkevesebb ideig kerüljenek tárolásra. Ez idő alatt a védelmükről, azt követően pedig a megsemmisítésükről felelőségteljesen kell gondoskodni. A felhasználói szemszögből is az a kedvező, ha csak a feltétlenül szükséges adatainkat adjuk meg, azokat védjük, karbantartjuk és amint lehet töröljük.
Az adatkezelőt védi az a szabály miszerint; amennyiben a természetes személy előzetesen tájékoztatva lett, és szabad akaratából elfogadta az adott tájékoztató tartalmát, úgy ő hozzájárult az adatai tájékoztatóban meghatározott mértékű felhasználásához. [9, 22, 31, 32, 33, 34, 42]
Források
[1] https://mkogy.jogtar.hu/jogszabaly?docid=99200063.TV
[2] https://drszep.hu/gdpr-rendelet/
[6] https://www.youtube.com/watch?v=SE95Oq1k21c&t=597s
[7] https://stratis.hu/adatvedelmi-tajekoztato/
[8] https://tokeblog.hu/adatkezelesi-tajekoztato/
[9] https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=LEGISSUM:310401_2
[10] https://www.nkp.hu/tankonyv/digitalis_kultura_10_nat2020/lecke_02_001
[11] https://www.youtube.com/watch?v=MFt3XqN9JbE&t=36s
[12] http://netpedia.hu/digitalis-labnyom
[13] https://lexiq.hu/digitalis-labnyom
[14] https://deltanet.hu/index.php/mi-a-digitalis-labnyom/
[15] https://nyilvantarto.hu/hu/okmany_elveszet_talalt
[16] https://tudastar.money.hu/ismerteto/virtualis-bankkartya-igenyles/
[17] https://www.economiafinanzas.com/hu/que-son-las-tarjetas-virtuales-y-para-que-sirven/
[18] https://arsboni.hu/a-virtualis-valosag-es-az-adatvedelem-oltalom-a-kiberfenyegetesekkel-szemben/
[20] https://virtualiseromu.hu/adatvedelmi-es-adatkezelesi-szabalyzat/
[21] https://digipedia.hu/cikk/mi-szamit-szemelyes-adatnak-es-miert-fontos-hogy-megvedd-azokat
[22] https://ratior.hu/adatvedelem/view.cgi?id=6
[23] https://hu.wikipedia.org/wiki/Digit%C3%A1lis_l%C3%A1bnyom
[24] https://gdpr.blog.hu/2020/02/10/milyen_jogokat_biztosit_a_gdpr_az_erintettek_szamara
[25] https://adatvedelem.elte.hu/erintettjogai
[26] https://adatvedelem.elte.hu/erintettjogai
[27] https://www.eset.com/hu/hirek/szemelyes-adataink-5-legnagyobb-ellensege-2021/
[30] https://www.pwc.com/hu/hu/kiadvanyok/assets/pdf/data_monetization_2018_web.pdf
[31] https://tudastar.mk.uni-pannon.hu/ff/01-adat/Adatok.xhtml
[32] https://www.ksh.hu/hbs_adatfelvetel_celja
[33] https://folyoiratok.oh.gov.hu/educatio/az-adathozzaferes-es-felhasznalas-nemzetkozi-gyakorlatai
[34] http://kgt.bme.hu/files//BMEGT30A017/Projektfeladat_I_kutatas_adatgyujtes_elemzes_3.pdf
[35] https://www.familysearch.org/hu/help/helpcenter/article/felhasznalonev-es-jelszo-szabalyai
[36] https://support.apple.com/hu-hu/guide/safari/ibrwf71ba236/mac
[37] https://support.eset.com/hu?locale=hu_HU
[38] https://www.otpbank.hu/portal/hu/Adathalaszat
[39] https://x-com.hu/adathalaszat/
