A GDPR ingyenesen letölthető az Európai Unió Hivatalos Lapján (https://eur-lex.europa.eu/), és mivel a rendelet időközben többször módosult, fontos, hogy mindig a hivatalos oldalról tájékozódjunk. A rendelet minden tagállamra nézve kötelező, az EU szintjén egységesíti az adatvédelmi jogot, amely elsőbbséggel rendelkezik a tagállamok szintjén elfogadott joggal szemben, ugyanakkor megengedi a tagállamoknak, hogy bizonyos kérdésekben kiegészítsék azt országos szabályozással. A specifikus romániai jogszabályok a Személyes Adatok Feldolgozását Felügyelő Nemzeti Hatóság honlapján (https://www.dataprotection.ro/) érhetők el.

Az uniós és országos jogszabályokat kiegészíti az Európai Unió Bíróságának joggyakorlata is, legfőképpen az előzetes döntéshozatal keretében elfogadott értelmező határozatok révén. És hogy még komplikáltabb legyen mindez:

Mit is kell védenünk?

De mit is értünk személyes adatokon? Laczkó Réka rámutatott: ide tartozik minden olyan információ, amely egy azonosított vagy azonosítható természetes személyre vonatkozik.

Ezeket az adatokat három kategóriába sorolhatjuk:

• a személyes adatok általános kategóriájába,

• a fokozott védelmet élvező személyes adatok különleges kategóriájába,

• valamint abba a kategóriába, amely tekintetében az európai rendeletet az országos szabályozás is kiegészíti.

Utóbbiba tartoznak például a különböző azonosító számok (személyi szám, személyi igazolvány száma stb.). A különleges védelmet élvező személyes adatok közé soroljuk az arcképet, ujjlenyomatot, az egészségügyi, valamint a szexuális irányultságra vonatkozó adatokat. Ezeket csak kivételes esetekben és szigorúbb feltételekkel lehet feldolgozni.

Az adatkezelő az a természetes vagy jogi személy, hatóság, ügynökség vagy egyéb intézmény, amely meghatározza a személyes adatkezelés céljait és módjait – a feldolgozás az ő érdekei mentén történik. Az adatfeldolgozó pedig az a természetes vagy jogi személy, amely az előző nevében jár el a személyes adatokkal. A törvényes keret mindkettőre vonatkozik.

Az EU-s rendelet ezzel kapcsolatban kimondja, hogy ha az adatkezelés hozzájárulás alapján történik, a közvetlenül gyermekeknek kínált szolgáltatásokra vonatkozó személyes adatok kezelése akkor jogszerű, ha a kiskorú a 16. életévét betöltötte. Ha fiatalabb, akkor már szülői hozzájárulásra van szükség. Ezt a korhatárt ugyanakkor a tagállamok lecsökkenthetik 13 évre.

Cookie, azaz úgynevezett süti

Laczkó Réka úgy véli:

Bár legtöbben hallottak az adatvédelmi rendeletről, kevesen ismerik alaposabban. Az embereket nem igazán érdekli ez behatóbban, de a 87 oldalas szöveg sem könnyíti meg a tájékozódást.

Sok esetben egyenként kell elutasítani az előzetesen kipipált engedélyeket – bár ez nem jogszerű, még mindig nagyon sok honlap alapbeállítása feltételezi automatikusan, hogy hozzájárulásomat adom az adatfeldogozáshoz. És minden esetben ajánlott elolvasni az adatvédelmi tájékoztatót.

– összegzett Laczkó Réka.

Aktív és passzív digitális lábnyomunk is van

Azt már tudjuk, hogy nagyon sokféle adatot gyűjthetnek rólunk különböző intézmények és vállalkozások, de vajon mi az, ami meg is marad rólunk – avagy mit is jelent a digitális lábnyomunk? W. Szabó Péter marosvásárhelyi informatikus szakember rámutatott:

Általában különválasztjuk az aktív és passzív digitális lábnyomot: előbbi kategóriába tartozik az az információ, amit tudatosan teszünk közzé magunkról például a közösségi médiában. A legtöbb felhasználó esetében ugyanakkor sokkal nagyobb a passzív digitális lábnyom, ami a cookie-kban tárolt információk összessége.

Az már egy 2018-as tanulmányból kiderült, hogy

A szakember szerint ha ma elvégeznék ezt a tanulmányt, az utóbbi szám szinte biztosan elérné az egymilliót. A digitális lábnyom ugyanakkor nemcsak ezt, hanem minden olyan információt tartalmaz, amire valaha rákerestünk az interneten.

rá lehet jönni arra, hogy a felhasználónak mi lesz a következő lépése, például mit fog vásárolni. Lehet tudni, hogy hol lakik, akkor is, ha nem adta meg a lakcímét, kik a rokonai, ismerősei, barátai, de azt is, hogy milyen banki szolgáltatásokat használ, hova fog menni kirándulni a nyáron. Ezen adatok mentén pedig célzott hirdetéseket lehet megjeleníteni számára” – magyarázta a szakember.

Törölhetjük magunkat az internetről?

W. Szabó Péter szerint teljesen nem tudjuk eltüntetni magunkat az online térből.

Vannak viszont erre szakosodott cégek, amelyek el tudják érni a 99 százalékos hatékonyságot.

A Google esetében egyenként kérhetjük a rólunk őrzött adatok törlését, de ez egy hihetetlenül nagy munka, ezért vannak erre szakosodott cégek” – mutatott rá W. Szabó Péter.

Amit mi magunk meg tudunk tenni, az az, hogy a régi médiafiókokat töröltetjük, akár Facebookon is. Ha mondjuk munkát keresünk, és nem szeretnénk, ha összekeveredne a személyes életünk a szakmaival, akkor létrehozhatunk egy új e-mail-címet kimondottan álláskeresésére – ezt ne használjuk randioldalakon, a közösségi médiában és más személyes dolgokra. W. Szabó Péter ugyanakkor javasolni szokta, hogy ha például a Chrome böngészőt használjuk személyes dolgokra, esetleg felnőtt tartalmakat nézünk, akkor álláskeresésre és egyéb hivatalos tevékenységekre nyissunk meg egy Firefox-ablakot, és azt használjuk.

– részletezte.

Amikor nem szabályozott az adatgyűjtés

A törvényes és szabályozott adatgyűjtés és -kezelés mellett nem szabad megfeledkezni a törvénytelen vagy szürke zónában lévő adathalászatról sem, amikor adott informatikai módszerrel igyekeznek minél nagyobb mennyiségű adatot összeszedni. W. Szabó Péter szerint nem is kell túlzottan mély informatikai tudás ahhoz, hogy valaki megírjon egy ehhez szükséges algoritmust.

A legtöbb weboldal – így például a Facebook is – meglehetősen jól védi magát az adathalászattal szemben, védve saját piaci értéküket, hiszen a felhasználók adatai komoly értéket jelentenek számukra. Blogokról vagy Twitterről azonban még mindig elég hatékonyan lehet halászni.

Folyamatos verseny van az adathalászok és a nagy mennyiségű adatot tartalmazó weboldalak között, és az előbbiek egy lépéssel előbb vannak” – tudtuk meg W. Szabó Pétertől.

Az adatlopás jellemzően úgy történik, hogy hekkerek vagy hekkercsoportok feltörnek olyan oldalakat, amelyek rengeteg információt tárolnak, például a Gmail rendszerét. Összeszednek egy úgynevezett data dumpot, adathalmazt, amely több millió vagy akár milliárd adatot jelenthet. A rendelkezésükre álló adatokból megpróbálják kitalálni, hogy egy adott személynek mi lehet a felhasználóneve és a jelszava. Abból indulnak ki, hogy sokan több weboldalon ugyanazt a felhasználónevet és jelszót használják, így ha van az adathalmazban egy jelszó és egy azonosító, azt több helyen kipróbálják. Ha bejutottak a felhasználói fiókba, akkor ismerősöknek küldött linkeken keresztül terjeszthetnek vírusokat, digitális kártevőket.

– emelte ki W. Szabó Péter is a sokszor hangsúlyozott jó tanácsot.

ebben az esetben a belépéshez nem elég a felhasználónév és a jelszó, hanem a mobilunkra vagy az e-mail-címünkre kapott egyszeri azonosítót is be kell írnunk. A legtöbb bank egyébként már használja a kétfaktoros ellenőrzést.

„Az is fontos, hogy egy aktuálisan használt e-mail-címhez legyenek kapcsolva a közösségi médiában létrehozott fiókjaink, a már nem használt címet pedig távolítsuk el mindenhonnan.

– sorolta a jó tanácsokat W. Szabó Péter.

Megéri a zavarosban halászni?

ennek pedig több oka is van – erről már Kállai Emánuel székelyudvarhelyi marketingszakértővel beszélgettünk. Egyrészt ha jól működnek, nincs szükségük gyanús forrásból származó információra. Másrészt nem tudni, hogy egy bűnözőtől megvásárolt adathalmazban meglévő információnak milyen a minősége. „Mondjuk valaki megvásárol 10 ezer e-mail-címet, olyanokét, akik az elmúlt időszakban hűtőszekrényt vettek. A listától elvárja, hogy legyen 100 eladása, ehelyett csak 10 lesz. Mert az emailek 30 százalékát ki sem tudta küldeni, a kiküldöttek 95 százalékát pedig nem nyitották meg. És az sem mellékes, hogy ha az adathalász vagy a cég lebukik, annak súlyos következményei lehetnek. Hosszú távon nem lehet, nem szabad így vállalkozást építeni” – hangsúlyozta Kállai Emánuel.

Az, amikor én rákeresek valamire, elolvasok cikkeket, és ezek alapján egy cég profilt tud kialakítani rólam. Úgy, hogy én nem tudok erről. A profilozás az adathalászat frissített verziója” – magyarázta Kállai Emánuel. A szakember egy olyan weboldalt (https://optout.aboutads.info/?c=2&lang=EN) ajánlott a figyelmünkbe, ahol utána lehet nézni annak, hogy az adott számítógép vagy telefon, amit használunk, milyen honlapoknak ad ki információt rólunk. Mielőtt megnyitjuk, gyűjtsünk elég bátorságot, hiszen

– úgy, hogy valamikor mi magunk hagytuk jóvá az adatvédelmi tájékoztatót. Többségüknek pedig talán a neve sem cseng ismerősen.

Az adatkezelés tulajdonképpen jövőkutatás

Kállai Emánuel hangsúlyozta:

Vannak nagy momentumok, értékes információk, amelyeket egy cég fel tud használni. Például ha valaki A-ból B pontba költözik, hiszen ilyenkor többet vásárol, de ilyen a házasságkötés és a gyermekvállalás is. „Ha például a válófélben lévők létrehoznak egy online csoportot, akkor ez a lista érdekes, értékes lehet a családterapeutáknak. De nem az történik, hogy a családterapeuta megtudja, hogy Kis János a Függetlenség 34. szám alól épp válófélben van, hanem azt tudja meg, hogy egy adott régióban hány ember van válófélben. Ilyenkor a Google és a Facebook segítségével célzott hirdetést indít. Vagyis

– magyarázta az adatfelhasználás módját a marketingszakember.