Ez is adatvédelem: postaládákon számok "rejtik" a neveket
Az általános adatvédelmi rendeletet az Európai Parlament és Tanács még 2016-ban elfogadta (2016/679), majd 2018 májusában lépett hatályba a tagállamokban, miután három év állt rendelkezésükre felkészülni, az országok belső szabályzatait is annak megfelelően alakítani. Kis Júlia kolozsvári ügyvédet, a Jogaink Egyesület elnökét és alapítóját kérdeztük, hogyan látja a jogaszabályhoz való viszonyulást, melyek a tapasztalatai, mire ügyeljünk és figyeljünk személyes adataink tekintetében.
A GDPR kötelezővé tétele óta eltelt közel négy év. Felmerül a kérdés: egyrészt az emberek (mint érdekeltek/érintettek), másrészt az intézmények illetve általában az adatfeldolgozók, mennyire tudatosították magukban, továbbá munkájuk során a szabályozást (előnyeit, az ebből eredő jogokat és kötelezettségeket), ismerik-e eléggé az előírásokat, ki milyen mértékben alkalmazkodik ezekhez vagy várja el a betartásukat?
– Az elmúlt négy évben bizonyára sokat változott a helyzet, sokat beszéltünk róla és beépült a köztudatba, mindenki jobban odafigyel a személyes adatok felhasználására – állítja Kis Júlia ügyvéd.
Tapasztalatai szerint a cégek, a különböző szervezetek és mindenki, aki adatfeldolgozónak minősül, sokkal jobban odafigyel és igyekszik megfelelni a jogszabályok előírásainak. Az adatfeldolgozók anyagi és emberi erőforrást fordítanak arra, hogy a személyes adatok felhasználásával kapcsolatos eljárásaik megfelelőek legyenek, az adatok biztonságosan legyenek kezelve és tárolva, a honlapjaik megfelelőek legyenek ilyen szempontból, a belső működési szabályok és iratok ki legyenek egészítve - tehát a partnerekkel és ügyfelekkel való kapcsolatban alkalmazzák a jogszabály előírásait.
Ellenben az is megfigyelhető, hogy míg elméleti szinten a legtöbb adatfeldolgozó felzárkózott a jogi normákhoz (kidolgozták az adatkezelési eljárást és dokumentumokat, kineveztek felelősöket), addig a gyakorlatban a konkrét helyzetek kezelésével még adódnak problémák. – Az adatfeldolgozók megfelelési igyekezete főként amiatt alakult ki, mert tartanak a magas büntetésektől, amelyek komoly anyagi megterhelést jelentenek. Ugyanakkor, mivel az emberek tudatosabbak ezen a területen és érvényesítik is jogaikat, félnek attól, hogy perelik őket és kártérítést követelnek – mondta az ügyvéd.
– Az emberek, mint érintettek, hozzászoktak ahhoz az eltel négy évben, hogy figyelni kell az adataik felhasználására. Hiszen minden honlapon szembejön, hogy bizonyos sütiket elfogadjanak, adatvédelmi tájékoztatót tudomásul vesznek és egyetértenek vele. Bárhova mennek, vagy amikor valamilyen szolgáltatást vesznek igénybe, formanyomtatványokat kell aláírniuk, adatvédelmi tájékoztatókkal, beleegyezés igénylésével találkoznak. Ezeket a helyzeteket megszokták, a mindennapok részévé váltak. A legtöbben mégsem figyelnek erre tudatosan, mindent aláírnak, nem kérdőjelezik meg a tartalmát, egyáltalán el sem olvassák teljesen, mindezt megszokott, szükséges, de fölösleges eljárásnak tekintik, amely sok papírmunkával, de kevesebb gyakorlati változással jár – véli Kis Júlia. Vannak azonban, akik sokkal tudatosabbak, felismerik a jogsértéseket, jogorvoslati lehetőségekkel élnek, kártérítést követelnek, kérik az adataik törlését, módosítását, odafigyelnek arra, hogy mire adják a beleegyezésüket, hova kerülnek az adataik, nem egyeznek bele abba, hogy róluk fényképet készítsenek és azt felhasználják, jelentik, ha nem kívánt reklámokat kapnak.
Egy felmérés szerint Románia a harmadik helyen áll európai szinten a személyes adatokkal kapcsolatos büntetések száma szempontjából. Az elmúlt években folyamatosan növekedett a kiszabott bírságok száma és ezek mértéke is: 68 szankciót szabtak ki összesen, 721 000 euró értékben, az átlagbüntetések mértéke pedig 11.000 euró, amely érték szempontjából az európai átlag alatt van. – Vagyis a román hatóság több és kisebb mértékű büntetést szabott ki, azok értékének körülbelül a felét pedig három banknak szabták ki, ezek voltak a legmagasabb összegek. A büntetések egy részét el lehetett volna kerülni, amennyiben az adatfelhasználók a hatóságokkal együttműködtek volna, mert emiatt is bírságoltak. Továbbá a bírságok nagy részét az adatkezelés elégtelen jogalapja, az adatok biztonságos felhasználásának hiánya jelentette – magyarázta a szakember.
Kis Júlia szerint az adatfeldolgozók mindenképp egyre jobban odafigyelnek és probálnak megfelelni az adatvédelmi előírásoknak. Ez a folyamat sokszor nagy odafigyelést igényel és komoly kihívás az adatkezelők számára. Nem elég a jogszabályok ismerete, hanem azok gyakorlatba ültetése és a folyamatos megfelelés az, amely az adatkezelő különböző erőforrásait igényli. Sok esetben anyagi erőfeszítést is jelent számukra, hiszen szakemberek igénybevétele szükséges a jogi és technikai megoldások kidolgozására, de ugyanolyan fontos megfelelően felkészíteni, képezni a személyzetet, aki napi szinten alkalmazza ezeket az előírásokat a magánszemélyekkel való kapcsolattartásban.
A társadalmi életnek számos területén kerülünk olyan helyzetbe, hogy tudatosan vagy sem, de meg kell adnunk valamilyen személyes adatot magunkról. Ez történhet hivatalosan és szabályosan, de sok esetben törvénytelenül. Az ügyvéd szerint elsősorban az online tér az, ahol az emberek ki vannak téve annak, hogy személyes adataikat törvénytelenül használják.
– Az online térben gyakran előfordul, hogy a különböző honlapok nem felelnek meg az adatvédelmi előírásoknak, a különböző szolgáltatások során olyan adatokat gyűjtenek, amelyekre nincs megfelelő jogalap, és az adatok biztonságos tárolását és felhasználását sem tudják biztosítani. Leggyakrabban marketing célra gyűjtenek ilyen módon adatokat, de vannak olyan helyzetek is, amikor komolyabb kellemetlenségek is érhetik az embereket, mint például egy nem kívánt reklámfelhívás az e-mail fiókjában abból adódóan, hogy a megadott személyes adataikat az adatkezelő nem kezelte megfelelően.
Kis Júlia arra is felhívta a figyelmet, hogy az embereknek joguk van tudni, milyen személyes adatokat dolgoznak fel róluk, velük kapcsolatban: joguk van a tájékoztatáshoz, hozzáféréshez, helyesbítéshez amennyiben a feldolgozott adatok nem felelnek meg a valóságnak, továbbá törléshez, tiltakozáshoz, jogorvoslathoz való jog, stb. – A hivatalos ügyintézések során az embereknek ugyanazok a jogai, mint egy magán entitással szemben, még akkor is, ha a feldolgozás jogalapja különbözik ebben az esetben. Például az adatok biztonságára vonatkozó előírások egyaránt kiterjednek a hivatalok által feldolgozott adatokra is.
Ami a sokak által és sokat használt közösségi felületeket illeti, az ügyvéd szerint itt a GDPR ellen elsősorban nem a magánszemélyek vétenek, hanem az adatkezelők.
– A leggyakrabban ott lehet véteni, amikor olyan anyagot osztanak meg, amely személyes adatokat tartalmaz, és amelyek felhasználására nincs meg a megfelelő jogalap. Elsősorban a fényképek felhasználására, feltöltésére, megosztására gondolok. Fontos odafigyelni, milyen tartalmak kerülnek megosztásra a különböző közösségi oldalakon (Facebookon) vagy csoportokban, mert ezek kezelői felelnek a megosztott tartalmakért. A fényképek és videók megosztásán kívül arra is fontos figyelni, ha például csoportokon belül személyes adatokat gyűjtenek különböző formában (például hozzászólásban mindenki, aki érintett, adja meg a telefonszámát és e-mail címét). Egy másik gyakori példa, amikor online táblázatban kérik, hogy egy bizonyos célcsoport adatokat vezessen be, de ezt olyan módon teszik, hogy a táblázatot kitöltő láthatja azoknak az adatait is, akik előzőleg töltötték ki a táblázatot (például szervezett kirándulás alkalmával online táblázat a résztvevőkről névvel, lakcímmel, telefonszámmal, vagy iskolai csoportokban a szülők neve, elérhetősége, foglalkozása, stb.)
A felmérés arra is kitér, hogy 2018-tól folyamatosan nőttek a bírságok az unióban az adatvédelmi rendelet megsértése miatt: 2018-ban 436 ezer euro bírságot róttak ki, 2019-ben 72 millió eurót, 2020-ban több mint 171 milliót, 2021-ben pedig már meghaladta az egy milliárd eurót a bírságok összege, 521%-kal volt több, mint előző évben.
– A járványidőszakban sokkal több adatot és főként érzékeny adatot dolgoztak fel. Nagyon sok esetben ez egyáltalán nem volt megfelelő az adatvédelmi előírásoknak, főként amiatt, mert nagyon gyorsan változtak az intézkedések, nem voltak megfelelő előírások és útmutatók ezeken a területeken, és az adatfeldolgozóknak nem volt kellő idejük felzárkozni egy pár nap leforgása alatt az új helyzetekhez, annak, hogyan feleljenek meg a törvényi előírásoknak és az adatvédelmi jogszabályoknak egyaránt. Gondolok itt például az éttermekre, általában vendéglátó egységekre, rendezvények szervezőire, online oktatásra egyaránt – vélekedett Kis Júlia, de szerinte a 2021-ben kiszabott büntetések nagy száma és mértéke nem feltétlenül függött össze a járványhelyzettel, nem ez idézte elő.
Az ügyvéd tanácsa az, hogy aki úgy érzi, sérelem érte személyes adatai szempontjából, az elsősorban keresse meg az adatkezelőt, akitől kérheti esetenként az adatainak törlését, modósítását, vagy akár kártérítést.
– A gyakorlatban előfordul, hogy az adatkezelő felismeri tévedését, hogy nem tartotta be az előírásokat és a kialakult helyzetet közös megegyezés alapján sikerülhet orvosolni. Minden esetben, jogsértéskor az érintett személy a bírósághoz is fordulhat jogorvoslatért, személyes adatai megsértése esetén kártérítést is kérhet, amelyet a bíróságok meg is ítélnek. A helyzet konkrét körülményeit figyelembe véve, a megítélt kártérítés összege pár ezer euró körül szokott lenni.
Ugyanakkor, panaszt lehet tenni az adatvédelmi hatóságnál is, amely ha jogsértést tapasztal, megbünteti az adatkezelőt és különböző megfelelési rendelkezéseket is előírhat számára, kártérítést azonban nem szabhat meg az érintett fél javára. Az utóbbi években azt lehet tapasztalni, hogy egyre hatékonyabb a hatóság működése, vannak lépések a folyamatos fejlődés irányában – véli Kis Júlia.
GDPR-BÍRSÁGOK: LEGTÖBB S LEGNAGYOBB ÖSSZEGEKET TAVALY ADTÁK
Románia a harmadik helyen áll Európában a személyes adatok védelmének megsértése miatt kirótt büntetések száma tekintetében. Az Atlas VPN által készített felmérés a szerint a GDPR -bírságok tavaly meghaladták az egymilliárd eurót, 2021-ben 412 esetben róttak ki büntetést. Továbbá az Amazon és a WhatsApp társaságok fizették a legnagyobb bírságot a GDPR-törvénykezés megsértése miatt. 2021 első felében a bírságok összege elérte a közel 50 millió eurót, az Európai Unióban a legdrasztikusabb bírságokat a harmadik évharmadban rótták ki. Júliusban az Amazon Europe Core fizette ki a legnagyobb, 746 millió eurós bírságot, szeptemberben az Európai Unió 225 millió euróra bírságolta a WhatsApp Ireland Ltd-t, ez a második eddigi legnagyobb büntetés, amit a GDPR-előírások megsértése miatt róttak ki. Tavaly az év utolsó három hónapjában az Európai Unióban összesen 16,7 millió eurót róttak ki bírság gyanánt. Egyes országokban, az adatok titoktartására vonatkozó törvények frissítése jelentősen érintette a vállalatokat, mivel ezeket az új törvényes előírások értelmében bírságolták meg. Minden országban az adatvédelmet szabályozó hatóságok szigorúan figyelemmel követték a cégeket, hogy megbizonyosodjanak, azok felelősséggel kezelték az emberek magánjellegű adatait. Spanyolországban rótták ki a legtöbb, 351 bírságot 36,7 millió euró értékben, a bírságok átlaga eléri a 105.000 eurót. Például a spanyolországi telefonhálózatokat, így az ottani Vodafone céget is többször megbüntették, mivel marketing-tevékenységével megsértette a GDPR-törvénykezést. A lista második helyén Olaszország áll 101 bírsággal, a cégek összesen 90 millió eurót fizettek ki, az olaszországi átlagbírság 887.000 euró. A negyedik helyen Magyarország (45 kihágással), az ötödiken pedig Norvégia (40 kihágás) van. A magyarországi cégeknek 828.000 eurós bírságot kellett fizetniük, míg a norvég cégeknek közel kilenc millió eurót.
