Minden év január 28-án ünnepeljük az adatvédelem napját 49 másik országgal együtt. A személyes adatok biztonsága egyre fontosabbá válik, ahogy - különösen az online tevékenységek végzésekor - egyre több adat keletkezik a különféle elektronikus eszközöket és digitális szolgáltatásokat használó személyekkel kapcsolatban. Szinte már közhely, hogy Az adat az új olaj! Az adatok - kinek miképpen - nem csak értékesek lehetnek, de a felhasználásuktól függően komoly befolyással lehetnek azok tulajdonosai életére is.

Ebben az írásban adat alatt legtöbbször a természetes személyekre vonatkozó adatokat értem.

Mi az adat?

Az adat fogalmának meghatározására többféle megközelítés alkalmazható. Legáltalánosabban az informatikai szempontok szerinti meghatározás terjedt el: az adat valamire (személy, tárgy, folyamat, stb.) vonatkozó elemi ismeret, amely rögzíthető. Az adatok rögzítése valamilyen kódrendszer felhasználásával történik. Nem csak informatikai eszközökkel lehet adatot rögzíteni: az amatőr meteorológus, aki egy füzetbe írja a napi három alkalommal (reggel, délben, este) mért hőmérséklet értékét, adatokat gyűjt és rögzít. Az adat attól válik adattá, hogy valaki vagy valami valamilyen módon érzékeli és rögzíti. Az előző mondatban szereplő valami kitétel nem tévesztés volt. A manapság keletkező adatok egyre nagyobb része már nem emberek, hanem érzékelők, gépek, alkalmazások által érzékelt, gyűjtött, rögzített, majd feldolgozott adat.

Mik a személyes adatok?

A személyes adatok azok, amelyek egy természetes személlyel kapcsolatba hozhatók, azokból rá valamilyen következtetés vonható le. Ilyen lehet pl. a név, e-mail cím, lakcímadatok, a használt eszköz IP címe, a pillanatnyi tartózkodási hely koordinátái, fizikai, biológiai jellemzők és még rengeteg más adat. Az adat nem attól lesz személyes, hogy valóban megtörténik az adatkezelési művelet - a meghatározás szerint ilyen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása -, elegendő ha az a személyes adat kategóriába tartozik és az adatok alapján lehetséges egy adott személlyel való összekapcsolásuk. Az adatkezelés definíciója alapján elegendő tehát valamilyen személyes adat tárolása, az már kezelésnek számít.

Minden adat egyforma?

A személyes adatok között vannak különbségek aszerint, hogy milyen jellemzőjére vonatkoznak a személynek. A jogi szabályozás külön is nevesíti a különleges személyes adat fogalmát, amely a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre, az egészségi állapotra, valamint a kóros szenvedélyre vonatkozó és a bűnügyi személyes adat. Ezeket az adatokat gyűjteni és feldolgozni csak törvényi felhatalmazás birtokában és megfelelően biztonságos körülmények között szabad.

Személyes adatok típusai. Forrás: MyData Global

Manapság egyre elterjedtebbek a fitneszkarkötők és okosórák. Ezek az eszközök egyre több és pontosabb szenzorral mérnek egyre több egészségi állapotra vonatkozó adatot, amelyet tárolnak, feldolgoznak, továbbítanak. Az Apple Watch kapcsán sok olyan történet kering, amely arról szól, hogyan mentett életet az óra jelzése. Itt például nem kérdés az egészségügyi adatkezelés és minden valószínűség szerint az adat személyhez kötése sem, mivel az Apple ID-hez valós adatokat, például bankkártya információkat kell megadni. Érdekesek ebből a szempontból azok az alkalmazások is, amelyek valamilyen vallási tevékenységet támogatnak: az előírásoknak megfelelő rituális tevékenységet segítik - a napi ötszöri ima idejére figyelmeztetik a mohamedán vallású felhasználót és az eszköz digitális iránytűjével jelzik Mekka irányát -, vagy vallásos idézeteket mutatnak, de például a női ciklus követésére, vagy gyógyszerszedésre emlékeztető alkalmazás is gyűjthet érzékeny információt.

Miért és hogyan kell védeni az adatokat?

Az adat érték és nem megfelelően kezelve hátrányos következményekkel is járhat a tulajdonosára nézve. Vannak adatok, amelyek feldolgozásának feltételeit jogszabályok írják elő. Ilyenek például a korábban már említett egészségügyi adatok. Egy biztosító nem teheti meg - bár szándék lenne rá -, hogy szerződéskötés előtt a leendő ügyfélre vonatkozó adatokat lekérje az egészségügyi rendszerből. Azokra az információkra kell hagyatkoznia amiket megkap az illetőtől, vagy amiket - például életbiztosítás megkötése előtt - egy előírt orvosi vizsgálat alapján szerez. Nincs lehetőség például genetikai információk felhasználására, amelyek a genetikai profil alapján valószínűsíthető egészségügyi kockázatok szerint módosíthatják a biztosítás feltételeit.

A kapcsolati hálónk - rokonok, barátok, munka- és tanulótársak, ismerősök - is személyes adat. Nem mindegy, hogy mekkora részét és kivel osztod meg. Az ilyen adatok birtokában valaki, kiegészítve azokat sok más információval - ahogy azt például a Cambidge Analytica botrány kapcsán is láthattad - alkalmas lehet manipulációra, politikai és gazdasági természetű vélemény- és döntésbefolyásolásra.

Éppen ezért fontos a megfelelő szabályozás és persze annak betar(ta)tása helyileg és nemzetközi viszonylatban is, de a Te megfelelő tudásod és döntéseid is kellenek a személyes adataid védelméhez. Az, hogy milyen adatot kivel és milyen célból osztasz meg, kihatással van azok további sorsára. Sok esetben nem pénzzel fizetsz különféle ingyenesnek mondott szolgáltatásokért, hanem a saját adataiddal és olykor másokéval is. Egy új alkalmazás vagy szolgáltatás használatba vételekor érdemes végig gondolni ezt és ennek megfelelően dönteni az adatok kezeléséhez való hozzájárulásról. Amikor egy mobilos alkalmazás hozzáférést kér a névjegyeidhez, gondolkozz mennyi és milyen adatot adsz át.

Ez csak valami vállalati izé, nem igaz?

A vállalkozások jelentős része kezel különféle személyes adatokat működése során. Rájuk tehát valóban vonatkoznak az adatkezelési szabályok, így különösen az Általános Adatvédelmi Rendelet (vagy ahogy általában ismerjük a GDPR), vagy a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Info tv.), de több másik törvénynek is vannak adatkezelési vonatkozásai. Ilyen például a 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről is. Ezen felül több más jogszabálynak is van/lehet adatkezelési vonatkozása. A GDPR - amely kötelezően a tagállami jogrendszerek részévé vált - hatályba lépésekor teljes körűen el kellett volna végezni a harmonizációt, amely azonban csak részben sikerült.

A helyzet az, hogy magánszemélyként akár Te is lehetsz adatkezelő! A GDPR alapján minden olyan személyes adatra vonatkozó művelet, amely túllép a családi, baráti, rokoni körön, a szabályozás hatálya alá tartozik. Nem számít adatkezelésnek tehát, ha listát készítesz az ismerőseid e-mail címeiből egy ünnepi köszöntéshez, de ha ezt az általad írt blog hírlevelére feliratkozók címeivel teszed (ebben az esetben a hírlevélre feliratkozás is adatkezeléssel jár), már igen. Nem az számít tehát, hogy cégként vagy magánszemélyként teszed, hanem az adatkezelés módja maga. Olykor elég nehezem húzható meg a határ a tevékenységek minősége között egy magánszemély esetében. Mindenképpen fontos, hogy ne tégy mások adataival semmi olyasmit, amit nem szeretnél, ha a te adataiddal tenne más. Az is igaz, hogy az adatokkal kapcsolatos tudatosság nem erős oldala az emberek jelentős részének. Ha kétségeid vannak, érdemes szakértő segítségét kérned!

Adat, vagy Információ?

Vannak akik ezt a két fogalmat mintegy egymás szinonímájaként használják. Én azokkal értek egyet, akik különbséget tesznek adat és információ között. Visszatérve a bevezetőben már említett mondáshoz, miszerint Az adat az új olaj!, a közöttük lévő összefüggés hasonlítható a kőolaj és a belőle készült termékek (benzin, gázolaj, paraffin, kenőolaj, műanyagok, stb.) viszonyához. Egyikből lesz a másik. Persze, mint minden hasonlat, ez is sántít, de példának megteszi. Annyiban mindenképpen fals a párhuzam, hogy az olaj egy véges mennyiségben rendelkezésre álló természeti erőforrás, amely a felhasználás során elfogy, az adat viszont folyamatosan termelődik, újra és újra felhasználható, a forrása gyakorlati értelemben nem kimeríthető. Az utóbbi időben egyre jelentősebb "big data" megoldások, a mesterséges intelligencia (MI, vagy AI) által támogatott adatbányászat eddig nem látott összefüggéseket segít feltárni a begyűjtött adatokban. Ahogy a tudás, úgy az információ is hatalom. Tudják ezt a kormányok, ügynökségek és a cégek is. Változatos és időnként nem okvetlenül szabályos módon gyűjtenek be különböző forrásokból, hihetetlen mennyiségű személyes adatot. Az adatok információvá történő feldolgozásával pedig szorosabb kontroll alatt tarthatók a fogyasztók/polgárok, befolyásolhatóvá válnak a döntéseik.

Kié az adat?

Azok szerint, akik a begyűjtésben, feldolgozásban és felhasználásban érdekeltek, sok esetben "az adat azé, aki megműveli". A személyes adatok kezelésére vonatkozó európai uniós szabályozás, a GDPR igyekszik megfelelő mederbe terelni és szabályozni a személyes adatok gyűjtésével, feldolgozásával és felhasználásával kapcsolatos kérdéseket, de hatékonysága és eredményessége - a kritikusok szerint mindenképpen - legalábbis kérdéses. Magam - aki nem vagyok adatvédelmi szakértő, vagy jogász - a szabályozás alkalmazójaként (ennek a weboldalnak az üzemeltetőjeként) és olyan magánszemélyként is, akinek az adatait kezelik mások azt gondolom, hogy ha nem is tökéletes de mégiscsak előrelépés a megelőző időszakhoz képest. Egyrészt az adatkezelők/feldolgozók egy (remélhetőleg jelentős) részében tudatosította a téma fontosságát valamint a lehetséges következményeket és talán az adatokat birtokló természetes személyek tudatosságának javulásához is hozzájárult valamelyest. Mert - visszautalva ennek a résznek az elejére - az adat azé, akire vonatkozik!

Az érvényes szabályozás szerint személyes adatok kezelésére csak megfelelő jogalap megléte esetén kerülhet sor. Jogalapból a GDPR összesen hatot ismer. Ezek 

• a hozzájárulás alapján történő
• a szerződés teljesítéséhez szükséges
• a jogi kötelezettség alapján végrehajtott
• a létfontosságú érdek védelme miatt szükséges
• a közérdek, vagy közhatalmi jogosítvány alapján végzett
• az adatkezelő, vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges

adatkezelés.

Az eddigi aduász, a hozzájáruláson alapuló adatkezelés nagyon sok esetben már nem megfelelő. A GDPR ezt tekinti ugyanis a "leggyengébb" jogalapnak, amely például a munkaadó-munkavállaló viszonyában csak nagyon kivételes esetben alkalmazható szabályosan. A rendelkezésre álló jogalapok között meg kell keresni azt, amelyik legjobban illeszkedik az adatkezelési helyzethez és célhoz. A hozzájáruláson alapuló adatkezelés esetén a hozzájárulásnak tevőlegesnek kell lennie. Ha a weboldalon személyes adatok kezelése történik, nem elegendő tehát 'az oldal használatával Ön elfogadja az adatkezelési irányelveket' típusú formula. Az adatkezelési tájékoztatónak (nem adatkezelési szabályzat, mivel az egy belső, az adatkezeléssel kapcsolatos feladatokat, szabályokat tartalmazza és nem kötelezően közzéteendő) minden esetben rövidnek, világosnak és közérthetőnek kell(ene) lennie. Ez sajnos nem mindig van így. Sok esetben nem tartalmaz minden szükséges információt, de az is előfordul, hogy túlzottan terjengős és/vagy szükségtelenül bonyolult, illetve a sok jogszabályi hivatkozás miatt önmagában értelmezhetetlen.

Ki és hogyan használhatja az adatokat?

A személyes adataid használatára az jogosult akinek erre engedélyt adtál, vagy aki valamilyen egyéb jogalap alapján jogosult azokat kezelni. A szabály az, hogy az engedély, vagy jogosultság nem általános, hanem az adott célhoz kötődik. Ha egy cég szerződés teljesítése érdekében kezeli bizonyos adataidat, azt nem használhatja fel mondjuk hírlevél, vagy reklámüzenet küldéséhez, mivel az egy másik adatkezelési cél és ahhoz külön hozzájárulás szükséges. Az egyik új "csodafegyver" a jogos érdek. A mostanában terjedő új típusú adatkezelési irányítópultok - ezekről írtam cikket Újabb online adatcsapok címmel - gyakorlata az, hogy beleegyezésen és jogos érdeken alapuló adatgyűjtéshez és feldolgozáshoz kérnek hozzájárulást. Asztali böngészőnél sem magától értetődő a használat, de mobilon sokkal egyszerűbb olyasmihez is hozzájárulást adni - illetve valójában nem tiltakozni ellene - amit nem biztos, hogy valóban szeretnél. A hozzájáruláson alapuló adatkezelések engedélyei kevés kivételtől eltekintve kikapcsolt állapotban vannak, a két további kattintással elérhető jogos érdek alapján végzendő adatkezelések viszont alapértelmezetten engedélyezettek, ezek ellen egyenként, vagy mindegyikre vonatkozóan tiltakozást kell benyújtani. Szerintem nem tisztességes eljárás, bár a szolgáltató cég - nem az oldal tulajdonosa, ahol ez az adatvédelmi irányítópult működik -, a Quantcast szempontjából eredményes minden bizonnyal. Az ajánlott cikkben érdemes elolvasni, hogy a cikk írásának időpontjában milyen jogos érdeken alapuló adatkezeléseket kívántak végezni a Quantcast partnerei. Az "offline adatforrásokból származó adatok összevonhatók az Ön online tevékenységével, egy vagy több cél támogatása érdekében" például máshonnan beszerzett adatok felhasználást is igényli és meglehetősen mélyen érinti a privátszférát. Nem jogászként nem is igazán értem, hogy egy ilyen adatkezelés pontosan milyen jogos érdeken alapulhat (leszámítva persze az adatot begyűjteni és használni kívánó cég haszonelvárásait)? Az említett egy vagy több cél pedig kellően homályos ahhoz, hogy azt gondoljam, itt voltaképpen egyfajta biankó felhatalmazást kap az adatkezelő, ha nem tiltakozom.

A GDPR az adatkezeléseknél kifejezetten megköveteli a célhoz kötöttség és az adattakarékosság elvének érvényesítését. Az első azt jelenti, hogy az adat csak arra a célra használható, amire az engedély, vagy más jogalap esetén a felhatalmazás vonatkozik. Új adatkezelési cél esetén új jogalap megállapítása, új tájékoztatás és szükség esetén hozzájárulás beszerzése szükséges. Az adattakarékosság elvének érvényesülése pedig azt jelenti, hogy a kívánt cél eléréséhez szükséges legkevesebb adatot kell bekérni/begyűjteni és kezelni. Kifejezetten tiltott a készletező - gyűjtsük be, egyszer még jó lesz valamire - típusú adatkezelés.

Az állam bármit megtehet?

Ha bármit nem is, de a személyes adatok kezelése során előnyben van, mivel a törvények és más jogszabályok révén ráhatása van az adatkezelési szabályokra. A GDPR az EU-ban általános érvényű, a tagállami jogba közvetlenül beépülő rendelet, amely egységes szabályozást ad a természetes személyek adatainak kezelésére vonatkozóan. Ugyanakkor voltak, vannak törekvések, amelyek például az állami intézményeket legalább részben igyekeznek kivonni a GDPR szabályai alól. Az állami szervek minden országban rengeteg különböző nyilvántartással rendelkeznek az állampolgárokról. Ezek a nyilvántartások többé-kevésbé digitalizálva és egymással országonként különböző mértékben és szabályok alapján összekapcsolva állnak rendelkezésre. Az ördög, mint oly sokszor, itt is a részletekben bújik meg. Az elvek és a megvalósítás nem mindig vannak teljes fedésben. A törvény által kötelezően működni rendelt nyilvántartásokból nem lehet (és persze nem is mindig érdemes) kimaradni, de azért vannak bizonyos eszközök a kezedben. A népességnyilvántartásban (személyi adat- és lakcímnyilvántartás) biztosan benne vagy, de megtilthatod, hogy az adataidat különböző célokra kikérjék onnan. Az EESzT (Elektronikus Egészségügyi Szolgáltatási Tér) esetében is lehet ráhatásod arra, hogy kik és milyen módon férhetnek hozzá az egészségügyi adataidhoz. Érdemes tudatosítani magadban, hogy - ha nem is teljes a kontroll - az állam által rólad őrzött adatokra is van valamelyes ráhatásod és érdemes is élned a lehetőségekkel. 

Van amikor nem vagy képes az érdekeidet védeni: a Rendőrségről szóló törvény 2020-asa módosítása alapján alapján például a rendőrség a lehallgatással szerzett adatokat akkor is jogosult húsz éven keresztül kezelni, ha a nyomozás nem vezet eredményre és a megfigyelt személyt bűncselekmény elkövetésének hiányában nem ítélik el.

Védd magad (szerszámok és tudatosság)!

A személyes adataid, érzékeny információid védelme nem egyszerű és ahogyan a biztonság általában, ez sem egy egyszeri feladat. 

Az eredményes adat- és információvédelemhez (igen, nem csak az adat érték!) eszközök is kellenek, no meg persze az, hogy tudd, mik a lehetőségeid. Nyilván lehet nagyon "keményvonalas" álláspontra helyezkedni és például nem használni semmilyen közösségi platformot, de ha van okostelefonod, akkor ez inkább mennyiségi, mint minőségi kérdés. Elég egyértelmű, hogy vannak például fokozatok a mindent, vagy semmit között. A közösségi oldalakat is többféleképpen lehet használni. Nem ugyanaz, ha valaki nem közszereplőként, vagy ismert személyként az egész életét posztolja, ráadásul bárkinek elérhetően, vagy a barátaival, családtagjaival való kapcsolattartás a cél és megnézi, mit és milyen beállításokkal tölt fel.

Minden digitális eszköz, vagy szolgáltatás használata nyomot hagy és jelenthet veszélyt. E-mailben is kaphatsz zsarolóvírust, nem muszáj a Dark Weben üzletelned. Nem kell torrentről "szerzett" program a bajhoz. Elég ha kíváncsi vagy és a talált pen drive-ot gyorsan bedugod az otthoni számítógépbe. Az se okos dolog, ha ahelyett hogy hallgatnál a biztonsági program jelzésére, inkább kikapcsolod, mert szeretnéd megnézni a kapott programot. Elhiheted, hogy régi barátod egyszer csak angolul ír Neked és kér, hogy nyisd meg a levélhez mellékelt állományt, vagy hogy a bankod levélben szólít fel, azonnal cserélj jelszót és Te már kattintasz is. Több már nem is kell! Ha úgy telepítesz mindenfélét, regisztrálsz weboldalakra, hogy nem olvasod el mihez adsz hozzájárulást, belefuthatsz olyan helyzetbe, amikor nem csak pénzzel, de az adataiddal is fizetsz. Persze az adataid szinte biztosan fizetőeszközök: az ingyenes alkalmazásokban szinte kikerülhetetlenül, de olykor a fizetős appok és szolgáltatások is igyekeznek plusz bevételre szert tenni ilyen módon.

Nem először mondom, hogy nincs tökéletes biztonság! De igenis lehet és kell is javítani az esélyeken, amiben néhány egyszerű szabály betartása is sokat segíthet:

• Csak legális forrásból származó alkalmazásokat használj és azokat tartsd frissen!
• Gondold végig, milyen adatok kezeléséhez járulsz hozzá!
• Használj biztonsági alkalmazást és az legyen mindig naprakész!
• Legyenek különböző, de biztonságos jelszavaid a használt weboldalakhoz, szolgáltatásokhoz! Nem kell mindent megjegyezned, segít a jelszószéf!
• Használj két tényezős hitelesítést, ahol csak van rá lehetőség!
• Az érzékeny adatokat (jelszavak, banki, orvosi adatok) titkosítva tárold! 

Ha tetszett az írás, oszd meg barátaiddal, kövesd a Gyerek.Net.Info Facebook oldalát! Csatlakozz az Internetes biztonság - gyerekeknek, felnőtteknek csoporthoz! Véleményedet, kérdéseidet megírhatod a Facebookon, vagy regisztrációt és bejelentkezést követően itt a weboldalon.