A pénztárcánkat, a drága telefonunkat, az iratainkat igyekszünk megvédeni, ahogy bezárjuk az ajtónkat, miután elindulunk otthonról, ahogy az autónkat is, ha kiszálltunk. Az adatainkkal kapcsolatban azonban még mindig tudunk nemtörődöm módon viselkedni, néha még azt sem tudjuk, miért kéne őket különösebben védenünk. Ezért is lett világnapja az adatvédelemnek: a figyelemfelhívás különösen fontos.
Minden korszaknak megvannak a legfontosabb értékei. Ilyen volt egy időben az arany, a szén, az olaj, a részvények, a papírpénz, azt pedig már jó ideje egyfajta szólásként lehet hallani, hogy a legújabb kor igazi kincse az adat. De miért is? Kissé leegyszerűsítve azért, mert aki mások minél több adata felett rendelkezik, azé a pénz.
Gondoljunk csak bele, mik történhetnek, ha illetéktelenek kezébe kerülnek a személyes adataink! A leginkább egyértelmű példa az, ha a banki belépéshez szükséges információink szivárognak ki, és másnap már arra ébredünk, hogy valaki elszipkázta minden félretett vagyonunkat vagy a nevünkben vásárolt magának yachtot, repülőt vagy 10 tonna cukrot. De persze sokkal szofisztikáltabb módon is felhasználhatják az adatainkat: tudtunk nélkül visszaélhetnek a személyazonosságunkkal a világ túlfelén, megtévesztő üzeneteket küldhetnek a nevünkben, zsarolhatnak a nálunk talált titkos információkkal, privát képekkel és így tovább.
Ráadásul manapság a kiberbűnözés már üzleti szinten működik. A Facebooktól a Twitteren át a PayPal-ig a legnagyobbak adatbázisait is megcsapolták már, az így szerzett jelszavakat és egyéb információkat milliós nagyságrendben adják-veszik a dark weben. Emellett fontos megjegyezni, hogy a kiberbiztonsági szakértők szerint a vállalatok és egyéb szervezetek védekezésében is az egyik leggyengébb láncszem maga az ember: adathalászattal, megtévesztéssel és megannyi egyéb eszközzel alkalmazottaktól csalhatnak ki olyan információkat, amik aztán a teljes szervezetre nyitnak ajtót a támadók előtt.
A fentiek kapcsán pedig riasztó, mennyi információt osztanak meg magukról önként az emberek. A közösségi oldalakon, webes szolgáltatásokban egyre-másra halmozzuk az adatokat, még mindig nem ment ki a divatból, hogy például jelszavakat Messengeren vagy e-mailben, mindenféle titkosítás nélkül küldjünk el másoknak és így tovább. Emellett pedig vakon megbízunk abban, hogy az adatkezelők meg tudják védeni az összes információt, amit “beléjük tápláltunk”, és persze mindegyikük teljes titokban tart mindent. Regisztráció közben átolvasás nélkül jóváhagyjuk a felhasználási feltételeket, boldogan kattintgatunk adatgyűjtő játékokra és hirdetésekre. Az adataink pedig egy idő után ezernyi résen keresztül áramlanak olyan helyekre is, ahová nem kéne.
Világnap, mint ébresztő
A fenti emberi mulasztások, könnyelműség és információhiány ellen a legjobb módszer a folyamatos edukáció, a figyelemfelhívás. Az Európa Tanács ezért kezdeményezte azt, hogy nemzetközi napot szenteljenek a témakörnek, és 2007-től január 28-a az adatvédelem nemzetközi napja. A kezdeményezés megfogalmazása szerint az állampolgárok nem ismerik eléggé az adatvédelemhez kapcsolódó jogaikat, érdekeiket és lehetőségeiket. Bármilyen adatkezelési feltételt elfogadnak annak pontosabb ismerete nélkül, vagy épp beletörődnek, hogy az ingyenes használat fejében a szolgáltató azt tegyen az általuk megosztott információval, amit csak akar.
Az adatvédelmi nap fő célja, hogy az emberek érdeklődjenek a kapcsolódó ismeretek, veszélyforrások és védekezési lehetőségek iránt, valamint tisztában legyenek azzal, milyen fontosságot képviselnek akár a legártalmatlanabbnak tűnő személyes adataik. Emellett legyen meg mindenkinek, hová fordulhatnak kérdéseikkel és problémáikkal a szolgáltatóktól egészen a kormányzati szervekig (Magyarországon már 1992-ben törvény született a személyes adatok védelméről és a közérdekű adatok biztonságáról, 1995-ben pedig létrejött az adatvédelmi ombudsman pozíciója is).
Botrányok, betörések és szivárgások
Azt sem érdemes hinni, hogy ha valaki egyszer már tisztába került az alapvető fogalmakkal, veszélyekkel és lehetőségekkel, onnantól gondtalanul hátradőlhet. Egyre újabb adatkezelési botrányok, milliókat érintő adatlopások, gondtalan kezelésnek köszönhető szivárgások híreivel szinte hetente találkozhatunk. Nézzük csak az elmúlt hetek és hónapok “termését”!
A PayPal nemrég jelentette be, hogy 2022. december 20-án illetéktelenek jutottak be a vállalat szervereire és több tízezer felhasználó profiljához fértek hozzá. A hivatalos közlemény arról ír, hogy az érintettek nevei mellett kikerülhettek címek, társadalombiztosítási számok, adószámok és születési dátumok is, de más források szerint komolyabb a veszteséglista, és az érintett felhasználók tranzakciós előzményei, hozzákapcsolt kártyái és PayPal-számlái is a hackerek kezére juthattak.
Szintén januári hír, miszerint több mint 200 millió Twitter-felhasználó e-mail címe bukkant fel egy népszerű hackerfórumon. Ugyan itt a címeken kívül nem jelent meg más adat, ez is komoly következménnyel járhat, hiszen átfogó adathalász-támadásokat indíthatnak, amelyet a felhasználók hivatalos Twitter-kommunikációnak hihetnek.
Tavaly novemberben derült fény arra, hogy 487 millió WhatsApp-júzer adatai kerülhettek ki az üzemeltető Meta szervereiről: itt telefonszámokat árultak ismeretlenek, és a kiadott minták alapján ezek valós információk. A 84 ország felhasználóit érintő szivárgásban magyarok is érintettek, a források szerint 377 ezer hazai szám szerepel az adatbázisban.
Mit hoz a közeljövő?
Az elmúlt időszak történései után jöjjenek az idei év legfontosabb adatvédelmi trendjei. Ehhez Dr. Esztervári Adrienn, a Telekom adatvédelmi tisztviselője nyújtott segítséget, aki egyértelműen úgy látja, továbbra sem lankadhat a figyelmünk. Szóval, aki eddig eljutott a cikkben, még tartson ki: hosszú lesz, de fontos, mert az itt említett területeken várhatóak jelentősebb változások a közeljövőben.
„Ahogy a GDPR alkalmazandóvá válásának ötödik évfordulójához közelítve visszatekintünk az elmúlt időszakra – a Covid járványtól kezdve az Ukrajnában zajló háborún keresztül, az azzal összefüggésben kialakuló uniós energiaválságig és elszabaduló inflációig, vagy akár az éghajlatunk egyre aggasztóbb változásáig – azt látjuk, hogy globális és regionális szinten rengeteg kihívással és bizonytalansággal nézünk szembe. Mivel az ezzel párhuzamosan adatvezérelt innováció új megoldási lehetőségeket teremt például jobb döntéshozatalra, korszerűbb közszolgáltatásokra, kapcsolatteremtésre, személyre szabott szolgáltatások kialakítására, stb. minden eddiginél nagyobb hangsúly helyeződik arra, hogy hogyan lehet a személyes adatokat az emberiség szolgálatába állítani, társadalmi és gazdasági értéket teremteni úgy, hogy ne sérüljön a természetes személyek személyes adataik védelméhez fűződő alapvető jogának magas szintű védelme.”
A szakértő szerint ezáltal 2023-ban és persze azon túl mindenképpen számolnunk kell a személyes adatok egyre intenzívebb kezelésével járó technológiai megoldások megszületésével és fejlődésével, az azokra – a természeténél fogva fáziskéséssel – reagáló, azt keretek közé terelő új, adatvédelmet is érintő szabályok, útmutatók és határozatok megjelenésével és a GDPR szabályait sértő gyakorlatok szankcionálásával. De nézzük részletesen, milyen területeket emelt ki Dr. Esztervári Adrienn!
Közösségi platformok és metaverzumok
„Az idei év egy hatalmas adatvédelmi bírsággal indult, az Európai Adatvédelmi Testület (EDPB) kötelező érvényű vitarendezési döntéseit követően az ír adatvédelmi hatóság a Metát a Facebookot érintő határozatban 210 millió euróra, míg Instagramra vonatkozó határozatban 180 millió euróra büntette. A Facebook és az Instagram üzleti modelljének magját jelentő viselkedésalapú reklámozásának jogszerűségére és átláthatóságára vonatkozó panaszok kivizsgálása nyomán az EDPB megállapította, hogy a viselkedés alapú reklámozás nem szükséges a közösségi média felhasználókkal kötött szerződés teljesítéséhez, a felhasználóknak nyújtott szolgáltatás teljesítéséhez, így azt jogalap nélkül, jogszerűtlenül végezték a Meta platformok. A döntés következtében a Meta köteles a GDPR szabályaival összhangba hozni a hirdetési célú adatgyűjtésének gyakorlatát, amely – amennyiben visszatérnek a hozzájárulási alapú adatgyűjtéshez – a jelentős bevételkiesést eredményezhet az uniós felhasználók piacán. Kérdéses továbbá, hogy ez a döntés és a Meta válaszlépése a többi közösségi média platform reklámozási gyakorlatára is kihat-e majd?”
Izgalmas területhez a metaverzumok kérdésköre is. Itt ugyanakkor a közösségi média platformokhoz képest sokkal mélyebb online interakciós lehetőségek, különféle szolgáltatások nyújtásával, továbbá a blokklánc technológián alapuló fizetésekkel kapcsolódnak össze, értelemszerűen sokkal több személyes adat gyűjtését, kezelését, továbbítását eredményezve. A Metaverzumban az információval való önrendelkezés, az adatvédelmi alapelvek (pl. transzparencia, célhoz kötöttség, adattakarékosság), érintetti jogok biztosítása az infrastruktúra komplexitása, a közreműködő szereplők sokasága és az adatkezelésben játszott szerepének nehezen definiálható volta folytán kihívásokba ütközik, erre példa az adatok a blokklánc-technológián alapuló megváltoztathatatlan nyilvántartásának és az elfeledtetéshez való jognak az összeegyeztetése.
MI
A következő fontos terület a mesterséges intelligencia. „Az MI alkalmazásával járó szolgáltatások (virtuális asszisztensek, biometrikus azonosítást nyújtó megoldások, platformok ajánló algoritmusai, csalásmegelőző szoftverek) szektorokon átívelő térnyerésére válaszul alkotta meg és publikálta 2021. áprilisában az Európai Bizottság az MI rendelettervezetet, amely valamennyi uniós tagállamban egységesen szabályozná az MI fejlesztését és alkalmazását azzal a nem titkolt céllal, hogy Európa digitális versenyképességét javítsa és ösztönözze a MI alkalmazásával járó szolgáltatások fejlesztését, ugyanakkor biztosítsa, hogy uniós piacon forgalomba hozott és használt mesterséges intelligencia rendszerek biztonságosak, a hatályos uniós jogszabályoknak megfelelőek legyenek és jogbiztonságot biztosítsanak a beruházások és az innováció elősegítése érdekében.”
A rendelettervezet kockázati kategóriánkként eltérő szabályozást javasló megközelítésével szemben az Európai Adatvédelmi Testület (EDPB) számos adatvédelmi jellegű kritikát fogalmazott meg (például a magas kockázattal járó MI megoldások körének kibővítése, bizonyos alkalmazási célok, többek között az érzelmi elemzés kizárása), amelyek az adatvédelmi hatóságok gyakorlatába is beépülnek, így az MI alapú megoldások fejlesztőinek és alkalmazóinak különösen fontos, hogy a rendelet minél előbb napvilágot lásson, és a személyes adatok és általában a magánélet védelme és a technológiai fejlődés támogatása közötti egészséges egyensúlyt teremtve kiszámítható és egységes jogi követelményeket teremtsen. Az emberek egyre több digitális szolgáltatást használnak a mindennapjaikban, egyre több, MI-t is alkalmazó platformon, egyre több személyes adatot osztanak meg, ezeknek az adatoknak a jogszerű és transzparens, a személyhez fűződő jogok érvényesülését garantáló elemzése és felhasználása kritikus kérdés, hogy a technológiai fejlődés hatékonnyá, szabaddá és örömtelivé tegye az életünket, de ne manipulálja a döntéseinket, szűkítse be a választási lehetőségeinket, ássa alá egymás iránti bizalmunkat.
Jogalkotás
Újabb, az adatvédelmet is érintő uniós jogszabályok kihirdetésre és a meglévő tervezetek formálódására számíthatunk 2023-ban. „Az EU adatstratégiájának megvalósítására és az egységes európai adatpiac megteremtésére kidolgozott jogszabálycsomag részeként lépett hatályba tavaly az adatkormányzási rendelet (Data Governance Act), mely 2023. szeptember 24-től alkalmazandó. Ezzel párhuzamosan és szorosan kapcsolódva hirdette ki 2022. februárjában az Európai Bizottság az adatmegosztási rendeletre vonatkozó javaslatát, amely lehetővé teszi az EU piacán az IoT eszközök és a kapcsolódó szolgáltatások használata során keletkezett adatok (személyes és nem személyes) szolgáltatók és felhasználók (B2C), valamint ágazatok közötti (B2B) megosztását és újra felhasználását az adatközpontú innováció elősegítése érdekében. Emellett elképzelhető, hogy a MI rendelettervezet is hatályba lép az idén miután a Tanács tavaly decemberben elfogadta a mesterséges intelligenciáról szóló jogszabályra vonatkozó közös álláspontját, amely az MI fogalommeghatározását a gépi tanulásra, valamint logikai és tudásalapú megközelítésre alapúló rendszerekre szűkítette le.”
„Izgalmas kérdés, hogy mikorra várhatjuk a többek közt a sütik alkalmazását is szabályozó, hányattatott sorsú ePrivacy rendelet hatálybalépését, amelynek jelenleg is a háromoldalú egyeztetése (az úgynevezett trialógus) zajlik a javaslattevő Európai Bizottság, valamint a Tanács és az Európai Parlament között.
A kiberbiztonsági kockázatok és események kezelésének a köz- és magánszektorra is kiterjedő javítását, illetve az Unió egészére kiterjedő együttműködés fokozását célzó NIS 2 irányelv tavaly év végén került kihirdetésre, és idén várható a hatályba lépése az európai piacon beszerezhető hardverek és szoftverek a termékek egész életciklusát követő kiberbiztonsági követelményeit meghatározó jogszabálynak (ez a Cyber Resilience Act).” Ha az ePrivacy rendelet megszületésére várnunk is kell még, a telekommunikációs és digitális szektornak így is számos új jogszabály implementációjára kell felkészülnie.
Adattovábbítás
A digitális szolgáltatások erőteljes USA-függősége miatt komoly nehézséget jelentett, hogy 2021 nyarán az Európai Bíróság érvénytelenítette az EU és az Egyesült Államok közötti adattovábbítás garanciájául szolgáló Privacy Shield-et, amelyre az adatkezelők a nemzetközi adattovábbításaik áttekintésével és további garanciák (pl. az új általános adatvédelmi kikötések) alkalmazásával, illetve az adattovábbítási gyakorlatuk az Európai Adatvédelmi Testület ajánlásához igazításával reagáltak.
„Tavaly ősszel végre megszületett az a régóta várt elnöki rendeletet, amely az USA-ba történő adattovábbításokat érintő elsődleges kritikákra reagálva korlátozásokat és garanciákat fogalmazott meg a titkosszolgálati adatgyűjtést kapcsán. Ez képezte az alapját az EU-ból az USA-ba történő adattovábbítások tekintetében az új ún. megfelelőségi határozat tervezetének, amelynek Bizottság általi elfogadása – feltéve, hogy az az Európai Adatvédelmi Testület (EDPB) támogatja és a tagállamok is elfogadják – tavaszra várható, és amely megszületése esetén jelentősen könnyít USA-ba irányuló adattovábbításokon. Mivel az EDPB már korábban szigorú kikötéséket fogalmazott a Privacy Shield 2-vel kapcsolatban, az adatkezelők akkor járnak el helyesen, ha egyéb, jelenleg érvényben lévő garanciákra és ajánlásokra támaszkodva továbbítanak személyes adatot harmadik országba.”
„Az Európai Tanács kezdeményezésére 2007 óta január 28-a az adatvédelem napja, amelynek apropóján az adatvédelmi tudatosság népszerűsítésére irányuló programok kerülnek megrendezésre világszerte. Egy adatvédelmi tisztviselő nap mint nap szembesül azzal, hogy egy szervezet adatvédelme – ideértve a belső szabályzatokat, adatbiztonsági intézkedéseket – annyira erős, amennyire a szervezetben dolgozók és az adatkezelésben közreműködő szerződéses partnerek adatvédelmi tudatossága, felkészültsége. Emiatt a Magyar Telekom adatvédelmi csapata a kollégák, partnerek és ügyfelek adatvédelmi felvilágosítására nagy figyelmet fordít, rendszeresen szervez oktatásokat, ismeretterjesztő rendezvényeket, és jövőre is erre számíthatunk mind a fent említett trendekre, mind a vállalati működésben és mindennapi életünkben fontos adatvédelmi megfontolásokra koncentrálva.”
