A személyes adatokra úgy kell vigyáznunk, mint a pénzünkre vagy a lakáskulcsunkra!

Az internet által létrejött virtuális tér nem biztonságos közeg - figyelmeztet Eőry Csaba Örs adatvédelmi szakember.

2024. március 21. Családháló

A közösségi adatkezelés nem gyerekjáték, hiszen a személyes adatainkkal való visszaélés veszélybe sodorhatja magánéletünket, végső soron emberi méltóságunkat is veszélyeztetheti. De hogyan tudunk felelősséget vállalni valaki személyes adataiért, és miképpen ellenőrizhetjük azt, hogy a másra bízott adatainkat biztonságosan kezelik? Mit várhat el a szülő egy oktatási intézménytől, és biztonságban vannak-e az adataink egy közösségi-média felületen? Eőry Csaba Örs adatvédelmi szakemberrel, a Dimentor Zrt. vezérigazgatójával arról beszélgettünk, hogyan óvhatjuk gyermekeinket és saját adatainkat a közösségi adatkezelés során.

Mi, egyénileg mit tehetünk azért, hogyan tudunk odafigyelni rá, hogy a közösségi adatkezelés során is megfelelően legyenek kezelve az adataink? 

Amikor egy közösség tagjaként megosztjuk a többiekkel a ránk vonatkozó egyéni információkat, mindig érdemes végiggondolni, ha kell, utánanézni, hogy milyen úton-módon, milyen eszközök használatával tesszük ezt meg. Elsősorban nem az adatbeviteli eszközre gondolok, hogy számítógépről vagy okostelefonról, vagy éppen papíron adjuk-e át a személyes adatainkat, sokkal inkább arra, hogy melyik online felületen, melyik szolgáltató rendszerében, milyen tárhelyre vagy nyilvántartásba történik az adatbevitel.

Példákkal illusztrálva,

ha egy népszerű, de ingyenes e-mail-szolgáltatónál kezelt e-mail-címre vagy ugyancsak népszerű, de ingyenes űrlapszolgáltatáson keresztül osztunk meg adatokat, vagy közösen használt ingyenes tárhelyre töltünk föl bizalmas információkat is tartalmazó személyes dokumentumokat, gondolnunk kell arra, hogy a közösségünk tagjai mellett ezeknek az online megoldásoknak a szolgáltatói — vagyis számunkra és a közösségünk számára idegen emberek — is hozzáférhetnek ezekhez az adatokhoz!

Ha pedig a szolgáltató részéről nincs szerződéses kötelezettségvállalás a bizalmas adatok védelmére és jogszerű kezelésére, akkor nem tudjuk nyomon követni az általunk átadott információ sorsát, ezek a védendő adatok a világhálón keresztül, felelősségrevonás nélkül, gyakorlatilag bárkihez eljuthatnak.

Nagyon fontos, hogy a közösségen belül is csak az arra illetékes személyek ismerhessék meg a rólunk szóló, minket jellemző információkat. Például egy egész napos közösségi rendezvény előkészítése során a szervezőknek jogos igénye, hogy megismerhessék a résztvevők esetleges ételérzékenységére vonatkozó tudnivalókat az étkeztetés megfelelő biztosításához. Ezeket a személyes jellemzőket el fogják kérni a részvételi jelentkezéskor, ugyanakkor a közösségnek biztosítania kell azt, hogy ezek az érzékeny — egészségügyi — személyes adatok megfelelő védelemben részesüljenek, és csak azok férhessenek hozzájuk, akik az étrend összeállításáért felelnek. Ha ezeket az adatokat a jelentkezés során például egy ingyenesen elérhető Google Űrlapon keresztül kérik be, a személyes adatok bizalmassága és védelme nem biztosított, az adatkezelés jogsértő lesz.

Ezért rendkívül fontos, hogy a közösségi adatkezelés szabályozott módon, jogszerűen történjen, és a személyes adatok kezelésének körülményeiről az érintettek, vagyis a közösség tagjai megfelelő tájékoztatást kapjanak, aminek a megadása az adatkezelő számára szintén jogszabályi kötelezettség.

Amikor személyes adatok átadására kerül sor egy közösségen belül, akár papíron, akár digitalizált formában, érdemes meggyőződnünk az egyes adatainkhoz kapcsolódó konkrét célokról, törvényi felhatalmazásról, azaz jogalapról — hiszen gyakran előfordul, hogy bizonyos személyes adatok kezelése a közösségünk jogszabályon alapuló kötelezettsége, ilyen lehet például a tagjegyzék vezetése —, az adatkezelés időtartamáról, és nagyon fontos körülmény az is, hogy a közösség a személyes adatainkat milyen további szereplőknek adja át. Ide tartoznak az említett online szolgáltatók, de a közösség tevékenységétől függően hozzáférhetnek adott esetben ügyvédek, könyvelők, rendezvényszervezők vagy intézmények is.

Az adatkezelő felelőssége továbbá a személyes adatok fizikai védelme, a papíron vezetett jelenléti íveket, jelentkezési lapokat, jegyzőkönyveket szintén megfelelő körültekintéssel, biztonságos tárolás és szabályozott hozzáférés mellett szabad csak kezelni.

Nekünk, mint a közösség tagjának, jogunk van minderről tájékoztatást kérni, és alanyi jogunk van megkövetelni az adatkezelőktől a jogszabályokban meghatározott jogaink biztosítását, magánéletünk és magántitkaink védelmét, emberi méltóságunk megóvását. Ha nem tudunk meggyőződni a személyes adatok kezelésére vonatkozóan a körültekintő adatkezelői hozzáállásról, akkor nyugodtan tegyük szóvá, vagy kérjük adatkezelési szakember segítségét, aki érdemben fel tud lépni a személyes jogaink biztosítása érdekében.

Ha mi magunk kezelünk közösségi adatokat, mire kell mindenképpen odafigyelnünk?

Ebben az esetben mi magunk válunk adatkezelővé. Ez a gyakorlatban azt jelenti, hogy a személyes adatok kezelésének célját és eszközeit mi határozzuk meg, az adatkezelési műveleteket — ilyen például az adatok bekérése, személyes okmányok megtekintése, adatok rögzítése, nyilvántartása, továbbítása, tárolása, módosítása vagy törlése — szintén mi határozzuk meg, és az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint az érintettek megfelelő tájékoztatásának kötelezettsége és felelőssége minket terhel.

Ez komoly felelősségnek hangzik, és valóban az is. Az érintettek élő emberek, akik az életük egy kisebb-nagyobb részét, saját személyiségük jellemzőit bízzák ránk, és ezt a bizalmat emberileg is és jogi megfelelés útján is meg kell tudnunk becsülni, amikor adatkezelésre vállalkozunk.

Az internet globalizálódása és a társadalmi digitalizáció terjedése, valamint a mesterséges intelligencia folyamatos térnyerése további kihívás az adatkezelők és az informatikai szolgáltatók számára, ugyanis napról napra szembesülnek újabb kihívásokkal, amelyeket ha nem vesznek figyelembe vagy nem reagálnak rá, rövid időn belül adatvédelmi incidenshez, azaz emberi életek, családok, közösségek tagjainak közvetlen veszélyeztetettségéhez és orvosolhatatlan kiszolgáltatottságához vezethetnek. Ezért nagyon észnél kell lenni a személyes adatok kezelése, a digitális és online eszközök kiválasztása és alkalmazása során.

Ebben a kérdéskörben érdemes külön is megemlíteni a közösségi médiát. Ezeket a platformokat minden esetben gazdasági társaság üzemelteti, ami azt jelenti, hogy a működtetéséből anyagi hasznot remél.

Arról már beszéltem, hogy az ingyenesnek látszó közösségimédia-szolgáltatások sincsenek ingyen, hanem életünk és személyiségünk értékesíthető jellemzőivel, személyes adatainkkal fizetünk a használatáért. Emellett adatkezelőként azt is fontos tudnunk, hogy amikor a közösségünk számára közösségimédia-oldalt hozunk létre, és ott tartalmat osztunk meg, kapcsolatot tartunk a közösség tagjaival és az érdeklődőkkel, talán még eseményeket is meghirdetünk, amire jelentkezéseket várunk, vagy más módon fogadunk különböző információkat, akkor az adott közösségi média szolgáltatója szintén adatkezelője lesz a mi tevékenységünknek. Ezt úgy nevezi a jogszabály, hogy közös adatkezelők leszünk a szolgáltatóval, és ez azt jelenti, hogy

a közösségimédia-oldalon keresztül zajló adatkezelésekbe a szolgáltató, például a Meta is ugyanúgy beleszólhat, az ott megjelenő személyes adatokkal tőlünk függetlenül ő is rendelkezhet, saját célokat és eszközöket határozhat meg ezekkel kapcsolatban. Ez azért nagyon kockázatos, mert a közösségimédia-oldalon megjelenő személyes adatokért a közös adatkezelők egyetemlegesen, azaz külön-külön is felelősséggel tartoznak.

A magyarországi hatósági és bírói gyakorlat szerint ha — a példánál maradva — a Meta a saját üzleti céljai elérése érdekében felhasználja a mi közösségünk rendezvényére a Facebookon jelentkező érdeklődők profiladatait, és emiatt valakit sérelem ér, akkor nemcsak a Meta, hanem mi, az oldal létrehozója és kezelője is felelősségre vonhatóvá válunk, és adott esetben adatvédelmi bírságra és kártérítési kötelezettségre is számítanunk kell.

Véleményem szerint kockázatos és bátor vállalkozás egy globális, nem európai tulajdonú nagyvállalattal az online térben olyan közös adatkezelői szerepet vállalni, amely egyetemleges felelősséggel jár.

Nagyban megkönnyíti az említett védelmi követelmények teljesítését, ha egy közösség a személyes adatok kezeléséhez nem közismert nagyvállalatok ingyenes szolgáltatásait veszi igénybe, hanem például egy tapasztalt magyar vállalkozástól bérel hazai online tárhelyet, majd a szükséges adatkezelési műveletekhez ezen a tárhelyen alakít ki saját szolgáltatásokat. Havi néhány száz forintból már megoldható az olyan közösségi e-mail-szolgáltatás, névjegyzékek, naptárak és fájlmegosztó vagy közös online mappák létrehozása és használata, amelyek mind saját kezelésben vannak, egyedi közösségi internetcím alatt érhetőek el, megfelelnek az európai és a magyar jogszabályoknak, és a tagok, érdeklődők bízhatnak abban, hogy globális szolgáltatók algoritmusai nem elemzik és használják föl az egymással megosztott személyes adatokat. Én szinte mindenkinek ezt a megoldást javaslom, és nemcsak közösségeknek, hanem családoknak és kisvállalkozásoknak is, és igény szerint részt is szoktam venni ezek megvalósításában. A személyes adatok kezelése ilyen megoldással átlátható módon kézben tartható.

Milyen jogaink vannak arra vonatkozóan, hogy óvjuk saját adatainkat a közösségi adathasználat során?

Kiindulási alapnak tekinthetjük a jogszabályi rendelkezéseket. Az Európai Unió általános adatvédelmi rendelete szerint két olyan adatkezelési jogalap létezik, amely alapján az érintett szabadon dönthet a személyes adatainak kezelésével kapcsolatban. Az egyik az érintett hozzájárulása, a másik az adatkezelő vagy egy harmadik fél jogos érdeke. Az adatkezelés előtt megadott hozzájárulás bármikor visszavonható, a jogos érdek alapján folytatott adatkezelés ellen pedig az érintett tiltakozhat. Mindkét lépés azt eredményezi, hogy az adott adatkezelés nem folytatható tovább.

Olyan helyzetben, amikor a közösségre vonatkozó jogi kötelezettség, vagy az érintettel kötött szerződés teljesítése, vagy — ritkább esetben — a közösség valamilyen közfeladatának ellátása miatt van szükség személyes adatok kezelésére, akkor azzal a jogunkkal nem csak hogy tudunk, de érdemes is élni, hogy az adatkezelés tisztességes, számunkra átlátható és elszámoltatható módon, az adattakarékosság és a korlátozott tárolhatóság elvének tiszteletben tartása mellett történjen, és az adatkezelő az adatkezelési műveletek teljes időtartama alatt biztosítsa a személyes adatok bizalmasságát, sértetlenségét és rendelkezésre állását.

Ezek a jogszabályból idézett szakkifejezések a gyakorlatban azt jelentik, hogy egyrészt joggal elvárható az adatkezelőtől, hogy csak megfelelő felhatalmazás mellett, az előre meghatározott konkrét célok eléréséhez szükséges adatokat kezelje, ne mást és ne többet, és ezeket is csak a cél eléréséig és ne tovább.

Másrészt legyen az adatkezelésről egy hozzáférhető és közérthető tájékoztatás, amely jogszabály szerint leírja az adatkezelés körülményeit, és felsorolja a jogainkat és lehetőségeinket. Harmadrészt biztosítania kell az adatkezelőnek azt is, hogy a személyes adatok nem kerülnek illetéktelenek kezébe, véletlenül sem sérülnek meg vagy tűnnek el, és amikor szükség van rájuk, akkor rendelkezésre is fognak állni.

Amikor mi vagyunk az adatkezelők, akkor ezeket a követelményeket nekünk kell teljesítenünk, és nem szabad meglepődnünk, ha az érintettek ezeket el is várják tőlünk. A személyes adatokra úgy kell vigyáznunk, mint a pénzünkre vagy a lakáskulcsunkra. Ezeket sem bíznánk rá akárkire.

Nálunk óvodában például alá kell írni azt, hogy hozzájárulok a gyerekek fényképezéséhez, de hallottam olyanról is, hogy egy edző csak Viberen kommunikál a gyerekekkel, ami rákényszeríti a fiatalt a telefonhasználatra, ami esetleg még nem volt tervben az életkora miatt. Ilyen helyzetben mit lehet tenni?

A magyar Polgári Törvénykönyv rendelkezései szerint valakiről hang, kép vagy videofelvétel — néhány kivételtől eltekintve — csak az érintett hozzájárulásával készíthető, és szintén csak hozzájárulás mellett használható föl. Ez két külön hozzájárulást jelent, mert egy fénykép elkészítéséhez hozzájárulást jelenthet az is, ha valaki odaáll és mosolyog azért, hogy a kép elkészülhessen, azonban ez nem jelenti azt, hogy egyúttal hozzájárult ahhoz is, hogy az elkészített kép a médiában nyilvánosan megjelenjen vagy bárhol megosztásra kerüljön.

Mivel a gyermekek vonatkozásában a szülő vagy gondviselő a döntések meghozatalára feljogosított törvényes képviselő, ezért szükséges a hozzájárulásának beszerzése az oktatási-nevelési intézményekben készített felvételek előtt, és egyúttal az intézmény mint adatkezelő köteles teljes körű tájékoztatást adni az így gyűjtött személyes adatok kezeléséről.

Más kérdés a digitális és az online eszközök használata az iskolákban. A szakmai tapasztalatom alapján kialakul személyes véleményem az, hogy

a számítógépek, okostelefonok, tabletek, azaz a digitális infokommunikációs eszközök felelősséget önállón vállalni tudó, döntésképes felnőttek számára készült eszközök, ugyanis a használatuk olyan kockázatokat és veszélyeket rejtenek, amelyek felmérése, reális értékelése és kezelése nem várható el azoktól a kiskorúaktól, akik a világ működésének alapvető összefüggéseivel sincsenek még tisztában.

A szülők felelőssége, hogy mikor adnak a gyermekük kezébe online digitális eszközt, de azt gondolom, hogy egyik szülő sem bízza rá az óvodáskorú gyermekére, hogy egyedül vasalja ki a nadrágját, akkor sem, ha számtalanszor látta már, hogy hogyan zajlik a vasalás. Ez ugyanis azt jelentené, hogy a 4-5 éves gyermek vegye elő és állítsa föl a vasalódeszkát, ami nagy, nehéz és becsípheti a kezét, dugja be a vasalót a konnektorba, ahol megrázhatja az áram, kapcsolja be a vasalót, ami felforrósodva súlyosan megégetheti, és vasalja ki egyedül a nadrágját, amit nem tud, hogy hogyan kell, mert bár sokszor látta, de még nem tanulta meg. Hasonlóan

súlyos kockázatoknak teszik ki a gyermekeket azok a szülők, akik középiskolás kor előtt internetet és okoseszközt adnak a kislányuk vagy kisfiuk kezébe, de ez a társadalmunk nagy részében valamiért mégis természetessé vált. Vajon miért? Az ismeretek hiánya miatt.

Éppen ezeknek az ismereteknek az átadására, és a kockázatok egyéni csökkentésének támogatására hoztuk létre a DIMENTOR ZRT. Digitális Védelmi Mentorprogramjait, amelyek egyik kiemelt témája a digitális családvédelem. Olyan példatárat és ötlettárat állítottunk össze és adunk át a hallgatóságnak, amelyek megismerésével gyakorlati tippeket kapnak a mindennapos tudatos döntéseik meghozatalához, és iskolás korú gyermekeik számára is elfogadható szokásokat és napirendet tudnak kialakítani, amely megvédi őket és a család többi tagját is a veszélyhelyzetektől és a biztonsági kockázatok hosszú távú káros következményeitől.

Emellett egyelőre nem találkoztam olyan óvodával és általános vagy középiskolával, ahol a kötelező felszerelés listáján vagy a tanszerjegyzéken szerepelne az okostelefon és az internetelérés. Ebből eredően

sem óvodában, sem iskolában nem várható el a nevelők, pedagógusok részéről, hogy a kapcsolattartás mobil eszközökön történjen. A nevelési-oktatási intézményekben a gyermekek nagykorúvá válásáig a hivatalos kommunikációhoz az iskolában a szóbeli vagy a papíralapú írásbeli tájékoztatás, iskolán kívül pedig a szülők elérése vagy az iskola interneten és számítógépen keresztül elérhető saját zárt kommunikációs rendszere használható és fogadható el, mint például az e-Kréta rendszer.

A közoktatásban — általános és középiskolában — ezektől eltérő megoldások alkalmazására akár a szülő, akár a gyermek csak abban az esetben kötelezhető, ha az intézmény biztosítja az elvárás teljesítéséhez szükséges erőforrásokat. Nem szabad természetesnek venni azt, hogy a gyermekeknél saját okoseszköz van, amit iskolaidőben használnak.

Hozzáteszem, hogy a technikai feltételek teljesülése mellett a korábban elmondott adatkezelési és adatvédelmi követelményeket is teljesíteni kell, felelősséget kell vállalni a magánélet védelméért és az emberi jogok tiszteletben tartásáért.

Azt kell tudatosítani mindenkiben, hogy az internet által létrejött virtuális tér nem biztonságos közeg.

Ha rendszeresen különböző online szolgáltatók megoldásait vesszük igénybe mindennapos ügyes-bajos teendőink elvégzéséhez, bíznunk kell abban, hogy minden igénybe vett online szereplő felelősségteljesen nyújtja tudása legjavát, és a szaktudása kamatoztatásával, valamint a jogszabályokban meghatározott követelmények teljesítésén keresztül minden tőle telhetőt megtesz a tevékenységében érintett emberek személyes biztonságának védelme érdekében. Ez egy utópia, amit a szakmai tapasztalat és a rendőrségi statisztika sajnos időről időre megcáfol. Ezért

érdemes a családunk és közösségünk számára olyan saját, védett online szigetet kialakítanunk, ahol a lehető legtöbb, napi szinten használatos szolgáltatás saját technikai erőforrással biztosítható, hogy alig legyünk kitéve gazdasági vagy más aktuális érdekcsoportok kíváncsiságának, viselkedésünket és döntéseinket befolyásoló szándékának.