Az online bűnözők hamarosan „mesterlövészi” pontossággal veszik célba áldozatukat
Lassan vége az „adathalász” próbálkozások korszakának - hívja fel a figyelmet Eőry Csaba adatvédelmi szakember.
A személyes adatok védelme különösen fontos napjainkban, amikor a közösségi-médiahasználat és a mesterséges intelligencia térnyerése számos, eddig ismeretlen veszélyt és kihívást tartogat az életben. De miként kell tekintenünk a közösségi adatkezelésre, egyáltalán mik azok a szempontok, amelyeket érdemes figyelembe venni? Honnan tudhatjuk, biztonságban vannak-e az adataink, ezen keresztül pedig mi magunk, és mire kell figyelnünk akkor, ha mi is adatkezelőkké válunk? A közösségi adatvédelemről Eőry Csaba Örs adatvédelmi szakemberrel, a Dimentor Zrt. vezérigazgatójával beszélgettünk.
Első körben érdemes tisztázni, hogy mit jelent a közösségi adatkezelés, milyen eseteket lehet ide sorolni, illetve hogy milyen szabályok vonatkoznak a közösségi adatkezelésre.
A válaszadást azzal kezdeném, hogy a személyes adatok kezelése minden esetben felelősségteljes tevékenység. Ismétlem, minden esetben. Korábbi beszélgetéseink alkalmával már említettem, hogy minden olyan információ személyes adat, amely egy konkrét élő emberre vonatkozik. Nemcsak a négy személyazonosító adat tartozik ide, amelyek a személyi igazolványunkon olvashatók, hanem minden egyedi azonosító, egyéni személyiségjellemző, amely alapján az érintett személy valaki által beazonosítható.
A személyes adatok révén ismerjük egymást, egymás személyiségét, véleményét, viselkedését, döntési motivációit. A rosszhiszemű emberek is mások ismertetőjegyeit — azonosítóit, szokásait — használják föl, csak ők éppen nyerészkedésre, károkozásra, kihasználva az áldozatok általuk megismert jellemzőit. Ezért kimondottan fontos, hogy a saját személyes adatainkat is és az ismerőseinkre vonatkozó egyéni információkat is kellően óvjuk, védjük, és soha ne engedjük át illetéktelen személyek birtokába.
Az interneten és az online alkalmazásokban minden tevékenység személyes adatok kezelésével jár. Amíg az adatkezelés kifejezetten személyes célokat szolgál, úgymond otthoni tevékenység keretében történik, akkor elsősorban az emberi belátás és felelősségérzet az iránymutató amellett, hogy a jogszabályok közül az Alaptörvény és a Polgári Törvénykönyv is tartalmaz követelményeket a magánélet védelme és a magántitok megőrzése érdekében. Más a helyzet, amikor az adatkezelés más személy vagy egy közösség érdekében, vagy valamilyen üzleti cél elérése érdekében történik. Ezekre a személyesadat-kezelésekre már a magyar infotörvény, az Európai Unió általános adatvédelmi rendelete és sok esetben valamilyen speciális ágazati jogszabály is tartalmaz kötelező szabályokat, amelyeket be kell tartani.
Rokonok, ismerősök, barátok elérhetőségei, közös kirándulások alkalmával készített fényképek, videók, amíg kizárólag saját vagy szűk családi, otthoni célokat szolgál, általában egyéni megfontolás alapján, kellő körültekintéssel szabadon kezelhetők, de például az érintett személy vagy személyek engedélye nélkül nem tehetők közzé!
Ha a közösségi élet javítása a cél — kapcsolattartás, közzététel, közéleti tevékenység, kapcsolatfelvétel, tagtoborzás, rendezvényszervezés —, az már nem magáncélú felhasználás, tehát csak szigorúbb szabályok szerint szabad a személyes adatokat kezelni.
Meg kell határozni az adatkezelés pontos célját és időtartamát, rendelkezni kell megfelelő felhatalmazással, ez az úgynevezett jogalap, felelősséget kell vállalni az adatok feldolgozásában részt vevő többi szereplő tevékenységéért, technikai intézkedéseket kell tenni a személyes adatok biztonságáért, és nem utolsó sorban minden fontos körülményről tájékoztatni kell az érintett személyeket, megemlítve az adatkezeléssel összefüggésben érvényesíthető jogaikat is.
Az említett ágazati jogszabályok például az ügyvédek, az orvosok vagy a magánnyomozók tevékenységére vonatkozó törvények, rendeletek, amelyek előírják számukra többek között a szakmai titoktartást is, amely közvetlen hatással van az ő adatkezelési tevékenységükre.
Minden közösségi adatkezelés előtt érdemes konzultálni egy adatkezelési szakemberrel, aki tájékoztatást és segítséget tud nyújtani a tisztességes és átlátható személyesadat-kezelés kialakításához, valamint az érintett személyek jogainak megfelelő biztosításához. Minden olyan közösség ide tartozik, ahol van valamilyen szervezeti szintű nyilvántartás vagy közös, megosztott adattárolás, mint például az e-mail-körlevelezés vagy egy online médiatárhely.
Mi az, ami „red flag”-nek számít, azaz fel kell, hogy villanjon bennünk a figyelmeztetés, hogy itt, ezen a platformon nem megfelelően lesznek kezelve az adataink?
A személyes adatok megfelelő kezelésének négy alapvető feltétele van: meghatározott és tisztességes adatkezelési cél, törvényes felhatalmazás, elvárható biztonsági intézkedések teljesítése és az érintett személy tájékoztatása. Minden platformnak, ahol személyes adatok megadását kérik tőlünk, ezt a négy feltételt mindig teljesítenie kell.
Az adatkezelési cél azért fontos, hogy ne kérjenek el, ne gyűjtögessenek rólunk olyan adatokat, amelyekre az adott szolgáltatáshoz semmi szükség nincs. Ez sajnos gyakran előfordul, de ez a gyakorlat sérti az adatminimalizálás elvét. Fontos azt is megjegyezni, hogy csak addig lehet indokolt egy személyes adat kezelése, amíg az előre megfogalmazott cél nem teljesül. Ezt követően az adat nem kezelhető, az adatkezelőnek törölnie kell ezeket.
A személyes adataink kezelésére a törvényes felhatalmazás lehet a mi hozzájárulásunk, amelyet az adat gyűjtésekor kell az adatkezelőnek beszereznie tőlünk, de lehet több más jogalapja is az adatkezelésnek, az egyik ilyen az adatkezelőre vonatkozó valamilyen törvényi kötelezettség teljesítése. Példa lehet erre egy adásvétel során a számla kiállításához szükséges számlázási adatok rögzítése és kezelése 8-10 éven keresztül. A számvitelről szóló törvény ezt előírja az adatkezelő részére.
Az elvárható biztonsági intézkedések alatt azok az adatvédelmi technikák értendők, amelyek a megfelelő eszközök és szolgáltatások igénybevételével biztosítják a személyes adatok bizalmasságának, sértetlenségének és rendelkezésre állásának fenntartását az adatkezelés időtartama alatt. Ezt szokás általánosságban IT-biztonságnak nevezni.
Az érintett tájékoztatása pedig azt a célt szolgálja, hogy személyes adataink kezelésének körülményeiről megismerhessük azokat az alapvető ismereteket, amelyekből kiderül, hogy mi a sorsa a rólunk megszerzett és kezelt információval. Emellett tájékoztatást kell kapnunk arról is, hogy az adatkezeléssel kapcsolatban milyen jogaink vannak, például visszavonhatjuk-e a hozzájárulásunkat, vagy tiltakozhatunk-e az adataink kezelése ellen, illetve mi történik akkor, ha megtagadjuk az adataink átadását. A tájékoztatás minimális tartalmát is részletesen előírják az adatkezelésről és adatvédelemről szóló jogszabályok.
Egy online platform meglátogatása — de egy papíralapú, vagyis offline analóg adatgyűjtés esetén ugyanígy — érvényesülniük kell az előbb elmondott feltételeknek. Ha ezekről nem vagyunk meggyőződve, akkor kételkedhetünk a tisztességes és átlátható adatkezelésben. Ilyen esetben kétszer is gondoljuk meg, hogy milyen adatokat osztunk meg magunkról, családtagjainkról vagy közösségünk tagjairól, hiszen senkit nem szeretnénk tudatlanságunk miatt felelőtlenül bajba sodorni, személyes adatait adott esetben közszemlére tenni.
Milyen veszélyeket hordoz az, ha ingyenes platformokat használunk?
A személyes adatok kezelése nem csak annyit jelent, hogy neveket, telefonszámokat, e-mail-címeket tárolunk a közösségünk tagjainak nyilvántartása és elérhetőségük biztosítása céljából. Adatkezelésnek minősül emellett minden kommunikáció, amikor emberek egymással beszélgetnek, egymásnak üzennek, vagy digitális tartalmakat osztanak meg egymás között. Ha ennek a kapcsolattartásnak a megvalósításához online digitális megoldást választunk, akkor igénybe veszünk olyan szolgáltatásokat, amelyeket az üzemeltetőik üzleti vállalkozásként, anyagi haszon reményében működtetnek.
Ha egy platform vagy applikáció használatáért nem fizetünk pénzt, akkor valami más fogja biztosítani az üzemeltetők számára a hasznot. Ez általában a mi szokásaink és jellemzőink elemzése, amelyek a szolgáltatás igénybevétele során a mi saját viselkedésünkből és közléseinkből kiderülnek, és amikből következtetéseket lehet levonni, majd ezek alapján pontos reklámcélcsoportokat lehet belőlünk alkotni, vagyis mi magunk leszünk az eladható árucikk.
Az elmondottak alapján — hiszen a legtöbb ingyenes internetes szolgáltatás így működik — ezeken a platformokon nem biztosított az egymással megosztott információk bizalmassága, ami a gyakorlatban azt jelenti, hogy gyakran a mai kornak megfelelően „le is hallgatják”, elemzik az online beszélgetéseinket, üzeneteinket, adatcseréinket elsősorban azzal a céllal, hogy reklámfelületeket tudjanak értékesíteni a platformon vagy más csatornán keresztül. Ezekhez az elemzésekhez pedig napról napra mind többen használják a rohamtempóban fejlődő, egyre pontosabb és egyre olcsóbb mesterségesintelligencia-megoldásokat, amelyek már magyar szövegkörnyezetben is hatékonyan használhatók.
Ami még inkább sajnálatos, az az, hogy nem tudjuk nyomon követni, hogy a tőlünk rögzített személyes adatokat a reklámozáson túl más célokra felhasználják-e, más címzettek számára hozzáférhetővé teszik-e, és — mivel ingyenes a szolgáltatás — szerződésünk sincs, amelyben rögzítve lennének az adatkezelési célok, a jogalapok, a felelősségi körök és a titoktartási kötelezettségek. Ironikusan fogalmazva manapság már annak is „örülnünk kell”, ha egy platformszolgáltató hozzájárulást kér tőlünk a megadott személyes adatok kezelésére, és a kis négyzet kipipálásával tudjuk csak a szolgáltatásokat igénybe venni, de általában ezekben az esetekben sem kapunk részletes tájékoztatást, amely valamennyi személyesadat-kezelésre elvárható mértékben kiterjedne.
A személyre szóló reklámozás mellett arra is számítanunk kell, hogy a mesterséges intelligencia segítségével összegyűjtött személyes adatok birtokában — ezt a hasonlatot egy rendőrségi bűnmegelőzési előadótól hallottam — az online bűnözők az „adathalász” próbálkozások helyett hamarosan „mesterlövész” pontossággal fogják célba venni az általuk kiszemelt áldozatokat.
Összefoglalva elmondható, hogy ingyenes szolgáltatások igénybevétele esetén joggal tarthatunk attól, hogy önként szolgáltatjuk ki a saját magunk és online partnereink bizalmas információit, titkait általunk ismeretlen piaci szereplőknek, akikről így azt sem tudjuk, hogy melyik általunk elmondott, leírt vagy megosztott adatainkat pontosan mire fogják a jövőben felhasználni. Az a széles körben elterjedt indoklás, hogy „szolgáltatásaink hatékony fejlesztése céljából kezeljük”, lássuk be, kevés.
Talán ma már mondanom sem kell, de azért megemlítem, hogy az ismeretlen adatkezelők átláthatatlan adatkezelési gyakorlata, jogellenes adatkezelési tevékenysége számos visszaélésre ad lehetőséget, személyes adatainkat — lehet, hogy csak évekkel később, de előbb vagy utóbb — átverésre, csalásra, lopásra, zsarolásra, megfélemlítésre vagy ellehetetlenítésre is föl tudják majd használni azok a bűnözők, akik ilyen felelőtlen és jogellenes személyesadat-kezelés következtében hozzájutnak a ránk vonatkozó, egyértelműen hozzánk köthető, egyedi azonosító információkhoz.
Ezekből a bűncselekményekből igen sok példát lehet hallani a rendőrségi bűnmegelőzési előadásokon, de a megelőzésük valójában nálunk, a felhasználóknál kezdődik. Lehetőséget sem lenne szabad adnunk arra, hogy illetéktelenek hozzáférjenek az adatainkhoz, amelyekkel később megpróbálnak visszaélni. Ez az igazi prevenció.
A digitális online világ nem egy biztonságos virtuális tér. Számos kockázata van, sok veszély leselkedik ránk, ezért érdemes alaposan megfontolni, hogy az életünkben mire, milyen mértékben és hogyan vesszük igénybe.
Nálunk az iskolában tartanak előadásokat az internethasználat veszélyeiről, és a szülőkkel is külön foglalkoztak a témában. Ez mennyire általános manapság, mennyire van a köztudatban, hogy erre egyre inkább szükség lehet?
Lassú az ébredés ebben a témakörben. Amíg egy frappáns reklám vagy egy új szórakoztató szolgáltatás futótűzként elterjed az interneten, ez a téma valamiért nehezen talál nyitott fülekre. Eddig még csak kevesen tudtak azonosulni a problémával, ezért napról napra egyre több a károsult, akik már áldozattá váltak valamilyen internetes visszaélésben. Azonban legtöbbször ők sem azt keresik, hogy miként tudtak volna kimaradni a történetből, hanem legfeljebb egy újabb hasonló csalást igyekeznek majd elkerülni, és másokat ettől az egy veszélytől óvva inteni.
Nagyon fontos az a tevékenység, amelyet a rendőrség és a Nemzeti Bűnmegelőzési Tanács ezen a területen végez. Mindent megtesznek, amire lehetőségük van, de munkájukból eredően ők elsősorban a megtörtént és bejelentett bűncselekményekkel kapcsolatban tudnak tájékoztatást nyújtani.
Azt is szoktam mondani, hogy ez a megelőzés nagyrészt a felszín kapargatása. Tüneti kezelés, ami annyit jelent, hogy ha elénk kerül a csapda, ne essünk bele. A hosszútávú biztonsághoz komolyabb személyes prevenció kell, olyan egyéni életmód kialakítása, ahol tulajdonképpen nem is találkozunk olyan csapdával, amibe beleeshetnénk.
Azért hoztuk létre a múlt év második felében a Digitális Védelmi Mentorprogramokat, hogy bővítsük az ismeretterjesztésen alapuló szemléletformálás helyszíneinek és alkalmainak a számát, és azért is, hogy a mi hallgatóságunk ne csak a „tüneteket” tudja felismerni és orvosolni, hanem előrelátó módon mindenki egyénileg csökkentse azokat a kockázatokat, amelyek a legtöbb célszemélynél a konkrét veszélyeztetettséget, a csapdákat eredményezik:
például internetes zaklatás, profilhamisítás, átverés, e-mailes és telefonos megtévesztések. Sokkal tudatosabb adatkezeléssel a nagy részük megelőzhető, illetve már az első próbálkozásnál feltűnő és leleplezhető lenne.
Manapság sajnos a belátás helyett a megtapasztalás az, ami leginkább motiválja az embereket az éberségre, ezért is fontos, hogy már a nagybetűs Élet kezdetén, a fiatalok körében elkezdődjön a szemléletformálás, és az ő közösségeikben, az iskolában, a cserkészetben, a sportegyesületekben, a barátaik körében is azt lássák, azt tanulják meg, hogy a digitalizáció csak egy eszköz, egy hasznos, de kockázatos eszköz, amit ésszel és körültekintéssel szabad csak alkalmazni, mégpedig az egyén és a társadalom boldogulása érdekében.
Az interjút hamarosan folytatjuk, és megosztjuk a leghasznosabb ötleteket a biztonságos és tudatos közösségi személyesadat-kezelés elsajátításához.