Adatvédelmi szabályozás az újítások nyomában

Bár az adatvédelmi szabályozás általában kisebb-nagyobb lemaradással követi a technológiai újításokat, és utólag próbálja betömni az új eszközök bevezetése során kialakult joghézagokat, de a 2018 májusában hatályba lépő uniós adatvédelmi rendelet bevezetése után mindenképpen tisztább feltételekre és szigorúbb büntetésekre számíthatnak az érintettek.

A „programmatic buying” egy új marketingeszköz, mellyel a hirdetők is csak most ismerkednek hazánkban, de működése súlyos adatvédelmi kérdéseket vet fel. Lényege, hogy a felhasználók viselkedéséről (arról, hogy éppen milyen weboldalt néznek, valamint arról, hogy eddigi viselkedésük alapján „kik” ők) a hirdetők azonnal információt kapnak. Így valós időben licitálhatnak arra, hogy mennyit ér meg nekik, ha a hirdetésüket az adott felhasználónak mutatják meg. Aki a legtöbbet kínálja a reklámhelyért, az helyezheti el az adott felületen a hirdetését.

De honnan tudják a hirdetők, hogy kik vagyunk, és mit szeretünk csinálni? A cookie-kból. Ezek az adatcsomagok tartalmazzák a rólunk összegyűjtött információt, amely alapján megalkotható a profilunk. A meglátogatott website-ok cookie-kat telepítenek a gépünkre, amelyben a rólunk szóló információkat gyűjtik, tárolják és továbbítják. Ez azonban adatkezelés, melybe az érintetteknek bele kell egyezniük.

Már a jelenlegi szabályok is előírják, hogy a felhasználónak határozottan, tájékozottan, egyértelműen és önkéntesen kell beleegyeznie adatai kezelésébe. Jogszerűtlen, ha sérül az önkéntesség elve. Például ha az internetező nem érheti el a kívánt tartalmat, csak akkor, ha elfogadja a cookie-k használatát. Nem számít kifejezett beleegyezésnek, ha csak kipipálja vagy lekattintja a „tudomásul veszem” rubrikát, vagy ha a pipa már eleve bent van a kockában. Csak akkor megfelelő a tájékoztatás, ha ismerteti az adatgyűjtés tényét és célját, az érintettek körét, az adatkezelés időtartamát, az adatok megismerésére jogosultak körét. Ma viszont még az a jellemző, hogy a tartalomszolgáltatók részletes tájékoztatás nélkül egy egyszerű felugró ablakban kérik az internetezők beleegyezését a cookie-k alkalmazásához. Ez így nem jogszerű, hiszen a látogató nincs tisztában azzal, hogy pontosan mibe egyezik bele.

A cookie-knak három fő típusa van. Az első az oldal használatához műszaki okból feltétlenül szükséges cookie-k csoportja, melyekhez nem szükséges az érintettek hozzájárulása, de ezekkel kapcsolatban is tájékoztatni kell őket. A második típusba az egyes alkalmazások működéséhez szükséges cookie-k tartoznak, melyekhez adott esetben hozzá kell járulni, de ha ezt valaki nem adja meg, akkor csak az adott alkalmazás nem jelenik meg számára. Adatvédelmi szempontból a harmadik típus a legérzékenyebb, ezek tárolják a felhasználóról szóló adatokat, ezek teszik lehetővé a célzott hirdetéseket.

Manapság azonban az emberek még nincsenek igazán tisztában döntésük jelentőségével, szeretnének gyorsan túlesni a hozzájáruláson, ezért nem követelik meg jogaik védelmét. Erre lehet megoldás, ha az első betöltéskor csak korlátozott oldal jelenik meg, amelyhez még nem szükségesek cookie-k, és a website összes funkcióját pedig csak a valóban tudatos beleegyezés után érné el a felhasználó. A teljesen jogszerű működés feltétele a beépített adatvédelem elvének alkalmazása volna. A website-oknak felépítésükben minden ponton meg kellene felelniük az adatvédelmi követelményeknek, lehetővé kellene tenni, hogy a beállításokban adhassák meg, hogy milyen cookie-k használatába egyeznek bele. Ugyanilyen fontos szempont, hogy a hozzájárulás nem szólhat örökre, a felhasználóknak joguk van a „felejtéshez”.

Az új adatvédelmi rendelet alkalmazza a beépített adatvédelem elvét és a felejtéshez való jogot. Világossá teszi, hogy az adatkezelés helyétől függetlenül, ha az unióban élőket érinti, akkor az uniós szabályokat kell alkalmazni. 2018-tól jelentősen megnőnek az adatvédelmi jogsértések esetén kiszabható bírságok is: az eddigi maximum 10 vagy 20 millió forint helyett 10 vagy 20 millió euróra.

A hatályos és a két év múlva életbe lépő szabályozásnak azonban van egy nagy hiányossága is. Egyik sem tisztázza, hogy ki a felelős a jogszerűtlen adatkezelésért. Elméletileg egyszerű ugyan a helyzet: az adatkezelő a tartalomszolgáltató, tehát ő a felelős. De a keresőmotorok sokszor csak akkor teszik megtalálhatóvá az oldalt, ha engedélyt ad arra, hogy cookie-kat helyezzen el a látogatók gépén. Vagyis a tartalomszolgáltató nem is tudja, hogy mit telepítenek rajta keresztül. Egy olyan dologgal kapcsolatban kötelezik tájékoztatásra, amelyről neki sincs teljes körű információja.

A szabályozás tehát igyekszik ledolgozni lemaradását a technológiai újítások mögött, de a helyzet természetes jellemzője, hogy sosem lesz képes utolérni vagy megelőzni őket. Mire 2018-ban hatályba lép az új uniós adatvédelmi rendelet, ma még nem is létező kérdésekre kell majd választ adnia.