GDPR? - Gyakran előfordul, hogy feleslegesen kérnek tőlünk hozzájárulást.

Néhány oldalnyi szöveget nyomnak a kezünkbe, miközben rohanva próbáljuk átfutni, aláírni - "ez a GDPR", szokták mondani, de a kérdőjelek sokszor megjelennek a fejünk felett: "valójában mit is írtam alá?" Székely Barnabás, aki az adatvédelem és információbiztonság terén tapasztalt szakember, világosan kifejtette, hogy gyakran tévesen és feleslegesen kérnek tőlünk hozzájárulást a személyes adataink kezelésére, csupán azért, mert nem sikerült megfelelően alkalmazni a jogszabályt. Beszélgettünk arról is, hogy mire érdemes figyelni az adatvédelmi tájékoztatókban, és miért elengedhetetlen ennek a tudatában lenni.

"Régebb, még a GDPR előtt, reflexszerű volt, hogy mindenhez hozzájárulást kértek, a GDPR óta ez nem megfelelő megközelítés, hiszen az Általános adatvédelmi rendelet (GDPR) szerint hat jogalap van, amelynek alapján személyes adatainkat jogszerűen kezelheti egy vállalat, állami intézmény, esetenként másik magánszemély, azonban a hat jogalap közül a hozzájárulás csak az egyik. Ezenkívül jogalap lehet a szerződés teljesítése is vagy épp a jogos érdek. Például, ha egy magánkórház szolgáltatásait vesszük igénybe, egyértelmű, hogy nem kell hozzájárulást adnunk az adataink kezeléséhez, hiszen azokra azért van szükség, hogy tudják a szolgáltatást biztosítani" - mutat rá rögtön az elején Székely Barnabás minősített adatvédelmi és információbiztonsági szakember, a Privacy Pro alapítója, akinek jogi és informatikai háttere is van.

További példaként hangsúlyozta, hogy nem szükséges hozzájárulásunkat megadnunk, amikor adataink kezelése elengedhetetlen egy létfontosságú érdek szempontjából. Erre jó példa, ha hirtelen egészségügyi problémával szembesülünk, és sürgős orvosi beavatkozásra van szükségünk. "Ezekben az esetekben az egészségügyi szakemberek nem fognak hozzájárulást kérni az adataink kezeléséhez; sokkal inkább az a prioritás, hogy a lehető leghamarabb megkapjuk a szükséges ellátást" - részletezte, miért van ez a gyakorlat.

Továbbá, a jogszabályi előírások következtében az adatainkat kezelhetik, amikor egy állami intézmény vagy vállalat számlázást végez. Ezt a törvény kötelezővé teszi számukra, így nem szükséges külön hozzájárulásunkat kérniük – tette hozzá a szakértő.

A szakértő véleménye szerint számos esetben a komplex jogszabályok megértése elmaradt, ami miatt jogosan fejezhetik ki elégedetlenségüket a kis- és közepes vállalkozók. Ők gyakran úgy érzik, hogy a jogszabályok túl nagy terheket rólnak rájuk, és nem tudják teljes mértékben teljesíteni az elvárásokat.

"Miután látták a kkv-k, hogy nem tudnak megfelelni az előírásoknak, sokan lemásolták, amit találtak a konkurencia weboldalán vagy amit kidobott a Google, esetleg a ChatGPT-t hívták segítségül, így aztán nem lett ez okosan, érdemlegesen alkalmazva" - mutatott rá a szakértő. Hogy mennyire nem értették meg a rendeletet ezt számos példa mutatja Székely Barnabás szerint, amelyekkel szinte naponta találkozhatunk.

Sok esetben előfordul, hogy olyan hozzájárulást kérnek tőlünk, amikor erre valójában nincs is szükség. Például, ha online vásárlásra kerül sor, elegendő csupán tájékoztatást kapnom, hiszen nem szükséges sem aláírnom, sem pedig kifejezetten elfogadnom a feltételeket; mindössze tudomásul kell vennem azokat. Ennek ellenére gyakran találkozunk azzal, hogy nem csupán annyit írnak, hogy "elfogadom", hanem azt is hozzátesszik, hogy "elolvastam, értelmeztem és tudomásul vettem", ami nemcsak felesleges, hanem félrevezető is lehet.

A mindennapi munkánk során gyakran találkozunk azzal a kérdéssel, amikor ügyfeleink megoldásokat keresnek, és megkérdezik: "Nem kell ezt kipipálni, nem kell aláírni?" A válasz egyértelmű: nem, hiszen ez nem minősül hozzájárulásnak a jogalap szempontjából. Ha jobban belegondolunk, az adatkezelési tájékoztató aláírása egy újabb személyes adat kezelését vonja maga után: az aláírásunkat. Vannak olyanok, akik ezt a folyamatot annyira túldimenzionálják, hogy a hozzájárulási nyilatkozaton feltüntetik a személyi számukat, nevüket és lakcímüket is, miközben kérdéses, hogy valóban érvényes hozzájárulásról van-e szó.

"Elengedhetetlen, hogy alaposan átnézzük a tájékoztatót, hiszen ez adja meg a választ arra, hogy pontosan milyen keretek között zajlik az adatkezelés. Léteznek olyan tájékoztatók is, amelyek nem tartalmazzák az összes szükséges információt, ilyenkor jogunk van további részletekért e-mailben fordulni a céghez. Fontos tudni, hogy a vállalatnak legfeljebb 30 napon belül kötelessége válaszolni erre a megkeresésünkre" - emelte ki Székely Barnabás, aki arra is figyelmeztet, hogy érdemes óvatosnak lenni azokkal a cégekkel, amelyek nem világosan kommunikálnak az adatkezelési gyakorlatukról.

A legtöbb tájékoztató úgy fogalmaz, hogy "a jogszabályoknak megfelelően kezeljük a személyes adatait", ami számomra egy figyelmeztető jel: ez a semmitmondás táptalaja. Felmerülnek a kérdések: mit tesznek pontosan a személyes adatokkal? Hogyan biztosítják azok védelmét? Mely adatokat gyűjtik, és milyen célokra használják őket? Mennyi ideig tárolják őket? Kinek továbbítják az információkat? Milyen biztonsági intézkedéseket és mentéseket alkalmaznak annak érdekében, hogy megóvják a személyes adatainkat? Ezek a hiányosságok komoly problémát jelentenek, hiszen a megfelelő tájékoztatás elengedhetetlen a bizalom kialakításához.

Kiemelte, érdemes nagyon óvatos lenni a túl előnyösnek tűnő ajánlatokkal. "Sok esetben kiderülhet, hogy olyan cég van a hirdetés mögött, amelyik elveszi a pénzt, de sose érkezik meg a termék, amit rendeltünk tőle. Az adatvédelmi tájékoztató több mindenre rávilágít, mindenképpen nézzük meg - főleg első rendelés előtt - hogy mennyire megbízható a cég, már érintett volt-e különböző adatvédelmi incidensekben" - javasolta az adatvédelmi és információbiztonsági szakember.

Az egészségügyi ellátás kérdése különös figyelmet érdemel, hiszen hozzájárulásunk elengedhetetlen, ám a szakértők véleménye alapján nem minden esetben szükséges. Az egyik lényeges dokumentum, az úgynevezett tájékozott orvosi beleegyezés, arra szolgál, hogy informáljanak minket a szükséges vizsgálatokról, a lehetséges kockázatokról és a kezelés menetéről, amivel mi is egyetérthetünk (consimțământul medical informat). Emellett sok esetben a személyes adatok kezeléséhez is kérnek hozzájárulást (consimțământ pentru prelucrarea datelor conform GDPR). Székely Barnabás szavaival élve, azonban a legtöbb intézmény esetében csupán tájékoztatniuk kellene az adatkezelésről. "Nagyon megtévesztő, mivel sokan nem tudják megkülönböztetni ezeket, hiszen mindkettő consimțământ" - hívta fel a figyelmet.

Az adatkezelési tájékoztató visszautasítása elvileg nem lehetséges, hiszen a jogszabályok szerint az aláírása általában nem kötelező. Azonban a tájékozott orvosi beleegyezéshez mindenképpen szükséges az aláírás, ha kezelést szeretnénk kapni. "Ha nem írom alá, az intézmény nem tudja bizonyítani, hogy tájékoztattak az anyajegyem eltávolításával kapcsolatos kockázatokról és a beavatkozás menetéről" - tette hozzá.

A GDPR végrehajtása körüli egyik legnagyobb kihívás a kommunikáció hiányossága, állítja egy szakértő, aki sokunkkal egyetemben azt tapasztalta, hogy a dokumentumok kitöltése szinte gépies módon zajlik. Pedig a rendelet világosan megfogalmazza, hogy a tájékoztatásnak érthetőnek és hozzáférhetőnek kell lennie.

"Elengedhetetlen, hogy a dokumentumok tartalmát röviden és világosan ismertessék: ez az anyag azt részletezi, hogyan bánunk az Ön adataival, míg a másik arról tájékoztat, hogy mi következik ezután. Ezzel a megközelítéssel az emberek számára egyszerűbbé válik a megértés." - magyarázta.

Ugyanakkor a megfelelő gyakorlat az lenne szerinte, hogy ne akkor adjanak tájékoztatót, amikor a helyszínre érkezik a kliens vagy páciens, hanem már akkor, amikor időpontot kér, regisztrál. Így előre áttekintheti, hogy regisztráció esetén vagy, ha beavatkozásra kerül sor, milyen adatokat kezelnek, és ez alapján dönthet, mielőtt sor kerülne az adatok gyűjtésére, hogy azt a szolgáltatót gondolja-e a legbízhatóbbnak.

Bár előírás a közérthetőség, és az is, hogy a célközönségnek - akár gyereknek is - megfelelő szinten kell megírni, ez ritkán valósul meg nálunk. "Nyugati kórházak vezettek be jó megoldásokat: kis animációban foglalják össze a tudnivalókat, nem kell olvasni a sok szöveget, csak ha valakit érdekel" - magyarázta a szakértő, aki szerint a gyakorlatba ültetésnél bukott el minden.

"A gyakorlatba való rossz implementáció miatt sokan csupán annyit látnak a GDPR-ból, hogy 'jaj, ez csak egy papír, amit alá kell írni a cégeknek'. Pedig a GDPR sokkal többre hivatott, csak a legtöbb vállalat és állami intézmény nem tudta megfelelően alkalmazni, így a valódi hatását nem tudja kifejteni. A GDPR fő célja, hogy az adatkezelés biztonságosabb és jogszerűbb legyen. Ha a cégek csupán annyit tanulnak meg belőle, hogy egy aláírandó dokumentumot kell készíteniük, akkor az adatok kezelése sajnos nem válik biztonságosabbá" – hangsúlyozta az adatvédelmi szakértő.

Az adatkezelési tájékoztatóban fontos, hogy világosan kifejezésre juttassák, milyen típusú adatokat kérnek el tőlünk, és milyen célra használják fel ezeket. Emellett lényeges, hogy tájékoztassanak arról is, meddig őrzik meg ezeket az információkat, valamint milyen intézkedéseket alkalmaznak az adatok védelme érdekében. Továbbá, érdemes megemlíteni, hogy ki jogosult még hozzáférni az adatokhoz, hogy teljes körűen megérthessük személyes adataink kezelésének körülményeit.

Székely Barnabás példaként említette, hogy amennyiben a könyvelési feladatokat kiszervezik, a könyvelő cég hozzáférést kap az adatokhoz. Hangsúlyozta, hogy a tájékoztatás kezdetén egyértelműen meg kell határozni, ki az adatkezelő. "Fontos, hogy az adatkezelő jogi személyének nevét, adószámát, valamint a székhely címét is fel kell tüntetni, hogy az érintettek könnyen azonosíthassák őt" – tette hozzá.

Székely Barnabás rámutatott arra is, hogy a tájékoztató végén kötelezően szerepelnie kell annak, hogy a GDPR keretein belül milyen jogok illetik meg az érintetteket. "Ezek közé tartozik például a törléshez való jog, a tiltakozáshoz való jog, és az AI által vezérelt környezetben fontos tudni, hogy létezik olyan jog is, amely lehetővé teszi számunkra, hogy ellenezzük az automatikus döntéshozatalt. Amennyiben például egy bank automatizált rendszert alkalmaz a kölcsönkérelmek elbírálására, ahol az AI határozza meg, hogy ki mennyi pénzt kaphat, és ebben a folyamatban nem vesz részt emberi döntéshozó, a GDPR alapján lehetőség van az ilyen típusú automatikus döntések ellen való tiltakozásra" - emelte ki a szakértő.

A jogaink között megtalálható az is, hogy részletesebb tájékoztatást kérhessünk. Ehhez azonban a szervezeteknek biztosítaniuk kell egy vagy két kommunikációs csatornát – például e-mailen vagy postai úton – ahol igényelhetjük a kiegészítő információkat, tette hozzá az adatvédelmi szakértő.