logo~stef/blog/

Sürgős teendők az adatvédelmi szabályozással kapcsolatban

2013-02-18

your data is secure, because we sell it to authorized partners onlyAz adatvédelem és (megint) mindannyiunk jövője forog kockán.

Bár vélhetően kevés a nokiás doboz, Brüsszelben hiperaktívak a jellemzően amerikai lobbisták, a tét az adatvédelem jövője és az, hogy milyen szereplők, milyen adatokkal tudnak bennünket kordában tartani. Ezen a héten 3 európai parlamenti bizottságban is végszavazáshoz közeledik az adatvédelmi szabályozasi javaslat. Egy korábbi február eleji bizottsági eredmény azt mutatja, hogy egyelőre európa vesztésre áll a nemzetközi és ipari érdekekkel szemben. Az alábbiakban megpróbálom bemutatni a legfontosabb tudnivalókat. Hogy tisztelt aktív olvasoim tájékozottan vehessék fel a kapcsolatot brüsszeli képviselőinkkel és rávegyék őket érdekeink képviseletére.

Európa mindig is élen járt az adatvédelem területén, ennek okai történelmiek, például a nácik a holland népszámlálás adatait felhasználva hatékonyan deportálhatták a vallási vagy etnikai szempontból nem kívánt elemeket.

Az hatályos EUs szabályozás 1995-ben készült, azóta több nagyságrenddel többen használják az internetet és elég sok szervezet komolyan vissza is él vele. Az 1995. évi irányelv sajnálatos módon a tagországokban eltérő szabályozást teremtett. Ami oda vezet, hogy a Facebook (nem csak adózási okokből) Írországban telepedett le, miközben például Németországban folyamatos ombudsmani vizsgálatokkal és bírósági eljárásokkal próbálják megakadályozni a Facebook visszaéléseit. Továbbá a Lisszaboni Szerződés és az Európai Emberi Jogok Chartája is "alaptörvényi" szintre emeli a személyes adatok védelmét és szükségelteti egy szabályozás bevezetesét. Az Európai Bizottság hatástanulmánya azt mondja, hogy a javaslat eredménye 2.3 milliárd Eurós adminisztrációs költségmegtakarítást jelent az EUs cégek számára.

Így hosszú előkészítés után az Európai Bizottság 2012 januárjában előterjesztette javaslatait az irányelv felülvizsgálatára és egy szabályozás megalkotására.

A szabályozás és az irányelv között fontos különbség, hogy a szabályozás kötelező érvényü, az irányelvvel szemben, amely a tagállamokban eltérő hatályú lehet. Ebben a konkrét javaslatban a szabályozás általános érvényü, mig az irányelv a hatóságokra vonatkozik.

not sure if i'm product or customerEurópa stratégiai fontosságú adatvédelmi szempontből, nem véletlen, hogy az összes amerikai online szolgáltató és az amerikai fogyasztóvédők és emberi jogi szervezetek is Brüsszelben nyomulnak. Washingtonban ez a téma egyértelmüen a cégek érdekeinek van alárendelve.

A La Quadrature du Net összegyűjtötte az elérhető lobbista módosító javaslatokat a lobbyplag.eu pedig összehasonlította ezeket a Parltrackban elérhető parlamenti módosító javaslatokkal. Azzal az eredménnyel, hogy kiderült a britek szilárd hídfőállása az amerikai érdekeknek az Európai Únióban, hiszen az Ebay, az Amazon és az Amerikai Kereskedelmi Kamera javaslatait a legtöbben a britek nyújtották be. Itt egyértelmű, hogy nem a választó polgárok akarata érvényesül. Malcolm Harbour képviselő például igazgatója egy brit lobbicégnek, amely többek között képviseli az IBM és a Microsoft érdekeit a választópolgárok helyett.

A fogyasztóvédelmi bizottságban sajnos már feladták a fogyasztók érdekeinek a védelmét. Február elején ez volt az első bizottság, amely véglegesítette a véleményét. Sajnos a nevével ellentétben kiárúsította a fogyasztói érdekeket. Az alábbiakban összefoglalom a legfontosabb pontokat és megemlítem ehhez képest a fogyasztóvédelmi bizottság mit szabotált el.

Személyes adatok definíciója

google knows you're a cat1995 óta jelentősen megváltozott az a környezet, amiben a személyes adataink vannak jelen és értéket képviselnek. Az anonimizálásról pár éve kiderült, hogy lehetetlen egyszerre anoním és hasznos adatokat előállítani. Így a személyes adatok körének kiterjesztése és pontos értelmezése kiemelt fontosságú.

A pseudonímek (álnevek) használata általános gyakorlat. A marketing ipar meg is tesz mindent, hogy úgy is azonosítson mindenkit. Úgy hogy közben elkerülhető a hagyományosan személyes adatok - név, születés, anyja neve, stb. - kezelése. Ennél hasznosabbak az elérhetőségi, demografiai és fogyasztási adatok - ezekkel is pontosan be lehet azonosítani szinte bárkit, de elég egy egyedi online azonosító is (bela42?) - és üzleti szempontból is hasznosabb ez a kategorizálás, ezt a gyakorlatot hívják idegen szóval "singling-out"-nak.

Nyilvánvaló az ipar és a állampolgárok érdekeinek szembenállása, a fogyasztóvédelmi bizottságban már eldőlt, hogy nem veszik be a singling-out szabályozását, viszont cserébe feladták a pseudonímek azonos védelmének biztosítását, de a többi bizottságban is várható a definíció hasonló gyengítése.

Hozzájárulás

Adataink kezeléséhez ma is szükséges a tudatos beleegyezésünk. Ezt a szabályt sok irányból támadások érík, hiszen sok esetben a felhasználó ki van szolgáltatva az adatkezelő piaci monopóliumának. Nincs sok választásunk, amikor értesítenek, hogy az általános szerződési feltételek megváltoznak. Sok esetben egyéb kényszerítő körülmények - pl. nem tud más szolgáltatóra váltani, mert nem tudja magával vinni az adatait -, miatt nem nagyon van alternativánk. És emiatt nem tekinthető az ilyen jellegű beleegyezés tudatosnak vagy kényszer nélkülinek.

Nyilvánvalóan az ipar érdeke ezen előírások gyengítése, ahogyan a fogyasztóvédelmi bizottságban már ki is árusították az európai polgárok jogait ezen pont gyengítésével.

"Jogos" érdek

Adatokat sajnos nemcsak a beleegyezésünkkel lehet kezelni, hanem akkor is, ha szervezetek úgy ítélik meg, hogy ez a "jogos érdekük" - namost ez messziről látható, neontáblákkal kivilágított jogi kiskapu. Ezt a kiskaput nyilván amennyire lehet be kellene zárni. Így csak természetes, hogy a fogyasztóvédelmi bizottságban már elkezdték ezt kitágítani.

Ide tartozik az a törekvés is, hogy feloldásra kerüljenek ezek az adatfeldolgozási korlátok és például lehetővé tegyék a bankoknak, hogy például szexuális vagy egészségügyi adatokat kezeljenek mondjuk csalások felderítésére is.

Felejtés és/vagy törlés joga

Ez a pont az állampolgárok erős kontrollját biztosítja az adataik felett, ahogyan beleegyezés szükséges az adatok kezeléséhez, úgy ezt a beleegyezést meg is lehet vonni. Arra viszont kifejezetten ügyelni kell, hogy ezzel ne lehessen szólásszabadságot korlátozni például újságokban és blogokban. Továbbá arra sem alkalmas ez a szabályozás, hogy más törvényi kötelességből gyűjtött adatokat kezelését korlátozzunk.

Adathordózhatóság

Az interneten sokan ki vannak téve választott szolgáltatójuk kénye-kedvének. Pár éve még a Microsoft kapcsán beszéltünk beszállítói kiszolgáltatottságról, most ugyanazt a bezártság hasonlatot alkalmazhatjuk az online szolgáltatásoknál tárolt adatainkra. Ha ott akarunk hagyni egy szolgáltatót, gyakran meg törölni sem tudjuk az adatainkat, nemhogy tudjuk átvinni őket egy más szolgáltatóhoz. Az adathordozhatóság így nem csak a személyes adataink feletti kontrollt biztosítja, hanem piaci mechanizmust is a verseny fokozására és így az adatvédelem megjelenését mint megkülönböztető szempont is ösztönözheti. Egyértelmü követelés, hogy az exportált adatoknak nyilt szabványosnak és így interoperábilisnek is kell lennie, hogy a kitűzött célok teljesűljenek.

Profilkészítés

A profilkészítés nem más, mint minden lehetséges személyes adat összegyűjtése, feltérképezése és ez alapján az emberek kategorizálása és események előrejelzése. Ezzel legalább három probléma van:

  1. A profil készités nem tökéletes, és az ebből következő hibák az érintetteknek nagy károkat okozhatnak.
  2. Nagyon nehéz a profilok valóságtartalmát ellenőrizni, és kijavítani, ezáltal akár örökre megbélyegezve azokat, akiknél az algoritmus "hibázik".
  3. Megerősít előitéleteket, társadalmi különbségeket és a kisebbségek diszkriminációját.

A fogyasztóvédelmi bizottságban nemcsak, hogy nem támogatják a profilkészítés betiltását, sőt! Felmerült, hogy meg kéne fordítani az egészet és kihangsúlyozni, hogy a profilkészités milyen csodálatos dolog.

Adatok exportja harmadik országba

Mivel adatvédelem terén az EU az egyik legerősebb szabályozással rendelkezik, így a piaci szereplők részéről erős a motiváció az adatok kezelését olyan harmadik országban végezni, ahol az ezzel kapcsolatos szabályozás gyengébb (ld. USA). Így ilyen harmadik országbeli adatkezelés csak akkor engedhető meg, ha ez legalább eléri szigorban az EU szinvonalat.

Harmadik ország hatóságainak adathozzáférése

Aggasztó jelenség, hogy harmadik országok jogot formálnak az Európai Unión belül kezelt adatokra, ez leginkább az Egyesült Államok és a cloud szolgáltatások esetén tettenérhető. Az Egyesült Államok FISA Amendment törvénye lehetővé teszi, hogy amerikai hatóságok kémkedjenek amerikán kívüli állampolgárok akár politikai tevékenységei után is. Amerikai állampolgárok ez alól - alkotmányossági okok miatt - kivételt képeznek. Ezt az egyenlőtlenséget ki kell küszöbölni, és nyilván nem úgy, hogy mi is elkezdünk kémkedni az amerikaiak után...

Inkompatibilis felhasználás

Az inkompatibilis felhasználás azt jelenti, amikor egy adatkezelő jogszerüen kezeli az adatokat, de párhuzamosan más - nem jogszerü - célra is felhasználja. Sajnos pont ezt javasolja a Bizottsági javaslat, és ezt tágítja tovább a fogyasztóvédelmi bizottsági jelentés. Ez a javaslat teljesen feleslegessé tenné a teljes szabályozást, hiszen ezzel kiskapuval tökéletesen hatástalanítja. Csak kompatibilis felhasználás engedhető meg, és a kompatibilitást a lehető legszűkebben kell értelmezni.

Privacy-by-design és alapértelmezett adatvédelem

A privacy-by-design azt jelenti, hogy az adatvédelmet már a termék tervezése során - és a teljes életciklusán - legnagyobb gondossággal kezelik. Az alapértelmezett adatvédelem azt jelenti, hogy amikor egy felhasználó igénybe vesz egy szolgáltatást, akkor alapértelmezve a legszigorúbb adatvédelmi beállításokkal kezdje a szolgáltatás használatát. Ezzel biztosítva a felhasználó legteljesebb ellenőrzését az adatai felett. Ezek nem csak technikai követelmények, hanem olyanok amiket adatkezelő szervezeti intézkedéseire is értelmezni kell.

Ombudsmanok függetlensége, hatásköre és jogai

Az adatvédelmi ombudsmanok a védelem első vonalát képezik. Fontos, hogy erős hatáskörökkel, jogokkal, technikai, anyagi és emberi erőforrásokkal rendelkezzenek és teljes függetlenséget élvezzenek a kormánytól. Ezzel biztosítva a magas szinvonalú munkát és a polgárok bizalmát.

Szankciók

Rendkívül fontos, hogy ez a szabályozás megfelelő szankciókkal és büntetésekkel hatékonyan elriassza a visszaéléseket. Ez leginkább a "big data" - nagy adatok - korában alapvető jelentősségü. Ezek után nem okoz meglepetést, hogy a fogyasztóvédelmi bizottságban maximalizálták és alacsonyan tartották a pénzbüntetéseket.

Incidensek bejelentése

A Bizottság két bejelentési kötelezettséget javasol, az egyik azonnali - 24 órán belül - az adatvédelmi ombudsman felé, és a másik az adatvédelmi incidens áldozatai felé. Mindkettő kiváló javaslat, és eddig nem nagyon tudok ennek konkrét megfúrásáról.

Egyéb lobbizásra érdemes pontok

A lobbyplag.eu kutatása további érdekes vitapontokat azonosított a fentieken kívül. Többek között az ipari zoknibábok azt javasolják:

  • Az adatminimalizálást, mint vezérelvet teljesen ki akarják fordítani, a "minimálisan szükséges" helyett a "nem túlzott" felhasználást akarják engedélyezni.
  • a kollektív fellépés korlátozását, illetve azt, hogy érdekvédelmi szervezetek egységesen ne lépjenek fel a visszaélésekkel szemben.
  • A cloud szolgáltatók felelősségét nagymértékben korlátozni akarjak.

Összegzés

Látható, hogy alapvető fontosságú kérdésről van szó, amit mi sem bizonyít jobban, mint az a számottevő lobbierő, ami leginkább az amerikai online szolgáltatóktól érkezik Brüsszelbe. Így minden európai polgár érdeke ezzel szemben fellépni, felvenni a kapcsolatot a képviselőkkel és meggyőzni őket arről, hogy még mindig a választők érdekeit kell képviselniük. Kiválogattam a magyar képviselőket:

Kedden az Ipar és K+F bizottságban három magyar is dönthet: Edit HERCZOG (MSZP), András GYÜRK (FIDESZ) és Béla KOVÁCS (JOBBIK). Szerdán a Jogi bizottságban József SZÁJER-t (FIDESZ) lehet nyaggatni, és a munkaügyi bizottságban pedig Ádám KÓSA és Csaba ŐRY FIDESZ-es képviselők fogják a nemzeti és remélhetőleg polgári értékeket védeni. Egy telefonnal vagy emaillel biztos lehet őket segíteni.

Fontosabb részletek a szabályozzással kapcsolatban:

permalink


next posts >
< prev post

CC BY-SA RSS Export
Proudly powered by Utterson