Az információ hatalom

Ezek a szolgáltatások úgynevezett „pixeleket, trackereket”, azaz internetes webhelyebe ágyazott nyomkövetőket alkalmaznak, amelyek a weboldalak látogatóiról gyűjtenek adatokat: milyen termékeket tekintettek meg, mire kerestek rá, több felkínált opció közül melyiket választották, milyen gyakran látogatták az oldalt – a lehetőségek határtalanok. A felhasználók adatait ezután elemzés alá vetik és részletes profilokat állítanak össze belőlük, lehetővé téve a célzott reklámozást és a testre szabott tartalmak prezentálását. Gondoljunk csak a Facebook idővonalunkra: releváns hírekkel, cikkekkel, hirdetésekkel találkozunk rajta, mintha valaki kiválogatta volna őket számunkra.

Nem hiába, hiszen az így gyűjtött információk segítik a vállalkozásokat célcsoportjuk meghatározásában, a potenciális vásárlói kör elérésében és az ügyféligényekhez való igazodásban. Minél jobban ismeri a vállalkozás a potenciális ügyfeleinek preferenciáit, annál kedvezőbb arányban lesz a látogatóból vásárló, a vásárlóból törzsvendég.

A pixelek alkalmazása bármely vállalkozás számára meglehetősen egyszerű: a megfelelő kezelőpult használatával (pl.: Google Analytics, Meta Business Settings) néhány kattintással hozzá is adhatjuk weboldalunkhoz a rejtett követőprogramot, ami innentől rögzíti az oldalt látogató felhasználók tevékenységét, majd azokat rendszerezésre továbbítja különböző elemzőszoftvereknek.

Pixelt alkalmazó vállalkozásként rengeteg adatról kaphatunk elemzést; a Facebook „követője” például 17 különböző eseményt rögzít a weboldal látogatása kapcsán. Számlálja többek között, hogy a felhasználó mit vásárol, milyen tartalomra iratkozik fel, mely terméket tesz a kívánságlistájára vagy a kosarába. Mindezt IP-címhez, készülékhez, földrajzi elhelyezkedéshez, sőt, a kijelző felbontásához kapcsolva rögzíti a szolgáltató.

Az adattovábbítás

Az így összeállított felhasználói adatokhoz természetesen hozzáfér az a vállalkozás, aki az adott szolgáltatásra (pl. Meta Pixel) előfizet, azonban hozzáfér maga a szolgáltató (pl. Meta) is, aki ezeket az adatokat a felhasználókról az Európai Unióban és az Egyesült Államokban is tárolja.

„Mivel az az Európai Bizottság júliusban elfogadta az Egyesült Államokkal kötött keretmegállapodásra vonatkozó megfelelőségi határozatát, így ezen szolgáltatások használata – és a weboldal látogatók adatainak Egyesült Államokba való küldése – jelentősen leegyszerűsödik” – mondja Hegyi Áron ügyvéd (nyitó képünkön). A weboldal látogatók adatainak tengerentúlra történő továbbításához a továbbiakban nem lesz szükséges további garanciák (pl: általános adatvédelmi kikötések, adattovábbítási hatásvizsgálat) alkalmazása, feltéve, hogy a címzett szolgáltató szerepel az Egyesült Államok által nyilvántartott megfelelőségi listán és ezt az adatokat küldő (elemző szolgáltatásokat alkalmazó) vállalkozás ellenőrizte.

Kell a hozzájárulás

Arra azonban sok vállalkozás és marketing ügynökség sem gondol, hogy az ilyen elemző szolgáltatások használatának előfeltétele, hogy a weboldal látogatók adataik kezeléséhez és továbbításához hozzájáruljanak. Hozzájárulni a weboldal látogató pedig csak akkor tud, ha az adatok gyűjtésének módjáról előzetesen és átlátható módon részletes tájékoztatást kap.

A pixeles követéssel kapcsolatos egyik fő aggály pontosan az ilyen jellegű adatgyűjtési gyakorlat átláthatóságának hiánya. Sok weboldal látogató egyáltalán nincsen tudatában annak, hogy a weboldal kódjába ágyazott nyomkövetőkön keresztül böngészés közben az adatait folyamatosan gyűjtik és elemzik.

Egyrészt a weboldal látogatók bizalmának megtartása, másrészt a vonatkozó adatvédelmi jogi előírásoknak való megfelelés végett is elkerülhetetlen, hogy a vállalkozások részletesen tájékoztassák weboldalaik látogatóit az ilyen adatgyűjtések és adattovábbítások körülményeiről.

A tájékoztatás elmaradásának következményei igencsak súlyosak lehetnek, ahogyan azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) TV2 Média Csoporttal szemben kiszabott tízmillió forintos bírsága is jól mutatja.

„Felelős vállalkozásként tehát alapvető fontosságú, hogy mi magunk tisztában legyünk ezen elemző szolgáltatások működésével és a weboldalunk látogatóit az adatvédelmi előírásoknak megfelelően részletesen és átlátható módon tájékoztassuk a szolgáltatások által megvalósított adatgyűjtésekről, adattovábbításokról. Ennek hiányában az ügyfélbizalom elvesztése mellett az előző bekezdésben említett – akár magas összegű – bírság kiszabását is kockáztatjuk” – emeli ki Dura Máté, a Schönherr részéről.

A 2018 májusi bevezetés és az elmúlt év vége között mintegy 90 milliárd forintnak megfelelő (257,1 millió euró) bírságot szabtak ki az Európai Unióban a GDPR szabályok megsértése miatt – derül ki a közösségen belüli eljárásokat monitorozó GDPR Enforsement Tracker friss adataiból. Magyarországon ugyanezen időszak alatt 309,8 millió forint büntetés jött össze (866 000 euró), gyűjtötte össze a PAV Hungary a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) oldalán elérhető döntések összesítéséből. A NAIH elérhető adatai szerint a GDPR szabályozás bevezetése óta, itthon összesen 91 adatvédelmi vizsgálatot indítottak, amelyből 52 eset végződött bírsággal. Ezzel Magyarország az uniós tagországok élmezőnyében, dobogó közelében található. A listát Spanyolország vezeti 174 pénzügyi szankcióval végződő eljárással.

A bírságokat vizsgálva kiderül, hogy az országok felügyeleti szervei a média, a telekommunikáció és a műsorszolgáltatás területén szankcionáltak a legnagyobb, összesen csaknem 120 millió eurós összegben.

„A kivetett büntetések száma és egyes esetekben a nagysága is arra utal, hogy az unió általános adatvédelmi rendeletének megfelelni komoly kihívást jelent a vállalatok számára. Az érzékenynek számító folyamatokat ma már hatékony informatikai rendszerek nélkül szinte lehetetlen lekövetni, ami azért is kockázatos, mert a büntetés maximális mértéke az éves globális árbevétel akár 4 százaléka is lehet egy vállalkozásnál. Tapasztalataink szerint, itthon vannak még hiányosságok a tudatosság terén. A hazai cégek számára a GDPR előírásoknak való megfelelés nem feltétlenül van a lista tetején, sok cégvezető úgy gondolja, hogy kicsi az esély a büntetésre. Elég szélsőségesek az esetek, és az elmúlt 3 év döntései azt mutatják, hogy a büntetések összege több százmillió forint is lehet” – mondta Gölcz Dénes, a PAV Hungary ügyvezető igazgatója.

A szabályozásnak való megfelelés valóban kihívás digitális megoldások nélkül. A PAV Hungary korábbi kutatásából kiderül ugyanis, hogy egy átlagos magyar vállalkozásnál néhány hét alatt közel százezer alkalommal nyitnak meg, módosítanak, másolnak, kezelnek „GDPR-érzékeny” fájlokat. A felmérés szerint egy informatikai profilú, 25 gépből álló hálózatot működtető cégnél ez az elvárás fél év alatt a lehetetlen szintjére emelkedik. Az eredmények szerint a társaságnál ezen idő alatt csaknem 270 ezer „GDPR-érzékeny” fájlműveletet hajtottak végre. Ennek fényében nem is meglepő, hogy a PAV Hungaryhoz érkező visszajelzések szerint a szabályozásnak való megfelelés komoly fejtörést okoz a hazai kis- és középvállalkozásoknak.

Ráadásul az előírásokat senki sem veheti félváról. Az GDPR Enforsement Tracker adatai ugyanis arra is rámutatnak, hogy egyéni felhasználók is célkeresztbe kerültek már. A hatályba lépés óta összesen 37 magánszeméllyel és egyesülettel szemben jártak el az adatvédelmi hatóságok, akik a bírságot követően összesen közel 900 ezer eurót voltak kénytelenek befizetni.

A COVID-19 hatásai miatt egyre többen vásárolnak online. Sok cég kezdett rohamos fejlesztésbe, indított webshopot vagy váltott hangsúlyosabb digitális reklámkampányokra, hogy túlélje a válsághelyzetet. 2020 első félévében az internetes kereskedelem forgalma az előző évhez képest közel 35 százalékkal, a rendelések száma pedig több mint 21 százalékkal emelkedett Magyarországon[1].

Ahány eladás, annyi kérdés

Előlegnek vagy előre fizetésnek minősül, ha a vevő átvétel előtt egyenlíti ki a számlát? Hogyan határozzam meg a teljesítés időpontját, ha futár szállítja ki az árut? Hogyan lehet kezelni a hibás vagy hiányos teljesítést, a garanciális cserét vagy javítást, illetve miként kell tárolni a kapcsolódó bizonylatokat? Ezekre a kérdésekre mindenkinek tudnia kell a választ, aki az online térben szeretne értékesíteni, máskülönben adminisztratív hibák miatt bírságolhatják a NAV ellenőrei.

„Nem szabad elsietni a fejlesztéseket, ezzel ugyanis milliós bírságokat kockáztatnak a hazai cégek. Egy jogszerűen működő webshop kialakításához nem csak adózási vagy adminisztratív ismeretekre van szükség, de fogyasztóvédelmi és kiberbiztonsági szakértelemmel is rendelkezniük kell a vállalatoknak. Ahhoz, hogy nyereségük jelentős hányada ne a szankciók megfizetésére menjen el, a legegyszerűbb olyan tanácsadóval konzultálni, aki minden területen átfogó segítséget tud adni” –– hangsúlyozta Suta György, az EY adótanácsadási üzletágának szenior menedzsere.

De nem csak az adóhatóság, a Gazdasági Versenyhivatal (GVH) és a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is fokozottan ellenőrzi a webshopokat. Az online áruházak szabálytalan működtetése, a jogi kontroll nélkül megtervezett kampányok és a személyes adatok nem megfelelő kezelése miatt az eddigieknél nagyobb bírságokra, súlyosabb szankciókra és gyorsabb eljárásokra számíthatnak a vállalatok.

Mindennek megfelel, mégis sokat veszíthet

Akkor sem dőlhetnek hátra a cégek, ha minden szabályozásnak maradéktalanul eleget tesznek. Egy rövid határidő alatt fejlesztett webáruház esetében ugyanis nagy eséllyel található valamilyen biztonsági rés, amit a hekkerek előszeretettel kihasználnak majd.

„Ha egy rendszer támadható, az internetes bűnözőknek mindössze néhány kattintásba kerül, hogy a webshop minden termékének árát egységesen egy forintra csökkentsék. Ilyenkor elég, ha egy vásárló veszi azelőtt észre a zavart, hogy elhárították volna, és máris kisöpörték a cég összes termékét. Ezért sem szabad elfelejteni az információbiztonsági szempontokat” – emelte ki Zala Mihály, az EY technológiai tanácsadással és kibervédelemmel foglalkozó üzletágának vezetője.

[1] Forrás: A GKI Digital és az Árukereső.hu közös kutatása

Az online otthonoktatás rengeteg, a felhasználók számára kevésbé ismert tartalommegosztót, platformot tett oktatási eszközzé. Ezeknek a mindennapos használata szinte elkerülhetetlen, itt hang- és képüzenetekben üzennek a pedagógusok a gyerekeknek, különböző fiókokkal regisztrálnak, a gyerekek fotókat, videókat készítenek az iskola felszólítására, és küldenek társaiknak, pedagógusaiknak. De mi lesz így a megosztott személyes adatokkal? Mi minősül személyes adatnak? Tisztában vannak-e a pedagógusok ezzel a felelősséggel, jogi következményekkel? Hogyan vigyázzunk a gyerekekre és gyerekeink adataira, biztonságára? Szükséges-e ennyi platformot használni? Minősítenünk kellene a megbízható és kevésbé megbízható platformokat.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban Hatóság) ez ügyben kiadott NAIH/2020/2888 számú állásfoglalása alapos eligazítást ad. Ezen a linken olvasható a teljes szöveg.

A Nemzetközi Gyermekmentő Szolgálat jelen állásfoglalásában az elmúlt 10 év saját tapasztalatát és kérdéseit is a szövegbe belefoglalja.

A Hatóság felé a felhasználók az alábbi kérdéseket fogalmazták meg: Kérhet- e videófelvételt egy tanár, egy iskola? Kell-e ehhez a szülő előzetes hozzájárulása? 16 éven felüli gyermek egymaga adhat-e hozzájárulást? Otthoni tevékenység lévén, a szülő felelőssége-e a videó és/vagy az elkészített feladatok feltöltése?

A hatóság álláspontja szerint az adatkezelés célja a köznevelési törvényben előírt közfeladat, ezért az adatkezelő az intézmény, azaz az iskola, míg az adatfeldolgozó a tanár. Tehát nem magáncélú az iskola és a tanárok adatkezelése. Mivel az intézménynek az oktatási törvény írja elő a kötelező adatkezelést, így előzetes hozzájárulás (Ptk. 2:48. § (1) bekezdés) sem szükséges. Ugyanakkor az iskola továbbra is köteles a biztonságos adatkezelésről gondoskodni.

Amennyiben feltétlenül szükséges, az iskola kérheti a videofelvételeket rögzített formában, kihangsúlyozva, hogy a gyermekek személyes adatai fokozott és különös védelemben kell hogy részesüljenek.

Egyúttal azt is kihangsúlyozza, hogy az Infotörvény, a GDPR rendelkezései és alapelvei szerint előnyben kell részesíteni az adatkezelést nem igénylő eszközök és megoldások használatát, mint például az iskolának nem átküldendő videókat, amennyiben a szülő az iskola felé történő visszaigazolást vállalja.

A Hatóság tájékoztatásában arra is felhívta a figyelmet, hogy a GDPR 5. cikke tartalmazza azon fő alapelveket, amelyeket a személyes adatok kezelése során az adatkezelés jogalapjától függetlenül figyelembe kell venni, és amelyeknek folyamatosan érvényesülniük kell az adatkezelés során.

• Megfelelés igazolása: az adatkezelés jogszerűségét az intézménynek utólag is bizonyítania kell tudni.
• Adattakarékosság: csak a cél eléréséhez elengedhetetlenül szükséges és arányos adat gyűjtése, tárolása.
• Korlátozott tárolhatóság: se a tanulók, se a szülők által küldött felvételek nem tárolhatóak korlátlan ideig. Jó gyakorlat az értékelés utáni vissza nem állítható törlés. Későbbi ellenőrzésre nem lehet hivatkozni további tárolás indokaként.
• Bizalmasság és integritás: biztosítani kell, hogy jogosulatlan harmadik személy a tárolt felvételekhez ne férhessen hozzá.

A Hatóság adatbiztonsági kérdésekre is reflektált, melynek értelmében az intézmény határozhatja meg, hogy milyen eszközöket használ a távoktatás során, a gyermekek jogai különös védelmének szem előtt tartásával. Így például a Messenger vagy email helyett a gyermek (vagy a felügyeletet gyakorló szülő) saját fiókjába feltöltött (nem nyilvános), csak korlátozott ideig elérhető videó linkjének megküldését javasolja. A meghatározott idő elteltét követően a pedagógus nem férhet hozzá a videóhoz. Továbbá a Hatóság arra is felhívja a figyelmet, hogy az adatkezelő intézmény vagy adatfeldolgozó pedagógus nem használhatja fel más célra, vagy nem készíthet másolatot a feltöltött videóról.

A Hatóság tájékoztatása és kialakított jogértelmezése más hatóságot, a bíróságot és az adatkezelőt nem köti, annak csak iránymutató jellege van.

A Nemzetközi Gyermekmentő Szolgálat javasolja gyerekeknek és szülőknek, hogy a megváltozott körülmények miatt különösen vegyék komolyan az adatkezelés biztonságát. Sajnálatos módon látjuk, hogy a járvány miatt lényegesen nagyobb adatforgalom van a gyerekek és az iskolák között, amivel néhányan megpróbálnak visszaélni.