Néhány oldalnyi szöveget az orrunk alá dugnak, próbáljuk átfutni, miközben gyorsan kitöltjük, aláírjuk – „ez a GDPR”, többnyire ennyit mondanak róla, de a kérdőjel sokak feje fölött megjelenik: „mit is írtam alá?” Székely Barnabás minősített adatvédelmi és információbiztonsági szakember magyarázta el, hogy nagyon sok esetben tévesen és fölöslegesen íratnak alá velünk hozzájárulást személyes adataink kezelésére, amiatt, mert nem sikerült jól gyakorlatba ültetni a jogszabályt. Arra is kitértünk, hogy mire érdemes figyelni az adatvédelmi tájékoztatókban, és miért fontos ez.

„Régebb, még a GDPR előtt, reflexszerű volt, hogy mindenhez hozzájárulást kértek, a GDPR óta ez nem megfelelő megközelítés, hiszen az Általános adatvédelmi rendelet (GDPR) szerint hat jogalap van, amelynek alapján személyes adatainkat jogszerűen kezelheti egy vállalat, állami intézmény, esetenként másik magánszemély, azonban a hat jogalap közül a hozzájárulás csak az egyik. Ezenkívül jogalap lehet a szerződés teljesítése is vagy épp a jogos érdek. Például, ha egy magánkórház szolgáltatásait vesszük igénybe, egyértelmű, hogy nem kell hozzájárulást adnunk az adataink kezeléséhez, hiszen azokra azért van szükség, hogy tudják a szolgáltatást biztosítani” – mutat rá rögtön az elején Székely Barnabás minősített adatvédelmi és információbiztonsági szakember, a Privacy Pro alapítója, akinek jogi és informatikai háttere is van.

További példaként elmondta: nem kell a hozzájárulásunkat adnunk, amikor adataink kezelése létfontosságú érdekhez kötődik, ez a jogalap, például egy olyan sürgős esetben, ha hirtelen rosszul leszünk, és orvosi ellátásra van szükségünk. „Nyilván ilyenkor az egészségügyi személyzet nem fogja kérni a hozzájárulást, hogy az adatainkat kezelje, hanem azzal foglalkozik, hogy minél hamarabb ellátást adjon” – magyarázta el, miért is van ez így.

Ezenkívül jogszabályi kötelezettség miatt kezelhetik az adatainkat, amikor egy állami intézmény vagy vállalat számláz, hiszen ezt jogszabály írja elő számára, nem kell külön kérje ehhez a hozzájárulásunkat, mondta még el a szakértő.

Többnyire nem is kellene aláírnunk semmit

A szakértő úgy látja, sok esetben nem értették meg ezt a komplex jogszabályt, és akár jogosnak is tekinthető, hogy elégedetlenkednek miatta például a kis- és közepes vállalkozók, akik szerint túl sokat vár el tőlük.

„Miután látták a kkv-k, hogy nem tudnak megfelelni az előírásoknak, sokan lemásolták, amit találtak a konkurencia weboldalán vagy amit kidobott a Google, esetleg a ChatGPT-t hívták segítségül, így aztán nem lett ez okosan, érdemlegesen alkalmazva” – mutatott rá a szakértő. Hogy mennyire nem értették meg a rendeletet ezt számos példa mutatja Székely Barnabás szerint, amelyekkel szinte naponta találkozhatunk.

„Sok esetben olyankor is hozzájárulást kérnek tőlünk, amikor erre nem is lenne szükség. Amikor például webshopról vásárolok, akkor csupán tájékoztatást kell adniuk nekem, de én nem kell sem aláírjam, sem elfogadjam, hanem csak tudomásul kell vennem. Mégis sok helyen látjuk azt, hogy nem csak azt írja, hogy elfogadom, hanem hogy »elolvastam, értelmeztem, tudomásul vettem«” – hozott példát a téves gyakorlatra. 

„Ezzel találkozunk mi is a mindennapi tevékenységünk során, amikor az ügyfeleknek megoldásokat nyújtunk, és kérdezik, hogy »nem kell kipipálni, nem kell aláírni?« Nyilván nem, mert nem hozzájárulás a jogalap. Ha belegondolunk azzal, hogy aláíratják az adatkezelési tájékoztatót, egy plusz személyes jellegű adatot fognak kezelni: az aláírásunkat. Van, aki annyira túlzásba esik, hogy személyi számot, nevet, lakcímet is feltüntet ezen az úgynevezett hozzájárulási nyilatkozaton, miközben kérdéses, hogy egyáltalán hozzájárulás-e ott a jogalap” – fejtette ki.

Mihez járulok hozzá?

„Mindenképpen érdemes megnézni a tájékoztatót, az fogja elárulni, hogy pontosan mire vonatkozik az adatkezelés. Vannak tájékoztatók, amelyek hiányosak, ilyenkor kérhetünk akár e-mailen további tájékoztatást. Erre kell is válaszolnia a vállalatnak maximum 30 napon belül” – magyarázta Székely Barnabás, aki arra is felhívja a figyelmet, gyanús az a cég, amelyik homályosan nyilatkozik az adatkezelésről.

„A legtöbb tájékoztató azt írja, hogy »a jogszabály szerint kezeljük a személyes adatait«, már ez felkiáltójel számomra: ez a semmitmondás melegágya, hiszen kérdés marad, hogy konkrétan mit csinál a személyes adatokkal, hogyan vigyáz rájuk, melyeket és milyen célra használja, mennyi ideig tárolja, kinek továbbítja azokat, és melyek azok a biztonsági intézkedések, mentések, amit megtesznek annak érdekében, hogy az adatainkat megvédjék” – sorolta, miért problémás a hiányos tájékoztatás.

Kiemelte, érdemes nagyon óvatos lenni a túl előnyösnek tűnő ajánlatokkal. „Sok esetben kiderülhet, hogy olyan cég van a hirdetés mögött, amelyik elveszi a pénzt, de sose érkezik meg a termék, amit rendeltünk tőle. Az adatvédelmi tájékoztató több mindenre rávilágít, mindenképpen nézzük meg – főleg első rendelés előtt – hogy mennyire megbízható a cég, már érintett volt-e különböző adatvédelmi incidensekben” – javasolta az adatvédelmi és információbiztonsági szakember.

Összemosódó hozzájárulások az egészségügyi ellátásban

Külön kérdés az egészségügyi ellátás, hiszen a hozzájárulásunk itt mindenképp kell, de mint a szakértőtől kiderült, nem mindenhez. Egyik dokumentum, a tájékozott orvosi beleegyezés arra vonatkozik, hogy tájékoztattak a szükséges vizsgálatokról, kockázatokról, a kezelésről és ezekbe beleegyezünk (consimțământul medical informat), ezenkívül sok esetben aláíratják a személyes adatok kezeléséhez a hozzájárulást is (consimțământ pentru prelucrarea datelor conform GDPR), viszont, mint Székely Barnabás elmondta, a legtöbb intézménynél az adatkezelésről mindössze tájékoztatni kellene. „Megtévesztő, sokan nem is tudják megkülönböztetni, hiszen csak azt látják, hogy ez is, az is consimțământ” – mutatott rá.

Elvileg az adatkezelési tájékoztatót megtagadni sem lehet, hiszen szabály szerint többnyire aláírni sem kell vagy kellene. A tájékozott orvosi beleegyezést viszont mindenképp alá kell írni ahhoz, hogy kezelést kaphassunk. „Ha nem írom alá, nem fogja tudni bizonyítani az intézmény, hogy elmondták nekem például az anyajegyem leműtése kapcsán, hogy az milyen kockázatokkal jár és hogyan történik” – magyarázta.

A közérthetőség az előírás

Az egyik fő probléma a GDPR alkalmazása kapcsán a rossz kommunikáció, véli a szakértő, aki sokunkkal együtt maga is tapasztalta, hogy mondhatni, futószalagon zajlik a papírok kitöltése, miközben a rendelet azt is előírja, hogy közérthető tájékoztatást kell adni.

„Fontos lenne az is, hogy röviden előre mondják el, melyik dokumentum miről szól: ez arról, hogyan kezeljük az adatait, ez pedig arról szól, hogy mi fog most történni. Így az embereknek könnyebb lenne megérteni” – fejtette ki.

Ugyanakkor a megfelelő gyakorlat az lenne szerinte, hogy ne akkor adjanak tájékoztatót, amikor a helyszínre érkezik a kliens vagy páciens, hanem már akkor, amikor időpontot kér, regisztrál. Így előre áttekintheti, hogy regisztráció esetén vagy, ha beavatkozásra kerül sor, milyen adatokat kezelnek, és ez alapján dönthet, mielőtt sor kerülne az adatok gyűjtésére, hogy azt a szolgáltatót gondolja-e a legbízhatóbbnak.

Bár előírás a közérthetőség, és az is, hogy a célközönségnek – akár gyereknek is – megfelelő szinten kell megírni, ez ritkán valósul meg nálunk. „Nyugati kórházak vezettek be jó megoldásokat: kis animációban foglalják össze a tudnivalókat, nem kell olvasni a sok szöveget, csak ha valakit érdekel” – magyarázta a szakértő, aki szerint a gyakorlatba ültetésnél bukott el minden.

„Mivel rosszul ültették gyakorlatba, a legtöbb ember annyit lát belőle, hogy »jaj, ez a GDPR, egy darab papír, amit minden cég odaad, hogy írjuk alá«. Igazából a GDPR ennél sokkal több, csak sajnos a legtöbb cégnek, állami intézménynek nem sikerült megugorni azt, hogy megfelelően bevezessék, és így nem éri el a hatását. A GDPR célja az, hogy az adatokat biztonságosabban, jogszerűen kezeljék, ha viszont ebből annyit tanulnak a cégek, hogy ők egy darab papírt kell előállítsanak, amit a páciensek vagy ügyfelek aláírnak, attól az adatok kezelése sajnos nem lesz biztonságosabb” – emelte ki az adatvédelmi szakértő.

Tiltakozhatunk az ellen, hogy az AI döntsön

Az adatkezelési tájékoztatóban többek között annak kell megjelennie, hogy milyen adatainkat kérik, azokkal mit fognak kezdeni, meddig tartják, és hogyan vigyáznak rájuk, ugyanakkor, hogy ki kap még hozzáférést.

„Például, ha a könyvelés ki van szervezve, akkor a könyvelőcég kap hozzáférést” – mondott példát Székely Barnabás. Kiemelte: a tájékoztatás legelején le kell szögezni, hogy ki az adatkezelő: „fel kell tüntetni az adatkezelő jogi személyt, adószámmal és a székhelye címével, hogy tudja azonosítani az érintett”.

Elmondta azt is, a tájékoztató legvégén annak is ott kell állnia, hogy a GDPR szerint milyen jogai vannak az érintettnek. „Többek között joga van a törléshez, a tiltakozáshoz, sőt az AI világában van olyan jog is, hogy tiltakozhatunk az automatikus döntéshozatal ellen. Ha például egy bank azt mondja, hogy ők automatizálták, ki mennyi kölcsönt kaphat – azaz AI-rendszer dönti el, nincs ember a folyamatban –, akkor a GDPR alapján lehet tiltakozni az ilyen automatikus döntéshozók ellen is” – hívta fel a figyelmet Székely Barnabás.

A jogok között szerepel az is, hogy kaphassunk bővebb tájékoztatást, erre meg kell adniuk egy vagy két csatornát – e-mailen, postán – , és ezeken kérhetünk további információkat, tette hozzá az adatvédelmi szakember.