Hétpecsét Információbiztonsági Egyesület

Kikértem a GDPR-ral az adataim, megkaptam, most akkor mi van?

Még 2018 májusában beszélgettem a Revealu csapatával (egy csapat fiatal informatikussal, jogásszal és közgazdásszal), pár héttel később pedig el is indították annak a terméknek a béta-tesztelését, amivel megnyerték a világ egyik legnagyobb legal tech versenyét, a New York-i Global Legal Hackathont.

Azóta életbe lépett a GDPR, azaz az Európai Unió általános adatvédelmi rendelete, amelynek egyik része, hogy a felhasználók kikérhetik (és töröltethetik) a cégektől a róluk kezelt adatokat. Az adatigénylések teljesítésére a cégeknek harminc munkanapjuk van. A béta-programhoz én is csatlakoztam, az adatigényléseim határideje pedig most járt le.

Kikértem adataimat:

mivel ezeknél a cégeknél mind van regisztrációm, így biztosan tudom, hogy valamilyen adatokat kezelnek rólam. Úgy válogattam, hogy a cégek között legyen állami és magán, külföldi és magyar is.

Az eredmény pedig elkeserítő.

Pontos statisztikákat még nincs értelme közölni, mert a legtöbb tesztelő kicsit később kapott hozzáférést, mint én, így az adatigénylések tömegével még nem jártak le, viszont a tendencia már így is egyértelmű – és nem jó. Hat darab adatigénylésemből összesen kettőre jött válasz, ezzel még jobb vagyok, mint az átlag, legalábbis ami eddig látszik: a cégek húsz százaléka válaszol egyáltalán bármit a kérelmekre. Amit eddig nagyobban látni: a legtöbb igénylést a booking.com, az Airbnb, a Spotify, a BKK és az Index kapta, összesen 120 kérés van már túl a harmincnapos határidőn.

Bár nem verseny (mondjuk a határidővel igen), de az abszolút győztes nálam a volt munkahelyem, az Index: elsőként, határidőn belül válaszoltak, nem adták ki az adataim beazonosítás nélkül, és elég bőséges tartalmat kaptam. A beazonosításhoz úgynevezett tudásalapú megoldást használtak, azaz meg kellett adnom például milyen beceneveim vannak a blog.hu-n vagy az Inda többi szolgáltatásában (ezek mind egy adatkezelőhöz tartoznak az Indexszel). A gyakorlatban ez úgy ment, hogy az igénylés után 1-2 héttel kaptam egy emailt tőlük arra a címre, amivel a Revealu-ba regisztráltam, tisztáztuk, hogy másik címmel vagyok hozzájuk regisztrálva, aztán beazonosítottak és megkaptam PDF-ben az adatokat.

A másik nyertes versenyző a Díjnet, ők is még időben válaszoltak, ott egyértelmű volt a regisztrációm egyezése az emailcímmel, amire az adatokat kértem, és ha oda küldik nem is mehet félre, úgyhogy nem volt külön kör, csak megkaptam a csomagot, szintén PDF-ben.

És?

Innentől viszont kicsit megállt a tudományom. Nyilván, már az is jó dolog, hogy nem kaptam vissza olyan adatokat, amik meglepnének, igaz, ebben az is benne van, hogy technológiával és privacyvel foglalkozó újságíróként nem nagyon van mivel meglepni, mármint, értem, hogy miért tárolják el mondjuk az IP-címemet (ami – nagyjából – egyedileg azonosít minden internetre kapcsolódó számítógépet), miközben az átlagfelhasználót azért ez meglepheti.

A másik jó dolog, hogy nem volt olyan az adatok között, amit nem értettem, miért is tárolják el rólam, és olyan sem, ami nem hozzám tartozott volna. A technikailag begyűjthető és a használathoz szükséges adatok mellett (pl. az IP) csak olyanokat kaptam vissza, amelyeket én adtam meg a szolgáltatások használatához.

Innen jön a dilemma része is: egyrészt ha nagyon kényes adatokat tárolnak rólam, előfordulhat, hogy ezeket nem kapom vissza (bár ez innentől jogszabálysértés, ha csak nincs valahogy kiskapuzva), másrészt nem tudom, igazából mit kellene visszakapnom. A Revealu-n első körben nem volt ilyen lehetőség, de majd az óriási adatkezelőknél is próbálkozni kell adatigénylésekkel, ott fog igazán kiderülni, mi a helyzet, ahol konkrétan az adataimból csinálnak pénzt (az Indexnél, mivel reklámozásból él, az adatokat pedig legalábbis használhatják pontosabb célzásra valamennyire ez a helyzet): ilyen mondjuk a Facebook és a Google.

Egyelőre az az általános vélemény, hogy bár az EU célja az is volt a GDPR-ral, hogy ezeket a nagy adatkezelő techcégeket (szokásos nevükön GAFA – Google, Apple, Facebook, Amazon) megfogja, ez nem jött össze: megvolt az apparátusuk, hogy megfeleljenek – az egyelőre végrehajtás szintén még bőven kiforratlan – szabályozásnak. Az üzletük nem csökkent, az adatigényléseket képesek teljesíteni, de azért kérdéses lesz majd, hogy ilyenkor csak a nyers adatokat kell kiadniuk vagy mondjuk azt is, ha az adatokat összepárosították, ebből új adatot hoztak létre, és ez alapján adnak el nekem dolgokat – ami még mindig végül is a személyes adatom. Mondjuk: férfi vagyok, harminc éves és budapesti, ezzel bekerültem egy kategóriába, ami külön adatot jelent. A mostani két adatigénylésem alapján egyelőre semmi ilyet nem kaptam vissza, csak nyers adatokat.

Van, aki nem érti, van, aki imádja, van, akit felháborít

„Gőzerővel azon dolgozunk, hogy teljesen automatikusan tudjon működni az adatigénylési folyamat a cégeknek” –
mondja Bihary Gergely, a Revealu egyik alapítója és fejlesztője. Ez azt jelenti, hogy most egyelőre a cégek – adatigénylésekre fenntartott – nyilvános elérhetőségeire megy egy email a Revealu rendszerétől, hogy válaszoljanak adott felhasználónak, később viszont a cégek kapnának egy rendszert, amiben ezt az egészet egyben kezelhetik. Ez van, akiknek tetszik: olyan cégek, akik érzékeny adatokat kezelnek, például bizalmas személyi információt vagy akár videófelvételeket, azt látják, hogy a Revealu segítségével gyorsak és transzparensek lehetnek, ami versenyelőny a piacon.

Mások, például az egyik légitársaság Data Protection Officere (Adatvédelmi Tisztségviselő) írtak a magyar startupnak, hogy mi ez a sok email, és egyébként is, ne használják a cég nevét a webalkalmazásban. Egy másik cég a felhasználók adatigényléseire az adatvédelmi nyilatkozatukat küldi el válaszként, azaz egyáltalán nem érti, miről szól ez az egész, a BKK pedig a személyes ügyfélszolgálatára irányítja az igénylőket – ami valószínűleg jogilag rendben van, mert a GDPR lehetőséget ad arra, hogy egy darab, erre kijelölt felületen kelljen csak fogadnia egy cégnek a kéréseket – más kérdés, hogy az elektronikusan kért igénylés elektronikus része így nem teljesül, de az információszabadságról szóló törvénynél is bőven előfordult eddig is, hogy az adatkezelők mondjuk postán küldtek el cédéket.

Gergely szerint egyelőre a cégek mintha hátradőltek volna. Az adatvédelmi biztos nyilatkozatai alapján egy évvel kitolták a büntetések határidejét, és egyébként is arról beszélt a kormány, hogy idén még nem a KKV-k a fő célpontok, a bevezetés előtti riadalom már a múlté, és most a többséget nem érdekli az egész. Ahogy nagy amerikai újságokat (és valószínűleg milliónyi másik céget) sem: a Los Angeles Times a GDPR-nak való megfelelés miatt hetek óta nem elérhető Európából.

A Revealu ettől függetlenül megy előre, utolsó simításokon dolgoznak egy angyalbefektetővel, a pénzből pedig főleg marketingre költenek majd, hogy a szolgáltatásukat az átlagos érdeklődőkkel is megismertessék. Kaptak befektetési ajánlatot Ausztriából is, de ők inkább Magyarországon maradnának, magyar befektetővel.

A cikk

Megtekintés: 63