"A gyakorlatban a GDPR elkezdett a mindenség jogává válni" - interjú Dr. Halász Bálint adatvédelmi jogásszal

A GDPR végleges szövege 2016 áprilisában jelent meg az EU hivatalos lapjában, és 2018. május 25-e óta alkalmazandó. Erről beszélgettem Dr. Halász Bálinttal, a Bird & Bird nemzetközi jogi tanácsadó iroda szakértőjével, az elmúlt évek tapasztalatainak tükrében. Mostantól a hírlevelünk része lesz „A jogász válaszol” rovat, amelyben Dr. Halász Bálint várja és válaszolja meg a kérdéseinket.

- A GDPR bevezetése óta változott a szabályozás megítélése? Mondhatjuk, hogy bevált, vagy inkább egy jó kiindulási alapnak tekintendő? 
– A GDPR végleges szövege 2016 áprilisában jelent meg az EU hivatalos lapjában, és 2018. május 25-e óta alkalmazandó. Természetesen az előkészítő munkák évekkel 2016 előtt megkezdődtek, és számos egyeztetés eredménye a végleges szöveg. Ugyanakkor a GDPR nem előzmény nélkül érkezett. Az EU (korábbi nevén Európai Közösség) 1995-ben fogadta el az adatvédelmi irányelvet, amit a tagállamok, így Magyarország is átültetett a nemzeti jogába. A különböző tagállamok azonban ezt az átültetést különbözőképpen végezték el, ami jelentős problémákat okozott az egyre egységesedő közös piacon. A GDPR ezzel szemben egy EU-s rendelet, amelyet nem szükséges átültetni a nemzeti jogokba, hanem közvetlenül alkalmazandó a tagállamokban. Abban, hogy egyes tagállamokban az adatvédelem szintje egységesedjen, a GDPR kétséget kizáróan jelentős előrelépés.

- A napi gyakorlat alapján úgy tűnik, több területen nem elég konkrét a szabályozás. Illetve egy-egy terület fókuszba kerül, kiegészítések, értelmezések látnak napvilágot, így az az érzés, mintha még mindig alakulna a szabályozás és leginkább a bírságok mutatják az eseti hiányt vagy megoldást. Hogy tud így konkrét helyzetben dönteni és felelősséget vállalni egy vezető? Hogy lehet lépést tartani azzal, hogy mi az aktuális elvárás?  
– A GDPR valóban nem tartalmaz mindenre egyértelmű szabályozást. De ez nem is lenne feltétlenül baj, mert ez egy absztrakt jogszabály, ami olyan általános jogokat és kötelezettségeket tartalmaz, amiket nagyon különböző helyzetekre kell alkalmazni. Ahhoz, hogy elhelyezzük a GDPR-t, fontos látni, hogy az előírások nem önmagukért valóak. A GDPR egyik fő célja az adatalanyok (érintettek) számára a transzparencia és az önrendelkezési jog biztosítása. Azaz, hogy a természetes személyek számára megfelelő mennyiségű és minőségű információ álljon rendelkezésre ahhoz, hogy felmérjék, személyes adataikat kik és milyen körülmények között kezelik.

De a GDPR-ral az EU-s jogalkotónak nem az volt a célja, hogy ellehetetlenítse a személyes adatokon alapuló, azokkal végzet (üzleti) tevékenységet. Elég csak egy pillantást vetni a GDPR címére, amelyben a természetes személyeknek a személyes adatok kezelése tekintetében történő védelme mellett és az ilyen adatok szabad áramlása is megjelenik.

Egy-egy konkrét értelmezési kérdésben az Európai Adatvédelmi Testület (EDPB) iránymutatásai, egyes tagállami hatóságok iránymutatásai, illetve gyakorlata lehet irányadó. Ahogyan maga az adatalapú társadalom is folyamatosan fejlődik, úgy változnak ezek az iránymutatások is. Ezzel a folyamatos változással valóban nem könnyű kívülállóként lépést tartani. De egy felelős vezetőnek nem is kellene, hogy ez feladata legyen. A GDPR előírásainak való megfelelés korántsem csak egy adatvédelmi tájékoztató megírásából áll. Fel kell állítani a megfelelő adatvédelmi folyamatokat, és ezeket hozzá kell igazítani a meglévő folyamatokhoz, működéshez.

Aggasztó ugyanakkor, hogy a gyakorlatban a GDPR elkezdett a mindenség jogává válni. Vagyis a gyakorlatban az adatvédelmi szempontok lépnek előre és átveszik az irányítást olyan jogviszonyokban is, ahol nem biztos, hogy erre szükség lenne. Emiatt az adatvédelmi elvárások olyan szintre emelkednek, hogy azokat egyre kevesebben veszik komolyan. Ez pedig éppen az ellenkezője annak, ami a GDPR célja lett volna. Jó példa erre a cookie-kal kapcsolatos tájékoztatási és hozzájárulás beszerzési kötelezettség. A felhasználok többsége minden bizonnyal ezeket rögtön leokézza, de anélkül, hogy érdemben megnézné a tájékoztatókat vagy egyedileg beállítaná, hogy milyen típusú cookie-k telepítéséhez járul hozzá.

– Adatok, illetve adatok megadása nélkül ma már nehezen képzelhető el a vásárlás, ami a pandémia hatására még inkább az online térre fókuszál, a kultúra területén különösen. A tapasztalataid, visszajelzések alapján az emberek könnyebben adják meg adataikat, tudván, hogy a GDPR szabályozás védi őket? Nagyobb lett a bizalom az online értékesítés iránt?

– Nekem úgy tűnik, hogy az online értékesítés növekedésében az adatvédelemnek csak kisebb szerepe van. Persze fontos a bizalom. Az érintettek könnyebben adják meg az adataikat olyan weboldalakon, ahol van egy átlátható adatvédelmi tájékoztató. Ahol egyértelmű, hogy ki az adatkezelő és érvényesül a beépített és alapértelmezett adatvédelem elve. Ha jó a felhasználói élmény, van incentíva és biztosítottak az érintettek jogai, akkor a fogyasztók szívesebben adják meg az adataikat.

- Hogy látod, a jogi szabályozás felbátorította a fogyasztókat, hogy érvényesítsék érdekeiket? Nőtt a bejelentések, esetek száma a GDPR óta?

– Tény, hogy 2018 óta sokkal inkább a közbeszéd tárgyát képezi az adatvédelem. Ennek bizonyos vadhajtása, hogy az adatvédelmi hatóságnál való panasztétel kissé olyan lett, mint amilyen korábban az adóhatósággal való fenyegetés volt. A praxisomban túlnyomórészt olyan panaszos ügyekkel találkozunk, ahol az érintett és az adatkezelő között volt valamilyen nézeteltérés vagy vita. Ez lehet munkáltató és munkavállaló közötti jogvita, vagy éppen egy olyan szituáció, amikor egy magánszemély a GDPR alapján próbál kikérni szerződéseket és egyéb dokumentumokat egy cégtől, hogy azokat egy kártérítési perben használja fel az adott céggel szemben.

– A legtöbb ember úgy fogadja el a ÁSZF-eket, hogy nem olvassa el azokat, mert hosszúak, bonyolultak, viszont probléma esetén meglepetésként érik őket, hogy mire adtak felhatalmazást. Milyen a jó ÁSZF ismérve? A felhasználóbarát hossz és megfogalmazás szempont? 

– Egy jó ÁSZF vagy egy jó adatvédelmi tájékoztató megírása már-már művészet. Legyen átlátható, de tartalmazzon minden releváns információt. Vannak bevált módszerek, így például egy weboldalon a tájékoztatót lehet rétegesen megjeleníteni. Azaz elsőre csak a legfontosabb, általános információk láthatóak, és ezekben tud egyre mélyebbre menni a felhasználó. Fontos, hogy ne legyenek ellentmondások sem az adott tájékoztatón belül, sem pedig más dokumentumokkal összevetve. A GDPR megfelelésnek csak a legkülső rétege egy adatvédelmi tájékoztató. Ahhoz, hogy ez jó legyen, fel kell fejteni a belső rétegeket és rendbe kell tenni a folyamatokat. Enélkül a tájékoztató csak egy üres váz.

– A terület specialistái vagytok. Van más olyan jogi szakterület, amelyen specifikus tudással és tapasztalattal rendelkeztek? 
– A Bird & Bird egy olyan nemzetközi jogi tanácsadó, amelynek jelentős tapasztalata van a digitális átállás területén. Én az adatvédelem mellett IT szerződésekkel és szellemi alkotások jogával, főképpen szabadalmakkal, védjegyekkel és szerzői joggal foglalkozom. IT területen gyakran dolgozunk együtt adótanácsadókkal szoftverfejlesztéssel, kutatás-fejlesztéssel összefüggő adókedvezmények kihasználásával összefüggésben. A Bird & Bird budapesti irodában természetesen ezeken kívül számos más jogterületekkel is foglalkozunk, így például versenyjoggal, munkajoggal, peres ügyekkel, vállalatfelvásárlásokkal, ingatlanügyekkel.

– Munkán kívül ki tudod kikapcsolni a GDPR szemüveget, vagy a hétköznapi életben is kiszúrod, ha valami nem megfelelő? Áruld el, tettél már magánemberként feljelentést adatvédelmi ügyben? 

– Bizonyos szinten foglalkozási ártalom, hogy nem tudom teljesen levenni az adatvédelmi szakember szemüvegét, de igyekszem ezt konstruktívan tenni. Így például nyáron írtam emailt egy gyerektábor szervezőjének, amikor azt mondták, hogy ha nem írom alá az ahhoz való hozzájárulást, hogy a gyerekemről fényképfelvétel készüljön, akkor a gyerek nem vehet részt bizonyos foglalkozásokon. Az email elküldése után nem sokkal felhívott a szervező külsős adatvédelmi tisztviselője és egy nagyon jó beszélgetésünk folytattunk. Kiderült, hogy az a munkatársuk, akivel én beszéltem, félreértett valamit, a kérdéses hozzájárulást természetesen nem kötelező megadni. Ígéretet kaptam, hogy erre felhívják az adott személy és a többi kolléga figyelmét. Nekem ez többet ér bármilyen hatósági eljárásnál vagy bírságnál.

Süti	Típus	Időtartam	Leírás
bcookie	0	2 years	Ezt a sütit a LinkedIn állítja be. A süti célja, hogy engedélyezze a LinkedIn funkciókat az oldalon.
language	0		Ez a süti a felhasználó által használt nyelvet segít megjegyezni.
mid	0	9 years	A sütit az Instagram állítja be. A cookie a felhasználók megkülönböztetésére és a releváns tartalom megjelenítésére szolgál a jobb felhasználói élmény és a biztonság érdekében.
rur	1		Amikor a bővítmény gyorsítótára kiürül, és a plugin kérést indít az Instagram API-jához, hogy új bejegyzéseket tudjon betölteni (api.instagram.com), a rur cookie-t állítja be a böngészőbe az API-hoz való kapcsolódás érvényesítéséhez, ez lehetővé teszik, hogy a weboldalon keresztül AJAX kérést adjon le az Instagram API-ra. Ezek a cookie-k nem adnak át vagy tárolnak személyes adatokat. Csak az első oldal betöltésére használják a bővítmény gyorsítótárának lejártát követően. A későbbi oldalbetöltések a WordPress adatbázisában tárolt adatokat tárolják, így az Instagram API-jához nem kell kapcsolódni.
SERVERID	0

Süti	Típus	Időtartam	Leírás
__utma	0	2 years	Ezt a sütit a Google Analytics állítja be, és a felhasználók és a munkamenetek megkülönböztetésére szolgál. A süti akkor jön létre, amikor a JavaScript könyvtár végrehajtásra kerül, és nincsenek létező __utma sütik. A süti minden alkalommal frissül, amikor az adatokat elküldi a Google Analyticsnek.
__utmb	0	30 minutes	A cookie-t a Google Analytics állítja be. A cookie az új munkamenetek / látogatások meghatározására szolgál. A süti akkor jön létre, amikor a JavaScript könyvtár végrehajtásra kerül, és nincsenek létező __utma sütik. A süti minden alkalommal frissül, amikor az adatokat elküldi a Google Analyticsnek.
__utmc	0		A cookie-t a Google Analytics állítja be, és törli, amikor a felhasználó bezárja a böngészőt. A sütiket a ga.js nem használja. A sütik lehetővé teszik az együttműködést az urchin.js-vel, amely a Google elemzés egy régebbi verziója, és amelyet az __utmb sütivel együtt használ új munkamenetek, ill. látogatások meghatározására.
__utmt	0	10 minutes	A Google Analytics által létrehozott saját sütit a felhasználói kérések feldolgozására és a webhely forgalmára vonatkozó statisztika készítésére használják.
__utmz	0	6 months	Ezt a sütit a Google elemzése állítja be, és azt a forgalmi forrást vagy kampányt tárolja, amelyen keresztül a látogató eljutott a webhelyre.
_gat	0	1 minute	Ezt a sütit a Google Universal Analytics telepítette a kérelem arányának csökkentésére, hogy korlátozza az adatgyűjtést a nagy forgalmú webhelyeken.
YSC	1		Ezeket a sütiket a Youtube állítja be, és a beágyazott videók megtekintésének követésére szolgálnak.

Süti	Típus	Időtartam	Leírás
_	0		Ezt a sütit a Facebook állítja be.
__asc	0	30 minutes
__qca	0	1 year	Ez a süti a Quantcasthoz társul, és anonimizált adatok gyűjtésére szolgál a különböző webhelyek naplózási adatainak elemzésére, jelentések készítésére, amelyek lehetővé teszik a webhelyek tulajdonosai és hirdetői számára a megfelelő közönségszegmensek hirdetéseinek biztosítását.
_fbp	0	3 months	Ezt a cookie-t a Facebook hirdetési termékek kézbesítésére használja azon személyek részére, akik a Facebook vagy a Facebook Advertising valamely digitális felületét böngészve weboldalunkat felkeresték. További információ: www.facebook.com/about/privacy
cref	0	1 year
fr	1	3 months	A sütiket a Facebook állítja be, hogy a felhasználók számára releváns hirdetéseket jelenítsen meg, valamint a hirdetéseket mérje és javítsa. A süti nyomon követi a felhasználó viselkedését az interneten keresztül azokon a webhelyeken, ahol Facebook pixel vagy Facebook közösségi plugin található.
IDE	1	2 years	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden egyéb hirdetést, mielőtt meglátogatná a weboldalt. Ezt arra használják, hogy a felhasználóknak olyan felhasználói hirdetéseket jelenítsenek meg, amelyek a felhasználói profil szerint számukra relevánsak.
mc	0	1 year	Ez a süti a Quantserve-hez kapcsolódik, hogy névtelenül nyomon tudja követni, hogy a felhasználó hogyan működik együtt a weboldallal.
uid	0	1 year	Ez a süti anonim módon méri a webhely látogatói számát és viselkedését. Az adatok tartalmazzák a látogatások számát, a webhely látogatásának átlagos időtartamát, a meglátogatott oldalakat stb., a célzott hirdetések felhasználói preferenciáinak jobb megértése céljából.
VISITOR_INFO1_LIVE	1	5 months	Ezt a sütit a Youtube állította be. A webhely beágyazott YouTube-videóinak nyomon követésére szolgál.
vuid	0	2 years

Süti	Időtartam	Leírás
__auc	1 year	Az Alexa Analytics cookie a felhasználói viselkedést követi.
_ga	2 years	Ezt a sütit a Google Analytics telepítette. A süti kiszámítja a látogatók, a munkamenetek, a kampány adatait és nyomon követi a webhely használatát az oldal elemzési jelentésében. A sütik névtelenül tárolnak információkat, és véletlenszerűen generált számot rendelnek az egyedi látogatók azonosításához.
_gid	1 day	Ezt a sütit a Google Analytics telepítette. A süti arra szolgál, hogy tárolja az információkat arról, hogy a látogatók hogyan használják a weboldalt, és segít egy elemző jelentés elkészítésében arról, hogy a weboldal hogyan működik. Az összegyűjtött adatok tartalmazzák a látogatók számát, a forrást, ahonnan származnak, és az oldalak névtelen formában készültek.
_hjid	11 months	Ezt a sütit a Hotjar állította be. Ezt a sütik akkor állítják be, amikor az ügyfél először egy oldalra kerül a Hotjar szkripttel. A véletlenszerű felhasználói azonosító megmaradására szolgál, amely a böngészőben az adott webhelyre egyedi. Ez biztosítja, hogy az ugyanazon webhely későbbi látogatásainak viselkedése ugyanahhoz a felhasználói azonosítóhoz legyen hozzárendelve.
_hjIncludedInSample		Ez a süti úgy van beállítva, hogy értesítse a Hotjart arról, hogy a látogató szerepel-e a mintában, amelyet hőtérképek, tölcsérek, felvételek stb. előállítására szolgál.
GPS	30 minutes	Ezt a sütit a Youtube állítja be, és egy egyedi azonosítót regisztrál a felhasználók követésére a földrajzi helyzetük alapján.

Süti	Típus	Időtartam	Leírás
_uv_id	0	2 years	Ezt a sütit a SlideShare állította be.
ig_did	1	9 years
UIDR	0	1 year	Ez a süti a scorecardresearch.com webhelyre van beállítva. A sütik segítségével nyomon követhetők a felhasználók internetes tevékenységei a böngészőben, például a látogatási időbélyeg, az IP-cím és a legutóbb meglátogatott weboldalak. Illetve elküldheti az adatokat harmadik félnek elemzésre és jelentésre, hogy segítsék ügyfeleiket a felhasználói preferenciák jobb megértésében.

About The Author

Keresés

Legutóbbi bejegyzések

Archives

Süti	Típus	Időtartam	Leírás
__utma			This cookie is set by Google Analytics and is used to distinguish users and sessions. The cookie is created when the JavaScript library executes and there are no existing __utma cookies. The cookie is updated every time data is sent to Google Analytics.
__utmb			The cookie is set by Google Analytics. The cookie is used to determine new sessions/visits. The cookie is created when the JavaScript library executes and there are no existing __utma cookies. The cookie is updated every time data is sent to Google Analytics.
__utmc			The cookie is set by Google Analytics and is deleted when the user closes the browser. The cookie is not used by ga.js. The cookie is used to enable interoperability with urchin.js which is an older version of Google analytics and used in conjunction with the __utmb cookie to determine new sessions/visits.
__utmt			The cookie is set by Google Analytics and is used to throttle request rate.
__utmz			This cookie is set by Google analytics and is used to store the traffic source or campaign through which the visitor reached your site.
_gat			This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
YSC			This cookies is set by Youtube and is used to track the views of embedded videos.

Süti	Típus	Időtartam	Leírás
__auc			This is an Alexa Analytics cookie that is used to track user behavior.
_ga			This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid			This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
_hjid			This cookie is set by Hotjar. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample			This cookie is set to let Hotjar know whether that visitor is included in the sample which is used to generate Heatmaps, Funnels, Recordings, etc.
GPS			This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location

Süti	Típus	Időtartam	Leírás
			This cookie is set by Facebook. The purpose of the cookie is not known yet.
__asc
__qca			This cookie is associated with Quantcast and is used for collecting anonymized data to analyze log data from different websites to create reports that enables the website owners and advertisers provide ads for the appropriate audience segments.
_fbp			This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
cref
fr			The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE			Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
mc			This cookie is associated with Quantserve to track anonymously how a user interact with the website.
uid			This cookie is used to measure the number and behavior of the visitors to the website anonymously. The data includes the number of visits, average duration of the visit on the website, pages visited, etc. for the purpose of better understanding user preferences for targeted advertisments.
VISITOR_INFO1_LIVE			This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
vuid

Süti	Típus	Időtartam	Leírás
bcookie			This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
language			This cookie is used to store the language preference of the user.
mid			The cookie is set by Instagram. The cookie is used to distinguish users and to show relevant content, for better user experience and security.
rur			The cookie is set by instagram to enable the user to browse through the website securely by preventing any cross-site request forgery.
SERVERID

“A gyakorlatban a GDPR elkezdett a mindenség jogává válni” – interjú Dr. Halász Bálint adatvédelmi jogásszal

About The Author

Related Posts

Keresés

Címkék

Legutóbbi bejegyzések

Archives