Dósa Imre: GDPR- Korunk Damoklesz kardja

Az általános adatvédelmi rendelet (GDPR) erős alapjogi védelmet kíván nyújtani a természetes személyeknek az Európai Unió területén. Ezzel a szigorral az a baj, hogy figyelmen kívül hagyta a nagyjából 2000 éves jogalkotási elveket. A jogalkotó figyelmen kívül hagyta azt, hogy a technika fejlődésével az életviszonyok bonyolultsága nőtt. Ezért az egységes szabályozás nem alkalmas arra, hogy a valóban jogellenes adatkezeléseket szankcionálja. 2 példát szeretnék állítani arra, hogy miért minősíthető gyakorlatilag bármelyik jóhiszemű adatkezelő olyannak, aki, amely súlyosan jogellenes adatkezelést végez.

Spam szűrőt mindenki alkalmaz. Legtöbbször előfizet valamilyen tengerentúli szolgáltató szűrésére. Ezért bármelyikünkkel előfordulhat, hogy levélküldő (smtp) szerverünk domain-je tiltólistára kerül, mert hekkerek sikeresen támadták, küldtek onnan kéretlen leveleket. Sőt a szerver használóitól független konfigurációs hiba is okozhat ilyet.

Spam szűrésnél a személyes adatkezelésről az adatkezelő- semmilyen tájékoztatást nem nyújt,
– profilozást végez, ennek alapján automatikus egyedi döntést hoz,
– az érintett jogait jelentősen érinheti (pl. meghiúsít állásinterjút),
– adatfeldolgozót (tipikusan tengerentúlit) alkalmaz, de vele nem köti meg a szerződés kiegészítést,
– semmilyen érintetti jog gyakorlása nem biztosítható.

A másik példa a céges telefonok híváslistái, sms üzenetei. Nem találkoztam még olyan szabállyal, ami a célhoz kötöttség elve alapján azonnal vagy visszahívás után töröltette volna a hívások listáját, sms-eket, telefonkönyvi bejegyzéseket. Nem is lenne életszerű, pedig itt is okozhat galibát egy rossz kezekbe került telefon. Itt sincs tájékoztatás, a felhős adattárolás esetén az adatfeldolgozóval szerződés (például az Apple céggel).

Mindezek dacára spam szűrés nélkül minden bizonnyal gyorsan megbénulna a teljes e-mail forgalom. Céges telefonok nélkül sem képzelhető el korunk hétköznapja. Ha ilyenek miatt mégis büntetne bármilyen adatvédelmi hatóság, akkor saját magán kezdhetné. Mindenki használ spam szűrést, céges telefont.

A jogszerű megoldást az ilyen és hasonló problémákra a GDPR sürgős módosítása jelentené. Például így: Bármely adatkezelői kötelezettség mellőzhető, érintetti joggyakorlás felfüggeszthető, ha nyomós adatbiztonsági okból vagy az alkalmazott technológia korlátozásai miatt ez szükséges, illetve az az adatkezelőtől nem elvárható. Ameddig ilyen szabály nem kerül a GDPR-ba, bármelyik adatkezelő megbüntethető. Ez a fenyegetettség pedig nem segíti, hanem inkább bénítja a tényleges adatvédelmet.

Érdeklődőknek: Dósa Imre Youtube videói adatvédelem témában ITT találhatóak.