Itt a bizonyíték: tényleg lehallgathatják használóikat az okoseszközök, fontos kérdés a GDPR

Megosztás Tetszik

Jó ideje pletykálnak arról, hogy az okoseszközök lehallgathatják használóikat, és a háttérben személyes adatokat gyűjthetnek róluk. Az összeesküvés-elméletek korában eleinte sokan hitetlenkedve hallgatták ezt, egészen addig, ameddig az első jogi eljárások meg nem indultak. Az Egyesült Államokban az Apple 95 millió dollár megfizetését vállalta a potenciális jogsértésért, amit egyébként nem ismert el.

Két felhasználótól indult az eljárás

Két felhasználó figyelt arra fel az Egyesült Államokban, hogy miután Air Jordan cipőről és egy étteremről beszéltek egymással, ilyen tartalmú hirdetésekkel találkoztak az eszközükön. Mások pedig azt vették észre, hogy amikor orvosnál jártak, és egészségügyi beavatkozásról beszéltek vele, ahhoz kapcsolódó reklámok jöttek velük szemben. Ezek annak ellenére történtek meg, hogy nem aktiválták az Apple mesterséges intelligenciát is felhasználó keresőjét a "Hey Siri" mondat kimondásával.

Alappal tehető fel, hogy az okoseszközök a beszélgetéseket "lehallgatták", és rögzítették azokat. Az elemzést követően pedig továbbították az információkat olyan hirdetőknek, akik számára ez gazdasági hasznot generálhat. A panasz eredményeképpen peres eljárás indult az USA-ban, mely a Lopez et al v. Apple Inc. ügyben (U.S. District Court, Northern District of California, No. 19-04577) egyezséggel zárult. Az Apple 95 millió dollár megfizetését vállalta, bár a jogsértést tagadta. Ezt az összeget egyébként az Apple 9 óra működéssel megkeresi.

Így kellene kinézni jogszerűen a hangrögzítésnek

Az elektronikus berendezések személyes adatot kizárólag abban az esetben rögzíthetnek, amennyiben arra utasítást ad a használójuk. A rögzítésre pedig alapesetben a saját eszközökön vagy a felhőtárhelyeken kerülhet sor. Ilyen tárhely az Apple esetében az iCloud. Ehhez azonban más nem férhet hozzá, és nem kezelheti a személyes adatokat. Erre tekintettel az ilyen szolgáltatót adatfeldolgozónak nevezzük, mivel a személyes adatokat az adatkezelő (azaz az eszközhasználó) nevében és annak utasítására kezelheti, saját érdekében azzal nem kezdhet semmit.

Amennyiben az adatkezelési folyamatba adatfeldolgozót vonnak be, vagy a személyes adatokat egy szolgáltatással összefüggésben továbbítják másnak (ezt a GDPR címzettnek hívja), a címzettek pontos adatait közölni kell. Ismerni kell tehát a személyes adatok pontos életútját.

Az említett esetekben viszont az történt, hogy az adatfeldolgozó kiléphetett utasítotti minőségéből, és saját céljára kezdte el felhasználni a személyes adatokat. Ez a saját cél egy üzleti cél, azaz bevétel generálása abból, hogy a mások számára értékes adatokat továbbít hirdetők számára.

Ez egyébként jogilag nem lenne kizárt, ha bizonyos feltételek teljesülnének. Először is, az eszköznek tájékoztatást kellene nyújtania minimálisan arról, hogy milyen személyes adatokat, milyen célból, kinek kíván továbbítani, és ehhez a használó hozzájárulását kellene kérnie. Amennyiben pedig különleges adatok továbbítására is sor kerül, arra külön fel kellene hívnia a figyelmet, és ehhez külön hozzájárulásra lenne szükség. A probléma azonban már korábban is jelentkezik. Mivel ugyanis az eszköz a beszélgetéseket "lehallgatja" és elemzi, már ahhoz is hozzájárulásra lenne szükség, hiszen annak semmi köze az eredeti szolgáltatáshoz, azt a felhasználó nem igényelte.

Ilyenkor derül ki, hogy valóban fontos a személyes adatok védelme

Az egyes vállalkozások sokszor tehertételként tekintenek a személyes adatok védelmére, ami sokak szerint csak bonyolítja a mindennapi életet. Kétfaktoros azonosítás nélkül egyre kevesebb szolgáltatás érhető el, a szolgáltatásokhoz pedig nyakatekert adatkezelési tájékoztatások is tartoznak. Ne felejtsük azonban el, hogy minderre az érintett természetes személyek (munkavállalók, ügyfelek) érdekében van szükség!

Ezért szabályoz akképpen a személyes adatok kezelését és védelmét meghatározó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR), hogy a személyes adat kezelésének szabályszerűségéhez feltételrendszer teljesítése szükséges. Először is az adatkezelés feltétele a jogalap. Ez lehet az érintett személy hozzájárulása, szerződés teljesítése, jogi kötelezettség teljesítése, valamely fontos érdek stb. Emellett a GDPR olyan alapelveket is meghatároz, mint az adattakarékosság, korlátozott tárolhatóság, célhoz kötött adatkezelés elve, és kiterjedt tájékoztatási kötelezettséget is előír, mely alapján az adatkezelés összes részletét ismerni kell. Végezetül számos olyan jogot is megfogalmaz a rendelet, melyek alapján az érintettek hozzáférhetnek a kezelt személyes adatokhoz, tájékoztatást kérhetnek az adatkezelésről, helyesbíttethetik, bizonyos esetekben töröltethetik a személyes adataikat, korlátozhatják az adatkezelést, tiltakozhatnak a személyes adat kezelésével szemben, illetve jogorvoslati lehetőségeik is vannak.