Kit véd az adatvédelem?
Egyre hosszabb, bonyolultabb adatvédelmi tájékoztatók. Szinte átláthatatlan védelmi rendszerek, havonta lejáró, kusza jelszavak. A túloldalon informatikai incidensek, zaklató hívások, közszemlére tett magánélet. Mennyire lehet eredményes az adatvédelem és kit véd egyáltalán?
Egy adatvédelmi tájékoztató átnézése során – pedig hivatásomnak tekintem – mégis kevés híján elvesztem a felelősség- kizárások útvesztőjében. Egy kollégámat hívtam segítségül, aki bölcsen azt mondta: látod, az adatalanyokat szerettük volna védeni, közben észrevétlenül az adatkezelőket védjük jogi, technikai és minden rendelkezésre álló eszközzel.
■ Bizony, az informatikai hálózatok olyanok, mint egy zsúfolt tömegközlekedési eszköz: minél tömöttebb, annál több, pusztítóbb fertőzés söpörhet végig a rajta ülőkön, annál több áldozatot szedhet egy baleset. Érthető tehát, ha a felelősség ilyen növekedése mindenki számára terheket hordoz. Az adatkezelő azért kezeli adatainkat, hogy valamilyen szolgáltatást tudjon nyújtani. A technikai rendszert általában ő is kibérli, vásárolja, vagy éppen hozzáértő IT-szakemberrel fejleszteti ki. A technika szintjén ő is laikus megrendelő csupán. A felelősség mégis az ő vállán nyugszik. Egy adatvesztéssel járó incidens, egy, az ügyfelek magánéletébe gázoló reklám vagy behajtási kampány az ő reputációs kockázata. Mit tehet mást, amenynyire lehet, ügyfeleire hárítja a kockázatokat: Kedves ügyfelem, íme tájékoztatlak arról, hogyan tudom védeni adataidat. Döntsd el, így kéred-e szolgáltatásomat. Ha kéred, akkor bizonnyal felelős döntést hoztál arról, vállalod-e az adatvédelmi kockázatokat.
Az ügyfél pedig, akinek szüksége van a szolgáltatásra, mindent aláír, hiszen a termék megszerzése iránti vágy elnyomja adatvédelmi aggályait, gyanakvását.
■ Ha pedig beüt a baj, mi történjen? Adatkezelőként hallgassunk az incidensről mindaddig, amíg megnyugtató megoldásról nem tudtunk beszámolni? Egyrészt igen, hiszen minek sokkoljuk ügyfeleinket olyan problémákkal, melyek megoldására nincs befolyásuk. Legalább azt lássuk, mekkora a baj, mekkora az érintettek köre. Vaklármára senkinek sincs szüksége. Másrészt nem biztos, hogy az utólagos kommunikációval elégedettek lesznek. Különösen akkor, ha úgy érzik, adataik védelmében nekik is akadnának teendőik. Például több olyan eset ismert, ahol a jelszavak ismertté vál(hat)tak a támadók előtt, és felszólítottak bennünket felhasználókat, hogy változtassunk jelszót – különösen akkor, ha más rendszerekben is ugyanazt a jelszót használtuk.
■ Nem kevésbé szorító a helyzet az adatalanyok, ügyfelek oldalán sem. Átláthatatlan dzsungelként éljük meg az adathálózatokat. Senki sem tudhatja, hogy egy nyilvános felhőben éppen hol vannak az adatai. Jogszerűen vagy éppen bűnöző szándékkal ki férhet majd hozzá. Bár ezzel a veszéllyel sokan úgy élnek együtt, hogy hisznek adataik „ártatlanságában”. Vajon mi rosszra használhatnák az amerikai vagy kínai kormányszervek a hétvégi kirándulás mosolygós fotóit?
Ezzel szemben vannak valós veszélyek is. Egy állásinterjún nem szívesen szembesülünk egy korábbi kicsapongás vállalhatatlan fotójával. Ugyanígy, a termékbemutatók egészségügyi vizsgálatnak álcázott lerohanása, a szomszédokat is megfélemlítő adósságbehajtó, az óvatlan internetes kártyás fizetés után visszatérő tranzakciót terhelő cég – bizony sokunk keserű tapasztalattal alátámasztott hétköznapi veresége.
■ Ennyire sötét a kép? Bábként vergődjünk az információs pókhálók csapdájában akár adatkezelőként akár adatalanyként? Nem hiszem. Úgy érzem, számos ponton új adatvédelmi alapokra van szükség. Nem az ügyfél hozzájárulásának mindenhatóságát kell mormolni, hanem a hatékony védelmek irányába kell elmozdulni.
A hatékony védelem megalapozásához hozzájárulás helyett az ügyfél bizalmát kell kiépíteni. Ez azon alapulhat, hogy bemutatjuk, a felmérhető, szakemberek által előre látható kockázatokkal arányos védelmet alkalmazunk. A védelem igen gyakran a harci tudományokból átvehető módszertannal szervezhető meg hatékonyan. Számolni kell külső, belső ellenséggel, humán kockázatokkal, a felelősségek elosztásával, a kölcsönös ellenőrzésekkel, a megfelelő naplózással, a rendszerek monitorozásával, a veszélyek lehetőség szerinti előrejelzésével.
Szükséges lenne az is, hogy adatkezelésünket ne csupán a laikus ügyfél ítélje meg, hanem olyan szakember, akinek a tanusításában ügyfeleink (és maga az adatkezelők is) megbízhatnak.
■ Végül, de nem utolsó sorban egy új alapelvet is szükséges lenne érvényre juttatni. Ez szerintem hatékonyabban védené adatainkat, mint a hosszú tájékoztatók, felelősség kizárások, vagy az adatfeldolgozók listái. Nevezetesen az, hogy egy adat nyilvánosságra hozásakor a nyilvánosságra hozás körülményeiből az adat környezetéből általában megállapítható, hogy azt milyen céllal hozták nyilvánosságra. Ebből a körből nem lenne szabad kilépni. A szórakoztatás céljára nyilvánosságra hozott adat szórakoztatás céljára átvehető – megkockáztatom, az adatalany engedélye nélkül. Egy állásinterjúra szánt önéletrajz pedig ebben a körben használható, azon ne hahotázzon a fél világ.
■ Úgy vélem, az adatvédelem hatékonysága sokat növekedhetne, ha a szabályok nem az adat gyűjtésére, tárolására, a felelősség adatalanyra hárítására koncentrálnának, hanem a felhasználás kerülne a középpontba. Ennek kell tisztességesnek lennie, hiszen ezen a ponton érhet bárkit húsbavágó sérelem.
Erre gyakori ellenérv, hogy hiába tisztességes az adatkezelő, ha az adatokat ellopják tőle – az adattolvajtól tisztességességet nem várhatunk. Így igaz. Ez a probléma is megoldható kockázat alapú megközelítéssel. Minél tovább akarom tárolni az adatot, annál biztonságosabbá kell tenni tárolását például titkosítással, a lehetséges adatvesztésre figyelmeztető monitorozással. Ez akár fordítva is igaz lehet: ha egy adat biztonságban van, értelmetlen a túltárolás veszélyeit erőltetni, míg ha nem védik megfelelően, akár percek alatt is bekövetkezhet a baj.
■ Összefoglalva tehát úgy vélem, a jó adatvédelem nem az adatot, hanem az adatalanyt és az adatkezelőt együtt védi.
Dr. Dósa Imre
adatvédelmi szakértő