Nemrég egy Snapchat-felhasználó azzal keresett meg bennünket, hogy az alkalmazás hozzáférést kér a helyadataihoz egyes filterek használatáért cserébe, pedig semmi szükség nem lenne rá. Ez nem egyedi eset: más techcégek is előszeretettel kérnek olyan személyes adatokat, amelyeknek a szolgáltatáshoz nincs közük, de ez a gyakorlat jogsértő. Mit tehetsz ez ellen?
Ha egy alkalmazás feleslegesen kéri a személyes adataidat ahhoz, hogy elérhetővé tegye valamelyik funkcióját, azzal megsérti az uniós adatvédelmi rendeletet, a GDPR-t, hiszen a hozzájárulásod nem minősül önkéntesnek. Akkor minősül annak, ha kifejezetten azért a célért akarod megadni az adataidat, amiért azokat elkérték. Tehát
- önkéntes a hozzájárulásod, ha a térképszoftver használatához adod meg a GPS-adataidat, vagy a képszerkesztő programnak adsz hozzáférést a fotóidhoz, de
- nem tekinti önkéntességnek a jog, ha egy filter használatáért cserébe belemész abba, hogy az alkalmazás láthassa a mindezzel semmilyen kapcsolatban nem álló helyadataidat.
Mintha egy az egyben a fenti esetről írt volna az Európai Unió adatvédelmi munkacsoportja, amikor iránymutatásában demonstrálta, hogy mi nem tekinthető önkéntességnek:
Egy mobiltelefonos képszerkesztő alkalmazás arra kéri a felhasználóit, hogy a szolgáltatásainak igénybevételéhez aktiválják GPS-lokalizációjukat. Az alkalmazás azt is közli a felhasználóival, hogy a gyűjtött adatokat viselkedésalapú hirdetésekhez fogja felhasználni. Sem a földrajzi helyzetmeghatározás, sem az online viselkedésen alapuló hirdetés nem szükséges a képszerkesztő szolgáltatás nyújtásához, és mindkettő túlmutat a nyújtott alapszolgáltatás teljesítésén. Mivel a felhasználók ezekhez a célokhoz való hozzájárulás nélkül nem használhatják az alkalmazást, a hozzájárulás nem tekinthető önkéntesnek.
Azt is hozzátették, hogy ha a felhasználóra nyomást vagy befolyást gyakoroltak, akkor nem szabad akaratából adja meg a hozzájárulást, ezért az érvénytelen. Ebben az értelemben befolyásolásnak minősül az is, ha valaki nem használhatja egy alkalmazás bizonyos funkcióit, amíg meg nem adja egyes személyes adatait.
Mit tehetsz, ha te is beleütközöl ebbe a jelenségbe?
A jogellenes adatkezelés miatt nemzetközi cég esetén annak az országnak az adatvédelmi hatósága jár el, amelynek a területén a cég tevékenységi központja található. A Snapchatet üzemeltető Snap Inc. európai tevékenységi központja az Egyesült Királyságban van, ezért a brit adatvédelmi hatóság hatáskörébe tartozik az adatkezeléseikkel kapcsolatos visszaélések kivizsgálása. Azonban ha a magyar Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) kezdeményezel vizsgálatot, ők az uniós adatvédelmi hatóságok együttműködése keretében átteszik a kérelmedet az Egyesült Királyságba.
Mivel a nemzetközi vállalatok központjai jellemzően ugyanabban a pár uniós tagállamban találhatók, a helyi hatóságok leterheltsége miatt ezek az eljárások általában hosszadalmasak és a magyar ügyfelek számára nehezen követhetőek – mégis érdemes bejelentést tenni, mert az állampolgári nyomás az ügyintézők és a politikusok felé is jelzi, hogy sokakat érintő, fontos problémáról van szó.
Nemrég a New York Times foglalkozott azzal, hogy mennyire kiterjedt iparág jött létre a mobiltelefonos helyadatok begyűjtésére és értékesítésére, amelyeket hirdetések, vagy akár politikai üzenetek hatékonyabb célzására is felhasználhatnak. Az Európai Unióban jobb a helyzet, mint az Egyesült Államokban: a két éve kötelezően alkalmazandó GDPR rendelet a felhasználók megfelelő tájékoztatását is előírja, de a fenti példa is azt mutatja, hogy nem minden szolgáltató tartja be a szabályokat.
Remport Ádám (Illusztráció: TeroVesalainen / Pixabay)