Amióta 2018-ban hatályba lépett a GDPR (általános adatvédelmi rendelet), az Európai Unióban az emberek magánéletének és adatainak védelme megerősödött. A törvény azonban korántsem tökéletes - és a nagy technológiai vállalatok, az iparági jogászok és lobbisták gondoskodtak arról, hogy minden eszközt bevetjenek, hogy vagy kijátsszák a GDPR rendelkezéseit (félreértelmezéssel), vagy befolyásolják a közvéleményt a törvénnyel kapcsolatban, hogy a fogyasztók ne őket okolják a jogsértésekért, hanem magát a GDPR-t. Az elmúlt évek során ez számos tévhitet eredményezett az adatvédelemmel és különösen a GDPR-ral kapcsolatban. Ezért az idei adatvédelmi nap tiszteletére, noyb tisztázza az 5 leggyakoribb tévhitet.
1. A GDPR rákényszeríti a vállalatokat a cookie-bannerek használatára
Ez nem helytálló. A GDPR nem kényszeríti a weboldalakat cookie-bannerek használatára. Ehelyett a vállalatoknak be kell szerezniük az Ön kifejezett hozzájárulását, ha nyomon akarják követni az Ön online mozgását. Ez jellemzően azért történik, hogy az Ön érdeklődési körén alapuló, személyre szabott hirdetéseket jelenítsenek meg Önnek. A vállalatok úgy döntöttek, hogy a cookie-bannerekkel kérik az Ön hozzájárulását, és gyakran a GDPR-t okolják ezért.
De ez még nem minden: A hozzájárulási arány - és ezáltal a profit - maximalizálása érdekében sok weboldal szándékosan félrevezető és megtévesztő cookie-bannereket használ, amelyek (szinte) lehetetlenné teszik a hozzájárulás megtagadását vagy visszavonását.
Tehát, ha legközelebb cookie-bannert lát, ne feledje, hogy ezek nem a GDPR miatt léteznek, hanem azért, mert egy vállalat profitot akar húzni az Ön személyes adataiból.
2. A vállalatoknak tartaniuk kell az adatvédelmi hatóságok szankcióitól
Sajnos az adatvédelmi hatóságok csak kivételes esetekben folyamodnak szigorú végrehajtási intézkedésekhez. A 2018 és 2023 közötti adatvédelmi hatósági tevékenységről szóló noyb-elemzés szerint az ügyek mindössze 1,3%-a jár pénzbírsággal. Az ír adatvédelmi hatóság, amely a legtöbb nagy technológiai vállalat (Meta, Google, Apple, OpenAI, Microsoft és még sok más) hatáskörébe tartozik, még az általa kezelt ügyeknek is csak 0,26%-ában szab ki bírságot. És még ha az ír DPC bírságot is szab ki, akkor is a média beszámolói szerint aligha szedi be a pénzt.
Közel 900 ügyünkből tudjuk, hogy az eljárások gyakran több évig elhúzódnak, és a vállalatot végül csak figyelmeztetéssel engedik el. Néhány esetben az adatvédelmi hatóság még szerepet is cserélt, hogy az adatvédelmi törvényt megsértő céggel konzultáljon. Például: A noyb 2024-ben bíróság elé vitte a hamburgi adatvédelmi hatóságot a SPIEGEL német hírmagazin ellen indított Pay or Okay-ügy ellentmondásai miatt. A hatóság előtti eljárás során a hamburgi adatvédelmi hatóság szoros kapcsolatban állt a SPIEGEL-lel. Ahelyett, hogy pártatlanul vizsgálódott és döntött volna, többször is találkozott a vállalat képviselőivel, meghívta őket a telephelyére, és visszajelzést adott a Pay or Okay végrehajtásával kapcsolatos változtatási javaslatairól. Az eljárás adminisztratív költségeiért a hamburgi hatóság a SPIEGEL-nek 6 140 eurót számolt fel. Olcsóbb, mint gyakorlatilag bármelyik ügyvéd.
Mindent egybevetve - sajnos - tévhit, hogy a vállalatoknak komoly következményektől kell tartaniuk az adatvédelmi hatóságok részéről az adatvédelemhez való alapvető jog megsértése miatt.
3. A reklámnak személyre szabottnak kell lennie, különben senki sem venné meg, és a reklámipar csődbe menne!
A reklámipar állítása, miszerint az üzletben maradáshoz KELL követnie Önt az interneten keresztül és félrevezető cookie-bannerekkel sújtania, több mint ellentmondásos. Valójában számos alternatív módja van egy weboldal pénzzé tételének, mint például a kontextuális reklám, a termékelhelyezés, a fizetett tartalom vagy a freemium modellek, ahol bizonyos tartalmak csak díj ellenében érhetők el.
Még tudományos tanulmányok is kétségbe vonják a reklámipar által állított reklámkövetés jövedelmezőségét - és így szükségességét -. Egy 2019-es amerikai tanulmány például azt mutatja, hogy a személyes adatok felhasználása csak mintegy 4%-kal növeli egy weboldal bevételét. "Ez hirdetésenként átlagosan 0,00008 dolláros növekedésnek felel meg" - állapítja meg a tanulmány.
De vannak még ennél is szélsőségesebb példák: A holland közszolgálati műsorszolgáltató, az NPO még a bevétel növekedéséről is beszámolt, miután felhagyott a célzott hirdetésekkel.
Ez világossá teszi, hogy léteznek alternatív megoldások arra, hogy a cégek ne kövessék Önt az interneten keresztül.
4. A GDPR beavatkozik a vállalkozás szabadságába
Nem, nem sérti. Az EU Alapjogi Chartájában meghatározott vállalkozás szabadsága egyértelműen kimondja, hogy Ön "az uniós joggal, valamint a nemzeti jogszabályokkal és gyakorlatokkal összhangban szabadon folytathat üzleti tevékenységet".
Ez azt jelenti, hogy a vállalatoknak be kell tartaniuk a jogszabályokat, függetlenül attól, hogy azok az adózásra, a környezetvédelemre - vagy az adatvédelemre és a magánélet védelmére - vonatkoznak. Nincs olyan alapvető jog az üzleti tevékenység folytatására, amely felülírná a vállalat jogi kötelezettségét, még akkor sem, ha sok vállalat ezt szeretné.
Ráadásul a vállalkozás szabadsága valójában azt jelenti, hogy Ön gazdasági tevékenységet folytathat. Ön például szabadon lehet gyógyszerész, és nem szükséges, hogy valamelyik szülője gyógyszerész legyen. Természetesen egy gyógyszerésznek is be kell tartania a törvényt. Ugyanezvonatkozik a nagy technológiai és egyéb vállalatokra is.
5. Az emberek visszaélnek a hozzáférési jogukkal, és elárasztják a vállalatokat hozzáférési kérelmekkel
Annak ellenére, hogy a GDPR 15. cikke szerinti hozzáférési jog alapvető fontosságú ahhoz, hogy a digitális korban legalább egy kis kontrollt megtarthassunk a személyes adataink felett, egyes vállalatok ellene lázadnak, arra hivatkozva, hogy az "aránytalan erőfeszítést" igényelne. Az ilyen lobby állítások még egy német álláspontba is bekerültek, ahol a hozzáférési kérelmeket egyre gyakrabban "visszaélésnek" minősítették.
A valóság azonban még ezt az állítást sem támasztja alá. A törvény már most is tartalmaz biztosítékokat a visszaélések megelőzésére: A GDPR 12. cikkének (5) bekezdése szerint a vállalatok ésszerű díjat számíthatnak fel, vagy akár el is utasíthatják a kérelmeket, ha azok "nyilvánvalóan megalapozatlanok vagy túlzott mértékűek, különösen ismétlődő jellegük miatt".
Ráadásul az EU-ban működő vállalatok túlnyomó többsége nem dolgozik olyan adatintenzív módon, hogy rengeteg hozzáférési kérelmet kapna. Egy (hamarosan nyilvánosságra kerülő) noyb-felmérés keretében az adatvédelmi tisztviselők 73,3%-a mondta azt, hogy a hozzáférési jog kevés vagy egyáltalán nem okoz munkát. Ezzel szemben a nagyobb vállalatok gyakran egyszerűen figyelmen kívül hagyják a fogyasztók hozzáférési kérelmeit, vagy visszatartják az információk azon részeit, amelyekhez az embereknek a törvény szerint joguk van. A Xandr reklámbróker (a Microsoft leányvállalata) például 2022-ben megdöbbentő, 0%-os válaszadási arányról számolt be a hozzáférési és törlési kérelmekre.
Emellett a legtöbb nagy technológiai vállalat mostanra már bevezetett valamilyen automatizálási eszközt, amely lehetővé teszi számukra, hogy tömegesen teljesítsék a GDPR-hozzáférési kérelmeket, általában egy "töltse le az adatait" eszközön keresztül - de még mindig nem adják meg az összes adatot.
Más szóval: a vállalatoknak megvannak az eszközeik a hozzáférési kérelmek jelentős munkaterhelés nélküli kezelésére. Csak nem akarnak hozzáférést biztosítani Önnek a feldolgozott információkhoz.
6. Bónusz tévhit: több milliárd eurós bírságok kiszabásával, noyb gazdag lehet!
Természetesen a noyb nem kap semmit az adatvédelmi hatóságok által kiszabott bírságokból. Amikor egy adatvédelmi hatóság bírságot szed be, a pénz a hatóság székhelye szerinti ország állami költségvetésébe kerül (vagy Spanyolországban közvetlenül az adatvédelmi hatósághoz).
a noyb munkája az adatvédelem-barátabb jövő érdekében csak 5400 támogató tagunknak köszönhetően lehetséges. Ha Ön is szeretne hozzájárulni az ügyünkhöz, többet megtudhat a tagságunkról itt. Elérhet minket a következő címen is info@noyb.eu ha kérdése van.
