Az ember aki legyőzte a Facebookot, azt mondja, sok EU-s adatvédelmi hatóság egyszerűen nem csinál semmit

“Elég abszurd, hogy nonprofit szervezetként azért kapunk támogatásokat az emberektől, hogy rávegyük a kormányt, hogy elvégezze a munkát, amelyet el kéne végeznie. Nekünk nem is kellene léteznünk”

– mondta Max Schrems osztrák jogász, adatvédelmi aktivista, aki leginkább arról ismert, hogy borsot tör a Facebook orra alá.

Schrems klasszikus “tüske a köröm alatt” típusú jogvédő, aki mindig beleköt abba, amibe a célkeresztjében lévő cégek nagyon nem szeretnék, hogy bárki belekössön. A célkeresztjében már több mint egy évtizede elsősorban a Facebook áll, és ő az a ritka eset, aki nem pattan le a nagy techcégekről, hanem valóban kényszerített már ki fontos változásokat az adatvédelem terén. Az ő beadványa nyomán kaszálta el az Európai Unió Bírósága az EU és az USA közötti adattovábbításnak keretet adó megállapodást – kétszer, ugyanis az eredeti, Safe Harbour nevű megállapodás 2015-ös érvénytelenítése után Schrems ennek utódja, a Privacy Shield ellen is benyújtott egy beadványt, és ennek nyomán 2020-ban ezt is érvénytelenítették. A legújabb megállapodást végül tavaly nyáron fogadta el az Európai Bizottság. De a Schrems által 2017-ben alapított jogvédő szervezet, a noyb (mint “none of your business”, azaz “semmi közöd hozzá”) munkájának köszönhető az is, hogy eltiltották a Facebookot attól, hogy egy trükkel a törvényi tiltás ellenére hozzájárulás nélkül használjon személyes adatokat a hirdetések célzásához az EU-ban.

Schrems most az idén huszadik alkalommal megrendezett, éves budapesti kiberbiztonsági konferencián, az ITBN-en volt hallható, nem élőben, mert egy meghallgatás miatt épp az Egyesült Államokba kellett utaznia, ezért egy előre felvett interjút játszottak le a rendezvényen, amelyet Keleti Arthur ITBN-főszervező készített vele.

A boltba se úgy megyünk be, hogy vajon ételmérgezést kapunk-e

Keleti rögtön azzal nyitott, hogy vajon az európai személyes adatok legismertebb őre szokott-e adatvédelmi kompromisszumot kötni a saját életében. Mint kiderült, előfordul, és Schrems mindenki másnak is azt tanácsolta, hogy ha könnyű elkerülni, hogy kompromittálódjon a magánszférája, kerülje el, ha nem, akkor meg ne. Közhelynek tűnik, pedig valójában praktikus tanács abban a korban, amikor ha valakit kicsit is komolyabban érdekel a személyes adatai sorsa, akkor hajlamos ráfeszülni a témára, és teljesen elzárni magát minden mainstream netes szolgáltatástól.

De mint Schrems mondta, épp azon dolgoznak, hogy az embereknek ne kelljen többé meghozniuk ezeket a döntéseket; hogy úgy tudják használni ezeket a szolgáltatásokat, hogy ne kelljen közben azon aggódniuk, hogy sérülnek-e az alapvető jogaink. Ahogy a boltba se úgy megyünk be, hogy vajon ételmérgezést kapunk-e majd attól, amit megveszünk. Az a céljuk, hogy aki szeretné védeni a magánszféráját, annak se kelljen eldobnia a telefonját és beköltözni egy barlangba, hanem mondhassa azt, hogy “igen, szeretnék kapcsolatba lépni másokkal, de olyan módon, amely biztonságos, és tiszteletben tartja a meglévő törvényeinket.”

“Nem az én dolgom, hogy korlátozzam magam, ha a cégek megszegik a törvényt”

– mondta Schrems, aki szerint a noyb olyan, mint egy fogyasztóvédelmi szervezet: nem lobbiznak törvényekért, mert azok már megvannak, és szerinte az európai adatvédelmi szabályozás “a legkevésbé rossz”. A probléma szerinte inkább az, különösen a GDPR-ral, hogy a törvény megvan, csak nagyrészt figyelmen kívül hagyják egyes szereplők.

Mint mondta, háromféle ügyet visznek. Egyrészt vitás helyzeteket, amelyeknek a megítélésében akár a szakértők se értenek egyet. Másrészt hiába születnek az ilyen ügyekben döntések, ezeket gyakran nem tartják be az érintettek, úgyhogy a munkájuk egy része a döntések betartásának a kierőszakolása – erre jellemző példa a cookie-értesítések, amelyekből ma is találni egyes oldalakon olyat, amin például nincs elutasítás gomb, csak elfogadni lehet. A harmadik terület még épp beindítás alatt áll, mert az EU tavalytól lehetővé tette, hogy csoportos perek indulhassan, ami az adatvédelem terén is új lehetőségeket nyit.

“Néha nemzeti adatvédelmi hatóságok ellen kell fellépnie, ami meglepő. Nem végzik ezek a hatóságok a dolgukat? – adta fel a labdát Keleti Arthur, amelyet Schrems rögtön le is csapott:

“Nem végzik a munkájukat, egyszerűen nem végzik a munkájukat.”

Jó, ha van egy független adatvédelmi hatóság, de Schrems szerint a függetlenség azt is jelenti, hogy egy miniszter mondhatja, hogy nem utasíthatja a hatóság elnökét, hogy ténylegesen végezze el a munkáját, hiszen független. Egyes helyeken, ahol a politika jelöli ki a hatóság vezetőjét, tud olyanról, hogy a vezető dolga éppen az, épp azért nevezték ki, hogy ne végezze el a dolgát. “Mintha a kábítószer-ellenes hatóságot nem érdekelnék a kábítószerek” – mondta. Szerinte a hatósági fellépést az is nehezíti, hogy ha egy nagy céget elsőként vesz célba egy adatvédelmi hatóság, annak mindig nagy politikai visszhangja van, amit a hatóságok is tudnak. Ezért a noyb a hatóságokat is nyomasztja, hogy végezzék el a dolgukat.

“Egy alternatíva lehetne az európai szintű hatósági fellépés a nagy cégek ellen, mert azok mindig azokat a tagországokat keresik, amelyek nem tartatják be a szabályokat – ez valójában Írország és Luxemburg” – mondta. Létezik uniós adatvédelmi biztos, de ő Schrems szerint jelenleg csak az uniós intézményeket felügyeli, ha ezt kiterjesztenék a nagy cégekre is, akkor azok többé “nem bújhatnának el a helyi hatóság mögé”.

Van a noyb irodájában egy matricájuk: “Breaking the law is not innovative”, azaz "a törvényszegés nem innovatív” – Schrems szerint ez tökéletesen összefoglalja a helyzetet, mert a nagy techcégek gyakran azzal érvelnek, hogy “ó, ránk a törvény nem vonatkozik, mert innovatívak vagyunk”. Ha a maffia mondaná ezt, felháborodás lenne, de ha a Facebook mondja, vele valamiért elnézőbbek – állította Schrems. Azt nem említette, de érdekes adalék, hogy a Facebook mottója sokáig az volt, hogy “Move fast and break things”, azaz “menj gyorsan és törj el dolgokat”, ami jól illusztrálja a fentieket. Ezt a mottót aztán 2014 körül megváltoztatták.

A bírság tényleg működik

Keleti Arthur szkeptikusan beszélt arról, hogy vajon a GDPR által belengetett bírságoknak van-e valódi elrettentő erejük. (Legutóbb például a KRÉTA feltört fejlesztője kapott itthon egy nagyobb, 110 millió forintos bírságot.) Schrems szerint az egyik nagy probléma éppen az, hogy nem tények, adatok alapján folyik a döntéshozatal adatvédelmi kérdésekben, sőt ilyen adatok alig vannak, ezért ezt a hiányosságot ők igyekeznek pótolni. Erről a kérdésről is végeztek egy felmérést, amelyben, ezer céges adatvédelmi felelőst kérdeztek arról, hogy mi kell ahhoz, hogy a cégük vezetése valóban foglalkozzon az adatvédelemmel, költsön is rá, ha kell. Az első helyezett a bírság volt, a második pedig a nyilvánosság, azaz ha ki is derül, hogy nem vigyáztak eléggé a felhasználóik, ügyfeleik adataira. Ezek azok, amik tényleg működnek, minden más, például a hatósági iránymutatások, gyakorlatilag hatástalanok – mondta.

Mint az ITBN gyakorlatilag minden előadásában és beszélgetésében, természetesen itt is előkerült a slágertémája, a mesterséges intelligencia (MI). A hagyományos adatvédelem felhasználói hozzájáruláshoz köti, hogy felhasználhatók-e valamire az illető adatai, de ez a megoldás nem illúzió-e az MI esetében? – vetette fel Keleti.

Schrems szerint itt a fő kérdés az, hogy az MI-modellek tanítására használt adat honnan jön: ha nem személyes adat, akkor nincs vele gond. (Ezzel egyébként a digitális művészek vagy az írók bizonyára vitatkoznának.) Szerinte az olyan, GDPR-ban rögzített felhasználói jogoknak pedig ezen a téren is érvényesnek kell lenniük, mint az adattörléshez való jog. De hogy lehet ezt a gyakorlatban megvalósítani az MI esetében? Ha az adataiddal tanítottam be a modellemet, azok mélyen a neurális hálójában vannak, nem nagyon van rá mód, hogy az egyes adatokat utólag töröljük – mondta ki feltehetően sok IT-szakember gondolatát Keleti. Schrems szerint ezen a téren még tényleg sok fejlesztenivaló van.

“Az alternatíva, hogy a cégek azt mondják, hogy a technológia még nem tart itt, ezért nem tudjuk teljesíteni a törvényi kötelezettségeinket, így egyszerűen nem használhatjuk még személyes adatokon az MI-t. Minden másra igen, de erre nem.” Kicsit idealistának tűnik ez az elképzelés – aztán ki tudja, Schrems és a noyb talán még ezt is át tudja egyszer verni a rendszeren.