Gáti Mirkó[1] - Simay Attila Endre[2]: GDPR - A személyes adatok védelme és ennek percepciója egy magyar kutatás tükrében (GI, 2019/1-2., 305-322. o.)

Bevezetés

A GDPR (General Data Protection Regulation), az Európai Unió új általános adatvédelmi rendelete, amely a közös európai szabályozás fő céljainak tekintette, hogy harmonizálja a magánélet védelmével és személyes adatokkal kapcsolatos jogi szabályozást Európában. A szabályozás révén cél a személyes adatokkal kapcsolatos állampolgári jogok megvédése és megerősítése, és egyben a szervezetek személyes adatokra vonatkozó kezelési gyakorlatának átalakítása. A jogi szabályozás kiterjed a személyes adatokat kezelő szervezetek adatkezelési gyakorlatára, és jogalanyként az állampolgárokra is, akiknek feltételezhetően a szabályozás és annak percepciójának hatására változnak a személyes adatokhoz kapcsolódó attitűd- és magatartásjellemzőik. Az empirikus kutatás rövid kitekintést adna egyben arról is, hogy a GDPR életbe lépése után egy évvel milyen a jog percepciója egy kérdőíves kutatásban vizsgált egyetemi hallgatók, mint az átlagnál talán kicsit tájékozottabb, de nem kifejezetten jogi orientációjú állampolgárok részéről. Mindez nagyjából a szabályozás életbe lépésének első évfordulójához igazítva került elemzésre, amelyet elégséges időnek feltételeztünk, hogy a szabályozás tudatosodhasson a jogalanyok percepcióiban.

1. Adatvédelmi jog és GDPR

A magyar jogirodalomban először Majtényi László foglalta össze az adatvédelem korszakait, és három szabályozási generációt különböztet meg: az első generációs szabályok az 1970-es években fejlődtek ki, amelyek ebben a korszakban az állami, számítógépes nyilvántartásokkal szemben igyekeztek valamilyen védelmet kialakítani. A második generációs szabályok az 1980-as és 1990-es években jelentek meg, és már nem csak az automatizált, hanem a papíralapú

- 305/306 -

nyilvántartásokat is a szabályozás hatálya alá vonták. Végül, a harmadik generációs szabályok főbb jellemzői az európai integráció sajátosságainak figyelembevétele, és a szektorális szabályok megjelenése.[1] Az elmúlt 10-15 évben a technológiai és társadalmi háttér változása újra és újra kihívás elé állította és állítja az 1990-es évek végére nagyjából kialakult adatvédelmi szabályozást. A felhasználók által készített és közzétett tartalmaknak köszönhetően az online adatmennyiség korábban elképzelhetetlen mértékben bővül. A technológiai szaksajtóban megfigyelhető a "Big Data" kifejezés előtérbe kerülése, amely ugyanakkor az adatvédelmi szakirodalomban is megjelent. Vélhetően ennek is köszönhető, hogy az európai szintű szabályozás súlypontja már a rendeletalkotás tervezésekor az érintettek jogai felől az adatkezelők kötelezettségei felé tolódott el. Vagyis az információs önrendelkezési jog egyéni jogérvényesítést és az érintett tudatosságát feltételező koncepciója mellett/helyett fokozottan előtérbe került az adatkezelők kötelezettségeit, felelősségét, illetve elszámoltathatóságát is kidomborító jogi megközelítés.[2] A GDPR (General Data Protection Regulation), azaz Általános Adatvédelmi rendelet az Európai Unió új általános adatvédelmi rendelete, amelyet 2016. április 14-én fogadtak el, majd ezt követően 2018. május 25-én lépett életbe. A szabályozás vizsgálata tehát az életbe lépésének első évfordulóján aktuális kérdés. A közös európai szabályozás fő céljainak tekintette, hogy harmonizálja a magánélet védelmével és személyes adatokkal kapcsolatos jogi szabályozást, megvédje és megerősítse a személyes adatokkal kapcsolatos állampolgári jogokat, és egyben átalakítsa a szervezetek személyes adatokra vonatkozó kezelési gyakorlatát.[3] A részletes jogi szabályozás szövege pedig az Európai Unió hivatalos honlapján is elérhető az EU minden nyelvén, így többek között magyar nyelven is.[4] A részletes jogi szöveg az életbe lépése előtt 2 évvel már publikus volt, amely idő alatt az érintett szervezetek felkészülhettek a magánélet védelmével és a személyes adatok kezelésével kapcsolatos

- 306/307 -

új szabályozásra. A szabályozásban részletesen kifejtésre kerülnek a magánélet védelmével és a személyes adatok kezelésével (ezek felvételével, gyűjtésével, tárolásával, felhasználásával, továbbításával, módosításával) összefüggő irányelvek, mint ahogyan az is, hogy mit tekintünk személyes adatnak. Személyes adatnak minősül bármely, a természetes személyre vonatkozó adat, és az abból levonható, a személyre vonatkozó következtetés (például név, azonosító szám, helymeghatározó adat, online azonosító, a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális és szociális azonosságára vonatkozó információ, lásd bővebben az Európai Bizottság vonatkozó meghatározását.[5] Ezzel párhuzamba állítva, az információs önrendelkezésről szóló magyar jogszabály értelmező rendelkezései szerint a személyes adat az érintettre vonatkozó bármely információként értelmezi a fogalmat. Az adatkezelés szintén e törvényhez fűzött értelmezés alapján az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége. Így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése.[6] A jogi környezetben a politikai viszonyok kifejeződése, stabilitása általános gazdasági érdek,[7] és ez az összefüggés talán még inkább igaz lehet a magánélet védelmével kapcsolatos kérdések kapcsán, mint általánosságban. Az új uniós szabályozással - mivel a GDPR közvetlen hatállyal rendelkezik, így minden tagállamban kötelezően alkalmazni kell - minden tagállamban a személyes adatok kezelése és védelme érdekében ez lesz a legfontosabb szabályanyag, melytől eltérni csak és kizárólag akkor lehet, ha azt a GDPR megengedi.

A GDPR kiterjeszti az adatok védelmének hatókörét, mivel bármilyen személyre vagy szervezetre alkalmazható, amely adatokat gyűjt vagy információkat továbbít EU állampolgárokról. Ráadásul mindegy, hogy az adatok fizikailag hol kerülnek tárolásra, az EU állampolgárok érintettsége már elégséges, hogy az adatvédelmi rendelet hatálya kiterjedjen az adatok gyűjtésére és kezelésére, és

- 307/308 -

mint rendelet az alkalmazása kötelező érvényű.[8] A rendelet célként határozza meg, hogy a személyes adatok az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges. Ezzel együtt a szabályozás előírja, hogy az egyes tagállamokban a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatáskört is biztosítani szükséges, és a jogsértőkre azonos szankciókat kell alkalmazni. Amelynek oka a jogalkotó szerint elsősorban az, hogy a gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. A személyes adatok gyűjtése és megosztása jelentős mértékben megnőtt.[9] Péterfalvi Attila állásfoglalása alapján is tudható, hogy a GDPR alapvetően az adatkezelők (adatfeldolgozók) kötelezettségévé teszi, hogy a felelősségükbe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezessenek, melyet megkeresésre a felügyeleti hatóság rendelkezésére kell bocsátani és az adatkezelés jogszerűségét ezáltal is igazolni. Az adatkezelőknek (adatfeldolgozóknak) - azoknak is, akik már rendelkeznek NAIH azonosítóval - 2018. május 25-től saját maguknak kell az adatkezelésükről nyilvántartást vezetniük.[10] A GDPR alapvető célja, hogy szigorú szabályokat állítson fel azzal kapcsolatban, ahogy a szervezetek gyűjthetik és kezelhetik a személyes adatokat bárhol a világon. Az állampolgárok panaszt tehetnek bármely nemzeti adatvédelmi hatóságnál, amely kivizsgálhatja a panaszaikat. Továbbá a felhasználókat a GDPR felhatalmazza, hogy bármikor visszavonhassák az adataikat egy adatbázisból vagy online forrásból. Tehát a digitális lábnyomok eltüntethetővé kell váljanak, és mindez jelentős kihatással lehet arra, ahogyan az internet jelenleg működik és az adatok (a személyes adatok is) áramlanak oldalak, felhők és más internetes tárházak között. A GDPR szabályokat megszegő vállalatok pedig a világszinten elért előző éves árbevételük akár 4%-át kitevő pénzügyi bírságra is számíthatnak a szabályok be nem tartásának következményeként.[11] Magyarországon a közelmúltban napvilágra került cikkek egy része azt a sötét jövőképet vetítik előre, hogy a vállalatok jelentős része nem lesz képes

- 308/309 -

majd arra, hogy megfeleljenek a hatályos GDPR előírásoknak (piacesprofit.hu). A Piac & Profit 2019-es cikke szerint a vállalatok 15%-a véli úgy, hogy sikeresen meg fognak felelni a GDPR előírásoknak rövid távon, de hosszú távon 92%-uk véli úgy, hogy nem lesz probléma a szabályok betartásával ebben a kérdésben.[12] Szintén ebben a szakmai folyóiratban még 2018-ban olyan megállapítások is napvilágot láttak, ami szerint a magyarországi vállalatok számára sok adminisztrációs terhet jelenthet a GDPR szabályok betartása, azonban, amennyiben nem felelnek meg az elvárásoknak, úgy számíthatnak a komoly bírságokra, amit érdekükben áll elkerülni.[13]

A jogi szabályok és rendeletek mellett azt feltételezzük, hogy ezen szabályozások állampolgári észlelése is jelentős kérdés. A Piac & Profit által 2019-ben közölt felmérés szerint az emberek 44%-a úgy értékeli, hogy a cégek jobban odafigyelnek a szabályozás bevezetése óta eltelt időszakban a személyes adataik védelmére. Különös tekintettel arra, hogy a vizsgálat fókuszát képező rendelet a személyes adatok kezeléséről a magánélet védelmének érdekét szolgálja. Ebből kifolyólag fontos kérdés, hogy a felhasználók miként is észlelik részben a magánéletet, mint mások számára nyilvános teret, másfelől a kockázatokat, amelyek a személyes adataik kezeléséhez kapcsolódnak.[14]

Ennél a pontnál érdemes a magánélet és a privacy fogalmak különbségtételének megtétele, mivel ez a jogi szabályozásban is rendre megtörténik.[15] A magánélet ugyanis csak részben fejezi ki azt, amit az angol privacy jelent.[16] A magyar magánélet fogalom szűkebb a privacy fogalmi körénél, sokkal inkább a személyes intimitások érzetét kelti. Az angol privacy kifejezés ezzel szemben kiterjed a személyes magánszféra egészére, a személyes autonómiára, a személyiség integritására és a személyes adatok feletti önrendelkezésre is (a magánélet védelméhez kapcsolódó garanciákat általánosságban és részletesen is tartalmazza a GDPR szabályozás). A továbbiakban - stiláris okokból, hasonlóan Székely és munkatársainak (2015) szóhasználatához - a privacy terminust

- 309/310 -

helyenként a magánélet kifejezésekkel váltjuk ki, és a privacy elméleti koncepciójánál nem vesszük figyelembe a komplex, többdimenziós megközelítéseket. Így elemzési fókuszunkat az információs magánszféra oldaláról határozzuk meg (bővebben lásd Koops és társainak munkájában).[17] Az Európai Unió a következőképpen határozza meg a GDPR-t: "a rendelet az EGT területén tartózkodó természetes személyek személyes adatait védi és rendelkezik a tagállamok közötti szabad információáramlásról. [...] Érdekessége, hogy a nemzetközi jogi gyakorlatban eddig nem megszokott módon, kiterjesztő hatályú rendelet, tehát nem EGT-tagállamban működő szervezetekre is kötelező lehet". Emellett a szabály rövid története, alapfogalmai, alapelvei és az érintettek jogai kerülnek röviden ismertetésre.[18] Tehát a közösségi meghatározás is külön részt szentel a felhasználók, mint érintettek jogainak, amely a személyes adatok kezelésére vonatkozik. Ehhez kapcsolódó gondolat, hogy a felhasználók számára a szabályozás hatályba lépése megkönnyítette a szolgáltatóváltást és a személyes adatok tudatosabb kezelésére sarkallhat, emellett pedig lehetővé teheti, hogy az állampolgárok sokkal tudatosabban álljanak hozzá, és tegyenek lépéseket magánéletük védelmének érdekében. A szabályozás másik oldalán tehát ott szerepel a befogadó fél, akinek vizsgálata elengedhetetlen bármely hasonló jogalkotói szándék sikerességének elemzésekor.

2. Jog és percepció

Mindazonáltal, a percepció gyakran magában foglalja az észlelés és érzékelés kérdésköreit. Lévén a percepció komplex folyamat során az emberek szelektálják, rendezik és értelmezik az érzékszervi ingereket, hogy ebből egy értelme képbe rendezzék a világot.[19] Az egyén először a legfontosabb szükségleteit elégíti ki. Amikor ez megtörtént, a szükséglet megszűnik motivációs tényező lenni, és az egyén a következő fontos szükséglet kielégítésére törekszik. Az észlelés három szakaszát követően, még felhívható az egyén figyelme illatokkal, meghökkentéssel vagy akár humorral is. De a fogyasztói magatartásban érdemes lehet megkülönböztetni, hogy míg az érzékelés az érzékszervek azonnali és közvetlen reakciója az ingerekre, és alapvetően az egyének érzékszervi ké-

- 310/311 -

pességeinek függvénye, addig az észlelés az a folyamat, ahogy az ingereket az egyén szelektálja, összefüggő és jelentéssel bíró képpé rendezi. Így valaminek az észlelése sokkal inkább szubjektív, függ a befogadó figyelmétől és az egyéni információfeldolgozástól,[20] ráadásul ez függ a befogadó kulturális környezetétől is.[21] Így jelen munkánkban az egyéni befogadás oldaláról vizsgálódunk, mivel a rendelet maga egységes és sok tekintetben objektíven megállapíthatók a joghatásai, ugyanakkor ezek percepciója az érintett állampolgárok által mutathat egyéni eltéréseket. A percepciót elsősorban mint érzékelést értelmezzük.

Adjerid és szerzőtársai azt találták tavaly publikált tanulmányukban, hogy a felhasználók magas észlelt internetes biztonsági intézkedések mellett elégedettebbek voltak a biztonsági intézkedésekkel és kevésbé aggasztották őket a magánélet védelmével kapcsolatos kérdések. Egyben kevésbé számítottak arra, hogy a megadott adataik káros hatással lehetnek rájuk. Ellenben azok a válaszadók, akik a magánéletük alacsony szintű védelmére számíthattak, azok szignifikánsan kevésbé adtak meg személyes adatokat magukról. A relatív és az objektív kockázatok képesek az emberek magánélet védelmével kapcsolatos viselkedését befolyásolni. Bár azt is megállapították, hogy az objektív változások a kockázatra nézve csökkenő hatást gyakorolnak az elvileg lehetséges és a ténylegesen alkalmazott beállítások között, azaz épp az elvileg lehetséges beállításoknál lényegesebbek. Ellenben, a relatív kockázatok szerepe növekszik az elvileg lehetséges és a tényleges beállítások között, tehát a hatás a tényleges beállításoknál az erősebb.[22] Mindez azt sugallja, hogy a törvényi keretek változásának, ami a magánélet védelmére vonatkozik és a felhasználók adatainak kezelését igyekszik biztonságosabbá tenni, végső soron kihatása lehet a felhasználók személyes információinak megosztására az online térben. Ennek a sejtésnek a megerősítéséhez fűznénk hozzá, hogy a Piac & Profit felmérése alapján globálisan a felhasználók 55%-a jelezte azt az EU-ban, hogy óvatosabbá váltak az érzékeny adatok megosztásában a GDPR bevezetése óta eltelt időszakban.[23] Ez alapján pedig érdemes megvizsgálni, hogy milyen tényleges változásokat idézett elő a szabályozás a felhasználók biztonsággal kapcsolatos észlelésében, mint ahogy annak elemzése is indokolt lehet, hogy hosszú távon,

- 311/312 -

a fogyasztói bizalom növelésében szerepet játszhat-e a GDPR bevezetése, mint ahogyan erre a Jogi Fórum egyik 2018-as cikke is utal.[24]

A szabályozás és percepció kérdése azért is releváns kérdés, mivel szintén tavalyi publikált eredményként Fox és Royne arra az eredményre jutott, hogy a felhasználók félelmei erősebbek a személyes adatokkal kapcsolatos adatkezelés kapcsán a hangot, illetve képi utalást tartalmazó ismertetés esetén, mint a csak szöveges adatok esetén. Akár a hangot, akár a képet tartalmazó ismertetés jobban felhívja a felhasználó figyelmét a magánélet védelmére. Miközben ma a legtöbb internetes oldal kizárólag szövegesen ismerteti a felhasználókkal az adatkezelési szabályzatukat.[25] Ugyanakkor Schmeiser eredményei egyben azt is megerősítik, hogy a felhasználók jelentős része nem foglalkozik a magánéletükre gyakorolt hatásokkal az online térben, amely a hirdetésekből és az alkalmazott technológiai megoldásokból eredhet. Azok a felhasználók figyelnek jobban oda a magánéletük védelmére, akik gyakran az internetes böngészőkre is telepítenek ezzel kapcsolatos kiterjesztéseket. A hirdetési hálózatok és a fogyasztói magatartást nyomon követő technológiák alkalmazása épphogy növelheti a felhasználók weboldal iránti bizalmát, bár ennek háttere lehet a felhasználók tudatlansága is az alkalmazott technológiákkal kapcsolatban, és hogy a látogatottabb weboldalak eleve nagyobb bizalmat élveznek a felhasználók részéről.[26] Ami alapján a felhasználók magánéletük védelmével és személyes adataikkal kapcsolatos tájékoztatása, oktatása releváns kérdés lehet, és ebben a GDPR életre hívása egy lehetséges jogalkotói lépésként értelmezhető. Aminek egyik érdekes kérdése lehet a jövőben olyan további szabályok megalkotása, amelyek nem feltétlenül csak szöveges módon hívják fel a felhasználók figyelmét az adatkezelési gyakorlatra és beállítási lehetőségekre.

- 312/313 -

3. A tervezett viselkedés elméletének lehetséges hozzáadott értéke a magánélet védelmével kapcsolatos kérdésekhez

A magánélet védelmével kapcsolatos aggodalmak megjelenése a tudományos szakirodalomban viszonylag jól dokumentált terület,[27] ahol az internetfelhasználók aggodalmai állandóan jelen vannak, mégis, érdekes módon, ennek ellenére megosztják érzékeny személyes adataikat, és lehetővé teszik mások számára, hogy ezekhez az adatokhoz harmadik személyek hozzáférjenek. Az okostelefonok elterjedésével párhuzamosan a felhasználók számára elérhetővé vált egy olyan új eszköz, amelyen keresztül az élethez szükséges tevékenységeik jelentős részét el tudják már végezni, a telefonon fizetéstől kezdve, a telebanki szolgáltatásokon keresztül a közösségimédia-tevékenységekig mindent, és mindehhez hozzájárul egy olyan mértékű felhasználói magatartás, amely -részben a közösségimédia-rendszerek által megváltoztatott használati szokások és jellegzetességek révén - eltéríti a felhasználókat a megszokott elvek mentén kialakuló fogyasztói magatartástól. Ez ellen természetesen felléphetnek szervezetek, vagy bevezethetnek a GDPR-hoz hasonló szabályozásokat, de ettől még kérdés marad, hogy a külső szabályozási környezet megváltozása járul-e hozzá első sorban a felhasználók tudatosításához, vagy a belső, organikus irány, amely a felhasználói felület (user interface: UI) megváltoztatása segítségével felhatalmazhatja a felhasználókat azáltal, hogy informálja őket a lehetőségeikről interakciós felületeken, és emlékezteti őket magánéletük védelmével kapcsolatos aggodalmaikra, ezáltal felhívja figyelmüket a személyes adatokhoz való hozzáférésből fakadó lehetséges veszélyekre.

Ennek a kérdésnek a tudományos vizsgálódását Hughes-Roberts és Kani-Zabihi végezték el, amely kutatás során a szerzők az indokolt cselekvés elméletén, majd annak kiegészítésén, a tervezett viselkedés elméletén (Theory of Planned Behavior, TPB) keresztül közelítették meg a téma elméleti hátterét.[28] Az indokolt cselekvés elmélete (Theory of Reasoned Action) módosításával jött létre - az észlelt viselkedési kontroll kiegészítésével - a tervezett viselkedés elmélete (Theory of Planned Behavior). Az előbbi esetén több kutatás is úgy találta, hogy nem teljesen írja le a viselkedési szándékot az attitűd és a szubjektív norma, majd pedig a kutatások arra világítottak rá, hogy hiányzik egy másik

- 313/314 -

tényező, amit észlelt viselkedési kontrollnak neveztek el.[29] Az elmélet szerint a viselkedés iránti attitűd, a szubjektív norma, valamint az észlelt viselkedéskontroll vezetnek a cselekvési szándék kialakulásához.[30] A tervezett viselkedés elmélete segíthet a fogyasztói magatartás megértésében, amennyiben a magánélet védelmével kapcsolatos pszichológiai háttér vizsgálata kerül a kutatás fókuszpontjába és annak megértése, hogy a tényleges magatartáshoz kapcsolódó tényezők (szándék és cselekvés) milyen befolyásoló tényezők által határozódnak meg. Hughes-Roberts és Kani-Zabihi elemzése alapján azok a felhasználók, akik a magánélet védelmével kapcsolatos információt építettek be a felhasználói felületbe, határozottan kevesebb információt tettek közzé, mint a kísérletükben szereplő kontrollcsoport résztvevői.[31]

Ha megvizsgáljuk, hogy az internet megjelenésével párhuzamosan milyen jellemzőkkel írhatóak le a felhasználók magánéletének védelmével kapcsolatos attitűd és magatartás jellemzők, akkor érdemes figyelembe vennünk, hogy a mindennapi használat során a felhasználók szinte válogatás nélkül, de legalábbis nagyon ellenőrizetlen körülmények között osztanak meg egymással személyes információt (például a közösségi média egyik típusánál, a személyes közösségi hálózatok esetében, pl. Facebook). Ennek a kockázatnak főleg azon csoportok vannak kitéve, akik a fiatalabb korosztály tagjai, köztük is főleg a Z generáció tagjai.[32] Érdekes összefüggés az a magánélet védelmével kapcsolatos paradoxon, ami a kapcsolódó kutatások jellegzetes eredményeit tükrözi, miszerint - főleg a közösségi hálózatokon - a felhasználók szándéka nem tükrözi online magatartásukat.[33] Ez a paradoxon több okból fakadhat, amelyek között szerepelhet a: felhasználók tudatlansága tetteik következményeiről (már, ami a magánélet védelmével kapcsolatos kérdéseket illeti), illetve a felhasználók tudatlansága a rendszerről, amit használnak, és amelynek felhasználási feltételeit elvben elfogadták.[34]

- 314/315 -

1. ábra: A tervezett viselkedés elmélete alapján vizsgált attitűd és magatartás elemek a magánélet védelmével kapcsolatosan

Forrás: Madden et al (1992) és Hughes-Roberts & Kani-Zabihi (2014) alapján saját szerkesztés

Az ábra értelmezéséhez a benne szereplő konstrukciók fogalmi körét ismertetjük a továbbiakban. A viselkedés iránti attitűd fogalma a magatartás következményeihez kapcsolódó tudás észlelése, amelynek lényege, hogy a személynek kedvező vagy kedvezőtlen véleménye van-e az adott magatartásról. E szubjektív normák azon tényezők, amelyek az észlelt társadalmi nyomást jelentik egy magatartás tényleges elvégzésével kapcsolatosan. Az észlelt kontroll a magatartás elvégzésének könnyűségét vagy nehézségét jelenti, és amely a múltban történt tapasztalatok és az előre jelzett nehézségek fényében alakul ki.[35] A tervezett viselkedés elmélete tehát képes lehet előre jelezni az általunk vizsgálni kívánt személyek (internethasználók) tényleges, személyes adatok védelmével kapcsolatos magatartását - és az ezt megelőző cselekvési szándék mértékét - közösségimédia-környezetben, az általunk felállított feltételrendszer mentén. A GDPR szabályozáshoz kapcsolódó külső szabályozási környezet befolyásoló hatásának feltárásában véleményünk szerint sokat segíthet a tervezett viselkedés elmélete révén feltárt összefüggések rendszere is.

- 315/316 -

4. Az empirikus kutatás és a módszertani megfontolások

A kutatás módszertani kérdéseiről röviden megállapítható, hogy az adatgyűjtés online kérdőív formájában került lefolytatásra, és mivel a téma online fogyasztói magatartást vizsgál magyar felhasználók körében, ezért a módszer megfelelőnek tűnt. A kérdőívvel lehetőség volt a strukturált válaszok statisztikai elemzésére.[36] Emellett az online megkérdezés lehetővé teszi a gyors és nagymintás mintavételt. Az adatok elemzésére az SPSS 25-ös programcsomagot alkalmaztuk.

A kérdőíves lekérdezés 2019. április 26. és május 8. között került lebonyolításra, mivel azt feltételezzük, hogy ez a közel másfél hetes időszak nagyszámú választ eredményez, ugyanakkor elég rövid időintervallumot jelent az esetleges torzítások minimalizálására. A mintavételi technika önkéntes mintavétel, mivel a válaszadók egyetemi hallgatók a Budapesti Corvinus Egyetemről, ezért az eredmények nem tekinthetők reprezentatívaknak. Ennek ellenére az eredmények valószínűsíthetően a témához kötődő, izgalmas jellegű tendenciákra mutathatnak rá. Ennél a pontnál ki kell térni arra, hogy a választott minta néhány jellegzetesség mentén eltér az átlagos népességtől. A digitális írástudás terén például sokkal magasabb értékekkel rendelkeznek, emellett pedig átlagos műveltségük, szövegértési és absztrakciós képességeik a társadalom átlagértékeihez képest sokkal fejlettebbek. Ez alapján kiemelendő, hogy a minta jellegzetességeiből fakadóan az eredmények általánosíthatósága a jelzett okok miatt korlátozott. A kutatás során már tesztelt, nemzetközi modellekkel és skálákkal dolgozunk, amelyek közül ebben a tanulmányban a GDPR vonatkozásának releváns eredményeket szeretnénk ismertetni. Ez elsősorban Fox és Royne (2018) a magánélet védelmével kapcsolatos skáláit és ezek GDPR kontextusra való adaptálását jelenti.

Az adattisztítás után a vizsgált minta nagysága 606 fő volt. A minta 40,1%-a férfi, míg 59,9%-a nő volt, amely mögött vélhetően a közgazdasági képzés nemi arányai állnak. Tekintettel a minta sajátosságaira, nagyrészt 1998-1999 években született válaszadókról beszélhetünk (453 fő a 606-ból). A minta nagyobbik része budapesti (56,6%, de szintén jelentős a budapesti agglomeráció jelenléte is (10,4%), míg megyeszékhelyen 12% lakik, további városokban 15%. Ami alapján a vizsgált minta alapvetően fiatal városi felnőttekként

- 316/317 -

jellemezhető. Észlelt anyagi helyzetüket tekintve a többség átlagosnak érzi az anyagi helyzetét (46,2%), de ettől eltérés inkább az átlag feletti értékek irányában adódott. Jóval többen számoltak be valamivel átlag feletti (38,6%) vagy jelentősen átlag feletti (7,4%) észlelt jövedelmi helyzetről, mint valamivel (6,6%) vagy jelentősen (1,2%) átlag alattiról.

5. Magánélet és GDPR percepciók

A válaszadókat elsőként teszteltük, hogy tudják-e mit rövidít a GDPR, ahol 4 alternatív válasz közül kellett megjelölniük a helyes meghatározást. A legtöbb válaszadó (83,2%) a helyes választ adta, de ez egyben jelzés értékű, hogy körülbelül a megkérdezett fiatalok közül hatodik a fogalommal sem volt tisztában eredetileg (16,8%). A lehetséges téves válaszok a General Development Process Regulation, azaz általános fejlesztési folyamat szabályozás, Gross Domestic Product per Resident, azaz egy lakosra jutó bruttó hazai termelés és a General Department of Public Relations, azaz a vállalatok közösségi kapcsolati osztálya voltak. Majd ezt követően minden válaszadó elolvashatott egy tájékoztatást a GDPR jelentéséről, tartalmáról, hogy képet kapjunk a jogalanyok percepcióiról a kérdéskörben.

A GDPR szabályozásra vonatkozó kérdések esetén a válaszadóknak arról kellett nyilatkozniuk, hogy mi a szubjektív megítélése a GDPR adatvédelmi irányelveiről. Egyes állítások esetében jelezve az attitűdjeit, ahol az 1=egyáltalán nem értek egyet, és az 5=teljes mértékben egyetértek skálán adhattak a választ, hogy összehasonlítva a legtöbb általa ismert emberrel, aki közösségimédia-oldalakat használ, hogyan ítéli meg saját magát. Az eredmények eloszlását az az 1. táblázat is mutatja.

- 317/318 -

1. táblázat: GDPR percepciók (százalékos megoszlásban)

Forrás: saját kutatás

Az eredményekből az a kép rajzolódik ki, hogy a mintában szereplő fiatalok többsége megérti a GDPR adatvédelmi irányelveit, és az abban szereplő kifejezéseket és úgy ítéli meg, hogy eléggé megérti a szabályozási környezetet, hogy magabiztosan használja az elérhető internetes oldalakat. Nagyjából vegyes kép rajzolódik ki azokban a kérdésekben, hogy a válaszadók megértenék vagy információjuk lenne arról, hogy a GDPR révén egész pontosan miként is szabályozza a személyes adataik kezelését, felhasználását, illetve az adatvédelmi irányelvek helyes értelmezésében is megoszlik a válaszadók véleménye. A többség viszont nem lenne magabiztos abban, ha nekik kellene elmagyarázni ezeket a szabályokat másoknak is, ami azért azt sejteti, hogy a jogi környezet alapos megismerése és megértése a megkérdezettek körében

- 318/319 -

nemigen valósult meg a többi válaszként adott percepció ellenére sem.

Az adatvédelemi rendeletre vonatkozó összefüggések elemzésére az egyes kérdések közötti lehetséges kapcsolatokat korreláció számítással igyekeztünk feltárni. Az eredmények alapján szignifikáns korreláció (1%-os szignifikancia szintet kikötve, vagyis a statisztikából eredő tévedés valószínűségét 1%-ra csökkentve) volt kimutatható egyes kérdések között. A korrelációs együttható 0 és 1 között méri a kapcsolat erősségét, ahol a 0 jelzi a kapcsolat teljes hiányát, míg az 1 a lineáris kapcsolatot. Az egyes kérdések között mind megfigyelhető volt ez alapján szignifikáns kapcsolat, ahol a korrelációs együttható értéke a közepesen erőstől (legalább 0,455) az erős kapcsolat (legfeljebb 0,734) közé esett. Ami rávilágít arra, hogy a GDPR-hoz kapcsolódó felhasználói észlelések együtt kezelik az adatvédelem kérdéseit, minden mindennel összefügg, amikor a személyes adatok biztonságáról és a kapcsolódó jogi környezet észleléséről beszélünk.

Szintén rákérdeztünk a kutatásunkban arra, hogy a vállalatok részéről a személyes adatok gyűjtésével, kezelésével kapcsolatban az adatvédelmi irányelvek iránt milyen állampolgári elvárások fogalmazódnak meg. Tekintettel arra, hogy a GDPR joghatásában alapvetően a vállalatok adatkezelési irányelveinek változása és tájékoztatási gyakorlata változhatott jelentős mértékben a jogszabály életbe lépése óta eltelt egy évben. Az ezzel kapcsolatos attitűdöket, elvárásokat az elemzés 2. táblázata tartalmazza szintén százalékos megoszlásban.

- 319/320 -

2. táblázat: A jogalanyok részéről felmerülő elvárások az adatvédelmi irányelvek felé (százalékos megoszlásban)

Forrás: saját kutatás

A megkérdezett jogalanyok részéről a vállalatokkal szemben markánsak megjelent az az igény, hogy az adatvédelmi irányelveikből és a felhasználókkal folytatott kommunikációból, tájékoztatásból derüljön ki, hogy miként gyűjtik és miként használják fel a személyes adatokat. Az adatok felhasználását pedig az érintettek szerint a szervezeteknek tudatosítania is kellene. Az adatvédelmi irányelvvel szemben alapvető elvárásként jelentkezik, hogy tiszta és feltűnő helyen legyen közzétéve. Ugyanezt az elvárást nem csak általában az adatvédelmi irányelvekkel kapcsolatban fogalmazták meg, hanem a GDPR szabályokkal összhangban kialakított adatvédelmi irányelvekkel kapcsolatban is. Az adatok vizualizációja érdekében itt nem alkalmaztunk diagramokat, mivel a negatív, vagy akár csak közömbös válaszok aránya minden érintett kérdésben túl alacsony volt ahhoz, hogy ez megfelelőképpen láttatható legyen.

- 320/321 -

Az adatvédelemre vonatkozó összefüggések elemzésére az egyes kérdések közötti lehetséges kapcsolatokat szintén korreláció számítással igyekeztünk feltárni (1%-os szignifikancia szintet kikötve). Az adatok gyűjtésének mikéntje közepesen erős kapcsolatot mutatott azzal, hogy a nyilvánosságra kell hozniuk az adatok felhasználásának mikéntjét (0,537), ennél gyengébb kapcsolat volt a tiszta és feltűnő közzététel általános (0,356) és GDPR-nak megfelelő (0,324) közzétételével és gyenge kapcsolat azzal, hogy a felhasználók tudatában is legyenek az adatok felhasználásának mikéntjével (0,145). Az adatok felhasználásának mikéntje az előbbi kapcsolaton túl korrelált a tiszta és feltűnő közzététel általános (0,397) és GDPR-nak megfelelő (0,331) közzétételével, és gyengén az adatok használatának tudatosodásával (0,168) is. Az általános és GDPR-nak megfelelő tiszta közzététel közötti kapcsolat szintén közepesen erős (0,489), míg kapcsolatuk a felhasználók adataik kezelésére való tudatosításával közepesen gyenge az általános esetben (0,237) és a GDPR esetében is (0,297). Ami jól mutatja, hogy a felhasználók számára az adatvédelemmel összefüggő kérdések egymással mind összefüggésben állnak, ezek együttes kezelése szükséges a vállalatok és a szabályozók részéről.

Zárszó

Összességében tehát elmondható, hogy az általános adatvédelmi rendelet (GDPR) jelentős előrelépést jelenthet a személyes adatok kezelésében jogi aspektusból. Az európai szintű szabályozás súlypontja már a rendeletalkotás tervezésekor az érintettek jogai felől az adatkezelők kötelezettségei felé tolódott el, továbbá maga a GDPR kiterjeszti az adatok védelmének hatókörét is. Noha európai szabályozásról beszélhetünk, de a rendelet bármilyen személyre vagy szervezetre alkalmazható, amely adatokat gyűjt vagy információkat továbbít EU állampolgárokról. A rendelet 2018. május 25-én lépett életbe, és így empirikus kutatásunkban kíváncsiak voltunk a rendelettel kapcsolatos percepciókra, mivel megítélésünk szerint egy év már elégséges idő lehetett arra, hogy az állampolgárok is észleljék a rendelet nyomán változó adatkezelési környezetet.

A kapcsolódó empirikus kutatással arra is igyekeztünk rávilágítani, hogy a felhasználók mind ezt a jogi környezetet, mind általában az adatvédelmi irányelveket együttesen veszik számításba az észleléseik során. Ami indokolja, hogy jogalkotói szempontból a személyes adatok és általában a privacy védelme az érintett területek egészét szabályozza. Ezáltal lehet képes növelni a felhasználók észlelt biztonságérzetét, lehetőséget biztosítva a személyes

- 321/322 -

adatok feletti rendelkezésre és információt biztosítva az érintetteknek ezek felhasználásáról. A GDPR életbe lépése óta eltelt egy év viszont arra is rámutat, hogy a szabályok részletes megismertetése és megértetése az érintettekkel még további információs feladatokat tenne szükségessé, hogy az állampolgárok mindinkább tudatosítsák az adatvédelmi kérdésekre vonatkozó szabályokat.

A jövőben érdekes kutatási terület lehet a GDPR szabályozás adta lehetőségek gyakorlati kontextusban történő elemzése, főleg a felhasználók magatartási jellemzőinek vizsgálatán keresztül. A tényleges tevékenységek (pl. alkalmaznak-e speciális adatvédelmi beállításokat a közösségimédia-oldalakon, elolvassák-e a szolgáltatók adatkezelési tájékoztatóit, tiltották-e meg adataik kezelését egyes oldalakon) elemzése jelen kutatás szerves folyományaként a percepciók összefüggéseinek feltárása révén remek kiegészítő eredményekkel összességében egy holisztikusabb rálátást adna a GDPR szabályozással összefüggésben. ■

JEGYZETEK

[1] Majtényi László: Az információs jogok. In: Halmai Gábor - Tóth Gábor Attila (szerk.): Emberi jogok. Budapest, Osiris Kiadó, 2003, 582-583.

[2] Szőke Gergely László: Az adatvédelem szabályozásának történeti áttekintése. Infokommunikációs és jog, 2013/3, 107-112.

[3] EUGDPR: The EU General Data Protection Regulation (GDPR) is the most important change in data privacy regulation in 20 years. Letöltve: https://eugdpr.org/ (2019. 05. 30)

[4] EU: Az Európai Parlament és Tanács (EU) 2016/679 rendelete. a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet). Az Európai Unió Hivatalos Lapja, 2016. https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.HUN&-toc=OJ:L:2016:119:TOC (2019. 05. 30)

[5] EB: Mit nevezünk személyes adatnak? Európai Bizottság. https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_hu (2019. 04. 12.)

[6] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról. https://net.jogtar.hu/jogszabaly?docid=A1100112.TV (2019. 06. 18)

[7] Keller Krisztina: A turizmusmarketing környezete. In: Lőrincz Katalin - Sulyok Judit (szerk.): Turizmusmarketing. Budapest, Akadémiai Kiadó, 2017, 39-61.

[8] Tankard, Colin: What the GDPR means for businesses. Networking Security, 2016/6, 5-8.

[9] EU 2016.

[10] Péterfalvi Attila: Adatvédelmi nyilvántartással, GDPR utáni bejelentéssel, korábban bejelentett adatkezelők teendőivel kapcsolatos tájékoztatás. 2018 május. https://www.naih.hu/files/NAIH-2018-2336-2-K.pdf (2019. 06. 18)

[11] Greengard, Samuel: Weighing the Impact of GDPR. Communications of the ACM, 2018/11, 16-18.

[12] GDPR: nem tudnak megfelelni a vállalatok. Piac & Profit, 2019. https://piacesprofit.hu/kkv_cegblog/gdpr-nem-tudnak-megfelelni-a-vallalatok/ (2019. 03. 10.)

[13] Péterfalvi Attila: Nem fenyegetésként mondom, de ellenőrizni fogunk. Piac & Profit, 2018. https://piacesprofit.hu/kkv_cegblog/gdpr-nem-tudnak-megfelelni-a-vallalatok/ (2019. 03. 11.)

[14] Piac & Profit (2019).

[15] Székely Iván - Somody Bernadett - Szabó Máté Dániel: Biztonság és magánélet: az alku-modell megkérdőjelezése és meghaladása, II. rész: Jogi és döntéstámogatási megközelítések. Információs Társadalom, 2017/1, 7-23.

[16] Szabó Máté Dániel: Kísérlet a privacy fogalmának meghatározására a magyar jogrendszer fogalmaival. Információs Társadalom, 2005/2, 44-54.

[17] Koops, Bert-Japp - Newell, Bryce Clayton - Timan, Tjerk - Skorvanek, Ivan - Chokrevski, Tomislav - Galic, Masa: A Typology of Privacy. Journal of International Law, 2016/2, 483-575.

[18] EU (2016).

[19] Hofmeister-Tóth Ágnes: A fogyasztói magatartás alapjai. Budapest, Akadémiai Kiadó, 2014, 151-152.

[20] Bauer András - Berács József - Kenesei Zsófia: Marketing alapismeretek. Budapest, Akadémiai Kiadó, 2014, 66-67.

[21] Malota Erzsébet - Tóth Tamás: Kulturális környezet. In: Rekettye Gábor - Tóth Tamás -Malota Erzsébet: Nemzetközi Marketing. Budapest, Akadémiai Kiadó, 2015, 121-166.

[22] Adjerid, Idris - Peer, Eyal - Acquisti, Alessandro: Beyond the Privacy Paradox: Objective versus Relative Risk in Privacy Decision Making. MIS Quarterly, 2018/2, 465-488.

[23] Piac & Profit (2019).

[24] Az adatvédelmi keretrendelet célja a fogyasztói bizalom erősítése - Élet a GDPR után: jó szabályok és jövőbeli kilátások - Konferencia beszámoló. Jogi Fórum/MTI, 2018. https://www.jogiforum.hu/hirek/39779 (2019. 03. 01.)

[25] Fox, Alexa - Royne, Marla: Private Information in a Social World: Assessing Consumers' Fear and Understanding of Social Media Privacy. Journal of Marketing Theory and Practice, 2018/1-2, 72-89.

[26] Schmeiser, Steven: Online advertising networks and consumer perceptions of privacy. Applied Economics Letters, 2018/11, 776-780.

[27] Williams, Meredydd: Exploring the influence of privacy awareness on the Privacy Paradox on smartwatches. Doctoral dissertation. University of Oxford, 2018.

[28] Hughes-Roberts, Thomas - Kani-Zabihi, Elahe: On-line privacy behavior: using user interfaces for salient factors. Journal of Computer and Communications, 2014/4, 220-231.

[29] Madden, Thomas J. - Ellen, Pamela Scholder - Ajzen, Icek: A comparison of the theory of planned behavior and the theory of reasoned action. Personality and Social Psychology Bulletin, 1992/1, 3-9.

[30] Ajzen, Icek: Perceived Behavioral Control, Self-Efficacy, Locus of Control, and the Theory of Planned Behavior. Journal of Applied Social Psychology, 2002/4, 665-683.

[31] Hughes-Roberts - Kani-Zabihi i. m. 226.

[32] Klausz Melinda: A közösségi média nagykönyve. Budapest, Athenaeum Kiadó, 2016.

[33] Acquisti, Alessandro - Gross, Ralph: Imagined Communities: Awareness, Information Sharing, and Privacy on the Facebook. Proceedings of the 6th Workshop on Privacy Enhancing Technologies. Cambridge, 2006, 1-16.

[34] Alashoor, Tawfiq - Baskerville, Richard: The privacy paradox: The role of cognitive absorption in the social networking activity. Thirty Sixth International Conference on Information Systems. Fort Worth, ICIS, 2015, 2-3.

[35] Ajzen i. m. 666-667.

[36] Gyulavári Tamás - Mitev Ariel Zoltán - Neulinger Ágnes - Neumann-Bódi Edit - Simon Judit - Szűcs Krisztián: A marketingkutatás alapjai. Budapest, Akadémiai Kiadó, 2015, 156-158.