201721ea-4966-49c8-aa64-69d1dbb386de. Ez a tanulmány egyik szerzőjének Google hirdetési azonosítója. 32 karakter, ami azonosítja a felhasználót bármikor, amikor valamilyen módon a Google arra következtethet, hogy az adott felhasználó az adott szolgáltatást veszi igénybe valamely eszközön keresztül. Utóbbi mondat nem véletlenül túlzsúfolt határozatlan és általános kifejezésekkel - amint ezt a későbbiekben bemutatjuk, az internetes forgalomirányítók által alkalmazott adatvédelmi tájékoztatók is sokszor hasonló megközelítést alkalmaznak. 2018. május 25-én az új adatvédelmi rendelet, a GDPR[1] alkalmazásával azonban új időszámítás kezdődik az Európai Unió adatvédelmi jogában. A profilozásra és az automatizált döntéshozatalra az eddigieknél részletesebb tételesjogi szabályozás vonatkozik majd, amelyet kiegészít az ún. 29. cikk alapján létrehozott adatvédelmi munkacsoport[2] automatizált egyedi döntéshozatalról és a profilozásról szóló iránymutatása,[3] amely igyekszik konkretizálni a jogalkotó elvárásait és példákkal mutatja be a követendő jó gyakorlatokat. Jelen tanulmányban e jogszabályi környezetet és a két nagy forgalomirányító szolgáltató, a Google és a Facebook profilozással és automatizált döntéshozatallal kapcsolatos tájékoztatásra vonatkozó gyakorlatát vizsgáljuk.
A profilozás jelensége számos szabályozási kérdést vet fel. E kérdésekre a jogalkotó - elsősorban az adatvédelmi szabályozáson keresztül - részben választ is adott. Vizsgálatunk fókuszául a hamarosan minden EU tagállamban alkalmazandó új összeurópai adatvédelmi szabályozást, a GDPR-t választottuk, amely a korábbinál részletesebb szabályokat állapít meg a profilozás és a gépi döntéshozatal területén. Jelen tanulmány célja annak bemutatása, hogy milyen eltérések, ellentmondások és korrekcióra szoruló folyamatok azonosíthatók a profilozás jelenleg kialakult gyakorlatában, azon belül is a két legnagyobb szolgáltató, a Google és a Facebook nyilvánosságra hozott szabályzatai és tájékoztatói alapján megismerhető adatkezelési folyamataiban.[4]
A Facebook által benyújtott legfrissebb szabadalmakat és technikai újításokat nézve,[5] a cég olyan mélységű adatgyűjtést (lesz?) képes végezni a felhasználói viselkedéséről, mint korábban talán még senki. A szolgáltató például a felhasználó eszközének GPS-alapú követése alapján nem csak azt tudja, hogy mely felhasználók találhatóak egy jól behatárolható területen, hanem a telefonok giroszkópjainak mozgásadatai alapján azt is, hogy kik állnak egymáshoz viszonyítva úgy, hogy kis hibaszázalékkal kijelenthető legyen, beszélgettek is egymással. Bár az idézett forrás szerint a Facebook szóvivője kijelentette, hogy ezt a lehetőséget még csak szabadalmaztatta, de nem használja a cég, az bizonyosan kijelenthető, hogy az újabb és újabb technológiák[6] olyan mélységben képesek behatolni az érintettek magánszférájába, amilyen korábban inkább csak a tudományos-fantasztikus irodalomban vagy filmalkotásokban jelent meg.
A személyiségprofil jelentőségéről korábbi tanulmányunkban[7] részletes is írtunk. Az Alkotmánybíróság 1991-es határozatának egyik tételmondata azonban ide is kívánkozik: "A nagy mennyiségű összekapcsolt adat, amelyről az érintett legtöbbször nem is tud, kiszolgáltatja az érintettet, egyenlőtlen kommunikációs helyzeteket hoz létre. Megalázó az olyan helyzet, és lehetetlenné teszi a szabad döntést, amelyben az egyik fél nem tudhatja, hogy partnere milyen információkkal rendelkezik róla."[8] A 15/1991. (IV. 13.) AB határozat felépítése, logikája végig az egyén és az állam közötti hatalmi egyensúly jelentős elbillenéséből indult ki, és fontos eleme volt a profilozást megkönnyítő eszköz, az univerzális azonosítóként
- 399/400 -
működő személyi szám használatának jelentős korlátozása.[9]
Az állami adatbázisok összekapcsolásának és az állam által használt univerzális azonosítók korlátozása vagy tiltása szerte Európában az adatvédelmi szabályozás legelső kérdései között szerepeltek,[10] a nagy online szolgáltatók profilozási gyakorlata azonban éppen széles körben használt, konkrét felhasználóhoz köthető egyedi azonosítókon alapul; ilyen például a bevezetésben említett Google hirdetési azonosító is. Míg tehát egy univerzális személyi szám állam általi alkalmazása a XX. századi jogfejlődésben alkotmányos falakba ütközött, a gazdasági szereplők mára megalkották a saját - a technológia fejlődésének és a mintavétel nagyságának köszönhetően valószínűsíthetően sokkal pontosabb adatösszekapcsolásra képes - univerzális azonosítóikat, névleg a felhasználók hozzájárulása, de a gyakorlatban is legalább csendes beletörődése mellett.[11]
Újabban a Nagy Adathalmazok (Big Data) egyre hatékonyabb, sokszor öntanuló algoritmusokkal való elemzése pedig e profilokokat minden eddiginél pontosabbá teszik, egyre inkább összekötve a felhasználók online és offline "világát",[12] a pontos profiloktól pedig csak egy kis lépés az érintettek finom terelése, manipulálása (nudging).[13] A profilozás és az azon alapuló döntéshozatal mögötti algoritmusok sokszor átláthatatlanok - okkal említik gyakran fekete dobozként.[14] Mindent egybevetve az mondható, hogy az információs egyensúlytalanság az elmúlt időszakban minden szabályozási törekvés ellenére jelentősen nőtt az érintettek hátrányára.[15]
Az európai adatvédelmi jog elég régóta, az 1995-ben elfogadott irányelv[16] elfogadása óta foglalkozik az algoritmusokon alapuló automatizált döntéshozatal kérdésével. Az irányelvet hamarosan felváltja az adatvédelmi rendelet, amely egyrészt részletesebb szabályozást tartalmaz e kérdéssel kapcsolatban, másrészt a rendeleti formára tekintettel valamennyi tagállamban közvetlenül alkalmazandó és közvetlenül hatályos lesz 2018. május 25-től.
Írásunk szempontjából elsődlegesen tisztázandó, hogy vajon alkalmazandó-e egyáltalán a GDPR a két, alapvetően az Egyesült Államokban alapított és bejegyzett szervezet adatkezelésére. A Rendelet hosszas joghatósági elemzések, így a bejegyzés helye, a letelepült leányvállalattal kapcsolatos kérdéskör vizsgálata helyett egy nagyon egyszerű szabállyal terjeszti ki saját területi hatályát az általunk vizsgált területre: a GDPR előírásait minden esetben alkalmazni kell a profilalkotási folyamatokkal kapcsolatosan, amennyiben áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához vagy az érintettek Unión belüli magatartásának a megfigyeléséhez kapcsolódik,[17] függetlenül az adatkezelő vagy adatfeldolgozó tevékenységi helyétől.[18] Így tehát a Rendelet előírásait figyelembe kell venni, ha a Facebook és a Google tevékenységét vizsgáljuk, feltéve, hogy a profilozás az Unió polgárának EU területén belüli tevékenységével kapcsolatos.
A GDPR valójában két, gyakran szorosan összetartozó, de nem szükségszerűen együtt megvalósuló magatartást, a profilalkotást és az egyedi ügyekben alkalmazott automatizált döntéshozatalt nevesíti. Fogalmát tekintve a profilalkotás a "személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják."[19]
Az egyedi ügyekben alkalmazott automatizált döntéshozatalnak nincs kifejezett definíciója, de a GDPR 22. cikk (1) bekezdése kimondja, hogy az "érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen - ideértve a profilalkotást is - alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené."[20] A GDPR több esetben is különös jogkövetkezményeket fűz a 22. cikk szerinti automatizált döntéshozatalhoz, amelynek két fogalmi összetevője a (1) kizárólagosság és (2) a joghatás vagy hasonlóképp jelentős hatás.
Látni kell, hogy a profilalkotás és az automatizált döntéshozatal, bár gyakran jár együtt, mégis két külön momentum: a profilozáson nem feltétlenül alapul automatizált döntéshozatal, és viszont, az automatikus döntéshozatalt sem feltétlen előzi meg profilalkotás. Emellett az automatizált döntésen belül is meg kell különböztetni a 22. cikk szerinti, kizárólag automatizált és joghatással vagy hasonlóan jelentős hatással járó döntéshozatalt az e feltételek valamelyikét nem teljesítő automatizált döntéshozataltól. Utóbbira példa lehet az olyan
- 400/401 -
részben automatizált döntéshozatal, amikor a döntést érdemi emberi beavatkozás, mérlegelés is megelőzi, vagy az olyan döntés, amely nem jár joghatással vagy hasonlóan jelentős hatással az érintettre nézve.
E két jogintézménnyel kapcsolatban számos értelmezési kérdés merül fel, amelyet az alábbiakban áttekintünk. Ehhez jelentős segítséget nyújt a 29-es adatvédelmi munkacsoport WP251 iránymutatása, amely sorra veszi mind a profilozásra, mind az automatizált döntéshozatalra vonatkozó szabályok értelmezési kérdéseit és példákat mutat a követendő jó gyakorlatokra.
Mindenekelőtt meg kell említeni, hogy a profilozás fogalmának fontos eleme három konkrét tevékenység: az értékelés, elemzés vagy előrejelzés. A fogalom elemzése azonban kérdéseket vet fel: vajon bele lehet-e érteni adatvédelmi szempontból a személyre a más személyek adatai alapján vonatkoztatott információt vagy sem? Ennek különös jelentőséget ad, hogy a profilozás során sokszor mások személyes adatai és cselekvései (pl. vásárlási szokásai) alapján vonnak le következtetéseket az adott érintettre nézve. Mivel a fogalom alapján valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelése kerül sor, azaz a Rendelet nem mondja ki, hogy a személyes adatok az adott személyes adatok érintettjének fűződnek, arra juthatunk, hogy akár az érintett személyes adatainak egy másik természetes személyhez fűződő bizonyos személyes jellemzők értékelése (is) a fogalom hatálya alá tartozik.
Egy másik fontos gondolat, amint arra a WP251 is rámutat, hogy mivel az adott tevékenységek (értékelés, elemzés vagy előrejelzés) vagylagosan szerepelnek a fogalomban, a profilozás önmagában úgy is megvalósulhat, hogy ahhoz semmilyen további intézkedés nem kapcsolódik.[21]
A 22. cikkben foglalt automatizált döntéshozatalnak fontos eleme, hogy a döntés "kizárólag" automatizált adatkelésen" alapul. Amennyiben tehát nem tisztán gépi döntéshozatalról van szó, hanem van emberi beavatkozás vagy kontroll, az nem felel meg e kitételnek. A WP251 egyértelművé teszi, hogy az emberi beavatkozásnak érdeminek kell lennie, olyan személytől származónak, akinek hatásköre és felkészültsége alapján valódi lehetősége van a gépi döntést megváltoztatni vagy módosítani. A formális, automatikus jóváhagyás tehát nem elegendő.
Az elérhető tájékoztatók - és az ésszerűség követelménye - alapján egyértelmű, hogy a Google és a Facebook hirdetésmegjelenítési mechanizmusa, illetve más személyre szabott tartalmak (keresési eredmények posztok) megjelenítése alapvetően teljesen automatizált eszközökkel történik. Ez természetesen nem zárja ki, hogy a szolgáltatók emberi beavatkozással is végezzenek tartalomszűrést, ahogyan ezt meg is teszik az automatikusan nem eldönthető tartalmak esetében.[22]
A WP29 iránymutatása tartalommal tölti meg a GDPR-ben foglalt "joghatással jár vagy őt hasonlóképp jelentős mértékben érintené" szófordulatot.[23] A WP251 szerint akkor beszélhetünk joghatásról, ha valakinek olyan, a törvények által biztosított joga, mint az egyesülési joga vagy a választójoga érintett, vagy érinti a jogi helyzetét vagy egy szerződés alapján szerzett jogait. A WP251 példákkal is szolgál. Ha például automatizált döntéshozatal alapján
- megtagadják valakitől a belépést a határon, vagy
- fokozott hatósági megfigyelést vagy biztonsági intézkedéseket alkalmaznak vele szemben, vagy
- automatikusan kikapcsolják a mobiltelefon szolgáltatást a számla késedelmes befizetése miatt.
Első ránézésre úgy tűnik, hogy a Facebook és a Google által folytatott profilozási és automatizált döntéshozatali gyakorlat ilyen joghatások elérésére nem feltétlenül alkalmas, de egyre többször merül fel a Facebook posztok megjelenítésének véleménynyilvánításra (azon belül az informáltsághoz való jogra), mint alapvető jogra gyakorolt hatása.[24]
A "hasonlóképpen jelentős mértékű érintettség" kitétel azonban már könnyebben megvalósulhat. A testület kiemeli, hogy abban az esetben, ha nem is befolyásolja az emberek törvényes jogait, a döntési folyamat akkor is a 22. cikk hatálya alá tartozhat, ha hatása egyenértékű vagy hasonló hatással jár. A "hasonlóképpen" szót a GDPR vezette be,[25] ami a WP251 szerint azt is jelenti, hogy a jelentőség tekintetében hasonló mértékűnek kell lennie a küszöbnek, mint ha egy jogot érintő, törvényes vagy szerződéses hatásról beszélnénk. Az automatizált döntésnek vagy magának a profilozásnak képes-
- 401/402 -
nek kell tehát arra lennie, hogy jelentősen befolyásolja az érintett körülményeit, viselkedését vagy választását - ami extrém esetben akár az egyén diszkrimináláshoz is vezethet.
Maga a GDPR két konkrét példát említ a (71) preambulumbekezdésében: egy online hitelkérelem automatikus elutasítását vagy az emberi beavatkozás nélkül folytatott online munkaerőtoborzást. De a hitelkérelem vonatkozhat akár egy kerékpárbérlésre, konyhabútor vásárlására vagy egy ingatlan megvételére is - példálózik a 29-es munkacsoport, megemlítve, hogy sokszor nehezen lehet pontosan meghatározni, hogy mi lehet kellően jelentős ahhoz, hogy megfeleljen a szabályozás által előírt szintnek.[26]
A WP251 szól a témánk szempontjából kifejezetten érdekes online hirdetésekről is, amelyek "egyre inkább automatizált eszközökre támaszkodnak", ez azonban a legtöbb esetben nem gyakorol jelentős hatást az egyénekre - ezt alátámasztandó egy demográfiai profilon alapuló online divatbemutatóról szóló hirdetést hoz példának a testület, amelynek célcsoportjai "nők a brüsszeli régióban". Lehetséges azonban, hogy az eset egyes, különleges jellemzői miatt jelentős hatásúvá válhat egy személyre szabott hirdetés megjelenítése is, ha például a megcélzott érintett különös sebezhető, például egy pénzügyi nehézségekkel küzdő személy kap rendszeresen online szerencse-játék-hirdetéseket.[27]
Ezek a példák azt mutatják, hogy a normaszöveg még további alapos értelmezéssel együtt is többféleképpen, esetről esetre értelmezhető, ami nem hozza könnyű helyzetbe az adatkezelőket, akiknek meg kell állapítaniuk, hogy a 22. cikk szerinti feltételek fennállnak-e. Különösen, hogy az elszámoltathatósággal összhangban a megfelelő értékelést az adatkezelőnek igazolnia kell tudni.
A fentiek alapján a vizsgálat tárgyául választott szolgáltatók, a Google és a Facebook akkor jár el helyesen, ha a profilozására és az ezzel kapcsolatos automatizált döntéseire úgy tekint, mint ami megfelel a 22. cikk szerinti automatikus döntéshozatal kritériumainak, mivel nincs abban a helyzetben, hogy pontosan felmérje a célzott hirdetései hatását.[28]
A Google és a Facebook tájékoztatói alapján úgy tűnik, az adatok kezelése három lépcsőben valósul meg. Első lépésben a szolgáltatók különböző helyekről és irányokból (magától az érintettől illetve más adatkezelőktől) származó adatokat gyűjtenek, majd ezen adatok (vagy egy részük) profilalkotás és automatizált, algoritmusokon alapuló döntéshozatal keretében (is) felhasználásra kerülnek, végül ezek alapján a felhasználók személyre szabott tartalmakat, elsősorban hirdetéseket, keresési találatokat és az üzenőfalukon megjelenő posztokat kapnak. E fejezetben azt vizsgáljuk, hogy e folyamat - a Google és a Facebook nyilvánosan hozzáférhető magyar nyelvű tájékoztatói alapján - mennyire megismerhető illetve kikapcsolható az érintett számára és mennyiben felel meg az adatvédelmi szabályozás releváns rendelkezéseinek.
A GDPR alapján a szolgáltatóknak alapvetően az alábbi tájékoztatási szabályoknak kell megfelelniük:
1) Általános tájékoztatást adnak az adatkezeléseikről, amelynek fontos része a kezelt adatok köre, illetve az, hogy egyáltalán profilalkotási tevékenységet végeznek;
2) Eldönti, hogy a profilozás és automatizált döntéshozatal megfelel-e a 22. cikkben foglaltaknak, azaz kizárólag automatizált eszközzel történik-e és az eredménye joghatást vagy hasonlóan jelentős hatás gyakorol-e az érintettre nézve;
3) Az előzőek alapján további tájékoztatást ad a profilalkotásról és automatizált döntéshozatalról, valamint - egyes kivételektől elte-kintve[29] - megadja az érintettnek a lehetőséget arra, hogy ne terjedjen ki rá a folyamat.
Nézzük, megfelel-e ezeknek a kritériumoknak a forgalomirányítók gyakorlata.
A Rendelet a 13. és 14. cikkeiben az adatkezeléshez fűződő tájékoztatás szabályait rendezi. A két cikk kettébontja az adatokat az adat forrása alapján: egyrészről közvetlenül az érintettől gyűjtött (13. cikk), másrészről pedig az érintettre vonatkozó, de nem az érintettől megszerzett adatokra (14. cikk). Függetlenül az adat forrásától mindkét esetben elérhetőnek kell lennie a tájékoztatásban - több más mellett - a személyes adatok kezelésének tervezett célja, jogalapja, időtartama.[30]
Az érintett személyes adatok kategóriáinak meghatározását a Rendelet csak a nem az érintettől származó adatok esetében írja elő kötelezettség-ként[31] - ennek oka nyilvánvalóan az lehet, hogy amennyiben az érintett adja meg a saját magára
- 402/403 -
vonatkozó adatokat, úgy az adat megadásakor tisztában van a megadott adatok körével és jellegével. Ekkor sem egy taxatív felsorolást kell készítenie az adatkezelőnek, amelyben minden egyes konkrét adatot nevesít, hanem csak azok kategóriáit kell megadnia. Érdekes kérdés, hogy vajon az érintett magatartásának követésével, megfigyelésével kapcsolatos adatokat az "érintettől gyűjtött adatoknak" kell-e tekinteni. Álláspontunk szerint nem, mivel az érintett ezekben az esetekben nem szándékoltan oszt meg magáról adatokat, így a tájékoztatásának fontos funkciója, hogy pontosan tudjon arról, hogy mely magatartásával milyen adatok kerülnek az adatkezelők kezelésébe.
A tájékoztatóban ugyancsak ki kell térni az adatok forrására, ha azok nem az érintettől származnak. Ez a 29-es munkacsoport értelmezése szerint a konkrét forrás nevesítését is jelenti, hacsak ez nem bizonyul lehetetlennek. Ez - a GDPR (61) preambulumbekezdés testület általi értelmezése alapján - alapvetően akkor áll fenn, ha nem csak nehézkes vagy időigényes a források megnevezése, hanem olyan nagyszámú (vagy, és ezt már mi tesszük hozzá: folyamatosan változó) forrásról van szó, ami az egyenkénti megnevezésüket szinte ellehetetlenítené.[32] Ez a helyzet azonban mindkét nagy szolgáltatónál könnyedén fennállhat.
Amikor azt mondjuk, Google, a legtöbbek számára elsőként biztosan a keresőprogram jut eszébe. A Google Inc. szolgáltatásainak listája azonban ennél jóval több és szélesebb. Annak céljából, hogy érzékeltessük, hogy a tanulmány legelején hivatkozott hirdetési azonosító alapján hány szolgáltatás használatát tudja összekötni a cég, meg kell említeni, hogy a Google minden felhasználó számára 78, míg az üzleti célból további 27 szolgáltatást kínál.[33]
A szolgáltatások listája (el)rettentően hosszú, ám egyetlen átolvasással is átfogó képet ad arról, hogy hány különböző tevékenységből származó adatok összekapcsolására alkalmas. Keresések, levelezési adatok, útvonaladatok, videónézési szokások, letöltött applikációk listája, kapcsolatlista, telefonálási szokások, internetezési szokások, lefordított szövegek, egészségügyi szokások, napirend, a lista szinte végtelenül folytatható.
Nézzük, mit mond erről a Google adatvédelmi irányelve, amely egyébként egyetlen kattintással elérhető minden Google szolgáltatás használata során általában a láblécben elhelyezett "Adatvédelem" hivatkozásra kattintva: "Amikor a Google szolgáltatásait használja, ránk bíz bizonyos adatokat."[34] Ez a "bizonyos" szó kifejezetten tág, és a valóságban hatalmas adatmennyiséget takar.
A Google az adatokat két nagy kategóriába sorolja: a felhasználó által megadott adatok és a szolgáltatás igénybevételéről gyűjtött adatok, így eszközadatok, naplóadatok, helyinformációk, helyben tárolt adatok, cookie-k és hasonló technológiák. Egy újabb kattintással azonban azt is megtudhatjuk, hogy az információk gyűjtése mit takar:[35] "például ide tartoznak az olyan információk, mint a felhasználási adatok és beállítások, Gmail-üzenetek, G+-profil, fotók, videók, böngészési előzmények, térképkeresések, dokumentumok vagy egyéb, a Google által tárolt tartalom. Automatizált rendszereink elemzik ezeket az információkat azok elküldésekor, fogadásakor vagy tárolása során. Ez bármilyen tartalmat magában foglalhat, amely rendszereinken áthalad. Például a Gmail beérkező levelei között szereplő információkat felhasználhatjuk a repülőjáratokkal kapcsolatos és utasfelvételi információk nyújtásához, a Google+-profil információinak felhasználásával segíthetünk Önnek összekapcsolódni köreivel e-mailben, a webelőzményekben szereplő cookie-k információi alapján pedig relevánsabb keresési eredményeket jeleníthetünk meg."
A Google adatvédelmi irányelvei alapján azonban egy fontos terminológiai következetlenséggel szembesülhet a felhasználó. A "Google által gyűjtött adatok" felsorolásában ugyanis csak egy adatkört, az érintett által megadott azonosító adatokat nevezi személyes adatnak. A személyes adatot egyébiránt definiálja is a szolgáltató: "Ezek olyan adatok, amelyeket megad nekünk, és az Ön személyes azonosítására szolgálnak - ilyen például a neve, az email címe, a számlázási adatai, valamint bármely más olyan információ, amely ésszerű határokon belül hasonló adatokhoz köthető a Google által: például az Ön Google-fiókjához társított adatok."[36] Ez nagyjából megfelel a jogszabályi definíciónak, az adatgyűjtésről szóló tájékoztató felsorolása viszont kifejezetten olyan hatást kelt, mintha a nem a felhasználó által megadott adatok, pl. eszközadatok, naplóadatok, helyinformáció stb. nem személyes adatnak minősülnének. Arra vonatkozóan az adatvédelmi irányelvek elolvasását követően sem kapunk teljes képet, hogy ezen adatokat végülis mikor kapcsolja össze a Google a felhasználóval (van ahol van erre utalás, vagy kiolvasható a szövegkörnyezetből, máshol nincs).[37] Az adatvédelmi jogban ezek a "technikai adatok" is - amennyiben összekapcsolhatók az adott személlyel - egyértelműen személyes adatnak minősülnek.[38] A Google arról nem ad
- 403/404 -
konkrét tájékoztatást, hogy van-e olyan adatgyűjtési és adatkezelési eljárása, amikor a gyűjtött adatot tisztán csak statisztikai célokat szolgálnak, teljesen elválasztva az adatot azon személytől, aki az adatot generálta.
Az adatgyűjtésről szóló oldal[39] mintegy mellékesen említi meg a "partnereinktől Önről megszerzett adatokat". Egy külön, az oldal legalján található linken[40] erről részletesebb tájékoztatást is kap a felhasználó.
Összességében megállapítható, hogy a Google igen sokmindenről ad tájékoztatást, a tájékoztató struktúrája azonban nem követi az adatvédelmi jog logikáját, és elsőre nehezen áttekinthető. A "személyes adatok" kiemelése a felhasználó által megadott adatoknál szintén kissé félrevezető, és összességében nemigen felel meg a GDPR azon követelményének, hogy az adatkezelő a "tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa."
A Facebook szabályzata elviekben szintén egységesnek tűnik valamennyi szolgáltatásra nézve: "Miközben a szabályzatot olvasod, tartsd szem előtt, hogy az a Facebook összes olyan márkájára, termékére és szolgáltatására érvényes, amelyhez nem tartozik külön adatvédelmi szabályzat, illetve amelyek erre a szabályzatra hivatkoznak - ezekre utalunk »Facebook-szolgáltatások« vagy »szolgáltatások« néven."[41] A Facebook néhány kattintást követően teljes listát ad a Facebook Ltd.-n és a Facebook Ireland Ltd.-n kívüli, Facebook-szolgáltatásokat nyújtó vállalatokról: Facebook Payments Inc., Atlas, Instagram LLC, Onavo, Moves, Oculus, WhatsApp Inc., Masquerade, CrowdTangle. Mivel azonban ezek mindegyike rendelkezik saját adatvédelmi szabályzattal, így a szabályrendszer valójában mégsem olyan egységes, mint ahogy elsőre látszik.
A kezelt adatokat tekintve a Facebook szabályzata nem nevesít sem személyes adatokat sem egyéb adatokat, hanem csak különböző "jellegű" (az adatvédelmi jog fogalmai alapján egyébként személyes adatnak minősülő) adatokról illetve információról szól. Azt azonban már az első mondatában egyértelműsíti a Facebook, hogy az adatok két fő irányból származnak: a Facebook adatokat gyűjt "rólad és tőled", nyelvtanilag pedig ez a két szó egyértelműen mutatja, hogy az adatok érintettől és harmadik féltől is származhatnak. A Facebook által gyűjtött "különféle adatok" a következők.
- A műveletek, amelyeket végrehajtasz, illetve az információk, amelyeket megadsz: ide tartozik minden olyan tartalom, ami a Facebook használata közben keletkezik, de a "másoknak üzenetet küldesz", az "általad elérhetővé tett tartalomban szereplő vagy azzal kapcsolatos információk is, például egy fénykép készítésének helye vagy egy fájl létrehozásának dátuma is", valamint az is, hogy "milyen típusú tartalmak váltanak ki belőled aktivitást, illetve milyen gyakorisággal és időtartammal végzed a tevékenységeidet";
- A műveletek, amelyeket mások hajtanak végre, illetve az információk, amelyeket megadnak: például amikor egy felhasználó megjelöl egy másik felhasználót ábrázoló fényképet;
- A közösségeid és kapcsolataid: "milyen emberekhez és csoportokhoz kapcsolódsz, és milyen módon lépsz velük érintkezésbe, például hogy kivel kommunikálsz a legtöbbet, vagy, hogy melyik csoportban szeretsz dolgokat megosztani";
- A fizetési műveletekkel kapcsolatos információk: vásárlás, adakozás esetén a hitel- vagy betéti kártyád számát és más kártyaadatokat, az egyéb számla- és hitelesítési adatok, valamint a számlázási, szállítási és kapcsolattartási adatok is rögzíti a rendszer;
- Eszközökkel kapcsolatos információk: a számítógépekről, telefonokról vagy más eszközökről (illetve ezekkel kapcsolatban), amelyeken szolgáltatásainkat telepíted vagy eléred. A különböző eszközeidről gyűjtött információkat összekapcsolhatjuk - ez megkönnyíti számunkra azt, hogy egységes szolgáltatást tudjunk nyújtani az összes eszközödön, így jellemzők (operációs rendszer, a hardver verziója, az eszközbeállítások, fájl- és szoftvernevek és -típusok, akkumulátor és jelerősség, valamint készülékazonosítók), eszközök helye (konkrét földrajzi helyadatok GPS-, Bluetooth- vagy WiFi-jelek alapján), internetkapcsolatra vonatkozó adatok (mobil- vagy internetszolgáltató neve, a böngésző típusa, nyelve, időzóna, mobiltelefonszám és IP-cím);
- A szolgáltatásainkat használó webhelyekről és alkalmazásokból származó információk: harmadik felek olyan webhelyek és alkalmazásaik felkeresése vagy használata, amelyek szolgáltatásainkat használják (például a Tetszik gomb vagy a Facebook-bejelentkezés hasz-
- 404/405 -
nálatára adnak lehetőséget, illetve igénybe veszik a Facebook mérési és hirdetési szolgáltatásait);
- Külső partnerektől származó információk;
- Facebook-vállalatoktól származó adatok;[42]
A felsorolás igen hosszú és rétegezett, és a tájékoztató elég pontosan leírja, hogy milyen adatokról van szó. Az adatgyűjtés ugyanakkor kifejezetten széleskörű, ha strukturálni szeretnénk, nagyjából az alábbi csoportokat lehet alkotni:
- a felhasználó által tudatosan megadott adatok;
- a felhasználó által közvetve, nem elsődlegesen a Facebook-használat céljából megadott adatok (pl. feltöltött kép metaadatai);
- más felhasználó által szándékosan a felhasználóra vonatkozó megadott adatok;
- a felhasználó tevékenységéből következtetett adatok;
- technológiai adatok;
- harmadik felektől származó adatok.
A Facebook egy rövid példát hoz a külső partnerektől származó adatokkal és valamivel részletesebb tájékoztatást ad az egyéb Facebook-vállalatoktól származó adatokkal kapcsolatban.[43]
A Facebook tájékoztatója nagyjából-egészében megfelel a Rendelet 13-14. cikk szerinti követelményének, miszerint az adatkezelő köteles tájékoztatást adni az "érintett személyes adatok kategóriáiról," és összességében átláthatóbb is a Google tájékoztatójához képest. A külső partnerektől származó adatokról szóló tájékoztatás igen nagyvonalú, de végső soron megfelelhet annak a GDPR (61) preambulumbekezdése szerinti értelmezésnek, miszerint ha "az adatkezelő nem tud tájékoztatást nyújtani az érintett részére a személyes adatok eredetéről, mivel azok különböző forrásokból származnak, általános tájékoztatást kell adni."
Az alapfogalmak tanulmány első felében történő tisztázását követően röviden áttekintjük a profilozásra és az automatizált döntéshozatalra vonatkozó tájékoztatási kötelezettségeket. Amint az a WP251-ből is kitűnik, a GDPR-on belül valójában két szabályozási megközelítés található. Az egyik a 22. cikknek nem megfelelő automatizált döntéshozatal (és profilalkotás) szabályai, amelyekre speciális tételesjogi rendelkezések tulajdonképpen nincsenek, és az általános tájékoztatási és hozzáférési szabályok értelmezésével vázolható fel egy elvárásrendszer; míg a másik a 22. cikknek megfelelő automatizált döntéshozatalra (és profilalkotásra) vonatkozó tételes különös szabályok köre. Tekintettel arra, hogy korábban arra jutottunk, hogy a Google és a Facebook gyakorlata vélhetően megfelel a 22. cikk szerinti automatizált döntéshozatalnak, e második szabályrendszerre koncentrálunk.
A 22. cikknek megfelelő automatizált döntéshozatal esetén a tájékoztatási kötelezettségnek (mind az előzetes tájékoztatás mind a hozzáférési jog alapján kapott egyedi tájékoztatás során is) ki kell terjednie az automatizált döntéshozatal tényére, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információkra, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.[44]
Ez a munkacsoport értelmezése szerint sem jelenti a konkrét algoritmus felfedését, de az alkalmazott logikára vonatkozó tájékoztatás a legtöbb esetben célszerűen magában foglalja az alábbiakat:
- az automatizált döntéshozatali eljárásban használt információk, ideértve a profilozás során használt adatok kategóriáit,
- az információ forrását,
- azt, hogy hogyan épülnek fel az automatizált döntéshozatali folyamatban alkalmazott profilok, beleértve az elemzés során használt statisztikát;
- azt, hogy miért fontos ez a profil az automatizált döntéshozatali folyamat szempontjából; és
- azt, hogy hogyan használják az érintettre vonatkozó döntést.[45]
A profilozás és az automatizált döntéshozatal input adatai kapcsán tehát legfeljebb az adatok kategóriáit kell megadni, de az nem teljesen egyértelmű a GDPR alapján sem, hogy ezt pontosítani kell-e az általános adatkezelési tájékoztatáshoz képest.[46] Ehhez képest érdekes, hogy a hozzáférési jog kapcsán a WP251 mégiscsak úgy fogalmaz, hogy a 15. cikk megadja az érintettnek a jogot, hogy a profilalkotáshoz felhasznált adatokról (és nem az adatok kategóriáiról) tájékoztatást kapjon.[47] Elvi alapon akár indokolható is lenne, hogy az általános tájékoztatás kevésbé részletes, mint amikor az érintett a saját konkrét profilozásáról kér információkat, de ez ellentmond a GDPR normaszövegének, mivel mind a 13. és 14. cikk, mind a 15. cikk ugyanazzal a felosztással és nyelvezettel él, és az adatok kategóriáiról rendel el tájékoztatást.
- 405/406 -
Az alábbiakban megvizsgáljuk, hogy a profilozással kapcsolatos tájékoztatási kötelezettségnek eleget tesz-e a Google és a Facebook tájékoztatója.
Ha végigolvassuk a Google adatvédelmi irányelveit, azt érezhetjük, hogy a szolgáltató inkább csak bepillantást enged a saját "fekete dobozába," de annak tényleges megismerésére nem ad lehetőséget. A rendszer működéséről végig példálózóan szól a tájékoztató, ami azonban akár meg is felelhet a GDPR előírásának, mert e példálózás egyfajta logikát valóban bemutat.
Az adatvédelmi irányelvek korábban idézett szövege rámutat, hogy lényegében bármilyen tartalom elemzésére és összekapcsolására megvan a lehetősége a Google-nek. Ugyanakkor fontos kiemelni, hogy a tájékoztató nem beszél konkrétan profilozásról, csak az adatok összegyűjtéséről és felhasználásáról. Még az adatok összekapcsolása is csak kiérthető a Google adatvédelmi irányelveiből: "Amikor személyre szabott hirdetést jelenítünk meg Önnek, sosem kapcsoljuk össze a cookie-kból vagy hasonló technológiákból származó azonosítókat különleges személyes adatokkal (mint a fajra, vallásra, szexuális irányultságra vagy egészségi állapotra vonatkozó adatokkal)."[48] Az tehát, hogy bármely adat összekapcsolható bármely más adattal, csak ebből a mondatból derül ki, lévén e mondatot értelmezhetjük úgy, hogy ezt az esetet leszámítva bármikor máskor megtörténhet az összekapcsolás.
Az adatok kezelésének célja a "jobb minőségű szolgáltatások nyújtása valamennyi felhasználónknak." Ezt részletezve az alábbi célokat fogalmazza meg a Google: szolgáltatások nyújtása, fenntartása, védelme és továbbfejlesztése, új szolgáltatások fejlesztése, továbbá a Google és felhasználói védelme, valamint egyénre szabott tartalmat biztosítása a felhasználónak.[49]
Ha a GDPR szövegének fényében nézzük, akkor az érintettre vonatkozó (jog)hatásként ez a néhány pont ad útmutatót: a profilozásnak az érintettre értelmezett egyik hatása, hogy jobb minőségű szolgáltatást fog kapni a Google-től - ez önmagában még nem alapozza meg a joghatást vagy az ahhoz hasonlóképpen jelentős hatást. Az "egyénre szabott tartalommal" kapcsolatosan csak annyit ír a szabályozás, hogy "például hogy még pontosabb keresési eredményeket[50] és hirdetéseket tudjunk biztosítani az Ön számára" - ez, összhangban a fenti, WP251 dokumentumban foglaltakkal akár meg is valósíthatja a joghatáshoz hasonlóképpen jelentős hatást.
Arra vonatkozóan egyébiránt nagyon pontos leírást ad a Google, hogy miként lehet a cookie-kezelést kikapcsolni, hogyan lehet a böngészőt inkognitó módban használni, valamint arra is lehetőséget biztosít (de ezt csak bejelentkezés után), hogy a felhasználó kezelje a rá vonatkozó információrengeteget, vagy akár a hirdetések egyedi beállításait is egyes témakörökre is bontva.[51] Az az érintetti jog, hogy az érintett tiltakozhasson a rá vonatkozó profilalkotáson alapuló automatizált egyedi döntéssel szemben, a Google esetében megvalósulni látszik.
Ugyanakkor az a megfogalmazás, hogy az érintett tiltakozhat a "rá vonatkozó profilalkotás" ellen, csak e folyamat általunk történő értelmezése, a Google egyáltalán nem nevezi így. És noha igyekszik a lehető leginkább közérthetően - sok ábrával, hétköznapi nyelvezettel - elmagyarázni az adatvédelemre vonatkozó szabályokat (pl. a "Szeretnénk, ha megértené, milyen adatokat gyűjtünk és használunk fel" kiemeléssel kezdve lépésről lépésre veszi végig a felhasználóval a teljes adatvédelmi rendszerét), a Google tájékoztatója valójában egyszer sem jelenti ki, hogy végez egyáltalán profilalkotást vagy automatizált döntéshozatalt[52] - ám a dokumentum számos más eleméből egyértelműen ez a következtetés vonható le.
A GDPR 13. és 14. cikkei előírják, hogy az automatizált döntéshozatal (ideértve a profilozást) tényéről, az annak során alkalmazott logikáról, valamint annak jelentőségéről és várható következményeiről is tájékoztatnia kell az adatkezelőnek az érintettet. Az alkalmazott logika a Google által megadott példákból talán látható, a hatás az adatkezelési célok megnevezéséből levezethető, de az hiányzik, hogy a Google kimondja, hogy profilalkotás és automatizált döntéshozatal zajlik. Így értékelésünk szerint a tájékoztatás korántsem teljes, és nem felel meg azon kívánalomnak, hogy az tömör, átlátható, érthető és könnyen hozzáférhető, világos és közérthető legyen.
A Facebook szintén bemutatja saját "fekete dobozának" működési elveit, legalábbis a személyre szabott hirdetésekkel kapcsolatban.[53] Egy infografikus ábrán végigvezeti az érdeklődőt azon, hogy miért és hogyan alkalmazza a Facebook a hirdetéseket, lépésről lépésre elmagyarázva, hogy milyen adatok alapján mit számol ki. A "Hogyan dönti el
- 406/407 -
a rendszerünk, hogy milyen hirdetéseket jelenítsen meg?" kérdésre adott válaszból kiderül, hogy alapvetően négy kategória alapján dönt az egyénre szabott hirdetésekről:
- tevékenységek a Facebook alkalmazásaiban és szolgáltatásaiban;
- vállalkozásokkal megosztott információk;
- egyéb online tevékenységek;
- helyszín.
Minden egyes rész külön továbbkattintható, sőt, a felhasználó beállíthatja, hogy milyen hirdetési típusokat szeretne látni, törölheti az előzményeit és akár teljesen meg is tilthatja a Facebooknak, hogy a rá vonatkoztatott adatok alapján[54] személyre szabja számára a hirdetéseket. A fent említett hirdetési preferenciákat akár maga a felhasználó is beállíthatja két kattintással. A Facebookon tárolt adatairól minden felhasználó készíttethet egy másolatot is.[55] Ennek részeként található a "Hirdetési témák" pont, amely nem az általa megadott konkrét adatokat takarja, hanem (a Rendelet terminológiája szerint) bizonyos személyes jellemzői "értékelése vagy előrejelzése" alapján a Facebook által készített címkéket.[56]
A Google-höz hasonlóan a Facebook is meghatározza az adatkezelés céljait, ezek a szolgáltatások nyújtása, ki- és továbbfejlesztése, a felhasználóval folytatott kommunikáció biztosítása, a hirdetések és szolgáltatások megjelenítése és mérése, valamint a biztonság elősegítése.
Hasonlóan ugyanakkor a Google-höz, a Facebook sem mondja ki, hogy profilalkotást végez, csak a "személyre szabjuk" kifejezést alkalmazza többször is, amit értelmezhetünk ugyan akként, de véleményünk szerint nem várható el egy átlagfelhasználótól, hogy ebből a kifejezésből számára világos legyen, hogy rá vonatkozóan automatizált döntéshozatal és/vagy profilalkotás történik. Emiatt a Facebook tájékoztatása is hiányosnak értékelhető.
A Facebook esetében ezidáig csak a hirdetés kérdésével foglalkoztunk,[57] ám még egy jelentős oldala van a tevékenységének: a személyre szabott tartalmak hírfolyamban történő megjelenítései, amely az adatkezelési célok között deklaráltan meg sem jelenik. Pedig logikailag teljesen egyértelmű, hogy nem jeleníthető meg a felhasználó minden ismerősének minden egyes tevékenysége, azok közül a Facebooknak szűrnie kell.
Erről kapunk is némi információt a Facebook hírfolyamokkal kapcsolatos tájékoztatója alapján. A "Hogyan működik a hírfolyam?" bejegyzés[58] elvi szinten leírja, hogy mely ismerősök mely tartalmait láthatja a felhasználó a hírfolyamában. Eszerint "Az elsőként megjelenített bejegyzéseket a kapcsolataid és a facebookos aktivitásod határozza meg. Az egyes bejegyzések által kapott hozzászólások, kedvelések és reakciók száma, valamint a bejegyzés jellege (például fénykép, videó, állapotfrissítés) is valószínűbbé teheti, hogy az adott bejegyzés fentebb jelenjen meg a hírfolyamban." Azaz a szűrés egyértelműen nem véletlenszerű, a háttérben algoritmusokon alapuló automatizált döntéshozatal zajlik.
Korábbi tanulmányunkban részletesen írtunk arról, hogy a túlzott perszonalizáció oda vezethet, hogy a felhasználó számára elsősorban olyan tartalmak jelennek meg, ami az érdeklődési körének, ízlésének, világnézeti vagy politikai beállítottságának leginkább megfelelő, és elzáródhatnak az adott témakörrel kapcsolatos kritikus, más nézőpontból közelítő tartalmak, azaz a felhasználó ún. szűrőbuborékba kerül, amelyből csak igen nehezen léphet ki.[59]
A szűrőbuborék rövid és hosszútávon is jelentős hatással lehet az érintettre nézve, és határozottan felvetődik a kérdés, hogy e jelenség miként hat a véleményszabadság gyakorlására és ezen belül az informáltsághoz való jogra, mint alapvető jogra. Ha elfogadjuk, hogy a posztok szűrése joghatással vagy hasonlóképpen jelentős mértékű hatással jár, akkor a szolgáltatóknak az erre vonatkozó, e tanulmányban is részletesen elemzett GDPR szabályoknak is meg kell felelniük - a tájékoztatási gyakorlatuk azonban nem ezt sugallja.
Az elmúlt években egyre nagyobb hangsúlyt kap a forgalomirányító szolgáltatók tevékenysége, különösen a személyes profilokon és algoritmusokon alapuló szűrőtevékenység hatása és jogi megítélése. Az egyén és valamely adatkezelő közötti információs egyensúlytalansággal szemben kialakult adatvédelmi jog rendelkezik is e kérdésekről, amikor különös szabályokat állapít meg a profilalkotás és a (tipikusan, de nem feltétlenül) profilozáson alapuló automatizált döntéshozatalra. E szabályozás egyik fontos célja e folyamatok átláthatóságának úgy-ahogy történő biztosítása.
Tanulmányunkban azt vizsgáltuk, hogy a két legnagyobb forgalomirányító szolgáltatás gyakorlata, a Google és a Facebook a hozzáférhető adatvédelmi tájékoztatóik alapján mennyiben van összhangban a hamarosan minden EU tagállamban alkalmazandó GDPR rendelkezéseivel.
- 407/408 -
A fenti elemzés alapján arra jutottunk, hogy mindkét szolgáltató sokat tesz azért, hogy az átlagfelhasználó megértse az adatkezelési folyamataikat és az érintetti jogok gyakorlására (ideértve a hozzáférési jogot és a kimaradás lehetőségét is) közérthető módon, könnyen megtalálható helyen lehetőséget is biztosít. A tájékoztatási és beállítási opciók számos esetben megfelelnek az adatvédelmi jog elvárásainak.
Ugyanakkor több jelentős hiányosság is fellelhető: mindenekelőtt mindkét szolgáltató vonakodik nevén nevezni a profilalkotást és az automatizált döntéshozatalt - ez pedig egyértelmű kötelezettség lenne a GDPR alapján.
Ugyancsak megállapítható, hogy a tájékoztatás részletezettsége változó: míg mindkét elemzett szolgáltató elég részletes tájékoztatást ad a hirdetési tartalmak megjelenítésével kapcsolatban, ez az egyéb szűrt tartalmak esetén (posztok, keresési találatok) ez kevésbé mondható el.
A vonatkozó tájékoztatóik emellett sokszor nehezen követhetők, nem könnyen átláthatók, és a legkevésbé sem követik az adatvédelmi szabályozás - egyébként nem bonyolult és könnyen áttekinthető - logikáját. A GDPR nem csak azt várja el, hogy a tájékoztatás megtörténjen, hanem azt is, hogy azt az adatkezelő tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva tegye meg. Ez korántsem egyszerű olyan összetett adatkezelések esetén, mint amelyet a Google és a Facebook végez, különösen úgy, hogy közben semmiképp se szolgáljanak olyan információkkal a szigorú üzleti titokként kezelt algoritmusaikkal kapcsolatban, amelyek az üzleti érdekeiket veszélyeztetné.
Jelenleg a szolgáltató meglévő gyakorlatát elemeztük egy jövőbeni szabályrendszer fényében, így jogsértő gyakorlatról e tanulmány alapján nem beszélhetünk, de az biztosan kijelenthető, hogy mindkét szolgáltatónak további erőfeszítéseket kell tennie, ha kétséget kizáróan és maradéktalanul meg szeretne felelni a GDPR valamennyi szabályának, valamint a - sokszor szinte kötelezőnek tekintett, de nem egy esetben "csak" jó gyakorlatot összefoglaló - vonatkozó WP iránymutatásnak. ■
JEGYZETEK
* A tanulmány "Az internetes forgalomirányító szolgáltatások szabályozási kérdései" című, 116551 számú OTKA-kutatás keretében készült, annak eredményeire épül. Emellett a jelen tudományos közleményt a szerzők a Pécsi Tudományegyetem alapításának 650. évfordulója emlékének is szentelik.
[1] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet), a továbbiakban: Rendelet vagy GDPR (General Data Protection Regulation).
[2] A 29. cikk alapján létrehozott adatvédelmi munkacsoport a GDPR hatálybalépését követően Európai Adatvédelmi Testület néven, jelentősen kibővített hatáskörökkel működik tovább, amely számos kérdésben lényegében kötelezőnek tekintett iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki (GDPR, 68-70. cikk).
[3] Article 29 Data Protection Working Party: Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251, a továbbiakban WP251.
[4] Mivel a szolgáltatók jelenlegi gyakorlatát egy (közel)jövőbeni szabályozáshoz képest vizsgáljuk, így a tanulmány célja nem a szolgáltatók által követett gyakorlat jogszerűségének vagy jogellenességének megállapítása, hanem az, hogy feltárjuk, hogy mely pontokon nincs összhang, azaz melyek azok a területek, amelyek a szolgáltatók részéről felülvizsgálatot igényelnek.
[5] Hill, Kashmir - Mattu, Surya: Facebook Knows How to Track You Using the Dust on Your Camera Lens, 2018. január 12. https://gizmodo.com/facebook-knows-how-to-track-you-using-the-dust-on-your-1821030620 [2018.01.18.]
[6] A profilozás technikai hátteréről és lehetséges felhasználási területeiről részletesen ld. az e tanulmány előzményének is tekinthető írásunkat: Pataki Gábor - Szőke Gergely László: Az online személyiségprofilok jelentősége - régi és új kihívások. Infokommunikáció és Jog 2017. 2. sz.
[7] Uo.
[9] "A személyi szám a személyes adatok megbízható összekapcsolásának - az adatfeldolgozás mai módjait tekintve - technikai szempontból legelőnyösebb eszköze." [15/1991. (IV. 13.) ABH]
[10] Portugália már 1976-ban alkotmányos szinten betiltotta az "országosan egységes személyi szám hozzárendelését az állampolgárokhoz" [Portugal's Constitution - 1976 (adopted on: 2 April 1976), Article 35 (5)]. Franciaországban és a Német Szövetségi Köztársaságban 1978-ban éppen a személyi számot alkalmazó egységes népességnyilvántartás terve vezetett az állampolgári adatvédelmi jogok deklarálására és a személyi szám ötletének elvetéséhez, míg az ún. 1983-as ún. "népszámlálási ítélet" a személyi számot a személyiségprofilhoz vezető "döntő lépésnek" tartotta [BVerfGE 65. 1. 27, 53, 57].
[11] A felhasználók adatkezelésekkel kapcsolatos attitűdjeiről és az érintetti kontroll elvi és gyakorlatai korlátairól összefoglalóan ld. Szőke Gergely László: Az európai adatvédelmi jog megújítása. Tendenciák és -lehetőségek az önszabályozás területén. HVG-ORAC, Budapest 2015. 70-79., 82-87. o.
[12] Pataki - Szőke: i.m. 64. o.
[13] Ződi Zsolt: Privacy és a Big Data. Fundamentum 2017. 12. sz. 25. o.
[14] C.f. Big Data: A Report on Algorithmic Systems, Opportunity, and Civil Rights. Executive Office of the President, May 2016.
https://obamawhitehouse.archives.gov/sites/default/files/microsites/ostp/2016_0504_data_discrimination.pdf 10. o. [2017.12.10.], vagy Diakopoulos, Nicholas: Algoritmic Acccountability Reporting: On the Investigation of Black Boxes. Tow Center for Digital Journalism, Columbia University, 2014. http://towcenter.org/wp-content/uploads/2014/02/78524_Tow-Center-Report-WEB-1.pdf [2018.01.10.]
[15] Mantelero, Alessandro: Social Control, Transparency, and Participation in a Big Data World. Journal of Internet Law, April 2014. 23. o.
http://staff.polito.it/alessandro.mantelero/JIL_0414_Mantelero.pdf [2017.05.25.], Szőke: i.m. 68. o. Ez mind a piaci szereplőkkel, mind az állammal szemben igaz, de mivel jelen tanulmány tárgya a forgalomirányító szolgáltatások gyakorlatának elemzé-
- 408/409 -
se, így az állami adatkezelésekkel és profilozási gyakorlattal nem foglalkozunk.
[16] Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról. Az ún. automatizált egyedi döntésről az irányelv 15. cikke rendelkezik.
[17] GDPR, 3. cikk (2) bekezdés
[18] Megjegyezzük, hogy ettől függetlenül - részben épp az európai adatvédelmi szabályoknak való megfelelést célozva - a Facebook írországi leányvállalattal is rendelkezik.
[20] Ezt az általános, szinte tilalomnak tűnő szabályt aztán széles körben fel is oldja azzal, hogy lehetővé teszi ilyen döntések meghozatalát, ha az érintett kifejezett hozzájárulásán alapul, az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges, vagy az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít. Azaz meghatározott feltételekkel mind az üzleti életben, mind a közszférában alkalmazhatók ilyen döntések. Azon automatizált döntésekre, amelyeknél érdemi emberi beavatkozás is történik, vagy a hatása csekély, nincs hasonló korlátozó szabály.
[21] WP251, 7. o.
[22] Facebook Live: Zuckerberg adds 3,000 moderators in wake of murders, The Guardian, 2017. május 3. https://www.theguardian.com/technology/2017/may/03/facebook-live-zuckerberg-adds-3000-moderators-murders [2018.01.28.]
[23] WP251, 10. o.
[24] Ld. pl. a hivatkozott 116551 számú OTKA-kutatás keretében készült, ugyanezen lap hasábjain megjelent Nagy Krisztina, Polyák Gábor: Az internetes forgalomirányító szolgáltatók működésének alapjogi vonatkozásai, JURA, 2018/1. c. tanulmányt.
[25] A 95/46/EK irányelv 15. cikkében ez nem szerepelt
[26] WP251, 11. o.
[27] Uo.
[28] Paradox módon egyébként minél pontosabb profillal rendelkeznek e szolgáltatók, annál nagyobb esélyük van ezt megtenni. Így elviekben olyan rendszer is elképzelhető, amely éppen azért nem jelenít meg például online szerencsejátékkal kapcsolatos hirdetéseket valakinek, mert az adatkezelő a profil alapján azt feltételezi, hogy - akár pénzügyi nehézség, akár játékfüggőség miatt - az a címzettet jelentős mértékben érintené.
[29] Ide tartozik az az eset, ha az adatkezelés az érintett kifejezett hozzájárulásán alapul, az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges, és a szolgáltató megtesz bizonyos garanciális intézkedéseket.
[30] A profilalkotással és az automatizált döntéshozatallal kapcsolatos tájékoztatási kötelezettséget a 2.1 fejezetben részletezzük.
[31] GDPR 14. cikk (1) bekezdés d) pont
[32] Article 29 Data Protection Working Party: Guidelines on transparency under Regulation 2016/679, WP260, 26. 35. o.
[33] Minden felhasználó számára elérhető: Android Auto! Android OS! Android One! Android Pay! Android Phones! Android Tablets! Android Wear! Calendar! Cardboard! Chrome! Chrome Web Store! Chromebook! Chromecast! Contacts! Daydream View! Docs! Drawings! Drive! Earth! Finance! Forms! Gboard! Gmail! Google Alerts! Google Allo! Google Camera! Google Cast! Google Classroom! Google Cloud Print! Google Duo! Google Expeditions! Google Express! Google Fit! Google Flights! Google Fonts! Google Goggles! Google Groups! Google Home! Google Input Tools! Google Messenger! Google One Today! Google Play! Google Play Apps! Google Play Games! Google Play Movies & TV! Google Play Music! Google Play Newsstand! Google Store! Google Sync! Google Wifi! Google for Education! Google+! Hangouts! Inbox by Gmail! Keep! Maps! News! Nexus! OnHub! Photos! Pixel! Project Fi! Scholar! Search! Sheets! Sites! Slides! Smartbox! Tango! Tilt Brush! Translate! Trips! Voice! Waze! YouTube! YouTube Gaming! YouTube Kids! Zagat. Míg a "for business" szolgáltatások a következőek: AdMob, AdSense, AdWords, AdWords Express, Analytics, Android, Blogger, Chrome, DoubleClick by Google, G Suite, Google Cloud Platform, Google Domains, Google Enterprise Search, Google Maps APIs, Google Merchant Center, Google My Business, Google Shopping Campaigns, Google Street View, Google Surveys, Google Tag Manager, Google Trends, Google Trusted Stores, Google Web Designer, Google+ Brands, Local Inventory Ads, Search Console, Waze Local
(https://www.google.com/intl/en/about/products/).
[34] Google adatvédelmi irányelvek, https://www.google.hu/intl/hu/policies/privacy/ [2018.01.10.]
[35] Példák információ gyűjtésére: https://www.google.hu/intl/hu/policies/privacy/example/collect-information.html [2018.01.10.]
[36] Fontos kifejezések, https://www.google.hu/intl/hu/policies/privacy/key-terms/#toc-terms-personal-info [2018.01.10.], az "ésszerű határokról" azonban nincs több információ.
[37] Egy helyen például a Google is rámutat, hogy ezek össze is vannak kötve a felhasználóval: "adatokat gyűjtünk arra vonatkozóan, hogy Ön milyen szolgáltatásokat használ," vagy azt mondja: "Eszközazonosítóit vagy telefonszámát a Google összekapcsolhatja az Ön Google-fiókjával."
[38] Részlet a magyar adatvédelmi hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) NAIH-377-2/2014/V ügyszámú állásfoglalásából: "Ha az IP-címet a felhasználóhoz köthetően kezelik - így például ha más adatokkal együttesen a felhasználó az IP-címen keresztül azonosított vagy azonosíthatóvá válik -, akkor az IP-cím is személyes adatnak minősül."
[39] Google adatvédelmi irányelvek
[40] Hogyan használja fel a Google az Ön adatait, amikor a partnereink webhelyeit vagy alkalmazásait használja? https://www.google.hu/intl/hu/policies/privacy/partners/ [2018.01.10.]
[41] Facebook adatkezelési szabályzat (utolsó módosítás: 2016. szeptember 29.)
https://www.facebook.com/full_data_use_policy [2018.01.10.]
[42] Uo.
[43] Utóbbit ld. Mik azok a Facebook-szolgáltatások?
https://www.facebook.com/help/1561485474074139 [2018.01.10.]
[44] GDPR, 13. cikk (2) bekezdés f) pont, 14. cikk (2) bekezdés g) pont és 15. cikk (1) bekezdés h) pontok
[45] WP251 Annex 1., 28. o.
[46] Egészen pontosan ez attól függ, hogy a profilozás az "eredeti" adatkezelés céljához igazodik-e, vagy olyan újabb adatkezelés, amelynél újra külön eleget kellene tenni a tájékoztatási kötelezettség minden elemének. Ez a megközelítés az adatkezelő szempontjából egyébként előnyös, és életszerű is, mivel a profilozás dinamikusan változó rendszer lehet, amely során egyszer egyik, másszor másik adatot lehet felhasználni.
[47] "In addition [...] the controller should make available the data used as input to create the profile". WP251 24. o.
[48] Google adatvédelmi irányelvek
[49] Uo.
- 409/410 -
[50] A Google például a korábbi keresések és böngészési adatok alapján is rangsorolja a találatokat, ezért egy-egy felhasználó teljesen azonos kifejezésre történő keresésére eltérő találatokat vagy találati rangsorolást adhat. Például nem mindegy, hogy ki keres rá az "Mt" két betűre: a korábbi keresések alapján egy jogász számára nagyobb eséllyel a Munka törvénykönyvét, míg egy gyakorló pap számára nagyobb eséllyel Máté evangéliumát sorolja előre az algoritmus.
[51] Adatvédelmi beállítások, https://myaccount.google.com/intro/privacycheckup/1?hl=hu , https://adssettings.google.com/authenticated [2018.01.10.]
[52] Vegye kézbe az irányítást, https://privacy.google.com/take-control.html A felhasználó a hirdetésbeállítások között találhatja meg egyébként a profilját, ami azonban csak két elemből áll: nem: férfi/nő, valamint kora, amelyet a születési dátumból számol a Google. De a felhasználó valós profilja ennél nyilvánvalóan lényegesebben több információból adódik össze.
[53] A Facebook hirdetéseinek bemutatása https://www.facebook.com/ads/about/?entry_product=ad_preferences [2018.01.10.]
[54] Hirdetési beállítások (bejelentkezés után érhető el), https://www.facebook.com/ads/preferences/?entry_product=ad_settings_screen [2018.01.10.]
[55] Általános fiókbeállítások (bejelentkezés után érhető el), https://www.facebook.com/dyi?x=Adkkwvkg6Qtoz9w3 [2018.01.10.]
[56] Az értékelés és előrejelzés - személyes tapasztalat alapján - korántsem biztos, hogy pontos. "Miskolci Nemzeti Színház, Tatabánya, Galéria, telekommunikáció, cloud computing, Kiss zenekar, magyar, Alzheimer kór, kávé, kávézók, magyar nyelv, design, Magyarország, online, fotózás" - ezek e tanulmány egyik szerzőjének a Facebookról letöltött adatai között található legmeglepőbb, rá vonatkozó adatok. A címkézés és előrejelzés azonban a szerző esetében több mint rossz: életében nem ivott még kávét, soha nem járt még a Miskolci Nemzeti Színházban, a Kiss-től pedig egyetlen dalt sem tudna hirtelenjében felidézni. Ennek oka lehet, hogy - tudatos felhasználóként - nagyon kevés információt oszt meg magáról mind az ismerőseivel, mind pedig a Facebookkal, bár mint azt a korábbiakban láthattuk, a kevésnek hitt információ is lehet elég sok. Sokkal pontosabb és izgalmasabb azonban, hogy kereken 100 IP-címet regisztrált a szerzőhöz a hálózat.
[57] Különösen mivel a Facebook adatvédelmi irányelvei is erre koncentrálnak
[58] Hogyan működik a hírfolyam? https://www.facebook.com/help/1155510281178725/?helpref=hc_fnav [2018.01.10.]
[59] "Az internet azt mutatja meg nekünk, amiről azt gondolja, hogy látni szeretnénk, és nem szükségképp azt, amit látnunk kell" - írja Eli Pariser, aki először ír részletesen a szűrőbuborék jelenségről. (Pariser, Eli: The Filter Bubble. What the Internet Is Hiding from You. The Penguin Press, 2011) Ld. még Polyák Gábor: A frekvenciaszűkösségtől a szűrőbuborékig. In: Tóth András (szerk.): Technológia jog - Új globális technológiák jogi kihívásai. Károli Gáspár Református Egyetem Állam- és Jogtudományi Kar, Budapest 2016. 128-130. o.
Lábjegyzetek:
[1] A szerző tudományos segédmunkatárs PTE Szentágothai János Kutatóközpont Big Data kutatócsoport.
[2] A szerző adjunktus, csoportvezető PTE ÁJK Közigazgatási Jogi Tanszék Informatikai és Kommunikációs Jogi Csoport.
Visszaugrás
