Adatvédelmi és fogyasztóvédő szakmai szervezetek számos adatvédelmi kockázatot azonosítottak az online szolgáltatást használó intelligens gyermekjátékokkal kapcsolatban. Jelen tanulmány bemutatja azokat az uniós jogszabályokat, amelyek az intelligens játékokat használó gyermekek személyes adatainak védelmét szolgálják, különös tekintettel a gyermekekre vonatkozó speciális rendelkezésekre, és rámutat arra is, hogy e jogszabályok mennyiben kötelezik az érintett gazdasági szereplőket a megfelelő védelem kialakítására. Mindezek vizsgálata azt mutatja, hogy a jelenlegi jogi keretek csak korlátozottan képesek a kockázatokat kezelni.
Data protection and consumer protection professional organizations have identified a number of data protection risks in connection with smart children's toys that use online services. This study presents the EU legislation that serves to protect the personal data of children using smart toys, with particular regard to the special provisions for children, and it also points out the extent to which these laws oblige the relevant economic actors to establish adequate protection. Examining all of this shows that the current legal framework is only able to manage the risks to a limited extent.
A digitalizáció, az okostechnológia és az internettel összekapcsolt tárgyak (Internet of Things, a dolgok/tárgyak internete; a továbbiakban: IoT), megállíthatatlanul helyet követelnek mindennapjainkban. A gyártók felismerték, hogy a gyermekjátékok is digitalizálhatók, s a 21. század második évtizedének derekán piacra kerültek az intelligens játékok, amelyek egyesítik a játékok és a kommunikációs eszközök jellemzőit. A hagyományos játékok esetében a gyermek az aktív fél, a játékok pedig passzív szerepűek; az intelligens játékok azonban képesek reagálni a gyermek utasításaira, kérdéseire - olyan, a játékokban elhelyezett érzékelők segítségével, amelyek adatokat szolgáltatnak a velük interakcióba kerülő gyerek hangjáról, egyéb adatairól. Működését tekintve, a gyerek kérdést tesz fel a játéknak, a játék belső mikrofon segítségével rögzíti a hangot, majd wifi- vagy Bluetooth-kapcsolaton keresztül a hangfelvételeket okostelefonra továbbítja, ami elküldi egy felhőszolgáltató szerverére, ahol szöveggé alakítják a beszédhangot. A szöveges kérdés továbbítása a következő lépés, például a Wikipédiára, ahol megszületik a gyermek kérdésére a válasz, amit egy alkalmazás visszaküld a játékra.[2] Az Európai Unió jogalkotója ismét lépéskényszerben van, ha a fogyasztók magas szintű védelmét kívánja biztosítani a belső piacon.[3]
Az intelligens játékok közül jelen tanulmány csak a hálózatba kapcsolt, úgynevezett csatlakoztatott játékokat (connected toys) vizsgálja. Ezek vagy közvetett internetcsatlakozású játékok (okostelefonnal vagy táblagéppel interfészeken keresztül, például Bluetoothszal képesek kommunikálni); vagy közvetlen internetcsatlakozású játékok (az internethez, esetleg közvetlenül a külső szerverekhez wifi segítségével, integrált IP-interfészen keresztül csatlakoznak).[4]
Nem meglepő, hogy az intelligens gyermekjátékok használói többszörös kockázatnak vannak kitéve. Az egyik kínai játékgyártó cég adatbázisához hackerek fértek hozzá, és több millió adatot, köztük gyermekek hangadatait szerezték meg. Adott támadó célja csupán a biztonsági rés felfedése volt: a játékgyártó titkosítatlan csatornán továbbította az adatokat.[5] A hitelesítés nélküli Bluetooth-eszközöket használó csatlakoztatott játékok környezetében azonban gyakorlatilag bárki beszélgethet a gyerekkel, sőt kémkedő eszközként is működhetnek. E problémák rámutattak arra, hogy nem maguk a termékek hordoznak veszélyt, hanem a termékekhez kapcsolódó online szolgáltatások vetnek fel adatbiztonsági és adatvédelmi kockázatokat, vagyis a termék újdonságereje, a dolgok internete a kockázatok forrása.
A problémákra - a legkiszolgáltatottabb társadalmi csoport, a gyermekek esetében - számos fogyasztóvédő és adatvédelmi szakmai szervezet felhívta a figyelmet. 2016-2017-ben a norvég fogyasztói tanács vizsgálata megállapította, hogy az internethez kapcsolt játékok - fogyasztói és adatvédelmi szempontból - potenciálisan veszélyeztetik a gyermekek biztonságát.[6] Norvégia mellett több országban indultak vizsgálatok, s hasonló hibákat azonosítottak.[7] Németországban 2017-ben a hitelesítés nélküli Bluetooth-kapcsolat miatt a Cayla babát - mivel a német távközlési törvény tiltja a kémeszközök, rejtett kamerák, mikrofonok használatát - kivonták a forgalomból.[8] A Nemzetközi Távközlési Adatvédelmi Munkacsoport (IWGDPT) két munkadokumentumot készített. Az egyik a gyermekek magánéletének védelme kérdéseivel foglalkozik az online szolgáltatásokban, a másik a gyermekek intelligens eszközei kapcsán elemzi az adatvédelmi kockázatokat;
- 48/49 -
s mindkettő az adatvédelmi kihívásokra hívja fel a figyelmet, valamint ajánlásokat fogalmaz meg a döntéshozóknak, az online szolgáltatások fejlesztőinek és szolgáltatóinak - különös tekintettel az adatkezelők tevékenységére - az adatvédelmi hatóságoknak és felelősöknek, a szabványügyi testületeknek stb.[9]
A Német Szabványügyi Intézet (DIN) által készíttetett tanulmány - a szabványosítási folyamat elősegítése érdekében - az intelligens játékokra vonatkozóan tárta fel a főbb fogyasztói elvárásokat.[10] Az elvárások párhuzamba állíthatók az általános adatvédelmi rendelet[11] (a továbbiakban: GDPR) adatvédelmi elveivel, illetve az egyes cikkek rendelkezéseivel, különösen a beépített és alapértelmezett adatvédelemről szóló 25. cikk és az adatkezelés biztonságáról szóló 32. cikk rendelkezéseivel. A gyakorlat mégis azt mutatja, hogy a játékok esetében a személyes adatokat nem a hatályos jogszabály alapján kezelik. Az intelligens játékok használatával járó és vizsgálatok által igazolt kockázatok széles köre arra utal, hogy azok veszélyeztetik a gyermekek magánélethez való jogát.
A sebezhetőségek, biztonsági rések kezelése érdekében a vállalatok kapcsolattartó pontokat jelölhetnek ki a sérülések jelentésére. Szomorú adat, hogy 2018-ban az IoT-eszközök több mint 90%-ához nem kapcsolódott ilyen lehetőség. Ez az adat, illetve a szakmai szervezetek által feltárt adatvédelmi és adatbiztonsági kockázatok azt bizonyítják, hogy az emberiség történelme során kudarcra ítéltetett az a felfogás, hogy az ipar önmagát fogja szabályozni,[12] tehát a jogalkotóknak kell egységes jogszabályi kerettel biztosítani a gyermekek magánéletének és személyes adatainak védelmét.
Az adatok kezelésével, tárolásával kapcsolatos kockázatok azt mutatják, hogy a jelenlegi szabályozás nem szolgálja teljes körűen a gyermekek személyes adatainak védelmét, ami termékbiztonsági problémát vethet fel. A továbbiakban arra keressük a választ, hogy a hatályos uniós jogszabályok közül melyek szolgálhatják az intelligens játékokat használó gyermekek személyes adatainak a védelmét, és mennyiben kötelezhetik a gazdasági szereplőket a megfelelő védelem kialakítására. Mindezeken túl az Európai Unió legújabb jogalkotását is a vizsgálat tárgyává tesszük.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
