Hatalmas bírságot kaphat a Facebook, miután ellopták a cégtől 50 millió felhasználó adatait – harsogta a világsajtó az elmúlt héten. Az ügyben eljárást kezdeményező ír adatvédelmi hatóság erre vonatkozó határozata pedig az egyik legjobban várt európai adatvédelmi döntésnek tűnik, mert számos, ma még nyitott kérdésre ad választ a GDPR rendelkezéseinek értelmezésével kapcsolatban.
A GDPR értelmében akár 1,6 milliárd dolláros bírságot is fizethet a Facebook azután, hogy eddig ismeretlen hackerek legalább 50 millió felhasználó adataihoz férhettek hozzá a közösségi oldalon keresztül. Mivel pedig 2018 május 25-e, a GDPR alkalmazandósága óta ez a legnagyobb léptékű adatvédelmi incidens, így a példastatuálás igénye természetesen a szigor felé tolhatja az ügyet vizsgáló ír adatvédelmi hatóságot.
Maga a lopás mindenképpen tanulságos a felhasználók számára, hiszen a hackerek alapvetően három féle adatkategóriához is hozzáfértek az egyes Facebook profilok feltörésével.
Egyrészről természetesen megszerezhettek a támadással érintett 50 millió embertől minden olyan adatot, amit azok feltöltöttek a Facebook profiljukra, képeket, posztokat, kedvelt zenekart, politikai pártot, vagy akár vallási meggyőződést is. A magánélet szempontjából pedig önmagában már ez is nagyon problémás a felhasználók oldaláról nézve, a felsorolásnak pedig még nincs vége.
Emellett ugyanis olyan személyes adatok is a hackerek kezébe kerülhettek, amelyek létezéséről talán még maguk a felhasználók sem tudnak. Fontos ugyanis tudni, hogy mivel a Facebook ingyenesen nyújtja a szolgáltatását, hasonlóan például az online hírportálokhoz, úgy tud nyereségesen működni, hogy hirdetési felületet értékesít. Ezt pedig úgy tudja sikeresen megtenni, ha az egyes hirdetéseket személyre szabottan, az egyes felhasználók érdeklődési köréhez igazítva árusítja. Ehhez pedig a személyiségkép kirajzolására alkalmas használati statisztikákat gyűjt és tárol a felhasználókról annak alapján, hogy azok milyen oldalakat követnek, mire kattintanak és ezáltal pedig komplett személyiségprofilt állít fel róluk. Úgy látszik, hogy ilyen adatok is a hackerek kezére juthattak, így pedig akár megszerezhettek olyan következtetések, információkat is a felhasználókról, amelyekről esetlegesen azok nem is tudnak.
Végül, de nem utolsó sorban harmadik adattípusként a felhasználók olyan adataihoz is hozzáférhettek a támadók, amelyek már bizonyos értelemben a Facebook falain kívül találhatóak. A népszerű közösségi média platform ugyanis lehetőséget biztosít arra, hogy az ott meglévő profiljukkal regisztráljanak felhasználók külső szolgáltatók tartalmaira, legyen az zeneszolgáltatás, képmegosztó, csevegőprogram, vagy bármilyen más alkalmazás. Mivel pedig a támadás során ezen azonosító adatok is kikerültek, így a hackerek gond nélkül lehetnek képesek belépni kedvenc alkalmazásainkba is, és férhetnek hozzá ott tárolt adatokhoz is (pl. bankkártya adatok).
A kár tehát hatalmas, a potenciális bírság is az, mégis könnyen előfordulhat, hogy a nagy GDPR iskolapélda a vártnál alacsonyabb bírsággal végződik. A Facebooknak ugyanis az ír adatvédelmi hatóság eljárása során többek között azt kell bizonyítania, hogy megfelelő technikai és szervezési intézkedéseket hajtott végre az adatok biztonságos kezelése érdekében. Látható, hogy ez meglehetősen képlékeny fogalom, de a tisztánlátás érdekében mondjuk el: az, hogy mi minősül megfelelőnek, alapvetően két dolgon alapul. Részben a Facebook által kezelt személyes adatok kockázati besorolásán, részben pedig az erre reagálni képes, a hackertámadás idején a világban rendelkezésre álló IT biztonsági tudás megítélésén.
Ami a kockázati besorolást illeti, az alapvetően attól függ, hogy a Facebook által kezelt és jelen esetben kikerült adatok milyen mértékben érintik a felhasználókat, az adatkezelő mennyire mélyen avatkozik bele a személyek magánszférájába. Mivel pedig a Facebook üzleti modelljének éppen az a lényege, hogy a felhasználóiról minél több és minél szélesebb skálát lefedő személyes adathalmazt gyűjtsön be, így valószínűleg vitán felül áll, hogy a kockázati besorolás itt magasabb lesz, mint mondjuk egy FMCG vállalatnál, ahol sokkal kisebb mennyiségben és sokkal enyhébb formában fordulnak elő személyes adatok.
Nagyobb vitára adhat okot azonban a védelemre bevetett IT biztonsági eszközök megítélése. Az ugyanis biztos, hogy a Facebook rendszerében lyuk volt, de maga a GDPR is azért fogalmaz így, mert a jogalkotó is tisztában van azzal, hogy tökéletes biztonság nincs. A GDPR éppen ezért a kockázati besorolásnak megfelelő intézkedések megtételét várja el az adatkezelőtől, de mivel május 25 óta – de akár mondhatjuk, hogy előtte sem túl gyakran – nem játszódtak le hasonló esetek, így lezárult eljárások hiányában kevés fogalmunk van arról, hogy ez a gyakorlatban mit is takar.
Az ír hatóságok Facebook határozata ennek megfelelően mai ismereteink szerint a legjobban várt GDPR szerinti adatvédelmi határozat lehet Európában, mert irányt mutathat arról, hogy a jövőben mit és hogyan kell csinálniuk az adatkezelőknek egy ilyen léptékű adatvédelmi incidens esetén. Érdemes azonban egy fenntartást megfogalmazni az üggyel kapcsolatban.
Bármi is álljon majd Facebook határozatban, az nem vonatkoztatható általánosan a magyar cégekre, még a legnagyobbakra sem, mert még azok is apróak a Facebookhoz és az általa kezelt személyes adatokhoz képest. Így valószínűsíthetően a hatóság is figyelembe fogja venni azt a körülményt, hogy a Facebook a legnagyobb globális online platform, rengeteg pénzügyi erőforrással, melynek fő profilja éppen a személyes adatok gyűjtése, tárolása és legkülönfélébb módon való kezelése.
Bővebb profil
