Na ezek se hívnak fel többet! A közelmúltban tragikus hirtelenséggel elhunyt lakástakarékpénztári állami támogatások esetéről jutott eszembe egy pár hete zajlott abszurd kis telefonbeszélgetés, ami tanulságos lehet az adatvédelem jogi és informatikai útvesztőiben bolyongó kortársak számára is. Mennyire nehéz élhető, de precíz, szabály- és életszerű megoldásokat találni a telekommunikáció félszemélyes csatornáin bonyolított ügyleteléseink során...
Először is nyilvánosan megosztanék egy személyes adatot: természetesen van futó lakástakarékpénztári megtakarításom (bolond hagyta volna ki a pénzosztást).
Történt pár hete, hogy fölhív egy random mobilszám, felveszem. A lakástakarékpénztáram telefonos ügyfélszolgálati munkatársaként mutatkozott be XY. "Persze... röviden foglalja össze, meghallgatom, mit szeretne..." — Mi baj lehet belőle? (A telesales kemény meló, legyetek velük mindig kedvesek.)
"A hívást rögzítik..." blablabla — ez érdekel a legkevésbé, de a tájékoztatást megkövetelik a szabályok — inkább fölöslegesen, lényegében minden szolgáltatónak érdeke és a célhozkötöttség szerintem alapértelmezett, de ezzel is elmegy így 1-2 perc, pedig csak arról szól a beszélgetés, hogy rám akarnak majd sózni valószínű valami hitelterméket, aztán mehetünk mindketten a dolgunkra (az adattakarékosság elve erre is kiterjedhetne).
Első furcsaság, hogy volna majd egy komplett adatvédelmi tájékoztató is, amit már nem ő darálna le, hanem egy automata, maradjak vonalban és hallgassam meg. Nyilván jó hosszú lehet, nyelek, haladjunk, bár attól tartok ez így nem szabályos, ugyanis kiderül, hogy előbb szeretne adatokat egyeztetni, majd utána tájékoztatnának az adatkezelési elveikről, ami nyilván nonszensz. Utána már aztán nyomhatok a "nem fogadom el" gombra...
Szóval "mint ügyfelüknek volna egy kedvező ajánlatuk számomra", aha... aha... ilyenkor nehéz türelmesnek maradni szegény alkalmazottal a túloldalon. (Kedves szolgáltatók és telesales script-írók! Elég volna ha ezt az ajánlatot röviden ismertetnétek, mert ismétlem tényleg idegesítő, ha fölösleges bürokráciával raboljuk egymás idejét!) Ezután "kedvcsinálóként" visszakanyarodunk újból egy kis GDPR ízelítőre és adatvédelmi érzékenyítésre. Hát mi más hozná meg a kedvemet, hogy most rögtön vegyek valamit, ha nem ez? Én értem, hogy sokakat összezavartak az új szabályok (amik amúgy alig változtak: eddig is volt egy erős adatvédelmi törvényünk), pánikot okozott a hype az uniós rendelet szerint kivethető 2-4%-os akár 10-20 millió eurós gigabírságai, de egy komoly pénzintézetnek (mint egy lakástakarékpénztár) mégis illő lenne profin és fegyelmezetten kidolgoznia az üzleti folyamatait.
(Mondjuk a lakástakarékok sosem voltak ügyfélbarátak, de ez egy másik tészta. Nem volt nekik "muszáj": ők állami támogatást csomagoltak be és "adtak el", lényegében az állami bürokrácia kiszervezett ügynökségeiként működnek. Erről majd máskor.)
Most jön a második furcsaság: "szeretne beazonosítani, hogy nem kerülnek-e az adataim rossz kezekbe". Én tényleg nem akarok haklis ügyfél lenni, nem akarom, hogy letéve a telefont a túloldalon azt gondolják, hogy "na ez is egy igazi barom", de ha már legalább öt percet csevegtünk az adatvédelem fontosságáról, akkor kérem tisztelettel, én mégis hogyan azonosíthatom be, ki hívott fel, és miért adnék én ki bármilyen beazonosításra alkalmas személyes adatot egy nem a szolgáltató ismert központi számáról, hanem egy teljesen véletlenszerű mobilszámról érkező telefonálónak, akivel nem egy bankfiókban beszélgetünk, hanem lényegében tökéletes inkognítóban, a hívás pillanatában lenyomozhatatlanul.
Mondom: "Bocsánat, ha komolyan vesszük, amikről eddig beszéltünk, és én kiadom az adataimat, nem tudom, hogy azok rossz kezekbe kerülnek-e, mert én nem tudhatom kivel beszélek..." Na ez az, amire a rossz folyamat kitalálója biztos nem készült fel, a telefonáló alkalmazott pedig nem is nagyon ért. Pedig pofonegyszerű és szörnyen logikus: ha kiadom ezeket a személyes adatokat, akkor azzal utána egy ismretlen telefonáló visszaélhet, bármit is hablatyol amúgy az adatvédelemről. Ha van az adatvédelemnek alapelve egy magánszemély számára, akkor az az elővigyázatosság és utána a bizalom elve kell legyen. Semmi okom nincs azt hinni, hogy a telefonáló nem az, akinek mondja magát, nem paranoid üzemmódban vagyok, de tartsuk már tiszteletben az adatvédelem elemi logikáját, ha már a csapból is az folyik. Ne azon dolgozzanak a szolgáltatók, hogy befogadhatatlan terjedelmű, irreleváns, de a törvény betűjét ránézésre követő, amúgy életszerűtlen, betarthatatlan és értelmetlen adatvédelmi útvesztőkkel igyekezzenek saját jogi felelősségüket kizárni vagy elkenni. S nagy igyekezetükben, hogy védjék a feneküket elbuknak saját cipőfűzőjükben is, és fatális bakikkal aknázzák alá folyamataikat. (Elszámoltathatóság?)
A bizalom felépítésére édeskevés, hogy az ügyintéző kicsit felháborodott és tanácstalan hangon közli: "ő ezért mondta a nevét és hogy kitől hív". Könyörgöm! Ennyi erővel mondhatná azt is, hogy ő Mark Zuckergerg és küldene pár milliót, ha megadom anyám nevét, születési dátumomat és még, ami szem szájnak ingere. Illetve adott esetben, hogy megismerhessem azt a kecsegtető, de már egyre idegesítőbb ajánlatot, amit amúgy egy emailben is elküldhettek volna, vagy már pár szóban összefoglalhatott volna. (A telefon mellett az email-t is bepipáltam, keressenek bátran, tényleg nem én vagyok a hülye ügyfél...) Amúgy a legvégén ki is derült "ha úgy érzem majd a honlapon elolvashatom"... nyilván, hogyan adósodhatok el most rendkívül gyorsan, miközben megtakarítani akarok, de hagyom magam rádumálni a "kecsegtető" ajánlatra.
Persze én értem, hogy az a nagy okosság van itt a háttérben, hogy a megtakarítással rendelkező ügyfelekről úgy vélik, hogy jó adósok is lesznek, mert van pénzük, de ez egy személyes adat, amit más nem ismerhet, csak én meg a szolgáltató (meg csak az adóhivatal meg a Tóth Ottó, de haladjunk..). A logikájuk és talán a GDPR-démon semlegesítésére nemrég jó pénzért leszerződtetett ördögűző és adatvédelmi főpapjuk szerint, ha ismertetik ezt a nyilván valójában amúgy se nem szuper, se nem annyira exkluzív ajánlatot, akkor abból vissza lehetne következtetni arra, hogy rendelkezem a termékkel, ...amit már a legelején tisztáztunk, azért hívtak fel, ezért van meg a számom és ezért tudják a nevem. Elméletileg. (Mert lehetne ugye egy bepróbálkozó csaló is.)
Így viszont patthelyzet alakult ki. Ahhoz nagyon mereven ragaszkodott az ügyintéző, hogy egy kukkot sem mond, amíg be nem azonosít: az "én érdekemben". Mert persze minden "az én érdekem" — igazi jolly joker. Könyörgöm ismét: azért hívnak ők fel engem, mert eladni szeretnének. Teljesen abszurd hivatkozás, nem igazán véd, hogy rögzítik a beszélgetést, biztos nem véd a terjengős utólag megismerhető adatvédelmi mese az autómatától, úgy általában az egész félreértett adatvédelmi okoskodás nem engem és nem az adataimat védi, hanem pont fordítva: azokat szolgáltatja ki. Úgyhogy leraktuk.
Én nem akarom megoldani az ő problémájukat, az ügyintéző pedig szintén alkalmatlannak bizonyult erre a lakástakarékpénztárral együtt. Zéró ésszerűség, zéró rugalmasság, tökéletes hivatali paralízis. Nem csodálkoznék, ha ez a csodálatosra koreografált telefonos kampány rekordbukás lenne. Tíz-tizenöt perc idő- és pénzpocséklás mindkettőnknek.
A sok rendelet és belső előírás közt elvész a gyerek: az ügyfélbarát ügyintézés.
- Személyes adatot csak előre meghatározott célból kezeljen (célhoz kötöttség elve),
- csak a cél megvalósulásáig (korlátozott tárolhatóság elve),
- csak a cél megvalósításához feltétlenül szükséges mértékben (adat takarékosság és alapértelmezett adatvédelem elve) kezeljen,
- az adatkezelésnek meg kell felelnie a tisztesség követelményének (tisztesség elve),
- jogszerűnek kell lennie (megfelelő jogalappal kell rendelkeznie),
- a kezelt adatoknak pontosaknak és hiánytalanoknak kell lennie (pontosság elve),
- az adatkezelésnek megfelelő, közérthető, részletes, teljes, könnyen hozzáférhető és előzetes tájékoztatáson kell alapulnia (előzetes tájékoztatás elve)
- a rendelet alapján az sem változik, hogy az érintetteknek ugyanúgy kérésükre tájékoztatást kell adni adataik kezeléséről, a tájékoztatás adás határideje és tartalma között sincs szignifikáns eltérés az új jogszabályban;
- a jogosultakat ugyanazok a jogorvoslati jogok illetik meg, mint a magyar törvény alapján: tiltakozhatnak adataik kezelésével szemben (tiltakozás joga), kérhetik azok törlését (feledés joga), helyesbítését és zárolását.
- ahogy eddig is kellett a magyar vállalkozásoknak az adatkezelés megkezdése előtt, már az adatkezelési eljárások kidolgozásakor az adatbiztonságról gondoskodniuk, úgy ebben a kötelezettségükben ezután sem lesz változás, hiszen a magyar Infotörvény ezt a követelményt is tartalmazta (privacy by design elve);
- az adatkezelőnek az adatvédelmi incidensekkel kapcsolatban nyilvántartási, értesítési és hatósági bejelentési kötelezettsége van, amely a magyar jogban eddig is létezett a legutolsó Infotörvény-módosítás óta (adatvédelmi incidenskezelés).
Ez kb. 2011 óta ugyanígy van.
Forrás: hwsw.hu
Még több LTP: Lakástakarékpénztárak és csok helyett a bérlakásépítést kéne támogatnia az államnak