Az Adatvédelem Nemzetközi Napja minden év január 28-a, mivel az Európa Tanács e napon fogadta el a 108. Adatvédelmi Egyezményt. Az emléknap célja, hogy a személyes adatok védelme és az adatbiztonság beépüljön a köztudatba és az állampolgárok a tájékozott beleegyezés elvét követve rendelkezzenek személyes adataikról, digitális viselkedési szokásaikról. 

Adatvédelem a mindennapokban

A digitális térben lehetetlen lábnyom nélkül létezni. Minden keresés, minden megosztás, minden helyadat egy-egy apró mozaikdarab, amelyek együttes felhasználásával meglepően pontos képet rajzolunk magunkról. Nemcsak azt áruljuk el másoknak, mit szeretünk, hanem azt is, hol járunk, kikkel tartjuk a kapcsolatot, mikor vagyunk elérhetőek, mi az, ami számunkra igazán fontos, érdekes vagy értékes. 

Ezek az információk – a személyes beállításoktól függően – hozzáférhetővé válhatnak szolgáltatók, reklámcégek, állami szervek vagy akár adatkalózok számára is. Éppen ezért az adatvédelem nem pusztán egyéni ügy, hanem közérdek is. Nem túlzás azt mondani: a digitális önvédelem ma már alapvető túlélési készség.

Adatvédelem az Európai Unióban és Magyarországon

Az Európai Unióban a személyes adatok védelmét több egymásra épülő jogi dokumentum határozza meg. Az Európai Unió Alapjogi Chartája kimondja a magánélet és a személyes adatok védelméhez való jogot, az Emberi Jogok Európai Egyezménye pedig ugyanezt erősíti meg a magán- és családi élet tiszteletben tartásán keresztül. Ezekre az alapokra épül az Európa Tanács 108. számú Adatvédelmi Egyezménye. 

Az egyezmény továbbfejlesztett, naprakészebb változata, a 108+ Egyezmény még nem került érvénybe, mivel annak elfogadásához harmincnyolc tagország ratifikációja szükséges. Magyarország 2023-ban harmincadik tagországként ellenjegyezte a dokumentumot.

A digitális világ robbanásszerű fejlődése azonban egyértelművé tette: részletesebb, szigorúbb szabályozásra van szükség. Így született meg az EU általános adatvédelmi rendelete, a GDPR, amely ma az egyik legszigorúbb adatvédelmi szabályozás a világon.

Fontos azonban tisztázni egy gyakori félreértést. A GDPR nem azt mondja ki, hogy minden adatkezeléshez hozzájárulás kell. (Valójában több jogalapot ismer el, például a szerződés teljesítését, a jogi kötelezettséget vagy a jogos érdeket.) Azt azonban kimondja, hogy az állampolgárok széles körben rendelkezhetnek adataikkal, beleértve az adattörlés, az adatkezelés korlátozása, valamint az adatgondozásba való betekintés jogát is. Minden EU-polgárnak joga van tudni továbbá arról, hogy mi a protokoll abban az esetben, ha az adatkezelést végző félnél adatvédelmi incidens történik.

Amikor az adatvédelem személyes üggyé válik

Valahányszor belépsz egy közösségi oldalra, megosztasz egy fotót, vagy online vásárolsz, nemcsak magadról mesélsz. Az adataid gyakran a családodra, a munkáltatódra, a kapcsolatrendszeredre is utalnak. A „nincs mit féltenem” és „nincs mitől félnem” gondolata alapvetően önbecsapás, hiszen az adathalászok nem egyetlen forrásból dolgoznak: apró információmorzsákból rakják össze a teljes képet. Ezért olyan fontos tudatosan kezelni digitális jelenlétünket.

Milyen adatvédelmi támadásokkal találkozhatsz?

A leggyakoribb visszaélések közé tartoznak a phishing és social engineering alapú támadások. Ezeknél a módszereknél a kulcs a megtévesztés. Vagyis a támadó banknak, futárszolgálatnak vagy hatóságnak adja ki magát, sürget, nyomást gyakorol, és egy az eredetire megtévesztésig hasonló weboldalra irányít. Ha nem ismered fel, mivel állsz szemben, valójában önként adod át adataidat az arra érdemteleneknek.

Hasonlóan alattomosak a malware programok, melyek gyakran ártalmatlannak tűnő letöltésekkel kerülnek az eszközre, miközben billentyűleütéseket rögzítenek, adatokat gyűjtenek, vagy akár teljesen zárolják a készüléket. A ransomware támadások során az adatok „túszul esnek”, és váltságdíjat követelnek értük.

Kevesebbet beszélünk róla, pedig egyre gyakoribb a SIM-swap is. Ilyenkor a támadók a szolgáltatónál téged megszemélyesítve új SIM-kártyát igényelnek, majd az így megszerzett hozzáféréssel olvassák az üzeneteidet, hitelesítési kódjaidat, vagyis gyakorlatilag bármit megtehetnek.

Ne feledkezzünk meg a legegyszerűbb esetről sem! Egy elvesztett vagy ellopott telefon vagy laptop, nem az eszközpótlás érzelmi és pénzbeli költsége miatt aggasztó, hanem a készüléken tárolt adatcsomag és a készüléken keresztül elérhető különféle szolgáltatások fiókadatai miatt.

További kockázati tényezők az adatvédelem területén

A leggyakoribb adathalász tevékenységek mellett érdemes beszélni a brute-force támadásokról is, melyeknek lényege, hogy a támadók a közösségi médiában fellelhető adatok alapján próbálják feltörni a célszemély további felhasználói fiókjait a tipikus jelszóválasztási gyakorlatok jellegzetességeit kihasználva. Ezért nem a legjobb ötlet a gyerekek vagy a háziállat nevét, esetleg a születési dátumot jelszóként választani.

 

Hasonló kockázatokkal járhat a nyílt wifi-hálózatra való kapcsolódás jelentő, különösen, ha az adott wifit egy kifejezetten adatlopás céljával felállított wifi-hálózat szolgáltatja. Ilyenkor a gyanútlan áldozat kapcsolódik az adott területen elérhető wifire, majd hagyja, hogy míg a kávéját issza, adatvédelmi szempontból szó szerint kirabolják őt (wi-phishing).

 

Veszélyforrás lehet továbbá egy szimpla készpénz-felvétel is, hiszen az ATM pénzkiadó nyílására rögzített miniatűr eszközök megszerezhetik bankkártya-adatainkat (skimming). 

 

Nem szabad elfelejteni azt sem, hogy az adatvédelmi incidensek jelentős hányada valamilyen emberi hibával kapcsolatos, például egy alkalmazott véletlenül rossz címzettnek küldi el az érzékeny adatokat, vagy rosszul konfigurálja a biztonsági beállításokat. Menj biztosra és ellenőrizz inkább mindent kétszer!

Mit tehetsz adatvédelmi incidens esetén?

Ha úgy érzed, visszaéltek az adataiddal, nincs idő halogatásra. Az első lépés mindig a jelszavak azonnali megváltoztatása és a többfaktoros hitelesítés bekapcsolása. Pénzügyi érintettség esetén a bank értesítése elengedhetetlen, iratok elvesztésekor pedig rendőrségi feljelentést kell tenni.

Fontos tudni, hogy ha egy vállalat hibájából történik adatvédelmi incidens, azt a szervezetnek 72 órán belül be kell jelentenie a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH). Az érintetteknek joguk van tudni arról, mi történt az adataikkal, és milyen kockázatokkal kell számolniuk.

Emlékeztetőül: Az adatvédelem és az adatbiztonság nem technikai luxus és nem jogászi hóbort. A digitális önvédelem ma már ugyanúgy része a mindennapoknak, mint az, hogy bezárjuk az ajtót, mielőtt elmegyünk otthonról. Minél tudatosabban bánunk a személyes adatainkkal, annál kisebb eséllyel válnak fegyverré mások kezében.