Na de mi van a Google tárolt változatával?

Az új uniós adatvédelmi szabályozás igen helyesen az adattulajdonos érdekeit védi – de szolgáltatói oldalról nagyon sok gyakorlati probléma merülhet fel alkalmazása során.

Abban valószínűleg teljes az egyetértés – legalábbis Európában –, hogy az új uniós adatvédelmi szabályozás (általános adatvédelmi rendelet, GDPR) alapkoncepciója helyes, mivel kimondja, hogy az interneten közzétett személyes adatok fölött az adattulajdonos rendelkezik teljes mértékben, és ezt a szolgáltatóknak, tartalomszolgáltatóknak abszolút módon kell kezelniük. Vagyis az adattulajdonos kívánságainak mindenképp meg kell felelniük.

Ugyanakkor e rendelkezés gyakorlati megvalósítása számtalan problémát vet fel, ahogy minden jogszabály esetében történik. Az élet, főképp a netes élet sokkal sokszínűbb, mint ahogy azt egy jogszabály le tudja írni.

Nézzünk erre egy példát a saját, a Prohardver lapcsalád életéből, ahol egy elsőre nem túl lényegesnek tűnő gond miatt kénytelenek voltunk a magyar információvédelmi hatósághoz (Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH) fordulni jogértelmezési kéréssel.

Az történt, hogy egy olvasónk, a fórumban aktív felhasználónk, akiről messziről látszik, hogy jogilag is képzett, adattörlést kért tőlünk a GDPR-ra hivatkozva. Ez sima ügy volt, a lehető leggyorsabban meg is történt, a felhasználó ezt elismeréssel nyugtázta. Ugyanakkor ez még számára nem volt elég, mivel sérelmezte, hogy a Google cache-ben, a tárolt tartalomban még mindig látszanak az általa nem kívánt adatok: „… a felhasználó anonimizálása, valamint a fiók törlése 72 óra elmúltával sikeresen meg is történt, azonban a Google keresőmotor cache-ében azóta is oldalaik régi verziója található meg. A GDPR 17.2-es pontjával összhangban szeretném kérelmezni, hogy például a Google által erre a célra nyújtott 'Fetch as Google' eszközt használva kezdeményezzék oldalaik újraindexelését”.

A hivatkozott szabály:

17. cikk: A törléshez való jog („az elfeledtetéshez való jog”) (2) Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Nekünk mint tartalomszolgáltatónak az volt ezzel a gondunk, hogy értelmezésünk szerint a felejtés jogának alkalmazása során mi nem vagyunk érintettek, ezt a felhasználónak és a Google-nak kell elrendeznie: vagyis a felhasználó a korábbiakhoz hasonlóan nyújtson be kérelmet a Google-hoz, hogy újraindexeljék a weboldalt.

A hivatkozott 17.2-es cikk szerintünk nem volt egyértelmű, ezért fordultunk a NAIH-hoz azzal a kéréssel, hogy foglaljon állást: kinek a kötelessége a cache törlése, illetve az újraindexelés.

Erre kaptunk is hivatalos választ, és a NAIH szerint két dologról van szó.

Egyrészt korábbi vélelmeinket megerősítve közlik, hogy a keresőmotorok indexelt tartalmainak törlését a felhasználó és a keresőmotort üzemeltető közötti ügyintézés biztosítja: vagyis a Prohardver adatkezelőként köteles törölni a kért tartalmat, de arra nem kötelezhető, hogy a keresőmotornál is eljárjon ebben az ügyben. Ugyanakkor nekünk, a Prohardvernek is van kötelezettségünk: a törölt tartalmat töröltnek kell jelölni a motor számára.

Száz szónak is egy a vége: a Prohardver mint adatkezelő köteles eleget tenni az adattörlési kérésnek – ezt meg is tettük eddig, ahányszor csak kérték –, de a keresőmotorok tárolt tartalmait illetően magának a felhasználónak is aktív közreműködésére van szükség, ez nem a tartalomszolgáltató feladata, aki ugyanakkor segíteni köteles ezt a folyamatot.

Azóta történt

Előzmények