Csődöt mondott csodafegyver? A beépített adatvédelem hiányosságai
Absztrakt :
A 2018-tól alkalmazott Általános Adatvédelmi Rendelet (GDPR) új, az adatok hatékonyabb védelmének biztosítását szolgáló eszközként vezeti be egyebek mellett a privacy by design, azaz a beépített adatvédelem elvét. Ennek
értelmében már a tervezési fázisban figyelembe kell venni a GDPR-ban foglalt követelményeket. Tanulmányunk alapállítása, hogy a privacy by design
alapelve és a szofisztikált nagyvállalatok által gyakran alkalmazott, a fogyasztói választások tudatos befolyásolására irányuló, egyes esetekben gépi
tanuláson alapuló döntéstervezés (choice architecture) között alapjogi sérelemmel járó konfliktus, illetve szabályozási űr állhat fenn. Úgy véljük, hogy
a gépi tanulás a magánszférába való egyre látensebb és súlyosabb beavatkozást tehet lehetővé, úgy, hogy mindeközben a privacy by design előírásai nem
sérülnek. Jelen tanulmányunkban megvizsgáljuk, hogy a döntéstervezéssel
együttjáró fogyasztói manipuláció mikortól valósít már meg alapjogi (magánszféra) sérelmet. Végül javaslatot teszünk a privacy by design alapelvének
bővítésére, amelynek segítségével a döntéstervezéssel együttjáró, már jogtalan befolyásolás is kezelhetőbbé válhat.
Pursuant to the principle ‘privacy by design’, the data controller must
consider data protection aspects, and integrate appropriate measures both
before and during data processing, to comply with the GDPR and protect the
rights of data subjects. Although, as we presume, there might be a collision
between this principle and the growingly popular psychological method of
choice architecture. Taking advantage of the latter, more and more companies
are using nudges to orientate users’ behaviour towards choices of their own
interests. This could be claimed legal, but in fact, most of them consciously
rely on the indefinite wording of the regulation to verify their far from fair
practices. This conflict of privacy by design and nudging draws attention to
a regulatory gap, which makes possible the violation of fundamental rights,
since privacy and the freedom of choice are likely to be disregarded. In this
paper we examine the currently used and prevailing compliance mechanisms on the market. Also, we seek to demonstrate how major companies can bend the
definition of this fundamental principle, to disguise the usage of dark patterns and
the abuse of privacy. Thereafter, we elaborate on the possible correlation of choice
architecture and machine learning. In the last section we inspect which practices
amount to the actual violence of fundamental rights, and we propose a possible
advancement of privacy by design.