GDPR sztori

Közel két éve telefonon keresett meg az Aegon Prémium befektetési tanácsadójaként bemutatkozó illető, aki név szerint keresett, hogy pénzügyi megoldásokat kínáljon. Mivel nem a legjobbkor telefonált és amúgy sem érdekelt különösebben az ajánlata, hamar megszakítottam a beszélgetést, de utólag szöget ütött a fejemben: nekem semmi közöm sincs az Aegonhoz.

Azóta próbálom jogállami eszközökkel kideríteni, hogy honnan volt meg a telefonszámom a fent említett szervezetnek. 

  • Mikor másodszor hívtak megkértem a call centeres hölgyet, hogy adjon egy adatkezelési számot, illetve tájékoztasson az adatkezelés jogalapjáról (nem tette meg, viszont azt mondta, hogy kitörli az elérhetőségeimet a rendszerből)
  • Felkerestem a NAIH-ot, az ügyfélszolgálatos tanácsaiért
  • Ennek nyomán levelet írtam az Aegon adatvédelmi tisztviselőjének, a GDPR-ban meghatározott 30 napon belül még egy automata válasz sem érkezett, azóta se semmi.
  • Hatósági eljárást kértem tehát a NAIH-tól, akik el is indították ezt. Az eljárás lefolytatásának vállalt határideje két hónap. 
  • Két hónap után... ismét hívtak az Aegon Prémiumtól, ahol ismét ismertettem a problémámat és ismét információkat kértem, az adatkezelés jogalapjára, amiket a GDPR-ra hivítkozva nem adtak ki
  • Kiegészítettem a hatósági eljárást a történtekkel, amikre az a válasz érkezett, hogy az ügy folyamatban van. 
  • Azóta nyolc hónap telt el, átlag kéthavonta kerestem a NAIH-ot, az ügy folyamatban van. 
  • Eldöntöttem, hogy a nyilvánossághoz fordulok, írtam az egyik legismertebb hazai online hírportálnak, kettőt a szerkesztőségi címre, egyet egy random újságírónak egy-egy hét elteltével, egyikre sem érkezett semmilyen válasz. 

Nem különösebben érdekel, hogy ez általános gyakorlat-e, nem maga a hideghívás ténye, ami igazán az elevenembe vág, hanem az ami különösen érdekel, hogy egy ilyen kis horderejű problémát hogyan lehetséges megoldani az államot átívelő gépezettel. 

Ha bárkinek van még ötlete, hogy mit lehet csinálni, igazán kíváncsi volnék rá. ENSZ? Hága? Szerintetek mi legyen a következő lépés? 

( zeller | 2021. 11. 10., sze – 11:41 )

Szerkesztve: 2021. 11. 10., sze – 11:46

Van-e valamilyen biztosításod? Bárhol, bárkinél (pl. nagy értékű műszaki cikkre - igen, amit öt éve kötöttél a laptopra, az is számít). Adtad-e meg az adataidat független alkuszcég munkatársának? Mert ők n+1 biztosító nevében eljárhatnak az ügyfél felé.

Érdekes módon nekem több biztosítónál, alkuszcégnél ott vannak az elérhetőségeim (telefonszám, illetve cégre szabott e-mail cím), és ha volt is extra hívogatás, kulturáltan meg lehetett oldani, hogy ajánlatokkal ne keressenek meg - az persze egyértelmű, hogy nem a "honnan van a telefonszámom gédépéer és naih a nyakatokba de izibe" felütéssel indítottam a beszélgetést.

Na akkor még egyszer... Ha egy független alkusz cégnél ott van az elérhetőséged, akkor ők simán kereshetnek bármelyik olyan biztosító nevében, akikkel kapcsolatban állnak. De ha van GFB/Casco biztosításod, azzal is odakerülhet a biztosítóhoz a telefonszámod, és ha nem figyeltél oda :) amikor megadtad, akkor bizony ott figyel mellette a "marketing célú megkeresés tiltva=nem" beállítás. Nekem is volt/van ilyen telefonszámom, engem is hívogattak - kulturált, normális hangnemben beszélve rendezhető volt a dolog - azóta nem hívnak, kizárólag a meglévő szerződéseimmel kapcsolatban, illetve akkor, amikor egyik-másik átdolgozásával/átkötésével én is, meg ők is jól járnak.
 

Kereshetnek, persze. Egy szóval nem kifogásolom azt, hogy kerestek. Kulturált és tárgyilagos voltam minden beszélgetésemben, hozzáteszem amikor a harmadik megkeresésnél a területi képviselőig jutottam, ő is felvázolt lehetséges forgatókönyveket, hogy miképp kerülhetett be a számom.

De nekem a lényeg az volna, hogy ez egy számomra visszakövethető és transzparens módon történjen.

Itt az érdekesség szerintem nem maga a hívássorozat. Hanem az, hogy a pici horderejű problémák hogyan kallódnak el, hogyan nem jut érvényre egy olyan EU-s törvény, amit kötelező volna betartani a vállalatnak, kötelező volna érdemleges módon ellenőrizni a hatóságnak és egy jól működő rendszerben nyomást gyakorolni a szervekre a sajtó által. 

Nem a probléma a fontos, hanem azt akartam szemléltetni, hogy ezen a téren sem működik a rendszer.  

Öt éve, ahogy írtad, kötöttél egy biztosítást a notebookodra. Azzal kapcsolatban simán ott lehet az ügyféladataid között a telefonszámod, sőt akár az _akkori_ nyilatkozatod alapján mellette az az infó is, hogy hívható vagy nem csak az élő szerződéssel/szerződésekkel kapcsolatban.

( gelei v | 2021. 11. 10., sze – 11:44 )

ENSZ? Hága? Szerintetek mi legyen a következő lépés? 

Szerintem az legyen a következő lépés, hogy letiltod az Aegon számát. ENSZ? Hága? Te jó ég... :)

( kalvi | 2021. 11. 10., sze – 11:46 )

Bennem sokáig élt az a hit, hogy az állami gépezetek lassan, de az ért működnek. De nem. Valahol ott fekszik a levelem, emailem, nyomtatványom ami a büdös életbe nem lesz megoldva vagy nem kapok rá választ. Simán kihasználják azt, hogy egy állampolgárnak nincs annyi energiája, hogy utána járjon -akár a te ügyednek.  Őszintén, miért ne szarja le? Ezt látja. Valaki vagy valamilyen szervezet közérdekű adatigényléssel fordul egy hivatalhoz a határidőn jóval túl válaszol ha egyáltalán, hogy egy kiegészítést még bekérjen. Így szóval vagy tartva, de addigra megszületett már a gyereked is, meg el is költöztél,. Elengeded.
De hajrá jó hogy idáig eljutottál ez jó példa számunkra.

A kifejezes amit keresel "Autonóm Államigazgatási Szerv" es igen nincs alarendelve a kormanynak, (Mivel torvenyek szerint mukodik az orszaggyulesnek van alarendelve, elmeletileg) , de ez a 2/3 eseten csak masni a szaron.

Every single person is a fool, insane, a failure, or a bad person to at least ten people.

( wladek1 | 2021. 11. 10., sze – 12:31 )

Az Aegon felugyeleti szerve az MNB.

Error: nmcli terminated by signal Félbeszakítás (2)

( carlcolt | 2021. 11. 10., sze – 13:35 )

Az igazsagszolgaltatas szemszogebol ez egy "alacsony karosultsagi merteku" problema - ennek megfeleloen depriorizaljak. Mert surgosebb valami eroszakosat vagy valami nagyosszegu hamisitast megtargyalni (amivel gondolom alapvetoen te is egyetertenel, ha nem pont a te ugyed lenne ez/ilyen). Hiaba szegtek szabalyt azzal, hogy elvettek 5 percet vagy akar 2 orat az eletedbol, elobbre priorizaljak azokat az ugyeket, ahol a karosulas (varhato) merteke nagyobb. Igy ez az ugy marad a backlogban. Ettol meg komolyabb ugyekre, vagy gazdagok/protekciosok altal eloretolt ugyekre van ido, es ezert abban az esetben mukodik az igazsagszolgaltatas.

Hagaban ugyanez a gondod lenne. Az ENSZ meg ennel is kevesebbet segitene.

De meg ha celba is ersz, annyit ersz el, hogy az Aegon es akitol ok vettek az adatot kap egy birsagot, amit az allamnak befizetnek: te megy egy fillert se, vagy minimalis penzt ha meg ezekutan elinditasz egy _ujabb_ eljarast.

Vegigjartam parszor, es latva, hogy az igazsagszolgaltatas ilyen esetekben ugy mukodik, mint egy vallas, orosz modszerre valtottam. Keresek a spammelo/scammelo domainjen egy masodjara is lassu api endpointot, es while true, get parameterben meg lathatjak a logokbol, hogy ki akar leiratkozni. Mukodik.

Az igazsagszolgaltatas szemszogebol ez egy "alacsony karosultsagi merteku" problema

ha gdprt sértenek, akkor az éves bevétel 4%-a bünti nem biztos hogy olyan alacsony. itt a kérdező kérdése az, hogy lehet-e tudni, hogy gdpr sértés történt-e. eddig nem tudni.

nincs aláírásom

Az a maximalis buntetes a "tobbedik keres ellenere meg sem probaltak" jellegu sok pontot sulyosan serto minositett esetekre. Itt egy ember allitja, hogy ismeretlen tettes ellopta az adatat, masik ismert szereplo pedig jogtalanul felhasznalja keres ellenere is. Ilyen "enyhe esetert" (a bizonyitott/bizonyithato reszt tekintve) az EU-ban senki nem fog millios birsagot kiszabni.

( BlinTux v | 2021. 11. 10., sze – 14:25 )

Hát még nem tanultátok meg?
Ebben az országban (meg több másikban is) addig számítasz még felrajzolsz egy X-et a szavazólapra. 
Utána, hogy neked van valami gondod, bajod, az a büdös rossebet se érdekli többet. 

Amúgy meg hagyd a 'csába, én az ilyeneket blokklistára teszem, aztán többet az életbe nem életben nem kapok több hívást, vagy levelet az adott számról/e-mail címről. 

( lcsaszar v | 2021. 11. 10., sze – 15:54 )

Van valami olyan a GDPR-ben, hogy az adatkezelés jogalapja lehet "jogos érdek". Ez konkrétan üzleti érdeket jelent. Amibe bármi belefér. Üzleti érdekből megkereshet a biztosító, hogy szerződést kínáljon neked. Az pedig a te hibád, ha hozzájutott a telefonszámodhoz, mert valahol, valakinél beleegyeztél, hogy ők vagy üzleti partnerük azt felhasználja direkt marketing céljára. Csak már nem emlékszel, hogy kinek adtad oda.

"Az pedig a te hibád, ha hozzájutott a telefonszámodhoz"

Gyonyoru iskolapeldaja az aldozathibaztatasnak. Gratulalok.

Ha feltorik a Telekom vagy a Vodkafon vagy a Telenor rendszeret es ledumpoljak a telefonszamokat nevekkel, akkor az a hibas, aki "odament par evvel azelott szerzodest kotni"?

A noi rokonaid megeroszakolasakor is ilyen aldozathibaztato fasz lennel?

"Az pedig a te hibád, ha hozzájutott a telefonszámodhoz, mert valahol, valakinél beleegyeztél, hogy ők vagy üzleti partnerük azt felhasználja direkt marketing céljára."

Allitas: beleegyezett

Rezolucio: hamis

Nincs itt semmi szovegertesi problemam: ellentetben veled aki az OP blogposztjabol annyit se fogott fel, hogy:

  1. nem egyezett bele
  2. kerte kulon, hogy ne kezeljek a "beleegyezett szemelyek listajan"

Ez minimum ket ponton ellentmond azzal az allitassal, amivel szemben nekem szovegertesi gondjaim voltak, mert csak a mondat elso felet ideztem/emeltem ki, azaz "biztosan nem olvastam el a masik felet" (de).

Ez a "nem elég egy mondatnak az első felét elolvasni" es "Szövegértés" eleg nagy ongol volt: mert te a blogbejegyzesbol kb. semmit nem processzaltal erto olvasas cimszo alatt. A kiindulasi allitasod maris tagadja az ott reszletezett allitast. Raadasul gyakorlatias ellenpeldat is hoztam.

Ezzel együtt éppen a GDPR alapján _kötelességük_ lenne, hogy kérés esetén tájékoztatást nyújstanak az adatkezelésről, ill. hogy kérés esetén megszüntetsék az adatkezelést. (De javítsatok ki.) Az, hogy ők éppen a GDPR-ra hivatkozva tagadták meg, hogy tájékoztatást adjanak neki az ő adatai kezeléséről (Maf?), az kb. egy korrajznak is elmenne.

( fezo | 2021. 11. 10., sze – 21:31 )

Az ilyen problémákat (ideg és idő hiányában) én sokkal egyszerűbben oldom meg: első hívás után a telefonszám megy a tiltólistára, többet nem keresnek. Ha jobb kedvem van, felveszem, beleszólok, aztán leteszem a telefon magam mellé, egy idő után az illető rájön magától, hogy szórakoznak vele és bontja a vonalat. Ilyenkor a rendszerben megjelölnek, hogy komolytalan vagy, nem beszámítható, stb. Jobb esetben azonnal törlik is a számodat az adatbázisból.

Minden hulla a Mount Everesten valamikor egy nagyon motivált ember volt.

( karsany | 2021. 11. 12., p – 11:56 )

Szerkesztve: 2021. 11. 12., p – 12:13

Szinte ugyanez a sztori, Aegon Prémium, 2021. január. - Annyi módosítással, hogy nem szólítottak néven (vagy nem emlékszem rá).

A hívás után emailben kértem az adatvedelem@aegon.hu-n egy GDPR adatlekérdezést és egy törlés kérést.

Másnap jött automata üzenet, majd 20 napra rá hivatalos válasz, melyben megosztották a fogadott hívásom részleteit, és megnyugtattak, hogy nem kezelnek semmit. Úgy gondolom, hogy esetemben megfelelően jártak el.

Ami érdekesség: az adatok forrásának ezt az oldalt jelölték meg: https://whosenumber.info/hungary/telenor/3620/1234

 

De személyesen problémásnak tartom az ilyen jellegű adatforrás használatát/megjelölését. Más esetekben is mondták már, amikor rákérdeztem, hogy "véletlenszerűen generált telefonszám".

( zeller | 2021. 11. 12., p – 13:06 )

"Más esetekben is mondták már, amikor rákérdeztem, hogy "véletlenszerűen generált telefonszám"." - CC-kből van olyan, hogy fognak egy számmezőt, és végighívják...

A cc-s kimenő hívásokat is automatizálják, és ha felveszi a hívott fél, a pléhmaca "mutatkozik be", és mond néhány mondatot, miközben a hívás "másik végét" egy szabad kezelőhöz kapcsolja. Ha jól van hangolva a rendszer, akkor a hívott ebből gyakorlatilag semmit nem vesz észre - ha nem, akkor meg a pléhmaca után "munkatársunk kapcsolásáig kérjük türelmét" jellegű bemondást kap...

( Bence54 v | 2021. 11. 13., szo – 10:46 )

Mi van akkor, ha személyes üzenetben tárod a problémát az adatvédelmi tisztviselő elé? A neve kikereshető, és elég jellegzetes ahhoz, hogy a facebookon az első találat legyen. (Mármint tényleg, kipróbáltam.)

Az a tapasztalatom, hogy szervezetekkel, cégekkel nem lehet kommunikálni, de emberekkel igen. 

maganszemely honnan kapja a fizeteset? Amibol megel, mint maganszemely. Ha az a hely kap egy profitbol levagodo nagyobb birsagot GDPR sertes miatt, az hol nem erdekli idealis esetben ezen maganszemelyt?

Ez a maganszemely mikor jar jobban? Ha tud egy olyan allitas letezeserol, amirol itt parszazan mar velemenyt alkottunk (sot, bizonyos szemszogbol nezve szerencse kerdese, hogy nem kerult eddig olvasottabb ujsagba), vagy ha senki nem mutatja ezt meg neki, mert o maganszemely, munkaja soran meg nem talalkozott a blogbejegyzessel?

Attól még ő ott, illetve mindenhol, ami nem a céges elérhetőségét használod csak mint magánszemély szerepel. Persze, messengeren dobhatsz neki egy üzenetet, hogy ezt meg azt találtál, és kéne vele valamit kezdeni, de a minden szempontból szabálykövető válasz az az lesz, hogy a cég erre kijelölt hivatalos elérhetőségén jelezd a problémát.

Persze, nem is arra gondolok, hogy fű alatt meg okosba', hisz itt épp az lenne a cél, ha jól értem, hogy kiderítsük, mit tehet _hivatalosan_ az átlag ember, nulla e az érdekérvényesítő képessége. Én olyan megoldáson gondolkoztam, ahol a közvetlen kontaktot shortcutként használod, de alapvetően maradsz a hivatalos úton. 

Mondok egy példát: oda vissza leveleztem fél évig a polgármesteri hivatallal egy párezer forintos összeg miatt, amivel tartoztam és jogosan kérték tőlem. Mindig jött valami érthetetlen ilyenolyan csatolmány, ide jelentkezz be, ott indíts megbízást, általában hibába ütközött és nem tudtam mit tenni, pedig szerettem volna rendezni. Egyszer bementem személyesen, külön kértem, hogy őt keresem, aki a fejlécben szerepel a papíron. Elmagyarázta, adott egy számlaszámot, utaltam, 20 perc és kész. Fél év hivatalos pingpong vs 20 perc emberi kommunikáció.