Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

Személyes adataink védelmi pénze, azaz a kötelező uniós adatvédelmi szabályok

2016. november 04., péntek 17:19

Október 13-án Tóth Péter Barnabástól hallgathattunk előadást a Európai Bizottság által nemrég elfogadott törvényi módosításokról, ami a GDPR-t, azaz General Data Protection Regulation törvénycsomagot érinti, főként a személyi adatok védelme szempontjából. Nem könnyű elveszni az EU által elfogadott korábbi és mostanihoz kapcsolódó jogi szabályozásokban, az eligazodásban egyrészt segítséget jelenthet az Európai Bizottság hivatalos ezzel kapcsolatos magyarázó oldala valamint a még inkább olvasóbarát Wikipedia-szócikk.

EU GDPR

 

Amikor személyes adatok kerülnek szóba, adja magát a kérdés, hogy mit is tekintünk lényegében személyes adatnak? [Az elmúlt néhány évben Magyarországon is jelentős változás történt ezen a téren azzal, hogy au ún. különleges adatok körét gyakorlatilag a személyes adatok körébe gyúrták bele. ] Egyszerűsítve, jogi szempontból minden olyan adat személyes adatnak tekinthető, ami egy személy kilétét azonosíthatóvá teszi, azzal összefüggésbe hozható. Belegondolva könnyen belátható, hogy eszerint egy adatoktól és metaadatoktól hemzsegő világban az értelmezés szerint több esetben már nehezebb megállapítani, hogy mi nem képzi a személyes adatok körét.

Ami az internetes közeget illeti, nem teljesen újdonság, hogy egy szervezetnek, szolgáltatónak, mint adatkezelőnek, függetlenül attól, hogy a szervereit az EU területén belül vagy azon kívül üzemelteti, abban az esetben, ha Európai uniós állampolgárok adatait is kezeli, meg kell felelni az EU-ban érvényes kapcsolódó adatvédelmi elveknek. A legújabb, jelentős változásokat hozó adatvédelmi irányelv ugyan csak 2018. május 25-én ép hatályba, ez számos szervezet számára még mindig túl közeli időpont lehet. A legújabb szabályozás szerint abban az esetben, ha az EC vagy adott EU-s ország ellenőrző szerve valamilyen szabálytalanságot talál a személyes adatok kezelésével kapcsolatban, akár a cég teljes árbevételének 2-4%-ára is bírságolhatja a céget, aminek már komoly visszatartó ereje van, ugyan nem világos, hogy például Magyarországon a magyar állampolgárok szabályos adatkezelésének ellenőrzésére feljogosított NAIH mennyire tud ennek majd érvényt szerezni.

Ami jelentős változást jelent, a teljes törléshez való jog további szigorítása, ami a híres-hírhedt felejtéshez való jog kiegészítéseként jelenik majd meg. Az előadáson ugyan nem került szóba, de a látszattal ellentétben nem a legbölcsebb dolog teljhatalmat adni a felhasználóknak a személyes adatai fölött, cégeket kényszeríteni ennek megvalósítására. Mint ismeretes, a Google-hez kapcsolódó „felejtéshez való jog” érvénybe lépésekor annyi bűnöző küldött kérést a Google felé azzal, hogy távolítsák el őket azokat a találati listából, hogy alig tudtak a kérésnek eleget tenni, ráadásul az egész szabályozás megkerülhető, hiszen az ilyen módon eltávolított keresési találatok csak az EU országaiban tűnnek el a keresési találatok közt, a tengeren túlon például már megjelennek a keresési találatok közt – vagy ha valaki technikai módszerrel nem-EU-s országba varázsolja magát, majd onnan indít keresést.

Másrészt a törvényhozói akarattal alighanem messze nem harmonizál több webes szolgáltatás mostani data retention policy-ja. Példaként emelném ki, hogy remek kérdés, hogy a Facebook, mint a világ egyik legnagyobb adatkezelője hogyan fog megfelelni a törvényi szabályozásnak, amikor még a most hatályos felhasználási feltételei is igencsak elgondolkoztató passzusokat tartalmaznak, amik közül a téma iránt érdeklődők körében talán ez szúrt szemet a legtöbbeknek:

"We store data for as long as it is necessary to provide products and services to you and others, including those described above. Typically, information associated with your account will be kept until your account is deleted. For certain categories of data, we may also tell you about specific data retention practices."

Azaz a törlést követően is megőriznek bizonyos adatokat „amíg arra szükség lehet”.

Szolgáltatói oldalról az ilyen passzusok logikusak, mi több, éppen a szolgáltatás biztonságos üzemeltetése érdekében szükségesek. A Facebook, a Google és a Twitter egyaránt fenntartja magának a jogot, hogy egy-egy felhasználót kizárjon a szolgáltatásból akár a fiókja felfüggesztésével, akár annak törlésével. Abban a hipotetikus esetben, ha egy felhasználó rommá spammelte a szolgáltatást vagy más, meg nem engedett tevékenységet végzett, ezzel kapcsolatban a szolgáltató figyelmeztette, majd az account törölve lett, jelen állapot szerint ha a felhasználó ugyanazzal az email címmel vagy mobilszámmal próbálna regisztrálni a szolgáltatásba, ezt a szolgáltatás nem fogja engedélyezni. Érthetően azért, mert a hivatkozott data retention policynak megfelelően a felhasználási feltételeket súlyosan megszegő felhasználó email címét, mobilszámát és ki tudja még, milyen azonosítására alkalmas adatait továbbra is tárolják. Teljesen érthető biztonsági szempontból. Ha viszont a törvényi erejű módosítás kiterjed az ilyen social media szolgáltatások adatkezelési gyakorlatára is, ez nyilván nem lesz kivitelezhető, hiszen a törlés az én értelmezésem szerint tényleges törléssé válik, azaz az újra regisztrálni próbáló renitens felhasználó sokkal nehezebben, esetleg sehogy sem lesz azonosítható.

Az európai GDPR továbbá ott is finomít a korábbi gyakorlaton, hogy elvben a felhasználó az összes, vele kapcsolatos adatot kikérheti, ugyan ez számos technikai kérdést vet fel.

Amit a legújabb szabályozás ugyancsak módosítani fog, hogy a beazonosítható felhasználókról csak a határozott hozzájárulásukat követően készíthető bármiféle profil – például a fogyasztási szokásokról - illetve tilos lesz ezeket hozzájárulás nélkül automatikus döntéseket véghezvivő rendszerbe továbbítani.

A törvényi erejű szabályozás ezen kívül kitér rá, hogy egy fejlesztés, tesztelés vagy karbantartás alatt álló rendszer esetén deklarálja, hogy a tesztadatokat álnevesíteni kell, anonimizálni, azokat olyan formába hozni, de ennek technikai megvalósítását már nem tették egyértelművé a törvényalkotók.

Ugyan több éve a nagyobb szolgáltatások körében már gyakorlat, de a jövőben egy-egy, felhasználó által megadott információ semmiképp sem lehet alapértelmezés szerint publikus, ami komoly anomáliákat okozhat olyan szolgáltatások esetén, mint például a mikroblog-szolgáltatások, hiszen a mikroblog szolgáltatásokba nyilván azzal a céllal regisztrálnak a felhasználók, hogy minél egyszerűbben, minél kevesebb alapértelmezett beállítás megváltoztatása mellett tudjanak tartalmakat megosztani minél szélesebb körben.

Az új szabályozás szerint a szervezeteknél ún. adatvédelmi tisztségviselőt kell kinevezni adatvédelmi felelősként, akire az adatvédelmi hatásvizsgálatok rendszeres elvégzése is feladata lesz.

Igencsak szigorú, több más országban már létező szabályozásként a GDPR-be került, hogy egy-egy informatikai biztonsági incidenst az illetékes adatvédelmi hatóság felé és az érintett végfelhasználók felé egyaránt jelenteni kell, méghozzá 72 órán belül. Az incidens konkrét kivizsgálásakor pedig az érintett szervezetre hárul az a bizonyítási kötelezettség azzal kapcsolatban, hogy valóban state-of-the-art módon járt el az adataik védelme érdekében, hogy ez pontosabban mit is jelentene, ismét csak nem igazán derül ki a több, mint 80 oldalas dokumentum alapján.

Az új szabályozás alapján várható, hogy az eddiginél jóval nagyobb teret kap a gyakorlatban a DLP, a logolás és logelemzés, a titkosítás valamint az, hogy a rendszereiket a piaci szereplők eleve úgy fogják tervezni minél mélyebbről, hogy az megfeleljen a legújabb EU-s elvárásoknak.

Megjelent: 772 alkalommal
Értékelés:
(0 szavazat)
A hozzászóláshoz be kell jelentkezned

Adminisztráció

Regisztrációt kizárólag ISACA tagoktól fogadunk el, így a regisztrációs folyamat során felkérjük Önt, hogy ISACA tagsági számát küldje meg számunkra!
Köszönjük!