Május 25-én életbe lép az EU új adatvédelmi szabályozása, a GDPR (General Data Protection Regulation), amely a számítógépes adatvesztési botrányokat is megakadályozhatja. A leiratkozás után a felhasználó e-mail-címe véglegesen törlendő minden adatbázisból!
Tavaly több mint 246 millió alkalommal észleltek adathalász oldallátogatásokat, ezek 53 százaléka próbált pénzt kicsikarni a felhasználóktól, akik bár egyre tudatosabbak (csökken a próbálkozásoknak bedőlők száma), a cégektől származó adatszivárgást nem tudják megakadályozni. Az első igazán nagy botrány 2013-ban történt, amikor egymilliárd Yahoo-ügyfél adatai kerültek veszélybe. Tavaly ősszel az Uberről derült ki, hogy szándékosan titkolta el felhasználói elől: 2016 októberében közel 57 millió sofőr és utas adatai tűntek el. A botrányt tovább fokozta, hogy az Uber még fizetett is a hackereknek a támadás titokban tartásáért. Szakértők egyetértenek abban, hogy a május 25-én életbe lépő Általános Adatvédelmi Rendelet (GDPR) garantálja majd a személyi adataok biztonságát is. Jelenleg az unió 28 országában 28 féle adatvédelmi törvény van hatályban, ami komoly problémát jelent a több országban is tevékenykedő cégek számára. Ez a személyes adatok kezeléséről szóló európai uniós irányelvnek köszönhető, amely nem közvetlenül alkalmazandó, hanem a tagállamokra bízza, hogyan ültetik át a szabályozást. A GDPR azonban rendelet, így az összes tagállamban kötelező erővel bír, és csak akkor lehet eltérni tőle, ha rendelet azt megengedi. Az Európai Unió és a Tanács 2016-ban fogadta el a szabályozást, és bő kétéves felkészülési időt hagyott, de ez kevésnek bizonyult. A Microsoft ugyanis tavaly kimutatta, hogy a régióban a cégek 12 százaléka nem is hallott a rendeletről, Magyarországon pedig 30 százalék ez az arány. Míg a multinacionális és a komoly árbevétellel rendelkező vállalkozások sok időt szántak a feladatra, a válaszadók fele legfeljebb egy-két hónapot akar ezzel törődni, közel egynegyedük pedig alig kéthárom hét alatt szeretne megfelelni az új szabályoknak. Azoknak a cégeknek, amelyek eddig is betartották a magyar informatikai törvény szabályait, a rövid felkészülés még akár meg is oldható, tekintve, hogy a hazai szabályozás a legszigorúbbak közé tartozik az Európai Unióban, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) pedig már jelenleg is alkalmaz számos, az új rendeletbe beépített ajánlást, amelyet az Európai Bizottság adatvédelmi munkacsoportja, az Article 29 Munkacsoport fogalmazott meg. A NAIH felel a GDPR betartatásáért a lefolytatott ellenőrzések és a szabálysértők szankcionálása nyomán. A hatóságnak nem az a fő célja, hogy mindenáron bírságoljon, hanem hogy jogszerű adatkezelésre szorítsa az adatkezelőket. Ez a csoport minden olyan céget magában foglal, amely bármilyen módon kezeli a személyes adatokat, tehát gyűjti, tárolja, felhasználja, módosítja, továbbítja, illetve székhelye az EU-ban van, vagy a világ többi országából nyújt szolgáltatást az unió területén.
Azok a vállalatok akik csak most kezdenek el foglalkozni a GDPR-ral, mert a megfelelő tudással rendelkező szakemberek már mind el vannak foglalva. A kezdő adatvédelmi szakértőknek sajnos hiányzik a tapasztalata, amit ez a viszonylag nehéz és sok joganyag megkövetelne, egy egyszerű kisvállalkozó pedig még rosszabb helyzetben van. Nekik segítség lehet, hogy vannak fenn az interneten bizonyos mintaszabályzat-csomagok, amelyek ugyan messze nem elég részletesek, de azért segítik azok felkészülését, akik egy mintaszabályzat testre szabásával szeretnék a GDPR-ra való felkészülést megoldani. 670 ezer olyan közép- és kisvállalkozás működik Magyarországon, amelyeknek nincs milliós keretük a GDPR-felkészülésre, így ők kénytelenek az Internetről tájékozódni. Nekik jelenthet megoldást az ingyenesen és fizetős változatban is elérhető Adatsólyom, amely közérthető nyelvre fordította le a százoldalas jogszabályt, így a készítők remélik, hogy mindenki számára világos lesz: a GDPR minden olyan vállalkozásra és civil szervezetre vonatkozik, amelynek legalább egy munkavállalója vagy ügyfele, kapcsolata van, és nemcsak az e-maileket érinti, hanem a munkavállalók és a reménybeli munkavállalók, a felvételizők és a betegek, illetve a Facebook-játékokon részt vevők adatait vagy a partnerkapcsolatokat tartalmazó listákat is. Optimális esetben a felkészülés úgy kezdődik, hogy a cég feltérképezi, milyen adatkezeléseket végez, van-e például hírlevele, kamerarendszere, számlázóprogramja stb., majd megvizsgálja a célhoz kötöttség elve miatt, hogy szükséges-e egyáltalán ilyen módon gyűjtenie az adatokat. Ha ugyanis el lehet érni más eszközökkel ugyanazt az eredményt, a GDPR tiltja az adatgyűjtést. Tehát egy rendezvényen résztvevők számára tombolával is lehet tárgynyereményeket kisorsolni, nem feltétlenül szükséges a név megadása. Ugyanígy egy boltban nem kell kamerarendszer, ha a drága árukat el lehet zárni egy szekrénybe, amit csak az eladók nyithatnak ki, vagy lehet áruvédelmi kapukat telepíteni élőerős megerősítéssel. Ha indokolhatóan szükséges az adatgyűjtés, akkor az adatkezelés terjedelmének és időtartamának vizsgálata következik. Egy születésnapi üdvözlethez például elég a hónapot és napot megkérdezni, valamint nem mindegy, hogy mennyi ideig tárolódnak a saját szerveren vagy a felhőben az adatok. Ma tipikus eset, hogy aki egyszer bekerül egy adatbázisba, azt nem lehet törölni. Május 25-től nagyon komoly időbeli szabályok lépnek életbe, így például az önéletrajzokat elég a próbaidők végéig megőrizni, mert úgyis új pályázat készül az esetlegesen újra megüresedett helyre. A GDPR új jogalapokat is meghatároz az adatkezeléshez, amelyek segítik az adatkezelőt. Jelenleg valaki vagy hozzájárul adatainak kezeléséhez, vagy egy jogszabály rendezi a kezelés kérdését. A GDPR ezeken túlmenően ismeri a jogos érdek és szerződés teljesítéséhez szükséges adatkezelés jogalapjait is. Így egy vízművekkel kötött szerződésben ma még hozzá kell járulnia az ügyfélnek az adatkezeléshez, a GDPR után viszont feltételezhetővé válik, hogy a szándék fennáll, tekintve, hogy az ügyfél szerződést szeretne kötni a céggel. A probléma, hogy a GDPR számos szabályából hiányzik a jogalkalmazói gyakorlat, így sokszor a szakértők is találgatnak, mi lehet a megfelelő értelmezése egy-egy gumiszabálynak. Az önéletrajzok őrzésének időtartama például lehet három vagy hat hónap, de akár egy év is. Nagyon fontos a megfelelő tájékoztatás is, sok cég ezen látszik majd elbukni. Új adatkezelési tájékoztatóra van szükség, amelyhez az interneten található jobb-rosszabb minták kevesek, mivel tételesen kell végigvenni a jogszabályt. Május 25-től kevés kijelenteni, hogy a cég „bizalmasan kezeli az adatokat", pontosan le kell írni, ki az adatkezelő, milyen célból kezelik az adatokat, mennyi ideig, milyen jogalappal, milyen jogorvoslati lehetőségek vannak, milyen jogok illetik a felhasználót stb. Ugyanez a helyzet a kamerarendszerekkel: már a kirakatban figyelmeztetni kell a vevőket, hogy az üzletben vagyonvédelmi kamerarendszer működik. A tájékoztatáshoz tartozik például az is, hogy a hírlevelekre, egyéb e-mailekre feliratkozáskor az ügyfélnek aktívan kell hozzájárulnia a levélküldéshez, tehát többé nem jelenhet meg úgy egy űrlap, hogy a hírlevéldoboz ki van pipálva, azt a feliratkozónak kell elvégeznie. Ha pedig le akarna iratkozni, a GDPR szerint jól látható helyen kell megtalálnia a megfelelő linket, nem lehet ezentúl az apróbetűs résszel játszani. Leiratkozás után a felhasználó e-mail-címe véglegesen törlendő minden adatbázisból, így praktikus, ha a folyamat automatizált. A webáruházak még gyorsabban kell hogy töröljenek minden vonatkozó adatot, külön hozzájárulás hiányában ugyanis rögtön az ügylet befejeztével már tilos őrizni azokat. Külön fel kell hívni a vevő figyelmét ugyanakkor arra, hogy ha nem egyezik bele adatainak tárolására, akkor a jelenleg természetes rendszerek, mint a rendelés követése, a korábbi megrendelések megtekintése vagy újrarendelése, nem lesznek elérhetők. Ha a vásárló hozzájárul az adatkezeléshez, akkor sem szabad kereskedni az adatbázissal, tehát egy cipőwebáruház nem adhatja el ügyfelei adatait egy ugyanolyan vásárlói körrel rendelkező ruhaboltnak.
Apró részletek
Ha ezeken a pontokon végigmegy egy vállalkozás, akkor körülbelül a 80 százalékát teljesítette a GDPR-nak, de számos más részletszabálya is van a rendeletnek. Ilyen például, hogy ha a cég bármilyen adatfeldolgozót igénybe vesz az adatkezelés nyomán, akkor azokat csak átvilágítás vagy szerződéskötés nyomán alkalmazhatja, a cég felel ugyanis minden adatkezelési hibáért, amit az adatfeldolgozó elkövet. Ez a gyakorlatban elég problémás lehet, mivel a bankok és a multinacionális vállalatok meg tudják oldani az átvilágítást, a kisvállalkozások azonban azért fogják inkább a nevesebb hírlevélküldő szolgáltatást igénybe venni, mert feltételezik, hogy egy nagy céggel már nem lehet probléma. A modern technológiák, mint a megfigyelés, a nyomkövetés, a mobilalkalmazások, az okosotthon, az épületautomatizálás sok szenzitív adat kezelésével járnak. Ezért lényeges változás a jelenlegi szabályokhoz képest, hogy az ezzel foglalkozó cégek adatvédelmi hatásvizsgálatot kötelesek elvégezni, amelynek során dokumentálni kell az adatbiztonsági intézkedéseket, és a kockázatértékessel megbecsülni, hogy mi az adatkezelés megfelelő szintje. Fontos emellett nemcsak a jogi oldal szabályaira figyelni, hanem az adatok fizikai védelmére is, akár interneten, akár papírlapon. Szükséges biztosítani, hogy más ne férjen hozzájuk, ne vesszenek el, ne sérüljenek, ám az ügyfél mindig megtekinthesse őket. További biztonságot ad az adatvédelmi tisztviselő, akit a közfeladatot ellátó szervezeteknek, a nagy számban szenzitív adatokat kezelőknek és a megfigyeléseket végző cégeknek kötelező kineveznie. Ügyféljogok A GDPR igyekszik a minimálisra szorítani az adatkezelést, és minél nagyobb döntési szabadságot adni a magánszemélyeknek. Így ügyféloldalról a tájékoztatáshoz való jog azt jelenti, hogy egyszerű nyelvezetű, könnyen fellelhető információval kell szolgálnia az adatkezelőnek. Az adatkezelés lényeges szempontjairól már a személyes adatok felvétele előtt, de legkésőbb az első lehetséges időpontban. Ehhez kapcsolódik a hozzáféréshez való jog, amely szerint a magánszemély bármikor kérhet tájékoztatást arról, hogy történt-e rá vonatkozó adatkezelés, és ha igen, milyen adatairól. Helyesbítést kérhet, ha azok pontatlanok, vagy felszólíthatja az adatkezelőt törlésre. Ha az adatkezelő hozzáférést engedett harmadik személyeknek a törölni kívánt adathoz, akkor a harmadik személy adatbázisából is törölni kell a vonatkozó információkat
Lehetőség van az adatkezelés korlátozására is bizonyos esetekben, például jogvitás helyzetekben, vagy ha az adatkezelésre már nincs szükség, de az adatalany mégis szeretné, ha bizonyos feltételek mellett tovább meglennének az adatai. Fontos újítás a telefonszámoknál megszokott adathordozhatósághoz való jog is, amely szerint az ügyfél kérheti saját kezelt adatainak listáját DOC, PDF stb. formátumban, és jogosult ezt egy másik adatkezelőnek továbbítani. Az e-mailes címjegyzék is ebbe a kategóriába sorolható, így az e-mail-címtárak könnyen átvihetők egyik szolgáltatótól a másikhoz.
Biztonsági pajzs
Szakértők szerint a komoly eurómilliók a Szilícium-völgyi cégeket is jobb adatvédelmi intézkedésekre fogják sarkallni. Már létezik a Privacy Shield, az ezt aláíró cégek vállalják, hogy a szigorú uniós szabályoknak megfelelően kezelik az adatokat, és ehhez átesnek egy előzetes adatkezelői vizsgálaton. Ezután, ha egy uniós adatkezelőnek továbbítania kell az ügyfelek adatait az aláíróhoz, például a Facebookhoz, a Google-höz vagy az Amazonhoz, akkor nem kell megvizsgálnia, hogy biztonságosak-e, mert ezt a Privacy Shied garantálja. Az Apple jelenleg még nem írta alá az egyezményt. Látható, hogy a GDPR-ra felkészülés nem egyszerű falat, még az utolsó pillanatban is megéri tenni az ügyért, hogy az igen borsos bírságokat minimalizálni lehessen. A joggyakorlat kialakulásával pedig remélhetőleg egyre több vitás kérdés is megoldódik. (PC WORLD alapján)
