Tech

Jövőre bajban leszünk az adatvédelemmel

Az EU újrafaragja a személyes adatok védelméről szóló szabályozást, a cégek azonban sokszor azt se tudják, mit kellene változtatniuk. Pedig akár egymillió eurót is fizethetnek majd a hibákért.

A személyes adatok védelme az internet, a közösségi hálózatok és a felhőszolgáltatások korában kifejezetten fontos terület. Manapság már mindenhol azzal kezdődik az “ismerkedés” egy webes szolgáltatóval, hogy megadjuk az adatainkat, és persze használat közben sem lehetünk biztosak abban, hogy a vállalat mit is tárol el rólunk (és persze kinek adhatja tovább az így megszerzett információkat).

Az Európai Unióban a személyes adatok védelmével kapcsolatban most még egy eléggé elavultnak számító, 1995-ből eredeztethető szabályozás van hatályban, azonban érkezik az átfaragott változat, amely jóval szigorúbb lesz. Legfontosabb célja, hogy a felhasználók és a cégek bizalmát is növelje az informatikai szolgáltatókkal szemben. A legnagyobb változás az az elv, mely szerint egy biztonsági incidensért, adatszivárgásért, jogszabálysértésért megosztva felel az adatot birtokló vállalat és az adatokat tároló felhőszolgáltató. Ráadásul már nem csak közvetlenül az európai szolgáltatók vonhatók felelősségre, hanem olyan tengerentúli vállalatok is, amelyek uniós állampolgárok adatait is kezelik.

A következmények oldalán a legfontosabb változás a büntetés mértékének megemelése. Az eddig kissé szabadosan kezelt téma riasztóan szigorodott, a legmagasabb kivethető bírság egymillió euró, illetve az elmarasztalt vállalat éves bevételének 2 százaléka.

Egy kutatás arra is rámutat, hogy a szigorítás ellenére igen kevesen úsznának meg büntetés nélkül egy incidenst: száz európai szolgáltatóból csupán egyetlenegy felel meg az új elvárásoknak a felhő alapú megoldások biztonságával foglalkozó Skyhigh Network felmérése szerint. Az adatokat kezelő vagy tároló vállalatok leginkább az adatkezelési folyamatok dokumentálásával, az adatvédelmi incidensek jelentésével, a titkosítási folyamatokkal, valamint a felhasználó által igényelt adattörlések bevezetésével vannak elmaradva. Ezek közül a legnagyobb gondot az utolsó pont okozza, ami mostanában egyre népszerűbb téma. A “felejtés jogának” lényege, hogy bárki kötelezheti a szolgáltatókat arra, hogy töröljék a rá vonatkozó, náluk tárolt adatokat. Legutóbb a Google változtatta meg ennek megfelelően adatkezelését és keresőmotorjának működését – ám az európai vállalatok a jelek szerint egyáltalán nem állnak készen hasonló változtatásokra.

A minősített adattörléssel foglalkozó Blancco magyarországi szakértői például arra figyelmeztetnek közleményükben, hogy az irányelv hatálya minden szolgáltatóra kiterjed, nem csupán a nagyvállalatokra. A cég hazai képviselője, Petrányi-Széll András szerint jelenleg rendkívül kevés magyar vállalat szabályozza, hogy milyen módon selejtezi le régi adathordozóit, beleértve nemcsak a szerverek és a munkaállomások merevlemezeit, de az okostelefonokat is. A cserére kerülő adathordozókon pedig tömegével hagyják el a vállalatokat személyes adatok is.

Nem árt tudni, hogy az adattörlés nem csak “gyakorlati” feladat, tehát nem elég, ha a céges rendszergazda letörli a kívánt információkat, formáz egy adott merevlemezt, vagy megsemmisít optikai meghajtókat. A szabályozás szerint az adminisztráció is legalább ilyen fontos, a cégeknek egy vizsgálat során be kell majd tudniuk mutatni azokat a jegyzőkönyveket, melyek bizonyítják, hogy az adathordozók “fertőtlenítése” rendben és az elérhető legbiztosabb technológiával történt meg.

Az új adatvédelmi irányelv tervezete emellett előírja azt is, hogy az adatvédelmi incidenseket 24 órán belül jelenteni kell az uniós hatóságok felé, még abban az esetben is, ha az incidens harmadik félnél történt. Ebbe beletartozik minden olyan hackertámadás, melynek során személyes adatokat szereztek meg az elkövetők, de az is, ha a vállalat egy munkatársa elveszít egy notebookot, melyen az ügyfelek adatait tárolták.

Ajánlott videó

Olvasói sztorik