A napvilágra kerülő biztonsági incidensek rendszeresen felhívják a figyelmet arra, hogy az adatbiztonság, illetve a technológiai védelem mellett súlyos jogi kérdéseket is felvet napjaink egyre mélyebb szinten digitalizált világa. Noha az esetek többségében amerikai szolgáltatók rendszereit ért támadásokról esik szó, naivitás lenne azt gondolni, hogy az Európai Unión belül nincsenek adatbiztonsági incidensek. Időnként nyilvánosságra kerül egy-egy eset az EU-ban vagy akár Magyarországon is. A hangsúly itt a nyilvánosságon van, ugyanis még megbecsülni is nehéz azt, hogy mennyi kibertámadás maradhat rejtve.

Az Egyesült Államok ebből a szempontból kétségkívül jobban áll, hiszen szigorúbb előírások vonatkoznak az incidensek bejelentésére, és ami ennél is fontosabb, a jogi szabályok érvényesítése, betartatása is előrébb tart. Ugyanakkor az USA-ban sem teljesen felhőtlen a helyzet, sőt éppen hogy minden egyre „felhősebb”. Ezért ott is várható az adatvédelem reformja, ami várhatóan éles vitákat fog kiváltani. Legalábbis ezt vetítik előre a technológiai szektor és a kormányzati szféra eddigi, adatkiadásokkal kapcsolatos konfliktusai.

Utolérhetetlen technológiai fejlődés

Európa az adatvédelmi szabályozás terén az USA jelenlegi jogi szabályozásához képest is jelentős lemaradásban volt. Az adatvédelem kordában tartására ugyanis egy ősöreg, 1995-ben elfogadott irányelv (95/46/EK) szolgált. Gondoljunk bele! Több mint 20 évvel ezelőtt egészen másról szólt az informatika. Azóta rengeteg adatkezeléssel kapcsolatos technológiai – és társadalmi – változás történt. Az irányelv megszületésekor még javában a kliens-szerver architektúrák kiépítésére és a PC-k beszerzésére koncentráltak a szervezetek. A saját telephelyeiken hozták létre az adatbázisaikat, illetve kezdték el a bemutatkozó weboldalaik készítését.

A gyors technológiai fejlődés azonban mára mindent megváltoztatott. Egyre több az online szolgáltatás, melyek adatéhségét a mai napig nem sikerül csillapítani. Ma már természetese a netes bankolás, gyökeret eresztett az elektronikus kereskedelem, megjelentek a közösségi oldalak és sorolhatnánk.

A felhasználók mobilitás iránti igénye a kommunikációt is alapjaiban formálta át, miközben a felhős szolgáltatások elterjedésével végleg lebontották azokat a határokat, amik korábban valamilyen szinten gátat tudtak szabni az adatok áramlásának. Emellett az utóbbi években a dolgok internete (IoT) tovább tágította az adatkezelési folyamatok problémakörét, majd jött az eszközök közötti kommunikáció, ami egyre inkább természetes jelenség. Óriási ütemben fejlődik a biometria és a mesterséges intelligencia, ami újabb jogi kérdéseket vet fel.

Mindezek olyan új problémákat generáltak, melyeket a két évtizedes múltra visszatekintő irányelv már nem tud kezelni.

Az alkalmazkodás lassú, a kiberbűnözés meg durvul

A problémát tovább tetézte, hogy hiába volt irányelv, az egyes tagállamok nagyon eltérően szabályozták az adatvédelmet – a magyar szabályozás a legszigorúbbak közé tartozik. A különféle követelmények azonban – épp a határok leomlása miatt – mára akadályává váltak az informatikai és a kommunikációs technológiák fejlődésének, elterjedésének. Az eltérő követelményekhez nehézkes és lassú az alkalmazkodás, ami manapság komoly versenyhátrányt jelent az EU szintjén is. Nem utolsósorban pedig a heterogén megfelelőségi követelmények az átláthatóságot sem javítják, márpedig anélkül nem lehet igazán hatékony adatvédelmet kialakítani.

Az 1995-ös irányelv nem számolt – húsz éve nem is számolhatott – azzal sem, amit a kiberbűnözés az elmúlt években produkált. Szinte havonta dőlnek meg az adatlopási rekordok, a létrejött az adatkereskedelem feketepiaca, sőt lényegében egy kiterjed árnyékgazdaság az internet sötét oldalán. Eközben a felhasználók sokszor egyáltalán nincsenek tisztában azzal, hogy az adataik árucikké váltak ezen a feketepiacon.

Mindezzel párhuzamosan az incidensek kezelése is komoly változásokon ment keresztül, pontosabban: kellett volna, hogy keresztülmenjen.

Egy új világ kapujában

Mindezeknek a tényezőknek az összessége vezetett oda, hogy 2012 januárjában végre lépett az Európai Unió: az Európai Bizottság elérhetővé tette az irányelv leváltására érdemesnek tartott adatvédelmi rendelet, a GDPR (General Data Protection Regulation) tervezetét. Négy évnyi egyeztetés és viták után végül idén áprilisban szavazta meg az Európai Parlament a rendelet végeleges szövegét (itt olvasható magyarul), amely május 24-én lépett hatályba. A felkészülésre azonban van két év: 2018. május 25-től kell minden tagállamban kötelezően alkalmazni.
 

A GDPR története

Kattintson a képre a nagyításhoz

Az Unió pontosan rögzíti, milyen problémákra akart megoldást adni a rendelettel: "A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. A személyes adatok gyűjtése és megosztása jelentős mértékben megnőtt. A technológia a vállalkozások és a közhatalmi szervek számára tevékenységük folytatásához a személyes adatok felhasználását minden eddiginél nagyobb mértékben lehetővé teszi. Az emberek egyre nagyobb mértékben hoznak nyilvánosságra, és tesznek globális szinten elérhetővé személyes adatokat. A technológia egyaránt átalakította a gazdasági és a társadalmi életet, és egyre inkább elősegíti a személyes adatok Unión belüli szabad áramlását, valamint a személyes adatok harmadik országok és nemzetközi szervezetek részére történő továbbítását. E fejlemények egy olyan szilárd és az eddiginél következetesebb uniós adatvédelmi keretet igényelnek, amelyet erős kikényszeríthetőség támogat, hiszen a bizalom megteremtése fontos a digitális gazdaság belső piaci fejlődéséhez. A természetes személyek számára biztosítani kell, hogy saját személyes adataik felett maguk rendelkezzenek."

Kell is idő a felkészülésre

2018. május 25-től tehát egy újabb megfelelőségi követelmény kerül fel a vállalatonként eltérő, de nem egy esetben igencsak hosszú compliance-listára. Noha két év hosszú időnek tűnik, szakértők már most figyelmeztetnek: mihamarabb érdemes elkezdeni a felkészülést. Már csak azért sem érdemes félvállról venni az új követelményekre történő felkészülést, mert egy esetleges jogsértés minden korábbinál súlyosabb szankciókat vonhat maga után.

Hogy a helyzet még bonyolultabb legyen, a GDPR-rel párhuzamosan bizonyos szervezeteknek ugyanebben az időszakban fel kell készülniük a fizetési szolgáltatásokat uniós szinten szabályzó PSD2 (Payments Services Directive 2) előírásaira, valamint a PCI DSS (Payment Card Industry Data Security Standard) 3.2-es verziójára. Ez utóbbi akár könnyebbséget is jelenthet a GDPR-re történő felkészülésben – legalábbis a PCI Security Standads Council igazgatója, Jeremy King szerint. Az igazgató azzal nyugtatta az érintett cégeket, hogy ha jól adaptálják a PCI DSS új verzióját, akkor nagy valószínűséggel a GDPR előírásainak is meg fognak felelni.

A következő cikkünkben a GDPR legfontosabb követelményeit fogjuk sorra venni, és megvizsgáljuk, hogy az adatkezelés területén milyen változásokat hoz az új szabályozás.