Egyelőre minden száz felhőszolgáltatóból csupán egy készült fel arra, hogy megfeleljen az Európai Unió várhatóan jövőre életbe lépő új adatvédelmi irányelveinek – állítja bejegyzésében a Skyhigh Networks szakértője, Cameron Coles a cég hivatalos blogjában.

Ez az arány még akkor is megdöbbentő, ha figyelembe vesszük, hogy a jelenlegi tervezet két év felkészülési időt hagy a szolgáltatóknak, hiszen azt mutatja, hogy a felhőszolgáltatók adatvédelmi gyakorlata és az EU tervezett szabályozása között óriási a szakadék.

Elrettentő büntetések

A felkészülés azonban elkerülhetetlennek, hiszen e jelenleg is érvénybe lévő, még 1995-ben elfogadott törvénnyel ellentétben az új tervezet komoly szankciókat helyez kilátásba, ha egy szolgáltató megsérti az előírásokat. Súlyosabb esetekben 1 millió euró vagy a globális árbevétel 2 százaléka is lehet a büntetés. Ilyen például, ha egy a törvény hatálya alá tartozó szervezet nem nevez ki adatvédelmi felelőst, vagy nem jelenti be a rendszerét ért adatvédelmi incidenst. Közepes súlyú vétségek esetében 500 ezer euró vagy a globális bevételek 1 százaléka, de még a kisebb problémákért is 250 ezer euró vagy a globális bevételek 0,5 százaléka lehet a büntetés.

"Az üzenet egyértelmű: a hatóságok elrettentő erejű szankció kiszabására legyenek feljogosítva" – nyilatkozta erről májusban az Ars Boni jogi folyóiratnak dr. Szabó Endre Győző, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnökhelyettese. Szabó egyébként túlzónak találja a büntetés mértékét, ami jelenleg Magyarországon 100 ezertől 10 millió forintig terjed. Az elnökhelyettes szerint egyébként a 10 millió forint nagyobb ügyekben, nagyobb, multinacionális cégeknél nagyon kevés.

A EU-szintű szabályozás ugyanakkor jó, "mert elejét veszi a forum shoppingnak, azaz annak a gyakorlatnak, hogy helyezzük abba a tagállamba a fő letelepedési helyünket, ahol egyébként a legrugalmasabb és a legkedvezőbb az EU-szabályozás" – mondta Szabó a jogi szakfolyóiratnak.

A tengerentúliak sem bújhatnának ki alóla

Az új irányelv megosztja az adatvédelmi incidensekért és jogszabályszegésekért való felelősséget az adatot birtokoló vállalat és az adatot őrző felhőszolgáltató között. Új elem az is, hogy már nem csupán az európai szolgáltatókra vonatkozik, de azokra a tengerentúli vállalatokra is, melyek európai uniós állampolgárok adatait kezelik.

Az új adatvédelmi irányelv tervezete előírja továbbá, hogy az adatvédelmi incidenseket 24 órán belül jelenteni kell az uniós hatóságok felé, még abban az esetben is, ha az incidens harmadik félnél történt. Ebbe beletartozik minden olyan hackertámadás, melynek során személyes adatokat szereztek meg az elkövetők, de az is, ha a vállalat egy munkatársa elveszít egy notebookot, melyen az ügyfelek adatait tárolták.

Kibújni is nehéz lesz az irányelv hatálya alól, mivel az előírja, hogy a szolgáltatók nem kezelhetik vagy tárolhatják a rájuk bízott adatokat olyan országokban, melyekben nincs legalább ugyanolyan szigorú szabályozás.

A felejtés joga okozza a legnagyobb fejtörést

A felejtés joga szintén jelentős újdonság a tervezetben. A NAIH elnökhelyettese az Ars Boninak úgy magyarázta ennek bevezetését, hogy az 1995-ös irányelvek még a papíralapú megközelítéséből eredtek. Az adatáramlás, adatmozgás azonban a digitális környezetben új dimenzióba helyeződött. Gyakorlatilag egyidejűleg váltak elérhetővé friss, aktuális és "lejárt szavatosságú" információk. Ez pedig szükségessé tette a problémakör újraszabályozását.

Szabó szerint egyébként az lehetne egy megoldás, ha az adat tulajdonosa beállíthatná, hogy egy felhőszolgáltatónál tárolt adata meddig releváns, és utána az adott információ automatikusan és véglegesen törlődne. Ugyanakkor ha valaki azelőtt kíván élni törléshez való jogával, mielőtt ez az idő lejár, az óriási terhet róna minden szereplőre. Ennek megvalósításához ugyanis pontosan tudni kellene, hogy kiről, milyen adatot tartanak nyilván. Ez "teljes mértékben dzsungelharcnak tűnik" – mondta Szabó.

Nem elég a kalapács

Nem véletlen, hogy a minősített adattörléssel foglalkozó Blanco szakértői is a felejtéshez való jog bevezetését tartják a legnagyobb problémának. Az irányelv hatálya ugyanis minden szolgáltatóra kiterjed, nem csupán a nagyvállalatokra – figyelmeztet a cég közleménye.

Magyarországon ezen a téren különösen rossz a helyzet – idézi a közlemény Petrányi-Széll Andrást, a cég magyarországi képviselőjét –, mert itthon csak kevés magyar vállalat szabályozza, hogy milyen módon selejtezi le régi adathordozóit. Ez a szabályozás sokszor még a szerverek esetében is hiányzik.

Petrányi-Széll felhívja a figyelmet arra, hogy a fizikai megsemmisítés ráadásul önmagában kevés. Az adatok törlése ugyanis adminisztrációs feladat is. A cégeknek egy vizsgálat során ugyanis minden kétséget kizáróan kell bizonyítaniuk, hogy az adatok megsemmisítése rendben és a lehető legbiztonságosabb technológiával megtörtént.