Bár még csak a tervezet van meg, érdemes lenne már most megkezdeni a felkészülést az EU adatvédelmi reformjának újabb lépésére.

Meglehetősen nagy érdeklődés övezte a tegnap zárult 23. HOUG konferencián Kórász Tamás és Szeles János előadását. A KPMG IT-tanácsadói ugyanis az EU adatvédelmi reformjának következő lépéséről, a tervek szerint 2020 januárjában életbe lépő e-Privacy rendelet tervezetéről, valamint várható hatásáról beszéltek.

A GDPR jó kiindulópont

Bár az e-Privacy sok olyan dolgot beemel a személyes adatok körébe, amely megnehezíti a cégek adatkezelését, Kórász szerint azok a szervezetek, melyek jól felkészültek a GDPR-re, könnyebben veszik majd ezt az akadályt is, mert az általános adatvédelmi rendelet jó keretet biztosít az új rendeletnek történő megfelelésnek is.

A két közvetlen hatályú – azaz a helyi szabályozástól függetlenül alkalmazandó – rendelet összefügg egymással. A GDPR elsősorban keretszabályozás, eljárásokat, működési rendeket határoz meg. Az e-Privacy ellenben konkrétumokkal szolgál, még a technológia szintjén is. Utóbbi emellett nem csak természetese személyekre, hanem jogi személyekre is vonatkozik. A logika azonban ugyanaz: az uniós polgárok kezébe adja a személyes adatok fölötti rendelkezés jogát.

Az EU eredeti menetrendje szerint a GDPR és az e-Privacy egy időben lépett volna életbe, de utóbbi bevezetésének elhalasztásáért a globális techcégek – többek között a Google, a Facebook, az Amazon és az eBay is – intenzíven lobbiztak. A rendelet elfogadása nagy valószínűséggel már csak az uniós választások után fog megtörténni. Ahogy a GDPR-nél is volt, itt is lesz felkészülési idő, de annak hossza még nem ismert.

Az e-Privacy sok ponton továbblép a GDPR-hez képest, például abban, hogy konkrét technológiákat is szabályoz. Vonatkozik például az e-mailre, az SMS-re, előírja a metaadatok kezelési módját, hogy hogyan lehet használni a cookie-kal, foglalkozik a spamekkel, a csevegőprogramokkal, a direkt marketing jellegű szolgáltatásokkal és a végponti eszközökön tárolt adatokkal is. Összességében az e-Privacy a hírközlés bármely rétegét érinti.

Nehezebb lesz big data elemzéseket végezni

Kórász szerint az egyik nagyon fontos újdonság, hogy a rendelet tervezete durván kiterjeszti azon metaadatok körét, melyek személyes adatnak minősülnek. Egy telefonhívásnál például ilyen szinte minden olyan információ, amely a hívás körülményire vonatkozik (hívás helye, ideje, időtartama, a hívott fél stb.). Ugyanígy személyes adatként határozza meg az e-Privacy a böngészésre vonatkozó adatokat (lokációs adatok, meglátogatott oldalak, időpontok stb.).

A személyes adatok körének ilyen jellegű kiterjesztése komoly kihívást jelent olyan cégeknél, melyek big data módszerekkel szeretnék elemezni felhasználóik, ügyfeleik szokásait. A Waze-ben például bizonyos forgalmi elemzésekhez egyedileg kell azonosítani a járműveket. Hiába elegendők azonban ehhez bizonyos metaadatok, az új rendelet értelmében már azok használatához is egyedi hozzájárulást kell kérni, még akkor is, ha az elemzéshez nincs szükség a tulajdonoshoz közvetlenül kapcsolható adatra.

A felhasználói hozzájárulást ugyanúgy kell megszerezni, mint a GDPR esetében. Előzetesen kell kérni, nem lehet korlátozni a szolgáltatást, ha a felhasználó nem járul hozzá, és a hozzájárulást könnyen vissza lehessen vonni. A hozzájárulás megadása és visszavonása azonban bizonyos esetekben – például a cookie-knál, melyek szintén személyes adatnak minősülnek – egyszerűsödhet azáltal is, hogy nem weboldalanként kell megadni, hanem például böngészőben lesznek majd a jelenleginél sokkal árnyaltabb beállítási lehetőségek.

Ha megvan a GDPR keretrendszer, nagy baj nem lehet

Ha egy szervezet jól felkészült a GDPR-re, akkor nem érheti komolyabb meglepetés az e-Privacy esetében sem. A felkészülést logikailag alulról érdemes kezdeni – mondta Kórász. Az első lépés egy gap-analízis, ami kimutatja, hogy a jelenlegi gyakorlat és az e-Privacy között hol vannak eltérések. Ez alapján lehet elkészíteni a kockázati térképet és egy megvalósítási tervet. Ezután jöhet a személyes adatkezelés folyamatainak a rendbetétele.

Mindez IT-üzemeltetési és biztonsági fejlesztéseket is indukál, melyek célját az adatvédelmi folyamatok alapján kell meghatározni. Fejleszteni kell az adatkezelő rendszereket, különösen a titkosítás, az álnevesítés, az adatnyilvántartás, a DLP (Data Loss Prevention), a mentés és törlés területén, valamint megfelelő védelem kell az illetéktelen hozzáférés ellen. A jövőbeni IT-fejlesztéseknél pedig alkalmazni kell a "Privacy by Design" elvet, azaz minden IT-rendszert úgy kell megtervezni, hogy az adatbiztonsági folyamatok bizonyíthatóan beépüljenek.
 

Ezeket hozza az e-Privacy

Metaadatok: a metaadatokat az új szabályok értelmében úgy kell kezelni, mintha azok különleges személyes adatok lennének.

Cookie-k: használatuk csak a felhasználó aktív beleegyezésével történhet. A rendelet korlátozza a marketing cookie-k használatát.

Hatálya független a szolgáltató székhelyétől: mindenkire érvényes, aki az EU területén szolgáltatást nyújt.

Adatkezelés: az érintettek számára valós alternatívát kell felkínálni az adatkezelésben. Nem tagadható meg a szolgáltatás azoktól, akik nem járulnak hozzá saját adataik teljes körű felhasználásához.

Adatok felhasználása, hozzájárulás: a tervezett szabályok nagyban szűkítik a szolgáltatók mozgásterét az adatok felhasználásában.

Bírságok: a maximális kiszabható bírság, akárcsak a GDPR esetében 20 millió euró vagy a vállalat éves bevételének 4 százaléka (amelyik a magasabb).

.


A folyamatok esetében is lesznek teendők. Ki kell alakítani az adatosztályozás és adatnyilvántartás szabályait, és azok alkalmazására ki kell képezni a munkatársakat. A meglévő adatkezelési eljárásokat felül kell vizsgálni, és ki kell egészíteni az e-Privacy szellemében a kapcsolódó szabályzatokat, szerződéseket. Akárcsak a GDPR-nél, itt is ki kell alakítani egy kapcsolattartási rendszert a hatósággal, és létre kell hozni egy incidenskezelési keretrendszert.

Nagyon újra kell gondolni az IoT

Az e-Privacy miatt az IoT rendszerek üzemeltetését is újra kell gondolni – mondta Szeles János. Már ma is számtalan olyan IoT rendszer üzemel – Magyarországon is –, amely a tervezet értelmében akár személyesnek minősíthető adatot is kezel. A NAV-hoz bekötött online kasszarendszer, a különböző okosotthon megoldások, a flottakezelő rendszerek vagy akár az okosmérők mind gyűjthetnek olyan adatokat, melyek az e-Privacy hatálya alá esnek.

A rendelet tervezett hatálya ugyanis nem csak a VoIP (Voice over IP), valamint az OTT (Over The Top) szolgáltatásokra, hanem az M2M (Machine-to-Machine) és IoT megoldásokra is kiterjed. Emögött az a logika, mondta Szeles, hogy a gépek egymás közötti kommunikációját egy speciális elektronikus hírközlési szolgáltatásnak tekinti az e-Privacy. Ezért itt is a legtöbb esetben szükség van a végfelhasználók (értelemszerűen a kommunikáló eszközök tulajdonosai) beleegyezésére, ha egy szolgáltatás részeként az adatokat egy csatlakoztatott eszközről egy másik csatlakoztatott eszközre továbbítják.

Ez nagyobb adminisztratív terheket és jogi bizonytalanságot jelent a vállalatok számára. Nehéz ugyanis olyan keretet kialakítani, amiben az érintett visszavonható beleegyezést ad minden jövőbeli releváns adatfeldolgozási tevékenységre. Az e-Privacy értelmében ugyanis a végfelhasználóval kötött szerződés nem szolgál az ilyen adatfeldolgozás jogalapjaként. Ez egy fontos eltérés a GDPR-tól, amely a személyes adatok feldolgozását jogszerűnek ítéli meg, ha az a szerződés teljesítésére szolgál – hívta fel a figyelmet Szeles.

Piaci hírek

Elindult a nagy 5G-s projekt. Összeállt a frekvenciapályázat tervezete

Az NMHH közzétette a menetrendet: nyáron nyilvános konzultáció, majd a jelentkezés, szeptemberben pedig jöhet a frekvenciaaukció.
 
Könnyen érthető, de fejlett védelmi megoldások nélkül nehezen elhárítható módszert követnek a bizalmas információk ellopására utazó kiberbűnözők.

a melléklet támogatója a BalaSys

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.