Bár még csak a tervezet van meg, érdemes lenne már most megkezdeni a felkészülést az EU adatvédelmi reformjának újabb lépésére.

Meglehetősen nagy érdeklődés övezte a tegnap zárult 23. HOUG konferencián Kórász Tamás és Szeles János előadását. A KPMG IT-tanácsadói ugyanis az EU adatvédelmi reformjának következő lépéséről, a tervek szerint 2020 januárjában életbe lépő e-Privacy rendelet tervezetéről, valamint várható hatásáról beszéltek.

A GDPR jó kiindulópont

Bár az e-Privacy sok olyan dolgot beemel a személyes adatok körébe, amely megnehezíti a cégek adatkezelését, Kórász szerint azok a szervezetek, melyek jól felkészültek a GDPR-re, könnyebben veszik majd ezt az akadályt is, mert az általános adatvédelmi rendelet jó keretet biztosít az új rendeletnek történő megfelelésnek is.

A két közvetlen hatályú – azaz a helyi szabályozástól függetlenül alkalmazandó – rendelet összefügg egymással. A GDPR elsősorban keretszabályozás, eljárásokat, működési rendeket határoz meg. Az e-Privacy ellenben konkrétumokkal szolgál, még a technológia szintjén is. Utóbbi emellett nem csak természetese személyekre, hanem jogi személyekre is vonatkozik. A logika azonban ugyanaz: az uniós polgárok kezébe adja a személyes adatok fölötti rendelkezés jogát.

Az EU eredeti menetrendje szerint a GDPR és az e-Privacy egy időben lépett volna életbe, de utóbbi bevezetésének elhalasztásáért a globális techcégek – többek között a Google, a Facebook, az Amazon és az eBay is – intenzíven lobbiztak. A rendelet elfogadása nagy valószínűséggel már csak az uniós választások után fog megtörténni. Ahogy a GDPR-nél is volt, itt is lesz felkészülési idő, de annak hossza még nem ismert.

Az e-Privacy sok ponton továbblép a GDPR-hez képest, például abban, hogy konkrét technológiákat is szabályoz. Vonatkozik például az e-mailre, az SMS-re, előírja a metaadatok kezelési módját, hogy hogyan lehet használni a cookie-kal, foglalkozik a spamekkel, a csevegőprogramokkal, a direkt marketing jellegű szolgáltatásokkal és a végponti eszközökön tárolt adatokkal is. Összességében az e-Privacy a hírközlés bármely rétegét érinti.

Nehezebb lesz big data elemzéseket végezni

Kórász szerint az egyik nagyon fontos újdonság, hogy a rendelet tervezete durván kiterjeszti azon metaadatok körét, melyek személyes adatnak minősülnek. Egy telefonhívásnál például ilyen szinte minden olyan információ, amely a hívás körülményire vonatkozik (hívás helye, ideje, időtartama, a hívott fél stb.). Ugyanígy személyes adatként határozza meg az e-Privacy a böngészésre vonatkozó adatokat (lokációs adatok, meglátogatott oldalak, időpontok stb.).

A személyes adatok körének ilyen jellegű kiterjesztése komoly kihívást jelent olyan cégeknél, melyek big data módszerekkel szeretnék elemezni felhasználóik, ügyfeleik szokásait. A Waze-ben például bizonyos forgalmi elemzésekhez egyedileg kell azonosítani a járműveket. Hiába elegendők azonban ehhez bizonyos metaadatok, az új rendelet értelmében már azok használatához is egyedi hozzájárulást kell kérni, még akkor is, ha az elemzéshez nincs szükség a tulajdonoshoz közvetlenül kapcsolható adatra.

A felhasználói hozzájárulást ugyanúgy kell megszerezni, mint a GDPR esetében. Előzetesen kell kérni, nem lehet korlátozni a szolgáltatást, ha a felhasználó nem járul hozzá, és a hozzájárulást könnyen vissza lehessen vonni. A hozzájárulás megadása és visszavonása azonban bizonyos esetekben – például a cookie-knál, melyek szintén személyes adatnak minősülnek – egyszerűsödhet azáltal is, hogy nem weboldalanként kell megadni, hanem például böngészőben lesznek majd a jelenleginél sokkal árnyaltabb beállítási lehetőségek.

Ha megvan a GDPR keretrendszer, nagy baj nem lehet

Ha egy szervezet jól felkészült a GDPR-re, akkor nem érheti komolyabb meglepetés az e-Privacy esetében sem. A felkészülést logikailag alulról érdemes kezdeni – mondta Kórász. Az első lépés egy gap-analízis, ami kimutatja, hogy a jelenlegi gyakorlat és az e-Privacy között hol vannak eltérések. Ez alapján lehet elkészíteni a kockázati térképet és egy megvalósítási tervet. Ezután jöhet a személyes adatkezelés folyamatainak a rendbetétele.

Mindez IT-üzemeltetési és biztonsági fejlesztéseket is indukál, melyek célját az adatvédelmi folyamatok alapján kell meghatározni. Fejleszteni kell az adatkezelő rendszereket, különösen a titkosítás, az álnevesítés, az adatnyilvántartás, a DLP (Data Loss Prevention), a mentés és törlés területén, valamint megfelelő védelem kell az illetéktelen hozzáférés ellen. A jövőbeni IT-fejlesztéseknél pedig alkalmazni kell a "Privacy by Design" elvet, azaz minden IT-rendszert úgy kell megtervezni, hogy az adatbiztonsági folyamatok bizonyíthatóan beépüljenek.
 

Ezeket hozza az e-Privacy

Metaadatok: a metaadatokat az új szabályok értelmében úgy kell kezelni, mintha azok különleges személyes adatok lennének.

Cookie-k: használatuk csak a felhasználó aktív beleegyezésével történhet. A rendelet korlátozza a marketing cookie-k használatát.

Hatálya független a szolgáltató székhelyétől: mindenkire érvényes, aki az EU területén szolgáltatást nyújt.

Adatkezelés: az érintettek számára valós alternatívát kell felkínálni az adatkezelésben. Nem tagadható meg a szolgáltatás azoktól, akik nem járulnak hozzá saját adataik teljes körű felhasználásához.

Adatok felhasználása, hozzájárulás: a tervezett szabályok nagyban szűkítik a szolgáltatók mozgásterét az adatok felhasználásában.

Bírságok: a maximális kiszabható bírság, akárcsak a GDPR esetében 20 millió euró vagy a vállalat éves bevételének 4 százaléka (amelyik a magasabb).

.


A folyamatok esetében is lesznek teendők. Ki kell alakítani az adatosztályozás és adatnyilvántartás szabályait, és azok alkalmazására ki kell képezni a munkatársakat. A meglévő adatkezelési eljárásokat felül kell vizsgálni, és ki kell egészíteni az e-Privacy szellemében a kapcsolódó szabályzatokat, szerződéseket. Akárcsak a GDPR-nél, itt is ki kell alakítani egy kapcsolattartási rendszert a hatósággal, és létre kell hozni egy incidenskezelési keretrendszert.

Nagyon újra kell gondolni az IoT

Az e-Privacy miatt az IoT rendszerek üzemeltetését is újra kell gondolni – mondta Szeles János. Már ma is számtalan olyan IoT rendszer üzemel – Magyarországon is –, amely a tervezet értelmében akár személyesnek minősíthető adatot is kezel. A NAV-hoz bekötött online kasszarendszer, a különböző okosotthon megoldások, a flottakezelő rendszerek vagy akár az okosmérők mind gyűjthetnek olyan adatokat, melyek az e-Privacy hatálya alá esnek.

A rendelet tervezett hatálya ugyanis nem csak a VoIP (Voice over IP), valamint az OTT (Over The Top) szolgáltatásokra, hanem az M2M (Machine-to-Machine) és IoT megoldásokra is kiterjed. Emögött az a logika, mondta Szeles, hogy a gépek egymás közötti kommunikációját egy speciális elektronikus hírközlési szolgáltatásnak tekinti az e-Privacy. Ezért itt is a legtöbb esetben szükség van a végfelhasználók (értelemszerűen a kommunikáló eszközök tulajdonosai) beleegyezésére, ha egy szolgáltatás részeként az adatokat egy csatlakoztatott eszközről egy másik csatlakoztatott eszközre továbbítják.

Ez nagyobb adminisztratív terheket és jogi bizonytalanságot jelent a vállalatok számára. Nehéz ugyanis olyan keretet kialakítani, amiben az érintett visszavonható beleegyezést ad minden jövőbeli releváns adatfeldolgozási tevékenységre. Az e-Privacy értelmében ugyanis a végfelhasználóval kötött szerződés nem szolgál az ilyen adatfeldolgozás jogalapjaként. Ez egy fontos eltérés a GDPR-tól, amely a személyes adatok feldolgozását jogszerűnek ítéli meg, ha az a szerződés teljesítésére szolgál – hívta fel a figyelmet Szeles.

Piaci hírek

Bug bounty programot hirdetett a legaktívabb hekkercsoport

Nem ismert sérülékenységek felfedezéséért általában az érintett cégek szoktak fizetni biztonsági szakembereknek. Ebben az esetben viszont egy bűnözői csoport ajánlott díjazást azoknak, akik hajlandók velük együttműködni.
 
Éltek már vissza a bankkártyaadataival? Ha nem, akkor azt nagy valószínűséggel egy csalásfelderítő rendszernek köszönheti.

a melléklet támogatója a Balasys

A Világgazdasági Fórum figyelmeztetése szerint jelentős szakadék tátong a C-szintű vezetők és az információbiztonságért felelős részlegek helyzetértékelése között.

A járvány üzleti vezetőt csinált a CIO-kból

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.