Oldalunkon sütiket (cookie) használunk, amelyekről adatkezelési tájékoztatónkban olvashat.
Részletek Rendben
     
    Így szigorítja az EU a személyes adatok kezelését. Jön az e-Privacy
    Dervenkár István2019.04.11.Piaci hírek
    Bár még csak a tervezet van meg, érdemes lenne már most megkezdeni a felkészülést az EU adatvédelmi reformjának újabb lépésére.

    Meglehetősen nagy érdeklődés övezte a tegnap zárult 23. HOUG konferencián Kórász Tamás és Szeles János előadását. A KPMG IT-tanácsadói ugyanis az EU adatvédelmi reformjának következő lépéséről, a tervek szerint 2020 januárjában életbe lépő e-Privacy rendelet tervezetéről, valamint várható hatásáról beszéltek.

    A GDPR jó kiindulópont

    Bár az e-Privacy sok olyan dolgot beemel a személyes adatok körébe, amely megnehezíti a cégek adatkezelését, Kórász szerint azok a szervezetek, melyek jól felkészültek a GDPR-re, könnyebben veszik majd ezt az akadályt is, mert az általános adatvédelmi rendelet jó keretet biztosít az új rendeletnek történő megfelelésnek is.

    A két közvetlen hatályú – azaz a helyi szabályozástól függetlenül alkalmazandó – rendelet összefügg egymással. A GDPR elsősorban keretszabályozás, eljárásokat, működési rendeket határoz meg. Az e-Privacy ellenben konkrétumokkal szolgál, még a technológia szintjén is. Utóbbi emellett nem csak természetese személyekre, hanem jogi személyekre is vonatkozik. A logika azonban ugyanaz: az uniós polgárok kezébe adja a személyes adatok fölötti rendelkezés jogát.

    Az EU eredeti menetrendje szerint a GDPR és az e-Privacy egy időben lépett volna életbe, de utóbbi bevezetésének elhalasztásáért a globális techcégek – többek között a Google, a Facebook, az Amazon és az eBay is – intenzíven lobbiztak. A rendelet elfogadása nagy valószínűséggel már csak az uniós választások után fog megtörténni. Ahogy a GDPR-nél is volt, itt is lesz felkészülési idő, de annak hossza még nem ismert.

    Az e-Privacy sok ponton továbblép a GDPR-hez képest, például abban, hogy konkrét technológiákat is szabályoz. Vonatkozik például az e-mailre, az SMS-re, előírja a metaadatok kezelési módját, hogy hogyan lehet használni a cookie-kal, foglalkozik a spamekkel, a csevegőprogramokkal, a direkt marketing jellegű szolgáltatásokkal és a végponti eszközökön tárolt adatokkal is. Összességében az e-Privacy a hírközlés bármely rétegét érinti.

    Nehezebb lesz big data elemzéseket végezni

    Kórász szerint az egyik nagyon fontos újdonság, hogy a rendelet tervezete durván kiterjeszti azon metaadatok körét, melyek személyes adatnak minősülnek. Egy telefonhívásnál például ilyen szinte minden olyan információ, amely a hívás körülményire vonatkozik (hívás helye, ideje, időtartama, a hívott fél stb.). Ugyanígy személyes adatként határozza meg az e-Privacy a böngészésre vonatkozó adatokat (lokációs adatok, meglátogatott oldalak, időpontok stb.).

    A személyes adatok körének ilyen jellegű kiterjesztése komoly kihívást jelent olyan cégeknél, melyek big data módszerekkel szeretnék elemezni felhasználóik, ügyfeleik szokásait. A Waze-ben például bizonyos forgalmi elemzésekhez egyedileg kell azonosítani a járműveket. Hiába elegendők azonban ehhez bizonyos metaadatok, az új rendelet értelmében már azok használatához is egyedi hozzájárulást kell kérni, még akkor is, ha az elemzéshez nincs szükség a tulajdonoshoz közvetlenül kapcsolható adatra.

    A felhasználói hozzájárulást ugyanúgy kell megszerezni, mint a GDPR esetében. Előzetesen kell kérni, nem lehet korlátozni a szolgáltatást, ha a felhasználó nem járul hozzá, és a hozzájárulást könnyen vissza lehessen vonni. A hozzájárulás megadása és visszavonása azonban bizonyos esetekben – például a cookie-knál, melyek szintén személyes adatnak minősülnek – egyszerűsödhet azáltal is, hogy nem weboldalanként kell megadni, hanem például böngészőben lesznek majd a jelenleginél sokkal árnyaltabb beállítási lehetőségek.

    Ha megvan a GDPR keretrendszer, nagy baj nem lehet

    Ha egy szervezet jól felkészült a GDPR-re, akkor nem érheti komolyabb meglepetés az e-Privacy esetében sem. A felkészülést logikailag alulról érdemes kezdeni – mondta Kórász. Az első lépés egy gap-analízis, ami kimutatja, hogy a jelenlegi gyakorlat és az e-Privacy között hol vannak eltérések. Ez alapján lehet elkészíteni a kockázati térképet és egy megvalósítási tervet. Ezután jöhet a személyes adatkezelés folyamatainak a rendbetétele.

    Mindez IT-üzemeltetési és biztonsági fejlesztéseket is indukál, melyek célját az adatvédelmi folyamatok alapján kell meghatározni. Fejleszteni kell az adatkezelő rendszereket, különösen a titkosítás, az álnevesítés, az adatnyilvántartás, a DLP (Data Loss Prevention), a mentés és törlés területén, valamint megfelelő védelem kell az illetéktelen hozzáférés ellen. A jövőbeni IT-fejlesztéseknél pedig alkalmazni kell a "Privacy by Design" elvet, azaz minden IT-rendszert úgy kell megtervezni, hogy az adatbiztonsági folyamatok bizonyíthatóan beépüljenek.
     

    Ezeket hozza az e-Privacy

    Metaadatok: a metaadatokat az új szabályok értelmében úgy kell kezelni, mintha azok különleges személyes adatok lennének.

    Cookie-k: használatuk csak a felhasználó aktív beleegyezésével történhet. A rendelet korlátozza a marketing cookie-k használatát.

    Hatálya független a szolgáltató székhelyétől: mindenkire érvényes, aki az EU területén szolgáltatást nyújt.

    Adatkezelés: az érintettek számára valós alternatívát kell felkínálni az adatkezelésben. Nem tagadható meg a szolgáltatás azoktól, akik nem járulnak hozzá saját adataik teljes körű felhasználásához.

    Adatok felhasználása, hozzájárulás: a tervezett szabályok nagyban szűkítik a szolgáltatók mozgásterét az adatok felhasználásában.

    Bírságok: a maximális kiszabható bírság, akárcsak a GDPR esetében 20 millió euró vagy a vállalat éves bevételének 4 százaléka (amelyik a magasabb).

    .


    A folyamatok esetében is lesznek teendők. Ki kell alakítani az adatosztályozás és adatnyilvántartás szabályait, és azok alkalmazására ki kell képezni a munkatársakat. A meglévő adatkezelési eljárásokat felül kell vizsgálni, és ki kell egészíteni az e-Privacy szellemében a kapcsolódó szabályzatokat, szerződéseket. Akárcsak a GDPR-nél, itt is ki kell alakítani egy kapcsolattartási rendszert a hatósággal, és létre kell hozni egy incidenskezelési keretrendszert.

    Nagyon újra kell gondolni az IoT

    Az e-Privacy miatt az IoT rendszerek üzemeltetését is újra kell gondolni – mondta Szeles János. Már ma is számtalan olyan IoT rendszer üzemel – Magyarországon is –, amely a tervezet értelmében akár személyesnek minősíthető adatot is kezel. A NAV-hoz bekötött online kasszarendszer, a különböző okosotthon megoldások, a flottakezelő rendszerek vagy akár az okosmérők mind gyűjthetnek olyan adatokat, melyek az e-Privacy hatálya alá esnek.

    A rendelet tervezett hatálya ugyanis nem csak a VoIP (Voice over IP), valamint az OTT (Over The Top) szolgáltatásokra, hanem az M2M (Machine-to-Machine) és IoT megoldásokra is kiterjed. Emögött az a logika, mondta Szeles, hogy a gépek egymás közötti kommunikációját egy speciális elektronikus hírközlési szolgáltatásnak tekinti az e-Privacy. Ezért itt is a legtöbb esetben szükség van a végfelhasználók (értelemszerűen a kommunikáló eszközök tulajdonosai) beleegyezésére, ha egy szolgáltatás részeként az adatokat egy csatlakoztatott eszközről egy másik csatlakoztatott eszközre továbbítják.

    Ez nagyobb adminisztratív terheket és jogi bizonytalanságot jelent a vállalatok számára. Nehéz ugyanis olyan keretet kialakítani, amiben az érintett visszavonható beleegyezést ad minden jövőbeli releváns adatfeldolgozási tevékenységre. Az e-Privacy értelmében ugyanis a végfelhasználóval kötött szerződés nem szolgál az ilyen adatfeldolgozás jogalapjaként. Ez egy fontos eltérés a GDPR-tól, amely a személyes adatok feldolgozását jogszerűnek ítéli meg, ha az a szerződés teljesítésére szolgál – hívta fel a figyelmet Szeles.

    Ennyi nem elég? Iratkozzon fel hírlevelünkre!
    Piaci hírek

    Dollármilliók helyett börtönévek járhatnak az oktatási chatbot fejlesztőjének

    A korábban számos elismerést elnyerő AllHere megoldását az USA második legnagyobb oktatási körzete is bevezette. Nemrégiben azonban többek között csalással, hamisítással és a befektetők szándékos megtévesztésével vádolták meg a startup alapító-vezetőjét.
     

    Újra elmondjuk, másként: az MI veszélyes és veszélyeztetett állat

    Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

    Régen minden jobb volt? A VMware licencelési változásai

    Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

    Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

    "EU-kapcsolatok nélkül nem tudom elképzelni a BME modellváltását"

    Az IT-projektmenedzsment új varázsszava: proof of concept

    Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

    Sok hazai cégnek kell szorosra zárni a kiberkaput

    Impresszum

    Médiaajánlat

    Adatkezelés
    Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
    © 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.