Meglehetősen nagy érdeklődés övezte a tegnap zárult 23. HOUG konferencián Kórász Tamás és Szeles János előadását. A KPMG IT-tanácsadói ugyanis az EU adatvédelmi reformjának következő lépéséről, a tervek szerint 2020 januárjában életbe lépő e-Privacy rendelet tervezetéről, valamint várható hatásáról beszéltek.
A GDPR jó kiindulópont
Bár az e-Privacy sok olyan dolgot beemel a személyes adatok körébe, amely megnehezíti a cégek adatkezelését, Kórász szerint azok a szervezetek, melyek jól felkészültek a GDPR-re, könnyebben veszik majd ezt az akadályt is, mert az általános adatvédelmi rendelet jó keretet biztosít az új rendeletnek történő megfelelésnek is.
A két közvetlen hatályú – azaz a helyi szabályozástól függetlenül alkalmazandó – rendelet összefügg egymással. A GDPR elsősorban keretszabályozás, eljárásokat, működési rendeket határoz meg. Az e-Privacy ellenben konkrétumokkal szolgál, még a technológia szintjén is. Utóbbi emellett nem csak természetese személyekre, hanem jogi személyekre is vonatkozik. A logika azonban ugyanaz: az uniós polgárok kezébe adja a személyes adatok fölötti rendelkezés jogát.
Az EU eredeti menetrendje szerint a GDPR és az e-Privacy egy időben lépett volna életbe, de utóbbi bevezetésének elhalasztásáért a globális techcégek – többek között a Google, a Facebook, az Amazon és az eBay is – intenzíven lobbiztak. A rendelet elfogadása nagy valószínűséggel már csak az uniós választások után fog megtörténni. Ahogy a GDPR-nél is volt, itt is lesz felkészülési idő, de annak hossza még nem ismert.
Az e-Privacy sok ponton továbblép a GDPR-hez képest, például abban, hogy konkrét technológiákat is szabályoz. Vonatkozik például az e-mailre, az SMS-re, előírja a metaadatok kezelési módját, hogy hogyan lehet használni a cookie-kal, foglalkozik a spamekkel, a csevegőprogramokkal, a direkt marketing jellegű szolgáltatásokkal és a végponti eszközökön tárolt adatokkal is. Összességében az e-Privacy a hírközlés bármely rétegét érinti.
Nehezebb lesz big data elemzéseket végezni
Kórász szerint az egyik nagyon fontos újdonság, hogy a rendelet tervezete durván kiterjeszti azon metaadatok körét, melyek személyes adatnak minősülnek. Egy telefonhívásnál például ilyen szinte minden olyan információ, amely a hívás körülményire vonatkozik (hívás helye, ideje, időtartama, a hívott fél stb.). Ugyanígy személyes adatként határozza meg az e-Privacy a böngészésre vonatkozó adatokat (lokációs adatok, meglátogatott oldalak, időpontok stb.).
A személyes adatok körének ilyen jellegű kiterjesztése komoly kihívást jelent olyan cégeknél, melyek big data módszerekkel szeretnék elemezni felhasználóik, ügyfeleik szokásait. A Waze-ben például bizonyos forgalmi elemzésekhez egyedileg kell azonosítani a járműveket. Hiába elegendők azonban ehhez bizonyos metaadatok, az új rendelet értelmében már azok használatához is egyedi hozzájárulást kell kérni, még akkor is, ha az elemzéshez nincs szükség a tulajdonoshoz közvetlenül kapcsolható adatra.
A felhasználói hozzájárulást ugyanúgy kell megszerezni, mint a GDPR esetében. Előzetesen kell kérni, nem lehet korlátozni a szolgáltatást, ha a felhasználó nem járul hozzá, és a hozzájárulást könnyen vissza lehessen vonni. A hozzájárulás megadása és visszavonása azonban bizonyos esetekben – például a cookie-knál, melyek szintén személyes adatnak minősülnek – egyszerűsödhet azáltal is, hogy nem weboldalanként kell megadni, hanem például böngészőben lesznek majd a jelenleginél sokkal árnyaltabb beállítási lehetőségek.
Ha megvan a GDPR keretrendszer, nagy baj nem lehet
Ha egy szervezet jól felkészült a GDPR-re, akkor nem érheti komolyabb meglepetés az e-Privacy esetében sem. A felkészülést logikailag alulról érdemes kezdeni – mondta Kórász. Az első lépés egy gap-analízis, ami kimutatja, hogy a jelenlegi gyakorlat és az e-Privacy között hol vannak eltérések. Ez alapján lehet elkészíteni a kockázati térképet és egy megvalósítási tervet. Ezután jöhet a személyes adatkezelés folyamatainak a rendbetétele.
Mindez IT-üzemeltetési és biztonsági fejlesztéseket is indukál, melyek célját az adatvédelmi folyamatok alapján kell meghatározni. Fejleszteni kell az adatkezelő rendszereket, különösen a titkosítás, az álnevesítés, az adatnyilvántartás, a DLP (Data Loss Prevention), a mentés és törlés területén, valamint megfelelő védelem kell az illetéktelen hozzáférés ellen. A jövőbeni IT-fejlesztéseknél pedig alkalmazni kell a "Privacy by Design" elvet, azaz minden IT-rendszert úgy kell megtervezni, hogy az adatbiztonsági folyamatok bizonyíthatóan beépüljenek.
Ezeket hozza az e-Privacy
Metaadatok: a metaadatokat az új szabályok értelmében úgy kell kezelni, mintha azok különleges személyes adatok lennének.
Cookie-k: használatuk csak a felhasználó aktív beleegyezésével történhet. A rendelet korlátozza a marketing cookie-k használatát.
Hatálya független a szolgáltató székhelyétől: mindenkire érvényes, aki az EU területén szolgáltatást nyújt.
Adatkezelés: az érintettek számára valós alternatívát kell felkínálni az adatkezelésben. Nem tagadható meg a szolgáltatás azoktól, akik nem járulnak hozzá saját adataik teljes körű felhasználásához.
Adatok felhasználása, hozzájárulás: a tervezett szabályok nagyban szűkítik a szolgáltatók mozgásterét az adatok felhasználásában.
Bírságok: a maximális kiszabható bírság, akárcsak a GDPR esetében 20 millió euró vagy a vállalat éves bevételének 4 százaléka (amelyik a magasabb).
.
A folyamatok esetében is lesznek teendők. Ki kell alakítani az adatosztályozás és adatnyilvántartás szabályait, és azok alkalmazására ki kell képezni a munkatársakat. A meglévő adatkezelési eljárásokat felül kell vizsgálni, és ki kell egészíteni az e-Privacy szellemében a kapcsolódó szabályzatokat, szerződéseket. Akárcsak a GDPR-nél, itt is ki kell alakítani egy kapcsolattartási rendszert a hatósággal, és létre kell hozni egy incidenskezelési keretrendszert.
Nagyon újra kell gondolni az IoT
Az e-Privacy miatt az IoT rendszerek üzemeltetését is újra kell gondolni – mondta Szeles János. Már ma is számtalan olyan IoT rendszer üzemel – Magyarországon is –, amely a tervezet értelmében akár személyesnek minősíthető adatot is kezel. A NAV-hoz bekötött online kasszarendszer, a különböző okosotthon megoldások, a flottakezelő rendszerek vagy akár az okosmérők mind gyűjthetnek olyan adatokat, melyek az e-Privacy hatálya alá esnek.
A rendelet tervezett hatálya ugyanis nem csak a VoIP (Voice over IP), valamint az OTT (Over The Top) szolgáltatásokra, hanem az M2M (Machine-to-Machine) és IoT megoldásokra is kiterjed. Emögött az a logika, mondta Szeles, hogy a gépek egymás közötti kommunikációját egy speciális elektronikus hírközlési szolgáltatásnak tekinti az e-Privacy. Ezért itt is a legtöbb esetben szükség van a végfelhasználók (értelemszerűen a kommunikáló eszközök tulajdonosai) beleegyezésére, ha egy szolgáltatás részeként az adatokat egy csatlakoztatott eszközről egy másik csatlakoztatott eszközre továbbítják.
Ez nagyobb adminisztratív terheket és jogi bizonytalanságot jelent a vállalatok számára. Nehéz ugyanis olyan keretet kialakítani, amiben az érintett visszavonható beleegyezést ad minden jövőbeli releváns adatfeldolgozási tevékenységre. Az e-Privacy értelmében ugyanis a végfelhasználóval kötött szerződés nem szolgál az ilyen adatfeldolgozás jogalapjaként. Ez egy fontos eltérés a GDPR-tól, amely a személyes adatok feldolgozását jogszerűnek ítéli meg, ha az a szerződés teljesítésére szolgál – hívta fel a figyelmet Szeles.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
a melléklet támogatója az EURO ONE Számítástechnikai Zrt.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak