Az Európai Parlament Európai Parlament Állampolgári Jogi, Bel- és Igazságügyi Bizottságának egy módosító javaslata szerint a jövő májusban életbe lépő GDPR-ben (General Data Protection Regulation), azaz Általános Adatvédelmi Rendeletben szigorítani kellene az ügyféladatok tárolására vonatkozó szabályokat.

Anonimizálva se használhassák

A jelenlegi szöveg lehetővé teszi, hogy a vállalatok azután is tárolják ügyfeleik személyes adatait, ha a vállalat és az ügyfél között megszűnt a jogviszony. Ehhez anonimizálni kell az adatokat. (Az más kérdés, hogy ez bizonyos ágazatokban már ez is elég komoly kihívást jelent majd a cégeknek.)

Az Európai Parlament bizottsága most azt javasolja, hogy a személyes adatokat kezelő vállalkozások anonimizált módon se tarthassák meg az ügyféladatokat, hanem azokat legyenek kötelesek adatkezelésére feljogosító jogviszony megszűnése után végleges és helyreállíthatatlan törölni. Értelemszerűen ezt a műveletet igazolhatóvá is kellene tenni.

Amennyiben a javaslat bekerül a direktíva szövegébe, az újabb feladatok elé állítja a GDPR hatálya alá eső vállalkozásokat. Sokkal szigorúbban kellene például kezelni típustól függetlenül az adathordozók selejtezését (azaz a szervereket, a számítógépeket vagy mobiltelefonokat is ugyanúgy, az igazolhatóan végleges adattörlés után lehetne leselejtezni). De a Blanco magyar képviselete szerint még a szervizeléssel foglalkozó cégekre is hatással lesz: nem kezelhetik a meghibásodott eszközökön található személyes adatokat.

Mint arról korábban írtunk, a szakbizottság módosítót adott be az úgynevezett hátsó ajtók (backdoor) használatának tiltására, valamint az adatkommunikáció végponttól végpontig történő titkosításának kötelezővé tételére is.

A magyarországi vállalatok annyiban előnyben lesznek, hogy az adattörlést az Infotörvény (teljes nevén: 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) meglehetős alapossággal szabályozza. Minden esetben törölni kell az adatot, ha 1. annak kezelése jogellenes; 2. az érintett (az adat tulajdonosa) kéri; 3. az hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki; 4. az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt; 5. a törlést bíróság vagy a hatóság elrendelte.

Nem elég törölni, igazolni is kell

A törlés kivitelezése azonban már közel sem egyszerű. Ugyanis ha bármilyen kétely merül fel a végrehajtásával kapcsolatban, az adatkezelőnek valamilyen módon bizonyítania kell, hogy ő az adatokat valóban úgy semmisítette meg, ahogy azt a törvény előírja: felismerhetetlenné tette úgy, hogy helyreállításuk többé nem lehetséges.

Az EU bizottságának javaslata nyomán sok cég kényszerülhet az adatkezelési szabályainak újragondolására. A minősített adatkezeléssel foglalkozó cégek viszont dörzsölhetik a tenyerüket. Ha a szabályozás átmegy, nagyon beindulhat számukra a piac. Nagyon kapósak lesznek ugyanis azok a minősített adattörlő – azaz a törlés tényét bizonyító erejűen igazolni képes – eszközeik és szolgáltatásaik, melyeket eddig csak speciális területekre tudtak eladni.