Napjainkban az információ biztonsága minden magánember és - mérettől függetlenül - minden vállalat számára a legfontosabb tényező. Az Európai Unió adatvédelmi szabályzatának reformja már régóta napirenden volt. A reform meg kívánja védeni az európai lakosságot a titkosszolgálatok megfigyeléseitől, ezért szigorúbb adatvédelmi szabályok elfogadtatását sürgette.
Az új rendelet
Többéves egyeztetés után tavaly megszületett meg az Európai Unió általános adatvédelmi rendelete, a GDPR. Az új szabályozás megalkotását az indokolta, hogy az eddig érvényben lévő, már húszéves irányelv felett eljárt az idő. Szükségessé vált egy olyan jogi alap, amely úgy biztosít az európai hagyományoknak megfelelően erős adatvédelmet, hogy közben jobban alkalmazkodik a mai információs technológiákhoz, képes kezelni a felhőszolgáltatásokat, a határokon átnyúló adatkezelést vagy éppen az EU-n kívülre irányuló adattovábbítást.
A rendelet kidolgozása még 2012-ben kezdődött. 2016 májusában az Európai Tanács és az Európai Parlament külön-külön meg is szavazta, majd május végére hatályba is lépett az új rendelet, alkalmazni viszont csak 2018. május 25-től kezdik. Az addigi türelmi időben a nemzeti hatóságok és a cégek is felkészülhetnek az új körülményekre. Az új szabályozás halad a digitális korral, és egységes európai adatkezelést tesz lehetővé, bár a kritikusai szerint túl bonyolult és nagyon szigorú.
A szabályozás két fő elemből áll. Az általános adatvédelmi rendelet (General Data Protection Regulation, rövidítve GDPR) az adatgyűjtést és -feldolgozást szabályozza újra, egységesebb környezetet teremtve az EU-n belül. A másik elem az új adatvédelmi irányelv (Data Protection Directive, rövidítve DPD), amely a rendőrség és a bűnüldöző szervek adathozzáférését szabályozza, illetve megteremti a lehetőséget a tagállami hatóságok közötti hatékonyabb adatmegosztásra és -igénylésre.
Miért van szükség reformra?
Az elmúlt tíz évben - az információs technológia fejlődésével - olyan új innovatív szereplők léptek be a piacra, amelyek adatkezelési szabályozásának a jelenlegi adatvédelmi törvény nem tud eleget tenni. Az okostelefonok, a közösségi oldalak és az olyan üzleti modellek, amelyek terméke a személyes adat, veszélyeztetik a magánélethez való jogot az internet világában. Azt remélik, hogy a reform megnöveli a felhasználók bizalmát az online szolgáltatásokban, s ezáltal hozzájárul Európa digitális gazdaságának fellendüléséhez.
Milyen változások vannak?
A legnagyobb változás az új rendeletben, hogy régen nem is volt rendelet. Eddig egy irányelv volt csak, amely 1995-től szolgált az európai adatvédelem alapjául. A különbség, hogy míg egy irányelvet minden országnak át kell ültetnie a maga nemzeti jogrendszerébe, a rendelet közvetlenül alkalmazandó.
A GDPR alappillére, hogy az adatkezelő cégektől minél nagyobb fokú átláthatóságot és elszámoltathatóságot követel meg. A rendelet ugyan egységes, de a végrehajtás továbbra is a helyi hatóság, vagyis itthon például a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) feladata lesz.
De milyen, az átlagfelhasználó számára is érzékelhető elemei vannak a GDPR-nek?
- Több információ arról, mi történik az adatokkal a megosztás után.
- Legyen lehetőségük véglegesen törölni az információkat az internetről.
- Adatok hordozhatóságának joga, más szolgáltatóhoz történő átköltöztetés, esetleg visszaköltöztetés history nélkül.
- Ha úgy akarják, joguk lesz megtudni azt is, ki próbálta illegálisan megszerezni az adataikat.
- A cégeknek és intézményeknek 24 órán belüli bejelentési kötelezettséget ír elő a törvény, ha adatbázisaikat támadás érte, hogy az adatok tulajdonosai megtehessék a megfelelő intézkedéseket.
- A szabálysértők pedig az eddiginél komolyabb büntetésre számíthatnak, amely elérheti éves árbevételük 2 százalékát.
Az adatvédelem reformja egyben a bizalomhiányt is orvosolni kívánja oly módon, hogy erősödik a személyes adatok védelme és az állampolgároknak több jogot ad. Az új szabályzás biztosítani fogja, hogy az alapvető emberi jog a személyes adatok védelméhez mindenki számára garantált legyen. Az általános adatvédelmi rendeletet mostantól bevezetik mind a 28 tagállam jogrendszerébe. A GDPR alapján harmadik országba csak akkor lehet európai adatokat továbbítani, ha a célországban is megfelelő szintű védelem biztosított ezeknek az adatoknak.
A tagországonként eltérő előírások helyébe egységes szabályrendszert ír elő az Unió egész területén, minden európai és tengerentúli adatkezelő számára. Így az egy kontinens egy törvény elv fog életbe lépni, tehát az egyablakos ügyintézés megteremtése. Egy több országban is működő vállalat csak egy állam adatvédelmi hatóságának felügyelete alatt áll. Ezt a főhatóságot a cég székhelye határozza meg. A problémák alapja, hogy európai vagy amerikai szögből nézzük-e őket, ugyanis sajnos teljesen különböző módot használ az amerikai törvény a magánszféra meghatározására, és arra, hogyan kell azt megvédeni. A GDPR alapján harmadik országba csak akkor lehet európai adatokat továbbítani, ha a célországban is megfelelő szintű védelem biztosított ezeknek az adatoknak.
Nézőpont kérdése
Amerikai megközelítés: az Európai Közösség próbált kidolgozni egy megoldást arra vonatkozóan, hogyan lehetne biztosítani azt, hogy az USA-ból működő cégek is megfelelő adatvédelmet tudjanak garantálni az európai felhasználóknak. Ennek eredményeképpen megszületett egy nemzetközi megállapodás, Safe Harbor néven, amelyhez minden amerikai eredetű cég csatlakozhat, és neki kell bizonyítania, hogy megfelel az európai standard adatvédelmi előírásoknak. Viszont nekünk, európaiaknak ez még kevés. Mi az, amit a Safe Harbor nem garantál? Hogyan fordulhat elő, hogy mégis hozzáférnek a nemzetbiztonsági szervek a felhőben tárolt adatokhoz, pedig olyan amerikai szolgáltatóval kötöttünk szerződést, amely csatlakozott a Safe Harborhöz? Sokak figyelmét elkerüli egy fontos dolog: a Safe Harborben van egy mondat, illetve kitétel, miszerint a törvény kivételt tehet. Ez pedig azt jelenti, hogy például terrorcselekmény, bűnüldözési, illetve nemzetbiztonsági érdekből felül lehet írni az adatvédelmi elveket. A Patriot Act, azaz a hazafias törvény engedélyezi ezt. Tehát gyakorlatilag a felhőszolgáltatást tekintve egy amerikai cég csatlakozása a Safe Harborhöz nem nyújt nagyobb adatbiztonsági védelmet az európai felhasználók számára. Vagyis ez sajnos csak látszólagos intézkedés volt.
Összefoglalva: körülbelül egy évet kell még várni arra, hogy a jelenlegi adatáramlási infrastruktúrához mérten teljes mértékű adatbiztonságról beszélhessünk. Ennyi időnk van arra, hogy felkészüljünk a rendeletre. Reméljük, ezt sikerül megvalósítani, ám az korántsem biztos, hogy a rohamosan fejlődő informatika következtében az újonnan kialakuló igények, szolgáltatások miatt nem lesz már akkorra ismét szükség a törvény frissítésére.