:

Szerző: Gálffy Csaba

2015. december 16. 13:12

Itt az EU új adatvédelmi keretrendszere

Az elmúlt évtizedek tapasztalatai alapján újratervezte adatvédelmi szabályozását az EU - a Bizottság, a Tanács és a Parlament hármas egyeztetése nyomán elkészült a végleges szöveg. A lényeghez nem nyúlt a reform, a tapasztalatok alapján viszont sok kellemetlen (és hatástalan) elemet eltöröltek.

Két évtized után alaposan hozzányúlt az Unió az adatvédelmi szabályozáshoz, a Bizottság ma leplezi le a nagyban átdolgozott adatvédelmi rendszer végleges verzióját. A reformkezdeményezés nem ma kezdődött, azt még az előző Bizottság indította el 2012-ben, az uniós csúcsszervek közötti kompromisszum eredménye pedig mostanra született meg. Miért van erre szükség és mit hoz az új szabályozás?

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x)

Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

Az előző adatvédelmi irányelv (data protection directive, DPD) még 1995-ben született, pontosan a digitális-internetes világ hajnalán, a benne foglalt védelem az idők során néhol túl szorosnak, néhol elégtelennek bizonyult. A leggyakrabban hangoztatott kritika, hogy az irányelv nem egységesítette eléggé a tagországok adatvédelmi szabályozását, így mára 28, egymástól jelentős mértékben különböző törvénykezés alakult ki az Unión belül. Ez azt jelenti, hogy az adatfeldolgozás helyétől függően egészen eltérő védelmet kaptak a felhasználók, emiatt néhány ország meg is tiltotta az adatok kivitelét. A másik kritika, hogy az internetes vállalkozások és internetes kereskedelem felívelésével az irányelv néhol nem biztosított elegendő védelmet a felhasználók személyes adatai számára.

A csúcsszervek által elfogadott szabályozás két fő elemből áll. Az általános adatvédelmi rendelet (General Data Protection Regulation, GDPR) az adatgyűjtést és -feldolgozást szabályozza újra, egységesebb környezetet teremtve az EU-n belül. A másik elem az új adatvédelmi irányelv (Data Protection Directive, DPD), amely a rendőrség és a bűnüldöző szervek adathozzáférését szabályozza, illetve megteremti a lehetőséget a tagállami hatóságok közötti hatékonyabb adatmegosztásra és adatigénylésre.

Az uniós hatóságok pontosan ismerik a személyes adatok gazdasági értékét, különösen a fejlett analitikai eszközökkel párosítva az adatok nagyon gazdaggá tudják tenni a cégeket. Ezzel önmagában semmi probléma nincs, a hatóságok azonban mederben szeretnék ezt a folyamatot tartani. Az új szabályozás szerint az adatfeldolgozónak sokkal tisztábban kell közölnie azt, hogy milyen céllal és hogyan dolgozza fel a személyes adatokat - az előző szabályozás csak általánosságokat kért számon. Az új rendelet megerősíti a felhasználók két jogát, a "felejtésre" (teljes törlésre) és a hordozhatóságra való jogot is, utóbbi az online szolgáltatások közötti migrációt segíti majd. Végül az adatkezelőnek kötelező módon értesítenie kell a nemzeti hatóságokat, ha adatszivárgás áldozatává válik, így a felhasználók megtehetik a szükséges védelmi lépéseket (például identitáslopás ellen).

A vállalkozások számára is jönnek könnyítések, rengeteg felesleges lépcsőt eltöröl az új szabályozás. Az új keretrendszerben a vállalkozásoknak csupán egy adatvédelmi szabályozásnak kell megfelelniük és egyetlen adatvédelmi hatósággal kell kapcsolatban lenniük - ez a Bizottság becslése szerint 2,3 milliárd eurót spórol majd évente. Az adatvédelmi szabályozás azonban nem csak az európai cégekre vonatkozik majd, hanem azokra is, akik "kintről" nyújtanak szolgáltatásokat az európai állampolgároknak - ez garantálja, hogy nincs kettős standard, minden vállalkozás azonos feltételekkel indul.

Szintén könnyítés, hogy a jövőben a kkv-knak nem kell regisztrálniuk az illetékes adatvédelmi hatóságoknál, mely lépés önmagában 130 millió eurós évi megtakarítást hoz majd. A kkv-kat az új szabályok a visszaélésszerű adatigényléstől is védik, a vállalkozás kiszámlázhatja az adatelérés költségeit. Ugyanígy a kkv-k mentesülnek a belső adatkezelő biztos kinevezése alól is, amennyiben a személyes adatok kezelése nem a cég legfontosabb profilja.

Itthon is kötelező bevezetni

Ahogy az Unió kihirdeti a végleges szabályozást, a tagállamoknak két évük lesz arra, hogy azt saját jogrendszerükben is leképezzék. A várakozások szerint 2016 elején jöhet a kihirdetés, így a változások legkésőbb 2018 közepére a tagállami törvényekben is megjelennek majd - így értelemszerűen a hazai szabályozás is ehhez alkalmazkodik.

A rendelet és az irányelv végleges szövege várhatóan ma kerül nyilvánosságra. A szabályozás újdonságaival részletesebben is foglalkozunk majd, ahogy a szakértők és jogászok alaposabban áttanulmányozzák a végleges szöveget.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról