Elrettentő büntetésekre lehet számítani

Aggasztóan sokan nem készültek még fel az Európai Unió új adatvédelmi szabályozására, mely jövőre lép hatályba. Jobb lesz a cégeknek időben felfigyelni.

Jelenleg az Európai Unióban a személyes adatok védelméről egy 1995-ös szabályozás gondoskodik, melyet hamarosan felvált az új adatvédelmi irányelv, melynek egyik célja, hogy növelje az informatikai szolgáltatókkal szembeni bizalmat mind a végfelhasználók, mind a vállalatok körében.

Az új irányelv megosztja az adatvédelmi incidensekért és jogszabályszegésekért való felelősséget az adatot birtokoló vállalat és az adatot őrző felhőszolgáltató között, emellett pedig már nem csupán az európai szolgáltatókra vonatkozik, hanem azokra a tengerentúli vállalatokra is, melyek európai uniós állampolgárok adatait kezelik.

Jelenleg csupán minden századik szolgáltató felel meg az új elvárásoknak a felhőalapú megoldások biztonságossá tételével foglalkozó Skyhigh Network hétezer felhőszolgáltatóra kiterjedő friss statisztikája szerint. A felmérés kiterjed az adatok kezelésére, az adatvédelmi incidensek jelentésére, a titkosításra, valamint a felejtés jogának bevezetésével az adattörlés kérdésére is.

100 millió eurós büntetés

A cégek számára a legijesztőbb változás, hogy míg a korábbi, 1995-ös adatvédelmi irányelv nem fogalmazott meg útmutatást a büntetések mértékére nézve, addig az új szabályozás szerint a bírság legmagasabb összege akár 100 millió euróig vagy a cég éves bevételének 5 százalékáig terjedhet. Kibújni is nehéz lesz az irányelv hatálya alól, mivel az előírja, hogy a szolgáltatók nem kezelhetik vagy tárolhatják a rájuk bízott adatokat olyan országokban, melyekben nincs legalább ugyanolyan szigorú szabályozás.

blancco adatvédelem_900-494

Jelenleg a legnagyobb gondot a cégek számára a felejtés jogának bevezetése okozza, melyről eddig elsősorban a Google találati listájának megváltoztatásával kapcsolatban lehetett olvasni. A minősített adattörléssel foglalkozó Blancco magyarországi szakértői azonban arra figyelmeztetnek, hogy az irányelv hatálya minden szolgáltatóra kiterjed, nem csupán a nagyvállalatokra.

Még egy laptop elvesztését is jelenteni kell

Jelenleg nagyon kevés magyar vállalat szabályozza, hogy milyen módon selejtezi le régi adathordozóit – beleértve nemcsak a szerverek és a munkaállomások merevlemezeit, de az okostelefonokat is. A cserére kerülő adathordozókon pedig tömegével hagyják el a vállalatokat személyes adatok is.

Nem érdemes azonban a kalapácsért nyúlni, mivel az adatok törlése nemcsak informatikai, de adminisztrációs feladat is. A cégeknek egy vizsgálat során be kell majd tudniuk mutatni azokat a jegyzőkönyveket, melyek bizonyítják, hogy az adathordozók fertőtlenítése rendben és az elérhető legbiztosabb technológiával lezajlott.

Az új adatvédelmi irányelv tervezete emellett előírja azt is, hogy az adatvédelmi incidenseket 24 órán belül jelenteni kell az uniós hatóságoknak, még abban az esetben is, ha az incidens harmadik félnél történt. Ebbe beletartozik minden olyan hekkertámadás, melynek során személyes adatokat szereztek meg az elkövetők, de az is, ha a vállalat egy munkatársa elveszít egy notebookot, melyen az ügyfelek adatait tárolták.