Szűk két év van még felkészülni az egységes európai adatvédelmi rendeletre
2016 tavaszán, több mint 4 éven keresztül tartó előkészítési folyamat után az Európai Parlament egyhangúan fogadta el az Unió új adatvédelmi rendeletét, melyet 2018-ra már nemzeti szinten alkalmazni kell. Az új szabályok igen komoly változásokat hoznak a jelenleg érvényben lévő 1995-ös rendelethez képest, így a felkészülést minél hamarabb célszerű elkezdeni. A Joint Venture Üzleti Szövetség (JVSZ) Fókuszban az adatvédelem címmel meghirdetett szakmai rendezvényén az új szabályozással, annak gyakorlati alkalmazásával, illetve egyéb járulékos hatásaival kapcsolatos kérdéseikre kaphattak válaszokat a vállalkozások meghívott képviselői.
Dr. Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnökének szavaiból kiderült, saját hivatala sem kivétel abból a szempontból, hogy számos kérdésre még nincs kész válasza. A már hatályba lépett rendelet 2018 májusában lesz alkalmazható nemzeti szinten is, egyelőre azonban még nem tisztázott, hogyan fogja tudni az ombudsmani hatáskörből kikerült ügyek jelentette jelentős többlet terhet kezelni a NAIH, mint ahogy többek között a megváltozott eljárásrend sincs még kikristályosodva. Ugyancsak kérdés, hogy mi lesz az Adatvédelmi nyilvántartás sorsa, hiszen az uniós rendelet értelmében a biztonsági incidensek nyilvántartása az adatkezelők feladata lesz. Afelől természetesen nincs kétség, hogy az egy éve módosított Infotörvény újabb módosítások elé néz, Dr. Péterfalvi Attila szerint azonban elsősorban szakmai változtatásokra kell majd gondolni, melyek akár már a jövő évben életbe léphetnek. A NAIH elnöke hangsúlyozta, nagyon fontos, hogy a felkészülés minden szinten, így a hatóságnál és az adatkezelői oldalon is minél gyorsabban elkezdődjön.
Ezt követően Dr. Liber Ádám, a Kajtár Takács Hegymegi-Barakonyi Baker & McKenzie Ügyvédi Iroda képviseletében a rendelet sajátosságait vette górcső alá. Mint elmondta, mindenképpen előrelépés, hogy míg a korábbi szabályozás irányelvként látott napvilágot, addig most a rendeleti forma mellett döntöttek az Uniós jogalkotói, így mindenképpen jobb eséllyel valósulhat meg az egységes adatkezelési gyakorlat Európában. Ezzel együtt a rendelet végleges formája számos politikai kompromisszumról tanúskodik, relatíve sok tétel a preambulumba került bele, ami mint ismeretes, nem kötelező érvvényű. Ennek következtében viszont nem minden esetben egyértelmű, olykor kifejezetten bizonytalan helyzetet eredményeznek, teret engednek ugyanis az eltérő értelmezéseknek. Dr. Liber Ádám szerint dicséretes ugyan az is, hogy a rendelet igyekezett tekintettel lenni az adatkezelők méretbeli sajátosságaira is, így bizonyos esetekben eltérő szabályozás vonatkozik a kisebb és a nagyobb méretű vállalatokra. Azonban hozzátette, sajnos ezt a kettős szemléletet nem minden esetben sikerült konzekvens módon alkalmazni, így könnyen előfordulhat, hogy míg ugyanaz a rendelkezés akár jelentős megtakarítást is eredményezhet egy nagyvállalatnál, addig egy kisebb méretűre aránytalanul nagy adminisztrációs terhet rak.
Bíró Ferenc, az EY Felelős Üzleti Működés Szolgáltatások partnere a hamarosan megváltozó adatkezelési gyakorlat informatikai vonatkozásaira, elsősorban az adatok biztonságára hívta fel a figyelmet. Mint elmondta, a vállalkozásoknak egyre komolyabb kihívásoknak kell megfelelniük, lényegében akárhonnan, akármilyen formában érkezhetnek a rosszindulatú támadások. Habár minél nagyobb egy vállalkozás, annál vonzóbb célpontot jelent, ez korántsem jelenti azt, hogy a többiek biztonságban vannak: Nemzetközi viszonylatban a kibertámadások ötödének célpontjai a kkv szektorból kerülnek ki, mely igen sebezhető. 97 százalékuknál semmilyen biztonsági szabályzat nincs érvényben, lényegében meg sem tudják mondani, érte-e őket ilyen támadás. Sikeres támadás esetén 60 százalékuk féléven belül csődbe megy, ennek ellenére csaknem felük szerint egy kiberbetörés nem változtatna számottevően az üzletmeneten. Hazai viszonylatban talán még ennél is rosszabbak a mutatók. A magyarországi cégeknél lényegesen kisebb informatikusi gárdák dolgoznak, a szabályok, előírások jelentős része külföldről érkezik, és nem feltétlenül ültethetők át a gyakorlatba. Bíró szerint gondot okoz az is, hogy a szabályozás gyakran nincs összhangban a való élettel, ami folyamatos elégedetlenséget, és jellegzetes kényszermegoldásokat szül. Az EY partnerének véleménye szerint elsődlegesen minden adatkezelőnek tisztáznia kell az általa kezelt adatok körét, milyenséget, az elvesztésük esetén lehetséges forgatókönyveket, és ennek megfelelően kell kidolgoznia az ezek védelmét megvalósító rendszert.
Dr. Simándi Andrea, a Microsoft Magyarország Kft. jogi igazgatója a szolgáltatói oldalról igyekezett bemutatni a rendeletre való felkészülés folyamatát. Leszögezte, tudomásul kell venni, hogy a jog minden esetben követő üzemmódban van a technológiai fejlődéshez képest, éppen ezért mind magánemberként, mind vállalkozásként óriási az egyéni felelősség abban, ahogyan a különféle szolgáltatásokat, szolgáltatókat kezeljük. Szolgáltatói szempontból éppen ezért alapvető szükséglet a megfelelő bizalom keretrendszerének megteremtése, amihez a legalapvetőbb kérdéseket már rögtön az elején tisztázni kell: Milyen adatokat kezel az adott szolgáltató? Miért és mire használja azokat? Mennyire veszi figyelembe az egyedi igényeket? Hogyan védi a tárolt adatokat? Mekkora ráhatásunk van a rólunk tárolt adatok kontrolljára? A szolgáltatók alapvető feladata, hogy kielégítően meg tudják válaszolni ezeket a kérdéseket, és megfelelően transzparens módon végezzék az ezekkel kapcsolatos tevékenységeiket. Emellett azonban számos további lehetőség is kínálkozik arra, hogy tovább erősítsék ezt a bizalmi viszonyt. Szinte adja magát a különféle jogalkotó szervekkel történő folyamatos együttműködés, az egyes termékek jogi szempontból történő megfeleltetése, de akár az olyan egyedi megoldások is, mint a Microsoft speciális DCU csapatai, melyek folyamatos erőfeszítéseikkel igyekeznek élhetőbbé tenni a virtuális teret, tapasztalataik révén pedig minőségileg is jobb, biztonságosabb termékek születnek.
Zárásképp Kun Szabolcs, a CryptTalk fejlesztéséért felelős Arenim Technologies AB ügyvezető igazgatója mutatta be részletesen a szolgáltatással kapcsolatos, a hazai sajtót is megjárt igen sajátos problémakört, a titkosítás iránti igény felerősödését, és az ezzel kapcsolatos nemzetbiztonsági aggályokat. Mint elmondta, a szolgáltatás fejlesztésekor a maximális biztonság megteremtését úgy látták biztosítottnak, ha olyan titkosítást alkalmaznak, amit ők sem tudnak visszafejteni. Az országok nemzetbiztonsági szerveinek azonban alapvető igénye, hogy alkalmanként a titkosított csatornákon zajló kommunikációba is bele tudjanak nézni, ez azonban a CryptTalk esetében teljességgel lehetetlennek bizonyult, ráadásul a fejlesztői oldal sem szívesen tette volna ezt lehetővé, hiszen ezzel a lehetőséggel a rosszindulatú támadások előtt is kinyitották volna a kaput. Végül a látszólag feloldhatatlan ellentét megoldásaként élhető kompromisszum született, a CryptTalk immár gyűjti a metaadatokat, de a kommunikációhoz ezután sem lehet hozzáférni, továbbá megszűnt az anomim használat lehetősége, így a résztvevők jól beazonosíthatóvá válnak, ha nemzetbiztonsági szempontból ez indokolttá válna.