Egy éves a GDPR szabályzat

Közzétéve:

GDPR szabályzat

A GDPR (General Data Protection Regulation) adatvédelmi rendeletet 2016-ban fogadták el, majd két év felkészülési időt követően, 2018 májusában lépett hatályba és a szabályzat megszegése, azóta szankcionálható pénzbüntetéssel.

Egy összefoglaló szerint, melyet az Európai Adatvédelmi Testület készített 2019 februárjában, az addig eltelt kevesebb, mint egy év alatt a különböző országok hatóságai összesen 55 955 871 euró bírságot szabtak ki különböző cégekre.

Hosszú ideig a francia adatvédelmi hatóság (CNIL) által kiszabott 50 millió eurós (körülbelül 16 milliárd forintos) bírság volt a legnagyobb összegű büntetés. Ez a Google-t sújtotta, azért mert android eszközökön az információk nem voltak kellően átláthatóak, a felhasználókat nem tájékoztatták megfelelően és nem tették egyértelművé, hogy a hirdetések személyre szabásának engedélyezését a Google több szolgáltatására érvényesnek tekintik.

Az elmúlt hónapban a brit adatvédelmi hatóság osztotta bőkezűen a bírságokat. A Marriott szállodalánc, az ellene intézett kibertámadás késői észlelése miatt, körülbelül 339 millió vendég adatait szolgáltatta ki illetéktelen kezekbe, a hatóság 99,2 millió fontra (körülbelül 36 milliárd forintra) szankcionált. A British Airways szintén kibertámadás áldozata lett, mely tavaly augusztus 21-én (a brit információs kormánybiztos (ICO) szerint már júniusban) kezdődött és szeptember 5-én sikerült észlelni és lépéseket tenni az online rendszer biztonságosabbá tételére. A British Airways elleni támadásban körülbelül félmillió utas adatai szivárogtak ki, köztük foglalási információk, nevek, bankkártya adatok és címek. A hatóságok szerint egy ilyen kaliberű hiba 183 millió fontba (66 milliárd forintot) kerül. Az utóbbi két büntetés meghaladja a Google-re kiszabott bírság nagyságát is, azonban mind a Marriott szállodalánc, mind a British Airways még fellebbezhet, ami a befizetendő összeg csökkenését eredményezheti.

A GDPR bírságként maximálisan kiszabható összeg emelkedett a kezdetek óta. Többek között így lehetséges, hogy a British Airways bírsága mintegy 361-szerese az anno Facebookra (Cambridge Analytica botrány) kiszabott büntetés összegének, holott abban az esetben 87 millió személy adatai szivárogtak ki. Az új összeghatár a cég éves globális árbevételének 4%-ig terjedhet vagy 20 millió euróig, amelyik a nagyobb összeg.

Ezen kívül új adatvédelmi határozat az is, hogy bármilyen adatkezelési incidens esetén az adatfeldolgozó 72 órán belül köteles jelenteni a hatóságoknak, hogy hiba történt és azt, hogy milyen lépéseket tett a károk minimalizálására, illetve annak érdekében, hogy ez többször ne fordulhasson elő. Bizonyos esetekben, például, amikor különleges, rendkívül bizalmas adatok szivárognak ki, a cég köteles az érintetteket tájékoztatni, túl sok érintett esetén pedig nyilvánosságra kell hozni az esetet.

A magyar Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke, Péterfalvi Attila azt nyilatkozta, hogy a GDPR hatályba lépése óta eltelt egy év alatt 385 bejelentést kaptak és a megvizsgált esetek adatkezelési hiányosságainak nagy része emberi mulasztásra vezethető vissza, nem rendszerhibára.

Felmerül a kérdés, hogy mit lehet kezdeni ennyi személyes adattal, mennyit is érnek ezek és ki hajlandó fizetni értük? Sokak szerint a személyes adatok napjainkban a legértékesebbnek számító árucikkek, úgy is szokták emlegetni, mint a „XXI. század kőolaja”. Sokszor előfordul, hogy azt gondoljuk, egy ingyenes szolgáltatást veszünk igénybe, pedig valójában fizetünk érte, még ha nem is pénzzel. A személyes adataink és fogyasztói szokásainkat leíró adatok számítanak fizető eszköznek, melyek személyekre lebontva nem érnek túl sokat, legfeljebb néhány ezer vagy tízezer forintot, de tömegével eladva igen sok pénzt kifizetnek értük. Ezt mutatja például az is, hogy 2018-ban a Google 116 milliárd dollár (körülbelül 33,6 ezer milliárd forint) és a Facebook 55 milliárd dollár (körülbelül 20 ezer milliárd forint) bevételt generált, személyes és fogyasztói információkon alapuló reklámokból.

Az elmúlt időben többféle megoldási javaslat is napvilágot látott, annak megakadályozása érdekében, hogy a cégek a mi adatainkon nyerészkedjenek. Szinte mindenki egyetért abban, hogy minden személynek biztosítani kéne a jogot, hogy eldöntse mely adata felhasználható kereskedelmi forgalomban és melyik nem. Vannak azonban ezen túlmutató javaslatok is. Gavin Newsom, kaliforniai kormányzó, azon az állásponton van, hogy a cégeknek fizetniük kéne azoknak az embereknek, akiknek az adatai felhasználásával nyereséghez jutottak. Arra vonatkozóan, hogy mennyit fizessenek ezek a cégek, különböző javaslatok születtek és sokan eltérő fizetési képletet dolgoztak ki: vannak, akik szerint azt kellene alapul venni, hogy a cégek egyénekre leosztva mennyit kerestek az adatok felhasználásával, de olyan elképzelés is van, hogy abból kéne kiindulni, hogy mennyi pénzt keresne meg az ember annyi idő alatt, amennyit adott felület böngészésével tölt.

Az utóbbi időben egyre többen figyelnek oda személyes adataik védelmére és arra, hogy kit bíznak meg ezeknek a kezelésével. Az Oracle felmérése szerint viszont csupán a cégek 40%-a gondolja, hogy biztonságos adatkezelési rendszert dolgozott ki, bőven van tehát még hely és igény újításokra a hardveres biztonsági és titkosító modulok piacán. Az elmúlt hónapokban a magyar tulajdonú i4p vállalat elsőként lépett piacra, olyan hardveres, kereskedelmi forgalomban kapható titkosító (hardware security module HSM) rendszerrel, ami többszereplős kriptográfiai módszert alkalmaz. Az általuk fejlesztett Trident HSM névre hallgató biztonsági rendszer alkalmas arra, hogy megfeleljen az üzleti életben elvárt legmagasabb szintű biztonsági előírásoknak.

A következő években várhatóan még több új adatvédelmi technológiát fognak a piacra dobni, növekedni fog a személyes adatok védelmével és felhasználásával kapcsolatos tudatosság és komoly bírságokkal fogják sújtani a szabályszegőket.

Forrás: hvg.hu, infostart.hu, index.hu, origo.hu, portfolio.hu, gdpr.blog.hu, enforcementtracker.com

keyboard_arrow_up