Bár jelenleg még csak a tervezet van készen, érdemes a témával foglalkozni és átnézni, hogy miről is szól ez az új szabályozás, végig gondolva, hogy a benne foglaltakból mi vonatkozhat ránk, illetve a cégünkre.
A teljes szöveg megtalálható itt. A könnyebb érthetőség és értelmezhetőség kedvéért pedig íme a lényeges elemek és a következtetéseink
A készülő e-Privacy rendelet fontos pontjai
- Az új szabályok értelmében a metaadatok kezelése úgy kell történjen, mintha azok különleges személyes adatok lennének.
- A cookie-k használata csak a felhasználó aktív beleegyezésével lehetséges és a rendelet korlátozza a marketing célú cookie-k használatát.
- A rendelet mindenkire érvényes, aki az EU területén belül szolgáltatást nyújt, függetlenül attól, hogy a székhelye hol van bejegyezve.
- Az új szabályozás jelentősen szűkíti a szolgáltatók mozgásterét az adatok felhasználásában, és a korábbiaknál szigorúbb a felhasználó részéről megadott hozzájárulás vonatkozásában is.
- A felhasználók számára valós alternatívákat és megoldásokat kell felkínálni az adatkezeléssel kapcsolatban. Nem lehet megtagadni a szolgáltatás igénybevételét azoktól a felhasználóktól, akik nem járulnak hozzá az adataik teljes körű felhasználásához.
- A szabályokat megszegőkre kiszabható bírság – úgy, mint a GDPR esetében is – 20 millió euró vagy a cég éves bevételének 4%-a, azt figyelembevéve, amelyik ezek közül a magasabb összeg.
A GDPR, mint jó alap az építkezéshez
Az új szabályozás több dolgot beemel a személyes adatok körébe, ezzel igencsak megnehezítve a cégek adatkezelését és annak eddigi rutinját, de azok a vállalatok, amelyek már korábban a GDPR bevezetésére is jól felkészültek, azok könnyebben veszik majd ezt az akadályt is, mert a már bevezetett és jól alkalmazott általános adatvédelmi rendelet jó alapot biztosít az új szabályozásnak való megfelelésnek is.
A két közvetlen hatályú – azaz a helyi szabályozástól függetlenül alkalmazandó – rendelet összefügg egymással. A GDPR elsősorban egy keretszabályozás, amely meghatározza az alkalmazandó eljárásokat és a működési rendet. Az e-Privacy rendelet pedig konkrétumokkal szolgál, még a technológia szintjén is. Vonatkozik például az e-mailekre, a rövid, szöveges üzenetekre (sms, messenger, stb.), előírja a metaadatok kezelési módját és azt, hogy hogyan lehet használni a cookie-kat, foglalkozik a spam-ekkel, a csevegőprogramokkal, a direkt marketing jellegű szolgáltatásokkal és az eszközökön tárolt adatokkal is. Ezenkívül nem csak természetes személyekre, hanem jogi személyekre is vonatkozik. Logikájában azonban ugyanaz: a személyes adatok feletti rendelkezés jogát az uniós polgárok kezébe adja.
Az Európai Unió eredeti terve szerint a GDPR és az e-Privacy egy időben lépett volna életbe, de az utóbbi szabályozás bevezetésének elhalasztásáért olyan óriáscégek mint a Google, a Facebook, az Amazon vagy az eBay intenzíven lobbiztak. A végleges rendelet elfogadása nagy valószínűséggel már csak a 2019 májusában zajló uniós választások után fog megtörténni. Ahogy a GDPR bevezetésekor, ebben az esetben is lesz felkészülési idő, de annak időtartama még nem ismert.
A big data elemzések jövője az e-Privacy rendelet tükrében
A rendelet tervezete az eddigi szabályozáshoz képest kiterjeszti azon metaadatok körét, amelyek személyes adatnak minősülnek. Egy telefonhívás esetén ilyen adat szinte minden olyan információ, amely a hívás körülményeire vonatkozik (a hívás helye, ideje, időtartama, a hívott fél stb.). Ugyanígy személyes adatként határozza meg az e-Privacy a böngészésre vonatkozó adatokat (pl. a lokációs adatok, a meglátogatott oldalak, a látogatás időpontja stb.).
A személyes adatok körének ilyen jellegű kiterjesztése komoly kihívást jelent olyan cégeknél, melyek big data módszerekkel szeretnék elemezni a felhasználók és az ügyfelek szokásait, a konkrét, (eddig) személyes adatnak minősülő információk kérése nélkül, kizárólag a böngészési szokások vagy az oldallátogatások időtartama alapján. Az új rendelet értelmében már ezek használatához is egyedi hozzájárulást kell kérni, még akkor is, ha az elemzéshez nincs szükség a tulajdonoshoz közvetlenül kapcsolható adatra.
A felhasználói hozzájárulást ugyanúgy kell „megszerezni”, mint ahogy az a GDPR esetében is szokott történni, előzetesen kell kérni és nem lehet korlátozni a szolgáltatást, ha a felhasználó nem járul hozzá adatai rögzítéséhez és használatához, valamint lehetővé kell tenni a számára, hogy a hozzájárulást könnyen vissza tudja vonni bármikor, amikor szeretné.
A hozzájárulás megadása és visszavonása bizonyos esetekben (például a cookie-knál, amelyek szintén személyes adatnak fognak minősülni) – egyszerűsödhet azáltal is, hogy nem weboldalanként kell megadni az engedélyeket, hanem a böngésző beállításaiban lesznek majd a jelenleginél sokkal árnyaltabb lehetőségek.
Feladatok és felkészülés az e-Privacy rendeletre
A felkészülést logikailag alulról érdemes kezdeni. Az első lépés egy mélyreható elemzés, ami kimutatja, hogy a jelenleg alkalmazott gyakorlat és a rövidesen életbe lépő e-Privacy rendelet előírásai között mely területeken tapasztalhatók eltérések. Ez alapján lehet elkészíteni egy kockázati térképet és egy megvalósítási tervet. Ezután pedig a személyes adatkezelés folyamatainak a rendbetétele következhet.
Mindez IT-üzemeltetési és biztonsági fejlesztéseket is indukál, amelyek célját az adatvédelmi folyamatok alapján kell meghatározni. Fejleszteni kell az adatkezelő rendszereket, valamint megfelelő védelem szükséges az illetéktelen hozzáférések ellen is. A jövőbeni IT fejlesztéseknél pedig minden IT rendszert úgy kell megtervezni, hogy az adatbiztonsággal kapcsolatos folyamatok bizonyíthatóan beépüljenek.
Ezenkívül ki kell alakítani az adatkezelés (osztályozás és nyilvántartás) szabályait, és ezek szabálykövető alkalmazására ki kell képezni a munkatársakat. A meglévő adatkezelési eljárásokat felül kell vizsgálni, és ki kell egészíteni az e-Privacy rendeletnek megfelelően a kapcsolódó szabályzatokat és szerződéseket. Akárcsak a GDPR esetében volt szükséges, itt is jó, ha kialakítunk egy kapcsolattartási rendszert a hatósággal, és létrehozunk egy incidenskezelési keretrendszert.
Az IoT rendszerek üzemeltetése az e-Privacy életbe lépése után
Napjainkban számtalan olyan IoT (’Internet of Things’) rendszer üzemel már Magyarországon is, amely a készülő e-Privacy rendelet értelmében személyesnek minősülő adatokat kezel. A NAV-hoz bekötött online kasszarendszer, a különböző okosotthon megoldások, a flottakezelő rendszerek vagy akár az okosmérők mind gyűjthetnek és tárolhatnak olyan adatokat, melyek az e-Privacy hatálya alá esnek.
A rendelet tervezett hatálya ugyanis nem csak a VoIP (Voice over IP), valamint az OTT (Over The Top) szolgáltatásokra, hanem az M2M (Machine to machine) és IoT megoldásokra is kiterjed. Ez azért van így, mert a gépek egymás közötti kommunikációját egy speciális elektronikus hírközlési szolgáltatásnak tekinti a hamarosan életbe lépő e-Privacy. Ezért ezekben az esetekben is a legtöbbször szükség lesz a végfelhasználók, azaz a kommunikáló eszközök tulajdonosainak, használóinak beleegyezésére, ha egy szolgáltatás részeként az adatokat egy csatlakoztatott eszközről egy másik csatlakoztatott eszközre továbbítják.
A szabályozás ezen része biztosan nagyobb adminisztratív terheket fog róni a cégekre és jogi bizonytalanságot is jelenthet majd a számukra, mert nehéz lesz egy olyan keretet kialakítani, amiben az érintett felhasználó visszavonható beleegyezést adhat minden jövőbeli releváns adatfeldolgozási tevékenységre. Az e-Privacy értelmében a végfelhasználóval kötött szerződés nem szolgál az ilyen adatfeldolgozás jogalapjaként. Ez egy fontos eltérés a GDPR-tól, amely a személyes adatok feldolgozását egyértelműen jogszerűnek ítéli meg, ha az a szerződés teljesítésére szolgál. IT biztonság
Nem csoda, ha ebben az útvesztőben Te is elveszettnek érzed magad. Keress minket bizalommal és vedd igénybe szolgáltatásainkat, amelyek segítségével megoldhatóvá válnak a feladatok!