Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

EU: nincs mese, felejteni kell

2017. május 05. - ITsec

Szerző: Biztonságportál | Utolsó módosítás: 2017.03.16.

https://biztonsagportal.hu/eu-nincs-mese-felejteni-kell.html

Az EU új adatvédelmi rendelete (GDPR) az adatok törlésére vonatkozóan is szigorú követelményeket támaszt.

A törléshez való jog, más néven a "felejtés joga" kérdésköre először egy 2010-es eset kapcsán merült fel, amikor egy spanyol állampolgár panasszal fordult a helyi adatvédelmi hivatalhoz. Évekkel korábban egy rendezetlen adóssága miatt lefoglalták, majd árverésre bocsátották a házát, és erről egy hirdetmény is megjelent a helyi újságban. Az ügyet azóta rendezte, ezért kifogásolta, hogy a nevére rákeresve a Google még mindig megtalálja a hirdetményt. Egyrészt azt szerette volna elérni, hogy az újság törölje az adott oldalt, vagy változtassa meg a tartalmát úgy, hogy az ő személyes adatai ne jelenjenek meg. Másrészt azt akarta, hogy a Google Spain vagy a Google Inc. köteles legyen törölni a rá vonatkozó személyes adatokat, és azok többé ne legyenek elérhetők a kereső találatai között.
 
Homályos feltételek
 
A spanyol hivatal az Európai Unió szerveihez fordult, mivel a kéréssel kapcsolatban több kérdés is felmerült. Például, hogy az akkor érvényben lévő, 1995-ben megalkotott adatvédelmi direktíva érvényes-e az olyan keresőmotorokra is, mint a Google, illetve olyan vállalatokra, mint például a Google Spain, melynek adatfeldolgozó szerverei az USA területén működnek. De még csak az sem volt egyértelmű, hogy jogosult-e ilyen jellegű törlés kérésére a felhasználó. A bíróság állásfoglalása végül azt mondta ki, hogy az EU előírások mindenképpen érvényesek az EU területén belül működő szervezetekre, a személyes adatok tárolásának megszüntetéséhez való jog értelmezése során pedig több különböző szempontot kell figyelembe venni, köztük a szólás szabadságát, illetve azt is, hogy a szóban forgó személyes információ pontatlan, hiányos, irreleváns vagy éppen túlzó-e.
 
A bíróság döntése alapján az európai polgárok jogosultak kérvényezni a rájuk vonatkozó, már nem releváns információk törlését az olyan keresővállalatoktól, amelyek bevételt szereznek az adatok gyűjtéséből, így például a Google-től is. Ezt követően a Google közzétett egy online adatlapot, amelyen keresztül a felhasználók kérvényezhetik az ilyen jellegű adatok törlését. Az első napon - 2014. május 31-én - összesen több mint 12.000 kérés érkezett a keresőóriáshoz.
 
Felejteni kötelező
 
A NetIQ szerint a spanyol eset is arra mutatott rá, hogy az érvényben lévő szabályozás elavult. A GDPR (General Data Protection Regulation) viszont már részletesen foglalkozik a törléshez való joggal, és jóval túlmutat azon, hogy mi jelenhet meg egy webes keresőben. A szabályozás minden vállalatra érvényes, amely valamilyen módon személyes adatokat kezel, és pontosan kimondja, hogy a cég milyen esetekben köteles törölni azokat a felhasználó kérésére. Megfelelő indok lehet többek között az adattörlési kérésre, ha az információra már nincs szükség arra a célra, amelyre gyűjtötték vagy más módon kezelték, illetve, ha az érintett visszavonja hozzájárulását, és az adatkezelésnek nincs más jogalapja.
 
Ennek megfelelően a vállalatoknak ilyen szempontból is át kell gondolniuk az ügyfelek adatainak kezelését, valamint azt, hogy miként képesek eleget tenni az ilyen jellegű kéréseknek, és hogyan tudják igazolni azt a későbbiekben.
 
Az új előírásokra való tekintettel a NetIQ új funkciót épített be a Self Service Password Reset megoldásába. Az eszköz elsősorban az informatikai személyzet és a felhasználók munkájának könnyítését célozza azáltal, hogy lehetővé teszi a felhasználóknak az elfelejtett vagy letiltott jelszavaik önálló helyreállítását IT szakemberek közreműködése nélkül. A legújabb kiadásba most egy "Delete Me" opció is bekerült, amelynek köszönhetően a felhasználó kérésére a fiók a GDPR-ban előírtaknak megfelelően törlődik.