Az Európai Parlament Európai Parlament Állampolgári Jogi, Bel- és Igazságügyi Bizottságának egy módosító javaslata szerint a jövő májusban életbe lépő GDPR-ben (General Data Protection Regulation), azaz Általános Adatvédelmi Rendeletben szigorítani kellene az ügyféladatok tárolására vonatkozó szabályokat.
Anonimizálva se használhassák
A jelenlegi szöveg lehetővé teszi, hogy a vállalatok azután is tárolják ügyfeleik személyes adatait, ha a vállalat és az ügyfél között megszűnt a jogviszony. Ehhez anonimizálni kell az adatokat. (Az más kérdés, hogy ez bizonyos ágazatokban már ez is elég komoly kihívást jelent majd a cégeknek.)
Az Európai Parlament bizottsága most azt javasolja, hogy a személyes adatokat kezelő vállalkozások anonimizált módon se tarthassák meg az ügyféladatokat, hanem azokat legyenek kötelesek adatkezelésére feljogosító jogviszony megszűnése után végleges és helyreállíthatatlan törölni. Értelemszerűen ezt a műveletet igazolhatóvá is kellene tenni.
Amennyiben a javaslat bekerül a direktíva szövegébe, az újabb feladatok elé állítja a GDPR hatálya alá eső vállalkozásokat. Sokkal szigorúbban kellene például kezelni típustól függetlenül az adathordozók selejtezését (azaz a szervereket, a számítógépeket vagy mobiltelefonokat is ugyanúgy, az igazolhatóan végleges adattörlés után lehetne leselejtezni). De a Blanco magyar képviselete szerint még a szervizeléssel foglalkozó cégekre is hatással lesz: nem kezelhetik a meghibásodott eszközökön található személyes adatokat.
Mint arról korábban írtunk, a szakbizottság módosítót adott be az úgynevezett hátsó ajtók (backdoor) használatának tiltására, valamint az adatkommunikáció végponttól végpontig történő titkosításának kötelezővé tételére is.
A magyarországi vállalatok annyiban előnyben lesznek, hogy az adattörlést az Infotörvény (teljes nevén: 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) meglehetős alapossággal szabályozza. Minden esetben törölni kell az adatot, ha
- annak kezelése jogellenes;
- az érintett (az adat tulajdonosa) kéri;
- az hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki;
- az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
- a törlést bíróság vagy a hatóság elrendelte.
Nem elég törölni, igazolni is kell
A törlés kivitelezése azonban már közel sem egyszerű. Ugyanis ha bármilyen kétely merül fel a végrehajtásával kapcsolatban, az adatkezelőnek valamilyen módon bizonyítania kell, hogy ő az adatokat valóban úgy semmisítette meg, ahogy azt a törvény előírja: felismerhetetlenné tette úgy, hogy helyreállításuk többé nem lehetséges.
Az EU bizottságának javaslata nyomán sok cég kényszerülhet az adatkezelési szabályainak újragondolására. A minősített adatkezeléssel foglalkozó cégek viszont dörzsölhetik a tenyerüket. Ha a szabályozás átmegy, nagyon beindulhat számukra a piac. Nagyon kapósak lesznek ugyanis azok a minősített adattörlő – azaz a törlés tényét bizonyító erejűen igazolni képes – eszközeik és szolgáltatásaik, melyeket eddig csak speciális területekre tudtak eladni.
