Felkavarja az internetet az EU új GDPR (General Data Protection Regulation) betűszóval emlegetett adatvédelmi szabályozása. A felhasználók valószínűleg örülhetnek annak, hogy ellenőrzöttebb keretek között fogják kezelni az adataikat. Talán még azt is megéljük, hogy nem kell minden oldalon lekattintani egy olyan cookie policy figyelmeztetést, aminek az apróbetűs részét senki nem olvasta el.
(fotó: The Preiser Project / Flickr CC-BY)
A szolgáltatók, illetve a kis- és középvállalkozók számára hoz kényelmetlen perceket a szabályozás. A GDPR például elvárja, hogy az adatkezelésbe való beleegyezés egyértlmű és határozott legyen. Tudjátok, ez az, amit eddig lekattintottunk regisztrációkor öt másik dokumentum között, hogy beleegyezünk. Freddie McMahon szabályozási szakértő szerint a beleegyző dialógusablakok nem lesznek elegendők, a GDPR-rel eljön a csetrobotok kora.
A szabályozási dokumentum azt határozza meg, hogy az adattulajdonos megfelelő tájékoztatás után kell, hogy meghozza az adatainak kezelésére vonatkozó döntést. Erről írva vagy szóban is nyilatkozhat, illetve egy technikai beállítást használva is rendelkezhet. Az előre bepipált, leokézható állítások azonban kívül esnek az elfogadható megoldások körén.
A fentiek mellett, ha többféle adatkezelés valósul meg, akkor lehetőséget kell arra adni, hogy ezeknek csak egy részébe egyezzen bele az adattulajdonos. Az engedélynek pedig, legyen az teljes vagy részleges, visszavonhatónak kell lennie. És ha a fentiek nem lennének elég bonyolultak, akkor a 16 évnél fiatalabb felhasználó esetében az adatkezelőnek mindent meg kell tennie, hogy ellenőrizze, hogy a szülők vagy a gondviselők adták meg az engedélyt.
McMahon szerint mindebből az következik, hogy az eddigi Általános Szerződési Feltételek, Adatkezelési Nyilatkozat és hasonló jellegű dokumentumok lényegében halottak. Most sem érti őket a kutya sem, de legalább el sem olvassák ezeket a dokumentumokat. Így viszont az adatkezelőt bármikor bíróság elé lehet rángatni.
A szakértő szerint a gépi tanulás, a nyelvfeldolgozás és a csevegőrobotos technológia a jövő. A robot elmagyarázhatja azt, hogy mire kér engedélyt az oldal, a felhasználó belekérdezhet, a rendszer pedig rögzítheti a megadott engedélyeket.
Drága móka nem engedelmeskedni
A GDPR kibővíti a személyes adatok körét: ilyennek számt a jövedelem, helymeghatározó adat, e-mail cím, telefonszám, de egy Facebook vagy Twitterfiók címe is. Az adatvesztést pedig az teszi rizikósság, hogy az adatkezelőre hárul annak a bizonyítása, hogy a kockázatokkal arányosan védte a rendszerét. A százmilliós adatbázist az USA-ban elhagyó Equifax labdába se rúghatna ilyen szabályozás mellett, kiröhögnék a tárgyalóteremből, mielőtt egy szót is szólna.
A szabályozás másik, a nagy mennyiségben adatokat kezelő cégek számára veszélyes, lényeges pontja, hogy az incidenseket 72 órán belül jelenteni kell az adatvédelmi hatóságnak. Incidens az is, ha egy laptoppal vagy pendrájvval elvész egy adatbázis, de az is, ha hackerek jutnak a rendszerbe. Eddig jellemzően az adatvédelmi botrányba kerülő cégek nem siettek ennek a jelzésnek a kiadásával. Pedig egy-egy incidens nem csak az adott cég számára rizikós, a több oldalon újrahasznált jelszavak miatt egy-egy felhasználó teljes digitális identitását el lehet lopni, ha valahol kikerülnek az adatai.
A GDPR szabályainak megsértése drákói bírsággal jár. A kiszabható büntetés maxiuma a globális éves forgalom 4 százaléka vagy 20 millió euró. A két feltétel nem felső korlátozás, a magasabb összeget kell választani.
Szólj hozzá