Hirdetés

Mi a teendő adatvesztéssel járó biztonsági incidenskor?

Az Európai Bizottság (EB) tegnap jelentette be, hogy olyan új szabályokat léptettek életbe, melyek rögzítik, hogy milyen teendőik vannak a távközlési, illetve internetszolgáltató cégeknek abban az esetben, ha ügyfeleik elektronikusan tárolt személyes adatai elvesznek, azokat ellopják, vagy ha az adatok más módon sérülnek. Az ún. „műszaki végrehajtási intézkedések” azt hivatottak biztosítani, hogy EU-szerte minden ügyfél azonos jogokkal rendelkezzen a személyes adatait ért kár esetén, és hogy az EU-ban működő, határokon átívelő szolgáltatásokat nyújtó cégek egységesen tudják kezelni az ilyen helyzeteket.

Neelie Kroes, az EB alelnöke így nyilatkozott az új szabályokról: „A fogyasztóknak tudniuk kell, ha személyes adataikban kár keletkezett, hogy megtehessék a szükséges lépéseket a helyzet orvosolására, a vállalkozásoknak pedig egyszerű szabályozásra van szükségük. Ezek az új gyakorlati intézkedések egységes keretfeltételeket biztosítanak.”

Hirdetés

Egységes, pontosabb

A távközlési szolgáltatók és az internetszolgáltatók nagyon sokféle információval rendelkeznek ügyfeleikről. Az előfizetőik által lebonyolított telefonhívásokon, illetve felkeresett honlapokon kívül ismerik nevüket, címüket és bankszámla-adataikat is. Az ilyen szolgáltatásokat nyújtó cégekre 2011 óta vonatkozik az az általános kötelezettség, hogy tájékoztatniuk kell az illetékes tagállami hatóságokat és előfizetőiket a személyes adatok megsértéséről.

Az EB rendelete folytán mostantól világosabb szabályok rögzítik, hogy a vállalatoknak hogyan kell eleget tenniük ezeknek a kötelezettségeknek, ami pedig az ügyfeleket illeti, az új szabályozás nagyobb mértékben biztosítja számukra, hogy problémájukra kielégítő megoldás szülessen. A vállalatoknak így például:

  • az adatsértés észlelését követő 24 órán belül tájékoztatniuk kell az illetékes tagállami hatóságokat az incidensről, hogy az adatsértésnek maximálisan gátat lehessen szabni. Ha nincs lehetőség teljes körű tájékoztatásra az adatsértés észlelését követő 24 órán belül, részleges információkkal kell szolgálniuk, a fennmaradó információkat pedig három napon belül kell közölniük
  • ismertetniük kell, hogy az adatsértés mely adatokat érinti, és hogy a vállalat milyen intézkedéseket hozott vagy fog hozni a helyzet orvosolására
  • annak megítélésekor, hogy értesítsék-e előfizetőiket (megvizsgálhatják például, hogy az adatsértés várhatóan károsan érinti-e a személyes adatok és a magánélet védelmét), a vállalatoknak figyelembe kell venniük a sérült adatok jellegét, főképp azt, hogy távközlési, pénzügyi, illetve helymeghatározó adatokról, internetes naplófájlokról, webböngészési előzményekről, elektronikus levelezéshez kapcsolódó adatokról vagy részletes híváslistákról van-e szó
  • szabványos formanyomtatványt (például minden EU-tagországban azonos online formanyomtatványt) kell használniuk az illetékes tagállami hatóságok értesítésére

Az EB emellett ösztönözni kívánja a vállalatokat arra, hogy titkosítsák az általuk feldolgozott és tárolt személyes adatokat. Ezért – az Európai Hálózat- és Információbiztonsági Ügynökséggel (ENISA-val) együttműködésben – az EB indikatív listát fog közzétenni azokról a technológiai védelmi intézkedésekről, például titkosítási módszerekről, amelyek az adatokat értelmezhetetlenné teszik mindazok számára, akik nem jogosultak azokba betekinteni. Ha egy vállalat gondoskodik ilyen technológiai védelmi intézkedésekről, és az általa tárolt vagy kezelt adatok sérülnek, a cég mentesül az értesítési kötelezettség alól, mert az előfizetők személyes adatai illetéktelenek számára felhasználhatatlanok maradnak.

Az EB 2011-ben nyilvános konzultációt folytatott a tervezett előírásokról. A válaszadók nagy többsége támogatta az egységes szabályozást ezen a területen. A szabályokat egy, a tagállamok képviselőiből álló szakbizottság dolgozta ki, majd azokat megvizsgálta az Európai Parlament és a Tanács is. A szabályok közvetlen hatályú bizottsági rendelet formájában kerülnek elfogadásra, így azokat nem kell külön átültetni a tagállamok jogrendjébe. A rendelet az EU Hivatalos Lapjában történő kihirdetése után két hónappal fog hatályba lépni.

Azóta történt

Előzmények