Az új irányelv megosztja a felelősséget az adatvédelmi incidensekért és jogszabály-szegésekért az adatot birtokoló vállalat és az adatot őrző felhőszolgáltató között, emellett pedig már nem csupán az európai szolgáltatókra vonatkozik, de azokra a tengerentúli vállalatokra is, melyek európai uniós állampolgárok adatait kezelik.
A felhő alapú megoldások biztonságossá tételével foglalkozó Skyhigh Network hétezer felhőszolgáltatóra kiterjedő friss statisztikája szerint azonban a szolgáltatóknak mindössze egy százaléka felel meg az új követelményeknek. Ezek kiterjednek az adatok kezelésére, az adatvédelmi incidensek jelentésére, a titkosítására, valamint a felejtés jogának bevezetésével az adattörlés területére is.
A cégek számára a legijesztőbb változás, hogy a napjainkban érvényes, 1995-ben elfogadott adatvédelmi irányelv nem fogalmazott meg útmutatást a büntetések mértékére nézve, az új szabályozás szerint viszont a bírság legmagasabb összege akár egymillió euróig vagy a cég éves bevételének 2 százalékáig terjedhet.
Kibújni is nehéz lesz az irányelv hatálya alól, mivel előírja: a szolgáltatók nem kezelhetik vagy tárolhatják a rájuk bízott adatokat olyan országokban, melyekben nincs legalább ugyanolyan szigorú szabályozás.
Jelenleg a legnagyobb gondot a cégek számára a felejtés jogának bevezetése okozza, melyről eddig elsősorban a Google találati listájának megváltoztatásával kapcsolatban lehetett olvasni. A minősített adattörléssel foglalkozó Blancco magyarországi szakértői azonban figyelmeztetnek arra, hogy az irányelv hatálya minden szolgáltatóra kiterjed, nem csupán a nagyvállalatokra.
„Jelenleg rendkívül kevés magyar vállalat szabályozza, hogy milyen módon selejtezi ki régi adathordozóit – beleértve nemcsak a szerverek és a munkaállomások merevlemezeit, de az okostelefonokat is. A cserélendő adathordozókon tömegével hagyják el a vállalatokat személyes adatok is” – emeli ki Petrányi-Széll András, a Blancco magyarországi képviselője.
Nem érdemes azonban a kalapácsért nyúlni, mivel az adatok törlése nemcsak informatikai, de adminisztrációs feladat is. A cégeket kötelezhetik arra, hogy bemutassák azokat a jegyzőkönyveket, melyek bizonyítják, hogy az adathordozók fertőtlenítése rendben és az elérhető legbiztosabb technológiával történt meg.
Az új adatvédelmi irányelv tervezete emellett előírja azt is, hogy az adatvédelmi incidenseket 24 órán belül jelenteni kell az uniós hatóságoknak, még akkor is, ha az incidens harmadik félnél történt. Ebbe beletartozik minden olyan hackertámadás, amellyel személyes adatokat szereztek meg az elkövetők, és az is, ha a vállalat egy munkatársa elveszít egy noteszgépet, melyen az ügyfelek adatait tárolták.
