További Tech cikkek
- Olyat hibát produkál a Windows, hogy garantáltan mindenki kiugrik a székéből
- Könnyen megeshet, hogy a Google kénytelen lesz eladni a Chrome-ot
- A Huawei hivatalosan is bejelentette, előrendelhető a Mate 70
- Lesöpörheti Elon Musk X-ét a Bluesky, már a Google is relevánsabbnak találja
- Ezek a leggyakrabban használt jelszavak – érdemes változtatni, ha ön is használja valamelyiket
Ami az internetre egyszer felkerül, azt többé nem lehet letörölni: nagyjából ez a mai, találó közvélekedés. A felhasználóknak több esetben valószínűleg igazuk van: elég csak a torrenten terjesztett 3D fegyverre gondolnunk, vagy Barbra Streisand esetére, aki megpróbálta amúgy senki által fel nem ismert nyaralóját kivetetni egy klipből. Innentől nem volt megállás, hiába törölték volna a nyaraló képét, az már régen sokszorozódott az interneten.
De tényleg mindennek fenn kell maradnia a neten? A kérdés egyáltalán nem ilyen egyértelmű. Joga van-e a Facebooknak ahhoz, hogy a feltöltött képeket örökre eltárolja? Joga van a Google-nek ahhoz, hogy minden egyes kattintást eltároljon? Vagy ez a jog a felhasználóé? Melyik a fontosabb érdek: hogy a különböző emlékek, amiket gyártunk, az emberiség történelmének egy része örökre megőrződjön, vagy ennél fontosabb, hogy mint a digitális korszak előtt, legyen jogunk hagyni, hogy viselt dolgaink feledésbe merüljenek?
Felelniük kell 15 éves tiniknek egy-egy helytelen fotóért tíz évvel később? A Google volt vezérigazgatója, Eric Schmidt szerint egyértelműen igen, az Európai Unió viszont más állásponton van. A korszerű adatvédelemre mindenképpen szükség lesz, hiszen a jelenlegi ütemben három év alatt megháromszorozódik a tárolt adatok mennyisége, ráadásul minden adat sokszorozódik, a mobillal elkészített képek például jellemzően egyből különböző tárhelyekre is szinkronizálódnak.
EU: friss adatvédelem kell
Már elkészült egy EU-s rendelettervezet, amely közvetlenül lesz hatályos a tagállamokra nézve, azaz az országok nem értelmezhetik majd egyedileg a jogszabályban leírtakat – mondta Ormós Zoltán internetes szakjogász. A rendelet az EU 27 országban egyszerre fog hatályba lépni, a tervek szerint 2014. január elsejétől. A szakjogász szerint a magyar tervezet hemzseg a fordítási hibáktól, ráadásul rendeletről van szó, tehát a magyar szöveg lesz a jogszabályszöveg, ami a későbbiekben problémákat okozhat.
Az adatvédelmi szabályozás nem előzmény nélküli az unióban: 1995. óta van érvényes irányelve, mely alapján alapvető jognak tekintik a hatékony védelmet. A mostani szabályokat azonban aktualizálni kell, mivel megalkotásukkor még sehol sem voltak például a közösségi oldalak, felhőszolgáltatók vagy éppen a számítási felhők, amelyek nemcsak technikailag működnek máshogy az akkor megszokotthoz képest, de könnyedén létrehozhatóak fizikailag nemzetközi szolgáltatások is, amiket már nem egyszerű beszabályozni.
Jogunk van felejteni
Az EU szerint személyes adatnak számít minden olyan információ, ami az adott egyén magánéletével, szakmai és közéleti tevékenységével kapcsolatos. A megfogalmazás elég homályos, ebbe beleérhetjük például a nevet, fotót, emailt, banki adatokat, egészségügyi információkat, közösségi oldalon hagyott üzeneteinket, de még a számítógépünket az interneten egyedileg azonosító IP-címünket is.
Az új rendelet egyik központi eleme az angolul „the right to be forgotten”-nek nevezett jog: ennek magyar fordítása még nem egyértelmű, a hivatalos anyagok az elég hosszú „a személyes adatok tárolásának megszüntetéséhez való jogként” nevezik, a jogászok és a pr-osok pedig felejtés jogaként, illetve töröltetési jogként hivatkoznak rá.
A kifejezés lényege, hogy a személyes adatok kezeléséhez kifejezett személyes hozzájárulásra lesz majd szükség, ami ráadásul visszavonható, azaz a szolgáltatónak minden olyan esetben törölnie kell majd az eltárolt információkat, ha azok megőrzése egyértelműen nem indokolható.
A netes óriásoknak nem tetszik
Mindezt ráadásul úgy, hogy a szabályozás az EU-n kívüli országokra is kötelezettséget ró, azaz érinti az Amerikában bejegyzett tömeges adatkezelőket is, mint például a Google vagy a Facebook. Ennek fényében nem túl meglepő, hogy e cégek a lobbistái elárasztották az internetet a szabályozást kritizáló közleményekkel. Éppen a napokban volt egy ellentámadás is: Vivien Redding, a rendelettel foglalkozó bizottság alelnöke a Prism-botrányt hozta elő. Mivel az unió állampolgárai egyszerűen nem perelhetnek az USA-ban az adatvédelmi botrány kapcsán Redding szerint itt az ideje, hogy az EU megvédje állampolgárainak adatait.
Az új szabályok alapján úgynevezett egyablakos rendszert vezetnek be, tehát elég lesz a magyar hatóságokhoz fordulni, ha például valaki el szeretne távolíttatni egy rá mutató, nemkívánatos keresési találatot a Google-ből. Ez egyébként a szabályozás egyik új eleme: a bevezetésétől nemcsak az elsődleges adatközlőt lehetne felelősségre vonni (például egy blogbejegyzés íróját), hanem például az arra mutató keresési találatért (másodlagos közlő) felelős céget is.
A jogalkotók szerint a szabályozás bevezetésével drámaian nőhet az adattörlési kérelmek száma: elsősorban a közösségi oldalakon – le tudjunk majd törölni azokat a fotókat, amik 18 évesen jó ötletnek tűntek. A jogszabály nem visszamenőleges hatályú.
Ha a szolgáltatók nem teljesítik a törlési kérelmeket, 2014-től egységesen maximálisan éves globális bevételük két százalékára büntethetőek, ami már nem egy kis összeg a Google vagy a Facebook esetében. Közintézményeknél és magánszemélyeknél az összeg felső határa 1 millió euró.
A kutatóknak könnyebb lesz
A rendelet egységesen lép majd életbe, egyetlen ponton lesz majd helye tagállami szabályozásnak: a véleménynyilvánítás és a sajtószabadság körében hozhatnak be kivételeket. Nem lehet például könnyedén cikkeket töröltetni, sőt valószínűleg a szigorítás nem érinti az újságarchívumokat sem, így aki abban reménykedett, hogy mostantól majd egyszerűbben kitörölheti a sajtóban róla megjelent valós információkat, az téved – igaz, még nem tudni pontosan, ilyen helyzetben mi lesz a gyakorlat a másodlagos adatközlőkre vonatkozóan.
A szabályozás másik érdekes, a korábbiakhoz képest jóval enyhébb része a kutatókat érinti: eddig nagyon nehéz volt személyes adatokkal kísérleteket végezni, a hálózatkutatás szinte elsorvadt Európában a néha talán indokolatlanul szigorú szabályok miatt. Jövő évtől viszont könnyebben hozzáférhetnek majd a szakemberek a személyes, de anonimizált adatokhoz. Igaz, az MIT márciusi kutatása szerint például az anonim mobiladatokból simán visszakövetkeztethetők a valódi felhasználók.
A magyar túl szigorú
Az új jogszabályok rendet tesznek majd egy kicsit a magyar káoszban: Ormós szerint a magyar adatvédelmi szabályozás a vaskalapos német adatvédelmi megoldásoknál is sokszor szigorúbb volt: az itthoni jogszabályok szerint például egy adatfeldolgozó további adatfeldolgozót nem vehet igénybe, azaz a gyakorlatban például egy felhőszolgáltató egyszerűen nem működhetne, de más esetben is nehéz elképzelni, hogy ne adjon tovább valaki adatokat, teljesen életszerűtlen megoldás. Szerencsére egy áprilisi törvénymódosítás július elsejétől hatályon kívül helyezi ezt a szabályt.
Ezen az extrém példán kívül az új EU-s jogszabály felülírja a magyar információs törvényben foglalt eddigi, egyébként nagyjából megegyező jogokat: valójában eddig is volt lehetőség például töröltetésre, csak a külföldi szolgáltatókkal szemben egyszerűen nem tudtak a magyar jogászok fellépni, nem volt a kezükben szankcionálási lehetőség – most viszont bejön a hatalmas bírság.
Törölni csak pontosan, szépen
Az egész szabályozáshoz kapcsolódó probléma, hogy manapság, bár egyre több ehhez kapcsolódó incidensről hallani, gyakorlatilag nagyon kevesen foglalkoznak biztonságos adattörléssel. Az használt számítógépeken tömegesen maradnak rajta személyes vagy céges adatok.
A minősített adattörléssel foglalkozó Blancco magyar felmérése szerint a felhasználók 92 százaléka megbízhatatlan módszerrel törli adatait. 30 százalék egyszerűen formázza a merevlemezt, ami csak az adat helyét törli, fizikailag ott maradnak a kényes információk, amelyek könnyedén visszaállíthatók. 22 százalék úgy gondolja, hogy az operációs rendszer újratelepítése megoldja ezt a kérdést, 23 százalék pedig egyáltalán nem tudja, mi történt az adataival, mert mást bízott meg a törlésükkel. Egytizedük egyszerűen nem gondolta, hogy ezzel a kérdéssel foglalkoznia kellene.
Nem kell túl messze menni ahhoz, hogy életszerű forgatókönyveket találjunk a hiányos adattörléssel kapcsolatban: bár a használtszámítógép-piac Magyarországon talán nem túlságosan pörög, és ha el is adjuk a gépünket, nem biztos, hogy tele van érzékeny adatokkal, de ma már szinte mindenkinek van okostelefonja, amely működéséből adódóan rengeteg személyes információt, kapcsolati adatokat telefonszámokat, képeket tárol. Ezekben ugyan nem merevlemez, hanem általában SD-kártya van, de róluk szintén visszaállíthatók az adatok akkor is, ha rámegyünk a gyári adatok visszaállítására (amely alapállapotba rakja a telefont).
Szerencsére otthoni felhasználásra van megoldás, rengeteg adattörlő programot találni a neten, linuxosoknak pedig ott a shred, amellyel egész pontosan beállíthatjuk például, hogy hányszor akarjuk felülírni érzékeny fájljainkat. Mindez persze a cégeknek nem megoldás, a törvénybeli kötelezettségek szerint személyes adatok törlését auditálni is kell, ehhez pedig már összetettebb megoldások szükségesek.