A legtöbb vállalat nem készült még fel az Európai Unió új adatvédelmi szabályozására, pedig komoly büntetésekkel is lehet számolni.
Az Európai Unióban a személyes adatok védelméről jelenleg egy 1995-ös szabályozás gondoskodik, melyet hamarosan felvált az új adatvédelmi irányelv. Az új irányelv megosztja az adatvédelmi incidensekért és jogszabályszegésekért való felelősséget az adatot birtokoló vállalat és az adatot őrző felhőszolgáltató között, emellett pedig már nem csupán az európai szolgáltatókra vonatkozik, de azokra a tengerentúli vállalatokra is, melyek európai uniós állampolgárok adatait kezelik.
A felhő alapú megoldások biztonságossá tételével foglalkozó Skyhigh Network hétezer felhőszolgáltatóra kiterjedő friss statisztikája szerint azonban száz szolgáltatóból jelenleg mindössze egy felel meg az új elvárásoknak. Ezek kiterjednek az adatok kezelésére, az adatvédelmi incidensek jelentésére, a titkosítására, valamint a felejtés jogának bevezetésével az adattörlés területére is – áll a minősített adattörléssel foglalkozó Blancco közleményében.
Míg a korábbi, 1995-ös adatvédelmi irányelv nem fogalmazott meg útmutatást a büntetések mértékére nézve, addig az új szabályozás szerint a bírság legmagasabb összege akár 1 millió euróig vagy a cég éves bevételének 2 százalékáig terjedhet. Az irányelv emellett előírja, hogy a szolgáltatók nem kezelhetik vagy tárolhatják a rájuk bízott adatokat olyan országokban, melyekben nincs legalább ugyanolyan szigorú szabályozás.
Jelenleg a legnagyobb gondot a cégek számára a felejtés jogának bevezetése okozza, melyről eddig elsősorban a Google találati listájának megváltoztatásával kapcsolatban lehetett olvasni. A Blancco arra figyelmeztet, hogy az irányelv hatálya minden szolgáltatóra kiterjed, nem csupán a nagyvállalatokra.
„Jelenleg rendkívül kevés magyar vállalat szabályozza, hogy milyen módon selejtezi le régi adathordozóit – beleértve nemcsak a szerverek és a munkaállomások merevlemezeit, de az okostelefonokat is. A cserére kerülő adathordozókon pedig tömegével hagyják el a vállalatokat személyes adatok is” – emeli ki Petrányi-Széll András, a Blancco magyarországi képviselője.
A cégeknek egy vizsgálat során be kell majd tudniuk mutatni azokat a jegyzőkönyveket, melyek bizonyítják, hogy az adathordozók fertőtlenítése rendben és az elérhető legbiztosabb technológiával történt meg. Az új adatvédelmi irányelv tervezete emellett előírja azt is, hogy az adatvédelmi incidenseket 24 órán belül jelenteni kell az uniós hatóságok felé, még abban az esetben is, ha az incidens harmadik félnél történt. Ebbe beletartozik minden olyan hackertámadás, melynek során személyes adatokat szereztek meg az elkövetők, de az is, ha a vállalat egy munkatársa elveszít egy notebookot, melyen az ügyfelek adatait tárolták.
