Mintha betettek volna a szoba közepére egy GDPR feliratú bombát, ami ketyegett, de amikor lejárt az idő, nem történt semmi — mondta Keleti Arthur, az Önkéntes Kibervédelmi Összefogás (KIBEV) alapító-elnöke a Nemzeti Közszolgálati Egyetemen, a Biztonságpiac Konferencia pódiumbeszélgetésén, amelyen a GDPR mellett az egyre nagyobb adatvédelmi kihívást jelentő kamerarendszerekről, illetve a komoly kiberbiztonsági kockázatot jelentő kínai techcégekről esett szó.
Mádi-Nátor Anett, a kiberbiztonsági szolgáltatásokat kínáló Cyber Services nemzetközi igazgatója szerint a GDPR mellékhatása, hogy nemcsak a visszaéléseket nehezítette meg, de sokak munkáját is, mert sokkal körülményesebbé vált az adatbányászat, az adatok etikus felhasználása is. Cserében új piacok nyíltak meg, mert olyan konzervatívabb iparágakba is be lehet már szállni, amelyek korábban kevésbé törődtek a kiberbiztonsággal.
Naivitás volt azt gondolni, hogy 2018. május 25-től minden egy csapásra megváltozik – mondta Péterfalvi Attila, a GDPR betartatatásáért felelős hazai testület, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke. A GDPR egy rendelet, amely közvetlenül alkalmazandó, és kevés mozgásteret ad a tagállamoknak. A jogalkalmazó helyzetét nehezíti az is, hogy hiába vannak még érvényben bizonyos tagállami szabályok, ha a GDPR-nak ellentmondanak, nem alkalmazhatók, ezeket az ellentmondásokat pedig ki is kell iktatni, sőt már korábban meg kellett volna tenni. Péterfalvi cáfolta Keletit a robbanás elmaradásának ügyében: mint mondta bár május 25-től élesedett a GDPR, a NAIH eljárási szabályait is össze kellett hangolni, s az ezt elvégző új Infotörvény csak július 26-án lépett életbe, így eleve csak az ez után indult ügyekben lehet bírságot kiszabni. Éppen ezért hamarosan minden eddiginél nagyobb bírságok kiszabása várható.
A rendelet egyik fontos újítása például, hogy amelyik szervezetet adatbiztonsági incidens éri, például meghekkelik vagy gondatlanságból kikerülnek az általa kezelt adatok, 72 órán belül köteles jelenteni az incidenst. A NAIH elnöke szerint aki ezt elmulasztja, semmiféle méltányosságra nem számíthat, az ilyesmi automatikusan büntetést fog érni.
A kamerarendszerek adatvédelmi aspektusaira rátérve Szűcs Gábor, a Robert Bosch biztonságtechnikai szakértője elmondta, hogy épp nagy változás zajlik e rendszerek fejlettsége terén. Az elmúlt tíz évben a passzív, zárt láncú rendszerekből egyre inkább átáll a világ a nyitott, távolról is elérhető rendszerekre, amelyek már nemcsak klasszikus vizuális megfigyelőberendezések, hanem egyben szenzorokkal felszerelt analitikai eszközök is. Egyes biztonsági kamerák például már egészen korai fázisban képesek érzékelni, ha valahol tűz üt ki; mások egy üzleten belül képesek elemezni a vásárlók mozgását, hogy megállapítják, melyek a leginkább frekventált részek; megint másikak a látogatók demográfiai adatait is képesek rögzíteni arcfelismerés segítségével. A hírekben olykor olvasható, rémisztően okos rendszerekről szóló történetek viszont Szűcs szerint nem minden esetben fedik teljesen a valóságot.
Péterfalvi szerint szabályozói szempontból különbséget kell tenni az üzleti célú, illetve a közterületi és más bűnüldözési, honvédelmi célú kamerák között, mert utóbbiak nem a GDPR, hanem az Infotörvény hatálya alá tartoznak.
Mádi-Nátor is azt hangsúlyozta, hogy ma már nem elég a konkrét kamerákra gondolni, más olyan eszközökkel is számolni kell, amelyekben kamera van: például a mobiltelefonokra. Azokra, amiket például a Huawei gyárt. Ezek az eszközök rengeteg adatot gyűjtenek, elemeznek és tárolnak. „Gondoljuk végig azt, hogy egy európai telekommunikációs hálózatban, ahol például az ilyen adatok is közlekednek, milyen gyártóknak az eszközei kerülnek beépítésre? A hálózatokba beépített eszközöknek szerintem több mint hatvan százaléka kínai gyártásból származik” – mondta.
Mádi-Nátor szerint abba, hogy a kínai gyártók az általuk fejlesztett képességeket a saját országukon belül milyen megfigyelőrendszer kialakításához használják, nem lehet beleszólni. Az Európai Uniónak viszont fel kell készülnie a hasonló helyzetek és technológiák megfelelő kezelésére. Mint mondta, jelenleg két ipari szereplőkre vonatkozó EU-s jogszabálytervezet is előkészítés alatt áll. Ezek a tervek szerint elő fogják írni, hogy az Európában is működő gyártók a termékeiket már kutatás-fejlesztési szakaszban be kell, hogy csatornázzák egy nemzeti kompetenciaközpont-rendszerbe. Ezzel elindulhatnánk abba az irányba, hogy ne legyünk annyira kiszolgáltatottak egy ázsiai gyártási láncnak, mint amilyen kiszolgáltatottak most vagyunk – mondta.
