A GDPR, azaz általános adatvédelmi szabályozás elvileg a magánszemélyek adatait hivatott védeni. Amióta 2018 május 25-én véget ért a két éves felkészülési időszak, rengeteg vita zajlott az egyes pontok értelmezéséről, akárcsak az azoknak való megfelelés technikai kivitelezéséről.

Habár sok cég a háta közepére se kívánta, illetve mostanság egyre inkább úgy tűnik, a legtöbb adatgazdát csak még jobban kihasználják a globálissá vált IT óriások, akad azért pozitív hozadéka is: ahogy egyre több büntetést szabnak ki a nemzeti hatóságok Európa-szerte, úgy kezdik mind komolyabban venni a megfelelést a vállalkozások.

Viszont ez egyelőre még nem járt a GDPR teljes megértésével, főként nem alkalmazásával.

Amikor a GDPR-ban járatos adatvédelmi szakértő válik etikus hackerré

James Pavur, az Oxfordi Egyetem biztonságtechnikai szakértője végzett el egy egyszerű, ámde annál nyugtalanítóbb kísérletet. A kísérlet alapja az a GDPR előírás volt, hogy az adatkezelők kötelesek átadni az adatgazdának minden, náluk tárolt adatát (annak másolatát), ha az adatgazda ezt külön kérelmezi, méghozzá záros határidőn belül.

Pavur arra volt kíváncsi, hogy ha a menyasszonya nevében, az EU-s szabályozásra hivatkozva kéri a hölgyről az információkat, kiadják-e azokat neki, mint vőlegényének.

Azaz eleve aggályos volt a kérése, hiszen nem ő volt az adatgazda – ezzel az erővel a szüleiről vagy testvéréről tárolt adatokhoz is kérhetett volna hozzáférést. Az eredmények eléggé vegyesek lettek, és több tanulságot is hordoznak.

A nagy cégek jól vizsgáztak, a közepes cégek közül több is elbukott, a kicsik szóra se méltatták

Röviden összefoglalva, a legnagyobb cégek kifejezetten jól vizsgáztak, azaz megtagadták az adatok kiadását a menyasszonya kifejezett engedélye nélkül.

A közepes cégek közül több is elbukott, és hitelkártya adatokat, utazási információkat, felhasználói neveket és jelszavakat is kiadtak. A kicsik viszont szóra se méltatták – habár ezzel végül is nem okoztak adatvédelmi incidenst. Igaz, az már a GDPR-jogászok asztala eldönteni, hogy a megkeresés figyelmen kívül hagyása sérti-e a GDPR rendelkezéseit – ha azt nem az adatgazda kérelmezi.

Akik jól kezelték a helyzetet, jellemzően valamilyen hitelesítő információt kértek: személyi igazolványt, vagy akár telefonos azonosítást. Ahogy Pavur összegezte, egyfelől jó érzés, hogy a nagy cégek tényleg figyelmet fordítanak az adatbiztonságra, másfelől az rémisztő, hogy közepes cégek (és itt most brit felfogás szerinti közepes méretű cégekről beszélünk) érdemi azonosítás nélkül kiadnak szinte bármit egy ügyfelükről, mert annyira nem értik vagy ismerik a GDPR-t.

Aki viszont a Servergardent bízza meg a szervere üzemeltetésével, az biztos lehet benne, hogy a szerveren található minden adat, beleértve az ő adatait is, tökéletes biztonságban lesznek a GDPR rendelkezéseinek megfelelően!