Blog

Data Retention Directive az EU-ban - mire számíthatunk?

2008.10.03. 12:55:51, Gulyás Gábor

Szeptember 19-én indult a CEU szervezésében a Data Retention for ISPs, International Workshop (program), amely első sorban az internetszolgáltatók oldaláról vizsgálja a direktíva hatásait, s a prigram első napja panel beszélgetéseket foglalt magába, majd a hétvégén kétnapos vita program követte ezt. A workshop alapvetően nem technikai oldalról közelítette meg a problémát, a panelek között is csak egy foglalkozott a technikai "válasz" lehetőségekkel.

(A szabályozás iránt érdeklődő olvasók itt megtekinthetik a direktíva eredeti szövegét, illetve a TASZ oldalán magyarul is elolvashatják, hogy mely adatok tárolására kötelezi az EU a szolgáltatókat. )

A szabályozás lényege, hogy 2009. január 1-től a távközlési és internet szolgáltatók kötelesek lesznek a hálózatukat érintő kommunikációs tevékenységek meta adatainak naplózására (a tartalom naplózását tiltja a direktíva). Az adatokat fél évtől két évig terjedő ideig tárolják, a tárolási időszak végén pedig megsemmisítik, vagy anonimizálják azokat. A hatóságok kérésére a szolgáltatók kötelesek kiadni az adatokat, s ha ennek a kérésnek nem tesznek eleget, súlyos bírságokkal számolhatnak, melyek 80 ezer eurótól 400 ezer euróig terjednek.

A direktívára a legjobb válasz a felhasználók felkészültsége, hiszen mint írtunk róla, a PET-ek éppen a meta adatok védelmére lettek kitalálva. Azonban némi mozgástere a szolgáltatóknak is van, de nem sok. A technikai szekcióban elhangzott egyik ötlet szerint az adatbázis rekordjait kulcshierarchiába szervezett időszakos kulcsokkal kell titkosítani, s így kérésre csak a megfelelő rekordokhoz tartozó kulcsokat kell kiadni. Valamint úgy kell kihelyezni a kulcsokat, hogy jogilag nehéz legyen "kikényszeríteni" valamennyit. Jó ötlet lehet még, hogy ha a szolgáltató pszeudonim azonosítójú rekordokat tárol, s megnehezíti az eredeti, személyes adatok visszafejtését. (Az erről szóló előadás fóliái letölthetőek innen. )

A felhasználókra nézve a legnagyobb problémát az jelenti, hogy nem egyértelmű, hogy a szabályozás pontosan milyen adatokra vonatkozik, a megvalósítás területén így a tagállamok és a szolgáltatók is magukra maradtak: ennek viszont az az eredménye, hogy a szolgáltatók túl teljesítik az elvárásokat. Hiszen a direktíva csak egy minimumot ajánl, a több teljesítésére a tartalmak naplózásának tilalmán kívül nincs is korlát. Jó hír azonban, hogy a szolgáltatók messze vannak még a teljesítés befejezésétől, több helyen még neki se láttak. Mindenesetre kíváncsian várjuk az első biztonsági hibákról és adatbázis lopásokról szóló híreket.

Hozzászólások

Összesen 1 hozzászólás látható.

2008.10.05.

Gulyás Gábor 2008.10.05. 19:53:26
Az IT Café cikke a Brit bevezetésről.

A hozzászóláshoz be kell jelentkezni!

© PET Portál és Blog, 2008-2010 | Impresszum | Adatvédelmi nyilatkozat