Adatokat továbbítanak a rendszerei Kínába vagy az USA-ba?

Felhasználói fiók Hírlevél feliratkozás

Adatokat továbbítanak a rendszerei Kínába vagy az USA-ba?

Ebben az esetben nem felelnek meg a GDPR és a NIS2 szabályozásainak!

Biztonságtechnika
/
2025-04-10

Adatokat továbbítanak a rendszerei Kínába vagy az USA-ba?

A biztonságtechnikai rendszer akkor sem felel meg az EU adatvédelmi előírásainak, ha a szerverek Európában találhatók, hiszen az adatok továbbra is Kínába vagy az Egyesült Államokba kerülhetnek. Az ilyen beléptető és video rendszerek nemcsak adatvédelmi, hanem nemzetbiztonsági kockázatot is jelenthetnek, ezért kiemelten fontos a megfelelőség ellenőrzése.

Napjaink adatvédelmi kihívásai között kiemelt figyelmet érdemelnek azok a rendszerek, amelyek – sok esetben a felhasználók tudta nélkül – személyes adatokat továbbítanak az Európai Unión kívüli országokba, például Kínába vagy az Egyesült Államokba. Az ilyen adatáramlások komoly kockázatokat rejtenek magukban, mivel az érintett országok adatvédelmi szabályozása gyakran eltér az EU szigorú előírásaitól, és nem biztosítják az azonos szintű védelmet.

A kínai gyártású kamerarendszerek például számos országban tiltólistára kerültek, vagy már elkezdték azokat leszerelni, mert bizonyítottan adatokat továbbítanak külföldi szerverekre. Ez nem csupán adatvédelmi aggályokat vet fel, hanem komoly nemzetbiztonsági kockázatokat is jelent. Az amerikai rendszerek esetében pedig az ottani jogszabályok lehetővé teszik az adatokhoz való kormányzati hozzáférést, amely összeütközésbe kerülhet az EU-s jogszabályokkal.

Mit tehetünk?
Az adatkezelők és vállalkozások számára elengedhetetlen, hogy tisztában legyenek az általuk alkalmazott technológiák adatvédelmi követelményeivel. Minden olyan rendszer esetében, amely adatokat továbbíthat az EU-n kívülre, biztosítani kell a megfelelő szerződéses és technikai garanciákat, például titkosítás és anonimizálás formájában.

Az adatvédelem napjaink egyik legnagyobb kihívása, mivel a digitalizáció növeli az adatkezelési kockázatokat. Legyen szó beléptető- vagy kamerarendszerekről, illetve globális adatbázisokról, minden szervezetnek meg kell felelnie az adatvédelmi elvárásoknak, amelyekre a GDPR szabályai nyújtanak alapot.

A beléptetőrendszerek adatvédelmi kihívásaira a GDPR szabályai nyújtanak alapot. Az iránymutatások szigorú követelményeket és előírásokat tartalmaznak az adatbiztonság és a személyes adatok védelme érdekében.

A GDPR az adatbiztonságot alapelvként kezeli, és előírja, hogy a személyes adatokat technikai és szervezési intézkedésekkel kell védeni a jogosulatlan kezelés, adatvesztés vagy sérülés ellen (5. cikk (1) bek. f) pont). A 32. cikk az intézkedések megválasztásához nyújt iránymutatást, figyelembe véve a kockázatokat és a technológia állását.

A GDPR (2016/679 EU rendelet) hatályba lépése óta a vállalkozásoknak nehézséget okoz az adatbiztonsági követelmények teljesítése, különösen az informatikai rendszerek megfeleltetése. A beépített és alapértelmezett adatvédelem elve szerint a rendszereket már tervezéskor az adatvédelmi követelményeknek megfelelően kell kialakítani. Rossz döntések bírságot és adatvédelmi problémákat eredményezhetnek.

Európa, Amerika és Kína adatvédelmi szabályozása jelentős eltéréseket mutat, különösen a beléptető- és kamerarendszerek, valamint az adatok tárolása terén. Európában a GDPR szabályai érvényesek, Amerikában ágazati szabályozások dominálnak, míg Kínában az állami ellenőrzés meghatározó. Ezek az eltérések eltérő adatvédelmi szinteket eredményeznek.

Európa (GDPR) – Az adatvédelem szigorú szabályozása

Az EU-ban a GDPR (Általános Adatvédelmi Rendelet) 2018 óta hatályos, szigorú előírásokkal az adatkezelés és az adatok védelme érdekében. A rendelet egyértelmű szabályokat ad az érintettek jogainak védelmére és az adatkezelők számára.

A GDPR főbb elemei:

Adatminimalizálás: Csak a célhoz szükséges adatokat szabad gyűjteni, a kamerarendszerek pl. kizárólag a szükséges területeket figyelhetik meg, elkerülve a magánéleti zónák rögzítését.
Hozzáférési jogok: Az érintettek hozzáférhetnek adataikhoz, kérhetik azok helyesbítését vagy törlését, és tájékoztatást kérhetnek az adatkezelés módjáról. A különböző rendszereknek támogatniuk kell ezeket a jogokat naplózással és tájékoztató anyagokkal.
Adatok biztonsága: A személyes adatokat technikai és szervezési intézkedésekkel, például titkosítással, álnevesítéssel vagy rendszeres auditokkal kell védeni. Incidensjelentés: Az adatbiztonsági incidenseket 72 órán belül jelenteni kell az adatvédelmi hatóságnak, hogy gyorsan kezelhetők legyenek, minimalizálva a károkat.
A GDPR szigorú iránymutatásokat ad az adatok védelmére és az érintettek jogainak biztosítására az EU-ban. Ehhez szervezési és technikai intézkedések szükségesek:

Szervezési intézkedések: Belső szabályzatok és protokollok, például egyértelmű adatkezelési szabályzat kidolgozása az alkalmazottak számára.
Technikai intézkedések: Gyakorlati megoldások, mint: Álnevesítés és titkosítás az adatok jogosulatlan hozzáférésének megakadályozására.
Biztonsági másolatok rendszeres készítése és tárolása adatvesztés esetére. Rendszeres tesztelés és értékelés, például penetrációs tesztek az adatbiztonság ellenőrzésére.
Az alkalmazott intézkedések az adatok jellegétől, az adatkezelési folyamat hatókörétől, az érintettek számától és az adatkezelő lehetőségeitől függenek. A megfelelő döntések nemcsak a jogi megfelelést, hanem a felhasználók bizalmát is erősítik.

Az adatbiztonsági intézkedéseknek a személyes adatok megsemmisítéséből, elvesztéséből vagy jogosulatlan hozzáféréséből eredő kockázatokat kell minimalizálniuk.

Az intézkedéseknél figyelembe kell venni az adatkezelés jellegét, hatókörét és az érintettek számát, miközben a technológiai megoldásoknak naprakésznek kell lenniük. A költségeket reálisan kell mérlegelni.

A szervezetek rendszeres auditokkal biztosíthatják adatkezelési gyakorlatuk megfelelőségét, időben feltárva és javítva az esetleges hiányosságokat

Amerika (USA) – Az adatvédelem széttagolt szabályozása

Az Egyesült Államokban az adatvédelem nem egy egységes, átfogó törvény alapján működik, hanem különböző ágazati szabályozások határozzák meg az adatkezelési gyakorlatot. Ezek közé tartozik például a HIPAA (egészségügyi adatok védelme) és a CCPA (Kalifornia fogyasztóvédelmi törvénye).

Adatvédelem a vállalatok kezében: Az adatkezelés és -tárolás gyakran a vállalatok önszabályozására van bízva. Ez azt jelenti, hogy az adatvédelem szintje nagymértékben függ az adott cég gyakorlatától, ami jelentős eltéréseket eredményezhet a védelem színvonalában.
Személyes adatok védelme: Néhány állam, például Kalifornia, szigorúbb adatvédelmi törvényeket vezetett be, de sok más államban a szabályozás jóval lazább. Ez a széttagoltság nehezíti az egységes adatvédelmi gyakorlat kialakítását.
Adathozzáférés: A felhasználók számára nehézséget jelenthet jogaik érvényesítése, mivel az adataikhoz való hozzáférés, azok törlése vagy módosítása nem mindig garantált, és államonként vagy vállalatonként változhat. Adatok biztonsága: A biztonsági intézkedések szintje jelentősen eltérhet, mivel az egyes vállalatok saját hatáskörükben döntenek az alkalmazott technológiákról és gyakorlatokról. Ez egyes esetekben fejlett megoldásokat, máskor viszont hiányosságokat eredményezhet.
Az Egyesült Államok széttagolt adatvédelmi rendszere rugalmasságot biztosít a vállalatok számára, de egyben kihívásokat is jelent, különösen a fogyasztók jogainak védelme terén.

Kína – A személyes adatok állami kontrollja

Kínában 2021 júliusában lépett hatályba a PIPL (Kínai Személyes Adatvédelmi Törvény), amely számos ponton hasonlít a GDPR-ra, azonban jelentős eltéréseket is mutat a megközelítésében.

Szabályozás: A PIPL a személyes adatok kezelésének jogi keretét biztosítja, hasonlóan a GDPR-hoz. Ugyanakkor a szabályozás prioritásként kezeli a nemzeti érdekeket, ami jelentős befolyást ad az állam számára az adatok kezelésében. Állami ellenőrzés: Kínában az állam jelentős szerepet játszik az adatkezelésben. A vállalatoknak szoros együttműködésben kell működniük a hatóságokkal, és a kormány közvetlen hozzáférést is kérhet bizonyos adatokhoz.
Adatgyűjtés: Az adatgyűjtés mértéke gyakran meghaladja a GDPR adatminimalizálási elvét. A különböző rendszerek jelentős mennyiségű adatot gyűjthetnek az érintettek részletes tájékoztatása nélkül, ami az adatvédelmi gyakorlat átláthatóságának hiányát eredményezheti.
Hozzáférési jogok: A felhasználók hozzáférési jogai korlátozottabbak, mint Európában. Az adatkezelők nem mindig teszik lehetővé az adatok egyszerű megtekintését vagy törlését, ami csökkenti a magánszemélyek ellenőrzési lehetőségét saját adataik felett.
Adatok biztonsága: Az utóbbi években Kína jelentős erőfeszítéseket tett a kibertérbiztonság javítására, például a kibertanusítási intézkedések bevezetésével. Ennek ellenére a biztonsági gyakorlatok szigorúsága és átláthatósága vállalatonként változó.
A PIPL egy ambiciózus lépés Kína részéről az adatvédelem szabályozása felé, ugyanakkor az állami ellenőrzés és a nemzeti érdekek prioritása miatt a személyes adatok védelme eltér az európai szabványoktól.

Összegzés
Európában a GDPR biztosítja a legszigorúbb adatvédelmi kereteket, garantálva az érintettek jogait és az adatok védelmét. Az Egyesült Államokban az ágazati szabályozások és a vállalati önszabályozás eltérő adatvédelmi szinteket eredményez. Kínában a PIPL jelentős előrelépés, de az állami kontroll korlátozhatja az érintettek jogait.

Az adatvédelem szabályozása a három régióban eltérő megközelítéseket mutat: Európában szigorú szabályok, Amerikában szektorspecifikus keretek, Kínában pedig állami dominancia jellemzi.

1. Adatvédelmi keretrendszer

Európa:

GDPR: Az EU-ban a GDPR az alapvető adatvédelmi keret, amely az egyének jogait védi, és szigorúan szabályozza az adatok gyűjtését, tárolását és feldolgozását. Az adatgyűjtés csak jogszerűen, konkrét céllal és az érintettek beleegyezésével történhet.

Adatkezelés: Biztosítani kell az adatok minimalizálását, az adattárolás időbeli korlátozását, és az érintettek hozzáférési jogait.

Amerika:

Adatvédelmi szabályozás: Az USA-ban nincs átfogó adatvédelmi törvény, az adatvédelem ágazatonként és államonként eltér. Például a HIPAA az egészségügyet, a GLBA a pénzügyi szektort szabályozza. Az adatgyűjtés kevésbé szigorú, a vállalatoknak nagy mozgásterük van adatkezelési gyakorlatuk kialakításában.

Adatkezelés: Az érintettek kevesebb joggal rendelkeznek, a vállalatok gyakran érdekeltségi alapú megközelítést alkalmaznak, amely nem mindig biztosít egyértelmű kontrollt.

Kína:

Adatvédelmi keretrendszer: A PIPL (Személyes Adatvédelmi Törvény) az adatvédelmi szabályokat szigorította, de továbbra is kevésbé szigorú, mint a GDPR. A kormány közvetlen hozzáférést kap az adatokhoz, gyakran a nemzeti érdekeket helyezve előtérbe.

Adatkezelés: A nemzeti biztonsági követelmények jelentősen befolyásolják az adatkezelést és annak céljait.

2. Adatok és tárolás

Európa:

Tárolt adatok: A beléptetőrendszerek személyes azonosítókat (név, email, telefonszám), biometrikus adatokat (pl. ujjlenyomat, arcfelismerési adatok), és belépési információkat tárolnak.

Adatbiztonság: Az adatok titkosítással és szigorú protokollokkal védettek, hozzáférést csak jogosult személyek kapnak.

Amerika:

Tárolt adatok: A személyes és biometrikus adatok mellett viselkedési és helyadatokat is nagyobb mértékben gyűjtenek, gyakran harmadik feleknek is értékesítve.

Adatbiztonság: Az egységes normák hiánya miatt a védelem szintje vállalatonként változó, az alapvető intézkedésektől a fejlett technológiákig.

Kína:

Tárolt adatok: A különböző rendszerek személyes és biometrikus adatokat, valamint aktivitási, mozgási és megfigyelési információkat is gyűjtenek.

Adatbiztonság: Az adatokat a kormány szigorúan felügyeli, gyakran kötelező hozzáférést biztosítva a hatóságoknak.

Somogyi Katalin DPO adatvédelmi tisztviselő, adatvédelmi szakértő
Volver Data Protection
www.volver.hu