A "Live Update" veszélyei
ts 2003.11.26. 19:13
A Német Szövetségi Köztársaság és a tartományok adatvédelmi biztosai úgy határoztak, hogy közösen lépnek fel a szoftvergyártók azon egyre fokozódó törekvései ellen, amellyel azok az internet útján a felhasználók személyi számítógépeihez észrevétlenül hozzáférnek.
A rendszer- és felhasználói szoftverek aktualitásának és biztonságának biztosítása érdekében szükséges a rendszeres frissítés elvégzése. A szoftver előállítók világszerte egyre növekvő mértékben ajánlják, hogy szoftvercsomagjaikat, vagy egyszeri frissítéseiket az interneten keresztül on-line frissítés formájában ügyfeleik számítógépére töltik, és automatikusan installálják. Ez az eljárás jelentős adatvédelmi kockázatot hordoz magában:
¨ Egyre gyakrabban fognak ezáltal – többnyire a felhasználó tudta nélkül – a célgépről meghatározott személyre vonatkoz(tathat)ó adatokat leolvasni és a szoftvergyártónak továbbítani anélkül, hogy az e gyakorlatban technikai okokból szükséges lenne.
¨ Ebből következően az on-line frissítés gyakran okoz a célgép szoftvereiben változásokat úgy, hogy ezt megelőzően a szükséges teszteket elvégezték volna.
¨ Nincs ezen felül az sem biztosítva, hogy a beavatkozás után más programok hibátlanul tovább működnének. Az észre nem vett és nem ellenőrzött frissítést később nem lehet egy lehetséges hiba okaként felismerni.
A Szövetségi Köztársaság és a tartományok adatvédelmi biztosai rámutatnak arra, hogy adatvédelmi kérdésnek tekintendők az automatizált eljárásban való változtatások a személyes adatok kezelésében, vagy az annak alapjaként szolgáló rendszer működtetésében, ezért azt csak az erre kifejezetten felhatalmazott személy számára szabad lehetővé tenni. Amennyiben ezen eljárások során a felhasználók személyes adatait továbbítják és kezelik (feldolgozzák), ahhoz a rendszer adatvédelmi felelősének hozzájárulása szükséges.
A legtöbb automatikus eljárásban ajánlott szoftver frissítés ebből a szempontból nem felel meg a német adatvédelmi jog követelményeinek. Különösen hiányzik többnyire annak a lehetősége, hogy a frissítési eljáráshoz az érintett hozzájáruljon. Az adatkezelő és adatfeldolgozó szervezeteknek az ilyen on-line frissítéseket nem szabad használniuk azelőtt, hogy azt a rendszertől elkülönített teszttel kipróbálták volna.
Magánszférájuk védelme szempontjából nagy kockázatot vállalnak magukra az automatikus frissítéssel az egyéni felhasználók is. A felhasználók anonimitását veszélyezteti és ezért az adatvédelem követelményei nem érvényesülnek elégséges mértékben, ha az adatokat észrevétlenül továbbítják a szoftvergyártóknak.
A biztosok ezért felhívják a szoftvergyártókat arra, hogy olyan, a felhasználók által ellenőrizhető és általuk kezdeményezhető frissítési lehetőségeket bocsássanak a felhasználók rendelkezésére, melyekhez nem szükséges a célgépről való adatátadást. Az automatikus frissítés csak külön választás útján legyen lehetséges. Ezeket úgy kell modifikálni, hogy mind a frissítés, mind az installálás átlátható és felülvizsgálható legyen. A szoftver frissítésnek nem lehet az a feltétele, hogy a felhasználó a számítógépéhez gyakorlatilag korlátlan és ellenőrizhetetlen hozzáférést kell biztosítson. Személyes adatokat csak akkor szabad továbbítani, ha a felhasználás célja teljes mértékben ismert és az érintett az adat kezeléséhez hozzájárult.
A fentiekhez csak annyit érdemes hozzáfűzni, hogy a magyar adatvédelmi jog érdemben nem különbözik a némettől…
Trócsányi Sára
|