Néhány napja robbant a hír, miszerint a Google egy kísérlet során elérte a kvantumfölényt, azaz egy olyan számítást végzett el néhány perc (egészen pontosan, 3 perc 20 másodperc) alatt, ami a világon elérhető legerősebb hagyományos számítógépnek több, mint 10.000 évébe telt volna.
A fenti hírt persze sok bizonytalanság övezi még (igazából inkább kiszivárogtatásról, mint bejelentésről van szó), ugyanakkor egy nagyon izgalmas korszak eljövetelét mutatja a számítástechnikában. (A NASA oldalán rövid ideig elérhető eredeti, "Quantum Supremacy Using a Programmable Superconducting Processor" című tanulmány megtalálható itt.)
A hihetetlen számítási kapacitás amellett, hogy elképesztő lehetőségeket tartogat, számos kérdést is felvet, köztük olyanokat is, amelyek az adatvédelmet is érintik.
Mi az a kvantumfölény és mi köze az adatvédelemhez?
A kvantumfölény (quantum supremacy) a kvantumszámítógépekben rejlő potenciál, miszerint képesek olyan számításokat megoldani, amelyeket a lehető legerősebb hagyományos számítógépek praktikusan nem (illetve csak nagyon hosszú idő, pl. 10 ezer év alatt) végeznének el.
De hogyan kapcsolódik ez az adatvédelemhez? A kapcsolat nem is olyan távoli, hiszen az adatvédelem kapcsán az adatkezelők (és adatfeldolgozók) egyik kiemelt feladata (és alapelvi szintű követelmény), hogy a kezelt adatok integritását és bizalmas jellegét megőrizzék. A technológiai fejlődés, beleértve a kvantuminformatika fejlődést is, újabb és újabb kihívások elé állíthatja az adatkezelőket, hiszen az általuk alkalmazott megoldásoknak a tudomány és technológia állásának megfelelően kell biztosítaniuk az adatok megfelelő szintű védelmét, ugyanakkor az adatkezelés teljes időtartamára kell tervezniük, így - különösen hosszabb távra tervezett adatkezelés esetén - figyelembe kell venni az olyan küszöbön álló technológiai megoldásokat is, amelyek felforgathatják az eddig jól bejáratott megoldások hosszú távú alkalmazhatóságát.
Miben jelenthet különösen kihívást a kvantuminformatika az adatkezelés során?
A GDPR által meghatározott követelmények kapcsán több ponton felmerül, hogy az adatkezelőknek (és részben az adatfeldolgozóknak) a tudomány és technológia állását is figyelembe kell venniük az adatkezelés kereteinek a kialakítása során, illetve az adatkezelés kapcsán felmerülő kockázatok értékelésekor. Ilyen utalást találunk a GDPR-ban, többek között,
- a természetes személyek azonosíthatóságának mérlegelése kapcsán;
- a beépített és alapértelmezett adatvédelemre vonatkozó rendelkezéseknél,
- az adatbiztonságra vonatkozó előírások körében.
A Rendelet Preambuluma (26) szerint "annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését." A technológiai fejlődés révén tehát előfordulhat, hogy egy adott időpontban anonimnak gondolt adat később (új technológiák, illetve új módszerek alkalmazása révén) egy konkrét természetes személyhez köthető lesz, így az adatvédelmi szabályok alkalmazandók rá. Egy adat anonim jellegének megítélése szempontjából figyelembe kell venni a technológia fejlődésének irányát és lehetőségeit is és adott esetben a mércét is ehhez igazítani.
A GDPR az adatkezelővel szemben - a beépített adatvédelem elvét támasztva - azt a követelményt fogalmazza meg, hogy
- "a tudomány és technológia állása és
- a megvalósítás költségei, továbbá
- az adatkezelés jellege, hatóköre, körülményei és céljai, valamint
- a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat
figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába." (GDPR, 25. cikk) Ehhez az elváráshoz kapcsolódik az adatbiztonsággal kapcsolatban megfogalmazott követelmény (32. cikk), amely az adatbiztonsági intézkedések körében példálózva utal a személyes adatok álnevesítésére és a titkosítására is.
A GDPR Preambuluma (83) a kockázatok értékelése és a kockázatokkal arányos intézkedések kapcsán utal arra, hogy a tudomány és technológia állásának figyelembevételével kell az adatkezelőnek és adatfeldolgozónak eljárnia:
A biztonság fenntartása és az e rendeletet sértő adatkezelés megelőzése érdekében az adatkezelő vagy az adatfeldolgozó értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz. Ezek az intézkedések biztosítják a megfelelő szintű biztonságot – ideértve a bizalmas kezelést is –, figyelembe véve a tudomány és technológia állását, valamint a végrehajtás kockázatokkal és a védelmet igénylő személyes adatok jellegével összefüggő költségeit. Az adatbiztonsági kockázat felmérése során a személyes adatok kezelése jelentette olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés – mérlegelni kell, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.
A fent hivatkozott előírásokból a témánk szempontjából a tudomány és technológia állása a kulcsfontosságú elem. Amikor az adatkezelő (vagy az adatfeldolgozó) az adatkezeléssel összefüggő kockázatokat értékeli, illetve a a kockázatokkal arányos adatbiztonsági intézkedésekről dönt, akkor a tudomány és technológia állása körében értékelnie kell az olyan lehetőségeket is, mint a kvantumszámítógépek jelentette esetleges áttörés a számítási kapacitás kapcsán.
A technológiai fejlődés jelentette kihívások az adatvédelmi hatásvizsgálatok elvégzése során is szerepet kaphatnak, hiszen a valószínűsíthető kockázat körében értékelhető lehet azon technológiák hatása is, amelyek még nem elég kiforrottak, illetve széles körben nem alkalmazhatók, de esetleges jövőbeni hatásuk már érzékelhető.
Kezdhetnek félni az adatkezelők a kvantumjövőtől?
Félniük az adatkezelőknek még biztosan nem kell, hiszen a kvantumfölény állítólagos elérése komoly tudományos siker, ugyanakkor a technológia további fejlesztése és praktikus, széles körben történő alkalmazhatósága még hosszú és számos buktatóval teli munkát igényel. Ugyanakkor a kvantumszámítógépek alkalmazásában rejlő potenciál ráirányítja a figyelmet arra, hogy olyan adatok kezelése esetében, ahol a megőrzés hosszú évekre vagy akár évtizedekre szól (pl. egészségügyi dokumentációk esetében) ott bizony a lehetséges kockázatok körében és ezekhez kapcsolódóan az alkalmazható intézkedések kapcsán számolni kell az olyan hosszabb távon életképessé váló új technológiákkal, amilyen a kvantumszámítógép is lehet. (A kvantumszámítógépek által a kriptográfiára jelentett veszély kapcsán már folynak a kutatások új titkosítási eljárások kialakítása érdekében.)
