Május 25-én hatályba lép az EU új általános adatvédelmi rendelete (General Data Protection Regulation, GDPR). Az európai cégek vezetői ambivalens érzésekkel várják a dátumot: a GDPR végre korszerű, egységes keretet biztosít az adatkezeléshez, de szigorú kötelmeket is ró a szervezetekre, és súlyos pénzbírsággal fenyegeti a jogsértőket. Az EU-n kívül ugyanakkor sokféle szabályozás érvényesül, ami nem könnyíti meg azoknak a vállalkozásoknak a dolgát, amelyek a világ több pontján működnek. Egyet tehetnek: felkészülnek rá, hogy heterogén jogi környezetben kell boldogulniuk, ami számos csapdát rejt.
Nincs már idő
A nagyvállalatok adatkezelése a vállalatirányítási (ERP-) rendszer része, amely csatolt részével, az ügyfélkapcsolat-kezelő (CRM-) rendszerrel együtt hatalmas adattömeget kezel a vásárlókról: olyan információkat (címeket, azonosítókat stb.), amelyek mind-mind a GDPR hatálya alá esnek. Az új rendelkezések értelmében az információ jellegétől függetlenül a vállalkozásoknak biztosítaniuk kell a felejtés jogát, vagyis azt, hogy minden személyes adat teljesen és maradéktalanul megsemmisíthető legyen.
A személyes adatok felkutatása és törlése egy ERP-rendszerben nem mindig egyszerű: az adatok sokfajta táblázatban és helyen bújhatnak meg, emiatt a folyamat időigényes lehet. A GDPR minderre az adatigényléstől számítva egy hónapos határidőt szab meg, vagyis a nagyvállalatoknak a büntetések elkerülése érdekében érdemes idejekorán, a GDPR hatályba lépése előtt tesztelniük ERP-szoftverüket.
Ha mindehhez még hozzávesszük, hogy a GDPR az egyénektől határozott és egyértelmű feliratkozást követel meg, a hozzájárulásokról pedig olyan nyilvántartást kell vezetni, amelyből kiderül, ki milyen adatai kezeléséhez járult hozzá, és a 16 éven aluliak esetében szülői hozzájárulás szükséges, akkor egyértelművé válik, hogy a GDPR olyan kérdés, amivel minden vállalatnak a lehető legsürgősebben foglalkoznia kell.
Világszinten szinte minden
Miközben az EU-tagállamok átállnak az új, egységes adatvédelmi szabályozásra, a világ más országai meglehetősen tarka képet mutatnak. A Forrester áttekintette és a rendelkezések szigora alapján osztályozta 54 ország 2017-es adatvédelmi szabályozását (közkeletű angol kifejezéssel privacy policy-ját). A "legkevésbé szabályozott" kategóriába kerültek olyan országok, mint Kína, Thaiföld és Paraguay, amelyek jogrendszeréből olykor a legalapvetőbb rendelkezések is hiányoznak, vagyis szinte bármit meg lehet tenni az adatokkal. A "legszigorúbban szabályozott" kategória éllovasai az európai országok, amelyekben nagy hagyománya van a magánélet és a személyiségi jogok tiszteletének. A többi országban vegyes képet találtak a kutatók.
Ami Európát illeti, a Forrester szerint itt a GDPR bevezetése jelenti a közeljövő legnagyobb kihívását. Ezzel azonban nem fejeződnek be a változások, mert az Európai Parlament már javában dolgozik az ePrivacy (népszerűbb nevén Cookie) rendelkezésen, amely az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv örökébe kíván lépni. A GDPR maga is kikényszeríti az elektronikus hírközlés újraszabályozását, de a korábbi rendelkezés megjelenése óta eltelt sok-sok év is indokolja a változásokat. Az ePrivacy rendeletet eredetileg a GDPR-ral együtt akarták bevezetni, de a tervezet annyi vitát kavart, hogy véglegesítése akár 2019-re is átcsúszhat.
Kiberbűnözők nyomában
Úgy fest tehát, hogy az adatvédelemben az öreg kontinens diktálja az iramot, és a világ többi része ehhez igyekszik - több-kevesebb buzgalommal - felzárkózni. Argentína és Japán például erősíti meglévő szabályozását, Nigéria bevezette az ország első átfogó kiberbűnözési rendelkezését, Japánban pedig független szabályozási testületet állítottak fel, amely áttekinti a privacyval kapcsolatos kérdéseket.
2016-ban 12 ország, köztük az Egyesült Államok, Japán és Ausztrália aláírta Csendes-óceáni Partnerség (Trans-Pacific Partnership, TPP) megállapodást, amely kötelezi őket az üzleti célú információk szabad áramlásának biztosítására, és megtiltja, hogy a cégektől vállalkozásaik működtetéséhez saját földrajzi határaikon belüli számítógépes kapacitások telepítését, illetve használatát követeljék meg. Az egyik legfontosabb aláíró, az Egyesült Államok azonban 2017. január 23-án felmondta az egyezményt, amely így már csak 11 országot érint.
A Brexit sokáig bizonytalanságot jelentett, ám az Egyesült Királyság vezetői kinyilvánították, hogy mindenképpen bevezetik a GDPR-t, így a kilépés sem mentesíti a szigetországban működő vállalkozásokat a rendelkezés hatálya alól.
Valaki figyel
Érdekes és nem túl örvendetes tendencia, hogy miközben az adatvédelem helyzete általánosságban javult, sok helyen erősödik az igény az állampolgárok megfigyelésére. Németországban és Franciaországban egyelőre még csak ötletelés folyik a témáról, de Lengyelországban már el is fogadtak olyan rendelkezést, amely bővíti az állam hozzáférési jogait a digitális adatokhoz, és lazítja az ellenőrzést. Finnország, Hollandia és az Egyesült Királyság hasonló úton jár, az indiai állampolgár-azonosító program és központi figyelőrendszer (Central Monitoring System, CMS) ellenőrizhetővé teszi az e-maileket, lehallgathatóvá teszi a telefonbeszélgetéseket, sőt a netes tevékenység követésére is lehetőséget ad.
Súlyos pénzbírságra számíthatnak a GDPR szabályozását megsértők, de vannak országok, amelyek nem állnak meg pénzbüntetésnél. Japánban az adatvédelmi törvények megsértéséért például akár hat hónap börtön is kiszabható, és Finnországban, Franciaországban, Görögországban, illetve Hongkongban elzárás fenyegeti a törvényszegőket.
Civilszervezetek őrségben
Jóllehet a közvélekedés szerint a GDPR ugrásszerű javulást eredményez az adatvédelemben, a témában járatos jogi szakemberek kevésbé optimisták. Az új rendelet ugyan szigorú kötelmeket ír elő az adatkezelők számára, és súlyos bírsággal fenyegeti azokat, akik nem felelnek meg az előírásoknak, kevés magánszemély rendelkezik azokkal az ismeretekkel és anyagi forrásokkal, amelyek birtokában a bíróságon vagy az adatvédelmi hatóságokon keresztül érvényesíthetné jogait. Ráadásul nemcsak a pénz és a szakértelem, hanem többnyire a kezdeményezőkészség is hiányzik a jogsértők felkutatásához és törvény elé citálásához.
Minthogy a GDPR megfogalmazói számoltak ezzel a problémával, a rendeletbe beépítették azt a lehetőséget, hogy az állampolgárok helyett jogvédő szervezetek is élhetnek a kollektív jogorvoslat eszközével. Egy fiatal osztrák ügyvéd, Max Schramm már tető alá is hozott egy NYOB (none of your business, magyarul semmi közöd hozzá) nevű nonprofit civilszervezetet, amely kifejezetten a GDPR-ral kapcsolatos jogvédelemre fog szakosodni. Schramm szerint nagy szükség lesz a munkájukra, mert a privacy területén rengeteg a jogsértés, ezeknek azonban csak a töredéke jut el a bíróságra.
Ha a jogvédőknek sikerülne néhány ügyben látványos eredményt elérniük, az kettős haszonnal járhat: a jogsértések elkövetői elnyernék méltó büntetésüket, és elveszítenék a törvénytisztelő cégekkel szemben élvezett versenyelőnyt, vagyis az adatkezelés területén kifizetődővé válna a jogkövető magatartás. A GDPR hatályba lépése után a NYOB-hoz hasonló jogvédő szervezetek dolga lesz felkutatni azokat a nagy cégeket, amelyek fittyet hánynak az új adatvédelmi rendelkezésre. Fontos azonban, hogy működésük ne hasson boszorkányüldözésnek, és a nyilvánosság megértse: nem gáncsolni, akadályozni akarják a cégeket, hanem hozzásegíteni, hogy jól, hatékonyan, de a törvények betartásával végezzék munkájukat.
RÉGIÓS ELEMZÉS
Mint azt az IDC 2017-es nyugat-európai kutatása megállapította, a térségben tavaly a GDPR-hoz köthető költések átlépték az 1 milliárd dolláros határt, és folyamatosan nőnek majd 2019-ig, amikor megközelítik a 2 milliárd dollárt. Mindezzel együtt 2017 októberében a cégek 23 százaléka még mindig nem dolgozott ki GDPR-stratégiát Európában. Ez az arány a mi szűk régióinkban valószínűleg még magasabb, azon belül pedig a legkevésbé tudatosnak a kkv-szektor szereplői mutatkoznak. Ugyanakkor a vállalkozások kiemelkedően nagy része tud arról, hogy májusban olyan határidő érkezik el, amellyel számolni kell. Ez meghatározza az IT-biztonsági költéseket, jó néhány tényező viszont visszatartó erővel is bír. Ezek között első helyen említi a költségeket Bakk József, az IDC Magyarország elemzője. További két inhibitor a napi operáció prioritása és az, hogy a vállalkozásoknak más feladatokat is menedzselniük kell.
A piacelemző cégnél úgy látják, az IT-biztonsági piac kiemelkedő szerepet foglal el a hazai IT-megoldások piacai között. Növekedése folyamatos volt az elmúlt években, és ez igaz az egyes részszegmenseire (szoftver, appliance, szolgáltatás) is. Az IT-biztonsági költések éves mértéke enyhén meghaladja a 100 millió dollárt. A piac folyamatosan növekszik, és ebben kiemelkedő szerepe volt 2017-ben a GDPR-nak, aminek hatására a növekmény 10 százalék feletti lett. Az elmúlt években a megváltozott fenyegetettség és IT-infrastruktúra miatt egyre fontosabb szerephez jutnak az (egyelőre alacsonyabb penetrációval rendelkező) területek, mint a felhasználó-menedzsment, a mobilbiztonság, az átfogó biztonsági megoldások, az analitika és az újabb modellek (menedzselt biztonsági megoldások, illetve felhőalapú megoldások). Az IDC elemzői szerint az IT-biztonsági költéseket továbbra is leginkább a megfelelőségi projektek határozzák meg, így a GDPR-megfelelés és általában a reguláció jelentősége kiemelkedő Magyarországon.
