Sorvezetőt készített az IDC az amerikai és európai cégeknek a GPRP-ra átálláshoz. A terjedelmes tanulmány, amely körüljárja az adatvédelmi rendelet bevezetésével kapcsolatos legfontosabb kérdéseket, nem hallgatja el a procedúra nehézségeit, de felhívja a figyelmet a rendeletnek azokra a vonásaira, amelyekből a cégek hosszú távon sokat profitálhatnak. A következőkben a tanácsadó cég anyagából szemezgetünk.
Kire vonatkozik?
A május 25-én életbe lépő GDPR gyakorlatilag minden olyan vállalatot érint, amely az EU-n belül EU-s állampolgárok adatait kezeli. A védelem a következő adatokra terjed ki:
- alapinformációk, például nevek, címek, személyi számok;
- internetes adatok, például e-mail-cím, IP-cím, cookie-adatok, RFID-címkék;
- egészségügyi és genetikai adatok;
- biometrikus adatok;
- faji és etnikai adatok;
- politikai vélemény;
- szexuális orientáció.
A GDPR szabályai rákényszerítik az EU területén működő vállalkozásokat, hogy új alapokra helyezzék ügyfeleik személyi adatainak feldolgozását, tárolását és védelmét. Az új szabályok értelmében ezeket az adatokat csak akkor tárolhatják és dolgozhatják fel, ha az érintettek ehhez hozzájárulnak, és minden adatot csakis addig birtokolhatnak, amíg megköveteli a cél, amelynek érdekében az adatgyűjtés történt. További előírás, hogy az adatoknak hordozhatóaknak kell lenniük, és ha a magánszemély úgy kívánja, maradéktalanul törölni kell őket (ezt a szabályt úgy is hívják, hogy "a felejtéshez való jog").
A követelmények egy része keményen érinti a biztonságért felelős részlegeket. A GDPR előírja például, hogy a vállalatok kötelesek ésszerű mértékű (reasonable) védelmet biztosítani a személyes adatoknak, bár azt sajnos nem definiálja, hogy az ésszerű mérték pontosan mit jelent.
A cégeknek a személyes adatokat ért minden sérelemről 72 órán belül értesíteniük kell az illetékes hatóságokat. Szintén előírás, hogy a vállalatoknak hatáselemzéssel és a sebezhető pontok felkutatásával törekedniük kell az adatsértések esélyének csökkentésére.
Babonák és tévhitek
Bonyolultsága miatt számos félreértés övezi az új rendeletet. Amit szinte mindenki tud a GDPR-ról, az az, hogy példátlan szigorral büntet a jogsértésekért: a közigazgatási bírság elérheti a 20 millió eurót, illetve vállalkozások esetében az előző pénzügyi év teljes évi globális forgalmának 4 százalékát - ráadásul a felső határt a két összeg közül a nagyobbik határozza meg. A félreértést itt az okozza, hogy sokan azt gondolják, a 4 százalékot minden esetben legombolják a bűnösről. Pedig nem így van: csekélyebb súlyú bűnökért, például az adminisztratív kötelezettségek elmulasztásáért kisebb büntetés jár. Persze ez sem elhanyagolható összeg: maximális értéke a teljes forgalom 2 százaléka, illetve 10 millió euró.
Egy másik félreértés a GDPR-ral kapcsolatban az, hogy valamiféle forradalmi változásnak hiszik az adatvédelemben. A téma szakértői szerint ez sem igaz: az új rendelet nem elszakadás a múlttól, hanem csupán egy fontos és határozott lépés a megkezdett úton. A benne megfogalmazódó legfontosabb elvárások - tisztességesség, átláthatóság, célhoz kötöttség, a begyűjtött adatok minimalizálása és biztonságos kezelése - gyakorlatilag érintetlenül kerültek át az EU 1995-ben kiadott 95/46/EK rendeletéből.
Két tekintetben hoz igazán újat a GDPR: jelentősen kibővíti az egyének rendelkezési jogát saját személyes adataik felett, és úgy modernizálja az EU-s szabályozást, hogy az megfeleljen az egységes digitális piac követelményeinek. A legfontosabb változások az egyén érdekeit védik: egyszerűen hozzáférhet saját adataihoz, mozgathatja őket a szolgáltatók között, ragaszkodhat a teljes törlésükhöz (tehát ahhoz, hogy soha, sehol, semmilyen visszakereséssel ne lehessen a nyomukra jutni), és értesülnie kell arról, ha a rá vonatkozó információk illetéktelen kézbe kerültek.
Szemléletváltozást is követel a vállalkozásoktól, amelyeknek május végétől az adatkezelés terén rendkívüli óvatosságot és önmérsékletet kell tanúsítaniuk. Erősödnek az elszámoltathatóságra és átláthatóságra vonatkozó szabályok, és az adatvédelem olyan szemponttá lép elő, amivel a cégeknek már a tervezés pillanatában számolniuk kell.
Hol tartanak a vállalkozások?
Londonban nemrég konferenciát tartottak a GDPR-ról, ahol kiderült, hogy szinte egyetlen cég sem érzi magát száz százalékig felkészültnek az új rendelkezésre. De ezerrel dolgoznak az ügyön: áttekintik, rendszereikben hol találhatók, mennyire védettek a személyes adatok, hiszen a GDPR ezen a téren rendkívül szigorú követelményeket támaszt az adatkezelőkkel szemben. A legtöbb vállalatnál a különböző részlegek képviselőiből olyan csapatot hoztak létre, amely a feladatok meghatározása után felügyeli a végrehajtást, és beazonosítja a lehetséges akadályokat.
Hiba volna azonban a GDPR-ban csupán leküzdendő problémát látni: az új rendelet lehetőséget kínál a cégeknek, hogy új alapokra helyezzék digitális marketingjüket, és megnyerjék vásárlóik bizalmát. Egy angol lánc, a Weatherspoon a megújulás jegyében egészen odáig ment, hogy teljes vásárlói e-mailes adatbázisát törölte!
A GDPR rákényszeríti a cégeket az adatkezelés javítására, és hitelességet, átláthatóságot követel tőlük: ezek mind-mind olyan értékek, amelyek hosszú távon a vállalat bevételeit is növelik.
Persze a vezetők tele vannak aggodalommal. Leginkább a felejtéshez való jog miatt fáj a fejük: ez az elvárás igazi rémálom olyan óriások számára, mint a Google. A szakértők ugyanakkor azt állítják, hogy a pénzbírságoktól kevésbé kell tartani, mert az adatvédelmi hatóságoknak eleinte aligha lesz kedvük és energiájuk hatalmas összegű bírságokat kiszabni. Viszont épp elég kellemetlenek a büntetés egyéb formái is: például az, hogy az elmúlt öt év valamennyi vásárlóját értesíteni kell az adatsértésről, és mindenki panaszát egyénileg kell orvosolni, aki pedig elmulasztja mindezt, további bírságra számíthat. Ezek az intézkedések olyan adminisztratív terheket rónak a vállalatokra, amelyek akár még a pénzbüntetésnél is fájdalmasabbak lehetnek.
Nem aggódnak a szakértők a riasztóan rövidnek tűnő, 72 órás határidő miatt sem, amelyen belül jelenteni kell a felfedezett illetéktelen adathozzáférést, illetve adatvesztést. Itt ugyanis a rendelet nem teljes és alapos diagnosztikai vizsgálatot ír elő, csupán egy jelzést arról, hogy mi történt, és a vállalat mit tervez az ügy felderítése érdekében.
Szakértők azt tanácsolják, érdemes külön embert vagy csapatot megbízni az átállás levezénylésével és a dolgozók betanításával. Ugyancsak fontos a szoros együttműködés az adatvédelmi tisztviselővel (Data Protection Officer; DPO). A DPO olyan független személy, aki nyomon követi a vállalat adatkezelési gyakorlatát, tanácsokkal segíti a jogi megfelelést, és kapcsolatot tart az adatvédelmi hatóságokkal. A GDPR megszövegezői tisztában vannak az ő kulcsszerepével a vállalati adatvédelemben, ezért pontosan meghatározták kinevezésének feltételeit és feladatkörét.
Minden adatot felkutatni
A rendelet tömérdek (szám szerint 124) adatvédelmi szabályának legfontosabb célja, hogy megváltoztassa azt a módot, ahogy a szervezetek az egyének személyes adataihoz viszonyulnak. Ezeket idáig a sajátjuknak tekintették, a GDPR viszont leszögezi: minden adat a magánszemélyek tulajdonát képezi, csak kölcsönben van a cégeknél, és bármikor visszavehető, tulajdonosa pedig addig is elvárhatja, hogy a vállalat gondosan vigyázzon rá. És mindez vonatkozik a titkosított adatokra, a GPU-koordinátákra, sőt még a dinamikus IP-címekre is, amelyeket korábban soha senki nem tekintett személyesnek vagy beazonosíthatónak.
Régi alapszabálya a biztonságnak, hogy amiről nem tudunk, azt megvédeni sem tudjuk. Ha egy vállalat meg akar felelni a GDPR követelményeinek, először is azt kell felderítenie, milyen személyes adatokkal rendelkezik. Bizonyos adattípusok (például egészségügyi és bankkártyaadatok) felkutatása és kezelése kapcsán már eddig is fennálltak ilyen kötelezettségek, a GDPR viszont minden személyes adatra kiterjeszti őket.
Csakhogy nem elég az adatok helyét és tartalmát felderíteni; a GDPR előírja, hogy az adatok megszerzését, feldolgozását is dokumentálni kell. Vagyis az adatfolyamokat is fel kell térképezni. Az adatsérüléseket záros határidőn belül jelenteni kell - ez szintén megoldhatatlan a megfelelő adattérképek nélkül.
Ezeket a térképeket a korábbi adatkezelési előírásokhoz igazodó technikákkal aligha lehetne előállítani. Szerencsére a nagyadat- és gépi tanulási módszerek a legnagyobb szervezetek számára is megoldást nyújtanak a problémára.
Nem kétséges, hogy a GDPR erőteljesen korlátozza a cégek adatkezelési lehetőségeit, és számos olyan kötelezettséget ír elő, ami pluszmunkával jár. Ez a munka azonban hosszú távon megtérül! Az üzleti életben ugyanis az egyik legfőbb érték a bizalom. Márpedig, ha egy vállalat gondatlanul bánik ügyfelei személyes tulajdonával - az adataival -, és nem tudja megvédeni őket az illetéktelen hozzáférésektől, akkor ne is számítson a hűségükre.
