Német, francia és brit cégek körében készült felmérések szerint tavaly nyáron az európai cégek 70 százaléka még sehol sem tartott a felkészülésben. A Gartner akkori prognózisa szerint az érintettek felének volt esélye arra, hogy határidőre felkészüljön, a másik fele már akkor lemaradásban volt. Szuhai Gusztáv, az Oracle biztonsági megoldásainak régiós kereskedelmi vezetője szerint hazánkban is igen vegyes a kép. Míg az IT-üzemeltetés szintjén rendszerint nagyon is tisztában vannak az elvárásokkal, a maguk hatáskörében tesznek is lépéseket, a menedzsment, a pénzügyi vezetés viszont később (ha egyáltalán) kezdett foglalkozni a GDPR-megfeleléssel. Előrébb tartanak azok a cégek, amelyeknél már létezik compliance osztály, illetve azok, amelyek megfeleltek az Infótörvénynek.
Méretfüggő konfekció
ŰNagyvállalati körben kevésbé okoz gondot teljes munkaidős megfelelőségi vezetők (compliance managerek) és adatvédelmi felelősök (DPO-k) alkalmazása, és jut erőforrás hatásvizsgálatok lefolytatására, az alkalmazások (üzleti folyamatok) kiegészítésére, tudnak áldozni az érzékeny személyes adatok informatikai védelmére, a folyamatos auditálhatóság megteremtésére és az előírt tájékoztatási kötelezettség magas színvonalú ellátására. A kkv-szektorban a tulajdonosok zöme költségesnek, de nem produktívnak tartja a DPO-t, akit a tevékenységét körülbástyázó garanciák miatt ráadásul nem is irányíthatnak, és nem kérhetnek számon. Szuhai Gusztáv azonban emlékeztet: a DPO dolgozhat részmunkaidőben és egyszerre több vállalat számára is.
Szuhai Gusztáv régiós kereskedelmi igazgató, biztonsági megoldások, Oracle
Kisvállalati körben a tájékoztatási kötelezettséget igyekeztek letudni a törvényszöveg bemásolásával vagy egymástól átvett szövegekkel. Megtörténhet azonban, hogy a hatóság ezeket nem találja mindenki számára könnyen érthető, teljes körű tájékoztatásnak, így dedikált ember helyett konzultációs szolgáltatásokra kell költeniük a cégvezetőknek. Az Oracle szakértője menedzselt biztonsági szolgáltatások (MSS) megjelenésére számít: szerinte megnő a jövőben az IT-biztonsági feladatokat, például logelemzést végző, kiberbiztonsági védelmet nyújtó szolgáltatók száma. Az MSS elterjedését tovább gyorsíthatja majd, ha a magyar piacon elfogadottabbakká válnak a felhőalapú szolgáltatások, hiszen a korszerű MSS-nek a gépi tanulás és a big data a legjobb alap, ilyen típusú MSS-t pedig a felhőszolgáltatással bíró nagyvállalatok fognak elsőként nyújtani. Jóllehet, az Oracle évek óta nyújt MSS-t, a közép-kelet-európai piacon még nincs ilyen ügyfele - teszi hozzá Szuhai Gusztáv.
Jöhetnek a szolgáltatók
Hasonlóképpen számíthatunk a GDPR-nak megfelelő folyamatok kialakítását, üzemeltetését vállaló üzleti vállalkozások létrejöttére, elterjedésére. Fontos azonban felhívni a figyelmet arra, hogy az adatkezelő - bár az adatfeldolgozást kiszervezheti - az adatkezelői felelősségét semmiképpen sem tudja szerződéses keretek között áthárítani.
Elképzelhető, hogy megjelennek olyan biztosítási termékek, amelyek csökkentik a vállalatok pénzügyi kockázatát az adatvesztés, adatlopás esetén.
- A GDPR sok új önrendelkezési jogot nyújt. Ilyen a rólunk tárolt adatok megismerhetőségének joga, a személyes adatok hordozhatóságának joga - a telefonszám hordozhatóságához hasonlóan -, az adatok kérésre történő törlésének joga stb. Ezek érvényesülését a hatóság hivatott ellenőrizni, de azt magunk döntjük el, kire bízzuk a személyes adatainkat. Ez ügyben arra számítok, hogy verseny alakul majd ki a bizalmat igénylő szolgáltatók, például bankok között, hogy ők legyenek a személyes adataink kezelésének egyszemélyi letéteményesei. Így csak egy, általunk megbízhatónak ítélt szolgáltatónak adnánk meg minden érzékeny adatunkat, és őt bíznánk meg azzal, hogy ellenőrzött körülmények között átadja a többi szolgáltatónknak az adott szolgáltatáshoz minimálisan szükséges adatmennyiséget - vázol fel egy piaci lehetőséget Szuhai Gusztáv.
