GDPR-interjú: elkezdődött a végső visszaszámlálás

Pár nap és beköszönt a GDPR-korszak. Egyre több vállalatnál folyik lázas munka, de kérdés, hogy ez mire lesz elég.
 

A vállalatok egyre inkább érzik a bőrükön a GDPR-közeledtét. Hazánkban is megfigyelhető, jhogy már a KKV-k is egyre nagyobb érdeklődést mutatnak a téma iránt. Sajnos a felkészülé a legtöbb esetben későn kezdődött, így most sok helyen tűzoltás folyik. Szuhai Gusztáv, az Oracle biztonsági megoldásainak régiós kereskedelmi vezetője által adott interjúja során a GDPR nemzetközi és hazai megítélése volt a téma.

Hol tartanak a felkészülésben a magyar cégek?

Sz. G.: Itthon, akárcsak külföldön, nagyon vegyes a kép. Általánosságban ki lehet azonban emelni egy jelenséget: azt tapasztaljuk, hogy a tudatosság alulról felfelé terjed - az IT üzemeltetés szintjén sokszor nagyon is tisztában vannak az elvárásokkal, és tesznek is a maguk hatáskörében lépéseket, próbálnak felkészülni a szabályozásnak való megfelelésre. Ugyanakkor a menedzsment, a pénzügyi vezetés, aki az IT büdzséről dönt, vagy akinek egy esetleges büntetést ki kell gazdálkodnia, később kezdett foglalkozni vele (ha egyáltalán elkezdett). Azok a cégek, ahol már létezik "Compliance" osztály, természetesen előrébb tartanak.

Milyen szempontból kellene pozitívan tekinteni a GDPR-re?

Sz. G.: A GDPR szabályozás a jelenlegi Adatvédelmi Irányelvet váltja fel, illetve minden olyan nemzeti jogszabályt, ami erre épült. Nem derült égből villámcsapás tehát, hiszen sok éve létezik az azt megelőző EU adatvédelmi direktíva, ami alapján a magyar "Infótörvény" is készült. Mivel a direktíva alapján 28 ország 28-féle szabályozást hozott létre, a mostani rendelet ennek egységesítését, és a mai követelményeknek megfelelő korszerűsítését jelenti. 

Ez egyrészt mindenképpen egyszerűbbé teszi a több országban működő cégek helyzetét, nem kell több, különféle jogrendszer elvárásait, változásait követni. Másrészt azok a magyar vállalatok, intézmények, akik az Infótörvénynek megfeleltek, jó helyzetben vannak, hiszen akkor a GDPR követelményrendszerét is körülbelül 70-80 százalékban kielégítik. 

A nagyvállalatok feltehetően nagyrészt már a GDPR-nek megfelelően működtek. Miben más a KKV-k és a nagyvállalatok helyzete, illetve hozzáállása a GDPR-hez?

Sz. G.: Természetesen látunk különbséget a kis-középvállalatok és a nagyvállalatok hozzáállása között. Ez elsősorban költség alapú különbség. A nagyvállalati szektorban nem okoz problémát teljes munkaidőben dolgozó compliance manager(ek) alkalmazása és DPO (data protection officer) kinevezése. Jut erőforrásuk az előírt tájékoztatási kötelezettség magas színvonalú megoldására, a hatásvizsgálatok lefolytatására, az alkalmazások (üzleti folyamatok) kiegészítésére a szükséges hozzájárulási lépésekkel, adatigénylési lehetőségekkel. Végül, és nem utolsó sorban tudnak áldozni az érzékeny személyes adatok informatikai védelmére, a folyamatos auditálhatóság megteremtésére.

A kis- középvállalati szektorban egy DPO kinevezését egy tulajdonos esetleg úgy fogja fel, hogy egy nagy védettségű állást kell létrehoznia, mely a szemében "non-produktív", hiszen nem termel, de a költségeket érzékelhetően megemeli, ráadásul a DPO függetlenségét körülbástyázó garanciák miatt gyakorlatilag a DPO-t nem irányíthatja és kérheti számon úgy, mint a többi munkavállalóját. Erre részben megoldást nyújt, hogy a DPO dolgozhat részmunkaidőben is, illetve egyszerre több vállalat számára is.

A kisvállalatok a tájékoztatási kötelezettséget eddig tipikusan a törvényszöveg bemásolásával, vagy - pl. webshopok esetén néha látható, hogy egymástól átvett szövegekkel oldják meg. Ez például nem lesz megfelelő, ha a szöveget a hatóság nem találja majd mindenki számára könnyen érthető, teljeskörű tájékoztatásnak. 

Az informatikai védelmi, rendelkezésre állási követelmények kielégítésénél pedig törekednek majd a minél kisebb költséggel történő megvalósításra, például opensource szoftverek alkalmazására.

Számítok arra, hogy a GDPR felgyorsítja majd a Managed Security Service-t kínáló vállalatok piacra lépését, melyek elsősorban a kis-középvállalatok igényeit fogják kielégíteni. Az MSS elterjedését tovább gyorsíthatja majd, ha a magyar piacon elfogadottabbá válnak a felhő alapú szolgáltatások - korszerű MSS-t is gépi tanulás, big data alapon lehet legeredményesebben nyújtani.

Hasonlóképpen számíthatunk a GDPR-nak megfelelő folyamatok kialakítását, üzemeltetését vállaló üzleti vállalkozások létrejöttére, elterjedésére. Fontos azonban felhívni a figyelmet arra, hogy az adatkezelő - bár az adatfeldolgozást kiszervezheti - az adatkezelői felelősségét nem tudja szerződéses keretek között áthárítani.

Lesznek vajon, akik inkább bevállalják a büntetést?

Sz. G.: Nem lesznek. A büntetés elrettentő mértékű, azaz akár egy nagyvállalat, akár egy kisvállalat éves profitjának nagy részét elviheti csak a hatóság által kiszabott büntetés. És akkor még nem beszéltünk egy esetleges adatlopás egyéb lehetséges anyagi következményeiről (kártérítés), melyek a büntetés mértékét is meghaladhatják.

Elképzelhető, hogy megjelennek (vagy talán már léteznek is) olyan biztosítási termékek, melyek csökkenthetik majd a vállalatok pénzügyi kockázatát. Az azonban nem valószínű, hogy a GDPR felkészülést bárki kiválthatná egy biztosítással. Például lakásbiztosítás esetén is megköveteli a biztosító a megfelelő szintű védelmet (minősített ajtózár, stb.), mielőtt egyáltalán hajlandó biztosítást kötni, a biztosítás összege pedig függ a védelem minőségétől. Hasonló konstrukciók lehetnek az adatvesztés, adatlopás következményeinek enyhítésére is.

Miben fog megváltozni a cégek és felhasználók közötti kommunikáció? 

Sz. G.: Az előzetes tájékoztatás minőségének részletes szabályozása része a GDPR-nak ugyanúgy, mint az adatkérésre való válaszadás kötelezettsége. Az ezeknek való megfelelés bizonyítása első körben jogi garanciákkal történhet, másodsorban tanúsítványokkal, harmadsorban auditálás során.

A tanúsítások rendszere még nem készült el teljesen, így erről egyelőre nem sokat tudunk - de nyilván megkönnyíti majd - főleg a közvetített szolgáltatások terén - a bizalom kialakulását. Ami a magánembereket illeti, minket, európai polgárokat: a mi bizalmunkat is ki kell érdemelni. A GDPR sok új önrendelkezési jogot nyújt, ezek érvényesülését a hatóság hivatott ellenőrizni, de azt magunk döntjük el, hogy kire bízzuk a személyes adatainkat. 

Ez ügyben arra számítok, hogy verseny alakul majd ki az alapból bizalmat igénylő szolgáltatók között (pl. bankok), hogy ők legyenek a személyes adataink kezelésének "egyszemélyi" letéteményesei. Így csak egy, általunk megbízhatónak ítélt szolgáltatónak adnánk meg minden érzékeny adatunkat és őt bíznánk meg azzal, hogy a többi szolgáltatónk felé - az adott szolgáltatáshoz minimálisan szükséges adatmennyiséget - ellenőrzött körülmények között átadja.

Hogyan derül ki, ha egy vállalat valamely ponton nem felel meg a követelményeknek?

Sz. G.: A legkirívóbb meg nem felelés a személyes adatok ellopása, elvesztése, melynek (pl. abban az esetben, ha ezek nem titkosított, hanem olvasható formában vesztek el) egyik következménye, hogy erről mind a hatóságot, mind az érintett személyeket záros határidőn belül értesíteni kell - tehát publikussá válik. Ha valaki ennek nem tesz eleget, az a legsúlyosabb büntetésre számíthat, legkésőbb akkor, amikor az ellopott adatok újra felbukkannak, például a feketepiacon, és visszaélésekre derül fény.

Bárki, akinek tudomása van a személyes adatok kezelésének nem megfelelőségéről, bejelentést tehet majd a Nemzeti Adatvédelmi és Információszabadság Hatóságnál.

Szintén súlyos elbírálás alá esik majd, ha a személyes adat tulajdonosa önrendelkezési jogának gyakorlását súlyosan korlátozzák - például nem válaszolnak az adatkérésre, törlési kérésre.