Szuhai Gusztáv: aki megfelelt az infotörvénynek, az nincs rossz helyzetben

Karnyújtásnyira vagyunk a GDPR (General Data Protection Regulation) adatvédelmi szabályainak bevezetésétől, ami évtizedek óta a legnagyobb változás Európa adatvédelmi szabályozásában. A május 25-én életbe lépő szabályozásra sok vállalat továbbra sem kezdett el felkészülni, holott a nem megfelelés esetén kiszabott büntetés, melynek maximális tétele 20 millió euró vagy a cég éves globális árbevételének 4 százaléka, jelentősen nagyobb, mint bármilyen korábbi szabályozás büntetési lehetősége.

Itt olvashatja a témában a Piac & Profit összes cikkét!

A vállalatok érzékelik a helyzet sürgősségét: a cégek 91 százalékát foglalkoztatja a kérdés Németország, Franciaország és az Egyesült Királyság területén. A GDPR 2017 nyarán kezdett nagyobb hírverést csapni, ekkor a vállalatok 70 százaléka még sehol sem tartott a felkészülésben. A Gartner akkori előrejelzése szerint a GDPR májusi bevezetésekor az érintett vállalatok csupán 50 százaléka fog megfelelni az elvárásoknak, tehát a cégek nagy része már akkor lemaradásban volt. Mi a helyzet most, a GDPR küszöbén? Szuhai Gusztáv, az Oracle biztonsági megoldásainak régiós kereskedelmi vezetője válaszolt kérdéseinkre.

Hol tartanak a felkészülésben a magyar cégek?

Itthon, akárcsak külföldön, nagyon vegyes a kép. Általánosságban ki lehet azonban emelni egy jelenséget: azt tapasztaljuk, hogy a tudatosság alulról felfelé terjed – az IT-üzemeltetés szintjén sokszor nagyon is tisztában vannak az elvárásokkal, és tesznek is a maguk hatáskörében lépéseket, próbálnak felkészülni a szabályozásnak való megfelelésre. Ugyanakkor a menedzsment, a pénzügyi vezetés, aki az IT-büdzséről dönt, vagy akinek egy esetleges büntetést ki kell gazdálkodnia, később kezdett foglalkozni vele (ha egyáltalán). Azok a cégek, ahol már létezik „Compliance” osztály, természetesen előrébb tartanak.

Milyen szempontból kéne pozitívan tekinteni a GDPR-re?

A GDPR szabályozás a jelenlegi Adatvédelmi Irányelvet váltja fel, illetve minden olyan nemzeti jogszabályt, ami erre épült. Nem derült égből villámcsapás tehát, hiszen sok éve létezik az azt megelőző EU adatvédelmi direktíva, ami alapján a magyar „infotörvény” is készült. Mivel a direktíva alapján 28 ország 28-féle szabályozást hozott létre, a mostani rendelet ennek egységesítését és a mai követelményeknek megfelelő korszerűsítését jelenti.

Ez egyrészt mindenképpen egyszerűbbé teszi a több országban működő cégek helyzetét, nem kell több, különféle jogrendszer elvárásait, változásait követni. Másrészt azok a magyar vállalatok, intézmények, amelyek az infotörvénynek megfeleltek, jó helyzetben vannak, hiszen akkor a GDPR követelményrendszerét is kb. 70-80 százalékban kielégítik.

A nagyvállalatok feltehetően tehát nagyrészt már a GDPR-nek megfelelően működtek. Miben más a kkv-k és a nagyvállalatok helyzete, illetve hozzáállása a GDPR-hez?

Természetesen látunk különbséget a kis-középvállalatok és a nagyvállalatok hozzáállása között. Ez elsősorban költség alapú különbség. A nagyvállalati szektorban nem okoz problémát teljes munkaidőben dolgozó compliance manager(ek) alkalmazása és DPO (data protection officer) kinevezése. Jut erőforrásuk az előírt tájékoztatási kötelezettség magas színvonalú megoldására, a hatásvizsgálatok lefolytatására, az alkalmazások (üzleti folyamatok) kiegészítésére a szükséges hozzájárulási lépésekkel, adatigénylési lehetőségekkel. Végül és nem utolsósorban tudnak áldozni az érzékeny személyes adatok informatikai védelmére, a folyamatos auditálhatóság megteremtésére.

A kis-középvállalati szektorban egy DPO kinevezését egy tulajdonos esetleg úgy fogja fel, hogy egy nagy védettségű állást kell létrehoznia, mely a szemében „non-produktív”, hiszen nem termel, de a költségeket érzékelhetően megemeli, ráadásul a DPO függetlenségét körülbástyázó garanciák miatt gyakorlatilag a DPO-t nem irányíthatja és kérheti számon úgy, mint a többi munkavállalóját. Erre részben megoldást nyújt, hogy a DPO dolgozhat részmunkaidőben is, illetve egyszerre több vállalat számára is.

A kisvállalatok a tájékoztatási kötelezettséget eddig tipikusan a törvényszöveg bemásolásával, vagy – ahogy pl. webshopok esetén néha látható – egymástól átvett szövegekkel oldják meg. Ez például nem lesz megfelelő, ha a szöveget a hatóság nem találja majd mindenki számára könnyen érthető, teljes körű tájékoztatásnak. Lesz sok új feladatuk tehát, melyre nem lesz dedikált emberük, tehát más kisvállalkozások konzultációs szolgáltatásaira fognak támaszkodni ez ügyben.

Az informatikai védelmi, rendelkezésre állási követelmények kielégítésénél pedig törekednek majd a minél kisebb költséggel történő megvalósításra, pl. lehetőleg opensource szoftverek alkalmazására (bár, mint sokszor előfordul, lehet, hogy így lesz drágább, mert több élőmunkával lehet összerakni, üzemeltetni).

Számítok arra, hogy a GDPR felgyorsítja majd a Managed Security Service-t kínáló vállalatok piacra lépését, melyek elsősorban a kis-középvállalatok igényeit fogják kielégíteni. (MSS: biztonsági feladatok – pl. logók elemzése, támadás esetén megfelelő reagálás stb. – külső szolgáltatóhoz való kiszervezése.) Az MSS elterjedését továbbgyorsíthatja majd, ha a magyar piacon elfogadottabbá válnak a felhő alapú szolgáltatások – korszerű MSS-t is gépi tanulás, big data alapon lehet legeredményesebben nyújtani –, ilyen típusú MSS-t pedig a felhőszolgáltatással bíró nagyvállalatok fognak elsőként nyújtani.

Hasonlóképpen számíthatunk a GDPR-nak megfelelő folyamatok kialakítását, üzemeltetését vállaló üzleti vállalkozások létrejöttére, elterjedésére. Fontos azonban felhívni a figyelmet arra, hogy az adatkezelő – bár az adatfeldolgozást kiszervezheti – az adatkezelői felelősségét nem tudja szerződéses keretek között áthárítani.

Kép: Pixabay

Lesznek vajon, akik inkább bevállalják a büntetést?

Nem lesznek. A büntetés elrettentő mértékű, azaz akár egy nagyvállalat, akár egy kisvállalat éves profitjának nagy részét elviheti csak a hatóság által kiszabott büntetés. És akkor még nem beszéltünk egy esetleges adatlopás egyéb lehetséges anyagi következményeiről (kártérítés), melyek a büntetés mértékét is meghaladhatják.

Elképzelhető, hogy megjelennek (vagy talán már léteznek is) olyan biztosítási termékek, melyek csökkenthetik majd a vállalatok pénzügyi kockázatát. Az azonban nem valószínű, hogy a GDPR-felkészülést bárki kiválthatná egy biztosítással. Például lakásbiztosítás esetén is megköveteli a biztosító a megfelelő szintű védelmet (minősített ajtózár stb.), mielőtt egyáltalán hajlandó biztosítást kötni, a biztosítás összege pedig függ a védelem minőségétől. Hasonló konstrukciók lehetnek az adatvesztés, adatlopás következményeinek enyhítésére is.

Miben fog megváltozni a cégek és felhasználók közötti kommunikáció?

Az előzetes tájékoztatás minőségének részletes szabályozása része a GDPR-nak ugyanúgy, mint az adatkérésre való válaszadás kötelezettsége. Az ezeknek való megfelelés bizonyítása első körben jogi garanciákkal történhet, másodsorban tanúsítványokkal, harmadsorban auditálás során.

A tanúsítások rendszere még nem készült el teljesen, így erről egyelőre nem sokat tudunk, de nyilván megkönnyíti majd – főleg a közvetített szolgáltatások terén – a bizalom kialakulását. Ami a magánembereket illeti, minket, európai polgárokat: a mi bizalmunkat is ki kell érdemelni. A GDPR sok új önrendelkezési jogot nyújt (a rólunk tárolt adatok megismerhetőségének joga, a személyes adatok hordozhatóságának joga (a telefonszám hordozhatóságához hasonlóan), az adatok kérésre történő törlésének joga stb.), ezek érvényesülését a hatóság hivatott ellenőrizni, de azt magunk döntjük el, hogy kire bízzuk a személyes adatainkat.

Ez ügyben arra számítok, hogy verseny alakul majd ki az alapból bizalmat igénylő szolgáltatók között (pl. bankok), hogy ők legyenek a személyes adataink kezelésének „egyszemélyi” letéteményesei. Így csak egy, általunk megbízhatónak ítélt szolgáltatónak adnánk meg minden érzékeny adatunkat, és őt bíznánk meg azzal, hogy a többi szolgáltatónk felé – az adott szolgáltatáshoz minimálisan szükséges adatmennyiséget – ellenőrzött körülmények között átadja (de pl. azok nem tárolhatnák ezeket az adatokat).

Hogyan derül ki, ha egy vállalat valamely ponton nem megfelelőséget mutat? Auditálják, vagy mi a menete ennek?

A legkirívóbb meg nem felelés a személyes adatok ellopása, elvesztése, melynek (pl. abban az esetben, ha ezek nem titkosított, hanem olvasható formában vesztek el) egyik következménye, hogy erről mind a hatóságot, mind az érintett személyeket záros határidőn belül értesíteni kell – tehát publikussá válik. Ha valaki ennek nem tesz eleget, az a legsúlyosabb büntetésre számíthat, legkésőbb akkor, amikor az ellopott adatok újra felbukkannak, például a feketepiacon, és visszaélésekre derül fény.

Bárki, akinek tudomása van a személyes adatok kezelésének nem megfelelőségéről, bejelentést tehet majd a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (erre készül egy elektronikus űrlap, de más, hagyományos úton is megtehető).

Szintén súlyos elbírálás alá esik majd, ha a személyes adat tulajdonosa önrendelkezési jogának gyakorlását súlyosan korlátozzák – pl. nem válaszolnak az adatkérésre, törlési kérésre. Ilyen esetben a sértett a fent jelzett módokon kérheti a hatóság közbenjárását.