Májusban változnak az adatvédelmi szabályozások. Felkészültünk erre?

Május 25-től lép érvénybe az Európai Unió személyi adatok kezelését gyökeresen átalakító Általános Adatvédelmi Rendelete, a GDPR. Románia enyhén szólva sincs erre felkészülve, a kis- és középvállalkozások számos problémával fognak szembesülni. A Kreatív Kolozsvár keddi estjén négy szakember összegezte meglátásait a témában.

A Székely Barnabás adatvédelmi szaktanácsadó, a Cluj Privacy Hub társalapítója által moderált beszélgetés első kérdése Románia GDPR-felkészültségét firtatta. A meghívottak között konszenzus volt arról, hogy az ország „sehogyan sem” készült fel. Vincze Tamás, az East Grain ügyvezető igazgatója és társtulajdonosa a sajtóhíreket olvasva jutott arra, hogy kezdetleges állapotban van a felkészültség, hivatalos kérést is megfogalmaztak a GDPR bevezetésének elodázására. A román állam nem informál, a KKV-k nem tudnak a változásokról – összegezte.

A GDPR minden európai állampolgár adatait hivatott védeni, így felvetődött a kérdés, hogy tulajdonképpen mit jelentenek ezek az adatok technikai szempontból. Brem Walter, a Codespring ügyvezető igazgatója több példát is hozott rá: számos személyre szabott reklám, születési dátum stb., amelyek alapján beazonosíthatók az emberek. „El nem tudjuk képzelni, hogy mennyit tudnak rólunk” – tette hozzá kiemelve, hogy ha nem is tudnak rögtön nevet társítani IP-címekhez az adatokhoz hozzáférő személyek, de a sütiknek köszönhetően ez sem nehéz feladat.

Könnyű visszaélni az adatokkal

A nem jogszerű adatkezelésekről Vincze Tamás elmondta, jó példa erre, amikor a céges autót magánhasználatra odaadják, de GPS van benne. Innentől ugyanis kérdés, megfigyelik-e, hogy merre járunk szabadidőnkben? Vannak informatikai rendszerek ennek a követésére, vele is előfordult már hasonló – mondta el. Nagyvállalatok a hobbijainktól elkezdve mindenfélét gyűjtenek rólunk, és kérdés, hogy ebből mit indokolt gyűjteniük és mit nem.

Előfordult vele már az is, hogy kérték, fényképezze le a bankkártyája hátát, ami szenzitív adatokat tartalmaz. De kérdés, hogy hányan olvassuk el az interneten azt a hosszú szöveget, amelybe aztán bele kell egyeznünk.

Zöld György, a General Facility Management Romania ügyvezetője elmondta: a CRM-rendszerekben (ügyfélkapcsolat-kezelő rendszerek) megjelenő adatgyűjtésről az ügyfelek nem is biztos, hogy tudnak, holott ezek az információk azt is befolyásolhatják, hogyan viszonyul hozzájuk egy cég. Találkozott azzal is, hogy vállalatvezetők belenéztek magánlevelezésekbe arra hivatkozva, hogy a kémkedést figyelik – tette hozzá.

Technikai akadályok

Az adatvédelmi szabályozás szerint harminc napon belül minden adatot törölni kell kérésre, beleértve backupot is, ami például CD-t is jelent, vagy a levelezésekben megjelenő adatokat – emlékeztetett Brem Walter. Meglátása szerint ezt megoldani és még bizonyítani is, hogy megoldottuk, szinte lehetetlen.

Zöld György rávilágított arra, hogy külön problémát jelent az adatok eredetének feltárása: van, amikor aktívan hozzájárulunk egy hírlevélhez, viszont problémát okoz, ha ez a beleegyezésen alapuló adat-felhasználhatóság nem dokumentálható. Ezek a tisztázatlanságok fognak gondot okozni, ezért fel kell térképezni az adatmozgásokat, ami azonban megterheli majd a KKV-kat – magyarázta.

Milyen megoldásokhoz érdemes nyúlni?

Fel kell térképezni a házon belül a folyamatokat, megnézni, van-e a weboldalon sütielfogadás, megkérdezni erről a szoftverfejlesztőt, megnézni, hogy ki fér hozzá a Facebook-oldalhoz és felhasználók adataihoz – sorolta Brem a fontos teendőket. Mint kifejtette, érdekes kérdéseket jelent a biztonsági kamera használata: felvesz-e részleteket az utcáról, mert elméletileg nem szabadna, a vállalati kamera fedélzeti kamerájáról megoszthatunk-e valamit, másoknak esetleg gondot okozva ezzel.

Vincze szerint először is fontos tudni, hogy mi az adatvédelem, milyen adatokat kezelünk, megnézni, hogy a cégen belül hol van adatkezelés, amelyre aztán szabályzatot kell kidolgozni, adatvédelmi szakértővel megnézetni azt.

Zöld György tapasztalata szerint a legtöbb vállalkozás ösztönszerűen működik, nincsenek merev szerkezeteik. „Nem minden van leszabályozva, de jól működnek. Ha elkezdenek strukturálódni, a prioritást az üzleti fő folyamatokra helyezik. "Az adatkezelés viszont nem hasznos dolog számukra, hanem kötelező, és a kötelezőt tologatni fogják addig, amíg kitörik egy válság” – fogalmazott.

Sci-fi és valóság

Míg Zöld szerint szó lehet a május 25-i időpont kitolásáról, Székely szerint nem lehet dátumot változtatni, mert a GDPR-rendelet mint európai uniós jogi aktus kötelező módon, szóról szóra, a rendeletben előírt időpontban közvetlenül és egységesen alkalmazandó mindegyik uniós tagállamban. Az életbe lépéséhez a tagállami jogszabályalkotásra nincs szükség, illetve tagállami hatáskör sem, amely korlátozhatja.. Viszont: a legtöbb KKV-nak nem kell feltétlenül külső segítség és sok forrás, csak foglalkoznia kell a kérdéssel. Iparáganként a nagyobb forgalmú cégek együtt alakíthatnának ki jó gyakorlatokat (best practice-eket), mint ahogy a németországi vállalatok teszik különböző iparágakban. Itthon a telekommunikációs piacon lehet tudni hasonló együttműködésről, a nagyobb vállalatok munkacsoportot (ehhez egyéb iparágak szereplői is csatlakoztak) hoztak létre a GDPR megfelelés érdekében.

Míg Németországban a 100 millió dollár fölötti forgalommel rendelező vállalatok 80 százalék mondta az E&Y felmérése szerint, hogy fel tud készülni a GDPR-re, szerinte Romániában 15-20 százalék lehet ez a valóságban. Vincze meglátása szerint azonban tudományos-fantasztikus kategória az, hogy a cégek együttműködve felkészüljenek a változásokra. Valószínűbb, hogy az első mediatizált büntetések után sem lesznek komoly változások, és csak reménykednek majd, hogy nem ők kerülnek sorra.

Székely arra emlékeztetett, hogy az európai adatvédelmi ügynökség most alakul, a cél pedig az, hogy ne csak a követelmények, hanem a szankcionálás is legyen egységes, azaz ugyanazért a társadalomnak okozott kárért hasonló büntetés legyen például Németországban, mint Romániában. Ezért valószínűleg lesznek magas büntetések, de szerinte nem az lesz a cél, hogy „agyonbüntetések a KKV-kat”, hanem a felkészülés.

Az állam mint rossz tanuló

Bár nem jártas a témában, de Vincze Tamás szerint nem tudnak megfelelni az elvárásoknak az állami intézmények. „A vállalati szektor magasabb szinten van, mint az állami, így vélhetően az erre való felkészültségben is” – magyarázta. Zöld György szerint előfordulhat, hogy a GDPR-nek úgy akarnak majd megfelelni, hogy korlátozzák a publikus adatokat, és csak bizonyos köröknek adnak hozzáférhetőséget, akik pénzért értékesítik majd a kért információkat.

Az állami ellenőrző szerv sem áll túl jól: Székely elmondása szerint az adatvédelmi hatóság mindenestől – azaz takarítóval, sofőrrel együtt – 50 fővel dolgozik, egy jogszabály pedig ugyan 80 főre növeli a személyzet számát, de nem tudni, hogy ez a növekedés mire lesz ez elég. Romániában összesen nincs 80 tapasztalt adatvédelmi szakember.

Vincze szerint ugyanakkor azért kell megfelelni az új szabályozásnak, „mert ezt jó megcsinálni, nem azért, mert megbüntethetnek”. Inkább jó dolog, hogy ezt leszabályozzák – zárta a gondolatot a szakember.

Kapcsolódók

Kimaradt?