https://m.portfolio.hu/vallalatok/a-gdpr-nal-is-nagyobb-kihivas-var-a-vallalkozasokra-jon-az-eprivacy.314513.html
Richter Orsolya, KPMG | 2019. február 20.
Várhatóan 2020-ban lép hatályba a GDPR-t kiegészítő ePrivacy
rendelet, mely az elektronikus hírközlési adatvédelmi irányelvet
felváltó, új európai uniós szabályozás. Elsődleges célja az elektronikus
kommunikáció és az azzal kapcsolatban keletkezett adatok védelme, ami a
felhasználók szempontjából örvendetes hír, azonban a szolgáltatók
részéről még talán a GDPR-nál is nagyobb energia befektetést kíván. Nem
csoda, ha a bevezetése már most nagy hullámokat ver világszerte.
Az Európai Tanács már 2017 végén
bemutatta az ePrivacy rendelet tervezetének szövegét, de az eltérő
tagállami álláspontok miatt viták alakultak ki a végleges verzióról, így
a rendelet - az eredeti tervekkel ellentétben - nem lépett hatályba a
GDPR-ral párhuzamosan. Tartalmával kapcsolatban elsősorban az amerikai
technológiai óriások (Google, Facebook, Amazon stb.) fogalmaztak meg
komoly kritikákat, hiszen igen érzékenyen érintené az új szabályozás az
adatokra épülő üzleti modelljüket, így minden lobbierejüket bevetve
igyekeznek megakadályozni, de legalábbis késleltetni, a rendelet
elfogadását. A román soros elnökség azonban kiemelt prioritásként kezeli
a rendelet szövegének az európai parlamenti választás előtti
véglegesítését, így az legkésőbb 2020-ban hatályba léphet. A GDPR
felkészülés tapasztalataiból kiindulva érdemes már most elgondolkodni
azon, hogy milyen következményekkel jár a rendelet elfogadása a
vállalatokra nézve.
Míg a GDPR általános adatvédelmi szabályokat,
alapelveket fogalmaz meg, addig az ePrivacy részletes szabályokat
tartalmaz az email-ek, sms-ek, chat- és üzenetküldő szolgáltatások,
metaadatok, cookie-k, spamek, direkt marketing szolgáltatások, illetve a
végeszközön tárolt adatok tekintetében. Talán a legjelentősebb változás
a metaadatok, illetve a sütik (cookie-k) körében várható, hiszen a
metaadatokat az új szabályok értelmében úgy kell kezelni, mintha azok
különleges személyes adatok lennének, illetve sütik használata is csak a
felhasználó aktív beleegyezésével történhet.
A szabályozás
újdonsága az is, hogy - a GDPR-hoz hasonlóan - nem tesz különbséget
aszerint, hogy hol van a szolgáltató székhelye, mindenkire érvényes, aki
az EU területén szolgáltatást nyújt. Fontos változás még, hogy az
érintettek számára valós alternatívát kell felkínálni az adatkezelésben,
ami a gyakorlatban annyit tesz, hogy nem tagadható meg a szolgáltatás
azoktól, akik nem járulnak hozzá saját adataik teljeskörű
felhasználásához. Ezekből a példákból is látszik, hogy a tervezett
szabályok nagyban szűkítik a szolgáltatók mozgásterét az adatok
felhasználása körében, arról nem is beszélve, hogy az adatok nem
megfelelő kezelése esetén a bírságok is a GDPR-ban foglaltakhoz
igazodnak, vagyis 20 millió euróig vagy a vállalat éves bevételének 4
százalékáig terjedhetnek. Az elszámoltathatóság elvéből következően itt
is az adatkezelőnek kell bizonyítania, hogy mindent megtett az adatok
rendeltetésszerű használata és védelme érdekében.
Az
ePrivacy komoly többlet feladatot ró a vállalatokra, hiszen egy olyan
területet kíván szabályozni, meglehetősen szigorú módon, ahol
elképesztően nagy mennyiségű adatot kezelnek a szolgáltatók. Ebben a
helyzetben felértékelődik a GDPR-nál megismert adatvédelmi tisztviselők
szerepe, akik átlátják a cégek működését, értik a GDPR és az ePrivacy
rendelet szellemiségét, így képesek lehetnek menedzselni a megfelelésre
való felkészülést.
Az első feladat az adatvédelmi
audit elvégzése, azaz annak feltárása, hogy a cégben milyen
rendszerekben keletkeznek védendő adatok, azokkal mi történik, és milyen
kockázati besorolás alá esnek. Ez nemcsak a rendszerek felkészítésének
alapja, hanem egyben lehetőség is a vállalat számára, hogy üzleti
hasznot kovácsoljon a felkészülésből. A legtöbb cégnél ugyanis bár az
adatok rendelkezésre állnak, de nem elég strukturáltan, ráadásul gyakran
teljesen különböző szervezeti egységek kezelik azokat, így nem
alkalmasak az érdemi feldolgozásra.
“The single version of truth"
Egy
látszólag egyező adathalmazból, ugyanazzal az algoritmussal a
legritkább esetben juthatunk pontosan ugyanarra az eredményre, ezért
szükséges a cégeknél egy egyedüli és hiteles adattörzsre támaszkodni,
ami egységes struktúrába szerkesztve, használható állapotban tárolja az
adatokat. Az ePrivacy felkészülés kiváló alkalom ilyen törzsadatbázisok
létrehozására. Egyszerű példa, hogy a vállalkozások többségénél a külső
kapcsolati háló az egyes alkalmazottak személyes címtáraiból rakható
csak ki, ez pedig nem csak akkor jelent problémát, ha a vállalat
szeretné egységesen látni az adatvagyonát, hanem akkor is, ha mondjuk
egy dolgozó távozik a cégtől. Most ilyen szempontból is meg kell
teremteni az adatkezelés és a biztonságos tárolás feltételeit. Az
ePrivacy felkészülés így, az adatvédelmen túl, az üzleti folyamatok és
adatbázisok fejlesztését is jelenti.
Az ePrivacy rendelet
életbelépésével különösen fontossá válik az adatvédelmi incidensek
megfelelő kezelése, hiszen a védendő adatok köre nagymértékben kibővül,
sérülésük komoly reputációs kockázatot jelent a vállalatok számára. Az
elmúlt időszak adatvédelmi botrányainak fényében (Sony levelezés, Oxford
Analytica, Facebook adatlopások, Marriott szállodalánc hekkelése stb.)
nem kérdés, hogy az adatvédelmi incidensek megfelelő kezeléséhez nem
elegendő csupán adatvédelmi szakértők bevonása, hanem a reputációs
kockázatok csökkentése érdekében elengedhetetlen a megfelelő
kommunikációs tervek kidolgozása is. Az ePrivacy megfelelés
összességében nem egy IT probléma, hanem emellett rengeteg jogi,
kommunikációs és menedzsment aspektusa is van, s ezek nem igazán
választhatók szét egymástól.
A jó adatvédelmi gyakorlatok éppen
arról ismerhetők fel, hogy a szervezet egészét áthatják, ezért érdemes
inkább vállalati adatvédelmi kultúráról beszélni, mint egyszerű
szabályozásról. A teljes kultúraváltás a vezetőktől indul, de részesei a
vállalat szakértői, dolgozói is kivétel nélkül, sőt az adattudatosságot
célszerű kifelé is kommunikálni, mert a felhasználók és a partnerek
adatvédelmi elvárásai az utóbbi években nagymértékben megnőttek, és akár
döntési szemponttá is válhatnak, amikor az ügyfelek két hasonló profilú
cég közül választanak.
A szerző a KPMG IT tanácsadója.
Kapcsolódó hírek:
Decentralizált internet P2P, Blockchain alapokon?
Uniós szintű digitális tárca / Digitális állampolgárság program
Gondolatok a titkosításról: az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság
Kulcsrakész online vállalkozás