https://m.portfolio.hu/vallalatok/a-gdpr-nal-is-nagyobb-kihivas-var-a-vallalkozasokra-jon-az-eprivacy.314513.html
Richter Orsolya, KPMG | 2019. február 20.

Várhatóan 2020-ban lép hatályba a GDPR-t kiegészítő ePrivacy rendelet, mely az elektronikus hírközlési adatvédelmi irányelvet felváltó, új európai uniós szabályozás. Elsődleges célja az elektronikus kommunikáció és az azzal kapcsolatban keletkezett adatok védelme, ami a felhasználók szempontjából örvendetes hír, azonban a szolgáltatók részéről még talán a GDPR-nál is nagyobb energia befektetést kíván. Nem csoda, ha a bevezetése már most nagy hullámokat ver világszerte.

Az Európai Tanács már 2017 végén bemutatta az ePrivacy rendelet tervezetének szövegét, de az eltérő tagállami álláspontok miatt viták alakultak ki a végleges verzióról, így a rendelet - az eredeti tervekkel ellentétben - nem lépett hatályba a GDPR-ral párhuzamosan. Tartalmával kapcsolatban elsősorban az amerikai technológiai óriások (Google, Facebook, Amazon stb.) fogalmaztak meg komoly kritikákat, hiszen igen érzékenyen érintené az új szabályozás az adatokra épülő üzleti modelljüket, így minden lobbierejüket bevetve igyekeznek megakadályozni, de legalábbis késleltetni, a rendelet elfogadását. A román soros elnökség azonban kiemelt prioritásként kezeli a rendelet szövegének az európai parlamenti választás előtti véglegesítését, így az legkésőbb 2020-ban hatályba léphet. A GDPR felkészülés tapasztalataiból kiindulva érdemes már most elgondolkodni azon, hogy milyen következményekkel jár a rendelet elfogadása a vállalatokra nézve.

Míg a GDPR általános adatvédelmi szabályokat, alapelveket fogalmaz meg, addig az ePrivacy részletes szabályokat tartalmaz az email-ek, sms-ek, chat- és üzenetküldő szolgáltatások, metaadatok, cookie-k, spamek, direkt marketing szolgáltatások, illetve a végeszközön tárolt adatok tekintetében. Talán a legjelentősebb változás a metaadatok, illetve a sütik (cookie-k) körében várható, hiszen a metaadatokat az új szabályok értelmében úgy kell kezelni, mintha azok különleges személyes adatok lennének, illetve sütik használata is csak a felhasználó aktív beleegyezésével történhet.

A szabályozás újdonsága az is, hogy - a GDPR-hoz hasonlóan - nem tesz különbséget aszerint, hogy hol van a szolgáltató székhelye, mindenkire érvényes, aki az EU területén szolgáltatást nyújt. Fontos változás még, hogy az érintettek számára valós alternatívát kell felkínálni az adatkezelésben, ami a gyakorlatban annyit tesz, hogy nem tagadható meg a szolgáltatás azoktól, akik nem járulnak hozzá saját adataik teljeskörű felhasználásához. Ezekből a példákból is látszik, hogy a tervezett szabályok nagyban szűkítik a szolgáltatók mozgásterét az adatok felhasználása körében, arról nem is beszélve, hogy az adatok nem megfelelő kezelése esetén a bírságok is a GDPR-ban foglaltakhoz igazodnak, vagyis 20 millió euróig vagy a vállalat éves bevételének 4 százalékáig terjedhetnek. Az elszámoltathatóság elvéből következően itt is az adatkezelőnek kell bizonyítania, hogy mindent megtett az adatok rendeltetésszerű használata és védelme érdekében.

Az ePrivacy komoly többlet feladatot ró a vállalatokra, hiszen egy olyan területet kíván szabályozni, meglehetősen szigorú módon, ahol elképesztően nagy mennyiségű adatot kezelnek a szolgáltatók. Ebben a helyzetben felértékelődik a GDPR-nál megismert adatvédelmi tisztviselők szerepe, akik átlátják a cégek működését, értik a GDPR és az ePrivacy rendelet szellemiségét, így képesek lehetnek menedzselni a megfelelésre való felkészülést.

Az első feladat az adatvédelmi audit elvégzése, azaz annak feltárása, hogy a cégben milyen rendszerekben keletkeznek védendő adatok, azokkal mi történik, és milyen kockázati besorolás alá esnek. Ez nemcsak a rendszerek felkészítésének alapja, hanem egyben lehetőség is a vállalat számára, hogy üzleti hasznot kovácsoljon a felkészülésből. A legtöbb cégnél ugyanis bár az adatok rendelkezésre állnak, de nem elég strukturáltan, ráadásul gyakran teljesen különböző szervezeti egységek kezelik azokat, így nem alkalmasak az érdemi feldolgozásra.

“The single version of truth"

Egy látszólag egyező adathalmazból, ugyanazzal az algoritmussal a legritkább esetben juthatunk pontosan ugyanarra az eredményre, ezért szükséges a cégeknél egy egyedüli és hiteles adattörzsre támaszkodni, ami egységes struktúrába szerkesztve, használható állapotban tárolja az adatokat. Az ePrivacy felkészülés kiváló alkalom ilyen törzsadatbázisok létrehozására. Egyszerű példa, hogy a vállalkozások többségénél a külső kapcsolati háló az egyes alkalmazottak személyes címtáraiból rakható csak ki, ez pedig nem csak akkor jelent problémát, ha a vállalat szeretné egységesen látni az adatvagyonát, hanem akkor is, ha mondjuk egy dolgozó távozik a cégtől. Most ilyen szempontból is meg kell teremteni az adatkezelés és a biztonságos tárolás feltételeit. Az ePrivacy felkészülés így, az adatvédelmen túl, az üzleti folyamatok és adatbázisok fejlesztését is jelenti.

Az ePrivacy rendelet életbelépésével különösen fontossá válik az adatvédelmi incidensek megfelelő kezelése, hiszen a védendő adatok köre nagymértékben kibővül, sérülésük komoly reputációs kockázatot jelent a vállalatok számára. Az elmúlt időszak adatvédelmi botrányainak fényében (Sony levelezés, Oxford Analytica, Facebook adatlopások, Marriott szállodalánc hekkelése stb.) nem kérdés, hogy az adatvédelmi incidensek megfelelő kezeléséhez nem elegendő csupán adatvédelmi szakértők bevonása, hanem a reputációs kockázatok csökkentése érdekében elengedhetetlen a megfelelő kommunikációs tervek kidolgozása is. Az ePrivacy megfelelés összességében nem egy IT probléma, hanem emellett rengeteg jogi, kommunikációs és menedzsment aspektusa is van, s ezek nem igazán választhatók szét egymástól.

A jó adatvédelmi gyakorlatok éppen arról ismerhetők fel, hogy a szervezet egészét áthatják, ezért érdemes inkább vállalati adatvédelmi kultúráról beszélni, mint egyszerű szabályozásról. A teljes kultúraváltás a vezetőktől indul, de részesei a vállalat szakértői, dolgozói is kivétel nélkül, sőt az adattudatosságot célszerű kifelé is kommunikálni, mert a felhasználók és a partnerek adatvédelmi elvárásai az utóbbi években nagymértékben megnőttek, és akár döntési szemponttá is válhatnak, amikor az ügyfelek két hasonló profilú cég közül választanak.

A szerző a KPMG IT tanácsadója.