Utánajártunk

58_Lynda.com.jpg
Forrás: ITB
GDPR, öt hónap után

Nem esz meg, csak megkóstol

Még nem félünk a farkastól, azaz a GDPR-tól, hiszen elnézőnek ígérkezik az első alkalommal félrelépő vállalatokkal a magyar hatóság. A személyes adatokat védő szigorú GDPR májusi életbelépése után megnéztük, mennyire készültek fel a magyar cégek a szabályozás előírásaira.

Az egyik magánorvosi rendelőtől kértem ki nagyon rövid és határozott e-mailben a személyes adataimat – azt hiszem ennél szenzitívebb információk kevés helyen vannak. A közepes méretű rendelőtől a tulajdonos orvos, Tömösvári Zoltán hívott fel személyesen, és kiderült, jól ismerik a GDPR-t, a lehetőségekhez mérten fel is készültek rá. Pipa. Majd hozzátette, azért is hívott fel, mert szeretnének meggyőződni arról, hogy tényleg én, Vass Enikő kértem ki az adataimat, és tényleg a levélben megadott e-mail címre kérem őket. Erre valóban az orvos személyes hívása volt a legmegfelelőbb, hiszen ismer engem. Pipa.

 

Bele a lecsó közepébe

Majd arról kezdett faggatni, hogy pontosan milyen adatokat szeretnék, milyen leleteket küldjenek el nekem. Nem akartam feleslegesen dolgoztatni őt (még szükségem van rá), így ezen a ponton már elárultam, hogy csak teszteltem a rendelő reakcióját. Mint azt a tulajdonos orvos elmondta, az informatikai rendszereik „GDPR ready”-k, minden IT-s szolgáltató partnerüktől megfelelőségi tanúsítványt kértek. Az orvosi adatok kapcsán a dolgok közepébe csaptunk: a doktor szerint míg egyes törvények az adatok hosszabb tárolását írják elő, a GDPR szerint kérésre az adatokat törölniük kell, ezt az ellentmondást pedig még nem oldották fel.

Az általunk megkérdezett szakértőktől az ellentmondások feloldását kértük. Ahogy egyikük részletezte, az infotörvény módosítása átemelte a magyar jogszabályba a törléshez való jogot, így egyrészt a GDPR szerinti törlési kötelezettségnek is meg kell felelnie az adatkezelőnek a hazai szabályozás szerint, másrészt a kötelező adatmegőrzésre vonatkozó szabályokat is szintén be kell tartania, maradéktalanul. Magyarul a különleges egészségügyi adatokat valóban 50 évig kell megőrizni, nem lehet törölni, ahogy a TB-adatokat sem lehet felülírni.

Másik szakértőnk szerint a módosítás mellett szükség van további változtatásokra, hogy a még meglévő feszültségeket is feloldják. Így az egészségügyi adatok kezelése mellett az online marketing világát is érinti ez az bizonytalanság. Fontos lenne rendezni például a direkt marketinghez, hírlevél küldéshez kapcsolódó szabályokat, tekintettel arra, hogy a GDPR előírásai már lehetővé teszik azt, hogy jogos érdek alapján folytassunk adatkezelést közvetlen üzletszerzés érdekében. Ezzel szemben a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény („Reklámtörvény”) szerint közvetlen üzletszerzés elektronikus levelezés útján kizárólag akkor közölhető, ha ahhoz a reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult, azaz kétségtelenül ellentmondás van a GDPR és a hazai ágazati jogszabály által meghatározott adatkezelési jogalap között.

 

Még egy abszurd dráma

De nézzünk egy másik fura témakört, a konferenciákét. Az utóbbi időben több sajtórendezvényen, konferencián kértek meg, hogy írásban nyilatkozzam adataim felhasználásáról. Nem voltam troll, engedélyeztem, hogy „sztárfotók” készüljenek rólam, de nyilván felmerült az a kérdés is, vajon hogyan oldanák meg, hogy ne fotózzanak le a tömegben, ha nem járulok hozzá az adataim felhasználásához. Komor Ildikó, a Sár és Társai Ügyvédi Iroda ügyvédje szerint az egyik megoldás az, hogy a szervezők már az eseményre történő regisztrációkor kérik a hozzájárulást (külön nyilatkozat formájában, az erre vonatkozó checkbox bepipálásával), és ezt a konferencián való részvétel feltételeként szabják meg. Máskülönben szinte lehetetlen a későbbi megkülönböztetés az eseményen, vagyis az, hogy pontosan kezeljék a helyszínen, hogy ki járult hozzá a kép- és hangfelvétel készítéshez és ki nem. Ebben az esetben magát az adatkezelés célját is részletesen körül kell írni, és készítsünk komoly érdekmérlegelési tesztet is, amely alátámasztja, hogy valóban jogos érdeke-e a konferencia szervezőjének, mint adatkezelőnek, hogy publikáció céljából kép- és hangfelvételt készítsen.

Abszurd helyzetet eredményezhet az az eset is, ha az érintettől valamilyen hozzájárulást szóban kívánunk beszerezni. Ekkor ugyanis a hozzájárulás alapját képező adatkezelésről szóló tájékoztatást a hozzájárulás megtörténtének folyamatával együtt valamilyen módon (például hangfelvétel útján) rögzítenünk kell. Mivel azonban a hangfelvétel készítése önmagában is adatkezelésnek minősül, ezért erre vonatkozóan is tájékoztatnunk kell az érintettet, ami meglehetősen hosszadalmassá és egyben abszurddá is teszi a hozzájárulás szóbeli megadását. Így mindenképp az írásbeli hozzájárulás a legjobb.


 

Fogy az idő, vészesen

A személyes adatok védelmére felkent NAIH, vagyis a Nemzeti Adatvédelmi és Információszabadság Hatóság eddig nem büntetett meg egyetlen vállalatot sem amiatt, hogy nem készült volna fel rendesen a személyes adatok megvédésére. A júniusban módosított infotörvény szerint most már írásos ígéretük van a cégeknek arról, hogy az első alkalommal megállapított jogsértés esetén csak figyelmeztetést kapnak az érintettek.

Péterfalvi Attila, a NAIH elnökének médiában megjelent pontosítása szerint a fenti kedvezmény nem vonatkozik azokra az esetekre, amikor a jogsérelem súlyos gondatlanságból vagy szándékosságból fakad, továbbá a gyermekek jogainak sérelme esetén sem kerülhetik el a bírságolást a vállalatok, így a KKV-k sem. Ezért Komor Ildikó úgy véli, azok a vállalatok, akik még nem készültek fel teljes körűen az új adatvédelmi szabályokra, egyre inkább kezdenek kifogyni az időből, valamint a súlyos jogsértések esetén jelenleg sincsenek védve a GDPR és az infotörvény rendelkezéseivel szemben, azaz a bírságolás is elképzelhető az esetükben.

Mindenki biztosra akar menni, ezért helyenként túlságosan is macerássá váltak a dolgok, miközben a felhasználói élményt is érdemes szem előtt tartani, amikor egy-egy GDPR megfelelőséget tervezünk. Gyimesi Csaba, a PwC igazgatója szerint úgy tűnik, a cégek tudatosak és foglalkoznak a kérdéssel. A dolgok mögé látni persze nehéz, hogy tényleg, reálisan felkészültek-e mindenre, vagy csak szemfényvesztés az egész. A szakember szerint még mindig sok ügyfele megkérdi tőle, hogy mennyi a türelmi idő. Ilyen már nincs, 2016-ban lépett életbe ez a szabályozás, de érdemben csak 2017 második felében kezdtek el foglalkozni a vállalatok a felkészüléssel, 2018 májusa óta pedig érvényes a GDPR.

Az adatvédelmi szabályzatok, a hozzájárulások elkérése többnyire minden cégnél megvan, most az utókövetés van terítéken. A PwC saját kutatása is azt mutatja, hogy a cégek 60 százalékának van elmaradása GDPR tekintetében, most a finomhangolásokat végzik, egy-egy IT-fejlesztést még elindítanak, vagyis az utolsó simításoknál tartanak. Például előtérbe került az adatalanyi jogok regisztrációja – hogyan bizonyítsuk és hogyan egyeztessük meglévő üzleti folyamatainkkal, hogy ügyfelünk valóban regisztrált –, a szakember szerint ez jövő év elején kerül fókuszba.

Az igazgató olyan esettel is találkozott, amikor létezett ugyan adatvédelmi szabályzat, de azt a módosítási javaslatokkal együtt tárolták, így nem lehetett megállapítani, hogy egy adott időpontban az adatvédelmi szabályzat mely verziója volt érvényben. A vállalatoknak a fenntartható eredmények auditálására is fel kell készülniük, tehát van még tennivalójuk ezen a téren.

 

Sok a kifogás

A GDPR nem egy egyszeri projekt – az adatvédelmi belső eljárásoknak és dokumentációknak élőnek kell maradniuk – véli Domokos Márton, az Ormai és Társai CMS Cameron McKenna LLP Ügyvédi Iroda munkatársa. Folyamatosan tesztelni kell gyakorlati alkalmazásukat, és szükség esetén módosítsuk őket, figyelemmel az érintettek visszajelzésére, gyakorlati megvalósíthatóságukra, és nem utolsósorban a GDPR-ral kapcsolatos adatvédelmi hatósági állásfoglalásokra. Ahogyan egy, a pénzügyi szektorban működő ügyfelük megjegyezte: nem elég megfelelőnek látszani, megfelelőnek is kell maradni.

Még mindig akad olyan vállalat, aki nem hallott a GDPR-ról – mondja Ságodi Attila, a KPMG tanácsadás üzletág ügyvezető igazgatója. Azok a cégek, akik ismerik a GDPR-t és tudják, hogy miről szól, gyakran azzal védekeznek, hogy rájuk nem vonatkozik vagy sokkal fontosabb dolguk is van annál, hogy egy ilyen törvénnyel foglalkozzanak. Ennek tipikus esete a kórház, ahol rengeteg érzékeny adatot kezelnek, mégis azzal késleltetik a törvénynek való megfelelést, hogy „úgysem minket fognak vizsgálni és büntetni”. A háziorvosok is amiatt panaszkodnak, hogy a sok dokumentáció lassítja, drágítja a kezelést. A KPMG munkatársa szerint az is gyakran előfordul a vállalatoknál, hogy papírforma szerint megvan minden, ami a GDPR-hoz kell, viszont a könnyebb működés (vagy a szabályzat nem ismerése) miatt mégis megszegik az előírásokat, mégis kimentik Excelbe az ügyféladatokat, sőt akár haza is viszik azokat.

Gyakori kifogás, hogy versenyhátrányba kerülnek az európai cégek a szigorú adatvédelmi előírások miatt. Valóban kell pénzt és energiát költeni a GDPR-ra, de ha egyszer a vállalat jól kitalálta, felépítette és rendesen működteti a rendszert, akkor hosszú távon a reputációs kockázatok mérséklődésével kifizetődő a beruházás, versenyelőnyt is hoz. Hiszen ismerjük a mondást, a bizalmat felépíteni évekbe kerül, lerombolni pillanatok műve. A GDPR a fenntartható vállalati fejlődés egyik eleme, véli Ságodi Attila.

 

Megerősíti a bizalmat

Zala Mihály, az EY kibervédelmi üzletágvezetője szerint a kisebb cégek lépéshátrányban vannak a GDPR készülődés területén. A közepes és nagyvállalatoknál azért már jobb a helyzet, hiszen a pénzintézetek, közművek, távközlési vállalatok közül szinte mindenki rendezte vállalata GDPR-megfelelőségét. Az üzletágvezető a GDPR-t – ahogy az ISO tanúsítványokat is – üzleti bizalomnövelő tényezőnek tartja. Még ajánlatkérési fázisban látott olyan szerződéses elemeket, ahol rákérdeznek, hogy GDPR szempontjából milyen kategóriába esnének, netán a feladat kapcsán adatfeldolgozó vagy adattulajdonos szerepkörben lépnek fel. Egy ilyen szintű figyelem megerősíti a két fél közötti bizalmat és pozitív üzleti légkört alakít ki.

Az üzletágvezető szerint az incidensek a rendszerbe vannak kódolva. Elég például megnézni a kis webáruházakat üzemeltető cégeket, akik a webhosting díjakon úgy spórolnak, hogy Moldova Köztársaságban vagy EU-n kívül bérelnek host szervert – törvénytelenül. Persze, senki sem áll végig böngészni a rekordokat, hogy meglássa, ki hol hosztolja weboldalát, de egy incidens esetén mindenképp napvilágra kerülhet ez is.

És ha már van felépített IT-infrastruktúránk, a biztonsági rendszerek is üzemelnek (a vállalatok nagy része ezeknek a folyamatoknak a felépítésénél tartanak), akkor a sérülékenységi vizsgálatokról se feledkezzünk meg, hiszen a technológiai szintű informatikai incidensek rendszereink folyamatos, tervezett sérülékenységi vizsgálatával kiküszöbölhetők – a GDPR miatt ez a terület is felértékelődik.