Alig egy hónap, és életbe lép az EU új adatvédelmi csodája, a GDPR
Kevesebb mint egy hónap múlva, május 25-én kezdik a gyakorlatban is alkalmazni az Európai Unió Általános Adatvédelmi Rendeletét (GDPR), amely hivatalosan már két éve hatályos, de mégis csak az elmúlt hónapok – leginkább a Facebookhoz és a Google-höz köthető – adatvédelmi botránysorozatával, valamint az óriás techcégek adatgyűjtési technikáinak felfedésével került a közbeszédbe szélesebb körben.
A 2016. április 27-én hatályba lépett rendelet türelmi idejének lejártával azonban nem csak a sok millió felhasználóval rendelkező óriáscégek készülhetnek nagy változásokra, hanem minden olyan vállalat (európai vagy sem), amely európai állampolgárok adatait gyűjti és tárolja. Az EU előző adatvédelmi szabályait egy 1995-ös irányelv alapján kellett minden tagországnak a saját jogrendszerébe átültetni, a mostantól érvényes rendelet azonban már egységes, ami például az eddig országonként különböző törvények mentén dolgozó multik dolgát könnyíti meg.
De ami ennél is fontosabb: az ígéretek szerint minden európai állampolgárnak egyszerűbb lesz követni, kik és hogyan használják fel a személyes adatait.
A GDPR legfontosabb előírásai:
- a weboldalaknak egyértelműen és jól látható helyen tudatniuk kell a felhasználókkal adatkezelési elveiket,
- a cégek csak konkrét célhoz kötött adatokat kezelhetnek a munkavállalókról,
- az alkalmazottak kérhetik a munkáltatótól a jogalap nélkül kezelt adatok törlését,
- az adatvédelmi incidenseket jelenteni kell a NAIH-nak és egyes esetekben az érintetteknek is,
- a rendelet megszegőire a mostani maximális 20 millió forintos helyett 20 millió eurós bírság is kiszabható.
A Facebook és a Google ellen szabták, mégis őket erősítheti
A napokban a New York Times és a Wall Street Journal is arra jutott, hogy hiába célja az EU-nak a valódi versenytárs nélküli nagy techcégek aggasztóan egyoldalú adatkezelési szokásainak megváltoztatása, az új rendelet csak tovább erősíti a Facebook és a Google monopóliumát, a kisebb szereplők kárára.
A Facebook az elmúlt hetekben elkezdte felugró ablakban magyarázni az adatvédelem fontosságát, miközben arra kéri a felhasználóit, hogy fogadják el a közösségi oldal szabályait, amelyek lehetővé teszik, hogy az adataikat felhasználhassák a célzott hirdetések hatékonyságának növelése érdekében.
A Google saját felületein (Gmail, Youtube és a kereső) már szintén intézkedett a felhasználók tájékoztatásáról, de közben felszólította a Google hirdetési rendszerét használó oldalak és alkalmazások tulajdonosait, hogy minél előbb kérjék olvasóik/felhasználóik beleegyezését az adataik használatához, felsorolva minden egyes céget, amely hozzájuthat az adatokhoz.
A két újság által megkérdezett szakértők szerint a Facebook és a Google a GDPR kezdeti ellenzése után átgondolta a stratégiáját, és inkább azon dolgozott, hogy a saját előnyére fordítsa az elkerülhetetlen változásokat. Ez a hirdető cégeket a célzásban adatgyűjtési és felhasználókövetési szolgáltatásokkal segítő hirdetéstechnológiai szektort érinti a legrosszabbul, mivel a felhasználói beleegyezés elsősorban bizalmi kérdés, és az emberek általában még akkor is inkább az ismert nevekre bízzák az adataikat a háttérben működő, sosem hallott cégekkel szemben, ha a nagyokról már többször kiderült, hogy visszaéltek az adatokkal. Így pedig a hirdetők nagyobb eséllyel fordulnak a rendeletet ezáltal könnyebben betartó Facebook és Google hirdetési szolgáltatásai felé, vagyis tovább erősödnek a piacon.
Az elmúlt hetekben, hónapokban több hirdetéstechnológiai cég döntött úgy, hogy bezárja európai irodáit, mások pedig a saját adatgyűjtési technikájuk feladása után áttérnek a nagy cégek adatbázisát használatára, így nem kell külön engedélyt kérniük a felhasználóktól. Az egyenlőtlen helyzetet egyébként Mark Zuckerberg is elismerte, amikor a kongresszusi meghallgatásán azt mondta: „A szabályozás sok esetben definíciójából adódóan is olyan szabályokat követel meg, amelyeknek a nagyobb, a miénkhez hasonló erőforrásokból gazdálkodó cégek könnyebben eleget tesznek, mint a kisebb startupok”. A Facebook workshopokat is tart kis- és középvállalkozásoknak a rendelethez való alkalmazkodásukat segítve.
A legkisebb vállalkozásokra ugyanúgy vonatkozik, ahogy a nagy multikra
Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke szerint a rendelet legfontosabb újítása az elszámoltathatóság elve: „Ez ugyanis nemcsak azt mondja ki, hogy az adatkezelőknek meg kell felelniük a rendelet szabályainak, hanem ezt bizonyítaniuk is kell. Tehát rendelkezniük kell azokkal a dokumentumokkal, amelyek a megfelelést igazolják”.
A büntetések mértéke is drasztikusan nő, a legsúlyosabb esetben 20 millió euró vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összeg (amelyik a magasabb) szabható ki bírságként – a jelenlegi 20 millió forintos maximumhoz képest.
Fontos, hogy a rendelet nemcsak a nagyvállalatokra vonatkozik, hanem minden olyan cégre és vállalkozásra, amely európaiakról gyűjt adatokat. Ezt azért is kell észben tartani, mert például a kis- és középvállalkozások esetében a magyar szabályozás eddig tiltotta, hogy az első szabályszegésnél rögtön bírságot szabjanak ki rájuk, a GDPR viszont már nem ad lehetőséget a mentesítésre. De még az otthonról működtetett, egyszemélyes webshopok tulajdonosainak is rendelkezniük kell minden olyan dokumentummal, ami bizonyítja, hogy biztonságosan kezelik a felhasználóik adatait.
Még mindig nem késő felkészülni
Bár talán ma már jobb a helyzet, mint februárban, amikor a Microsoft felmérése szerint a magyar cégek egyharmada még nem is hallott a GDPR-ról, még most sem késő elkezdeni a felzárkózást – főleg, hogy Péterfalvi korábbi nyilatkozata szerint a hazai infotörvényt is csak az új parlament felállása után igazítják az uniós rendelethez. A PwC tanácsai alapján a felkészülés során első lépésben érdemes felmérni, mennyi adat áll a cég rendelkezésére.
Weboldalaknál például majdnem minden felhasználói interakció adatkezeléssel jár: regisztráció, kommentelés, űrlapok, hírlevél, értékelés, stb. Ebben az esetben minden cégnek úgy kell eljárnia, mintha Facebook lenne: érthető, egyértelmű szövegben tudatni kell az adatkezelési irányelveket, majd azokat el is kell fogadtatni a felhasználókkal – ez egyszerre jogi és technikai feladat.
A cégek ezentúl csak olyan adatokkal rendelkezhetnek a munkavállalókról, amelyek valamilyen célhoz kötöttek, az adatok tárolásának időtartamát pedig szintén a hatályos jogszabályok alapján kell megállapítani. A munkavállalókat tájékoztatni kell, hogy milyen adataikat kezeli a cég, és hogy azokhoz ki férhet hozzá – ha ezen adatkezeléseknek nincs jogalapja, a munkavállalók kérhetik a vonatkozó adataik törlését. Az olyan egységes HR-adatbázisokat is a GDPR követelményei szerint kell átalakítani, amelyekhez az EU-n kívülről is hozzáférhetnek, például multik esetében.
Szintén újdonság, hogy minden adatkezelőnek bejelentési kötelezettsége lesz bármilyen adatvédelmi incidens esetén, vagyis például ha egy cég rendszerét meghekkelik, akkor azt 72 órán belül jelenteni kell elsősorban a NAIH-nak, esetenként pedig az érintetteknek is. Utóbbi alól akkor mentesül a cég, ha a felhasználók adatait megfelelően titkosította, így nem tud velük mit kezdeni az, aki ellopta. Az incidenseket eddig is rögzíteni kellett, de csak külön kérésre kellett róluk beszámolni.
„Attól félek, hogy sokan nagy reményeket fűztek a GDPR-hoz, és nem vagyok benne biztos, hogy be fogja váltani. Minden azon múlik, hogy mennyire fogják számon kérni” – foglalta össze a rendelettel kapcsolatos bizonytalanságokat a New York Times-nak Ben Scott, az Open Technology Institute nevű független techpolitikai intézet tanácsadója.