Miközben a kongresszusi képviselők rendesen megizzasztották, a Facebook atyja, Mark Zuckerberg nem győzte dicsérni Európa új adatvédelmi szabályait.
Zuckerbergnek a Facebook adatgyűjtési botránya miatt kellett a szenátorok és a kongresszusi képviselők elé állnia néhány hete. „Mindenképpen érdemes lenne elgondolkodni arról, hogy az Egyesült Államokban is valami hasonlót vezessünk be” – mondta a döntéshozók előtt az európai szabályozásokra utalva.
Az amerikai döntéshozók jelenleg az európai általános adatvédelmi rendeletben (Europe’s General Data Protection Regulation – GDPR) látják a megoldást a Facebook okozta károkra. A GDPR lényege, hogy újra a felhasználók kezébe kerül az adatkezelés, így átfogóbb képet kapnak arról, hogy hol tárolják az adataikat, és hogy mire használják fel őket. A GDPR-nak azonban van sötét oldala is, amire Zuckerberg nem tért ki: a rendelet elfogadása több évig is elhúzódhat, és több milliárd dollárt emészthet fel.
Az adatvédelemnek ára van
A Fortune 500 és az FTSE 350 listáin szereplő nagyvállalatoknak több millió dollárt kellett költeniük abban az őrültekházában, amely az Európai Unió új adatvédelmi rendeletének május 25-i hatályba lépését előzte meg. Az International Association of Privacy Professionals (IAPP) és az EY becslése szerint a brit nagyvállalatok összesen 1,1 milliárd dollárt fektettek abba, hogy felkészüljenek a GDPR bevezetésére.
Ez az összeg az amerikai vállalatok esetében 7,8 milliárd dollárra rúg, ők ugyanis a brit cégeknél több pénzt kénytelenek ebbe beleölni, ha el akarják kerülni a több millió dolláros büntetéseket és az EU szankcióit.
Ahogy azt Zuckerberg a beismerő vallomásában is hangsúlyozta, még a Facebookhoz hasonló óriásvállalatok is magukra vannak utalva a GDPR-ral szemben: milliókat költenek azért, hogy egy olyan csapatot szervezzenek, ami segítségükre lehet az adatok rendszerezésében.
Mások – mint például a brit pub-lánc, a Wetherspoons – maguk próbáltak megoldást találni a GDPR miatt kialakult helyzetre: ahelyett, hogy vállalták volna az új szabályozások költségeit, inkább megszabadultak az adataik jelentős részétől. Eközben a cégek milliárdokat költenek ügyvédekre, tanácsadókra, új munkaerőre és drága technológiai megoldásokra.
Ez a történet győztesekről és vesztesekről szól; klasszikus példája annak, hogyan lehet pénzzel lehúzni a vállalkozásokat.
Ügyvédekkel felfegyverkezve
A GDPR egy terjedelmes jogszabály, amely biztosítja az Európában élők számára, hogy ők rendelkezzenek a róluk gyűjtött adatok felett. Például joguk van hozzáférni a saját adataikhoz, sőt, törölhetik is azokat, illetve ők dönthetnek arról, hogy hozzájárulnak-e azok felhasználásához.
De ahogy azt már máskor is láthattuk, az új szabályok megalkotásakor tudatosan törekedtek a homályos megfogalmazásra, így a vállalatok és a startupok kénytelenek (rendkívül drága) jogi szakértőket felkérni, akik segítenek annak értelmezésében, hogy a cégre nézve mit is jelent a GDPR bevezetése.
A GDPR például nagy hangsúlyt fektet arra, hogy hozzá lehessen jutni ahhoz a nyilvántartáshoz, amit azokról a személyes adatokról vezetnek, amelyek begyűjtéséhez nyíltan hozzájárulsz – legyen szó az e-mail címedről vagy a számítógéped IP címéről.
A vállalatok körében nagy a zűrzavar azt illetően, hogy az új szabályok szerint pontosan mi is számít „hozzájárulásnak”, illetve, hogy a korábbi „hozzájárulások” még érvényben vannak-e. Az aggodalmuk jogos, hiszen ha figyelmen kívül hagyják a GDPR-t, akkor az éves bevételük 4 százalékát vagy 20 millió eurót (24,6 millió dollár) kell büntetésként befizetniük.
„Még az FTSE 350 listáján szereplő vállalatok között is van olyan, ami, bár jól felkészült belsős jogászokkal rendelkezik, jelentős összegeket költ, mert nemhogy a GDPR-ra, de még adatvédelemre specializálódott szakembere sincs”
– mondta Luther Teng az EY kockázatitanácsadó-osztályának szenior menedzsere.
Nem meglepő módon az ügyvédek is pénzt csinálnak a dologból. A Slaughter and May ügyvédi iroda, amely az FTSE 100 listáján szereplő vállalatok 20%-át képviseli, a GDPR-t mint egyik fő szakterületét tünteti fel a honlapján.
Teng elmondta, hogy néhány vállalat, akikkel az Egyesült Királyságban dolgozik, a GDPR-hoz való teljes hozzájárulási költségük (ami az IAPP becslése szerint az FTSE 350 vállalatai esetében 2,4 millió dollár körül mozog) 40 százalékát kizárólag jogi tanácsadásra költik. Az USA-ban pedig még ennél is magasabbak a jogi és a hozzájárulási költségek.
Bár az európai cégeknek is súlyos költségekkel kell szembenézniük, a Fortune 500 vállalatai még ezt is túlszárnyalják
A GDPR költsége ugyanis egy átlagos Fortune 500 cég esetében 16 millió dollárra rúg. Azért van ekkora árbeli eltérés a két kontinens között, mert a korábbi EU-s jogszabályokba már belefoglalták a GDPR számos követelményét, továbbá a vállalatok is felkészültebbek.
Behnam Dayanim, a Paul Hastings nemzetközi ügyvédi iroda társtulajdonosa arról mesélt, hogy tapasztalatai szerint az amerikai cégek hogyan próbálják teljesíteni a GDPR feltételeit:
„A jogi költségek az alacsony öt számjegyű összegektől (50 000–60 000 dollár/projekt) az óriási hat számjegyűekig terjedhetnek, de vannak olyan projektek is, amelyek ezt az összeget is meghaladják.”
Az ügyvédeken kívül a cégek szintén milliókat költenek új technológiára, tanácsadókra és új alkalmazottakra. A GDPR bevezetése arra kényszeríti a nagyvállalatokat, hogy új embereket vegyenek fel, vagy nevezzenek ki adatvédelmi tisztviselőnek (DPO), akik a cég méretétől függően 50 000 font (71 000 dollár) és 250 000 font (354 000 dollár) közötti fizetésért dolgoznak. Az IAPP becslése szerint Európa-szerte kb. 28 000 DPO-t alkalmaznak majd.
Mivel a Facebook felhasználóinak 20 százaléka európai, a cég már előre figyelmeztetett, hogy a teljesítés költségei több millió dollárra fognak rúgni, miután összehívják a vállalat történetének legnagyobb csapatát, hogy így találjanak megoldást a problémára. Zuckerberg a szenátoroknak azt mondta, hogy a Facebook amerikai felhasználóira is ugyanazok a szabályok lesznek érvényesek, mint amiket a GDPR esetében dolgoztak ki.
De vallomásából az is kiderült, hogy hetekkel a májusi határidő előtt számos GDPR szabályozás még kidolgozás alatt állt. Eközben a Microsofthoz hasonló IT-szolgáltatók a felhő alapú szolgáltatásaikat értékesítik, hogy teljesítsék a GDPR által előírt követelményeket, a „nagy négyek”, vagyis az olyan tanácsadó cégek, mint a Deloitte és az EY magas összegeket számolnak fel a nagyvállalatoknak, cserébe segítenek nekik felkészülni a GDPR-ra. Sokan félnek attól, hogy ezek a több milliárd dolláros összegek csak ártanak a beruházásoknak, és világszerte lelassítják a nagyvállalatok döntéshozatalai folyamatát.
És mint mindig, nagy valószínűséggel most is a kisméretű vállalkozások isszák meg a levét.
Aakash Ravi, a prágai székhelyű, okos épületekkel foglalkozó Spaceti nevű startup vezérigazgatója nyomon követi az alkalmazottak mozgását, és segít nekik, hogy megtalálják egymást. A GDPR jogi költségei az ő cégére nézve is nagy terhet jelentenek. „Mindent meg tudunk oldani mi magunk, de alkalmaznunk kell egy külsős ügyvédet is, aki a tanácsaival ténylegesen segít az adatkezelésben és felhívja a figyelmet a kockázatokra, mert ezek olyan dolgok, amiket akkor sem ronthat el az ember, ha egy startupról van szó.” Ilyen kockázatok és költségek mellett nem meglepő, hogy egyre több cég dönt úgy, hogy nem vezeti be a GDPR-t.
A GDPR árt az üzletnek?
Két módja van a GDPR elkerülésének: vagy végérvényesen kiszállsz az európai üzleti életből, vagy megszabadulsz a tárolt adatoktól – mindkettő népszerű ötletnek bizonyul.
A brit pubóriás, a Wetherspoons észszerű következtetésre jutott: ahelyett, hogy végignézték volna az elmúlt évek email címeihez tartozó hozzájárulásokat, úgy próbálták megoldani a problémát, hogy törölték az email adatbázisuk nagy részét.
Más tech cégek az ingyenes vagy freemium modellre alapoznak, amelynek lényege, hogy a begyűjtött adatok segítségével cserkészik be a hirdetőket. Jelenleg azonban ennek a működése is gyökeresen megváltozott.
Mindenki megérdemli a megfelelő adatvédelmet
Egy Cambridge Analytica utáni világban, a GDPR adatvédelme nem is jöhetett volna jobbkor. Az új szabályozást először 2012-ben vetették fel, tehát már előre látták azt, amire a világ még csak most kezd ráeszmélni: az adataink veszélyben vannak. Az amerikai döntéshozóknak is jobban át kellene gondolniuk, hogy milyen hatalmas költségekkel jár egy ilyen mértékű jogszabály elfogadása. Bár az is igaz, amit Mark Zuckerberg mondott az amerikai döntéshozók előtt: „Mindenki megérdemli a megfelelő adatvédelmet.” A védelemnek azonban ára van.
A vendégszerzők külsős szakértők, nem a Forbes szerkesztőségének tagjai, véleményük nem feltétlen tükrözi a Forbesét.
