Ami a fogyasztóknak jó, amiatt sok digitálisan dolgozó magyar cég feje fájhat. Az EU új adatvédelmi irányelveit szabályozó rendelet fontos és hasznos, de egyelőre sok a bizonytalanság vele kapcsolatban. Egy hónap múlva lép életbe az ún. GDPR, türelmi idő nem lesz, azonnal jöhet a bírság, ha valaki nem tartja be a szabályokat. Mit tudunk róla és mennyibe kerül felkészülni rá?
Csak késve tudja elindítani webáruházát a fapácokra, textilfestékekre specializálódó Nature World Bt., de nem önhibájából – az ok az idén május 25-én életbe lépő uniós adatvédelmi rendelet, a GDPR, mely rengeteg hasonló cégnek okoz fejfájást. „A gond nem az, hogy ne akarnánk megfelelni a szabályoknak – magyarázza ölében legkisebb gyerekével Szőcs Enikő tulajdonos – hanem hogy végrehajtási rendelet híján nem igazán tudjuk, mihez is kellene fogni.” A többi kézműves vállalkozóhoz hasonlóan ő is hónapokig bújta a közösségi oldalak marketinges csoportjait, hogy az infókat összeszedje, és a többi hasonló cipőben járó cégvezetővel tapasztalatot cseréljen. Enikő ott tart, hogy az adatvédelmi szabályokat egy erre szakosodott ügyvéd már összeállította, de a hírlevél kiküldését egy időre jegelni kell. A konklúzió pedig az, hogy a cégeknek kivárásra kell játszaniuk. Ha meglesznek a végrehajtási rendeletek, ha pontosan tudják, mit kell csinálni, majd akkor lépnek. Jó esetben ez fél év bizonytalanságot is jelenthet.
Mi az a GDPR?
A GDPR, vagyis az uniós adatvédelmi rendeletet többévi egyeztetés után váltja fel a korábbi, 1996-os szabályozást. Mivel ez nem ajánlás, hanem rendelet, az egyes tagországok számára automatikusan kötelező, arról nem kell külön törvényt alkotni. Az uniós rendelet minden EU-ban tevékenykedő cégre, vagyis a nem uniós hátterű, de itt is tevékenykedő társaságra nézve is kötelező. Ugyanakkor nem lesz egyszerű menet olyan cégeken is átverni az előírásokat, amelyek gazdasági szereplőként nem jelennek meg az EU-ban – hanem mondjuk Kínából vagy akár az USA-ból nyújtanak szolgáltatást. A GDPR hasznos, de költséges, vagyis az európai vállalkozások valamelyest versenyhátrányt fognak szenvedni a nem EU-s társaikkal szemben.
A szabályok egyrészt teljesen egyértelműek: a cégekhez került adatokat teljesen átláthatóan és ellenőrizhetően kell kezelni, legyen szó akár az alkalmazottak, akár a magánszemély ügyfelek vagy vásárlók adatairól. Másrészt az olyan mikrovállalkozók számára, mint egy nyuszifigurákat horgoló kisgyerekes anyuka, egy szabadidejében szívesen bérbarkácsoló ezermester, ez a feladat igencsak megterhelő lesz. Hiszen eddig viszonylag egyszerűen kezelte az ügyeket: a Google email-fiókjában szortírozta a visszatérő vásárlókat, a beszállítókat, partnereket, és kész. Ám az új szabályok szerint az emailbox nem lehet tárhely, csak kommunikációs csatorna. Így azonban mind az adattárolást, mind pedig az adatok felhasználását majd törlését szigorú protokoll szerint kell kezelnie.
Nem véletlen, hogy Mádi-Nátor Anett, az IVSZ Információbiztonság és Kibervédelem munkacsoport társvezetője azt jósolja,
a digitális szolgáltatási platformon tevékenykedő cégek 30-40 százaléka el fog tűnni.
Nincs mese, a horgolt nyuszikat áruló anyukának és a nagyvállalatnak pontosan ugyanúgy meg kell felelnie a szabályozásnak. Vagyis a kis cégek vagy kitanulják maguk, mit és hogyan kell csinálni, vagy fizetnek a tanácsadásért. Ha nem teszik, előbb-utóbb kikerülhetnek az általuk kezelt adatok, vagy a hatósági ellenőrzésen akadnak fenn. S bár a 20 millió eurós bírság inkább riogatás, a minimum büntetés is 200 euró (60 ezer forint). Ha sorozatban jönnek a bírságok, a kis cégek egy ponton túl nem fogják tudni azt kigazdálkodni. Különösen sérülékenyek az olcsó webshop-motorok, amelyekkel ugyan gyorsan összeállítható egy webáruház, ám ezek rendkívül alacsony biztonságúak: az adatok könnyedén illetéktelen kezekbe kerülhetnek.
Az átmenet bizonyosan nem lesz könnyű, sem pedig gyors. Nemcsak azért, mert egy komplett tanácsadás vagy több napos tanfolyam sokba kerül egy mikrocégnek. Hanem azért, mert a GDPR alkalmazása nem egyszerűen egy szigorú adatbázis vezetése. Nem olyan, mint egy újabb áfanyilvántartás, amit egyszerűen le kell válogatni és be kell küldeni.
A GDPR valójában egy paradigmaváltás – legalábbis Papp Péter, az IT-biztonságra szakosodott Kancellár.hu vezérigazgatója szerint. Tudomásul kell venni, hogy ma egészen mást kell adatsokszorosításon érteni. Negyven éve a sokszorosítás azt jelentette, hogy két lap közé indigót tett a gépíró, aztán jött a fénymásológép, majd a nyomtatás akárhány példányban. Ezek mind kézzel foghatóak voltak.
Ma viszont ha egy levelet körbeküldünk a kollégáknak, eszünkbe sem jut, hogy ez valójában sokszorosítás. Pedig az.
Egy körlevél gyakorlatilag ezer módon kikerülhet a cégtől, ötvenszer továbbküldhető, teljesen mindegy, hogy kinyomtattuk vagy sem. A GDPR azt szabályozza, hogy személyes adatok ily módon ne kerülhessenek veszélybe. Ez igaz a leendő és meglévő munkavállalók, de bármilyen partner vagy vásárló adataira. Hozzá kell szokni, hogy ezeket az információkat egy cég zárt rendszerben kezeli és onnan ezek az infók nem is kerülnek ki.
„Egy cégnél teljesen egyértelmű, hogy annak szerződéseit, alapító okiratát vagy adóbevallását nem küldözgetik szét. Ha valaki bele kíván tekinteni, akkor kinyitja a páncélszekrényt vagy belép a tárhelyre. A váltás az lesz, hogy egy sor más adatot, információt is hasonló módon kell kezelni” – mutat rá Papp, aki szerint a vállalkozások 80 százaléka még nem áll készen a rendelet alkalmazására. A munka elkezdődött, de hosszú folyamat lesz.
Egyelőre nem tudni, hogy a rendelet hatályba lépését követően hogyan áll neki az ellenőrzésnek a hatóság.
Az biztos, hogy türelmi idő nincs, vagyis elvileg azonnal büntetnie kell, ha szabálytalanságot lát. Jó lenne, ha kontextusában vizsgálná a hiányosságokat, vagyis figyelembe venné, hogy az adott vállalkozás eddig mennyit tett a rendelet betartása érdekében, mi és miért hiányzik.
Annyi jó hír azért van, hogy a vásárlók, felhasználók összességében nem fognak sokat érzékelni a változásból. Legfeljebb arra kell felkészülniük, hogy a megszokott és egyébiránt meglehetősen idegesítő sütigombok mellett más gombokat is nyomogatniuk kell. A szabályozás szerint a felhasználók maguk dönthetik el, hogy milyen adatokat adnak meg magukról, és semmilyen hátrány nem érheti őket azért, mert nem kívánnak semmi személyeset megosztani a céggel.
Így nem eshet el kedvezménytől a vásárló csak azért, mert nem akar a vevői adatbázisba bekerülni.
E téren persze a felhasználóknak is van még mit tanulniuk, nem árt tisztába jönniük azzal, mikor milyen adatokat adnak meg vagy kürtölnek világgá. Az is igaz ugyanakkor – elég csak a mobilos applikációkra gondolni –, hogy a mindennapi életben is egy sor személyes adatok adnak meg az emberek gondolkodás nélkül. Ez azt is jelenti, hogy gyakorlatilag lehetetlen megtagadni az adataink átadását, hozzá kell szokni, hogy a személyes adataink jó része már régen nem annyira személyes adat.
Mennyibe kerül a GDPR?
Adatvédelmi szabályozás elkészítésének ügyvédi díja: 40-50 ezer forint
Előre gyártott GDPR sablon, amely minden tipikus területet lefed: 150 ezer forint
Komplex tanácsadói tanfolyam, amely alapján testre szabott rendszer gyártható: 250 ezer forint
Borítókép: NeONBRAND // Unsplash
