Uniós adatvédelem: a felejtés joga, a felejtés ára

De mégis, mennyire időszerű ez a változás? A jelenlegi szabályozást 1995-ben léptették életbe, s bizony eljárt felette az idő. A hatályos irányelv létrehozásakor még nem az internet okozta a legnagyobb kitettséget. Márpedig az adatvédelem kapcsán ma talán a legnagyobb kihívást az online tevékenységek jelentik. Mindennapi felhasználói vagyunk közösségi oldalaknak, interneten bankolunk, vásárolunk, gyakorlatilag életünk egy jelentős részét elektronikusan éljük. Így épp itt volt az ideje, hogy a szabályozás is igazodjon a 21. századhoz. Az Európai Unió versenyképességének megtartásához elengedhetetlen az egységes adatvédelmi környezet kialakítása és elfogadása.

A következő fontosabb változtatások kerültek a javaslatba:
„Felejtés joga”: ez kimondja, hogy mindenki kérheti adatai törlését bármely szolgáltatótól, ha adatai tárolásához már nincs „legitim indok”. Ilyen indok lehet még a fennálló szerződéses viszony, de várhatóan kizárólag marketingcélból már nem lehet korábbi ügyfelek adatait felhasználni. Ez a gyakorlatban egyelőre nehezen megfogható, s kérdéses, mennyire kell majd minden adatot törölni. Elvégre egy vállalatnál a biztonsági mentésekből egyes ügyfelek adatait kitörölni jelenleg nehezen megoldható és költséges folyamat.

A 250 főnél többet foglalkoztató cégeknek kötelező lesz adatvédelmi felelőst kijelölni. Ez ma már a legtöbb hazai nagyvállalatnál működik, így inkább azon cégeknél lesz újdonság, amelyek a megadott létszám közelében vannak.

Amennyiben az adatkezeléshez beleegyezés szükséges, úgy azt direkt módon, célhoz kötötten kell kérni és adni, nem elég általános vagy indirekt jóváhagyás. Ezzel elsősorban az online cégek szabályozása a cél, mert egyre gyakoribb, hogy a szerződési feltételekben elrejtve a felhasználók gyakorlatilag korlátlan hozzáférést adnak adataikhoz. Véleményem szerint ez mindenképpen üdvözölendő, hisz sokkal jobban tudjuk kontrollálni saját adatainkat.

Adatlopás, illetve adatokkal történt visszaélés esetén a társaságoknak a tudomásra jutás után azonnal, lehetőleg 24 órán belül értesíteni kell a hatóságokat. Ez rendkívül érdekes újdonság, mely várhatóan sok fejtörést fog okozni egyes cégeknek. Izgalmas kérdés, mit is veszünk tudomásra jutásnak. Amikor már bebizonyítottuk, hogy történt, vagy már amikor felmerült a gyanú? Gondoljunk bele: egy rosszindulatú munkavállaló ellen, aki fontos adatokat tulajdonított el, úgy kell lefolytatni a belső vizsgálatot, hogy a vizsgálat tényéről a hatóságokat már értesítettük. Ez véleményem szerint nem feltétlenül szolgálja bármilyen felderítés hatékonyságát, viszont van egy igencsak pozitív üzenete is. Mégpedig minden adatvesztés, adatlopás akár nyilvánosságot is kaphat, s ezáltal arra ösztönzi a hazai cégeket is, hogy hatékonyabban foglalkozzanak az adatvédelem kérdésével.

A szankcionálásra is van javaslat: az adatvédelmi törvény megszegéséért kiszabható bírság súlyosabb esetben az éves forgalom 2 százaléka is lehet. Ez mindenképpen a gyakorlati alkalmazásban lesz érdekes, hogy milyen súlyú törvénysértést mekkora bírsággal fognak büntetni. Itt elsősorban a globális cégeknek kell majd figyelni, mert a bírság összegét kirívó esetekben a cégcsoport szintű forgalom alapján is számolhatják. Ami biztos: a kiszabható büntetés mértéke motiválni fogja a cégeket, hogy komolyan vegyék a törvényi megfelelőséget.

Az Európai Bizottság által kiadott tájékoztató szerint az új törvény segíteni fogja a kis- és középvállalatokat is azáltal, hogy az emberek bátrabban fordulnak innovatív technológiai megoldásokhoz. Ez véleményem szerint csak korlátozottan igaz, s itthon többnyire azok a cégek tudják kihasználni, amelyek országhatáron átívelően tevékenykednek. Nekik minden bizonnyal könynyebbség lesz az új szabályozás. Számítások szerint az európai vállalkozások megközelítőleg 2,3 milliárd eurót is megspórolhatnak azzal, hogy egységes adatvédelmi szabályozás lép életbe, azonban a pluszköltségekről valamiért kevés szó esik. Márpedig sok adat kezelése sok pénzbe kerül. Felmérések szerint évente 30-40 százalékkal nő az elektronikusan tárolt adatok mennyisége, s bizony a több adat feletti erősebb kontroll és az elvárt hordozhatóság, flexibilitás nagyon költséges tud lenni. Itt igencsak fontosak lesznek a tervezet gyakorlati alkalmazását segítő útmutatások,és érdekes lesz látni, milyen pragmatikus megközelítések látnak majd napvilágot.

Az új szabályozásnak több jótékony hatása is lehet a hazai vállalatokra. A jelenlegi, kevésbé kiszámítható gazdasági környezetben a cégek úgy tudnak versenyelőnyhöz jutni azonos költségszint mellett, ha kisebb kockázattal működnek. Az új szabályozás reményeim szerint az adatvédelmet is kiemelt területté emeli itthon is. Gyakran a magyar cégek egyszerűen együtt élnek az adatok kezelésével kapcsolatos kockázatokkal, mivel kvázi olcsóbb kifizetni egy-egy pár milliós bírságot, mint rendszerszinten kezelni az adatkezeléssel kapcsolatos kérdéseket. A napi munkánk során gyakran tapasztaljuk, hogy a hazai vállalatok nem feltétlenül hanyagság miatt, de nincsenek tisztában a működésükhöz kapcsolódó adatvédelmi kockázatokkal.

S hogy az új javaslat mennyiben tér el a mai magyar szabályozástól? A jelenleg Magyarországon érvényben lévő adatvédelmi törvény az egyik legmodernebb az EU-ban, s bár közel sem tökéletes, de így az itthoni cégeknek akár előnyt is jelenthetnek a viszonylag szigorú változtatások.
A tervezet jelenleg társadalmi egyeztetés alatt áll, így elfogadás után még mind a 27 tagállamnak ratifikálni kell. Ez pedig, mint minden manapság, nem fog könnyen menni.

A szerző az Ernst & Young informatikai visszaélésekkel foglalkozó üzletágának vezető menedzsere