Milliárdos büntetések, avagy a GDPR-para?

Milliárdos büntetések, avagy a GDPR-para?
Az európai vállalatok 91 százaléka tart attól, hogy nem fog megfelelni a 2018 májusában bevezetendő új EU Általános Adatvédelmi Rendeletnek (GDPR) és bő kétharmaduk sehol sem tart a felkészülésben. Az Oracle ügyvezetőjét, Reményi Csabát kérdeztük.

Az interjú először 2017.08.25-én jelent meg.

– Hogyan vált az adat „a 21. század olajává, azaz fő nyersanyagává?

– Tim Berners-Lee, az „internet atyja” már 2011-ben azt állította, hogy a 21. század új nyersanyaga az adat lesz. Már ekkor tökéletesen leírta azt a tendenciát, amely felé a gazdaság jelenleg is tart: az ipari termelés helyett a tudás, az intelligencia, az adat veszi át a hatalmat, vezérli a gazdaságot. Más nyersanyagoktól eltérően azonban az adatból minél több áll rendelkezésre, annál értékesebb, valamint újabb és újabb innovációkat inspirál.

– Viszont ma a Big Data korában élünk. Önök az Oracle-nél data capital-ról azaz az adat, mint tőke felől közelítrenek, ahogy az előbb utalt rá. Óriási a növekedés adatok terén, igaz?

– Igen, hiszen a rendelkezésre álló adatállományok száma folyamatosan növekszik a jövőben is. Az okoseszközök, fogyasztást mérő eszközök, konyhai berendezések, sőt a ruházatunk is információforrásként jelenik meg a vállalatok számára, amelyek ezen vásárlói adatok alapján alakíthatják ki stratégiájukat, célozhatják meg a közönségüket. Az IDC felmérése szerint 2025-re a „digitális univerzum” el fogja érni a mintegy 180 zettabájtot. Ez nagyjából 450 millió évbe kerülne, ha szélessávú internetkapcsolattal akarnánk letölteni otthoni meghajtókra...

– A mindennapi ember hol érheti tetten a Big Data jelenséget?

– Mindannyian észrevettük már, hogy online felhasználói szokásaink, kereséseink nyomot hagynak, és ezeknek megfelelő célzott hirdetéseket kapunk különböző felületeken. Ezek mind felhasználói szokásaink elemzéséből származnak és célzottabb, remélhetőleg számunkra is releváns ajánlatokat eredményeznek.

– Hogyan változott az adatok értéke, megítélése az üzleti életben az elmúlt évtizedekben?

– Egy egész új gazdaság jött létre az adatra, mint tőkére alapozva. Az S&P 500-as listáján (legnagyobb amerikai részvényeket figyelő index) szereplő cégek értékének 84%-a immateriális javakból állt már egy három évvel ezelőtti tanulmány szerint is.

Új ideje, folyamatosan jönnek létre az olyan cégek, amelyek az adatok, információk újszerű megosztására, elemzésére, felhasználására építik üzleti modelljüket. Sőt, ma már a felvásárlások jó része sem azon alapszik, hogy “mije van” egy cégnek, hanem hogy “mit tud”.

– Miért van az, hogy az adatok menedzselése és biztonsága ugyanolyan fontossá vált, mint a pénzügyek kezelése egy vállalaton belül?

– Ahogyan a vállalatok pénzügyeit gondosan auditálják, részletezik, mérik, adminisztrálják, illetve szabályozzák, ugyanígy az adatgazdaság is „felnőtt” abba a korba, ahol már erősen szabályozni kell. Egy vállalat pénzügyi javainak menedzselése elválaszthatatlan azok értékének felmérésétől, és ez az adathasználatra is igaz.

– Milyen jelentőséggel bír az adatvagyon hasznosítása a cégek sikeressége szempontjából? Tud ilyen sikerekre példát mondani?

– A valós idejű stratégiai játékairól ismert Wargaming.net az Oracle big data megoldásával elemzi a több mint 110 millió játékos tevékenységéből származó információkat a szolgáltatások fejlesztéséért, hogy még érdekesebb, jobb online játék élményt nyújtson felhasználóinak, és így növelje játékosai körét, illetve megtartsa híveit. Népszerű játékuk például a csapatban is játszható World of Tanks. Miután az első felhasználók kipróbálják a játékok új verzióit, pályáit és lehetőségeit, elemzik a játékok lefolyását (eltöltött idő, lépések száma, sorrendisége, stratégiák és hasonlók), és ez alapján finomítják a játékot, a nehézségi fokokat stb., hogy még élvezetesebb szórakozást nyújtsanak.

– Hm. Érdekes megoldás. Tud hasonló példával szolgálni?

– IoT, Internet of Things, vagyis a hálózatba kapcsolt eszközök egyre több és több adattal szolgálnak manapság. Az már jó ideje nem újdonság, hogy például GPS nyomkövető segítségével meg lehet állapítani egy jármű pontos tartózkodási helyét. Azonban a járművek ezen felül is egyre több adatot tudnak szolgáltatni például saját “egészségi állapotukról”. A Lochbridge nevű amerikai ügyfelünk különféle szenzorok segítségével rendszeres állapotfelmérést végez a távolból, és javaslatokat tesz a járművek tulajdonosai számára szervizelésre, karbantartásra. Ezt a szolgáltatás nem csak személyautók esetében nyújtja, hanem például hatalmas, nehezen hozzáférhető helyen dolgozó bányagépek vonatkozásában is, ahol a tulajdonosnak ez komoly költségeket, leállásokat takarít meg.

– E szerint a szenzorok már a bányagépekben is ott vannak. Akad példa erre a mindennapi gépekben is?

– A Nestlé egyes, nem háztartási felhasználású Nespresso gépeibe helyezett el IoT szenzorokat, hogy a kávégépek állapotát, karbantartási igényét, sőt, az egyes termékek népszerűségét, fogyását, a kapszula utánpótlás szükségességét figyelemmel tudja kísérni. Így a rendszer előre reagálni tud, mielőtt a gép valóban elromlana, vagy a készlet valóban kifogyna.

– A pénzügyi világban is van példa hasonlóra?

– Ha már a GPS adatok újszerű felhasználásáról beszéltünk az előbb. Ma már a mobilszolgáltatóktól származó GPS adatokat arra is felhasználják, hogy a bankok megakadályozzák a hitelkártyáival való visszaéléseket. Vagyis, ha a kártyát nyilvánvalóan máshol szeretnék felhasználni, mint ahol az ügyfél vélhetően tartózkodik, ezt a csaló ne tehesse meg (a telefon aktuális koordináta adatait összevetik a bankkártya felhasználási helyével – a szerk.). Ezt megfordítva azonban az ügyfélnek se kelljen azzal szembesülnie, hogy nyaralása közben nem tudja használni kártyáját a szokatlan felhasználási helyszín miatt.

– Ez nyilván adatvédelmi aggályokat is felvethet, ám az unió most tovább szigorítja az online adatvédelmi rendelkezéseit, azaz jön az adatbiztonságra vonatkozó új EU-s rendelet, a GDPR igaz?

– Kevesebb, mint egy év múlva, 2018. május 25-én érvénybe lép az Európai Unió tavaly kihirdetett általános adatbiztonsági rendelete (GDPR), és felváltja a jelenlegi Adatvédelmi Irányelvet, illetve minden olyan nemzeti jogszabályt, ami erre épült. Célja az egységes digitális piac megteremtése és a személyes adatok kezelésével kapcsolatos biztonsági, állampolgári önrendelkezési kérdések szabályozásának korszerűsítése.

– Azaz ez nem újdonság e szerint.

– Valóban nem derült égből a villámcsapásról van szó, hiszen sok éve létezik az azt megelőző EU adatvédelmi direktíva, ami alapján a magyar „Infótörvény” is készült. Ám mivel a direktíva alapján 28 ország 28-féle szabályozást hozott létre, a mostani rendelet ennek egységesítését, és a mai követelményeknek megfelelő korszerűsítését jelenti. Ezúttal ráadásul rendelet formájában, mely minden, EU állampolgárok számára szolgáltatást nyújtó cégre, intézményre kötelező, akár van székhelye az EU-ban, akár nincs.

– Mi a teendő nálunk?

– Azok a magyar vállalatok, intézmények, akik az Infótörvénynek megfelelnek, jó helyzetben vannak, hiszen akkor a GDPR követelményrendszerét is kb. 70-80%-ban kielégítik. A probléma az, hogy az Infótörvény maximális büntetési tétele (20 millió forint) könnyen kigazdálkodható összeg és nem igazán serkentette a vállalatokat a megfelelés elérésére.

– Ez a sokat emlegetett „para” alapja?

– Vélhetően igen, hiszen a GDPR maximális büntetési tétele már 20 millió euró vagy a cég éves globális árbevételének 4%-a lesz, ráadásul amelyik összeg a nagyobb, az lesz a felső határ egy-egy cégnél. Ez már egy nagyvállalat nyereségességét is alapvetően befolyásolhatja, igazi súlyt ad az új szabályozásnak.

– Miért ez a szigor? Miért ilyen súlyos a kilátásba helyezett maximális büntetés?

– Napjainkban a vállalatok egyfajta kurátori szerepet töltenek be a vásárlói adatok vonatkozásában, és pontosan ezt a szerepet kívánja szabályozni a GDPR. Az érzékeny személyes adatok körének definícióját is korszerűsíti (gondoljunk például a biometrikus azonosítókra, GPS koordinátákra stb.), és rávilágít, hogy a vállalatok felelőssége, hogy ezen informácókat a vásárlók érdekeinek megfelelően használják.

– Mi a feladat, ahol nincs kellő készültség?

– A GDPR megfelelés nagy kihívás a legtöbb vállalat, állami intézmény számára, ha eddig elhanyagolták az Infótörvénynek való megfelelést. Át kell alakítani az adatkezelési munkafolyamatokat, adatfelelősöket kell kinevezni, auditálhatóvá kell tenni a személyes adatok kezelését nemcsak a hatóság, de a személyes adatok tulajdonosai, az állampolgárok felé is. Át kell nézni, alakítani a külső szállítókkal kötött szerződéseket.

– Az IT-ben mik a kulcsfeladatok?

– Meg kell erősíteni az IT biztonságot alkalmazás és architektúra szinten is. Adatlopás, adatvesztés esetén az esemény eltitkolása a legsúlyosabb büntetést vonhatja maga után, szigorú határidőn belül értesíteni kell mind a felügyelő hatóságot, mind az érintett személyeket.

– A hazai cégek mennyire vannak tisztában a GDPR jelentette kihívásokkal?

– Itthon, akárcsak külföldön, nagyon vegyes a kép. Általánosságban ki lehet azonban emelni egy jelenséget: azt tapasztaljuk, hogy a tudatosság alulról felfelé terjed – az IT üzemeltetés szintjén sokszor nagyon is tisztában vannak az elvárásokkal és tesznek is a maguk hatáskörében lépéseket, próbálnak felkészülni a szabályozásnak való megfelelésre. Ugyanakkor a menedzsment, a pénzügyi vezetés, aki az IT büdzséről dönt vagy akinek egy esetleges büntetést ki kell gazdálkodnia, sokkal kevésbé foglalkozik még vele. Azok a cégek, ahol már létezik „Compliance” osztály, előrébb tartanak. A jövő évi büdzsék tervezési időszaka most kezdődik a legtöbb helyen, most kell előre gondolkodni.

– A nemzetközi adatok szerint jobb a felkészültségi szint Nyugaton?

– A vállalatok 91%-a tart attól, hogy nem tud megfelelni az új adatvédelmi szabályozásnak (Németországban, Franciaországban és az Egyesült Királyságban), több mint 70%-uk sehol sem tart a felkészülésben. A Gartner előrejelzése szerint a vállalatok 50%-a nem lesz képes megfelelni 2018 végére sem a GDPR-nek.

– Magas a maximum, de konkrétan milyen büntetésekre számíthatnak a cégek?

– Igen, a maximális büntetési tételekről már tettünk említést. Ám fontos megjegyezni, hogy egy esetleges büntetés kiszabásánál sokat fog nyomni a latban, mit tett addig a vállalat, intézmény a megfelelés érdekében. Ha nem is sikerül a 100% megfelelőséget az előírt időben elérni, a hatóság mérlegelni fogja az addig megtett lépéseket.

– Ha gond lesz, akkor nem csak a büntetés fáj majd a cégeknek, igaz?

– Igen, a hatósági büntetés csak egy lehetséges csapás, ami érheti a céget vagy intézményt. Ezt tetézheti a súlyos bizalomvesztés az ügyfelek, állampolgárok részéről, és egy nagy adatszivárgás, adatlopás esetén csoportos perek indulhatnak, melyek pénzügyi következményei nemcsak elérhetik, de jóval meg is haladhatják a hatósági büntetés mértékét. Miért? Mert manapság mindenki a digitális átalakulást célozza, a cégek jelentős mértékben ügyfeleik bizalmából és adatvagyonukból élnek, így egy adatkezelési skandallum hatalmas üzleti veszteséget okozhat.

Kövesd az oldalunkat a Facebook-on és a Twitteren is!


Halaska Gábor

Dr. Halaska Gábor Figyelő hetilap rovatszerkesztője, startup szakértő diplomáit az Államigazgatási Főiskolán és az ELTE Jogi Karán szerezte. A kilencvenes évek eleje óta dolgozik újságíróként. …