Már tavaly májusban életbe lépett és ezeken az oldalakon is rengeteget foglalkoztunk vele, úgy tűnik a cégek egy részének továbbra is komoly gondot okoz az adatvédelmi szabályozás maradéktalan betartása. Bár a várt komolyabb viharok elmaradtak a szabályozás életbe lépése után, a Google ellen például már hét országban indítottak eljárást a fogyasztóvédelmi hatóságok az androidos telefonok GPS adatokkal kapcsolatos tájékoztatás megtévesztő tájékoztatásának kapcsán, ugyanígy a tavaszi Facebookos adatszivárgásokkal kapcsolatban is folyamatosan vizsgálódnak az európai hatóságok.
Korábban nem volt jellemző, az utóbbi években a felhasználók is mintha már jobban felfigyeltek volna az általuk generált személyes adatok védelmére, amiket olykor meglehetősen kétséges módon használnak fel, mind a nagy, mind a kisebb cégek online marketing céljaikra. Az online mindennapok során egyre kiterjedtebb és szélesebb körben begyűjtött adataink és az erre épülő marketing technikák egyre nyilvánvalóbbak az átlag felhasználók számára is, akik egy ideje már hozzászokhattak ahhoz, hogy egy-egy Google keresés, vagy email üzenet egy adott témában elég ahhoz, hogy mindenhonnan az adott termék; vagy épp annak konkurenciája köszönjön rá vissza minden meglátogatott online felületen.
A helyenként talán már hátborzongató tracking technológiák és a felhasználók adataink gátlástalan áruba bocsátásának gyakorlatát ellensúlyozni próbáló törvényi szabályozás 2018. május 25-én lépett életbe, lehetőséget adva ezzel 320 millió EU-s állampolgár kezébe, hogy visszaélés esetén a nemzeti adatvédelmi hatóságukhoz forduljanak, amennyiben a szabályozással ellentétes gyakorlattal találkoznak, a törvényt megszegők pedig akár éves bevételük 4 százalékával, vagy akár 20 millió eurós büntetéssel is számolhatnak ezek szándékos megsértése esetén.
Immár több mint fél éve hogy életbe lépett az Európa Uniós Általános Adatvédelmi Szabályozás (Generic Data Privacy Regulation) és abban az értelemben mindenképpen sikeresnek nevezhető, hogy mind a felhasználók, mind a cégek számára világossá vált, hogy személyes adatink védelme, korunk egyik legégetőbb információs technológiai kihívása, amely kiemelten fontos szerepet kap az előttünk álló évtizedben, amelyből az üzleti élet minden szereplőjének ki kell vennie a részét.
Magyarországon a rendelet bevezetése utáni első félévben összesen mintegy ezer vizsgálati eljárást indított a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) adatvédelmi ügyekben és számos alkalommal állapított meg jogsértést, de a Péterfalvi Attila vezette hatóság, még nem szabott ki bírságot, hiszen az EU-s és hazai szabályozás közötti összehangoláshoz szükség volt a hazai információs törvények jogharmonizációjára, amely csak július végén lépett életbe.
Ezért a NAIH az első félévben leginkább a magyar jogszabályok által biztosított, ombudsmani típusú eszközeivel, figyelmeztetéssel próbálta érvényesíteni az adatvédelmi előírások betartását, amennyiben jogsértést észleltek, felszólították az adatkezelőt annak orvoslására, bírságolni azonban nem bírságoltak.
A már említett nagy cégek ellen indított külföldi eljárások is vizsgálati szakaszban vannak, kivéve a Facebook Cambridge Analytica botrányához kapcsolódó angliai büntetését, melynek során a cégnek félmillió fontot kellett fizetnie a brit adatvédelmi hatóság döntése értelmében. Az első komolyabb németországi ítéletre is közel fél évet kellett várni, itt egy kisebb német közösségimédia-cégnek kellett húszezer eurós büntetést fizetnie, amiért mintegy 330 ezer felhasználó adatai kerültek illetéktelen kezekbe egy nyári hekker támadás során.
De mit tehet egy vállalkozás, hogy elkerülje a hasonló fiaskókat? A rendelet betű szerinti betartásán túl a legfontosabb talán az, hogy az adatvédelmi problémákat rendszer szinten kezeljük. Ahelyett, hogy minden egyes alrendszert átalakítanánk, hogy megfeleljen a GDPR előírásainak, holisztikus megközelítést alkalmazva törekedjünk arra, hogy a felhasználókkal kapcsolatos összes érintkezés (és adatgyűjtést) a beleegyezésükkel, egységesen és átlátható feltételek mellett történjen. Ezek három legfontosabb alappilére a következő.
STANDARDIZÁCIÓ: Egyértelműen és visszakövethetően kérjük a felhasználó beleegyezését minden egyes adat rögzítésekor. Tegyük elérhetővé és nyilvánvalóvá az ’opt-out’ lehetőségeket, az adatvédelmi nyilatkozatokat pedig fogalmazzuk meg világosan és legyenek mindenhonnan elérhetőek.
KÖZPONTOSÍTÁS: Minden adatot egy helyen tároljunk és minden egyes rögzített információ bekérésekor kérjük a felhasználó egyértelmű beleegyezést azok tárolásához.
INTEGRÁCIÓ: a feltételek tisztázása és a felhasználói hozzájárulás legyen a digitális élmény alapja, tegyük egyértelművé a szolgáltatás megújításával kapcsolatos információkat, az azok igénybevételével járó költségeket és üzleti gyakorlatunkat, amelyeket esetleges megváltoztatásukkor hatékonyan kommunikálhatjuk azokat ügyfeleink felé.
A holisztikus szemlélet alkalmazásával növelhetjük a felhasználók elégedettségét, márkahűségét és alkalmazkodhatunk az egyre szaporodó adatvédelmi kihívásokhoz, és nem utolsó sorban jelentős mértékben csökkenthetjük az IT biztonság fenntartásához szükséges járulékos költségeinket.