Bár a GDPR európai szervezetekre és magánszemélyekre vonatkozik, az internet globalitása miatt a hatása mégis nemzetközi. Ugyanez a helyzet egyes bevezetés alatt álló amerikai szabályozásokkal is, amelyek elvben akár magyar cégeket, e-kereskedőket is érinthetnek.
Nekem te ne mondd meg, mit hogyan
Amikor a GDPR hatályba lépett, a tengerentúlon sok cég nemtetszéssel fogadta. Hiszen a rendelkezés betartása számos fejlesztéssel járt (volna) számukra: meg kellett tudni állapítaniuk, hogy a látogatójuk, vásárlójuk európai-e. Ha igen, akkor más, sokkal szigorúbb szabályok szerint kellett kezelni az adatait, mint eddig, elkülönítve a máshonnan érkezőktől. Éppen ezért számos cég azt a megoldást választotta, hogy az európaiakat egészen egyszerűen letiltotta az oldaláról.
Azóta ez a helyzet rengeteget enyhült, de azért politikai szinten még érezhető egyfajta versengés, hogy kinek van joga vagy ereje olyan törvényeket hozni és foganatosítani. Ezek bár a saját területére vonatkoznak, az internet miatt mégis az egész világnak alkalmazkodnia kell hozzájuk.
Néha ennek ellenkezője sem könnyű: amikor valamit a határokon belül kellene tartani. Például nemrég EU szintű döntés született róla, hogy a GDPR által meghatározott „a felejtés joga” csak európai keresési eredményekre érvényes. De említhetnénk Németországot is, ahol arra törekednek, hogy minden felhőbe kerülő adat az országon belül maradjon.
Az utóbbi időben viszont az Egyesült Államok egy már létező és egy hamarosan bevezetésre kerülő törvénye kapcsán merült fel újra a határon átnyúló rendelkezések kérdésköre.
Cloud Act
Ez a törvény 2018 márciusa óta van érvényben az Egyesült Államokban, és egy konkrét bűneset miatt jött létre. Egy amerikai szolgáltató azzal érvelt a bíróság előtt, hogy az adott bűnügyben érintett emailek Írországban voltak tárolva, ezért nem esnek az esetet tárgyaló amerikai bíróság hatáskörébe. Ennek alapján merült fel az a jogi igény, hogy egy bűnügyhöz tartozó levelezést a bíróság mindenképp megkaphasson, függetlenül a tárolás fizikai helyétől.
Ez elméletben egyrészt azt jelenti, hogy az USA adatok után kutatva átnyúlhat a saját határain. Másrészt pedig a CLOUD Act és a GDPR között ellentmondás jöhet létre. Ugyanis megeshet, hogy európai cégek csak a GDPR megszegésével tudnak megfelelni a Cloud Act előírásainak.
CCPA: az amerikai GDPR „light”
A California Consumer Privacy Act 2020. január 1-jén lép életbe. Célja, hogy az állam lakosai jobban átláthassák, milyen adatokat gyűjtenek róluk, azokat hogyan használják, továbbá kérhetnek törlést, letilthatnak cégeket a további adatgyűjtésről. Mindez nagyon hasonlít a GDPR-ra, de a CCPA-nél nagyobb a hangsúly az adatok kereskedelmi célú felhasználásán, mint bármi máson. Ráadásul ez egy opt-out és nem opt-in alapú szabályozás, vagyis a felhasználó alapértelmezés szerint automatikusan engedélyt ad az adatai felhasználására, amit később letilthat.
Lehet-e mindennek hatása Magyarországon?
Székely Gergelyt, a Székely Legal alapító partnerét arról kérdeztük, milyen mértékben érinthetnek ezek a rendelkezések magyar cégeket, illetve mire célszerű velük kapcsolatban felkészülni.
Az ügyvéd szerint annak, aki e-kereskedelmi vagy online szolgáltatást tervez, fejleszt, ezzel kapcsolatos tanácsot ad, annak foglalkoznia kell ezekkel a rendelkezésekkel, hiszen a net nem ismer határokat. Ugyanakkor az említett amerikai rendelkezések biztosan nem fogják egy átlagos magyar webshop mindennapjait befolyásolni, ennél ugyanis speciálisabb esetekre vonatkoznak.
Ami a CCPA-t illeti, csak első ránézésre hasonlít a GDPR-ra, de mélyebbre ásva már markáns különbségek merülnek fel. Tény, hogy az új törvény a korábbi szabályozásnál erősebb kontrollt kínál az érintett személyeknek, de itt megállnak a hasonlóságok. A CCPA ugyanis olyan cégekre vonatkozik, amelyek:
- legalább évi 25 millió USD bevételt termelnek (csak Kaliforniában),
- legalább 50 ezer személy adatait kezelik,
- a bevételük legalább 50%-a kaliforniai állampolgárok adatainak értékesítéséből származik.
Tehát egyértelműen nagyvállalatokról van szó, ráadásul olyanokról, amelyeknél az adatok értékesítése is kiemelt szerepet játszik. Vagyis aki nagyban játszik, globális szereplő, vagy az szeretne lenni, annak biztos, hogy annak jobban oda kel figyelnie a kaliforniai üzleti partnerekre a jövőben.
A Cloud Act ezzel szemben bűnügyek terén játszik szerepet, és az ilyen eseteknél számos egyéb szempont, szabály is van, amit figyelembe kell venni. Ezek további nemzetközi jogi megállapodások, bűnügyi jogsegély egyezmények, szerződések, ezért itt a GDPR nyugodtan zárójelbe tehető. Egy külföldről érkező nyomozati kérésnek automatikusan nem lehet érvényt szerezni. Ez a helyi hatóságok közreműködésével zajlik, meghatározott szabályok szerint. Végül pedig még az is kérdés, hogy az adatok átadására felkért cég tudja-e, vagy adott esetben akarja-e teljesíteni a kérést.
Ezzel együtt minden olyan cégnél, amely amerikai adatokat tárol Amerikán kívül, érdemes kidolgoznia egy munkafolyamatot arra az esetre, ha ilyen jellegű megkeresés érkezne hozzá. Székely Gergely szerint a kulcsot a kockázatelemzés jelenti: mindig mérlegelni kell, mekkora eséllyel vagy gyakorisággal történhet meg egy adott adatkérés, és mennyire érdemes erre állandóan, időszakosan vagy csak ad-hoc módon működő rendszert létrehozni.