Pár hónapja tartja izgalomban a hazai vállalkozói szférát a május 25-én életbe lépő új adatvédelmi törvény, pontosabban az eddigi infotv uniós szabályokkal kiegészített, módosított vagy pontosított változata. A pánik egyrész érthetetlen, hiszen lassan két éve kihirdették, másrész meg érthető, hiszen a hazai szokásokhoz hűen a kötelező alkalmazás előtt pontosan azon paragrafusok és végrehajtásuk nem ismertek vagy nem értelmezhetők, mely szinte minden vállalkozást érint.
Túljutva a választásokon, látható, hogy az utolsó napokra maradt megint minden, hiszen a megalakult az új kormány és az új parlament lenne hivatott, hogy ezzel a számukra periférikus dologgal foglalkozzanak. A cégek tehát most előremenekülnek, és saját kútfőből (és a csöpögtetett módosításokból következtetve) változtatják meg belső rendszerüket, vagy egyszerűen legyintenek: „majd ha tudjuk, megnézzük, és ha lehet, megcsináljuk” elvek szerint kivárnak.
A köznyelvben csak GDPR-nek hívott változás valójában nem is tartalmaz forradalmi újdonságokat, a legtöbb izgalmat kiváltó pontja ma is életben van, sokan nem is tudják, hogy ők is alkalmazzák vagy alkalmazniuk kellene. A valódi változások igazából csak pontosítások és jogi paragrafusokkal körülbástyázott túlszabályozás csupán. Dokumentáció készítés – jogi segítséggel. Szinte minden most meglátogatott weboldalon szembeköszön az újdonság, mindenki az utolsdó hetekben, napokban jelzi: ők is megfelelnek a törvénynek!
Az infotv. irodai részével nem kívánok foglalkozni, hiszen az ma minden vállalkozásra nézve kötelező, ahol egynél több alkalmazott van. Az online terület azonban izgalmas! A jelen (túl)szabályozás ugyanis nem a gazdálkodói területről érkezett, hanem a közösségi területeken, a közösségi hálók, mobilszolgáltatások és más civilek által széles körben használt rendszerek utóbbi időkben „jellemző” feltöréseiből, adatlopásaiból és bizonyos szempontból a politikai marketing és a gazdasági marketing jogtalan adatlenyúlásaiból származik.
A külföldi cégek, vegyesvállalatok alapból végrehajtották a változtatásokat, igaz nekik mindez nem akkora probléma, mint egy mai magyar (kis)vállalkozásnak! A várható változata a törvénynek eleve problémás, mivel számtalan pontja a magyar viszonyok között nem értelmezhető, nincs szabályozva, és ez nemcsak nekünk gond, más EU-s országokban sem is érthetik ezeket.
Kire és hogyan vonatkozik?
Nézzünk pár példát.
A mostani változat egységesen kezeli az egyszemélyes vállalkozásokat és a multinacionális cégeket, miközben jellemzően utóbbiakra van kialakítva a jogszabályi környezet. Azt egy kisebb vállalkozás nem tudja végrehajtani, mert egyszerűen az ehhez szükséges anyagi és eszközigény miatt egyszerűbb, ha bezár. Miért kell egy pár fős szolgáltató cégnek ugyanazt teljesítenie - mondjuk, mert akciós hírleveleket küld a feliratkozóknak -, mint egy sokmilliós netes ügyfélkörrel rendelkező nemzetközinek? Miért? Vagy miért kell egy számviteli vállalkozásnak arra költenie akár milliókat, amit ma is kötelezően megtesz, hiszen eleve szigorú adatkezelést alkalmaz a cégek minősített információinak kezelése miatt. Most biztonságosabb lesz a rendszerük, ha különböző dokumentációkkal körbebástyázza magát?
De több, logikailag is hibás pont szerepel a tervezetben. Gondoljunk bele, egy auditált tárhelyszolgáltatóval állunk kapcsolatban, aki igazolja, hogy megfelel a törvényi feltételeknek. De feltörik a rendszerüket és ellopják az összes adatot. Azt hihetnénk, hogy le vagyunk védve, de nem! Őket is megbüntetik és MINKET IS! Feltételezni kellett volna, hogy megtörténik a rossz és eleve bonyolult titkosítással tárolni, védeni az adatainkat… (És olyan titkosítással, ami ellen meg pont a közelmúltban hoztak tiltó szabályozást…) A klasszikus "késes" eset, amikor veszünk egy konyhakést, betörnek hozzánk, ellopják a kést és gyilkolnak vele. A biztosító fizeti a kárunkat, de lecsuknak a gyilkosságért, mert gondolhattunk volna arra, hogy ellopják, így miért nem zártuk páncélba a bökőt!?
De most minden interneten is megjelenő vállalkozás vegyen egy páncélszekrényt? Hátha feltörik a minősített szervert? Lesz egy törvény az adatlopások miatt, de szokás szerint nem a tovajokra teszik a felelősséget, hanem az áldozatok számára írnak elő olyan feladatokat, melyek sok esetben nem végrehajthatók…
Tudjuk, az egész nem az adatvédelemről szól, hanem ÜZLET!
Tudjuk, hogy ma mekkora buli a tanácsadóknak, az ügyvédeknek a „segítség”. Mekkora biznisz lesz a kötelező dokumentációk szabályos előállítása. Miközben a magukat hirdetők sem tudják a végső változatot! Azoknak a cégeknek az egész nem probléma, akiktől ellopták az adatokat… Nem hiszem, hogy ha egy számviteli vállalkozás bevezeti az összes kötelezőt, akkor a Facebook-tól nem fognak megint ellopni sokmillió személyes adatot.
Szóval rettegés és reménykedés. Ez ma a jellemző. Majd összeül az új országgyűlés és a határidő miatt 25-e előtt átzavarnak valamit. És akkor majd meglátjuk, érdemes volt megtenni azokat a lépéseket, amit megtettünk, vagy azok jártak jól, akik legyintettek…
Akkor leszünk a parton, akkor kell majd átkelni a folyón.
Furcsaságok...
Az új egységesített adatvédelmi törvény miatt most mindenki a weboldalát vizslatja, van-e azon olyan funkció, ami miatt rájuk is vonatkoznak az előírások. És valószínűleg mindenkinél lesz, mert egy alap hírlevél feliratkozást is tekinthetnek minősített személyes adatnak, hiszen a feliratkozók nem fognak kamu email címeket regisztrálni, a napi címükkel teszik a dolgukat és ha ez utal rájuk, máris remeg a léc! Gondoljunk bele, egy cég teljesíti a törvényben foglaltakat és a hírlevél feliratkozáshoz odateszi a kötelező sort, amiben megkérdezzük: akarja-e az ügylet után azonnal töröltetni az adatait? Értelmes? Feliratkozik, mert KÉRI az üzeneteket, de mi ostobaként rákérdezünk, töröljük-e regisztrációját...
Ez a marhaság eleve kötelezi a cégeket a weboldaluk átnézésére, módosítására, azaz egy alap dolog esetében sok pénzt fog kifizetni, hogy teljesüljön az idióta szabály.
De ott van a betekintési, törlési művelet is. Egy cégnél vajon hogyan oldják meg a betekintést, hiszen a szerver akár egy másik országban is lehet. Bejön Kiss Aladár a irodába és betekintést adunk a számítógépeinkbe? Miközben a adatvédelmi törvény az ellenkezőjét írja elő, a titkosságot.
Törölni akarja az adatait, rendben, kell hozzá programozó és az mi fizetjük, hiszen a cégek, a kis cégek 99%-a nem alkalmaz főmunkaidőben webprogramozót, webes szakembert, hanem elkészítette a rendszerét és az folyamatosan üzemel. Mert automatikusan kerülnek fel az adatok és azt is egy automatizmus kezeli. De ő törölni akarja. De honnan? Mert egy precíz cég rendszeresen készít mentést az adatairól. Most ezután honnan kell törölni? Az aktuális adatbázisból vagy minden mentésből? Miközben a mentést nem lehet utólag megváltoztani sem technikailag, sem jogilag.
Feltételezem, majd lesz törvénymódosítás, hogy az archivumból saját költségen közjegyző előtt kell eltávolítani azt, aminek ott kellene maradnia.
Egy weblap nem olcsó mulatság! Most mindenkinek át kell alakíttatnia, nem életszerű, hogy egy hírlevélre történő feliratkozás miatt a cégeknek sok százezres költségekkel kelljen dokumentációkat gyártatniuk, webprogramozókat kelljen újra megbízniuk, hogy Kiss Aladár email címe jogszerűen legyen a rendszerben.
Kijelenthetjük, az új, életbe lépő törvény súlyosan vállakozásellenes és szokásos módon hoz helyzetbe egy-két szakmai kört.
A BKV járatátszámozása is üzleti célból történt, ahogy közterületek átnevezése is jól jövedelmez a költségvetésnek. Ez a törvény sem nem segít, a hírek szerint egész Európában hasonlóan látják a nem netes vállakozások.
És a közösségi hálókról továbbra is el fogják lopni a személyes adatokat, ők ennek árát beleszámolják az így szerzett illegális nyereségbe. A döntő többség meg megint csak fizet és retteg, hiszen a büntetéseket nem magyar árakhoz igazították.
A következő részben rávilágítunk a adatvédelmi hatóság "számháborújára", hiszen ma ott is roham van, de a módszer csak a jogászoknak értelmezhető...
