Egy évvel a GDPR teljesítési határideje után számos vállalkozásnak még mindig rengeteget kell azon dolgoznia, hogy tényleges változásokat érjenek el, és bírságok helyett az üzleti értékre és gyarapodásra koncentrálhassanak, legalábbis ezt állítja Steward Room, a PricewaterhouseCoopers (PwC) GDPR és adatbiztonsági vezetője.

– A ‘magánéleti érettség növelése’ projekt programjai, amelyeket támogatunk, egy évvel azután, hogy a GDPR-ra való felkészülésnek le kellett volna zajlaniuk, azt jelzik, hogy még hosszú-hosszú út áll előttünk – mondta a Computer Weekly magazinnak.

Ennek több oka is van Room szerint, kezdve azzal, hogy számos vállalat nem képes visszaállni a GDPR-ra való felkészülés fázisából a rendeltetésszerű működésre, ahol minden GDPR-hoz köthető feladatkört ellátnak és folyamatot implementáltak.

– A PwC adatvédelmi elképzelése arról szól, hogyan lehet az adatvédelmi eredményeket az adatokon belül és a technológián belül megvalósítani. Arról van szó, hogyan valósíthatja meg az adatvédelmet a technikában és az adatokban – közölte Room.

A PwC hat hónapon belül kiemelte ezt a hiányosságot, mondván, hogy a szervezetek számára kulcsfontosságú, hogy a GDPR megfelelőségi munkájának részeként hozzák létre a kulcsfontosságú „adat útját”.

– Az adatok pontossága egyike a GDPR-ban rögzített adatvédelmi elveknek, de nem beszélhetünk pontosságról kód alapú eredmény nélkül. Nem lehet pontos elektronikus adatot szolgáltatni nem technikai módszerekkel.

Hat hónap alatt sok szervezet még mindig nem teljesítette a szükséges változtatásokat ebben a tekintetben.
– A nagyvállalatok vezető mérnökeivel, valamint az adatfunkciók vezetőivel való beszélgetés során megerősítést kapok azoktól az emberektől, akik az adatokért felelősek, hogy érdemben nem vesznek részt az adatfeldolgozó rendszerek tervezésében – mondta.

Ennek eredményeként Room azt állítja, hogy az emberek, akik a legnagyobb tudással és hozzáértéssel rendelkeznek az adatkezelésről, nem foglalkoznak a feldolgozási alkalmazások tervezésével és építésével.

– Ezt nagyon fontos megérteni, mert lényegében ha azt mondjuk, hogy az adatvédelmi szakértő bármi okból jogfosztott az adatvédelmi rendszerek kapcsán, hogyan lesz az még jobb? Hogyan tudjuk így az adatvédelmet fejleszteni?

Kirakat adatvédelem

Room úgy véli, hogy az elmúlt évben az egyik legfontosabb oka annak, hogy az adatvédelmi érettségi szintekben nem volt észrevehető változás, hogy a szervezetek nem kommunikálnak azokkal, akik meg tudják változtatni az adatokat.

– Ha tehát azt a tényt vesszük, hogy arra kérnek fel minket, hogy magánéleti érettség programokat vezényeljünk, miközben nekik kellett volna ezt megtenniük, azokkal a bizonyítékokkal együtt, amelyek szerint az szakembereknek nincs beleszólása a rendszerükbe, azt sugallja, hogy lehet, hogy nem tudunk továbblépni, és addig, amíg ez nem változik meg, nem fogunk javulást sem látni.

Room szerint a szakemberek elutasítása azt jelzi, hogy „a gazdaságban nem értik, hogy ha nem foglalkozunk olyanokkal, akik valóban szakértők, nem tudjuk érdemben vezetni a párbeszédet.”

Számos GDPR-készenléti program eredménye rengeteg adatvédelmi irányelv volt, de Room azt mondta, hogy minden lényegében csak „kirakat”, mivel az irányelvek és eljárások nem az adatvédelem „korpusza”.

– Ezek az adatvédelem elősegítői. Az adatok és technológiák működtetéséhez az adatvédelem szükséges. Ez a cél, nem pedig az irányelvek. Az adatok felhasználásának megváltoztatásáról van szó, a többi pedig csak a kirakatnak szól.

Üzleti cél

A GDPR bevezetése óta Room szerint az adatvédelmi szakemberek köreiben berögzött elképzelés volt, hogy a szabályozási rendszer fájdalommal és szenvedéssel éri csak el a változást, valamint nagy vitára és a potenciálisan hatalmas bírságokra lehet számítani a GDPR által.

– Áltatjuk csak magunkat a végrehajtási eljárások, például a bírságokból erejéről. Nem kellene a reményeket a fájdalomba fektetnünk, ha változást akarunk elérni – mondta, hozzátéve, hogy már sokan azt hitték, hogy a GDPR csak az amerikai technikai óriásokról szól.

– Egy év elteltével sok szervezet azt gondolja, hogy a harc az amerikai technológiai nagyvállalatokkal szemben zajlik, de nem igazán róluk szól. Nemcsak ez a torzítás zavaró, hanem az a nézet is, hogy a retorzió kulcsfontosságú a változás szempontjából, mert ez azt sugallja, hogy alapvetően elmulasztja megérteni a téma jelentőségét önszántából – mondta el Room.

Nem a bírságokra és más végrehajtási intézkedésekre kellene összpontosítani, hanem a tényre, hogy a GDPR az alapvető jogokról és szabadságról szól. Az adatvédelem európai értelemben az emberi jogokról és a személy védelméről szól, amely önmagában is fontos, bírságok fenyegetése nélkül.

Room szerint a nézőpont megváltozása szükséges.
– Nem hiszem, hogy az adatvédelem jogalkotási vagy megfelelőségi kérdésként történő értelmezése a leghatékonyabb. Ehelyett az üzleti szempontból kell vizsgálnunk. Az üzleti cél a létezésének oka és értéket és társadalmi hozzájárulást nyújt a jó cél érdekében. Bár ez az érték haszonnal jár, a nyereség maga nem az üzlet célja. A PwC üzleti célja például az összetett problémák megoldása.

Room szerint az üzleti célok megértése és céljának megismerése a jó vállalatirányítás központi eleme. – Az új brit vállalatirányítási kódex a Pénzügyi Beszámolási Tanácstól (FRC) kifejezetten megköveteli a cél meghatározását és az üzleti kockázatok figyelembevételét céljának megfelelően – tette hozzá.

Ebben a kontextusban, ha a személyes adatok használata kritikus fontosságú egy vállalkozás jólétéhez és sikeréhez, az adatvédelem üzleti jelentősége egyértelmű. A vállalatoknak ezért beszélniük kell arról, hogy hogyan lehet a személyes adatokat és az adatvédelem megfelelő használatát az üzleti célhoz hasonlítani, és nem azt kell figyelniük, hogy hogyan hasonlítsák össze a jogi megfelelés kérdésével, ami valóban fájdalmas lehet.

Az üzleti cél a „nyereség”, a szabályozási rendszer pedig a „veszteség” megelőzését jelenti, mondta Room. – A nyereségre vonatkozó érv sokkal vonzóbb, mint a veszteséggel kapcsolatos érv. Ha az adatvédelmet az üzleti célokat, a létezésének okát és hosszú távú egészségét szem előtt tartva kezdjük kezelni, jobb eredményeket tudunk elérni – mondta.

Ha a vállalkozások az adatvédelmet a sikerük elősegítőjének tekintik, és úgy vizsgálják, hogy hogyan járulhat hozzá az üzleti nyereséghez, Room úgy véli, hogy az adatokat jobban fogják kezelni. – A jobb minőségű adatelemzés felgyorsíthatja az egyes üzleti funkciók teljesítményét, vagy önmagában is gazdasági eszközzé válhat – tette hozzá.

De egy évvel a GDPR teljesítési határideje óta nagyon kevés szervezet tekint az adatvédelemre nyereség szempontjából. – Ellenkező esetben a vezető szakember részt venne a folyamatban, mert az egész üzletág a nyereség érdekében dolgozna. Ehelyett az emberek reménykednek abban, hogy a változások érdekében bírságok kerülnek kiszabásra, ami szerintem teljesen rossz megközelítés. Amit meg kell vizsgáljunk az az, hogy hogyan nyerünk az adatvédelemből, nem az, hogy hogyan kerüljük el a veszteségeket – mondta Room.

– Az üzleti cél a megfelelő párbeszéd. Ha megértjük a célt, akkor az adatvédelmi eredményeket a technológia és az adatok között továbbítja, és így teljesíti a kód útját. Remélhetőleg az új brit vállalatirányítási kódex ebben a tekintetben gyorsítóként fog működni azáltal, hogy az igazgatótanács kötelessége az üzleti cél és a kapcsolódó kockázatok figyelembevétele, valamint az üzleti egészség megőrzése érdekében szükségesnek tartott lépések megtétele.

forrás: computerweekly.com