Számos tanulmány, cikk és felmérés született és születik folyamatosan az Európai Unió jövő május végén életbe lépő egységes adatvédelmi szabályozásról. Ezek zöme azonban az EU területén élők vagy itteni alapítású cégek szemszögéből vizsgálja a témát, próbálja felvázolni az aktuális helyzetet. Pedig az amerikai techcégek dominanciája miatt legalább ennyire fontos az is, hogy mennyire állnak készen a GDPR-ra az újvilág olyan IT-óriásai, mint például a Google vagy a Facebook.

Rövid válasz: nem nagyon

Még a nem hirdetésből élő cégek számára is akad bőven teendő, ha az uniós jogszabályoknak megfelelően akarnak tovább működni 2018 május 25-étől, de a tevékenységeiket zömmel reklámbevételekből finanszírozó vállalatoknak egyenesen kötelező megfelelni az adatvédelmi szabályozásnak. Május végétől ugyanis a hirdetők nem célozhatják meg az európaiakat reklámjaikkal, ha nem tesznek eleget a GDPR szabályainak, és ez teljes mértékben függetlenül attól, hogy a szerverek Izraelben, Indiában vagy Indianapolisban vannak. Ha akár csak egyetlen EU-s állampolgár adatait is kezelik, akkor vagy meg kell felelniük a General Data Protection Regulation előírásainak, vagy egészen komoly – akár 20 millió eurós - büntetéssel kell szembenézniük.

Nem csoda, hogy nehezen megy a rákészülés amerikai oldalról, hiszen Donald Trump elnöksége alatt az európaival ellentétes trendek indultak el az USA-ban. Március végén ugyanis úgy döntött az Amerikai Képviselőház, hogy törli az amerikai Szövetségi Hírközlési Tanács, az FCC (Federal Communications Commission) arra vonatkozó szabályait, melyek eddig megakadályozták az internetszolgáltatókat abban, hogy eladják előfizetőik adatait. Ezt közvetlenül Trump hatalomra jutása váltotta ki, mivel az Egyesült Államok új elnöke elkaszálta Barack Obama korábbi szabályozását, amely az amerikai internetezők magánszférához való jogát erősítette. Bővebben itt olvashat a témáról.

Felmérések szerint az érintett amerikai vállalatok vezetőinek zöme úgy tekint a GDPR-re, mint regionális szabályozásra, és nem nemzetközi feladatként értelmezi a változásokat. Pedig ha akár egyetlen EU-s ügyféllel is bírnak, szélsőséges esetben akár globális bevételeik 2-4 százalékát is veszélyeztetik egy esetleges büntetéssel.

De nem csak ez lassítja a felkészülést. Vannak olyan cégek, melyek a kiadások miatt aggódva még nem tették meg a szükséges harmonizációs lépéseket. Ahogyan azt sem segít, hogy meglehetősen bonyolult lett a leírás: 99 cikkben és 173 bekezdésben taglalja a szabályokat. És ha ezeken a problémákon még mind túl is lehetne lendülni, bevett gyakorlat, hogy az európai leányvállalatok ilyen jelzéseit figyelmen kívül hagyja az amerikai vezetés, amely inkább az előírt negyedéves bevételek elérését kéri számon az európai kollégáktól.

Ezt a megállapítást támasztják alá a témában végzett felmérések is. A WFA (World Federation of Advertisers) 18, összességében évente több mint 26 milliárd dollárt költő vállalatának közreműködésével végzett kutatása megállapította, hogy a válaszadók 56 százalékánál az európai részleg sokkal inkább képben volt a GDPR következményeivel, mint az amerikai központ. A globális átlag egyébként mindössze 44 százalék.

Felesleges aggódni?

Nem látszik ugyanakkor egyelőre, mennyire fogja szigorúan venni az Európai Unió a GDPR betartatását. Noha maga a reguláció egységes, annak kezelése a 28 tagállam egyéni hatáskörébe tartozik. Ez azt jelenti, hogy például Németországban várhatóan betű szerint fogják értelmezni és felelősségre vonni az érintetteket, miközben a minimális piaci szabályozásban hívő Nagy-Britanniában engedékenyebbek lehetnek a hatóságok ezen a téren.

Ez a felismerés a GDPR-ra való felkészülésre is rányomja a bélyegét. Míg egyes vállalatok egységesként kezelik az európai piacot, mások országonként eltérő stratégiát választanak. Gyakran ezt a tanácsot is kapják a tanácsadásért felkeresett jogi szervezetektől.

Szintén a szigor ellen dolgozik a létszámhiány. A GDPR betartásának ellenőrzéséért és büntetések kiszabásáért felelős kormányzati szervezetek zömének nincs elegendő szakembere a feladatra. Már most borítékolható, hogy a május végi induláskor – és talán még hónapokkal utána is – nem áll majd rendelkezésre az elrettentéshez szükséges mennyiségben felügyelő. A szabályozás életbe lépését követően sor kerülhet néhány példát statuáló, nagy visszhangot kiváltó ügyre, ráébresztendő a cégeket a cselekvés szükségességére.

A brit Adatvédelmi Biztosi Hivatal (Information Commissioner’s Officer – ICO) helyzete egyébként jól illusztrálja, milyen tempóban készülnek fel maguk a hatóságok a GDPR-ra. Az angolok kétszáz fővel bővítik az ICO-t, így a szervezet teljes létszáma hétszáz fő lesz. Mindezt azonban a következő három év alatt tervezik véghez vinni, tehát bevallottan nem lesz elég emberük jövő május végére.