Kaliforniában még 2018 nyarán írták alá a CCPA (California Consumer Privacy Act) néven hivatkozott törvénycsomagot, ami az Európai Unió általános adatvédelmi rendeletéhez (GDPR) hasonlóan alapjaiban változtatta meg a felhasználók jogait és a  digitális szolgáltatók felelősségét a személyes adatok gyűjtését és kezelését illetően. A Szilícium-völgynek is otthont adó amerikai államban elsőként ment át ilyen jellegű szabályozás, amit ugyan kétéves türelmi időszakot követően csak idén januártól kell alkalmazni, a techvállalatok a hosszú felkészülési időszak alatt folyamatosan lobbiztak az általuk problémásnak ítélt passzusok megváltoztatásáért.

A CCPA-t részben valóban az európai GDPR inspirálta: egyrészt lehetőséget adnak a kaliforniaiaknak a róluk tárolt adatok megtekintése, másrészt rendelkezhetnek az adatok törléséről vagy arról is, hogy a szóban forgó információt a szolgáltatók áruba bocsáthatják-e valamilyen harmadik félnek. Fontos, hogy az új szabályok a nagy, legalább 50 ezer magánszemély adataival rendelkező adatkezelőkre vonatkoznak, megsértésük pedig felhasználónként 7500 dolláros bírságot vonhat maga után – ez azt is jelenti, hogy az amerikai törvény fő célja az adatgazdaság meghatározó szereplőinek fegyelmezése, szemben az EU általános keménykedésével.

A nagy szolgáltatók mindent megtettek, hogy elmaszatolják az adatok pontos meghatározásának követelményeit, illetve azt a rendelkezést, hogy az adatokat azonnal felhasználható módon kelljen az igénylő rendelkezésére bocsátaniuk. Ugyancsak megpróbálták elérni, hogy a felhasználók egyértelmű azonosítására nem alkalmas adatok ne kerüljenek a személyiségi jogi szabályozás hatálya alá, ami gyakorlatilag az adatbiznisz alapját érinti, és egyetlen mozdulattal kiherélte volna a CCPA-t. Minderre azonban nem került sor, és a 2018 szeptemberében, illetve 2019 októberében elfogadott kiegészítésekkel 2020 január elsejétől megkezdődött a törvény alkalmazása, bár az effektív számonkérés csak a nyár közepén kezdődik, miután a főügyész hivatalában még zajlik a végrehajtás kidolgozása.

Nem teljesen megoldott a jogbiztonság kérdése

Az európai GDPR-rel kapcsolatban már számtalan okfejétést lehet olvasni arról, hogy a teljesen nyilvánvaló költségvonzatok vagy a megfelelőségi rémálom mellett a rendelet tulajdonképpen üzleti lehetőségeket is tartogat. Ezek között meg szokták említeni, hogy az adatok áramlásának általános érvényű keretrendszere miatt eltűnik egy újabb szempont, amely az Unión belül fel- és leértékelné az egyes telephelyeket, sőt a GDPR-hez való igazodással az EU-n kívüli helyszínek is megnyílnak ebben a tekintetben. Ugyanígy kiemelik az arányosság elvét, ami elvileg azt jelenti, hogy az általános érvényű GDPR sem követel vagy büntet ugyanúgy a különböző méretű szervezetek esetében.

Szó van a privacy-by-design termékek felfutásáról, vagyis az olyan megoldások felértékelődéséről, amelyek nem nem egy utólag beépíthető és foltozgatható funkcióként kezelik a személyes adatok védelmét, hanem eleve ilyen szemlélettel tervezték őket – ez pedig lehetőségeket jelent nem csak az ilyen gyártóknak, hanem új szintre emelheti a piaci együttműködéseket vagy akár a másodlagos piacokat is. A legelvetemültebb okoskodások még azt is teljesen komolyan elmagyarázzák, hogy a GDPR alapján kényszerűen törölt adatok megtakarítást jelentenek a tároló és backup infrastruktúra felszabadulásával, sőt a túl sok adat amúgy sem hasznosul megfelelő hatásfokkal.

Bár a GDPR formilag nem a nagy nemzetközi (és jellemzően amerikai) digitális szolgáltatókat célozza, a piaci erőviszonyok vagy a már említett arányossági elv értelmében világos, hogy a dolog látványosabb módon érinti őket. Az érvényesítés, különösen az esetleges büntetések összege viszont mindenkire nézve kiszámíthatatlan, és egy-egy konkrét esettel kapcsolatban a különböző uniós országok szabályozói minden bizonnyal különböző válaszokat fognak adni. Ahogy nemrég a DLA Piper egy friss tanulmányát idéztük, a  tényleges európai uniós jogbiztonság ezen a területen még évekig nem alakul ki, miközben a bejelentések száma és a bírságok összege is minden bizonnyal folyamatosan emelkedni fog.

Itt derülhet majd ki, hogy miért lenne jó a GDPR

A CCPA esetében ennél valamivel átláthatóbb a helyzet, és éppen a kaliforniai főügyész hivatalának becslése szerint az ott működő cégek és szervezetek már ebben az évben 55 milliárd dollárt fognak költeni a megfelelőségre. Ezt a Business Insider riportja alapján a megfelelő technológiai vállalkozások, különösen a startupok óriási lehetőségként kezelik: mivel sok adatkezelőnek egyszerűen nincsenek megfelelő eszközei a különféle rendszereken és szoftvereken átfolyó adatok egységes és áttekinthető megjelenítésére vagy a törvényi előírásoknak megfelelő törlésére, az adatmenedzsmentre specializált vállalkozások egyből helyzetbe kerülnek.

Közöttük természetesen vannak olyan, kialakult üzleti gyakorlattal rendelkező vállalatok is, mint például a Box, de a startup cégek is bőven kihasíthatják a maguk szeletét a hatalmas tortából, mivel a CCPA által generált feladatok nagyságrendje akkora, hogy azzal saját erőből csak nagyon kevesen lesznek képesek megbirkózni. A képet egyszerűsíti azonban, hogy a kaliforniai szabályoknak és gyakorlatoknak kell megfelelni, nem olyan általános rendelkezéseknek, amelyeket az egyes szövetségi államokban a maguk módján értelmeznek és érvényesítenek.

A cikkben megszólal a Gartner elemzője is, aki szerint még nem látszik, hogy máshol mikor és milyen formában jelennek majd meg az adatkezelést szabályozó új törvények. A piaci szereplők azonban szükségszerűen megértik majd, hogy a megfelelő adatkezelésnek a szervezeti működés integráns részévé kell válnia, az pedig hamar versenyelőnnyé válik, ha a személyes adatok védelmét valaki nem egyszerű compliance problémaként fogja fel. Ugyanakkor az elemző itt sem hisz az olyan általános érvényű csodaszerekben, amelyeket az európai GDPR-megfelelőséggel kapcsolatban is sok szolgáltató próbál lenyomni az ügyfelek torkán: szerinte az adott szervezetek megfelelősége minden esetben magán a szervezeten múlik, ehhez pedig testre szabott módon kell kiválasztani a megfelelő eszközöket.