A GDPR idén májusi életbe lépését megelőző időszakban újfent reflektorfénybe került a törvényi megfelelés problémaköre. Így kiderült az is, hogy a vállalatok jelentős része a fokozott összpontosítás ellenére sem tudta teljesíteni a követelményeket a jó előre megadott határidőre, alapos késéssel legfeljebb a felkészülés folyamatát sikerült elindítania.
Computerworld: Mi okozza a legnagyobb nehézséget a megfelelés terén a szervezeteknek, sokan közülük miért nem tudnak időben és rugalmasan reagálni a törvényi szabályozás változásaira?
Kreisz József: Szoftvertesztelőként gyakran tapasztalom az ügyfélkörünkbe tartozó pénzügyi szolgáltatóknál, hogy egy-egy újabb rendelet betartásához fejleszteni vagy adott esetben cserélni szükséges a meglévő informatikai rendszereket, a bevezetett folyamatokat, de nem mindig merül fel, hogy a különböző megfelelési projekteket egységes rendszerbe kellene illeszteni, mert az életbe lépő törvények is - jóllehet, első pillantásra ez nem mindig egyértelmű - átgondolt hierarchiában épülnek egymásra. Minthogy a törvényhozási folyamatok eltérő átfutása miatt nem mindig logikus sorrendben lépnek hatályba a rendelkezések, az átfogó és módszeres megközelítés hiánya nagyon megnehezítheti a vállalatoknak a megfelelést.
A pénzügyi eszközök piacaira vonatkozó MiFID II irányelv és a rá épülő, idén január elejétől érvényes MiFIR rendelet például - egészen röviden - a befektetők túlzott kockázatvállalását és az ebből fakadó pénzügyi válsághelyzetek kialakulását igyekszik megakadályozni. Noha a MiFID II arra utal, hogy korábban is létezett hasonló irányelv, vagyis egy meglévő szabályozás módosításáról beszélünk csupán, a pénzügyi szervezetek egy része nem tudott időben felkészülni a változásra. Ugyanazt tapasztaltuk, amit pár hónappal később a GDPR esetében is láttunk. A múlt év folyamán a pénzügyi szektor szereplői a MiFID II-vel és a MiFIR-rel vagy a fizetési szolgáltatásokról szóló, ugyancsak januárban hatályba lépő PSD2-vel voltak elfoglalva, ezért a nem sokkal későbbi határidejű GDPR-ra kevesebb figyelmet fordítottak, holott a tanácsadók már tavaly májusban figyelmeztettek, hogy aki még nem indította el megfelelési projektjét, már elkésett. A határidőt követő első napon a hatóságok persze nem fognak megbírságolni minden mulasztót, de azért nem érdemes erre játszani.
Kreisz József tesztmenedzser, L&P Solutions
CW: Hogyan tehetik gördülékenyebbé a felkészülés folyamatát a vállalatok?
KJ: Az említett irányelvek és rendeletek példája is mutatja, hogy a szabályozások első
ránézésre ellentmondásosaknak tűnhetnek. Míg a PSD2 értelmében a bankoknak a számlavezető rendszerükben kezelt információkhoz alkalmazásprogramozási interfészeken (API-kon) keresztül hozzáférést kell adniuk a fintech cégeknek, addig a GDPR előírja a számlainformációkba beletartozó személyes adatok szigorúbb védelmét. Jövő júliusban indul az azonnali átutalás rendszere, ami a megfelelés tekintetében is újabb kihívásokkal szembesíti a pénzügyi szolgáltatókat, mivel a megbízásokat a hét minden napján, a nap 24 órájában 5 másodpercen belül teljesíteniük kell, amihez a folyamatos kockázatkezelés feltételeit is szükséges megteremteni, az esetleges biztonsági eseményeket pedig azonnal kezelni és jelenteni.
Ezért fontos tisztázni, hogy mindezek a rendeletek a pénzügyi szektoron belüli verseny erősítését és a 2008-as válsághoz hasonló helyzet kialakulásának megelőzését célozzák az ügyfelek személyes adatainak fokozott védelme mellett. Egységes rendszert alkotnak, amelynek keretét - bár nem elsőként lépett hatályba - a GDPR adja, a többi jogszabály ebbe illeszkedik.
Helyesen teszik ezért a vállalatok, ha a megfelelési projektek összehangolt, módszeres kezelésére olyan állandó csapatot állítanak fel házon belüli és külső tanácsadó szakemberekből, amelyben jogászok, méghozzá az adott területre, például a pénzügyi szolgáltatásokra szakosodott jogászok is helyet kapnak. Segítségükkel időben értelmezhető és átlátható a többéves átfutással készülő irányelvek, rendeletek és más jogszabályok hierarchiája. A csapatban szintén helyet foglaló üzleti és informatikai szakemberek a feltárt összefüggések alapján már sokkal gördülékenyebben készíthetik el a specifikációkat, amelyek szerint az érintett rendszerek és folyamatok továbbfejleszthetők, újabbakkal kiegészíthetők és tesztelhetők a megfelelés követelményeivel, a jogszabályok összefüggéseivel összhangban.
Az MNB rendelete (35/2017) értelmében a banki ügyfelek nemcsak nevük és számlaszámuk, hanem más adataik, például email-címük alapján is azonosíthatók, feltéve, hogy ehhez hozzájárulásukat adták, amit a GDPR ír elő. Az ilyen összefüggéseket pontosan átlátó vállalatok gyorsabban követhetik a szabályozási környezet változásait, hatékonyabban végezhetik el a szükséges fejlesztéseket, és jogszabályokon átívelő módon, határidő előtt teljesíthetik a megfelelés követelményeit. Nemcsak a bírságolhatóságot kerülik el ezzel, hanem versenyképességüket is erősíthetik. Ha egy pénzügyi szolgáltató például lehetővé teszi, hogy egy társaság tagjai egy szórakozóhelyen email-címük megadásával elosszák egymás között a számla összegét, és a kívánt arányban, azonnali utalással fizessenek, akkor ez a rugalmasság nyilván előnyt jelent a piacon.
Magyarországon is találkozunk szerencsére azzal, hogy egy-egy vállalat - például a távközlési szektorban - határidő előtt teljesíti a törvényi megfelelés követelményeit. Tapasztalataikat más területek szereplői is hasznosíthatják, gyakorlatukat érdemes megismerni, akár olyan tanácsadó cégeken keresztül, amelyek több szektorban is támogatják a vállalatok megfelelési projektjeit.
Összetett, számos rendszert és folyamatot érintő fejlesztésekről beszélünk, ezért különösen fontos a minőségbiztosítás. A tesztelést - jogászok közreműködésével - célszerű a projekt minél korábbi szakaszában megkezdeni, mert a hibák így könnyebben és költséghatékonyabban javíthatók. Kiderülhet persze az is, hogy a különböző jogszabályokban foglalt követelmények a gyakorlatban, az informatikai rendszerek szintjén egyszerre nem teljesíthetők, amit a vállalat szakmai szervezeteken keresztül jelezhet a jogalkotónak.
CW: Egységesen alkalmazható ez a jogi, üzleti és informatikai oldal együttműködésére építő, módszeres megközelítés a kétsebességű informatikai környezet egészében, vagy az agilis fejlesztések esetében további teendőjük is akad a vállalatoknak a megfelelés vonatkozásában?
KJ: Bár a pénzügyi szektor hagyományos szereplői túlnyomórészt lineárisan, vízesés modellben építik fel informatikai projektjeiket, mivel a fejlesztések zöme a nagy háttérirodai rendszereket érinti, az ő informatikai környezetükben is megjelentek azok az alkalmazások, amelyek agilis megközelítést feltételeznek, az újonnan belépő, fintech cégekre pedig sokkal inkább ez utóbbi jellemző. A szabályozás azonban mindegyikükre egyaránt vonatkozik, ugyanazon követelményeknek kell megfelelniük, amit ugyanazzal a módszeres megközelítéssel és megvalósítással érhetnek el a leghatékonyabban.
CW: Mit tanácsol a vállalatoknak, amelyek lekésték a május 25-i GDPR-határidőt, miként csökkentsék a bírságolás kockázatát?
KJ: A pénzügyi szolgáltatásokban érintett, de a felkészüléssel késésbe kerülő vállalatok előnyükre fordíthatják, hogy az utóbbi időben hatályba lépett jogszabályokban foglalt követelményekből mostanra összeállt a nagy kép, amelyből könnyebben leképezhető a specifikációk rendszere. Legyen ez az első lépés a megfeleléshez szükséges, egymásra épülő fejlesztések megtervezése, gyors és költséghatékony megvalósítása felé.