A hídember, adatok és a compliance-by-design

Előző két cikkemben a jog és a tech szektor határán mozgó, a két “világ” közt kapcsolat teremtését facilitáló hídemberekről, illetve a compliance-by-design céges kultúrába való implementálásának előnyeiről írtam. Ez a cikk építeni fog az előző két cikk tartalmára, ezért érdemes lehet azokat is elolvasni – bár nem feltétlen szükséges – e cikk tartalma önmagában is érthető.

Azoknak, akik csak ezt a cikket olvassák: a hídember kifejezést azokra a szakemberekre (esetünkben elsősorban jogászokra) használom, akik digitális készségeiket felfejlesztik olyan szintre, hogy hidat tudnak képezni a tech és a jogi világ között.

A compliance-by-design egy céges kultúrába ágyazott szisztematikus megközelítés, melynek során a termékbe, a feladatokba és a folyamatokba a jogi, szabályozási, etikai és egyéb compliance követelményeket eleve betervezik, azaz nem egy utólagos jogi auditban merül ki a compliance vizsgálat.

Ebben a cikkben kitérek az adatmenedzsment és az adatkormányzás különbségére, hogy mindez hogy kapcsolódik a compliance-by-designhoz, és miért tartom ideálisnak a hídember bevonódását az adatkormányzásba.

Adatmenedzsment (data management) v. adatkormányzás (data governance)

Bár maga az adatkormányzás szó – a data governance szó szerinti magyar megfelelője – finoman szólva is idegenül és furcsán hangzik számomra, jobbat még nem sikerült kitalálnom a fordítására, és a hivatalos szövegekben ezt használják. A cikk szempontjából az adatmenedzsmenttől (data management) való elhatárolását tartom fontosnak, a kettő ugyanis nem ugyanazt jelenti. [2]

A két fogalom részben olyan viszonyban van egymással, mint a rombusz és a négyzet: az adatkormányzás az adatmenedzsment egyik alhalmaza. Emellett az adatkormányzás időbeli előfeltétel szereppel is rendelkezik: csak az adatkormányzási folyamaton átesett adat lesz ugyanis menedzselhető, végső soron pedig – többnyire – monetizálható, ami valamilyen módon a legtöbb folyamat végső célja.

Az adatkormányzás feladata, hogy definiálja azokat a szabályokat és folyamatokat (policies and procedures) amelyek az adatbiztonság és a megfelelőség (data compliance) biztosításához szükségesek.

Az adatmenedzsment és az adatkormányzás viszonya vizuálisan valahogy így néz ki (néhány, a jelen cikk megértése szempontjából kevésbé releváns és pontosan nehezen fordítható, általában Magyarországon is angolul használt fogalmat angolul jelenítettem meg):

A szerző ábrája

Az adatmenedzsment az adatkormányzást, mint minden további adatokkal kapcsolatos tevékenység előfeltételét magában foglalja, lehet azonban azon túl még számos adatokkal kapcsolatos további tevékenység.

Mivel a compliance-by-design szempontjából az adatkormányzásnak van kiemelt szerepe ezen tevékenységek közül, továbbá egy olyan terepnek tartom, ahol a hídember jelenléte jelentős hozzáadott értéket képviselhet a cég számára, a továbbiakban elsősorban az adatkormányzásra fogok fókuszálni.

Adatkormányzás és compliance-by-design

Az adatkormányzással kapcsolatos feladatok szükségszerűen a termékfejlesztés legkorábbi, de legalábbis korai szakaszában merülnek fel – adatkormányzás nélkül jórészt elképzelhetetlen az adatok monetizációja, így gyakorlatilag bármilyen adatokra épülő termék fejlesztése. Ez előrevetíti, miért gondolom, hogy a compliance-by-design céges kultúrába építésében – legalábbis az adatok vonatkozásában – ennek a területnek fontos szerep jut.

Az adatkormányzás egy cég életében a jogi osztályoktól eltérő szerepet tölt be, velük szemben sokkal inkább involvált a termékfejlesztés folyamataiban. Szerepe nem korlátozódik a compliance-re, annál sokkal szélesebb körű. Lássuk a főbb kategóriákat a teljesség igénye nélkül.

Jogi megfelelés biztosítása: az előző két cikkben már volt szó a digitális szektort, és azon belül az adatokat érintő, egyre gyarapodó számú jogszabályról. Az EU ebben élen jár, de a tagállami szintet sem szabad elfelejteni. Emellett egy globális termék esetén gondolni kell egyéb országok jogi szabályaira is. Ideális esetben a terméket eleve úgy tervezik meg, hogy az egyre szélesebb körű jogszabályi elvárási körnek megfelelő legyen. A GDPR ezt egyébként jogszabályi követelményi szintre is emeli. Ez első látásra evidensnek hangozhat, viszont a gyakorlatba átültetése nagyon komoly koordinációt, szakmai alázatot és nagyon magas szintű kommunikációs készségeket kíván. A széles körű együttműködés, komplex folyamatok átlátása és megértése, projektmenedzsment szemlélet is elengedhetetlenül szükséges természetesen a technológiai és a jogi oldal egyaránt történő megértése mellett.

Adatbiztonság: az adatbiztonság területén változó az adatkormányzás szerepe. Az adatbiztonság rendelkezik egy komoly jogi és technológiai oldallal is, valahol e két oldal között helyezkedik el az adatkormányzás e téren játszott szerepe, a másik kettőt támogatva. Alapvetően sem a jogi, sem a technológiai oldal részletes tárgyalása nem célja ennek a cikknek. Az adatkormányzás szerepe eltérő lehet ezen a téren, meghatározhat hozzáférési folyamatokat (ki jogosult adott adatkategóriához hozzáférni, milyen autentikációval stb.), gondoskodik a backupokról és vészforgatókönyvekről adatvesztés esetén, tréningeket szervezhet (a legtöbb adatbiztonsági incidens mögött ugyanis humán hiba van), auditálhat stb.

Adatminőség: az adatminőség terén az adatkormányzásnak széles körű és meghatározó szerepe van. Gyakorlatilag ebből a szempontból az adatkormányzás kell, hogy meghatározzon mindent, az üzleti céloknak megfelelően. Az adatok pontosságának, konzisztenciájának és megbízhatóságának biztosítását jelenti. A legfontosabb követelményei a pontosság, teljesség, megbízhatóság, relevancia, időszerűség és következetesség. Ezen a téren az adatkormányzás feladata a folyamatok, szabályok, egyéb követelmények meghatározása, audit, adatok feltérképezése stb. Az egész termék sikere vagy bukása múlhat rajta, rossz minőségű adatokból, vagy nem megfelelően meghatározott adatkörből ugyanis a legjobb algoritmus sem tud megfelelő terméket előállítani.

Etika, önszabályozás, szakmai sztenderdek és céges policy-k: az egyik első dolog, amit joghallgatóként megtanultam Péteri professzor[3] óráján, hogy Radbruch óta tudjuk, hogy a jog az erkölcs minimuma. Ez a gyorsan változó tech világban főleg így van – a technikai fejlődés volumenével és sebességével a szabályozás nem tud lépést tartani. Mivel mindent nem lehet, és nem is szabad szabályozni, felértékelődik az etika szerepe különösen a technológiai területen. Az adatkormányzás feladata ezeknek a szabályoknak a lefektetése, implementálása, kodifikálása, átadása, betartatása, auditálása, és erről jelentés készítése stb.

Data policy-k és szabálykönyvek ( rulebook-ok): mindezen fenti tényezők (és adott esetben továbbiak) figyelembevételével és alapján az adatkormányzás feladata lehet az adatmenedzsment (és a cég) egyéb alegységei számára szabályok lefektetése, karbantartása, tréningek készítése, tartása, auditálása, arról jelentés készítése.[4]

A fenti összesítés célja egy nagyjábóli, általános kép nyújtása arról, hogy nagy általánosságban mi az adatkormányzás feladata. Fontos kiemelni, hogy a felelős egységek feladatai cégenként jelentős mértékben eltérhetnek, és semmi sincs kőbe vésve. Ezzel szemben az adatmenedzsment a szervezet által létrehozott és gyűjtött adatok felvételének, tárolásának, rendszerezésének és karbantartásának teljes folyamatát és eszközeit lefedi. Ahogy már említettem, az adatmenedzsment egyik alegysége – és egyben előfeltétele az adatkormányzás.

Hídember és adatkormányzás

Ezzel el is jutottunk oda, hogy miért gondolom, hogy az adatkormányzás terén szükség van hídemberekre: a terület sajátosságai ugyanis egyszerre kívánják meg a jogi, etikai és technológiai szakértelmet. A jogászoknak – technológiai upskilling[5] után – rendelkezésére áll a szükséges szabályozási tudás a policy-k és szabályok alkotásához, a rendszerszemlélet – a szabályok szélesebb körű alkotása valahol egyfajta kodifikációs lényeglátást is igényel. A csapatnak szóló compliance tréningek esetében elengedhetetlen a jó kommunikációs készség, az auditok, a due diligence terén a jogászok jelentős része szintén rendelkezik tapasztalattal, ahogy ismertek számukra olyan fogalmak is, mint például a megfelelő/elvárható gondosság. Ezek a jogászok számára jól ismeret témák hasonló tudást és készségeket követelnek az adatkormányzás területén is, mint az ügyvédi irodában, a technológiai ismeretek és a magas szintű szoftverhasználat (egyre szélesebb körű szoftver egyre magasabb szintű ismerete – például due diligence terén, de nem kizárólag) pedig ezen a téren szintén minden munkakörben szükséges.

A fentieken túl természetesen az adatkormányzás számos egyéb feladatot is elláthat így például az adatmodellek megalkotása és a metaadat-menedzsment terén, de ezek sem tanulhatatlanok egy alapvetően kategorizáláshoz és élethosszig tartó tanuláshoz szokott jogász számára.

Természetesen ezzel nem azt mondom, hogy a tech és a jogi világ közötti egyetlen lehetőség az adatkormányzás területén van, vagy ez lenne az ideális megoldás. A hídemberek fő jellemzője álláspontom szerint, hogy számos területen bevethetők, és a jogi tanulmányokból, esetleg szakmai gyakorlatból a transzferálható képességek és készségek széles tárházát hozzák magukkal. A cikk célja csupán az előző cikkhez kapcsolódóan a compliance-by-design szemléletmód egy lehetséges alkalmazásának bemutatása volt.

Következő cikkemben szeretném bővebben tárgyalni az adatetika és az adatminőség témáját szemléletes példákkal, az e területek nem megfelelő figyelembevételéből eredő lehetséges diszkrepanciákra rávilágítva. Ezt követően fogom bemutatni a másik oldalt: hogyan profitálhatnak a jogászok az adatkormányzásból (és az adatmenedzsmentből).

A cikk a Wolters Kluwer Hungary termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz.

A cikk szerzője: Kutató, Versenyjogi Kutatóközpont. Data Privacy Manager & Compliance Analyst, Veeva Systems. Az itt szereplő vélemények és állítások a szerző álláspontját tükrözik, jelen és múltbeli tapasztalatain alapulnak, és nem feltétlenül egyeznek meg munkáltatója álláspontjával. A szerző 2011-ben szerzett jogi diplomát a Pázmány Péter Katolikus Egyetemen, majd ugyanott jogi PhD fokozatot 2020-ban. Jogi tanulmányokat folytatott Párizsban és Belgiumban, brit diplomát szerzett UX designból és közgazdaságtanból. Jogászként dolgozott elsősorban versenyjogi és adatvédelmi területen a GVH-nál, az Európai Bizottságnál, valamint nemzetközi ügyvédi irodáknál,  közben folyamatosan képezte magát technológiai irányban. 2020-ban döntötte el, teljesen a technológia felé fordul. Az önképzést megkoronázta egy adatelemzés bootcamp-pel, számos tech startup munkáját segítette az elmúlt években szabadúszóként. Jelenleg egy nagyvállalat data governance csoportjában dolgozik, ahol egyaránt felel compliance kérdésekért, és dolgozik modern adatelemzési módszerekkel – ide értve script és programnyelveket is.

Köszönöm a cikk születéséhez nagy mértékben hozzájáruló beszélgetéseket, közös gondolkodást, és észrevételeket Dr. Firniksz Juditnak.

[2] Lásd bővebben: Data Management vs. Data Governance: The Difference Explained.

[3] Dr. Péteri Zoltán prof. emeritus, Pázmány Péter Katolikus Egyetem, Jog- és Állambölcselet Tanszék. 2006-os évfolyam első félévének egyik első Jogelmélet óráján azonnal megragadták a gondolatai.

[4] Data Governance vs Data Security: 7 Key Differences in 2024.

[5] Érdeklődési kör és szakmai célok függvényében széles körben állnak rendelkezésre továbbképződési lehetőségek a gyakran ingyenes vagy nagyon olcsó autodidakta, online tanulástól az egyetemi diplomáig bezárólag. A kettő közötti skálán van számos bootcamp, bizonyítványt/tanúsítványt (certificate) kínáló hosszabb és rövidebb kurzus. Van számos kifejezetten jogászok számára tervezett szervezett képzés is, magyar nyelven kiváló képzéseket és meetupokat kínál pl. a Wolters Kluwer Hungary.