Compliance-by-design
A compliance-by-design, vagyis a jogszabályoknak való megfelelés a tervezési folyamat elejétől kezdve, egyre inkább előtérbe kerül a vállalatoknál. A hagyományos compliance modellekkel szemben ez a megközelítés már a terméktervezés során figyelembe veszi a jogszabályi előírásokat, így elkerülhetőek a későbbi jogszabálysértések és az ebből adódó költségek. Ennek megvalósításához azonban szükség van olyan „hídemberekre”, akik megértik a jogi, szabályozási és technológiai összefüggéseket, és képesek ezt a tudást integrálni a terméktervezési folyamatokba.
Előző cikkemben a jog és a tech-szektor határán mozgó, a két “világ” közötti kapcsolat megteremtését facilitáló hídemberekről írtam. Ez az írás építeni fog az előző cikk tartalmára, ezért érdemes lehet azt is elolvasni – bár nem feltétlen szükséges – az itt leírtak önmagukban is érthetőek.
Egy ponton szükséges visszautalni az előzményekre: a hídember kifejezést azokra a szakemberekre (esetünkben elsősorban jogászokra) használom, akik digitális készségeiket felfejlesztik olyan szintre, hogy hidat tudnak képezni a tech és a jogi világ között.
Ebben a cikkben a compliance-by-design követelményére fogok fókuszálni, a cég számára nyújtott előnyeire, a hídemberek ebben játszott szerepére. Továbbra is leginkább az adatok világánál maradok, mivel elsősorban ezen a területen van tapasztalatom – emellett a szabályozás is eléggé előrehaladott ezen a téren, és közismert, hogy az adat ma már mindenhez kell.
Mi a compliance-by-design?
Ahhoz, hogy arról beszéljünk, mi a compliance-by-design, mitől új és forradalmi, először érdemes dióhéjban kitérni arra, mi a tradicionális compliance. Az angol szó magyarul megfelelést jelent. Tradicionálisan a compliance egyfajta ex post átvilágítást/beavatkozást jelent(ett), a jogszabályoknak való megfelelés biztosítása érdekében. Arról, hogy a digitális világban ez miért kell, hogy mást jelentsen, bővebben itt olvashatnak. Röviden: a jogi szabályozásnak történő megfelelés a „tisztán” jogi megfelelés (legal compliance) helyett mára sokkal inkább jogi-szabályozási megfelelési (regulatory compliance) követelménnyé vált. Emellett “[a] szabályoknak betű szerint megfelelő („compliant”) működés már nem is elegendő az etikusnak nevezhető működéshez, annál több kell, mégpedig az, hogy egy adott vállalat szervezetét, annak minden szintjét szellemiségében is áthassa az ún. compliance-kultúra.”[2]
Jelen cikkben a compliance-by-design alatt a klasszikus jogi compliance-en túl mind a regulatory oldalt, mind pedig az etikai oldalt értem, emellett abszolút egyetértek Ambrus Istvánnal a vállalati compliance kultúra tekintetében. A compliance-by-design vállalati compliance kultúra nélkül ugyanúgy nem képzelhető el, ahogy hídemberek nélkül sem.
Még egy dolgot tartok fontosnak kiemelni a compliance-by-design kapcsán: a compliance szerepe a korábbi ex post intervencióból egyre inkább ex ante, a terméktervezési folyamatoktól induló, és a teljes életciklust végig kísérő, egyfajta minőségbiztosítási szereppé válik. Ez az a pont, ahol a folyamat hídemberek nélkül nem elképzelhető.
Privacy-by-design: az első jogszabályi szintű követelmény
Az a terület, ahol az ex ante compliance követelménye első ízben kötelező érvényű jogszabályi szinten megjelent az adatvédelem. A 2018-ban alkalmazandóvá vált GDPR 25. cikke egyértelműen megteremtette a “privacy-by-design” követelményét, azaz annak a követelményét, hogy az adatvédelmi megfontolások már a terméktervezés során figyelembe vételre kerüljenek. A GDPR azt egyértelművé teszi, hogy a technológiai terméktervezés során az adatvédelmi megfontolásoknak érvényre kell jutniuk, túl sok fogódzót azonban nem nyújt a megvalósítás vonatkozásában. Az azonban egyértelmű, hogy titkosítás, adattakarékosság, az érintetti jogok tiszteletben tartása/érvényesíthetősége és az adatkezelés céljának szem előtt tartása mellett kell ezeket meghatározni. A spanyol hatóság ajánlása már egyértelműen utal a certifikáció szerepére a 25. cikknek való megfelelés alátámasztása érdekében, amelyhez vezető folyamat során gyakorlatiasabb útmutatás várható, ha nem is kötelező érvényű jogszabályi formában.[3]
A GDPR-t a gyakorlat oldaláról – és főleg az üzletszempontúság és versenyképesség szempontjából számos kritika éri, de a privacy-by-design követelménye álláspontom szerint mindenképpen összhangban van az agilis módszertan és a modern design azon követelményével, hogy teszteljünk, amint lehet. Ideálisabb a költségek szempontjából ugyanis, ha a design folyamat során úgy tervezi a cég a terméket, hogy folyamatosan figyelemmel van a jogszabályi előírásokra, mint ha a folyamat végén, a már részletesen megtervezett, rosszabb esetben lefejlesztett termékről derül ki, hogy jogszabálysértő, és küldi vissza a céges vagy külsős jogász az egészet a tervezőasztalra. Avagy még rosszabb esetben a hatóság írja elő az újratervezést egy adott esetben szabad szemmel is látható összegű bírság kiszabásának kíséretében.
Az adatvédelem esetében a GDPR teremti meg tehát a kötelezően alkalmazandó jogszabályi kívánalmat, más területek esetében – hasonló és egyértelmű jogszabályi követelmény hiányában – pedig az üzleti racionalitás. Jobb már eleve jogilag megfelelőre tervezni egy terméket, mint utólag újratervezni, ezzel egy már előrehaladott folyamat esetén jelentős többletköltséget okozva. Arról nem is beszélve, milyen reputációs veszteséget okozhat ez a cégnek.
A céges compliance kultúrának a felsorolt előnyök felismerésében fontos szerepe van, előfeltétel viszont, hogy a compliance szempontok általánosan szem előtt legyenek, és úgy kerüljenek kommunikálásra mind a vezetés, az üzleti oldal, és a technológiai szakemberek felé is, hogy egyrészt érthető és befogadható legyen számukra az üzenet, másrészt mindenkiben tudatosuljon, hogy a rendszeres konzultáció a cég elemi érdeke – üzleti és technológiai szempontból is.
Hirdetés
Az európai jogalkotás egyik kulcsterülete a gazdaság digitális transzformációjának kezelése. A technológiai környezet fejlődése a gazdasági környezetet is átformálta. Az ikerrendeletek, azaz a Digital Markets Act (DMA) és a Digital Services Act (DSA) elfogadásával nyilvánvalóvá vált, hogy a vállalati mindennapokban a digitális megfelelés ágazattól függetlenül megkerülhetetlen.
Készüljön fel a várható kihívásokra Dr. Firniksz Judit most megjelent, „Pillanatkép a digitális piacok szabályozásáról” című könyvével! |
Kiterjesztés – szabályozási “cunami”
A privacy-by-design esetében tehát a GDPR egyértelműen kötelező érvényű jogszabályi hátteret teremt, a többi jogszabály esetében viszont nem feltétlenül áll fenn ilyen jogszabályi szinten megfogalmazott követelmény, a bírságfenyegetettség – illetve az újratervezési többletköltségek elkerülésére való törekvés – azonban igen. Előző cikkemben kitértem a digitális szektor szabályozásának komplexitására, amely jelenleg is azon a szinten van már, hogy finoman szólva is kihívás nyomon követni.
Leegyszerűsített ábrám az adatokra vonatkozó európai szabályozási “cunamiról” – a teljesség igénye nélkül
A közelmúltban volt szerencsém részt venni Barcelonában a Mobile World Congressen (MWC), amely a tech-világ egyik csúcseseménye. Az MWC-n több tízezer szakember vesz részt a világ minden tájáról. Bár az MWC elsődlegesen a mobil és tech szektor legnagyobb USA-n kívüli eseményeként vonult be a köztudatba, az esemény népszerű más ágazatok munkatársai körében is, így például – tekintettel Barcelona összeurópai HealthTech hub szerepére – különösen a gyógyszeripar képviseltette magát jelentős arányban.
Az MWC-vel párhuzamosan és azonos helyszínen futó esemény a 4 Years from Now (4YFN), amely a startupoknak ad lehetőséget a bemutatkozásra. Itt bizonyos startupoknak lehetőségük van saját standdal, esetleg előadással bemutatkozni, vagy akár benevezni a számos pitch verseny valamelyikére.
Aminek örömmel voltam tanúja az eseményen, az a LegalTech, valamint a compliance és etikai előadások és az ilyen kérdésekre fókuszáló startupok megszokottnál nagyobb arányú reprezentációja. Félreértés ne essék, távolról sem ezek a témák adták az esemény magját, és a téma más területekhez – és a tényleges fontosságához – képest még mindig alulreprezentált. Érzékelhető azonban, hogy elindult egy ilyen orientáció a startupok szegmensében is.
A LegalTech számos tényező (pl. piacméret, egyéb piaci sajátosságok, mint pl. kockázati tőke és nagyvállalati háttér hiánya, méretgazdaságosság stb.) miatt “késésben” van más területekhez képest, most viszont különösen az EU digitális stratégiája, a generatív mesterséges intelligencia előretörése és más technikai vívmányok, valamint – megérzésem szerint – az utóbbi éveket jellemző digitális szabályozási dömping hatására erősödni kezdett ez a feljövőben lévő piac is.
Számos kifejezetten a compliance automatizációját célzó megoldás – jogi, szabályozási, etikai oldal egyaránt – került bemutatásra, több cég is meglátta tehát egyrészt a compliance-by-design fontosságát, másrészt elindultak bizonyos fokú automatizációs törekvések. Az automatikus cybersecurity audit[4], automatikus “black box” sérülékenység audit etikai szempontból,[5] a számos adatvagyon feltérképezés célzó vagy az etikus HR kiválasztást célzó automatizált megoldások mind fontos, akár szabályozási, önszabályozási, vagy éppen etikai compliance igényekre reflektálnak.
A startupok világában egyértelműen tudni kell nagyot álmodni. A compliance-megoldások jelenlegi érettségüktől függetlenül és majdan annak maximumát elérve is mindenképpen meg fogják kívánni a humán felügyeletet és a hídemberek jelenlétét. Ez esetben az adott szoftvert működtetni tudó, az adott eredményt felülvizsgálni képes, tehát egyaránt megfelelő jogi és technikai ismeretekkel és jártassággal rendelkező szakemberekről van szó.
Ezeknek a compliance-célú szoftvereknek a széleskörű elterjedése egyelőre még inkább a jövő, mint a jelen témája. A compliance-by-design ennél tradicionálisabb megközelítései is igényt támasztanak a hídemberek jelenlétére.
Hirdetés
A digitális gazdaság uniós szabályozási közege rendkívül komplex. Ha nem fordítunk kellő figyelmet a jogi-szabályozási szempontokra, a projekt elbukhat a jogszerűségen. Ha pedig nem a leghatékonyabb LegalTech eszközöket választjuk, a piac elszaladhat mellettünk, mire kijövünk az egyébként jogszerű, de idejétmúlt megoldással.
Időpont: 2024. május 8. Helyszín: Radisson Blu Béke Hotel
Miért kell ehhez hídember?
A compliance-by-design követelménye előfeltételezi olyan szakemberek létét, akik értik a tervezési/project management folyamatokat, az adatbázis felépítését, a technikai követelményeket és lehetőségeket, a fejlesztési folyamatokat, a technológiai és jogi összefüggéseket. Tudják mi történik pontosan, ismerik az adatbázisok tágabb összefüggéseit, így tudatában vannak például, hogyan döntheti kártyavárként romba az adatbázist egy nem eléggé átgondolt retenciósidő-csökkentés. Proaktívan részt tudnak venni a sprintekben, pontosan lekövetik, hogy mit és hogyan kíván tenni a team, és hogyan – pl. nem mindegy például szerzői jogi szempontból, hogy egy adott innovatív megoldás letölti-e az adatot, pontosan mit, és hogyan). Elsőre ijesztően hangozhat, de szükséges (vagy legalábbis ideális) lehet adott esetben a programozási készség megléte, hiszen teljesen más saját szemmel utánanézni a dolgoknak ezen a téren is. Auditok során azt tudjuk igazán érteni és ismertetni, amivel van sajátélményes tapasztalatunk. Mindezek persze pozíció függvényében változhatnak. A programozás pedig csak kívülről ijesztő, kis tanulással nagyon is élvezetes alkotó folyamattá válhat.
Legfontosabb azonban a reziliencia és a kommunikációs képesség: alkalmazkodni a környezet és a kommunikációs partner elvárásaihoz, a hallgatósághoz alakítani a tartalmat (ez már kicsit legal design), jól érvelni (amihez hozzátartozik, hogy a célközönség számára érthetően és befogadhatóan), olyanná alakítani a compliance folyamatokat, hogy a csapatnak kedve legyen konzultálni. Ezen a gondolati íven továbbhaladva felmerülhetnek a compliance-as-a-service, vagy akár ad abszurdum „gamification” megoldások is. Fontos az adott cég által megkívánt technikai skillek megléte, így ha egy cég egy adott szoftvert/technológiát használ, így például egy kanban[6]-típusú projekt management eszközt, akkor azt mindenkinek alkalmazni kell – igen, a jogásznak is.
Miért jó a cégnek a compliance-by-design?
A cikkben írtam már erről röviden a compliance-by-design és abban hídember szerepének bemutatása mellett, viszont véleményem szerint néha egy kép többet mond minden szónál. Következő cikkemben a jogi és etikai oldalról is írni fogok a compliance –by-design és a hídember vonatkozásában, addig viszont, lássuk, mégis mit adhat egy cégnek a compliance-by-design hozzáállás meghonosítása a céges kultúrában?
A béke pedig egy olyan dolog, amire a stresszes ügyvezetők kifejezetten vágynak…
A cikk a Wolters Kluwer Hungary termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz.
[1] A cikk szerzője: Kutató, Versenyjogi Kutatóközpont. Data Privacy Manager & Compliance Analyst, Veeva Systems. Az itt szereplő vélemények és állítások a szerző álláspontját tükrözik, jelen és múltbeli tapasztalatain alapulnak, és nem feltétlenül egyeznek meg munkáltatója álláspontjával. A szerző 2011-ben szerzett jogi diplomát a Pázmány Péter Katolikus Egyetemen, majd ugyanott jogi PhD fokozatot 2020-ban. Jogi tanulmányokat folytatott Párizsban és Belgiumban, brit diplomát szerzett UX designból és közgazdaságtanból. Jogászként dolgozott elsősorban versenyjogi és adatvédelmi területen a GVH-nál, az Európai Bizottságnál, valamint nemzetközi ügyvédi irodáknál, közben folyamatosan képezte magát technológiai irányban. 2020-ban döntötte el, teljesen a technológia felé fordul. Az önképzést megkoronázta egy adatelemzés bootcamp-pel, számos tech startup munkáját segítette az elmúlt években szabadúszóként. Jelenleg egy nagyvállalat data governance csoportjában dolgozik, ahol egyaránt felel compliance kérdésekért, és dolgozik modern adatelemzési módszerekkel – ide értve script és programnyelveket is.
Köszönöm a cikk születéséhez nagy mértékben hozzájáruló beszélgetéseket, közös gondolkodást, és észrevételeket Dr. Firniksz Juditnak.
[2] Ambrus István: A compliance jelentése és alapkérdései.
[3] https://www.aepd.es/guides/guide-to-privacy-by-design.pdf
[4] Red Alert Lab
[5] Eticas AI
[6] A kanban egy lean projekt menedzsment eszköz, ami a kooperációt igénylő projektek részfeladatainak kiosztására, a folyamat és a kapacitás vizuális nyomonkövetésére alkalmas.