QualiBooth

compliance

Amit a GDPR tanított nekünk az EAA-ról

Az európai akadálymentesítési irányelv ugyanazt a végrehajtási utat követi, mint amit a GDPR bejárt. Ha a szervezeted a nehezebb úton tanulta meg a GDPR-t, íme, hogyan ne ismételd meg.

5 min read QualiBooth
Egy EU-zászló egy európai kormányzati épület előtt, az EU digitális szabályozását jelképezve.

Már jártunk itt

2018-ban a GDPR hatályba lépett, és a legtöbb szervezet reakciója egy kiszámítható ívet követett. Egy szinte teljes csendes időszak. Aztán, ahogy közeledett a határidő, egy kapkodás. Aztán, ahogy a végrehajtás ténylegesen megérkezett, valódi sürgősség és rohanás a megfelelés elérésére egy olyan időkeretben, amely sokkal rövidebb volt, mint amilyennek lennie kellett volna.

Az európai akadálymentesítési irányelv ugyanazon a pályán halad. A határidő — 2025. június 28. — lejárt. A végrehajtás folyamatban van. És azok a szervezetek, amelyek az akadálymentesítést „majd egyszer foglalkozunk vele” ügyként kezelték, most fedezik fel, hogy az az egyszer megérkezett.

Ha átmentél a GDPR-on, sok minden, ami következik, ismerősnek fog tűnni.

Mi a közös bennük

Egy megfelelési határidő, amelyet a legtöbb szervezet elmulasztott

Amikor a GDPR 2018 májusában hatályba lépett, a felmérések azt mutatták, hogy az EU-s vállalkozások többsége nem felelt meg — egyes jelentésekben ez az arány meghaladta a 60%-ot. Az EAA-val kapcsolatos történet hasonlónak tűnik. A 2025 júniusi határidő előtt röviddel publikált kutatások következetesen azt mutatták, hogy a törvény hatálya alá tartozó vállalkozásoknak csak egy kis hányada érte el az érdemi megfelelést.

Mindkét törvény ugyanazt az alapmintát követi: egy hosszú felkészülési időszak, amely alatt a legtöbb szervezet korlátozott lépéseket tesz, ezt követi egy tevékenységi roham, ahogy a határidő közeledik, majd folyamatos végrehajtás azok számára, akik nem mozdultak elég gyorsan.

Egy területi hatály, amelyet sok vállalkozás alábecsült

A GDPR minden olyan szervezetre vonatkozik, amely EU-lakosok adatait dolgozza fel, függetlenül attól, hogy hol található a szervezet. Az EAA hasonlóan működik: ha a digitális terméked vagy szolgáltatásod az EU-s vásárlóknak értékesíti, és a szervezeted megfelel a méretküszöböknek (10 főnél több munkavállaló és 2 millió eurónál nagyobb árbevétel), akkor meg kell felelned — függetlenül attól, hogy a székhelyed Münchenben vagy San Franciscóban van.

Sok EU-n kívüli vállalkozást meglepett a GDPR hatóköre. Ugyanez történik az EAA-val.

Egy komoly foggal rendelkező büntetési keret

A GDPR bírságai — a globális éves árbevétel akár 4%-a vagy 20 millió euró, attól függően, melyik a magasabb — címlapokra kerültek. Szervezetek találták magukat többmillió eurós büntetések fogadó oldalán olyan hibákért, amelyek sok esetben megelőzhetők lettek volna.

Az EAA büntetéseit nemzeti szinten határozzák meg, így tagállamonként eltérnek. De nem jelentéktelenek. Olaszország és Franciaország egyaránt jogsértésenként több tízezer euró tartományban lévő bírságokról rendelkezik. Németország Barrierefreiheitsstärkungsgesetz (BFSG) végrehajtása jelentős büntetéseket tartalmaz. És a GDPR-ral ellentétben, ahol sok jogsértés adatszivárgáson vagy panaszon keresztül derült ki, az akadálymentesítési hibák bárki számára láthatók, aki képernyőolvasóval látogatja meg a weboldaladat — beleértve azokat a fogyatékosügyi érdekvédelmi szervezeteket, amelyek akadálymentesítési panaszokat nyújtanak be.

Miben tér el az EAA a GDPR-tól

Az akadálymentesítési jogsértések kívülről láthatók

A GDPR-jogsértésekhez gyakran belső panaszra vagy adatszivárgás bejelentésére volt szükség ahhoz, hogy napvilágra kerüljenek. Az akadálymentesítési hibák nyilvánosan felfedezhetők. Bárki megnyithatja a weboldaladat, futtathat egy automatizált vizsgálatot, vagy tesztelheti képernyőolvasóval, és dokumentálhatja, amit talál. A fogyatékosügyi érdekvédelmi csoportok pontosan ezt teszik, szisztematikusan.

Ez azt jelenti, hogy a lehetséges panaszosok köre sokkal nagyobb, és a panasz benyújtásának akadálya sokkal alacsonyabb. Nincs szükséged belső rendszerekhez való hozzáférésre vagy kiszivárgott dokumentumokra. Csak egy böngészőre van szükséged.

A technikai szabvány már meghatározott

A GDPR megkövetelte a szervezetektől, hogy „megfelelő technikai és szervezeti intézkedéseket” hajtsanak végre az adatok védelmére — egy olyan szabvány, amely szándékosan homályos volt, hogy lehetővé tegye a technológiai változásokat. Az EAA egy konkrét technikai szabványt határoz meg: az EN 301 549-et, amely a Webes Akadálymentesítési Útmutatóra (WCAG 2.1/2.2) hivatkozik AA szinten.

Ez az egyértelműség kétélű fegyver. Egyrészt a szervezetek pontosan tudják, mit kell elérniük. Másrészt megkönnyíti a nem megfelelés bizonyítását — az automatizált eszközök másodpercek alatt részletes jogsértési jelentést tudnak generálni.

A korai végrehajtás már folyik

A GDPR-nak viszonylag csendes első végrehajtási éve volt, mielőtt a nagy bírságok megérkeztek. Az EAA végrehajtása gyorsabban halad. A francia hatóságok röviddel a határidő után elkezdtek felszólításokat kiadni a nagy kiskereskedőknek. Egy párizsi bíróság döntést hozott egy iskolai platform akadálymentesítési ügyében, amely évi 25 000 euró összegű lehetséges bírságot tartalmazott. Az EU-tagállamok érdekvédelmi szervezetei aktívan nyújtanak be panaszokat.

A GDPR-tanulságok, amelyek az EAA-ra is érvényesek

A „megfelelünk majd, mielőtt a végrehajtás elér minket” nem stratégia

Sok szervezet tette meg ezt a számítást a GDPR-ral, és rájött, hogy a végrehajtás gyorsabb és célzottabb volt, mint várták. Az akadálymentesítési panaszokat most nyújtják be. Azok a szervezetek, amelyek megelőzik ezt, azok, amelyek elkezdenek auditálni és javítani, mielőtt hivatalos felszólítást kapnának.

A dokumentáció ugyanolyan fontos, mint a technikai javítás

A GDPR megkövetelte a szervezetektől, hogy nyilvántartást vezessenek az adatkezelési tevékenységekről, adatvédelmi hatásvizsgálatokat végezzenek, és bizonyítékokkal rendelkezzenek a hozzájárulásról. Az EAA akadálymentes platformokat követel meg, és sok nemzeti végrehajtásban olyan akadálymentesítési nyilatkozatokat, amelyek dokumentálják a jelenlegi megfelelési szinteket, az ismert kivételeket és a felhasználók számára az akadályok bejelentésére szolgáló kapcsolattartási mechanizmusokat.

Egy olyan akadálymentesítési nyilatkozat birtoklása, amely pontosan tükrözi a jelenlegi állapotodat — és a folyamatos fejlődés bizonyításának képessége —, érdemi bizonyíték a jóhiszemű megfelelésre.

A megfelelés folyamat, nem projekt

A GDPR gondolkodásmódbeli csapdája az volt, hogy a megfelelést egy kipipálandó feladatként kezelték: bevonni egy jogi csapatot, frissíteni az adatvédelmi szabályzatot, hozzáadni sütibannereket, kész. Sok szervezet ezután megállt — csak hogy rájöjjön, újra kell gondolnia a megfelelését, amikor új termékeket indít vagy meglévőket frissít.

Az akadálymentesítés ugyanígy működik. Minden új funkció, minden harmadik féltől származó komponens, minden dizájnfrissítés új akadályokat vezethet be. A fenntartható megfelelés megköveteli az akadálymentesítés integrálását a fejlesztési és tartalmi munkafolyamatokba, nem pedig egyszeri javításként való kezelését. Az akadálymentesítés a szoftverfejlesztési életciklusban című útmutatónk bemutatja, hogyan néz ki ez a gyakorlatban.

Kezdd egy kiindulási alappal

Mielőtt megtervezhetnéd a javítást, meg kell értened, hol tartasz jelenleg. Ez azt jelenti, hogy auditot kell futtatnod — automatizáltat és manuálisat egyaránt —, hogy dokumentáld a hibákat, hatás és gyakoriság szerint rangsorold őket, és reális javítási tervet készíts.

Ha ezt még nem tetted meg, a leggyorsabb kiindulópont egy ingyenes automatizált vizsgálat, amely azonnali képet ad az automatizálható jogsértésekről. A teljes képhez — beleértve az akadályok nagyjából 60–70%-át, amelyeket az automatizált eszközök nem tudnak észlelni — manuális tesztelésre van szükség, amelyet segítő technológiát használó emberek végeznek.

Azok a szervezetek, amelyek jól kezelték a GDPR-t, nem várták meg a végrehajtást. Felmérték a helyzetüket, tervet készítettek, és ugyanolyan sürgősséggel hajtották végre, mint amilyet bármely más lényeges üzleti kockázatra alkalmaznának. Az EAA ugyanezt a bánásmódot érdemli.

Tudd meg, hogy az oldalad megfelel-e az EAA követelményeinek