GDPR – Az adatkataszter “érdekesebb” elemei
GDPR sorozatunk aktuális részében cégünk ön-ismereti folyamatában elkerülhetetlen adatkezelési folyamatok és az ott kezelt adatok megismerése, katalogizálása kapcsán most olyan érdekes információ forrásokról írunk, melyekről hajlamosak vagyunk elfeledkezni.
- papír alapú adatok
Az így május vége felé egyértelmű kell legyen minden adatokkal foglalkozónak, hogy ezzel is kell foglalkozni. Bajban akkor vagyunk, ha a napi ügymenet során sok a nem elektronikus adatkezelés, illetve, ha az archívumunk ilyen hordozókon is tárolódik. (Jellemzően hosszú megőrzésű idejű iratok a munkaviszonnyal, bérrel, nyugdíjjal kapcsolatos papírok, ezek elenyésző számú helyen vannak csak digitalizálva)
A napi ügymenet során igyekezzünk elektronikus feljegyzéseket készíteni, a különféle korábban használt papírokat – ha lehet és kell – utólag digitalizálni és természetesen biztonságosan megsemmisíteni. (Darálás, brikettálás, égetés stb.)
Fontos, hogy tudnunk kell, milyen adatok (GDPR szerint csak milyen személyes adatok) vannak ilyen hordozókon kezelve. Ha kapunk egy joggyakorlási igényt, meg kell adni a választ, és annak tartalmaznia kell a nem digitális médián lévő információkat is. (Pl. valaki érdeklődik hol, milyen adatai vannak nálunk kezelve, át kell „nyálazni” a papírhalmokat is!)
Megoldás az apró lépésenként végrehajtott teljes digitalizáció, beleértve az archívumot is. Két fő kérdést old meg, egyrészt visszakereshetővé válik ez az információhalmaz, másrészt rendezett lesz. A digitalizálásnál figyelni kell a hitelesség megőrzésére, erre ma már számos módszer és megoldás létezik.
- rendezetlen, strukturálatlan adatok
Olyan adatok, melyek nincsenek semmilyen adatbázisba szervezve. Jellemzően elektronikus feljegyzések, naptárbejegyzések stb. Ezek is sok esetben tartalmaznak személyes, vagy személyhez köthető adatot.
Mivel itt elektronikus formában tárolt adatokról van szó az adatvédelmi és szabályzási szempontok itt is érvényre kell jussanak.
A GDPR bevezetése kapcsán egy adatkataszter készítésekor ezekről sem szabad elfeledkezni.
- ideiglenes adatok
Ezek olyan adatok, töredékek melyek egy feldolgozási folyamat közben keletkeznek, akár automatikusan, akár beavatkozással. Akár ezek a töredékinformációk, akár maguk a lekérdezések utasításai is alkalmasak lehetnek bizonyos esetekben személyek azonosítására. Épp ezért érdemes ezeket is ugyanolyan adatbiztonsági körülmények között kezelni, mint az „éles” adatokat. (Komoly adatszivárgás lehet egy személyes adatokat érintő félbeszakadt lekérdezési tranzakció megmaradt ideiglenes háttérinformációinak kijutásából.)
Ilyen ideiglenes adatok fellelhető helyei pl. fénymásolók, faxok, nyomtatók beépített háttértárai, memóriái, nagyobb feldolgozások során helyi és hálózati tárolók, memóriák stb.
– törölt, de nem eltávolított adatok
A kuka értékes információk forrása lehet. Mindenkinek volt már ilyen olyan tapasztalata törölt állományokkal. Legtöbb esetben véletlenül törlünk és gyorsan helyreállítjuk. A helyreállítást követően pedig nem foglalkozunk tovább a dologgal. Pedig!
- teszt adatok
Fejlesztő cégeknél tudják általában, hogy „éles” adattal nem tesztelünk semmiféle rendszert. Egy vállalatirányítási rendszerben ugyanakkor a tapasztalatok alapján gyakran előáll olyan helyzet, hogy egyes fejlesztési vagy próbaverziók, tesztpéldányok is valós adatok felhasználásával kerülnek kipróbálásra. Ez egyrészt rendkívül rossz gyakorlat, amit minél előbb meg kell szüntetni, másrészt mindenképpen GDPR köteles adatkezelés amíg még fennáll. Ugyanakkor itt arra is figyelni kell, hogy a rossz gyakorlaton túl megszegjük az adattakarékosság elvét is a felesleges redundanciával.
- support adatok, hibajegyben átadott adatok
Sok rendszerszállító, eszköz és szoftvergyártó ad az üzemeltetés segítéséhez gyártói támogatást. Ezt néha oly módon teljesítik, hogy az adott termékből a saját belső rendszereik felé exportálnak automatikusan vagy exportáltatnak felhasználói beavatkozással különféle adatokat. Ezek többnyire valamilyen speciális tömörített formátumban tartalmazzák a hibás működés környezeti adatait, memória és egyéb jellemzőit. Ha belegondolunk, ezek az adathalmazok is tartalmazhatnak olyan adatot, amit személyes adatként kell(ene) kezelnünk. Ilyen esetben, ha a támogató előre nem nyilatkozza le mi történik az adatokkal, gyakorlatilag nem rendelkezünk információkkal.
Mégis mit tehetünk? Javaslatunk szerint szabályozzuk le az automatikus beavatkozás mértékét, a felhasználói közbeavatkozással kiküldött adatcsomagot naplózzuk, az átadás tényét is jegyezzük fel. Próbáljunk a gyártótól, támogatótól nyilatkozatot beszerezni az átadott adataink kezelésével kapcsolatosan.