Továbbra is komoly kihívást jelent a GDPR gyakorlati alkalmazása során a vállalkozásoknak a jogalap nélkül tárolt személyes adatok törlése. Alternatív megoldást jelenthet az adatok deperszonalizációja, azonban az üzleti érdekek és a jogszabályi megfelelőség közötti egyensúly érdekében fontos a megfelelő stratégia kialakítása.

Nem könnyű megvalósítani a GDPR-nak megfelelő rendszerket

Az eddigi tapasztalatok azt mutatják, hogy számos technikai és megvalósíthatósági probléma merül fel az Európai Unió általános adatvédelmi rendelete, a tavaly május óta kötelezően alkalmazott GDPR kapcsán az adatbiztonsági kontrollok technológiai bevezetése és működtetése során. A legnagyobb kihívást továbbra is az éles rendszerekben jogalap nélkül tárolt személyes adatok törlése, valamint a teszt- és fejlesztői környezetek deperszonalizációja jelenti.

Hazai és nemzetközi szállítók egyaránt rendelkeznek a deperszonalizációra használható eszközökkel, de egyszerűbb eljárásokhoz akár saját programok is készíthetők. Az egyes deperszonalizációs eszközök és módszerek különböző előnyökkel és hátrányokkal járhatnak, ezért azok megválasztását érdemes szakértőkre bízni.

A GDPR alkalmazása során továbbra is az egyik legfontosabb, hogy az adatkezelők tisztában legyenek a kezelt adatok körével és rendelkezzenek megfelelő adattörlési vagy deperszonalizációs stratégiával, illetve gyakorlati megoldásokkal.

Személyes adatok törlése vagy deperszonalizáció?

A GDPR egyértelműen előírja a személyes adatokra vonatkozó adattörlési képességet, amelyet a „privacy by design” és „privacy by default” elvek mentén már a rendszerek kialakításánál és fejlesztésénél figyelembe kell venni. A deperszonalizáció egy alternatív megoldást jelenthet, ami nem egyenértékű a törléssel azonban hasonló eredményre vezet, amennyiben az adat és a természetes személy közötti kapcsolatot végérvényesen megszüntetésre kerül.

Deperszonalizációs koncepcióra és annak megvalósítására van szükség, amit alapos felmérésnek és tervezésnek kell megelőznie, hogy az adatkezelő elkerülje az eljárásból eredő kockázatokat. A deperszonalizáció megvalósítása költségigényes és hosszas folyamat, egy komplex informatikai környezetben akár több éves projektet és sok tízmillió forintos költséget is jelenthet.

– mutatott rá Szöllősi Zoltán, a Deloitte technológiai tanácsadás csoportjának szenior menedzsere.

A személyes adat deperszonalizáció elsődleges célja, hogy további információk felhasználásával se legyen megállapítható, hogy a személyes adat mely konkrét természetes személyre vonatkozik, tehát az adat és a természetes személy közötti kapcsolat végérvényesen megszűnjön.

Barta Gergő, Deloitte

Statisztikák készítésére az anonímizált adat még jó lehet

A deperszonalizációs folyamat tulajdonképpen az adatok transzformálását jelenti és amennyiben más adatbázis számára is továbbított adat kapcsán valósul meg, úgy lehetővé kell tenni, hogy a céladatbázis is képes legyen a transzformált adat befogadására és feldolgozására.

Éppen ezért komplex üzleti környezetekben a teljes infrastruktúrán keresztül áramló adatok esetén olyan megoldások kidolgozása szükséges, amelyek biztosítják, hogy a folyamat ne jelentsen kockázatot a napi adatfeldolgozásokban vagy a rendszerek funkcionális működésében. A deperszonalizáció másik fontos szempontja, hogy az értékes adatvagyont csak olyan mértékben tegyük felismerhetetlenné, hogy az kielégítse a jogszabályi elvárásokat, de ugyanakkor későbbi üzleti, statisztikai felhasználásra alkalmas maradjon. 

– tette hozzá Barta Gergő, a Deloitte technológiai tanácsadás csoportjának szenior tanácsadója.

Nyitókép: Szöllősi Zoltán, Deloitte.

Tetszett a cikk?
Ne felejtsétek el megosztani! Köszönjük!

BANKÁR MAGAZIN A KÖZÖSSÉGI MÉDIÁBAN
Facebook CSOPORTUNKBAN szakmai témákat vitatunk meg, Facebook OLDALUNKON pedig értesülhetsz a legfrissebb hírekről. Kövesd a Bankár Magazint a közösségi média oldalakon is!