Elmúlt az összeurópai személyesadat-védelmi reguláció bevezetésének határideje, de a GDPR-t beburkoló köd még mindig nem oszlott fel teljesen. Az egyik ilyen terület a ritkán használt adatok felismerésének és a reguláció szellemében való kezelésének problémája. Márpedig az EU-s büntetések elkerülésének egyik fontos eleme a szervezet által kezelt adatok pontos ismerete.

Elengedhetetlen, hogy tudjuk: hol, milyen információval, miként dolgozik az adott szervezet – és meddig őrzi meg azt. Az adatbázisok egy része triviálisan adja magát, ilyenek például egy szolgáltatás bejelentkezőazonosítóit taroló adathalmazok. De mi a helyzet a kevésbé szem előtt levő személyes információkkal? Ezeket ugyanis jóval nehezebb felkutatni.

Jóval könnyebbé válik a feladat, ha ismert, mit is keresünk valójában.

Kihűlő érdeklődés

Igen egyszerű a szemléletes adathőmérő modell mögött álló elmélet. Frissessége és fontossága szerint osztályozza az információt, a forró adattól a spektrum másik végét záró fagyott adatig. Egy adott információ létrejöttekor forró adatnak minősül, idővel pedig elkezd “kihűlni”, azaz veszít frissességéből és/vagy fontosságából.
 

Forrónak a legaktívabb információ számít, amely életciklusa legelején jár. A rajta végzett tranzakciók jellemzően napi szintűek. Ezzel szemben a meleg adat már más kategóriát képvisel. Ugyan még mindig viszonylag gyakran használják, de inkább a havi vagy negyedéves jelentések készítéséhez szükséges.

A hideg (vagy kihűlt) adat a fentiekkel ellentétben már nem vesz részt gyakorlatilag semmilyen, információval kapcsolatos műveletben. Lezártan és archiváltan, gyakran évekkel létrejötte után is a szervezet rendszerében megbújva várja sorsát. Végül a modell által fagyottnak elnevezett adat alatt azt az információhalmazt kell érteni, amelynek megőrzéséhez a kezelőnek voltaképp nem fűződik közvetlen érdeke.

Ez a cikk független szerkesztőségi tartalom, mely az SAS Institute támogatásával készült. Részletek »

Ide tartoznak például a törvényi szabályozás miatt megőrzendő bejegyzések (például számlák), vagy azok, amikről nemes egyszerűséggel elfeledkezett a szervezet. Biztonságosan őrzött, elzárt helyre beragadt archívumok, szalagra vagy optikai adathordozóra kiírt információk, amik léte május 25-től nem csak tárolási terhet ró a kezelőkre, hanem személyes információk esetében az éves árbevétel 4 százalékára rúgó büntetés forrásául is szolgálhat. De befagyott adat lehet a backup, katasztrófaelhárítási, big data elemzési feladatok szempontjából elmentett információ is.

Nem csak kockázat, lehetőség is

Nem ritkán átfedést mutat a hideg/fagyott adat a “sötét” adattal. Ahogy a csillagászatban a sötét anyag, úgy ez a fogalom is az információ rejtettségére, láthatatlanságára utal. A strukturálatlan tartalom jobb esetben kereshető, kevésbé szerencsés helyzetben nem kereshető formában van eltárolva. Személyes információt azonban ugyanúgy tartalmazhat, melyek kezelését a GDPR-megfelelőség teljesítéséhez meg kell oldani.

Milyen helyzetekben válik nehézzé a sötét adat felkutatása? Gondoljunk például biztonsági és/vagy beléptetési célokból készített videofelvételeken szereplő személyek arcaira. De hasonló elbírálás alá esik a működő rendszerekből elemzési célokra kivont bizalmas egészségügyi adatok helyzete. Ugyan lehetséges, hogy ezek az „elfekvő” információk csupán minimális személyi adatot hordoznak magukban, sötétté válásukkal, kihűlésükkel potenciális veszélyforrást jelentenek a GDPR büntetések kiszabásához.
 

Hívjuk bárhogy, elkerülhetetlenül foglalkozni kell a szervezeten belül kezelt, régen használt/elfeledett információkkal. Ugyanakkor van előnye is a rá fordított energiának: a GDPR-megfelelőség biztosításával a szervezet adatvezéreltté válhat. A strukturálatlan adathalmazokból kinyert információk újból fókuszba emelésével jobb döntési pozícióba kerülhet a vezetés, javulhat az ügyfélkiszolgálás minősége és a rejtett lehetőségek feltárásával nem várt bevételi forrásokhoz lehet hozzáférni.

Végül pedig – és talán ez a legfontosabb – a strukturálatlan formában tárolt személyes adatok feletti ellenőrzés visszaszerzésével a szervezetek biztosak lehetnek abban, hogy számos, a jövőben élesedő, a bevételeket és hírnevet negatívan érintő időzített bombát hatástalanítottak.

Vérre menő bújócska

A GDPR-megfelelőséget gátló információk jellemzőinek meghatározása már fél siker a személyesadat-kezelés új feltételeinek sikeres teljesítéséhez. Az elfekvő adatok konkrét beazonosítása azonban még ennek tükrében sem triviális. Következő cikkünkben ezért azt vizsgáljuk meg, hogy milyen lehetőségeket kínálnak az adatelemzés eszközei a “problémás adatok” felkutatására.