A személyes adatok védelmére vonatkozó új uniós törvényt, a GDPR-t (General Data Protection Regulation) nem szabad egyszerű projektként kezelni, mert az hosszú távon befolyásolja majd a vállalatok és intézmények fejlesztési kultúráját, ezért be kell, hogy épüljön az életükbe – mondja Szász Viktor, a SAS Institute Kft. üzleti analitika konzulense. Hozzáteszi: az adatok megfelelő menedzsmentje elengedhetetlenné válik. A személyes adatok kezelésének kitett rendszereket nemcsak azonosítani kell, hanem konkrétan meg kell tudni mondani, hogy a személyes adat milyen típusú, mi az adat életútja, mi történik vele, hogyan kezeljük.

De hogyan lássunk neki?

A SAS-nak erre ötlépéses javaslata van, aminek első fázisa az adathozzáférés. Ez a minden potenciálisan személyes adatot tartalmazó adatállományhoz való hozzáférést jelenti, legyen az bármilyen formában vagy formátumban tárolva.

Ezt követheti az adatfeltárás, az adatminőség-kezelés és az adatnyilvántartás kialakítása. Ezek azért fontosak, hogy kiderüljön, mi az adott adathalmazból a személyes adat, illetve hogy a rendszerekben milyen személyes adattípusok vannak. Emellett a heterogén struktúrákban az adatokat nagyon szerteágazóan tárolják, akár duplikáltan, néhol még nyomtatott változatban is, emiatt célszerű egy összesített adatnyilvántartást csinálni. "Vagyis legyen egy olyan leltár, ami leírja, hogy melyik személyes adattípus, hol, milyen formában, és milyen arányban szerepel" – emeli ki a szakértő.

További lépésként javasolt egy megfelelő adatvagyon-gazdálkodási funkció is, ami segít folyamatosan, átláthatóan, konzisztensen kezelni a személyes adatokat, folyamatokat, és az érintett szerepköröket. Megmondja például, hogy mi az adott adattípus definíciója, milyen adatelemekből áll, kik az érintett adattal kapcsolatos szereplők és mi az adat életútja. Szász Viktor szerint ma még nagyon kevés helyen található az adatokkal felelősen gazdálkodó data office.  

Adattörlés kihívásokkal

Az egyik, ha nem a legfontosabb lépés az adatok védelmének a biztosítása. A törvény ennek kapcsán előírja, milyen adattörlési, maszkolási, enkriptálási technikákat kell alkalmazni. "A klasszikus rendszerekben az egyszerű törlés nem minden esetben kivitelezhető, mert romba döntheti a rendszer működését. Technológiailag ugyan nem okoz problémát az adattörlés, de az inicializálási része biztosan kihívás. Magyarországon ugyanis az adattárházak zöme túltelített, emiatt nincs hely arra, hogy előbb inicializáljunk, majd lefuttassunk egy teljes törlést, az adatkezelési hozzájárulási, vagyis a consent management alapján" – hívja fel a figyelmet a szakértő.

Szász Viktor
SAS Institute Kft.

Megjegyzi: proaktív adatelemzési célból használhatóak a személyes adatok –például csalásmegelőzésnél a vállalati, vagy intézményi vagyon megvédése érdekében. Marketing célra, ügyfél lemorzsolódás kivédésére vagy értékesítés céljára viszont – ha az ügyfél nem járult hozzá – a jövőben már nem használhatóak fel a személyes adatok.

Éppen ezért az új helyzetre valószínűleg új üzleti modellt is fognak építeni egyes szolgáltató vállalatok. Ilyen lehet például az ügyfélnek felajánlott árkedvezmény, ha cserébe hozzájárul a személyes adatainak jövőbeni kezeléséhez. Nemzetközi szinten már van erre példa, Magyarországon még nem tud ilyenről Szász Viktor.

Az ötödik lépés a belső kontroll és az audit, itt jön igazából elő az adatvédelmi tisztviselő jelentősége, akinek a feladata a transzparens áttekintés, és az, hogy beszámoljon a cégvezetésnek, auditornak, ha bármilyen incidens történt az adatokkal kapcsolatban. A tisztviselőnek tudnia kell, hogy mekkora a személyes adatok és az azokat feldolgozó folyamatok adott területekkel kapcsolatos kockázati kitettsége, kik a felelős szereplők, kik férhetnek az adatokhoz, milyen lekérdezések fordulnak elő, egészen odáig, hogy milyen oktatásra, korszerűsítésre, szoftverfrissítésre van szüksége az adott részlegnek az adatok megvédéséhez.

Az alapokat nem lehet megspórolni

A tapasztalatok azt mutatják, hogy az adatmenedzsment során nem a törzsadat-kezelési, adatvagyon-gazdálkodási projekttel kell indítani, hanem az alapokkal. Ha egy vállalati, intézményi rendszer nem képes algoritmizáltan, automatizáltan kimutatni, hol vannak személyes adattípusok, akkor előbb el kell végezni az első fázist, vagyis az adatfeltárást, profilozást, tisztítást – hívja fel a figyelmet a SAS szakértője. Jó hír, hogy az egész folyamat adatállományoktól függetlenül prototipizálható, azaz további adatkörök bevonása esetén a prototípus kiterjesztése kis erőforrással megvalósítható, hiszen ugyanazokat a lépéseket kell elvégezni.

Hozzáteszi: a GDPR kapcsán az adatmenedzsment teljes körű kiszervezése nem valószínű, tekintettel arra, hogy így jogilag a vállalkozó cég adatfeldolgozó lesz, és ezáltal neki kell megfelelnie a regulációnak. Az IT-cégek sem vállalják be ezt a feladatot, legfeljebb arra ügyelnek, hogy bizonyítsák azt, hogy a termékeik GDPR-kompatibilisek.

Ez nem azt jelenti ugyanakkor, hogy ne lehetne külső szakértőket bevonni csak azért, hogy az egyes folyamatokban támogatást nyújtsanak. A tanácsadó cégek emberei már meg is jelentek a vállalkozásoknál, és el is végezték a felméréseket, hogy a megfelelőséghez milyen lépéseket kell tenniük.

Milyen hasznot hoz a GDPR a cégek fejlődése szempontjából?

Már a korábbi pénzintézeti szabályozások nyomán elkezdtek nagy léptékben kiépülni az adattárházak Magyarországon. A GDPR bevezetésével a vállalatok továbbkorszerűsíthetik a folyamataikat, tisztában lesznek azzal, hogy milyen adatot hol tárolnak és kezelnek. A modernizáció során kiderülhet, hogy egyes korábbi rendszerek lekapcsolhatók, mert adott feladatok más többfunkciós rendszerben is elvégezhetők. A személyes adatokra vonatkozó vagyongazdálkodási feladatok pedig könnyedén kiterjeszthetőek lesznek a teljes vállalati adatvagyonra.

További várható pozitívum, hogy az ügyfelek a jövőben csak a számukra fontos témákban kapnak a cégektől megkeresést, ami növelheti az ügyfél elégedettséget. Az infrastruktúra korszerűsítésével csökkenhetnek a költségek, áttekinthetőek lesznek a folyamatok, a vállalatok elkezdhetnek adatvezérelten működni. Átalakul a vállalati szervezet, adatgazdaként előtérbe kerülnek az üzleti területek, nem úgy, mint régen, amikor az IT-részlegé volt az adat.

De mit szólnak a változásokhoz az olyan analitikai cégek, mint a SAS? Felmerülhet a kérdés, vajon a GDPR nem lehetetleníti-e el a munkájukat? Szász Viktor így válaszol: "Eddig nagyobb merítésből dolgoztunk, ami tele volt nem tiszta, azonosítatlan adatokkal. Ezekből kellett fontos üzleti lépéseket előrejelző tudást előállítani, prediktív analitikával, adatbányászati módszerekkel. A jövőben viszont pontosabb, tisztább, azonosított adatokkal tudunk dolgozni, nagyobb lesz a találati arányunk, még pontosabbak lesznek a modelljeink."