Olvasási idő: 3 perc
Milyen feladatokat is jelent a GDPR-megfelelés az adatvagyon oldaláról? Elsőként a védendő adatvagyont és az ehhez tartozó adatkezelési folyamatokat kellett felmérni. Mondhatni, természetes, hogy ilyenkor bukkannak elő olyan folyamatok, amelyeket még finomítani kell vagy éppen kitalálni, felépíteni.
Az adattárházas megvalósító munka ezután kezdődhetett. Létrehoztunk egy központi metaadattárat, ami pontosan leírja, hogy az adatvagyon személyes adatokat tartalmazó elemei hol találhatók, milyen adatkezelésben vesznek részt, illetve mire használják azokat. Ebben a metaadattárban írtuk le a korábban már említett adatkezelési folyamatokat is, és itt állítottuk be az egyes adatokra jellemző paramétereket.
A GDPR felkészülés során mi lehet a legtriviálisabb tanácsa egy adatvédelmi jogásznak? Dr. Frivaldszky Gáspár ügyvédet, az ABT Adatbiztonsági Tanácsadó Kft. információbiztonsági vezető auditorát idézem: Az adattakarékosság elve értelmében az, hogy lehetőleg ne kezeljünk személyes adatokat. Ennek a célnak kiválóan meg tudunk felelni az anonimizálással. A GDPR-t ugyanis nem kell alkalmazni az olyan adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett többé nem azonosítható. Az anonim adatok ugyanis nem személyes adatok. Erre vonatkozóan egyébként a szingapúri adatvédelmi hatóság pár hete adott ki egy nagyon hasznos tájékoztatót.
A következő nagy kihívás az volt, hogy az anonimizálás során úgy feleljünk meg a követelményeknek, hogy közben az üzleti célok se sérüljenek. Ha például egy ügyfél édesanyja nevét kell láthatatlanná tenni, az kevesebb problémát okoz az ügyféltörzset felhasználó riportokban, de ha az ügyfél tranzakciótörténete vagy geo-demográfiai adatai válnak elérhetetlenné, az már könnyen megakaszthat egy korábban egyébként automatikusan lefutó folyamatot; riportot vagy ügyfélszegmentációt.
A következő lépésnél, az adattisztításnál is épp ilyen fontos hogy figyeljünk az üzleti szempontokra. Az adattisztítási eljárások általában erősen támaszkodnak a személyes adatokra, ezen adatok alapján képzünk ügyfél csoportokat vagy összerendeléseket. Az anonimizáláson, maszkoláson átesett ügyfelek esetén a korábbi adattisztítási algoritmusok módosítása és kiegészítése is szükséges. Egy megoldás lehet a maszkolt ügyfelekből korábban képzett ügyfélcsoportok és hozzárendelések „befagyasztása”, ezek a csoportok vagy hozzárendelések megőrzik legutóbbi állapotukat, a napi adattisztítási folyamatban már nem (vagy csak részlegesen) vesznek részt.
A több hónapos munkánkat röviden összegezve elmondható, hogy több ezer ügyfelet és adatait kezelő szervezetnél ugyan hosszú előkészítést, sok munkát igényel a GDPR-megfelelési folyamat, Ugyanakkor a törvényi megfelelésen túl a végeredmény átláthatóbb adatkezelést és folyamatokat, valamit pontosabb és rendszerezettebb adatokat jelent a szervezet számára. A GDPR-megfelelésre előkészítő adattárház projektnek van még egy fontos tapasztalata: időt kell szánni arra, hogy minden érintett terület egy nyelvet beszéljen: az üzleti oldal, ahol a korrekt ügyfél kiszolgálást és az értékesítési célokat tartják szem előtt, az új adatkezelési elveket értelmező jogi szakemberek és a megvalósítást végző adattudósok.
A Hiflylabs üzleti értéket nyer ki az adatokból. A csapat magja jó 15 éve dolgozik ezen, ma már több mint 70 lelkes munkatárssal együtt.