Csak elektronikus adatokra koncentrálok
Mindenkinek csak az e-adatok jönnek be, ha a GDPR kerül szóba, pedig a papírlapon épppúgy kialakulhat adatvédelmi incidens", mondta Kreutz László, a Fellows Hungary Kereskedelmi Kft. ügyvezetője. Ha például egy munkahely irattára ebédlőként is szolgál, akkor naplózni kell minden nap, hogy ki hánykor lépett be oda, akkor is ha, csak kávézni ment ki.
Kreutz munkatársai szeméttelep-kutatást végeztek szúrópróbaszerűen, hogy bizonyítsák, a cégek is kezelnek gondatlanul szenzitív -papíron rögzített- infókat. Egy ilyen szelektív hulladékgyűjtő telepen történt spontán "razzia" keretében találtak neves fejvadász cégtől 1000 darab szakmai életrajzot (18,3 kilogrammnyit), de akadt dokumentum patikától (24,5 kg.), ingatlancégtől (6,5 kg.), oktatási központtól (10,4 kg. tele személyes adatokkal, például diákigazolványmásolatokkal), pályázati anyag (aláírási címpéldányokkal, amiket), épülettervező irodától (5,2 kg., amit akár terrorcselekmény végrehajtására is lehetett volna használni), de akadtak családi háztartás adópapírjai, számlái is (amiket felhasználva elvileg el lehetett volna járni az érintett polgárok nevében a közüzemi cégeknél).
Mindezek átolvasása cégen kívüli idegenek által adatvédelmi incidensnek számít -hiába dobták ki e papírokat a cégek a székhelyükről-, hiszen le kellett volna darálniuk őket. A legmeghökkentőbb az, hogy a 169 kilónyi vizsgált iratból 135 kilogramm mindössze 9 vállalathoz tartozott. Ott nagyban űzték a gondatlan adatkezelést. A Fellows Hungary által 220 KKV körében végzett kutatás szerint a megkérdezettek 22 százaléka vallotta be, hogy estére bizony elöl maradnak iratok az irodában a asztalon, 13 százalék pedig lehetségesnek tartotta, hogy a napi szemétben bizalmas vagy kényes infók landoltak.
Minden mehet emailen
A belső céges folyamatokat is sok helyen átszervezik majd, hogy bizonyos webes felületeken menjen a kommunikáció. Ha eddig az volt a módi, hogy valamelyik vállalatnál egy alkamlazottnak béremelést kellett adni, akkor az illetékes kolléga -rendszerint a HR-es- írt egy emailt a jövedelemkifizetésre szerződtetett alvállalkozó cégnek, hogy X.Y.-nak jövő hónaptól ekkora összeget folyósítsanak. Ezt ezentúl biztonságosabban kell elvégezni. Előfordulhat, hogy a bérszámfejtő cégtől visszajön egy válaszlevél, amiben értesítik a HR-munkatársat, "minden ilyen email törlésre kerül, megkérjük, biztonságos csatornán küldje el az értesítést", s neki be kell pötyögnie egy dedikált, jelszavas üzenőfelületre az értesítést.
Kiskorú hírlevél-feliratkozó állítása önmagában elég
Meg kell kérdezni tőle, hogy betöltötte-e a 16. életévét, ilyen rubrika mindig legyen az adatkezelési tájékoztatóban. Természetesen nem várható el egy webáruháztól, hogy minden fogyasztójának az életkorának hitelességéről meggyőződjék. De ha kiderül, hogy az illető még nem volt 16, incidens történt.
Egyszer megcsináljuk, és kész
"Az adatvédelem szisztematikus, folyamatos és rendszeres tevékenység, amit időnként felül kell vizsgálni," hangsúlyozta Kuti Anita, a p2m Informatika Kft. információbiztonsági szakértője, aki szerint a GDPR életbe lépése csak "egy út kezdete" minden cég számára. Kuti a praxisában látott már néhány bizarr példát. Kedvence a ragadós (post it) cetlikkel körberakott képernyő, ahol mindenki számára láthatóan virítanak a jelszavak. Vagy a billentyűzet aljára "rejtett" jelszó.
De az excel táblázatok is veszélyes zónák. Kuti kedvence az a CRM-rendszer, amibe bemásolták a LinkedInről és a Facebookról az érintettek arcképeit is. Nos, erre a GDPR értelmében már nem lesz lehetőség. Mert "a kényelem a hivatalnak vajon megfelelő jogalap?", tette fel a költői kérdést Kuti.
Babos János, a Process Solutions ügyvezető-partnere 165 pontos feladattáblával dolgozott, amikor cégét GDPR-kompatibilissá kellett tenni. "Ezt le lehet vinni 120-130-ra, de kis cég sem úszhatja meg rövidebben." Babosék 1200 órában belső és 400 órában külső tanácsadókat vettek igénybe e folyamat során.
Minden emailcím személyes adat
Az [email protected] vagy [email protected] nem személyes adat. Azok az emailek azok, ahol érthetően szerepel a címzett polgári neve vagy művészneve. "A névből képzett email személyes adat", mondta Dr. Kemény Edmond.
Több adatot is gyűjthetek, mint amennyire szükségem van
"Nem lehet kötelező feltétele, illetve nem tárgyalható (non-negotiable) kritériuma egy szolgáltatásnak olyan adat gyűjtése, ami nem tartozik a szolgáltatáshoz", mondta Dr. Detrekői Zsuzsa, a DIMSZ - Adatvezérelt marketing ügyvédje. Amikor például a BKK buszjegyet ad el, nem teheti a tranzakció feltételévé, hogy a leendő utasnak kötelező legyen megadnia bármilyen adatot, vagy a szúnyogirtó app sem kérhet fotókat kötelező jelleggel.
A személyes adatok csak konkrét adatok
Tévhit, hogy a név, lakcím, személyes emailcím, telefonszám, személyi szám, személyi igazolványszám, útlevélszám, TAJ-szám, és hasonlók számítanak csak személyes adatoknak. Egyrészt azért, mert a testmagasság, a melltartóméret, a lábfejméret és más hasonló testi adatok is ide tartoznak, s ezeket nem feltétlenül az egészségipar használja, hanem a ruhákkal kereskedő webáruházak is.
Másrészt "az azonosíthatóság nem fetltélenül névszerűség. Ami egy valakit azonosít, például egy személyes kód egy applikációban, az ugyanolyan személyes adat, mint például a név vagy a telefonszám", mondta Dr. Horváth Katalin. "Ha egy csoportból rá tudok mutatni, hogy ő az," például egy zömében fekete hajúakból álló munkahelyi kollektívában az egyetlen szőke hajú munkatársra, hogy "az a szőke hajú recepciós", az is személyes adat.
"Aki egyedi kódokkal kezel", egy személy által létrehozott "GPS-koordinátákat, fizikai jellemzőket, gazdasági, kulturális, szociális infókat, az is személyes adatot kezel".
Eszetlenül törölnöm kell mindenféle adatot
Válogatás nélkül törölni nem szabad. Vannak bizonyos helyzetek, amikor nem kell törölni, ilyen a vélemény, a jogi kötelezettség teljesítése (pl. számviteli törvény), a népegészségügyi közérdek, vagy a jogi igények teljesítése (pernél bizonyíték), hangsúlyozta Dr. Horváth Katalin.
Ha az érintett nem tiltakozik, akkor megtarthatom az adatát
"Az adatkezelési tájékoztatóra történő reagálásra határidőt kell adnunk az érintetteknek, de ha nem nyilatkozik az illető, le kell írnunk a listáról", mondta Dr. Detrekői Zsuzsa.