Az eddigi tapasztalatok azt mutatják, hogy számos technikai és megvalósíthatósági probléma merül fel az Európai Unió általános adatvédelmi rendelete, a tavaly május óta kötelezően alkalmazott GDPR kapcsán az adatbiztonsági kontrollok technológiai bevezetése és működtetése során.
A legnagyobb kihívást továbbra is az éles rendszerekben jogalap nélkül tárolt személyes adatok törlése, valamint a teszt- és fejlesztői környezetek deperszonalizációja jelenti.Hazai és nemzetközi szállítók egyaránt rendelkeznek a deperszonalizációra használható eszközökkel, de egyszerűbb eljárásokhoz akár saját programok is készíthetők. Az egyes deperszonalizációs eszközök és módszerek különböző előnyökkel és hátrányokkal járhatnak, ezért azok megválasztását érdemes szakértőkre bízni.
A GDPR alkalmazása során továbbra is az egyik legfontosabb, hogy az adatkezelők tisztában legyenek a kezelt adatok körével, és rendelkezzenek megfelelő adattörlési vagy deperszonalizációs stratégiával, illetve gyakorlati megoldásokkal.
„A GDPR egyértelműen előírja a személyes adatokra vonatkozó adattörlési képességet, amelyet a „privacy by design” és „privacy by default” elvek mentén már a rendszerek kialakításánál és fejlesztésénél figyelembe kell venni.
A deperszonalizáció egy alternatív megoldást jelenthet, ami nem egyenértékű a törléssel, azonban hasonló eredményre vezet, amennyiben az adat és a természetes személy közötti kapcsolat végérvényesen megszüntetésre kerül.Ehhez megfelelő deperszonalizációs koncepcióra és annak megvalósítására van szükség, amit alapos felmérésnek és tervezésnek kell megelőznie, hogy az adatkezelő elkerülje az eljárásból eredő kockázatokat. A deperszonalizáció megvalósítása költségigényes és hosszas folyamat, egy komplex informatikai környezetben akár többéves projektet és sok tízmillió forintos költséget is jelenthet” – mutatott rá Szöllősi Zoltán, a Deloitte technológiai tanácsadás csoportjának szenior menedzsere.
A személyesadat-deperszonalizáció elsődleges célja, hogy további információk felhasználásával se legyen megállapítható, hogy a személyes adat mely konkrét természetes személyre vonatkozik, tehát az adat és a természetes személy közötti kapcsolat végérvényesen megszűnjön.A deperszonalizációs folyamat tulajdonképpen az adatok transzformálását jelenti,
A deperszonalizáció másik fontos szempontja, hogy az értékes adatvagyont csak olyan mértékben tegyük felismerhetetlenné, hogy az kielégítse a jogszabályi elvárásokat, de ugyanakkor későbbi üzleti, statisztikai felhasználásra alkalmas maradjon (pl. üzleti kimutatások, statisztikák készítésére). Nem könnyű megtalálni a megfelelő egyensúlyt az üzleti érdekek és a jogszabályi megfelelés között, ezért is fontos a deperszonalizációs stratégia megfelelő kialakítása és gyakorlati alkalmazása” – tette hozzá Barta Gergő, a Deloitte technológiai tanácsadás csoportjának szenior tanácsadója.
