Hol kezdődik az adatvédelem?

​Az adatvédelmi előírások teljesítése meglehetősen összetett feladat, hiszen a szabályok rengeteg különféle információra, területre és rendszerre terjednek ki.
 

A legtöbb vállalatnak extra terhet jelent, hogy meg kell felelnie olyan adatvédelmi előírásoknak, mint például a GDPR. Ugyanakkor a kötelező körökön túl a megfelelőség egyben lehetőség is a szervezetek számára annak bizonyítására, hogy megfelelően gondoskodnak ügyfeleik adatainak biztonságáról. A Micro Focus szakértői ennek kiaknázására bemutatták azokat az alapvető lépéseket, amelyeket követve az adatvédelmi előírások egyszerűbben teljesíthetők.
 
Hol az adat?
 
Ahhoz, hogy tudjuk, pontosan mit is kell megvédenünk, első lépésként meg kell keresni és összesíteni azokat az elemeket, amelyekre a védelem vonatkozik. Ezt az adatvédelmi szabályok is előírják a szervezeteknek, melyeknek fel kell térképezniük, és be kell azonosítaniuk, hogy milyen személyes adatokat fogadnak be, tárolnak, kezelnek és osztanak meg másokkal. Ez magában foglalja annak nyomon követését is, hogy milyen alkalmazások kezelik, illetve milyen munkafolyamatok érintik ezen információkat. A cégeknek emellett azt is összegezniük kell, hogy pontosan hol tárolják az adatokat.
 
Az átláthatóság jegyében érdemes létrehozni és naprakészen tartani egy nyilvántartást a személyes adatokról. A vállalatoknak azonosítaniuk kell az összes olyan strukturált adattárat, amely személyes adatokat tartalmazhat, beleértve a régebbi, már nem aktív adatbázisokat is.
 
A legnagyobb kockázat általában nem is a nagy, központi adattáraknál jelentkezik, hanem inkább a „peremen” található információk jelentenek nagyobb veszélyt. Ilyenek például az adatbázisokból készített, másokkal is megosztott kivonatok vagy éppen a laptopokon lévő ügyféllisták. Emellett a strukturálatlan adathalmazokban, különféle dokumentumokban, kép-, videó- és hangfájlokban is előfordulhatnak személyes adatok.
 
A személyes adatok beazonosítása után gondoskodni kell arról, hogy azok ne szivároghassanak ki a cégtől akár egy véletlen baleset, akár egy célzott támadás során.
 
A legtöbb adatvédelmi előírás arra is kötelezi a vállalatokat, hogy az ügyfeleket kérés esetén megadott határidőn belül tájékoztassák arról, hogy pontosan milyen adatokat tárolnak róluk, és milyen további felekkel osztották meg azokat. Minden olyan szervezetnek, amely hetente több ilyen megkeresést kap, érdemes skálázható folyamatokat kialakítania ahhoz, hogy hatékonyan tudja végrehajtani a kapcsolódó kereséseket. Ezek a folyamatok arra is alkalmasak, hogy a cégek különféle forrásokból összegyűjtsék az információkat, majd egyetlen "csomagban" összesítsék azokat. Erre azért is szükség lehet, hogy igény esetén másolatot tudjanak készíteni és kiadni az érintetteknek a személyes adataikról.
 
A törlésről se feledkezzünk meg!
 
Az ügyfelek arra is jogosultak, hogy az adatkezelő szervezetektől kérjék a rájuk vonatkozó adatok törlését vagy azok alkalmatlanná tételét az azonosításra. Ez utóbbira jó módszer lehet, ha a cég eleve formátummegőrző titkosítást használ az adatok védelméhez.