200-ból 31 kiló papírhulladék szenzitív adatokat tartalmaz

A Fellowes 2013 óta folyamatosan kutatásokat végez a cégek és magánszemélyek adatkezelési szokásairól, amelyekből eddig is számos érdekes adatra derült fény. Megbízásból az Inspira Research végzett egy friss kutatást egy szeméttelepen, ahol 200 kg szelektíven gyűjtött papírhulladékot vizsgáltak át.

Ebből 30,8 kg tartalmazott olyan szenzitív adatokat, amelyek visszaélésre lettek volna alkalmasak.

2015-ben, még a GDPR bevezetése előtt is végeztek ugyanilyen kutatást, akkor is hasonló eredmény született. Négy éve az átvizsgált szemétből 37 kg került megsemmisítés nélkül a kukába. A helyzet tehát nem változott lényegesen, ami annál is meglepőbb, mert 2018 májusa óta már a komoly szankciókkal járó GDPR-nak kell eleget tenniük a vállalatoknak.

Bár a környezetvédelmi szempontok vizsgálatára nem fókuszált a kutatás, az azért látszik, hogy még a szelektív gyűjtés is gondot jelent, gyakran okoz nehézséget, annak eldöntése, hogy mit, hova dobjunk. Ezért landolhatnak a papírok között MR és röntgenleletek például, nem beszélve azokról a személyes és érzékeny adatokról, ami ezekből kiderül a páciensről. De egyéb orvosi iratokat is felfedeztek a kutatók, ilyenek voltak azok a receptek, amelyeket nem váltottak ki. Ezekből az illető egész egészségügyi állapotára elég pontosan lehetett következtetni.

A megsemmisítés nélkül kidobott papírokból több izgalmas és természetesen adott esetben visszaélésre alkalmas eset bontakozott ki. Az egyik legérdekesebb egy menedzseré volt, aki 25 évig dolgozott egy nemzetközi vállalatnál, majd egy másik cég ügyvezető tulajdonosa lett. A cég alapanyag beszállítója a korábbi munkahelye és egy másik hasonló vállalat volt, a profilja szerint pedig üzletviteli és egyéb tanácsadást végez nagy gyógyszercégek számára. A megtalált adatok rendszerezett és összetűzött levelezést tartalmaztak a fent említett cég és a legnagyobb gyógyszervállalatok között, akik egyébként egymásnak versenytársai. A levelezések témája különböző gyógyszergyártásnál használt alapanyagok műszaki leírása, azok beszerzése volt, de egyeztették a beszerzési árakat is. A papírok között a konkrét megrendeléseket is megtalálták a kutatók pontos mennyiséggel, árral, szállítási határidővel, így 2010 és 2018 között a teljes folyamat visszakövethető volt a résztvevők nevével és e-mail címeivel együtt.

A szemétben ezeken kívül ismét találtak önéletrajzokat, diplomamunka-értékelést, továbbá családi fotókat is, amelyeket szintén érzékeny információként kezelhetünk, hiszen a GDPR szerint a természetes személyre vonatkoztatható bármilyen információ személyes adatnak minősül. Több mint 8 kg szerződés került elő a szemétből, összesen 468 darab. Egy 2019-es adásvételi szerződés is a kukában végezte, amelyben az ingatlan összege mellett szerepelt a szerződőfelek neve, elérhetősége az összeg kifizetésének részleteivel.

A GDPR bevezetése óta gyakran hallani, hogy a cégek még nem készültek fel rá és nem kezelik profi módon az adatainkat. De most egyértelműen kiderült, hogy a magánemberek sem kezelik kellő körültekintéssel a róluk bizalmas adatokat tartalmazó irataikat. Számtalan esetben megsemmisítés nélkül dobjuk ki a papírjainkat, miközben a GDPR – nagyobb tudatosságot feltételezve e téren – éppen arra biztat, hogy kérjük ezt számon a cégeken is.

Emellett természetesen a vállalati adatkezelés is nagy hiányosságokat mutat, hiszen másfél évvel a GDPR bevezetése után a megsemmisítés nélkül kidobott iratok között céges adópapírok, alvállalkozói szerződések, együttműködési megállapodások, üzleti tervek is szép számban előfordultak, ezek aránya nem csökkent érdemben a GDPR hatására.