ACER_09_SWIFT5 ACER_09_SWIFT5 ACER_09_SWIFT5 Advertisement

Viete, kde máte dáta relevantné pre GDPR?

0

Európske nariadenie GDPR (skr. General Data Protection Regulation) je v platnosti už niekoľko týždňov, no pre mnoho firiem je stále ešte veľkou neznámou a stále k nemu hľadajú cestu. A ani statusom „GDPR compliant“ sa nič nekončí. Treba pamätať aj na to, že nejde o jednorazovú záležitosť, tento status si treba aj udržať. Ak príde dopyt od dotknutej osoby či nebodaj kontrola, musíte presne vedieť a preukázať, kde a aké dáta máte uložené.

Dokážete lokalizovať všetky osobné dáta?

GDPR zvyšuje nároky na všetky firmy, ktoré nejakým spôsobom pracujú s osobnými údajmi ďalších osôb, nech sú v akejkoľvek podobe. Aby organizácie vyhoveli, museli zmeniť mnohé zo zavedených procesov a spôsobov, ako uchovávané dáta identifikujú a ako s nimi narábajú. Alfa a omega je detailná evidencia o spracúvaných dátach: na akom právnom základe, na aký účel sa spracúvajú a kde sú uložené. Samozrejme, podľa nariadenia by ste mali uchovávať osobné dáta len v minimálnom rozsahu. Nemali by teda byť uložené duplicitne a musia byť bezchybné.

Povinnosti firiem sa tu však nekončia. Ak subjekt údajov (napríklad klient) požiada firmu o náhľad na to, ako sú spracúvané jeho osobné údaje, musí mu firma vyhovieť. To isté platí aj vtedy, ak si vyžiada detailnejšie informácie, napríklad o cieľoch ich spracovania, prípadne požiada o výmaz svojich údajov. A práve táto operácia vzbudzuje najväčšie obavy.

Z teoretického hľadiska to znamená, že firma presne eviduje v rámci svojej politiky správy informácií dáta v celom životnom cykle (data in transit, data in rest, data in process), je schopná priradiť dátam správny význam (z hrubých dát sa tým stávajú informácie o osobných údajoch) a identifikovať všetky lokality/úložiská daných dát, a to vrátane všetkých systémov, databáz, zdieľaných úložísk, neštruktúrovaných dokumentov a archivačných médií. Z praktického hľadiska je potom nevyhnutné nájsť relevantný spôsob, ako tieto údaje najprv identifikovať a následne zistiť, na koľkých miestach a ako sú uložené. Retenčná politika potom určuje, ktoré údaje a ako dlho musia byť držané zo zákonných a obchodných dôvodov.

Teoretická požiadavka na okamžité vymazanie údajov zo strany dotknutej osoby sa preto nemusí stretnúť s očakávanou reakciou. Niektoré údaje jednoducho nemožno z objektívnych dôvodov vymazať na požiadanie ani okamžite, a to aj z technických príčin (naprí­klad staršie archivácie na špeciálnych fyzických nosičoch).

Prehľad, prehľad, prehľad

Samostatnou kapitolou môže byť uplatnenie práva subjektu údajov na prenášateľnosť dát, t. j. možnosť subjektu získať v štruktúrovanej podobe informácie o všetkých osobných údajoch, ktoré o ňom správca uchováva na základe jeho súhlasu alebo zmluvy. Pre potreby GDPR musí firma na základe rizikovej analýzy vypracovať detailné podklady o súčasnom spôsobe spracovania a uchovávania dát vrátane identifikácie všetkých čiastkových operácií. Úplný základ z pohľadu IT je zistenie, kde sú dáta uložené v štruktúrovanej forme, teda v štandardných databázach a aplikačných systémoch.

Kladivo na neštruktúrované dáta

Kým analyzovať štruktúrované dáta vedia firmy takpovediac na kolene, oveľa problematickejšie z hľadiska IT analýzy je identifikácia dát v neštruktúrovanej forme. GDPR sa totiž vzťahuje aj na akýkoľvek osobný údaj v tabuľkách, textových dokumentoch či naskenovaných obrázkoch, ktoré napríklad zákazníci zdieľajú pri elektronickej korešpondencii. Identifikovanie dát obsiahnutých v takýchto dokumentoch je oveľa komplikovanejšie aj preto, že implementovať komplexné riešenie na analýzu a správu takýchto dát v krátkom čase je takmer nemožné.

Existujú však nástroje, ktoré dokážu pomôcť pri lokalizácii a analýze dát. Jeden z takýchto príkladov je virtuálna sonda EMARK Mole, ktorá umožňuje prehľadať servery a adresárovú štruktúru na úrovni uložených dokumentov (.txt, .docx, .xlsx, .pdf a pod.). Vykoná frekvenčnú a pozičnú analýzu údajov a slov obsiahnutých v týchto dokumentoch a na základe špeciálnych algoritmov potom navrhne, ktoré dokumenty môžu byť relevantné pre GDPR.

Aplikačná analytická vrstva sondy následne umožňuje ich ďalšiu analýzu (napríklad presnú lokalizáciu osobných údajov, čo obsahujú, kto je tvorcom týchto dokumentov, kto má k nim prístup a v akom rozsahu). V tomto kontexte bude asi typizovaná úloha vyhľadávanie konkrétnych osôb (či už na základe zoznamu, alebo individuálne) a s nimi súvisiacich štruktúrovaných a neštruktúrovaných dát.

GDPR redefinuje aj rizikový manažment

Ďalšia zásadná oblasť, ktorú musia firmy pod vplyvom GDPR meniť, je vlastný prístup k analýze rizík a analýze dosahu na práva dotknutej fyzickej osoby, pretože GDPR pozitívne zavádza do praxe prístup k dátam založený na ohodnotení rizika, ktorý bol doposiaľ doménou len primárne finančného sektora.

Pokiaľ v rámci zjednodušenia vynecháme už toľko diskutované konkrétne analýzy dosahu na spracovanie osobných údajov (DPIA) v prípadoch definovaných v nariadení, kde spracovanie môže viesť k vysokým rizikám pre práva a slobody subjektov údajov, musíme začať už na úrovni hodnotení inherentných rizík spracovania v rámci spracovateľských operácií.

Ešte predtým však organizácie stoja pred kľúčovým rozhodnutím o výbere vlastného vhodného prístupu pri základnej analýze rizík, ktoré vyplýva z povinnosti pozerať sa na riziká aj z pohľadu ochrany osobných údajov subjektu, a nie len z oblasti klasického dosahu na IT aktíva firmy.

Ako na to? Jedna z možností je pridať do procesu analýzy rizík metodiky na identifikáciu hrozieb v oblasti ochrany súkromia (privacy threat modelling), ako sú napríklad LINDDUN a časti STRIDE, a na výsledné riziká pre aktíva firmy nahliadať ako na vektor zložený z klasického IT rizika pre aktíva firmy a rizika pre práva a slobody daných subjektov osobných údajov v rámci skupiny aktív, ktoré podporujú alebo umožňujú spracovávanie osobných údajov. Tento prístup však väčšinou nemožno aplikovať bez použitia podporného komplexného softvéru na rizikový manažment a predovšetkým dostatočného času a relevantných zdrojov na analýzu a implementáciu.

Pozor na „jednoduché“ riešenia

Komplexnosť práce s osobnými údajmi je značná a problém s dlhodobou a kvalitnou implementáciou technických opatrení na splnenie požiadaviek GDPR preto ani nemožno vyriešiť jedným univerzálnym nástrojom či prístupom (cloud, šifrovanie), tak ako to niektorí z dodávateľov IT navrhujú.

To, či firmy budú s údajmi vedieť pracovať efektívne, definuje najmä jednoznačnosť priradenia technických opatrení k identifikovaným rizikám a efektívnosť kombinácie procesných prístupov a podporných nástrojov na požadované výstupy. Pokiaľ sa toto podarí, prispôsobenie sa požiadavkám GDPR môže byť vo výsledku „len“ rozumná minimálna záťaž, ale zato s veľkou pridanou hodnotou pre bezpečnosť dát v rámci organizácie.

Lukáš Neduchal, Advisory Services Director, EMARK

Všetky autorove články
GDPR dáta

Pridať komentár