Európske nariadenie GDPR (skr. General Data Protection Regulation) je v platnosti už niekoľko týždňov, no pre mnoho firiem je stále ešte veľkou neznámou a stále k nemu hľadajú cestu. A ani statusom „GDPR compliant“ nič nekončí. Treba tiež pamätať na to, že nejde o jednorazovú záležitosť, tento status si treba aj udržať. Ak príde dopyt dotknutej osoby, či nebodaj kontrola, musíte presne vedieť a preukázať kde a aké dáta máte uložené.
Dokážete lokalizovať všetky osobné dáta?
GDPR zvyšuje nároky na všetky firmy, ktoré nejakým spôsobom pracujú s osobnými údajmi ďalších osôb, nech sú v akejkoľvek podobe. Aby organizácie vyhoveli, museli zmeniť mnohé zo zavedených procesov a spôsobov, akým uchovávané dáta identifikujú a ako s nimi narábajú. Alfou a omegou je detailná evidencia o spracovávaných dátach, na základe akého právneho základu, za akým účelom sa spracúvajú a kde sú uložené. Samozrejme podľa nariadenia by ste mali uchovávať osobné dáta len v minimálnom rozsahu. Nemali by teda byť uložené duplicitne a musia byť bezchybné.
Povinnosti firiem tu však nekončia. Ak subjekt údajov (napríklad klient) požiada firmu o náhľad na to, ako sú spracúvané jeho osobné údajov, musí mu firma vyhovieť. To isté platí aj vtedy, ak si vyžiada detailnejšie informácie, napríklad o účeloch ich spracovania, prípadne požiada o výmaz svojich údajov. A práve táto operácia vzbudzuje najväčšie obavy.
Z teoretického hľadiska to znamená, že firma presne eviduje v rámci svojej politiky správy informácií dáta v celom životnom cykle (data in transit , data in rest, data in process), je schopná priradiť dátam správny význam (z hrubých dát sa tým stávajú informácie o osobných údajoch) a identifikovať všetky lokácie/ úložiska daných dát, a to v rátanie všetkých systémov, databáz, zdieľaných úložísk, neštruktúrovaných dokumentov a archivačných médií. Z praktického hľadiska je potom nutné nájsť relevantný spôsob, ako tieto údaje najprv identifikovať a následne zistiť na koľkých miestach a ako sú uložené. Retenčná politika potom určuje ktoré údaje a ako dlho musia byť držané zo zákonných a obchodných dôvodov.
Teoretická požiadavka na okamžité vymazanie údajov zo strany dotknutej osoby sa preto nemusí stretnúť s očakávanou odozvou. Niektoré údaje jednoducho nie je možné z objektívnych príčin vymazať na požiadanie, ani okamžite aj z technických príčin (napríklad staršie archivácie na špeciálnych fyzických nosičoch).
Prehľad, prehľad, prehľad
Samostatnou kapitolou potom môže byť uplatnenie práva subjektu údajov na prenositeľnosť dát, t.j. možnosť subjektu získať v štruktúrovanej podobe informácie o všetkých osobných údajoch, ktoré o ňom správca uchováva na základe jeho súhlasu alebo zmluvy. Pre potreby GDPR musí firma na základe rizikovej analýzy vypracovať detailné podklady o súčasnom spôsobe spracovania a uchovávania dát, vrátane identifikácie všetkých čiastkových operácií. Úplný základ z IT pohľadu je zistenie, kde sú dáta uložené v štruktúrovanej forme, teda v štandardných databázach a aplikačných systémoch.
Kladivo na neštruktúrované dáta
Kým analyzovať štruktúrované dáta vedia firmy takpovediac na kolene, ďaleko problematickejšie z hľadiska IT analýzy je identifikácia dát v neštruktúrovanej forme. GDPR sa totiž vzťahuje aj na akýkoľvek osobný údaj v tabuľkách, textových dokumentoch či naskenovaných obrázkoch, ktoré napríklad zákazníci zdieľajú pri elektronickej korešpondencii. Identifikovanie dát obsiahnutých v takýchto dokumentoch je oveľa komplikovanejšie aj preto, že implementovať komplexné riešenie pre analýzu a správu takýchto dát v krátkom čase je takmer nemožné.
Existujú však nástroje, ktoré dokážu pomôcť pri lokalizácii a analýze dát. Jedným z takýchto príkladov je virtuálna sonda EMARK Mole, ktorá umožňuje prehľadať servery a adresárovú štruktúru na úrovni uložených dokumentov (.txt, .docx, .xlsx, .pdf a pod.). Vykoná frekvenčnú a pozičnú analýzu údajov a slov obsiahnutých v týchto dokumentoch a na základe špeciálnych algoritmov potom navrhne, ktoré dokumenty môžu byť „GDPR relevantné“.
Aplikačná analytická vrstva sondy následne umožňuje ich ďalšiu analýzu – napríklad presnú lokáciu osobných údajov, čo obsahujú, kto je tvorcom týchto dokumentov, alebo kto má k dokumentom prístup a v akom rozsahu. V tomto kontexte bude asi typizovaná úloha vyhľadávanie konkrétnych osôb (či už na základe zoznamu alebo individuálne) a s nimi súvisiacich štruktúrovaných a neštruktúrovaných dát.
GDPR redefinuje aj risk manažment
Ďalšou zásadnou oblasťou, ktorú musia firmy pod vplyvom GDPR meniť je vlastný prístup k analýze rizík a analýze dopadov na práva dotknutej fyzickej osoby, pretože GDPR pozitívne zavádza do praxe prístup k dátam, založený na ohodnotení rizika, ktorý bol doposiaľ doménou jen primárne finančného sektora.
Pokiaľ, v rámci zjednodušenia, vynecháme už toľko diskutované konkrétne analýzy dopadu na spracovanie osobných údajov (DPIA) v nariadení definovaných prípadoch, kde spracovanie môže viesť k vysokým rizikám pre práva a slobody subjektov údajov, musíme začať už na úrovni hodnotení inherentných rizík spracovania v rámci spracovateľských operácií.
Pred tým ale organizácie stoja pred kľúčovým rozhodnutím o výbere vlastného, vhodného prístupu pri základnej analýze rizík, ktoré vyplýva z povinnosti pozerať sa na riziká aj z pohľadu ochrany osobných údajov subjektu a nie len z oblasti klasického dopadu na IT aktíva firmy.
Ako na to? Jednou z možností je pridať do procesu analýzy rizík metodiky pre identifikáciu hrozieb v oblasti ochrany súkromia (privacy threat modelling) ako sú napríklad LINDDUN a časti STRIDE a na výsledné riziká pre aktíva firmy nahliadať ako na vektor zložený z klasického IT rizika pre aktíva firmy a rizika pre práva a slobody daných subjektov osobných údajov v rámci skupiny aktív ktoré podporujú, alebo umožňujú spracovávanie osobných údajov. Tento prístup však nie je možné väčšinou aplikovať bez použitia podporného komplexného risk management softvéru a predovšetkým dostatočného času a relevantných zdrojov pre analýzu a implementáciu.
Pozor na „jednoduché“ riešenia
Komplexnosť práce s osobnými údajmi je značná a problém s dlhodobou a kvalitnou implementáciou technických opatrení pre splnenie požiadaviek GDPR preto ani nie je možné vyriešiť jedným univerzálnym nástrojom či prístupom (cloud, šifrovanie), tak ako to niektorí z IT dodávateľov navrhujú.
To, či firmy budú s údajmi vedieť pracovať efektívne definuje najmä jednoznačnosť priradení technických opatrení k identifikovaným rizikám a efektívnosť kombinácie procesných prístupov a podporných nástrojov pre požadované výstupy. Pokiaľ sa toto podarí, prispôsobenie sa požiadavkám GDPR môže byť vo výsledku „len“ rozumnou minimálnou záťažou, ale za to s veľkou pridanou hodnotou pro bezpečnosť dát v rámci organizácie.
Ak vás manažment citlivých dát zaujíma, zoznámte sa s našim nástrojom EMARK Mole. Ide o softvérovú sondu, ktorá dokáže na počkanie zmapovať a lokalizovať všetky citlivé dáta – štruktúrované aj neštruktúrované. Viac o EMARK Mole nájdete TU.