DSGVO: A törlés jogának megszerzése ellenőrzés alatt

A GDPR egyik követelménye sem a vállalkozások számára nagyobb kihívást jelent, mint a lemondás joga (17. cikk). Varonisnak az európai adatvédelmi rendelet bevezetéséről szóló tanulmányában 63 százalékuk látta ezt a legnagyobb problémás területnek, jóval a feldolgozási tevékenységek listájának bevezetése vagy végrehajtása (30. cikk, 47 százalék), valamint az adatvédelmi hatásvizsgálat (35. cikk) és a jelentési kötelezettségek bevezetése előtt. a 33. cikkből (mindegyik 44 százalék).

De milyen nehézségek vannak és mit kell figyelembe venni? Alapvetően a problémák nem önmagának törléséről szólnak, hanem az összes releváns rekord megtalálásáról.

Hol tároltuk az adatokat mindenhol?

Mint a GDPR legtöbb aspektusában, a jól fejlett irányítási és biztonsági gyakorlattal rendelkező vállalatoknak kevesebb nehézsége lesz a törlés iránti kérelmek kitöltése. Ehhez képeseknek kell lenniük a személyes adatok azonosítására és osztályozására.

A fájlrendszerek, az e-mailek és az adatbázisok szkennelése, azok tartalmának osztályozása, az adattulajdonosok azonosítása, valamint a megfelelő engedélyeztetés és megőrzés biztosítása a hatékony megfelelőségi program alapja.

kijelző

Szintén érdekes: A vállalatok alig haladnak a GDPR végrehajtásában

Ha azonban hiányosságok vannak a vállalatoknál, akkor sürgősen cselekedniük kell – a portugál kórháznak szánt 400 000 eurós büntetéssel nyilvánvalóan véget ért a zárt időszak.

Az első lépés, azaz a GDPR-adatok azonosítása a legnehezebb. A terabyte méretű adatbázisok vizsgálata és osztályozása a személyes adatok azonosítása érdekében (még annak ismerete is, hogy mely személyi azonosítókat kell keresni) rendkívül bonyolult és időigényes.

Ezen felül nem csak beállíthatja a műveletet ehhez, hanem a keresési folyamat során is folyamatosan változhat.

Milyen információ egyáltalán személyes?

A nevek, címek, telefonszámok, társadalombiztosítási és azonosító számok a PII klasszikus példái. Az online korban mindazonáltal többet adunk hozzá, például e-mail címeket, felhasználóneveket, helyeket, IP címeket és most már biometrikus információkat is.

Fontos, hogy ezeket a különféle információkat egységes mintába és szabálykészletbe integráljuk. A helyzetet súlyosbítja, hogy 28 különböző nemzettel rendelkezik az EU-ban – eltérő formátumú rendszámok, telefonszámok vagy személyi igazolványok esetén.

Besorolás vs. indexelés

A törléshez való joggal kapcsolatban van egy másik probléma: pusztán azért, mert a személyesen azonosítható információkat azonosította, még nem jelenti azt, hogy kereshet. A besorolás az azonosítók alapján határozza meg az egyedi mintákat, és kiadja a fájlok listáját, amely megmutatja, hogy az egyes mintákhoz hány egyezést találtak.

Ezeket a fájlokat általában nem indexelik. Az indexálás azonban lehetővé teszi a részletes keresést, amely a törléshez szükséges. Tehát ha egy fogyasztó benyújtja kérelmet (alany hozzáférési kérelem / SAR), hogy személyes adatait megtekinthesse vagy törölje, ha az indexben végzett keresés gyorsan olyan fájlokat eredményez, amelyek az adott felhasználó személyes azonosítóit tartalmazhatják.

Mint ahogy a múltban is, nem minden vállalat “kész DSGVO-ra”, ahogyan a legutóbbi bitkom-tanulmány ismét megmutatta. Így 2018 szeptemberében a vállalatoknak csak egynegyede teljes mértékben teljesítette a követelményeket. Annak érdekében, hogy nagy lépést tegyünk a megfelelés felé, és hogy töröljük a törlés jogát is, a vállalatoknak a megfelelő megoldások kiválasztásakor figyelembe kell venniük ezt a három kritikus kérdést.

  • Készíthet saját mintákat a DSGVO-val kapcsolatos adatokhoz – de ezt nem kell tennie. Számos szolgáltató létezik. A kiválasztás során azonban győződjön meg arról, hogy azok valódi adatkészletek alapján készültek-e, teszteltek és finomultak – és nem csak a hivatalos ügynökségek által közzétett specifikációk alapján. Rendszeres kifejezésekkel (RegEx) nem jutsz messzire ide, mert az alfanumerikus minták hatalmas tartományán átjuthatnak az ütközésekig. Például az európai útlevélszámok nyolc és tíz számjegy között változhatnak, és tévesen azonosíthatók telefonszámként is. Ezért van értelme az algoritmusoknak, amelyek különböző kulcsszavakat keresnek a különféle nemzeti nyelveken, amelyek az azonosított adatokkal összefüggésben vannak. A negatív kulcsszavak ebben az összefüggésben értelmesek a téves pozitív eredmények elkerülése érdekében.
  • Az inkrementális szkennelést nem használó adatosztályozó vagy indexáló szoftver nem hatékony.
  • A „Hol vannak az érzékeny adataim?” Kérdésre adott válasz elkerülhetetlenül további kérdésekhez vezet: Ki őrizte meg őket itt? Ki támadja? Még mindig használják őket? Megfelelően védettek? Ezek a kérdések különösen problematikusak lehetnek, ha az érzékeny adatok minden alkalmazott számára elérhető mappákban vannak. Sajnálatos módon a széles körben elterjedt valóság az, ami egy rosszindulatú horror forgatókönyvnek tűnik. Például a Varonis 2018. évi adatkockázati jelentése kimutatta, hogy a vállalat mappáinak átlagosan 21 százaléka hozzáférhető minden alkalmazott számára, és a vállalatok 41 százaléka rendelkezik minden alkalmazottjával legalább 1000 érzékeny fájlhoz, például személyes adatokhoz, hitelkártyához vagy orvosi információkhoz.

A DSGVO követelményeinek megközelítése és végrehajtása számos módon lehetséges. Az egyik a 17. cikk a fogyasztói jogokkal. Ezek kényszerítik a vállalatokat arra, hogy cselekedjenek, és konkrétabbak, mint az illetékes hatóságok által végzett (még mindig) elég homályos kilátások. Annak ellenére, hogy az általános adatvédelmi rendelet már jó ideje hatályban van, egyáltalán nem késő annak konkrét kezelésére.

Szintén érdekes: Apple Cook vezérigazgató, Berlin: A DSGVO a globális magánélet példaképe

A szerzőről: Thomas Ehrlich 2017. áprilisa óta a Donis és a Kelet-Európa DACH és Kelet-Európa menedzserének. Biztonsági megoldásai az adatok, a fióktevékenység és a felhasználói viselkedés intelligens elemzésével védik az adatokat a bennfentes fenyegetések és a kibertámadások ellen, és hozzájárulnak a megfelelési követelmények teljesítéséhez.

4. ólom fedél 1200X1200

Hogy kérem?

Soha nem volt ilyen sokféle módon kommunikálni. Hogyan sikerül a vállalatoknak sikeresen továbbítaniuk üzenetet? A LEAD Bookazine 4/2018 tippeket tartalmaz a hangkészség, az UX és a változáskezelés használatához a munka életében. Így sikerül a kommunikáció – félreértések nélkül.

Rendeljen most

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük