Praktični primer začetnih faz zagotavljanja skladnosti z GDPR : Označevanje in odkrivanje osebnih podatkov

GDPR : 27. aprila 2016 sprejeta Splošna Uredba o Varstvu Osebnih Podatkov (General Data Protection Regulation) Evropske Unije bo nasledila nacionalne zakone o varstvu osebnih podatkov, kot je pri nas Zakon o Varstvu Osebnih Podatkov ZVOP-1. Implementirati se prične 25. maja 2018. To teoretično pomeni, da bi do srede leta 2018 morale vse organizacije, ki hranijo in obdelujejo osebne podatke državljanov Evropske Unije, biti skladna z zahtevami GDPR. Zahteve opredeljujejo varovanje teh podatkov oziroma obveznosti organizacij, ki hranijo podatke, kakor tudi pravice posameznikov, na katere se podatki nanašajo. V praksi sicer kazen najbrž ne bo spisana takoj na ta dan, če še ne boste v celoti skladni, boste pa sposobni pokazati, da ste jo vsaj deloma dosegli oziroma se aktivno ukvarjate s tem projektom.

Pripravili smo serijo štirih člankov s praktičnim prikazom nekaterih za ohranjanje skladnosti z GDPR osnovnih opravil. Zaradi dolžine člankov je v tem tekstu samo uvod, članki pa so na razpolago na spodaj zapisanih povezavah do LinkedIn.

TEORIJA - SPLOŠNA

Faze uvajanja GDPR : Nasvetov, kako se lotiti implementacije skladnosti z GDPR je nešteto, eden od možen kratki pregled postopka bi bil recimo v naslednjih pet korakih (vir: Alen Šalamun, GDPR v 5 korakih):

1. Informiranje o direktivi GDPR

2. Določite osebo zadolženo za uvajanje direktive GDPR

3. Identifikacija podatkov

4. Analiza in priprava načrta

5. Izvajanje načrta

Forcepoint DLP : Na nek način bi torej lahko rekli, da se informatiki v praksi z implementacijo GDPR prvič zares srečamo v tretji fazi. To je takrat, ko moramo dejansko identificirati osebne podatke v informacijskem sistemu, podatke, za katere bomo morali v naslednjih fazah implementirati za skladnost z GDPR zadostno zaščito. Zato smo se odločili prikazati to fazo na praktičnih primerih. Toda s katerim orodjem? Enako, kot za vse druge faze implementacije GDPR, velja tudi za tole: obstaja množica rešitev od množice proizvajalcev, s katerimi si lahko pomagamo pri GDPR. Nobena ni magična in tudi ne vseobsegajoča. Tiste, ki pokrivajo skoraj vse, pa nas kaj hitro lahko zaklenejo v ponudbo enega samega proizvajalca in posledično dvignejo stroške. V našem primeru smo se odločili za Forcepoint DLP, najprej zaradi izkušenj in ker imamo rešitev pri roki, da lahko tudi zares gremo skozi opisane postopke. Organizacije, ki bi rade implementirale delno zaščito podatkov na primer samo na prehodni točki za zaščito spletnega prometa, ali samo na elektronski pošti, lahko kombinirajo DLP Module v eno od Forcepoint rešitev - Web Security ali Email Security. Spodaj opisani postopki identifikacije podatkov so v celoti vključeni tudi v DLP Modul in zato uporabni tudi v teh dveh delnih namestitvah.

Po identifikaciji podatkov : Identifikacija podatkov je le prva od več praktičnih faz implementacije GDPR. Rezultate bomo morali nekje uporabiti, na primer za izdelavo poročil, izvoz rezultatov v druga orodja, rabo v rešitvah za sprotno zaznavanje in zaščito osebnih podatkov, ipd. Forcepoint DLP je samostojna rešitev za obsežno zaščito podatkov v mirovanju, transportu in med ročno ali avtomatsko obdelavo. Potem, ko jih identificiramo, jih lahko spremljamo, na primer v lokalnem omrežju ter na protokolih elektronske pošte ali svetovnega spleta. Ter tudi blokiramo "uhajanje" podatkov na nedovoljene lokacije. Ali pa spremljamo rabo in na primer blokiramo obdelavo nepooblaščenim osebam v nepooblaščenih aplikacijah. Tudi tiskanje ali kopiranje in snemanje na prenosne medije lahko spremljamo ali onemogočimo. Identifikacija nam omogoča, da lahko rešitev samodejno prepozna popolnoma specifičen podatek v slovenskem jeziku, ki ga poskuša nekdo po elektronski pošti poslati ven z podjetja; in še marsikaj drugega. Forcepoint DLP vključuje poročanje, dashboard-e, izvoz rezultatov, integracijo z rešitvami drugih ponudnikov.

Povpraševanje po podatkih, zahteva po brisanju podatkov : Dve pomembni obveznosti podjetij, ki obdelujejo osebne podatke, sta obveza odgovoriti na zahtevo po seznamu vseh o osebi hranjenih podatkov, ter obveza pobrisati vse njene podatke, če oseba to zahteva. Toda - kako vedeti, katere podatke sploh hranimo, in kje so, da jih lahko brišemo? Forcepoint DLP nam je lahko tudi tukaj v pomoč. Z odkrivanjem podatkov lahko pridobimo (zaščiten, zavarovan, zamaskiran) aktualen inventar osebnih podatkov, v rezultatu vsakega odkrivanja je podrobno poročilo o incidentih tj. najdenih podatkih. Če jih preiščemo, lahko za določeno osebo izvemo katere podatke in kje vse znotraj informacijskega sistema jih hranimo. Tako lahko enostavno pripravimo poročilo o hranjenih podatkih ali si pomagamo izbrisati jih iz vseh lokacij.

POVEZAVE DO CELOTNIH ČLANKOV:

Označevanje in odkrivanje osebnih podatkov ; del 1 / 4

https://www.linkedin.com/pulse/praktični-primer-začetnih-faz-zagotavljanja-skladnosti-robert-lubej

Označevanje in odkrivanje osebnih podatkov ; del 2 / 4

https://www.linkedin.com/pulse/praktični-primer-začetnih-faz-zagotavljanja-skladnosti-robert-lubej-1

Označevanje in odkrivanje osebnih podatkov ; del 3 / 4

https://www.linkedin.com/pulse/praktični-primer-začetnih-faz-zagotavljanja-skladnosti-robert-lubej-2

Označevanje in odkrivanje osebnih podatkov ; del 4 / 4

https://www.linkedin.com/pulse/praktični-primer-začetnih-faz-zagotavljanja-skladnosti-robert-lubej-3

### ### ###

O podjetju REAL security

Več o podjetju najdete na spletnih straneh: http://www.real-sec.com/