anonym.legal
Назад към блогаGDPR и съответствие

Отдалечената работа създаде нов GDPR риск...

Екипите в офиса използват пълнофункционален настолен софтуер. Отдалечените работници използват уеб приложения с потенциално различни настройки.

April 21, 20266 мин. четене
remote work GDPRplatform consistencyhybrid workplace privacytechnical controlsGDPR compliance

Проблемът с несъответствието на платформата след COVID

Нормализирането на отдалечената и хибридна работа създаде предизвикателство за съответствие на GDPR, което малко организации очакваха: служители, работещи от различни места, сега използват различни инструменти, с различни конфигурации, при едно и също задължение за съответствие.

Стандартът преди COVID беше ясен: всички служители работеха от управлявани работни станции в контролирана офис среда. Корпоративният софтуер беше внедрен равномерно. IT налага една и съща конфигурация на всяка машина. Средата за съответствие беше относително хомогенна.

След COVID средата за съответствие е разнородна:

  • Служителите в офиса използват управлявани работни станции с корпоративен софтуер, внедрен от ИТ
  • Отдалечените работници използват домашни работни станции, понякога управлявани от компанията и понякога BYOD
  • Мобилните работници използват всяко налично устройство с ограничен контрол на конфигурацията
  • Хибридните работници редуват конфигурации в офиса и отдалечени

Всяка среда може да има различни налични инструменти, различни конфигурации на инструменти и различни технически контроли. Задължението на GDPR — личните данни да бъдат защитени с подходящи технически мерки — се прилага еднакво във всичките четири среди.

Правният стандарт след 2025 г. Съдебна практика

Решенията на Общия съд на ЕС от 2025 г. относно отговорността за нарушаване на данните изясниха, че организациите не могат да разчитат само на политики, за да докажат съответствие с член 32 на GDPR. Позицията на съда:

„Доказването, че са приложени подходящи технически и организационни мерки, изисква доказателство за специфичен технически контрол, който е действал по време на обработката. Политиката, в която се посочва, че служителите „трябва“ да анонимизират личните данни, не е доказателство за технически контрол.“

Това решение има последици за организации, чийто подход за съответствие е: „Имаме политика за поверителност, която изисква от служителите да анонимизират данните, преди да използват AI инструменти. Отдалечените служители четат политиката.“

Политиката не е контрол. Техническата мярка, която прави анонимизацията - независимо къде работи служителят - е контролът. Ако техническата мярка не е разгърната последователно в офисна и отдалечена среда, контролът не е последователен.

Изискването за съгласуваност на конфигурацията

За техническите контроли за анонимизиране на PII последователността на конфигурацията в различните среди означава:

Еднакво покритие на обекта: Независимо дали служител обработва документ в офиса или у дома, се откриват едни и същи 285+ типа обекти с PII. Не "приблизително същото" - същото. Ако настолното приложение в офиса и отдалеченото уеб приложение използват различни машини за откриване, последователността на покритието не може да бъде гарантирана.

Същите прагове: Прагът на достоверност за автоматично анонимизиране е еднакъв и в двете среди. Субект, открит при 87% увереност, задейства автоматично анонимизиране у дома и в офиса — не автоматично анонимизиране в офиса, а само предупреждение у дома.

Същите предварително зададени настройки: Предварително зададената „GDPR Standard“, конфигурирана от съответствието, се прилага по един и същи начин, независимо дали служителят има достъп до инструмента от работната си станция в офиса или домашния си лаптоп. Предварително зададената синхронизация гарантира, че промените в конфигурацията се разпространяват до всички точки за достъп.

Една и съща одитна пътека: Обработката, извършена от дома, и обработката, извършена в офиса, се показват в една и съща централизирана одитна пътека. Няма „регистрационен файл за отдалечена обработка“, отделен от „дневника за обработка в офиса“.

Защо има значение разликата между уеб приложението и приложението за настолен компютър

Много организации са внедрили десктоп приложение за потребители в офиса и разчитат на уеб приложение за отдалечени потребители. Ако това са различни продукти от различни доставчици, те може да имат различни машини за откриване.

Но дори и да са продукти на един и същ доставчик — настолно приложение и уеб приложение от един и същи доставчик — те може да имат различни:

  • Цикли на актуализиране (настолното приложение може да има няколко версии зад уеб приложението)
  • Наследяване на конфигурацията (предварително зададеното приложение за настолен компютър може да не се синхронизира с промените в предварително зададените настройки на уеб приложението)
  • Поведение при регистриране (настолното приложение може да регистрира локално, докато уеб приложението регистрира централно)

За документацията за съответствие уместният въпрос е: можете ли да демонстрирате, че е приложено едно и също откриване, независимо кой интерфейс е използвал служителят? Ако отговорът изисква съпоставяне на два различни формата на журнал за одит от две различни системи, отговорът е „с трудности“.

Практически подход: Платформено-агностично покритие

Практическата цел за съответствие е платформено-агностично покритие: същата защита се прилага независимо кой интерфейс използва служителят.

Това е постижимо чрез:

API за откриване от страна на сървъра: Всички интерфейси (настолно приложение, уеб приложение, разширение за Chrome) извикват един и същ API за откриване от страна на сървъра. Моделът за откриване се изпълнява веднъж (от страна на сървъра), а не отделно във всеки интерфейс. Същият модел, същите резултати, независимо от интерфейса.

Синхронизирани предварителни настройки: Предварителните настройки за конфигурация се съхраняват от страната на сървъра и се зареждат от всички интерфейси по време на изпълнение. Предварително зададена промяна се разпространява незабавно към всички интерфейси. Няма „предварителна настройка за настолен компютър“, отделна от „предварителна настройка за уеб“.

Централизирано регистриране на одит: Всички събития на обработка от всички интерфейси се регистрират в една и съща база данни за одит. Одитната пътека показва кой интерфейс е бил използван, позволявайки анализ на съответствието на моделите на обработка в различни среди.

Постоянно внедряване: ИТ внедрява разширението за Chrome и конфигурира уеб приложението за отдалечени служители със същата предварително зададена конфигурация като настолното приложение за служители в офиса. Документацията за конфигурация обхваща всички среди.

Случай на използване: Корпоративно хибридно екипно внедряване

Корпоративен екип за съответствие от 35 души — 20 в офиса (щаб в Мюнхен), 15 отдалечени (разпределени в Германия и Холандия) — идентифицира несъответствието на платформата като пропуск в съответствието по време на вътрешен одит.

Идентифициран пропуск: Екипът в офиса използва инструмент за лични данни на Windows за настолен компютър с корпоративна конфигурация (285 типа обекти, GDPR предварително зададени). Отдалеченият екип получи достъп до уеб-базиран инструмент, предоставен от различен доставчик с различно покритие на обект (приблизително 80 типа обекти, без GDPR-конкретна предварително зададена настройка). Същите членове на екипа, същите данни, различни инструменти.

Унифицирано внедряване:

  • Една и съща платформа, внедрена във всички 35 члена на екипа
  • В офиса: Настолно приложение, инсталирано на управлявани работни станции (Windows/Mac)
  • Отдалечено: Уеб приложение, достъпно чрез браузър, същата предварително зададена конфигурация като приложението за настолен компютър
  • Разширение за Chrome, инсталирано на всички работни станции и отдалечени устройства за използване на AI в браузъра
  • Единична предварително зададена конфигурация, управлявана от ИТ, синхронизирана във всички интерфейси

Одитна документация след унификация:

  • Единична „Документация за техническите мерки“, обхващаща всички 35 членове на екипа и всички интерфейси
  • Единна одитна пътека за цялата обработка (централизирано регистриране от всички интерфейси)
  • Проверка на последователността на конфигурацията: ИТ проверява на всяко тримесечие дали всички интерфейси показват една и съща предварително зададена версия

Констатацията на вътрешния одит беше приключена в рамките на 8 седмици след унифицираното внедряване.

Източници:

Свързани статии

GDPR и съответствие

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR и съответствие

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR и съответствие

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готови ли сте да защитите данните си?

Започнете анонимизация на PII с 285+ типа субекти на 48 езика.

Започнете безплатен пробен периодВижте функции