A GDPR Audit, Amelyen Megbukik Ha Különböző PII...

Az Audit Pillanata

Az adatvédelmi hatóság vizsgálója szemközt ül a megfelelőségi felelőssel. Az adatvédelmi hatóság egy volt ügyfél adatalany-panaszára adott szervezeti választ vizsgálja — a volt ügyfél úgy gondolja, hogy személyes adatait nem megfelelően kezelték.

Kérdés: "Kérjük, ismertesse azokat a technikai kontrolokat, amelyeket szervezetük alkalmaz annak biztosítására, hogy a személyes adatokat a munkavállalók megfelelően anonimizálják feldolgozáskor."

A megfelelőségi felelős elkezdi: "Az ügyvédeink a Word-bővítményt használják. Az ügyfélszolgálati csapatunk Chrome-bővítményt használ az AI-eszközökhöz. Az adatcsapatunk Python-szkriptet használ. Az egyedi kérésekhez bárki használhatja a webalkalmazást."

A vizsgáló következő kérdése: "Ezek mind ugyanaz az eszköz? Ugyanaz a detekciós motor? Ugyanolyan entitáslefedettség?"

A megfelelőségi felelős: "Nem, ezek különböző eszközök. Különböző módon működnek."

Ez az a pillanat, amikor az audit bonyolódik.

Miért Bukik Meg az Eszközfragmentáció a 32. Cikk Standardján

A GDPR 32. cikke "megfelelő technikai és szervezési intézkedéseket" követel meg, amelyek hatékonyan megvalósítják az adatvédelmi elveket. A 32. cikk standardjának két összetevője van:

Megfelelőség: Az intézkedéseknek megfelelőknek kell lenniük a kockázathoz. Több munkafolyamaton átívelő rutinszerű személyes adatfeldolgozáshoz a megfelelő technikai intézkedések közé tartozik az egységes PII-észlelési lefedettség — nem az eszközenként változó legjobb igyekezet szintű észlelés.

Demonstrálhatóság: Az intézkedéseknek demonstrálhatóknak kell lenniük. Az 5(2). cikk (az elszámoltathatóság elve) megköveteli, hogy az adatkezelő "be tudja mutatni a megfelelőséget". A megfelelőség demonstrálása a következetes kontrollalkalmazás bizonyítékát igényli.

A fragmentált eszközök a demonstrálhatóságon megbuknak. Ha az A eszköz 285 entitástípust észlel kalibrált megbízhatósági pontszámokkal, a B eszköz 50 entitástípust bináris észleléssel, és a C eszköz 200 entitástípust különböző küszöbökkel — nem lehet demonstrálni a következetes, szisztematikus PII-védelmet. Csak azt lehet demonstrálni, hogy néhány eszközt néhány kontextusban használtak.

Az adatvédelmi hatóság technikai értékelése a fragmentált eszközállományról: "A szervezet PII-védelmi technikai kontroljai munkafolyamatonként eltérnek, lefedettségi hiányosságokat hozva létre és megakadályozva a centralizált audit-nyomkövetés áttekintését."

A Hiányosság-felfedezés Problémája

A fragmentált eszközök mélyebb megfelelőségi kérdése: általában nem tudja, hol vannak a lefedettségi hiányosságok, amíg jogsértés nem következik be.

Ha a B eszköz (amelyet az adatcsapat használ) nem észleli az EU nemzeti azonosítószámokat, amelyeket az A eszköz (amelyet az ügyvédek használnak) észlel, ez a hiányosság a normál működés során láthatatlan lehet. Az adatcsapat fájlokat dolgoz fel anélkül, hogy EU nemzeti azonosítókat észlelne. A fájlok nem generálnak semmilyen figyelmeztetést. A hiányosságra nincs látható jelzés.

A hiányosság akkor válik láthatóvá, amikor:

• EU nemzeti azonosító jelenik meg az adatcsapat által feldolgozott fájlban, amelyet észlelni kellett volna
• Azt a fájlt helytelenül megosztják
• Az adatalany felfedezi a kitettséget, és GDPR-panaszt tesz

Ezen a ponton az adatvédelmi hatóság vizsgálata feltárja, hogy az adatcsapat más lefedettséggel rendelkező eszközt használt, mint más csapatok — egy hiányosság, amelyet azonosítani és meg kellett volna szüntetni.

A szisztematikus lefedettség azt jelenti: ugyanazok az entitástípusok következetesen észlelhetők minden feldolgozási kontextusban, így a hiányosságok láthatóak (az X entitástípus nulla észlelése bármely munkafolyamatban), nem pedig láthatatlanok (észlelések néhány munkafolyamatban, de nem másokban).

Hogyan Néz Ki a Tiszta Megfelelőségi Válasz

Az egységes platformmal rendelkező megfelelőségi felelős másképpen tud válaszolni a vizsgáló kérdésére:

"Egységes PII-észlelési platformot használunk minden munkavállalói munkafolyamatban. Az ügyvédek, az ügyfélszolgálati ügynökök és az adatmérnökök mind ugyanazt a mögöttes észlelési motort használják — különböző interfészek (Word-bővítmény, Chrome-bővítmény, Desktop App), de ugyanaz a modell és konfiguráció. Minden feldolgozás egy centralizált audit-nyomkövetőben kerül naplózásra. Szabványos konfigurációnk 285+ entitástípust észlel joghatóság-megfelelő beállításokkal. Bármely időszakra lehívhatom az audit-nyomkövetőt, amelyet áttekinteni kívánnak."

Ez a válasz:

• Specifikus: Megnevezi a platformot és elmagyarázza a több-platformos telepítést
• Következetes: "Ugyanaz a mögöttes észlelési motor" kezeli a lefedettség-inkonzisztencia aggályát
• Demonstrálható: A centralizált audit-nyomkövető azt jelenti, hogy bizonyíték rendelkezésre áll

A vizsgáló következő kérése lehet: "Mutassa meg az audit-nyomkövetőt ehhez az adatalanyhoz az elmúlt 12 hónapra." Centralizált audit-nyomkövetővel ez a kérés teljesíthető.

A Kereszt-Platformos Következetességi Standard

A PII-anonimizálásra vonatkozó védhető 32. cikkes megfelelőségi pozíciót kialakító szervezetek számára:

Minimális következetességi követelmények:

1. Ugyanaz a detekciós modell vagy API (nem csak hasonló eszközök — ugyanaz a mögöttes modell)
2. Ugyanaz az entitástípus-lefedettség minden platformon (ha a webalkalmazás 285 entitást ellenőriz, az asztali alkalmazásnak ugyanazt a 285 entitást kell ellenőriznie)
3. Ugyanaz a megbízhatósági küszöb-konfiguráció minden platformon (nincs "lazább" vagy "szigorúbb" eszköz az ugyanolyan entitástípushoz)
4. Ugyanazok a csere/anonimizálási tokenek ugyanolyan entitástípusokhoz minden platformon
5. Centralizált audit-nyomkövető, aggregálva minden feldolgozást minden platformon

Dokumentációs követelmények:

• Konfigurációs pillanatkép: mi a jelenlegi entitáslefedettség és küszöbkonfiguráció?
• Változástörténet: mikor változtatták meg utoljára a konfigurációt, és mi változott?
• Lefedettségi bizonyíték: honnan tudja, hogy minden platformnak ugyanolyan lefedettsége van?

A szervezetek felépíthetik ezt a dokumentációt több-eszközös készletekhez, de formális konfigurációkezelést és rendszeres eszközök közötti auditálást igényel. Egy egységes-platformos telepítés centralizált konfigurációval egyszerűsíti ezt: "Íme a konfiguráció. Minden platformra érvényes. Íme az audit-nyomkövető."

Praktikus Átállás Fragmentáltról Egységesre

Fragmentált eszközkészletet kezelő megfelelőségi felelősök számára:

1. lépés: Jelenlegi eszközök és lefedettség feltérképezése

• Dokumentáljon minden használt eszközt, csapatonként és munkafolyamatonként
• Dokumentálja minden eszköz entitáslefedettségét (milyen PII-típusokat észlel?)
• Azonosítsa a lefedettségi hiányosságokat (mit észlel az A eszköz, amit a B eszköz kihagy?)

2. lépés: A célzott lefedettségi standard meghatározása

• Szabályozási kötelezettségein alapuló (GDPR entitástípusok, HIPAA PHI azonosítók, CCPA kategóriák)
• Határozza meg azt a standardot, amelynek minden munkafolyamatra érvényesnek kell lennie

3. lépés: Az egységes platform azonosítása

• Melyik eszköz telepíthető minden felhasználási esetre (web, asztali, Word, böngésző)?
• Megfelel-e a célzott lefedettségi standardnak?
• Rendelkezik-e centralizált audit-nyomkövetővel?

4. lépés: Megvalósítás és migráció

• A legkockázatosabb munkafolyamatokkal kezdjen (ahol a PII valószínűleg a legrosszabbul van kezelve)
• Csapatonként álljon át, az örökölt eszközöket felszámolva, ahogy a felhasználók az egységes platformra kerülnek
• Dokumentálja a migrációt a megfelelőségi nyilvántartásban

Források:

• GDPR 32. cikk: Az adatkezelés biztonsága
• GDPR 5(2). cikk: Elszámoltathatóság elve
• EDPB: 4/2019 sz. iránymutatás a 25. cikkről — Beépített adatvédelem