Аудит GDPR, который вы провалите, используя разные...

Момент аудита

Следователь органа по защите данных сидит напротив сотрудника по соответствию. DPA проверяет ответ организации на жалобу субъекта данных — бывшего клиента, который считает, что его персональные данные не были надлежащим образом обработаны.

Вопрос: «Опишите, пожалуйста, технические меры контроля, используемые вашей организацией для обеспечения надлежащей анонимизации персональных данных при обработке сотрудниками».

Сотрудник по соответствию начинает: «Наши юристы используют надстройку для Word. Наша команда поддержки использует расширение Chrome для ИИ-инструментов. У нашей команды данных есть Python-скрипт. А для разовых запросов любой может использовать веб-приложение».

Уточняющий вопрос следователя: «Это всё один и тот же инструмент? Одинаковый движок обнаружения? Одинаковый охват сущностей?»

Сотрудник по соответствию: «Нет, это разные инструменты. Они работают по-разному».

Вот момент, когда аудит становится сложным.

Почему фрагментация инструментов не соответствует стандарту Статьи 32

Статья 32 GDPR требует «надлежащих технических и организационных мер», которые эффективно реализуют принципы защиты данных. Стандарт Статьи 32 имеет два компонента:

Надлежащесть: Меры должны быть надлежащими для риска. Для рутинной обработки персональных данных в нескольких рабочих процессах надлежащие технические меры включают последовательный охват обнаружения PII — а не обнаружение по мере возможности, варьирующееся в зависимости от инструмента.

Доказуемость: Меры должны быть доказуемыми. Статья 5(2) (принцип подотчётности) требует, чтобы контролёр мог «продемонстрировать соответствие». Демонстрация соответствия требует доказательств последовательного применения мер контроля.

Фрагментированный инструментарий не проходит проверку на доказуемость. Если Инструмент A обнаруживает 285 типов сущностей с откалиброванными оценками достоверности, Инструмент B обнаруживает 50 типов сущностей с бинарным обнаружением, а Инструмент C обнаруживает 200 типов сущностей с разными порогами — вы не можете продемонстрировать последовательную систематическую защиту PII. Вы можете продемонстрировать, что некоторые инструменты использовались в некоторых контекстах.

Техническая оценка DPA фрагментированного инструментария: «Технические меры контроля организации для защиты PII непоследовательны в разных рабочих процессах, создавая пробелы в охвате и препятствуя централизованному просмотру журнала аудита».

Проблема обнаружения пробелов

Более глубокая проблема соответствия с фрагментированными инструментами: как правило, вы не знаете, где находятся пробелы в охвате, пока не произойдёт нарушение.

Если Инструмент B (используемый командой данных) не обнаруживает национальные идентификаторы ЕС, которые обнаруживает Инструмент A (используемый юристами), этот пробел может быть невидим в ходе нормальных операций. Команда данных обрабатывает файлы, не обнаруживая национальные идентификаторы ЕС. Файлы не генерируют никаких оповещений. Нет видимого признака пробела.

Пробел становится видимым, когда:

• Национальный идентификатор ЕС появляется в файле, обработанном командой данных, который должен был быть обнаружен
• Этот файл передаётся ненадлежащим образом
• Субъект данных обнаруживает раскрытие и подаёт жалобу GDPR

В этот момент расследование DPA показывает, что команда данных использовала инструмент с другим охватом, чем другие команды — пробел, который должен был быть идентифицирован и закрыт.

Систематический охват означает: одни и те же типы сущностей обнаруживаются последовательно во всех контекстах обработки, поэтому пробелы видимы (нулевые обнаружения типа сущности X в любом рабочем процессе), а не невидимы (обнаружения в некоторых рабочих процессах, но не в других).

Как выглядит чёткий ответ на соответствие

Сотрудник по соответствию с единой платформой может ответить на вопрос следователя по-другому:

«Мы используем единую платформу обнаружения PII для всех рабочих процессов сотрудников. Юристы, агенты поддержки и инженеры данных — все используют один и тот же базовый движок обнаружения — разные интерфейсы (Word Add-in, Расширение Chrome, Настольное приложение), но одну и ту же модель и конфигурацию. Все операции записываются в централизованный журнал аудита. Наша стандартная конфигурация обнаруживает 285+ типов сущностей с предустановками для соответствующих юрисдикций. Я могу предоставить журнал аудита за любой период, который вы хотите проверить».

Этот ответ:

• Конкретный: Называет платформу и объясняет многоплатформенное развёртывание
• Последовательный: «Один и тот же базовый движок обнаружения» устраняет озабоченность несоответствием охвата
• Доказуемый: Централизованный журнал аудита означает, что доказательства доступны

Следующий вопрос следователя может быть: «Покажите мне журнал аудита для этого субъекта данных за последние 12 месяцев». С централизованным журналом аудита этот запрос может быть выполнен.

Стандарт кросс-платформенной согласованности

Для организаций, строящих обоснованную позицию соответствия Статье 32 для анонимизации PII:

Минимальные требования к согласованности:

1. Одна и та же модель обнаружения или API (не просто похожие инструменты — один и тот же базовый движок)
2. Одинаковый охват типов сущностей на всех платформах (если веб-приложение проверяет 285 сущностей, настольное приложение должно проверять те же 285 сущностей)
3. Одинаковая конфигурация порогов достоверности на всех платформах (ни один инструмент не является «мягче» или «строже» других для одного и того же типа сущности)
4. Одинаковые токены замены/анонимизации для одних и тех же типов сущностей на всех платформах
5. Централизованный журнал аудита, агрегирующий всю обработку на всех платформах

Требования к документации:

• Снимок конфигурации: какова текущая конфигурация охвата сущностей и порогов?
• История изменений: когда последний раз менялась конфигурация, и что именно изменилось?
• Доказательство охвата: как вы знаете, что все платформы имеют одинаковый охват?

Организации могут строить эту документацию для многоинструментальных стеков, но это требует формального управления конфигурацией и регулярного кросс-инструментального аудита. Развёртывание единой платформы с централизованной конфигурацией упрощает это до: «Вот конфигурация. Она применяется ко всем платформам. Вот журнал аудита».

Практический переход от фрагментированного к унифицированному

Для сотрудников по соответствию, управляющих фрагментированным ландшафтом инструментов:

Шаг 1: Картографирование текущих инструментов и охвата

• Задокументировать каждый используемый инструмент, по команде и рабочему процессу
• Задокументировать охват сущностей каждого инструмента (какие типы PII он обнаруживает?)
• Определить пробелы в охвате (что обнаруживает Инструмент A, что пропускает Инструмент B?)

Шаг 2: Определение целевого стандарта охвата

• На основе регуляторных обязательств (типы сущностей GDPR, идентификаторы PHI HIPAA, категории CCPA)
• Определить стандарт, который должен применяться во всех рабочих процессах

Шаг 3: Определение единой платформы

• Какой инструмент может быть развёрнут во всех случаях использования (веб, настольный, Word, браузер)?
• Соответствует ли он целевому стандарту охвата?
• Предоставляет ли он централизованный журнал аудита?

Шаг 4: Внедрение и миграция

• Начать с рабочих процессов с наибольшим риском (там, где PII наиболее вероятно может быть неправильно обработан)
• Переходить команда за командой, выводя из эксплуатации устаревшие инструменты по мере перехода пользователей на единую платформу
• Задокументировать миграцию в записях о соответствии

Источники:

• GDPR Статья 32: Безопасность обработки
• GDPR Статья 5(2): Принцип подотчётности
• EDPB: Руководящие указания 4/2019 по Статье 25, Защита данных с момента проектирования