Odpravljanje nedoslednosti pri anonimizaciji: Zakaj so mešovni ekipi potrebne konfiguracijske prednastavitve, ne samo dobre namere
Pravni oddelek obdeluje dokumente odjemalcev z 8 paralegov. Vsak paraleg ima svojo predstavo o tem, kaj "anonimizacija PII" pomeni:
- Paraleg A: redaksija imen, ignora naslove
- Paraleg B: zamenjava imen s psevdonimi, redakcija vsega drugega
- Paraleg C: redakcija imen in e-poštnih naslovov, pozablja na telefonske številke
- Paraleg D: sledi postopku iz leta 2022, ki je bil od takrat posodobljen dvakrat
Dokumenti, ki jih proizvede ta ekipa, izgleda kot dosledno obdelani. Niso. Revizija razkrije, da so enake kategorije PII obdelane drugače v dokumentih iz iste tedna, istega tipa primera, istega regulativnega konteksta.
To je napaka pri konfiguraciji. To je neuspeh skladnosti z GDPR, ki ne zahteva podatkovnega kraja za sprožitev postopka.
Zakaj se revizorji GDPR osredotočajo na doslednost
Načelo odgovornosti GDPR (člen 5(2)) zahteva, da so upravljavci "sposobni dokazati" skladnost — ne samo da so jo dosegli. Dokazovanje skladnosti zahteva dokaz o sistematičnem postopku.
Ko pregleda revizor DPA prakso anonimizacije, išče:
- Dokumentiran postopek: Katere entitete bi morali zaznati in kako bi jih morali obdelati?
- Konfiguracija orodja: Se konfiguracija vašega orodja ujema z dokumentiranim postopkom?
- Dokaz pri uporabi: Se dokumenti obdelujejo skladno s postopkom in konfiguracijo?
Ko različne...