Cấu hình trôi dạo — sự khác biệt không có ý định trong cách các công cụ phát hiện PII được cấu hình trên các hệ thống, dự án hoặc các đơn vị kinh doanh — là một nguồn rủi ro tuân thủ GDPR được bỏ qua.
Kịch Bản Phổ Biến
Một công ty dịch vụ tài chính kế thừa ba bộ công cụ khi mua ba công ty con khác nhau. Không có quá trình tiêu chuẩn hóa, ba công ty con tiếp tục sử dụng các công cụ của họ:
- Công ty Con A: Công cụ phát hiện PII X — phát hiện PERSON, ORG, LOCATION, PII_PATTERNS
- Công ty Con B: Công cụ phát hiện PII Y — phát hiện PERSON, ORG, EMAIL, PHONE, CREDIT_CARD
- Công ty Con C: Công cụ phát hiện PII Z — phát hiện PERSON, ORG, SSN, DATE_OF_BIRTH
Không có cái nào bao gồm tất cả những loại được phát hiện bởi những cái khác. Không có yêu cầu tiêu chuẩn hóa, mỗi công ty con tuân thủ DPA địa phương của họ một cách độc lập.
Khi GDPR được áp dụng trên tất cả ba công ty con, các nhu cầu thay đổi:
- Phát hiện toàn cầu: Bất kỳ dữ liệu cá nhân nào được xử lý bởi bất kỳ công ty con nào cũng phải được xử lý theo tiêu chuẩn GDPR cao nhất.
- Kiểm toán tuân thủ: GDPR yêu cầu công ty mẹ chứng minh rằng tất cả các xử lý được thực hiện theo "bằng chứng" và "ghi nhật ký hoạt động xử lý."
- Thiếu hụt trong cấu hình: Nếu Công ty Con A không phát hiện PHONE, nhưng GDPR yêu cầu nó, thì công ty mẹ không tuân thủ cho dữ liệu của Công ty Con A.
Sources: