czy wspomniałem ostatnio, że ogólne rozporządzenie o ochronie danych (RODO) jest skomplikowanym prawem? Oczywiście, istnieją pewne podstawowe zasady, takie jak Privacy by Design (PBD) i inne pomysły, które kiedy zrozumiesz, wszystko ma większy sens. Ale istnieje wiele niespodzianek, gdy zagłębić się w legalese. Na przykład pseudonimizacja.

Co to jest?

zanim wyjaśnimy pseudonimizację, ważne jest, aby zrozumieć, że unijne RODO obejmuje tylko dane osobowe. To jest to, co my w USA nazwalibyśmy danymi osobowymi (PII). Pomyśl o nazwiskach, adresach, numerach telefonów, numerach kont, a ostatnio o adresach e-mail i IP.

czym są i czym nie są dane osobowe

Co zrobić, jeśli usuniesz te identyfikatory danych osobowych z, na przykład, arkusza kalkulacyjnego, raportu lub innej zawartości pliku?

jesteś zwolniony z oficjalnych przepisów RODO (i grzywien).

nie musisz również wdrażać wszystkich zasad Prywatności przez projekt– minimalizacji, planów przechowywania—i zabezpieczeń dla tych danych nieosobowych.

własność intelektualna Twojej firmy — oprogramowanie, biznes plany dominacji nad światem i inne IP — również nie podlegają RODO.

tak, oznacza to, że jeśli hakerzy wykradną plany marketingowe na kolejną dużą premierę produktu, nie musisz zgłaszać incydentu do lokalnego organu ochrony danych lub DPA

oczywiście firma nadal chciałaby podjąć środki ochrony danych-czy możemy zalecić podejście inside out? – za treść, ale RODO tego nie wymaga!

szyfrowanie nie jest rozwiązaniem

powrót do danych osobowych. Większość firm nie może po prostu usunąć go z treści. Chociaż nie jest złym pomysłem zminimalizowanie plików, w których pojawiają się te dane osobowe.

jednym ze sposobów radzenia sobie z treściami zawierającymi dane osobowe i zmniejszenia niektórych obciążeń RODO jest ich szyfrowanie.

zgodnie z RODO, w przeciwieństwie do starszej dyrektywy o ochronie danych, szyfrowanie danych daje pewne korzyści. Jest to wyraźnie wymienione jako uzasadniony sposób rozwiązania kwestii bezpieczeństwa przetwarzania danych osobowych—jeden z kluczowych wymogów prawa.

firmy, które szyfrują swoje dane osobowe, również zyskują na tym, że nie muszą powiadamiać osób, których dane dotyczą, w przypadku naruszenia. (Nadal jednak musieliby powiadomić lokalne DPA.

czy szyfrowanie to tania sztuczka pozwalająca uniknąć niektórych unijnych przepisów RODO?

to nie jest zły trik i ma pewne zalety, ale nie jest tani.

w naszej filozofii IOS uważamy szyfrowanie za możliwe, ale bardzo niepraktyczne rozwiązanie zabezpieczające dane Plików. Mówiąc najprościej: hurtowe szyfrowanie plików zawierających dane osobowe bardzo utrudniłoby lub prawie uniemożliwiłoby pracownikom wykonywanie pracy.

jak już mówiliśmy, system plików jest miejscem, w którym pracownicy przechowują i udostępniają treści (arkusze kalkulacyjne, dokumenty, prezentacje), nad którymi obecnie pracują. To ich wirtualne biurka, a dodanie warstwy szyfrowania lubi przenosić rzeczy i sprawiać, że ich biurko jest jeszcze bardziej niechlujne – nikt tego nie lubi!- a także jest administracyjnie trudne do zarządzania.

Pseudonimizacja: zastąpienie identyfikatorów kodami

i to w końcu prowadzi nas do pseudonimizacji.

jest to zatwierdzona przez RODO technika kodowania danych osobowych w celu zmniejszenia niektórych obciążeń wynikających z tego prawa.

chodzi o zastąpienie osobistych identyfikatorów losowym kodem. To samo kryje się za pisarzami używającymi pseudonimów, by ukryć swoją tożsamość. RODO mówi, że możesz to zrobić na większą skalę, aby zmniejszyć niektóre wymagania RODO.

Ogólnie Rzecz Biorąc, musiałby istnieć system wlotowy, który przetwarzałby surowe identyfikatory danych i konwertował je na te specjalne kody. Musiałaby istnieć główna tabela, która mapuje kody z powrotem na rzeczywiste identyfikatory procesów, które potrzebują oryginalnych informacji.

korzystając z tego podejścia, pracownicy mogliby następnie pracować z pseudonimizowanymi plikami, w których ukryte byłyby tożsamości osób, których dane dotyczą. Reszta pliku, oczywiście, będzie czytelna.

częściowe szyfrowanie jest może jednym ze sposobów myślenia o tej technice.

podobnie jak szyfrowanie, pseudonimizacja jest uważana za środek ochrony bezpieczeństwa (patrz art. 32) i jest również wyraźnie wymieniona jako „data by protection by design and by default” lub technika PbD (patrz art. 25). Jest również uważana za technikę minimalizacji danych osobowych-bardzo ważną dla RODO.

i w przypadku naruszenia danych wydaje się temu nie-pełnomocnikowi, że osoby, których dane dotyczą, niekoniecznie muszą być powiadamiane, jeśli ich pseudonimizowane dane zostały skradzione. Technicznie rzecz biorąc, zależy to od tego, czy w skradzionym pliku jest wystarczająco dużo quasi-identyfikatorów — zapamiętaj Kod Pocztowy, datę urodzenia i płeć — aby umożliwić hakerom ponowną identyfikację osoby, której dane dotyczą.

w każdym razie istnieją inne zalety pseudonimów. IAPP folks-organizacja non-profit dla profesjonalistów zajmujących się prywatnością, która obszernie napisała o RODO — ma świetny post na blogu wyjaśniający więcej na ten temat.

i napiszę więcej na ten temat w przyszłym poście.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.