Статията показва потребността от компетенции на ДЛЗД в областта на конструирането на архитектурите на софтуерни системи, според GDPR  security by design. GDPR и уменията на ДЛЗД поставят по нов начин изискванията за изграждане н акорпоративни компенетнции и експертни умения в служителите.

Конфиденциалност по дизайн е изискване на GDPR и уменията на ДЛЗД

 “Privacy by Design” се стреми да осигури максимална степен на поверителност. Това гарантира, че личните данни са автоматично защитени във всяка дадена информационна система или бизнес практика по подразбиране. GDPR и уменията на ДЛЗД трябва да отговорят на това изискване.

Регламентите и стандартите за неприкосновеността на личните данни налагат специфични указания за класовете данни, които трябва да бъдат защитени, включително лични данни, защитена здравна информация и финансови данни. Данните от сензорите на IoT се квалифицират като чувствителни лични данни съгласно Общия регламент за защита на данните (GDPR).

Такива са данните от:

  • гривните, с които спортистите си мерят натоварването във фитнеса, при бягане или друг спорт.
  • геолокацията при използване на навигация в автомобила,
  • идентификационните номера на превозните средства (VIN);
  • IP адресите;
  • данните от всички устройства, които носим със себе си и ползват услуги от интеренет, например телефона
  • както и много други данни.

Какво трябва да знае ДЛЗД или на английски DPO за данните в организацията?

Най-напред е добре да познава природата на данните, когато те се намират  в цифровизиран вид. Това състояние на данните се различава от конвенционалното им възприемане, когато се намират върху традиционните носители. За разлика от книгата, генерирани ат дадено устройство данни не може да бъдат върнати обратно.

След това е желателно да познава всички места в компанията, които съдържат данни. В GDPR те се наричат подкрепящи активи. В тези места данните най-често са смесени с лични данни. Кои са тези места е въпрос със специфичен отговор за всяка отделна организация.

На трето място би било полезно да познава развитието на жизнения цикъл на данните, до пенсионирането им. При това в контекста на ценността им за организацията. За различните категории лични данни жизнения цикъл има различни характеристики.

Рисковете от нарушенията с лични данни за организацията се оценяват и това е следваща компетентност за ДЛЗД.

След тези основни положения следват познаване на:

  • принципите за минимизиране на данните – при проектиране на информаионни системи и реинженеринг на процесите в организацията;
  • създаване на категории за личните данни, които се изпалзват в организацията;
  • етикетиране на данните, както е указано в GDPR;
  • добри и лоши практики за управление и защита на личните данни.

Пример за лоша практика

За да се съгласите да Ви използват личните данни, Ви предлагат да подпишете декларация, която съдържа всички реквизити от личната Ви карта и други лични данни.

Всъщност се нарушава изискването за минимизиране на данните. Ако се съгласявате да Ви използват данните за договор, който има номер и дата и съдържа въпросните лични данни какво може да се направи?

Отговорът е прост. На декларацията може да се остави само името Ви и номера и датата на договора. В противен случай организацията се товари да опазва и тези лични данни от декларацията. Което може да се избегне. Стига някой, например ДЛЗД, тоест DPO, да бъде попитан и той да знае какво трябва да се направи.

Решения на подобни, но доста по-сложни казуси предлагаме на обучаемите в нашата практика. След демонстрации на такива примери обучаемите сами решават нови казуси, за да придобият тренинг за реалната си работа като DPO.

следва конкретен случай, който осветлява потребността от GDPR.

Геопространствени данни съпътстват туитовете

В средата на май конференцията Human Factors in Computing Systems e организирана и проведена от Association for Computing Machinery. Изследователи от MIT и Oxford University споделиха откритията си за начините, по които се разкриват подробности за личния живот на публикуващите в Twitter.

Геопространствените данни за местоположението на туитващите

Оказва се, че геопространствените данни за местоположението на туитващите могат да предоставят достатъчно информация за хората, за да се установят неприемливо количество подробности за живота им.

Въпреки че туитовете на пръв поглед са безобидни линкове към клипове, снимки и т. н., те носят в себе си въпросните данни. Така дори технически неизкушени потребители са в състояние да научат по този начин подробности за личния живот на другия потребител. Къде живее и работи и съответно къде и по кое време се намира. Съвсем други са въпросите, които изникват когато прочетем внимателно изследването. Разбираме, че всички тези данни са достъпни през API, каквито се предлагат от множество социални мрежи и други видове онлайн услуги. Тези технологични артефакти са нерегулиран канал за изтичане на данни…
В експериментите са участвали две групи потребители. Едната група включва тези, които са си дали доброволно съгласието да бъдат трасирани, а другата група, въпросните неизкушени потребители са били тези, които трябва да открият данните и да синтезират информация за поведението и навиците на участниците в първата.
Тук му е мястото да припомним отношението на GDPR към профилирането…

Резултатите са интересни – за три дни са разкрити доста неща за всички наблюдавани, а за пет вече можете да видите на сайта на MIT.

Hits: 123