RODO w UE

Począwszy od 25 maja 2018 r., Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych znajdzie bezpośrednie zastosowanie we wszystkich krajach członkowskich Unii Europejskiej. Jego celem jest ochrona danych osobowych i swobodnego przepływu danych wewnątrz Unii Europejskiej. Podczas gdy w przypadku wymagań dotyczących odpowiedzialności za dane lub możliwości ich przenoszenia konieczne będą zmiany procesów wewnętrznych, ochrona konsumenta czy prawo do bycia zapomnianym – znane oficjalnie jako „prawo do usunięcia danych” – będą wymagały zmian w samej ochronie danych. Organizacje będą musiały upewnić się, że we właściwy sposób zabezpieczają prawa osób, których dane osobowe przechowują.

Dla firm ogromne wyzwanie stanowić będzie zapewnienie zgodności z różnymi wymaganiami RODO. Po pierwsze, trzeba będzie zidentyfikować wszystkie procesy, w których wykorzystywane są dane osobowe. Te procesy będą stanowiły punkty wyjścia do zaprojektowania programów zapewnienia zgodności z RODO oraz kluczowe czynniki zgodności. Dane te powinny zostać zweryfikowane i ocenione pod kątem szans na zminimalizowanie ich wolumenu lub ich całkowitą eliminację. Innym, niezwykle ważnym czynnikiem, jest jakość danych. Im lepsza jakość, tym łatwiej zdefiniować racjonalne sposoby zapewnienia zgodności z wymaganiami RODO.

Przygotowując się do zapewnienia zgodności z RODO, osoby odpowiadające za zapewnienie poufności danych muszą zaprojektować plany pozwalające na bezpieczne przechowywanie informacji w systemach przetwarzania danych ich organizacji. Dobre plany będą definiować nie tylko właściwy sposób obchodzenia się z danymi osobowymi w korporacyjnych środowiskach IT, ale także będą opisywać zasady i procesy ochrony danych, ponoszenia odpowiedzialności za dane, możliwości przenoszenia danych oraz prawa do ich usuwania.

Szczególnie pilną sprawą będzie zapewnienie bezpieczeństwa informacji w nieproduktywnych systemach aplikacji. Nie bez powodu systemy testowe są zwykle zasilane danymi w dużym stopniu podobnymi do danych systemu produktywnego. „Produktywne” dane osobowe mogą być używane w systemach testowych tylko pod warunkiem, że są odpowiednio zabezpieczone – zwłaszcza, jeśli do systemów aplikacji mogą uzyskać dostęp osoby przetwarzające dane z innych firm, mieszkające lub pracujące poza UE. Jednym ze sposobów na zabezpieczenie danych osobowych jest anonimizacja lub pseudonimizacja.

Wymagania dotyczące użytkowników SAP

Pierwszym etapem anonimizacji jest zdefiniowanie danych, które RODO uznaje za szczególnie wrażliwe. Istotne jest także zrozumienie, które procesy biznesowe wykorzystują lub przetwarzają poufne dane osobowe.

Ważna jest również komunikacja pomiędzy systemami. Łatwo jest stracić orientację, gdy informacje są wymieniane poza systemami lub nawet pomiędzy systemami tej samej struktury systemów. W przypadku, gdy dokona się anonimizacji danych w jednym systemie ERP i zaimportuje niezanonimizowane dane z innego systemu, może się skończyć na konieczności anulowania anonimizacji. Dlatego systemy aplikacji nie powinny być postrzegane jako silosy przeznaczone na potrzeby anonimizacji. Zamiast tego analiza powinna jasno zidentyfikować, jakie systemy komunikują się ze sobą i jakie dane sobie udostępniają.

Projekt koncepcyjny

W fazie projektu koncepcyjnego definiuje się, które dane wymagają anonimizacji lub pseudonimizacji oraz jak należy ich dokonać. Rozporządzenie o Ochronie Danych Osobowych (RODO) wymaga od firm zabezpieczenia danych osobowych osób fizycznych. Oznacza to przynajmniej zamaskowanie danych osobowych osób fizycznych poprzez anonimizację lub pseudonimizację.

Projektowanie procesów anonimizacji czy pseudonimizacji rodzi zwykle następujące pytania:

  • Czym dokładnie są „dane osobowe”?
  • W którym miejscu w systemie są wykorzystywane?
  • Jakie dane są wymieniane pomiędzy systemami?
  • W jaki sposób można zamaskować dane osobowe?
  • W jaki sposób można zapewnić spójność maskowania danych?
  • Jakie dane można anonimizować?
  • Jakie dane można pseudonimizować?
  • Jakie dane nadają się do pseudonimizacji?

Gdy faza analizy i projektu koncepcyjnego się zakończy, nadchodzi czas na implementację zatwierdzonych procedur. W fazie projektu koncepcyjnego definiuje się, które dane powinny zostać zanonimizowane i w jaki sposób. Ułatwia to opisanie środowiska maskowania z wieloma elementami:

Obiekty:

  • Dostawcy
  • Klienci
  • Partnerzy biznesowi
  • Pracownicy

Obszary:

  • Nazwiska
  • Adresy
  • Numery kont bankowych/IBAN
  • Dane do kontaktu

Reguły:

  • Stałe wartości z warunkami / bez warunków
  • Wartości rosnące
  • Szyfrowanie
  • Tabele przeglądowe

Racjonalne jest zdefiniowanie powyższych elementów w taki sposób, aby mogły być wykorzystywane w wielu różnych aplikacjach. W ten sposób powiązane dane będą maskowane spójnie w różnych systemach (jak np. ERP i CRM).

Do zapewnienia zgodności z wymaganiami RODO niezbędne są narzędzia, które łatwo i w sposób umożliwiający ponowne wykorzystanie pozwalają konfigurować ustawienia oraz szybko i spójnie anonimizować dane zbiorcze.

Takimi produktami są mi.in. nasze rozwiązania –  SNP Data Provisioning & Masking (SNP DPM) oraz All for One HR Cloner.