Łukasz Leszewski, Head of Data Management Practice, SAS Polska

Regulacja sama w sobie nie definiuje, tak jak to miało miejsce w ustawie o ochronie danych osobowych (UODO), konkretnych wytycznych, w jaki sposób bezpiecznie przetwarzać i przechowywać dane osobowe. Obecnie to organizacja, która chce lub musi te dane przetwarzać, ma udowodnić, że ochrona danych osobowych jest realizowana na odpowiednim poziomie. Dodatkowo regulacja rozszerza definicję danych osobowych. W myśl nowych przepisów są to wszystkie dane, które identyfikują konkretną osobę lub pozwalają ją zidentyfikować bezpośrednio lub pośrednio. Ta definicja obejmuje takie dane, jak np. numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy. RODO stawia przed firmami nowe wyzwania w zakresie zabezpieczenia danych osobowych i zdefiniowania procesu zarządzania danymi w organizacji. Organizacje muszą:

• Zidentyfikować wśród posiadanych danych dane osobowe
• Określić, gdzie dane osobowe są przechowywane i przetwarzane
• Sprawdzić, w jaki sposób dane osobowe przepływają w ramach całej organizacji
• Ustalić, kto w organizacji lub poza nią przetwarza dane osobowe

W niedługim czasie RODO na pewno spowoduje, że organizacje zaczną baczniej przyglądać się aspektom bezpieczeństwa i mechanizmom przetwarzania danych. Wiele firm zaczyna już pracować nad dopasowaniem procesów biznesowych i procedur, jednak warto pamiętać, że te działania pociągną za sobą szereg zmian również w zakresie bezpieczeństwa infrastruktury oraz oprogramowania do zarządzania danymi (Rysunek 1)

SAS od wielu lat jest liderem rynku w obszarze analityki i technologii do zarządzania danymi. Oprogramowanie SAS for Personal Data Protection wspiera kompleksowo proces przetwarzania danych, począwszy od ich identyfikacji, katalogowania, a skończywszy na zabezpieczaniu i monitorowaniu. W przypadku dostosowania firmy do wymogów RODO, SAS rekomenduje podejście składające się z 5 kroków.

Krok 1. Dostęp

W celu stworzenia procesu identyfikacji, katalogowania i zabezpieczenia danych niezbędny jest dostęp do danych posiadanych przez organizację. SAS umożliwia dostęp do praktycznie każdego źródła danych, a swoje analizy może oprzeć zarówno o dane strukturalne w bazach danych, jak i niestrukturalnych zgromadzonych w plikach i dokumentach. Jeśli wymagane jest oddzielenie procesów związanych z RODO od pozostałych procesów biznesowych lub zminimalizowanie zakłóceń bieżących procesów przetwarzania, można zastosować technologię wirtualizacji danych w celu usprawnienia procesu ochrony danych osobowych.

Krok 2. Identyfikacja

Dzięki oprogramowaniu SAS i zlokalizowanemu rozwiązaniu SAS Personal Data Sniffer można skutecznie wyszukiwać i identyfikować szereg danych osobowych, takich jak numery PESEL, adresy IP, numery kart kredytowych, numery prawa jazdy, numery rejestracyjne oraz wiele innych. Dzięki SAS można wyodrębnić dane osobowe zarówno ze strukturalnych, jak i niestrukturalnych danych, niezależnie od miejsca ich pochodzenia.

Zaawansowane algorytmy wykraczają poza tradycyjne metody pobierania próbek i ręczne procesy, co pozwala znacznie usprawnić obecne metody wykrywania danych osobowych. Rozwiązanie to oparte jest o polską bazę wiedzy o jakości danych (SAS Quality Knowledge Base). To rozwiązanie, poza wsparciem procesów identyfikacji danych osobowych, zawiera szereg mechanizmów usprawniających jakość danych przy pomocy takich mechanizmów jak parsowanie, ekstrakcja, identyfikacja, standaryzacja danych oraz rozmyte łączenie wartości podobnych. Polska baza wiedzy o jakości danych została wykorzystana i sprawdzona podczas wielu projektów związanych z poprawą jakości danych, zrealizowanych w kraju, jak i za granicą.

Krok 3. Zarządzanie

Po zidentyfikowaniu danych osobowych konieczne jest precyzyjne określenie ról i odpowiedzialności za dane osobowe w konkretnych systemach. W celu jednolitego rozumienia regulacji RODO w organizacji niezbędne jest wspólne uzgodnienie definicji pojęć oraz określenie prawa dostępu do konkretnych danych osobowych, a także zdefiniowanie do jakich celów można te dane wykorzystywać.

Budując platformę usprawniającą niezbędną wiedzę dotyczącą RODO w organizacji można powiązać terminy i definicje z rzeczywistymi danymi, które zostały wykryte w fazie identyfikacji. Następnie można połączyć powiązania biznesowe z definicjami IT, tworząc spójny i przejrzysty obraz przetwarzania danych osobowych w organizacji.

Krok 4. Ochrona

Po znalezieniu wszystkich danych osobowych i utworzeniu całościowego przepływu informacji dotyczących osób w ramach organizacji, nadszedł czas, aby ustalić prawidłowy poziom ochrony danych. Istnieją trzy techniki zabezpieczania, które można wykorzystać do zapewnienia zgodności z wymogami ochrony danych:

• Anonimizacja, która usuwa dane osobowe z danych
• Pseudonimizacja, która zastępuje dane osobowe w danych
• Szyfrowanie, które koduje dane osobowe w danych

Dodatkowo warto pamiętać, że ochrona danych osobowych obejmuje również uwierzytelnianie, autoryzację, monitorowanie i kontrolę bezpieczeństwa użytkowników, którzy mają dostęp do danych osobowych. Te zabezpieczenia pozwalają na to, aby przetwarzać dane klientów z poszanowaniem ich prywatności podczas procesów analizy, prognozowania, sprawdzania, raportowania i przechowywania danych w organizacji.

Rozwiązanie SAS for Personal Data Protection posiada silne mechanizmy zapewniania bezpieczeństwa, które mogą pomóc w tych działaniach - zawiera gotowy zestaw komponentów i funkcji, które bardzo przyśpieszają procesy zabezpieczania danych.

Krok. 5 Audyt

W ostatnim kroku rozwiązanie oferuje mechanizmy raportowania, aby zwizualizować wyniki procesów identyfikacji czy zabezpieczania danych i umożliwić tworzenie łatwych do zrozumienia raportów, które mogą być udostępniane audytorom i pracownikom.

Raporty te przedstawiają miary kontrolne stosowane zarówno do systemów, jak i użytkowników systemów. Dzięki temu można łatwo sprawdzić, jakie typy danych są używane w organizacji oraz kto z nich korzysta i w jakim zakresie.

W perspektywie SAS, RODO to nie przykry obowiązek, ale także szansa dla organizacji, aby jeszcze lepiej zarządzać danymi. Dane są pełnoprawnym aktywem organizacji, zgodność z RODO może być początkiem drogi do wprowadzenia Data Governance czyli ładu danych w organizacji. Ład ten na pewno zarówno w krótkimi jak i długim terminie przyniesie szereg korzyści związanych na przykład z poprawą jakości danych i optymalizacją procesów przetwarzania danych w organizacji. A to może pomóc w zwiększeniu efektywności kluczowych procesów biznesowych w przedsiębiorstwie.