Už by sme mali vedieť, aké osobné údaje v organizácii spracovávame, a tiež sme si overili, či ich spracovávame legálne, účelovo a či všetky tieto údaje, ktoré uchovávame, naozaj potrebujeme.
Teraz musíme aktíva obsahujúce osobné údaje laicky povedané zaškatuľkovať, teda kategorizovať. Citlivosť osobných údajov je nevyhnutné posudzovať z hľadiska dopadu na práva a slobody dotknutých fyzických osôb, ako sú napríklad strata povesti, zníženie spoločenského uplatnenia, rôzne formy diskriminácie až po riziko ohrozenia života. K tomu môže napríklad dôjsť v zdravotníctve pri poškodení zdravotníckej dokumentácie. Stupeň citlivosti osobných údajov je dôležitým vstupom k posúdeniu rizík, z ktorých sa potom bude odvíjať požadovaná úroveň zabezpečenia pre aktíva v danej kategórii.
Vlastná kategorizácia údajov sa jednoduchšie realizuje v štruktúrovaných formátoch, čo sú obyčajne databázy. Pokiaľ sú vaše aktíva uložené v SQL databázach, potom môžete využiť rozšírené štítky a textové popisy polí k označeniu osobných údajov a podľa nich potom vynútiť silnejšie spôsoby riadenia prístupov a šifrovania.
Komu dať aké práva?
Nastavovanie prístupových práv je možné priamo v jednotlivých tabuľkách alebo v stĺpcoch v databázach, prípadne sa dá pracovať s vlastnosťami dynamického maskovania (Dynamic Data Masking). Tým podporíme princíp minimalizácie spracovania. Nie všetci vo firme potrebujú pri svojej práci "vidieť" všetky osobné údaje vašich zamestnancov, obchodných partnerov či zákazníkov.
Cloudová databáza Azure SQL Database naviac dokáže automaticky vyhodnocovať potenciálne citlivé osobné údaje a sama môže navrhnúť zapojenie funkcie dynamického maskovania. Neumožní teda dáta "vyniesť von" bez osobitného autorizačného procesu. Pre prístup k údajom s vyšším rizikom je ďalej vhodné obmedziť práva na základe takzvanej "row-level security", teda autorizácie prístupu na úrovni iba určitých riadkov v databáze.
Ako skrotiť neštruktúrované údaje
Viac práce nám zaberie kategorizácia neštruktúrovaných dát, čo sú obyčajne emaily a rôzne textové dokumenty. Najväčšiu podporu tu ponúka napríklad cloudová služba Azure Information Protection (AIP), ktorá pomôže oštítkovať jednotlivé druhy dokumentov alebo emailov z hľadiska výskytu a citlivosti osobných údajov. Vo verzii Office 365 E5 sa dá tento proces i automatizovať s využitím strojového učenia. AIP zároveň umožní sledovať, odkiaľ sa geograficky pristupuje ku chráneným dokumentom alebo emailom, čo je dôležité pri mapovaní toku osobných údajov a rozhodovaniu o úrovni opatrení.
Podľa štítkov sa potom vo firme opäť dá vymedziť prístup iba pre určité okruhy osôb a vynútiť určitý spôsob dodatočnej ochrany, napríklad šifrovania. Na tieto štítky môžu reagovať aj systémy proti únikom informácií (DLP), ktoré tieto typy dokumentov nepustia von z organizácie. Konkrétne Office 365 DLP má k dispozícii viac než 80 preddefinovaných šablón textov a čísiel, dokáže teda rozpoznať rodné čísla, kreditné a debetné karty či čísla IBAN a ďalšie šablóny sa dajú ľubovoľne vytvoriť. Táto funkcia je k dispozícii pre emaily i dokumenty uložené v SharePoint Online či OneDrive for Business.
Office 365 Data Governance umožňuje nastaviť najmä retenčné firemné politiky. Ide o pravidlá dôležité pre skartáciu dokumentov na základe časového obmedzenia súhlasu so spracovaním. Funkcia Advanced Data Governance môže tieto nastavenia urýchliť vďaka strojovému učení.
Pre štrukturované aj neštruktúrované dáta možno využiť najmodernejšie cloudové nástroje Azure Data Factory a Azure HDInsight, ktoré dokážu sledovať a vyhodnocovať obsah tokov dát pomocou strojového učenia. Dajú sa „vytrénovať“ na kľúčové výrazy, ktoré majú hľadať, a ich výskyt môžu potom logovať a graficky vizualizovať formou dashboardu.
Vymedzenie prístupov systémových správcov, auditorov a editorov možno uskutočniť vo všetkých variantoch pomocou Azure Role-Based Access Control (RBAC) na princípe separácie úloh.
Vývoj ide stále dopredu
Existuje viacero ďalších riešení, ktoré dokážu dáta vo vašej firme či organizácii zaškatuľkovať podľa vyššie uvedených vlastností. Okrem toho sa stále objavujú a skúmajú ďalšie možnosti automatickej identifikácie, kategorizácie a ochrany citlivých osobných údajov, sledovanie ich zmien a využitia.
S každým novým produktom prichádzajú ďalšie systémové opatrenia a odporúčania s pomocou strojového učenia a umelej inteligencie. Tieto opatrenia sa okrem iného objavia aj v ďalšej časti seriálu, ktorá sa bude týkať samotnej ochrany dát.
Podrobný návod, ako využiť cloud k zaisteniu zhody s GDPR, nájdete TU.
Autor článku: Zdeněk Jiříček, riaditeľ pre technologické štandardy, Microsoft Česko a Slovensko
Prečítajte si aj druhý diel seriálu s témou „Ako zvládnuť správu dát? Čo nepotrebujete, vyhoďte“.
V seriály ako prežiť GDPR zatiaľ vyšlo
