Персональные данные: разбираемся в GDPR
Интервью с Джеем Екзэмом (Jay Exum), юристом по вопросам конфиденциальности в SAS
Cindy Turner, Редактор SAS Insights
90% мировых данных было создано за последние 2 года. Все больше и больше данных поступает через IoT-устройства – это причина экспоненциального увеличения персональных данных.
Сегодня эти данные стали более легкодоступными и более приемлемыми по цене для обработки и хранения, чем когда-либо прежде. В результате многие компании собирают значительные объемы персональных данных о людях. Но наша способность собирать и хранить личные данные возросла быстрее, чем способность продумывать, как управлять ими и защищать их.
Чтобы узнать больше о понятии «персональные данные», почему об этих данных говорят в новостях и почему они жестко регулируются Общим положением о защите данных (GDPR), мы пообщались с Джеем Экзэмом, юристом по вопросам конфиденциальности в SAS.
Требования GDPR к миру данных
Чтобы понять, как влияет GDPR, SAS провела глобальное исследование в 2018 году среди 183 межотраслевых бизнесменов. В этой электронной книге говорится об их больших прорывах и проблемах. Здесь вы можете получить советы от экспертов и узнать, какие шаги они уже предприняли.
Что означает термин «персональные данные» и каково его юридическое определение в соответствии с GDPR?
Инстинктивно большинство людей путают значения, когда пытаются понять, что такое «персональные данные». Например, вы можете подумать о номере вашего рабочего телефона, а не о вашем «более личном» номере социального страхования. В рамках GDPR следует размышлять иначе.
Общее положение о защите данных использует чрезвычайно широкое определение персональных данных. Это не зависит от того, к какой категории относятся данные, и не имеет значения, насколько они конфиденциальны. «Персональный» не означает «конфиденциальный».
Регулирование GDPR касается не только данных, которые вы считаете персональными. Речь идет о данных, которые могут быть связаны с вами как с личностью. GDPR определяет персональные данные как любую информацию, которая относится к идентифицированному или идентифицируемому лицу. Довольно широкое понятие. Это означает, что если данные привязаны к конкретному человеку – даже если для их получения требуются дополнительные шаги (например, наличие ключа шифрования или другие знания) – это персональные данные.
Подумайте об IP-адресе, который ваш компьютер использует для подключения к Интернету. Если кто-то увидит этот адрес, он не узнает, кто его использует. Но с учетом дополнительной информации можно будет привязать этот IP-адрес к вам. Таким образом, согласно GDPR, IP-адрес является косвенно идентифицируемой персональной информацией.
Прямо идентифицируемые данные однозначно привязаны к человеку, например, имя или дата рождения. Косвенно идентифицируемые данные могут быть привязаны к человеку, но только после того, как будут предприняты дополнительные шаги. Джей Экзэм (Jay Exum) юрист по вопросам конфиденциальности SAS
Идентифицируемая личная информация (PII) и персональные данные – это одно и то же?
Определение термина «идентифицируемая личная информация» является неоднозначным. В большинстве случаев люди определяют PII одним из двух способов: либо вновь мыслят категориями, либо рассуждают, насколько легко информация может ассоциироваться с ними. Определение «персональных данных» с точки зрения GDPR , наоборот, не зацикливается на этих двух вариантах. Оно охватывает все, что даже теоретически может быть привязано к человеку.
Рассмотрим общедоступную социальную сеть. Многие скажут, что это не личные данные, потому что они не являются частными или конфиденциальными – в конце концов, они уже опубликованы. Но они по-прежнему связаны с вами как с личностью, потому что они связаны с вашими учетными записями в Твиттере и электронной почтой. В конечном счете с их помощью можно найти вас. Согласно GDPR, это личные данные.
В GDPR говорится о контроллере данных и процессоре данных. Что означают эти термины и какую роль играют контроллеры и процессоры в защите персональных данных?
Определение процессора в GDPR такое же широкое, как и определение персональных данных. Практически все, что вы можете себе представить – любая деятельность, связанная с личными данными – заключает в себе обработку. Это не просто компьютерные операции; необязательно даже включать компьютер. Обработка включает в себя сбор, хранение, предоставление доступа и резервное копирование данных, цифровых или иных. Даже если вы просто просматриваете личные данные с удаленного соединения, это все равно считается «обработкой» данных.
Согласно GDPR, и контроллеры, и процессоры «обрабатывают» персональные данные. Но контролер данных – это сторона, уполномоченная решать, что происходит с данными. Процессор делает что-то конкретное с данными по поручению контроллера.
Например, контроллеры решают, с кем поделиться своими данными и как они будут использоваться. SAS является контролером для своих кадровых данных. Мы решаем, кем будут наши «обработчики» – например, поставщики заработной платы или поставщики медицинских услуг. Но иногда SAS также является процессором данных, например, когда мы размещаем данные клиента в организованной среде.
GDPR возлагает основную ответственность на контроллеров. Например, контроллер отвечает на запрос субъекта данных быть забытыми или нет. Но контроллеры данных должны убедиться, что они работают с авторитетными процессорами, которые позволят им отвечать на подобные запросы.
В GDPR говорится, что как контроллеры, так и процессоры могут быть привлечены к ответственности за неправильное обращение с личными данными в некоторых случаях. Хотя контролеры могут нести главную ответственность во многих отношениях в рамках GDPR, сами «обработчики» данных несут прямую ответственность.
Можно ли скрыть личные данные или сделать их анонимными? Будет ли это достаточной защитой персональных данных в рамках GDPR?
Во-первых, важно отличать «анонимные» данные от «псевдонимных». Истинно анонимные данные не регулируются GDPR, но GDPR строго относится к тому, что это значит. Данные могут быть анонимными только в том случае, если было бы практически невозможно идентифицировать человека с помощью оставшихся данных. Такую ситуацию сложно представить.
Псевдонимные данные раскрыть очень трудно, но возможно. Подумайте о списке сотрудников и их зарплатах. Вы можете использовать сложный алгоритм для шифрования идентифицирующей информации, чтобы никто не мог ее интерпретировать без ключа. Это конфиденциально. Но даже если данные не могут быть прочитаны или доступны для человека после определенного процесса, это все же личные данные, потому что где-то существуют ключи для разблокировки этих данных.
Нет простого ответа на вопрос, является ли псевдонимность «достаточной». Во-первых, есть много разных способов сделать это, и они все по-разному защищают. Во-вторых, GDPR ожидает, что вы будете использовать меры конфиденциальности, которые соответствуют характеру информации и процессу обработки. Таким образом, ваши усилия могут быть достаточными в сценарии со средней деликатностью, но не в сценарии с высокой деликатностью.
Должен ли я отказаться от попыток деидентификации личных данных? Что еще я могу сделать, чтобы защитить личные данные?
Нельзя легко получить доступ к личным данным, как это определено в GDPR, но псевдонимировать ваши данные – это хорошая идея, когда это целесообразно. Даже несмотря на то, что GDPR все равно считает такие данные персональными, деидентификация данных означает, что вы предпринимаете шаги для защиты конфиденциальности. И это хорошо.
Существует также много других способов защиты личных данных. Просто выделю несколько: вы можете контролировать доступ к личным данным; при необходимости использовать шифрование; поддерживать разумную политику управления; проверять, что вы не собираете и не используете больше персональных данных, чем вам необходимо; и безопасно распоряжаться ими, когда нет больше веских причин их хранить.
Конфиденциальность изменяет риски, связанные с данными, поэтому вам нужно быть особенно внимательными к защите конфиденциальных личных данных, таких как генетические данные или религиозные убеждения. Но вы всегда должны быть предусмотрительными – со всеми личными данными следует обращаться осторожно. Джей Экзэм (Jay Exum) юрист по вопросам конфиденциальности SAS
Каким образом персональные данные могут быть раскрыты или неправильно использованы? Какие проблемы это вызывает?
Инцидент Facebook и Cambridge Analytica выявил проблемы, которые многие люди не рассматривали ранее. История началась с того, что профессор из Кембриджа собирал личные данные примерно от 240 000 человек для академических целей – об этом было сказано в политике конфиденциальности Facebook и условиях использования. Но когда он передал данные третьей стороне, число пострадавших выросло до 87 миллионов. Почему? Поскольку данные больше не были данными первоначальных владельцев учетных записей Facebook – это были также данные всех их контактов.
Компаниям следует учитывать «конфиденциальность по своему замыслу и по умолчанию». Такой подход к минимизации данных означает, что вы собираете, храните и используете минимальный объем данных, необходимый для ведения вашего бизнеса. Это значит, что нужно задавать вопросы заранее и обдумывать будущие сценарии. Например, вы можете спросить: должны ли мы передавать эти данные лицу или организации, которые их запросили? Если да, то сколько данных мы должны предоставить? В какой форме? Что мы можем сделать, чтобы защитить данные, прежде чем делиться ими?
Если вы сначала посмотрите на свои данные с точки зрения конфиденциальности, вы будете больше проверять, сужать поля данных и избегать использования конфиденциальных личных данных. Вы можете предоставить псевдонимные данные третьим лицам. Такой подход будет гораздо менее навязчивым в отношении конфиденциальности и нанесет вред меньшему количеству людей, если данные будут когда-либо скомпрометированы. Еще одно преимущество: если ваша организация намеренно использует конфиденциальность и впоследствии оказывается взломанной, получаемый в результате ущерб будет гораздо менее серьезным.
Как вы думаете, большинство американских компаний полностью понимают, что такое персональные данные в контексте европейского GDPR?
Американские организации с глобальным присутствием думают о широком определении персональных данных в GDPR. Поскольку SAS является глобальной компанией, нам действительно пришлось задуматься над этим. Мы знаем, что субъекты данных в Евросоюзе могут привлечь нас к ответственности за то, что мы делаем с их данными.
Отвечая на запросы о правах субъекта данных, необходимо знать, где вся информация этого человека находится в нескольких системах, как она используется, хранится, защищается и почему она перемещается. Компании, которые готовятся к ответственности за все персональные данные, обрабатываемые ими в рамках GDPR, быстро осознают, что это важное начинание. Особенно это понимают те, кто содержит многолетние данные в своих системах.
Как думаете, что произойдет в будущем – какие будут вызовы и возможности?
Невозможно предвидеть все возможности, все контексты, в которых персональные данные вступают в игру. Мы только начинаем задумываться о том, что это значит, и о том, что нам следует подумать о разумном использовании личных данных. Здесь нет карты, которая подскажет, куда идти.
Есть очевидные преимущества GDPR. Переосмысление того, как вы управляете персональными данными в рамках всего бизнеса, может помочь вам работать более эффективно и результативно. Процесс такой проверки может выявить неэффективность бизнеса и риски, о которых вы даже не подозревали. Это может помочь освободить место для хранения и пропускную способность. Более того, GDPR создаст новые возможности получения дохода благодаря новым продуктам и бизнес-моделям.
Однако есть одна огромная проблема – как обращаться с персональными данными в глобальном масштабе, во всей организации. Это юридическая проблема или технологическая? Я думаю, что это сочетание двух проблем. Но нет простого набора шагов, который их решит. Я думаю, что в новостях скоро появятся истории с извлеченными уроками. Вещи хаотичны. Я думаю, что они останутся такими, пока мы не достигнем точки равновесия – культурной, юридической и технологической. Это страшно, интересно и серьезно одновременно.
Рекомендуем прочитать
- Article The transformational power of evidence-based decision making in health policyState health agencies are under pressure to deliver better health outcomes while minimizing costs. Read how data and analytics are being used to confront our biggest health care challenges head on.
- Article Hadoop in the boardroom?The Hadoop technology trend is still on the rise, with Hadoop uses moving from IT to the business units. But what about Hadoop in the boardroom? Learn why executives are discussing this disruptive technology and what they expect it to provide.
- Components of an information management strategyBefore starting a data management strategy for your business, you need to understand each component. Data expert David Loshin breaks them down.
- Goooooal! How data stewards score with data visualizationWhen it comes to data visualization, the role a data steward plays is not so different from that of a referee. They both enforce rules, stay true to the game -- and are critical to success.
Подпишитесь на рассылку Инсайтов SAS