Wizards

W ostatni wtorek świat obiegła informacja o pozwaniu 👉 sieci Walmart 👈 przez klientów poszkodowanych w wyniku rzekomego ataku hakerskiego. Dane dostały się m.in. do dark webu.

Pozew jest efektem wprowadzenia na początku roku California Consumer Privacy Act (CCPA), zbliżonych do naszego RODO przepisów o ochronie danych osobowych konsumentów. CCPA daje przestrzeń osobom prywatnym do dochodzenia praw przed sądem i ubiegania się m.in. o ustawowe 750 $ odszkodowania za każde naruszenie przepisów.

Od początku roku dziesiątki firm, takich jak Walmart zostało pozwanych przez swoich Klientów. Co ciekawe, nie jest do końca jasne, czy rzeczywiście wyciek danych przez stronę WWW potentata miał miejsce. O tym zdecyduje sąd.

Czy myślicie, że nas również czeka stopniowe zaostrzanie przepisów RODO i w efekcie prywatni Klienci masowo dochodzący swoich praw w sądach?

Więcej informacji znajdziecie w artykule poniżej:

https://news.bloomberglaw.com/privacy-and-data-security/walmart-faces-data-breach-suit-under-californias-privacy-law

Webinary z cyklu zaowocowały szeregiem pytań.
Jedno z nich wywołało ciekawą dyskusję.

Czy przepisy mówią o dozwolonym % identyfikowalnych osób w anonimizacji❓

Pytający podał przykład baz medycznych, które anonimizując pacjentów pozostawiają część danych prawdziwych w celu analizy, np. datę urodzeń. Ktoś dociekliwy mógłby powiązać zanonimizowanego pacjenta ze wspomnianą w prasie matką czworaczków. A to już identyfikacja.

Nie ma jednoznacznego zapisu prawnego. Pełna anonimizacja oznaczałaby brak możliwości analizy danych, musimy zatem zadbać o JAKOŚĆ anonimizacji (de-identyfikacji), co oszacuje dopuszczalne ryzyko. Jego poziom określimy na bazie kategorii dostępu do danych:
- czy zbiór danych wykorzystamy wewnątrz organizacji;
- czy przekażemy innym podmiotom;
- czy będzie dostępny publicznie.

Istnieją techniki zwiększające bezpieczeństwo de-identyfikacji już udostępnionych danych, jak np. k-anonimizacji, l-dywersyfikacji czy t-bliskości.

Podejmowane przez nas działania nie usuną ryzyka identyfikacji. Naszym zadaniem jest zapewnienie jak największej jakości de-identyfikacji, utrzymując jednocześnie użyteczność zbioru danych w analizie.

Szersze wyjaśnienie w komentarzach na grupie RODOwIT. https://www.linkedin.com/groups/8921504/

RODO nakłada obowiązek retencji danych na ich administratora, uzależniając czas ich przechowywania od niezbędności ich przetwarzania do realizacji celów, dla których zostały pozyskane. (Art. 5 ust. 1e)
Kary są dotkliwe, jeśli organizacja nie spełni tego wymogu. A musimy pamiętać o:
regularnym monitorowaniu okresu przechowywania danych w ramach konkretnego celu ich przetwarzania;
usuwaniu tych danych we wszystkich systemach je wykorzystujących.

My stanęliśmy przed tym wyzwaniem realizując nasze projekty, podobnie nasi klienci.
Rozwiązaliśmy problem, tworząc Oblivio - gotowe narzędzie spinające wszystkie systemy dziedzinowe w firmie, które pozwala na centralną, zautomatyzowaną realizację prawa do zapomnienia.

Jak Wasze firmy poradziły sobie z tym problemem?
Sprawdź Oblivio:
https://wizards.io/oblivio/

Za nami webinar RODO w IT w pigułce. Zainteresowanie przeszło nasze oczekiwania. Widzimy, że jest taka potrzeba, więc chcemy kontynuować cykl.

Dziękujemy za wszystkie pozytywne komentarze, pytania i celne uwagi. Dzięki nim wiemy na czym skupić się podczas następnych webinarów i w trakcie pracy nad kolejnymi artykułami.

➡️ Co działo się na tym webinarze? Skupiliśmy się głównie na wątkach związanych z anonimizacją i retencją danych. Rozmawialiśmy również o sztucznej inteligencji, w tym o jej kolorze ;), ale także o trudnościach, które napotykamy zarówno po stronie compliance, jak i IT w kontekście privacy&security.

Wszyscy uczestnicy webinaru otrzymają od nas dostęp do całego nagrania, Listę Kontrolną, którą warto przejrzeć za każdym razem, gdy staniemy przed wyzwaniem związanym z ochroną danych osobowych.

Wszystkich, którym nie udało się do nas dołączyć, zapraszamy do grupy ➡️ RODO w IT ⬅️ na LI, w której będziemy publikować m.in odpowiedzi na pytania, które otrzymaliśmy w ramach webinaru oraz ciekawostki z obszaru privacy&security.

➡️ https://bit.ly/2S6ltZZ

Zachęcamy również do śledzenia naszego firmowego profilu. Już wkrótce zaprosimy Was do przeczytania kolejnych artykułów z cyklu RODO w IT i wzięcia udziału w następnych webinarach.