Соответствие ВВП

Только что узнал об этом новом постановлении, он станет законом в 2018 году и затронет любого, кто хранит данные о гражданах ЕС, которые могут быть использованы для идентификации человека. Подробнее здесь.

У меня есть страница, которая не хранит имена и точные адреса, но хранит даты рождения и страну/город как местоположение и использует эти два для предоставления услуги (которая является основной услугой, поэтому я не могу просто прекратить сбор этих данных),

Насколько я понимаю, я должен предпринять некоторые меры для обеспечения соответствия ВВП, но я не нашел разумных объяснений, что это значит. Существует десяток статей, которые перефразируют параграфы ВВП, что совсем не помогает.

Я не против полного удаления, объясняя, какие данные я храню пользователям и близким точкам... В чем меня больше всего беспокоит, так это часть анонимных данных, поэтому в случае нарушения они не могут быть использованы для идентификации человека. Как я должен это делать? Если я храню адрес электронной почты, используемый для проверки учетной записи пользователя и привязываю данные о дате рождения и местоположении с помощью PK к этому подтвержденному электронному письму, они уже не являются анонимными... и они не могут быть, не так ли?

Любая мысль о том, что практические решения станут приемлемыми для ВВП?

Ответы

Ответ 1

В конечном счете, в Великобритании, GDPR будет введен в действие Управлением информации ICO. Несмотря на то, что некоторые из положений довольно четко очерчены, статьи, касающиеся анонимности, открыты для интерпретации, и мы, вероятно, только полностью поймем, как линия будет нарисована после того, как ICO выполнит дело, относящееся к ней. Сказав, что на их сайте есть куча хорошей информации.

Они также являются группой ученых в Великобритании, которые консультируют как ICO, так и бизнес (бесплатно) об анонимности. Они называются британской Anonymisation Network - UKAN. У меня была веб-встреча с ними - они потрясающие.

Вряд ли вам придется анонимизировать свои данные, если вы используете стандартное шифрование для хранения ваших данных в покое. Анонимность может пригодиться, если вы делитесь какой-либо из этих данных с третьими лицами. В случае нарушения их системы вы можете продемонстрировать, что сделали все возможное, чтобы снизить риск.

Анонимизация затруднена, множество примеров отдельных лиц повторно идентифицируются из "анонимных" наборов данных посредством ссылки на общедоступные наборы данных или плохую анонимность. Что касается способов достижения этого одного инструмента, я могу порекомендовать его - Anon AI. Мы все еще строим продукт в настоящий момент, но мы рассмотрим сложность анонимности, чтобы вы могли анонимизировать свои данные с помощью простых команд.

Нажимайте исходные данные на программное обеспечение или веб-сервис;

anon push {path to your db dump} {reference name}

Потяните анонимную версию обратно;

anon pull {reference name}

Если вы хотите раннего доступа, дайте мне знать.

Ответ 2

Я согласен с вышеизложенным - GDPR - отличная вещь для прав на конфиденциальность и контроля данных. Я также согласен, что существует миллион сайтов, просто перефразируя gdpr! Что касается практических шагов, в этом месяце ICO выпустит больше указаний. Но имеет смысл начать с определения того, какие пользовательские данные вы обрабатываете, обоснованы ли причины этого и есть ли у вас просьба об EXPLICIT для использования этих данных таким образом. В дополнение к этому вы должны подумать о том, как вы можете удалить данные, если они запросили.

Существуют службы, которые будут сохранять независимую запись опций и предупреждать вас об уязвимостях данных. В некоторых случаях анонимность работает, в других случаях, если у вас есть разрешение, тогда вам нужно всего лишь удалить процесс и провести контрольный журнал.