Запрос на доступ к теме GDPR: аутентификация не может быть второстепенной мыслью

Запрос на доступ к теме GDPR: аутентификация не может быть второстепенной мыслью

В преддверии конца прошлого года компании изо всех сил пытались обновить свои методы защиты данных. Более того, некоторые компании были оштрафованы за несоблюдение требований. Однако после длительного периода адаптации требования GDPR были стандартизированы для всех существующих программ обеспечения соответствия.

К чему многие компании были плохо готовы, так это к нападкам на потребителей, реализующих свои права в рамках нового режима. В соответствии с PMP потребитель может подать запрос на доступ к субъекту в организацию, чтобы определить, обрабатывает ли эта организация его персональные данные, и, если да, то имена сторон. с которым он был разделен. был разделен

Фактически, это лишь некоторые исследовательские вопросы, на которые пользователь как субъект данных может запросить ответы. Кроме того, после того, как SAR был отправлен в организацию, организация по закону обязана выполнить запрос, получить информацию и официально ответить субъекту данных, и все это в течение определенного периода времени. Один месяц

Запрос на доступ к теме.

SAR стал щекотливой проблемой для контроллеров данных, пытающихся удовлетворить большое количество требований клиентов. За это отвечают несколько факторов:

Во-первых, непросто определить, что представляет собой SAR; Постановление дает заинтересованному лицу право делать запрос по своему усмотрению, будь то рукописный запрос, устное или цифровое общение, от электронных писем до твитов. Учитывая отсутствие структуры и стандартизации, трудно масштабируемо идентифицировать и сегментировать SAR. Организации могут быть не в состоянии вовремя отреагировать или принять меры.

Во-вторых, получение данных, запрошенных для точного ответа на вопросы, поставленные в отчетах о проверке, уже важно. Действительно, специалисты по соблюдению требований, похоже, все больше обеспокоены тем, что в долгосрочной перспективе нерационально выделять непропорционально большое количество ресурсов на управление операциями SAR. Действительно, несколько организаций обратились к регулятору с просьбой дать больше ясности относительно того, могут ли они начать взимать с клиентов плату за RAS, если запросы будут сочтены чрезмерными.

И есть третья проблема, требующая особого внимания: проверка подлинности личности человека, делающего запрос. Раскрытие личной информации без подтверждения личности человека, выдающего себя за это лицо, может иметь катастрофические последствия. Фактически, обработка мошеннического SAR и раскрытие личной информации похитителю личных данных подрывает саму идею защиты данных, которую стремится поддерживать GDPR. Организации должны обеспечить, чтобы лицо, выполняющее СР, не числилось в списке лиц, причастных к краже личной информации.

Кредит изображения: Shutterstock

Кредит изображения: Shutterstock

(Изображение: © Pexels)

Аутентификация личности пользователя.

Неизбежно будут случаи, когда лица, устанавливающие SAR, не смогут аутентифицировать себя, используя информацию, хранящуюся у контроллера данных, — редкие, но не редкие случаи, когда лицо потеряло свои идентификаторы. Подключены или больше не имеют доступа к электронной почте, которую они использовали для создания своей учетной записи. В таких ситуациях организации могут рассмотреть возможность использования подхода, основанного на оценке рисков, чтобы определить, является ли лицо, выполняющее RSA, вовлеченным лицом.

Оглядываясь назад, кажется, что по мере того, как организации быстро устанавливают контроль и реорганизуют свои программы защиты данных, чтобы стать жалобой на GDPR, важность проверки SAR оказалась похоронена под горой других насущных проблем. . Теперь, когда у организаций был год, чтобы адаптироваться к этой новой среде, ориентированной на GDPR, важность подлинности личности человека, выполняющего RAD, больше нельзя игнорировать.

Зак Коэн, генеральный директор компании Трулиоо