В преддверии конца прошлого года компаниям было трудно обновлять свои методы защиты данных. Фактически, некоторые компании были оштрафованы за несоблюдение требований. Однако после длительного периода корректировки требования GDPR были стандартизированы в существующих программах соответствия.
К чему многие компании были плохо готовы, так это к нападению на потребителей, реализующих свои права при новом режиме. В соответствии с PMP потребитель может подать запрос на предметный доступ в организацию, чтобы определить, обрабатывает ли эта организация персональные данные о нем, и, если да, с именами сторон. с кем он был разделен. был опубликован
На самом деле, это лишь некоторые из исследовательских вопросов, на которые пользователь, как субъект данных, может запросить ответы. Кроме того, после того как SAR был отправлен в организацию, организация по закону обязана выполнить запрос, получить информацию и официально ответить субъекту данных в течение определенного периода времени. Один месяц
Запрос доступа к теме.
SAR стал сложной проблемой для контролеров данных, пытающихся справиться с множеством требований клиентов. За это ответственны несколько факторов:
Во-первых, непросто определить, что представляет собой SAR; Регламент разрешает заинтересованному лицу подавать запрос по своему усмотрению, будь то письменный запрос, устное или цифровое сообщение, от электронных писем до твитов. Учитывая отсутствие структуры и стандартизации, трудно идентифицировать и сегментировать SAR масштабируемым образом. Организации могут быть не в состоянии вовремя отреагировать или принять меры.
Во-вторых, получение данных, необходимых для точного ответа на вопросы, поставленные в аудиторских отчетах, уже важно. На самом деле специалисты по соблюдению нормативных требований, похоже, все больше обеспокоены тем, что в долгосрочной перспективе нецелесообразно выделять непропорционально большое количество ресурсов на управление операциями SAR. Фактически, несколько организаций обратились к регулятору с просьбой уточнить, могут ли они начать взимать SAR с клиентов, если запросы будут сочтены чрезмерными.
И есть третья проблема, требующая особого внимания: аутентификация личности лица, делающего запрос. Раскрытие личной информации без установления личности лица, выдающего себя за такое лицо, может иметь катастрофические последствия. Фактически, рассмотрение мошеннического SAR и раскрытие личной информации похитителю личных данных подрывает саму идею защиты данных, которую стремится поддерживать GDPR. Организации должны убедиться, что лицо, проводящее RS, не является лицом, причастным к краже личной информации.
Кредит изображения: Shutterstock
(Изображение: © Pexels)
Аутентификация личности пользователя.
Неизбежно будут случаи, когда лица, устанавливающие SAR, не смогут аутентифицировать себя, используя информацию, хранящуюся у контроллера данных, редкие, но не редкие случаи, когда человек потерял свои идентификаторы. подключения или больше не имеют доступа к электронной почте, которую они использовали для создания своей учетной записи. В таких ситуациях организации могут рассмотреть подход, основанный на оценке рисков, чтобы определить, является ли лицо, выполняющее АСР, вовлеченным лицом.
Оглядываясь назад, кажется, что по мере того, как организации быстро устанавливают средства контроля и реорганизуют свои программы защиты данных, чтобы стать жалобой GDPR, важность проверки SAR была похоронена под горой других насущных проблем. . Теперь, когда у организаций был год, чтобы приспособиться к этой новой среде, ориентированной на GDPR, важность подлинности личности лица, выполняющего RAD, больше нельзя игнорировать.
Зак Коэн, генеральный менеджер Трулиоо
