“Dark data”

Din perspectiva Protecției Datelor cu

caracter personal … și nu numai

Daniel SUCIU
 Sumar
• Ce sunt de fapt aceste “dark data”
• O încercare de clasificare a acestor “dark data”
• Exemple de ”dark data”
• De unde provin aceste “dark data” si de ce?
• Ce putem sau ar trebui să facem cu ele?
• De ce ne-ar interesa acestea, ca organizație?
• Dar care sunt implicațiile din perspectiva PD?
• O sinteză a gestionării acestor ”dark data”
• O scurtă analiză pe un caz comun: ”prelucrarea DP la
procesarea aplicărilor la un job”
 Ce sunt de fapt aceste “dark data”
O posibilă (dar aproape inutilă) definiție:

Toate datele (cu caracter personal… sau nu) pe care o organizație le

colectează, produce, stochează și/sau prelucrează și care nu-I sunt de
niciun folos… dimpotrivă.

O altă definiție ar putea fi:

Toate datele existente într-o organizație care (la un anumit moment in
timp) sunt inutile sau inutilizabile, redundante, uitate, ignorate, ascunse
sau de care nu are cunoștință
O încercare de clasificare a acestor “dark
data”
Date inutile, inutilizabile,
redundante, învechite,
banale, de calitate inferioară,
DARK
temporare, ascunse, DATA
inaccessible, ignorate, uitate,
în așteptare, adunate "pentru
orice eventualitate"
 Tipuri comune de “dark data”
Date inutile
Date (doar?) nefolosite
• Date inutile/ inutilizabile
• Date ascunse
• Date redundante
• Date inaccessible
• Date învechite DARK
• Date ignorate/uitate
DATA
• Date banale
• Date în așteptare
• Date de calitate inferioară
• Date adunate "pentru
• Date temporare
orice eventualitate"
 Exemple de “dark data”
“Dark data”
• Atașamente la email-uri trimise vechi către grupuri mari, re-
trimise, salvate in diverse locații…
• Fișiere intermediare la elaborarea unei raportări, prezentări,
cu comentarii si revizii diverse
• Date brute utilizate pentru realizarea unei raportări,
prezentări
• Jurnale ale sistemelor de operare, baze de date, aplicații sau
sisteme IT sau de rețea care se întind pe o perioadă prea
lungă sau de care nu avem cunoștință și care nu sunt utile -
• Bazele de date ale sistemelor IT învechite, înlocuite dar care
nu au fost migrate și nici nu mai pot fi folosite
• Date colectate de către un sistem IT, transmise altora pentru
prelucrare, dar stocate de către ambele sisteme
• Date eronate, care nu pot fi folosite pentru scopurile
planificate, dar care nu au fost șterse
• Fișiere temporare create de anumite aplicații sau sisteme IT,
păstrate mult după ce scopul prelucrării a fost îndeplinit
• Date aflate în spatele unor restricții de acces, de care nu avem
cunoștință și care nu mai pot fi accesate
• Arhive de fișiere, care deși au fost dezarhivate și fișierele
utilizate, nu au fost șterse
• Datele proiectelor începute și abandonate sau puse în
așteptare de mult timp
• Datele aparținând unor foști angajați ce nu mai pot fi
accesate sau nu mai sunt utile/ relevante
• Date arhivate și care sunt păstrate și in sistemele
operaționale
• Date arhivate cărora le-a expirat timpul de
stocare/arhivare dar care nu au fost șterse
• Back-up-uri multiple sau păstrate peste durata eficientă
de utilizare
• Date colectate pentru un scop definit, dar care nu s-a
materializat
• Date colectate pentru că se poate… și poate odată vor fi
folositoare la ceva
De unde provin aceste “dark data” si de ce?
• Din procesarea acelorași date de către mai multe părți interesate
• Din procesarea acelorași date de către în mai multe sisteme/ de
către mai multe funcțiuni
• Datorate unor schimbări în aplicațiile/ sistemele IT
• Datorate unor procese de business incorect administrate
• Existența unor aplicații / sisteme IT incorect configurate sau
administrate
• Datorate lipsei unor procese de curățire a datelor rezultate în urma
proceselor normale de business
• Datorate lipsei unor criterii de validare a datelor colectate sau
prelucrate
• Procesele de back-up și/ sau arhivare prost definite sau monitorizate
• ….
• Inexistența unui cadru de guvernanță a datelor
Ce ar trebui sa facem cu aceste “dark data?
• Identificarea și categorisirea acestora,
• Identificarea locației acestora, a dimensiunii, a posibilului impact, precum și a
utilității potențiale
• Definiți cea mai bună metodă de tratare a acestora: etichetarea lor,
ștergerea/arhivarea sau organizarea lor pentru (re)utilizare
• Identificarea cauzelor care le produc
• Îmbunătățirea configurării aplicațiilor sistemelor în vederea minimizării acestora
• Îmbunătățirea proceselor care le-au determinat
• Monitorizarea continuă a datelor
• ….
• Îmbunătățirea colaborării cu toate funcțiunile implicate în prelucrarea datelor
• Luați în considerare implementarea unui cadru de guvernanță a datelor sau
îmbunătățirea lui, dacă acesta există
De ce ar trebui să ne pese de aceste ”dark
data”
Câteva motive posibile:
• Pentru îndeplinirea unor cerințe legale
• Pentru respectarea unor standarde asumate
• Datorită creșterii costurilor (neproductive)
• Pentru că acestea cresc riscurile de securitate
• Pentru că eficiența muncii scade
• Pentru că e posibil să pierdem încrederea clienților
• Pentru că pierdem oportunități
•…
 Dar ce legătura au acestea cu protecția
datelor
Câteva motive posibile:
• Pentru că nu respectăm principul de minimizare a datelor
• Pentru că nu respectăm principul de transparență
• Pentru că nu respectăm principul de limitare a stocării datelor
• Pentru că nu avem o evidență corectă a prelucrărilor
• Pentru că nu asigurăm securitatea datelor cu caracter personal
• Pentru că ne îngreunează accesul persoanelor la datele lor cu caracter
personal pe care le prelucrăm
• Pentru că ne îngreunează evaluarea impactului unei breșe de securitate,
precum și măsurile de restaurare a datelor
• Pentru că nu putem demonstra valoare adăugată organizației
Unde este impactul în Protecția Datelor
• În incorectitudinea registrului prelucrărilor de date cu caracter personal
• În notificările de confidențialitate ale organizației -incomplete
• În definirea obligațiilor personalului și a instructajului privind
prelucrarea datelor cu caracter personal
• În definirea și/sau îndeplinirea obligațiilor privind prelucrarea datelor cu
caracter personal în relația cu parteneri/ subcontractori
• În definirea și executarea proceselor de răspuns la incidente/ breșe de
date
• În definirea și executarea proceselor de răspuns cererile persoanelor
vizate
•…
 O sinteză a gestionării acestor ”dark
data”

Determinarea
Identificarea Categorisirea Determinarea impactului Tratarea datelor și
impactului Identificarea cauzelor
dark data acestora (DP) cauzelor
(org)

Registrul prelucrărilor de procesarea datelor de către Identificarea și categorisirea

Date inutile/ inutilizabile
Tipuri de date și
sistemul/ locația Date redundante
unde acestea au Date învechite
fost găsite Date banale
Date de calitate inferioară
Date temporare
Date ascunse
Date inaccessible
Date ignorate/uitate
Date în așteptare
Date adunate "pentru orice
eventualitate"
îndeplinirea unor
date cu caracter personal
cerințe legale
notificările de
respectarea unor confidențialitate
standarde
obligațiile personalului
creșterea costurilor privind prelucrarea datelor
cu caracter personal
riscurile de securitate
Instructajul angajaților
Scade eficiența muncii
privind prelucrarea datelor
pierderea încrederii cu caracter personal
clienților
relația cu parteneri/
Pentru că pierdem subcontractori
oportunități răspunsul la incidente/
breșe de date
cererile persoanelor vizate
mai multe părți interesate / în
mai multe sisteme IT
schimbări în sistemele IT
procese de business incorect
administrate
aplicații / sisteme IT incorect
configurate sau administrate
lipsa unor procese de curățire
a datelor
Lipsa unor criterii de validare a
datelor
Procesele de back-up și/ sau
arhivare prost definite sau
monitorizate
Inexistența unui cadru de
guvernanță a datelor
datelor,
Identificarea locației acestora,
a impactului, și a utilității
Etichetare, ștergerea/
arhivarea sau organizarea lor
pentru (re)utilizare
Identificarea cauzelor
Îmbunătățirea configurării
aplicațiilor sistemelor în
vederea minimizării acestora
Îmbunătățirea proceselor care
le-au determinat
Monitorizarea continuă a
datelor
implementarea unui cadru de
guvernanță a datelor
O analiză pe un caz comun: ”prelucrarea
DP la procesarea aplicărilor la un job”

Proces real
Proces
documentat
 O analiză pe un caz comun: ”prelucrarea
DP la procesarea aplicărilor la un job”

Determinarea
Identificarea Categorisirea Determinarea impactului Tratarea datelor și
impactului Identificarea cauzelor
dark data acestora (DP) cauzelor
(org)

Date inutile/ inutilizabile Registrul prelucrărilor de procesarea datelor de către Identificarea și categorisirea
Date: îndeplinirea unor cerințe
mai multe părți interesate / în datelor,
Date redundante legale date cu caracter personal
Nume/date de contact mai multe sisteme IT Identificarea locației acestora,
notificările de
CV , Evaluări candidat Date învechite respectarea unor schimbări în sistemele IT a impactului, și a utilității
standarde confidențialitate procese de business incorect Etichetare, ștergerea/
Date banale
Sisteme IT: creșterea costurilor obligațiile personalului administrate arhivarea sau organizarea lor
Date de calitate inferioară pentru (re)utilizare
servicii Internet, server riscurile de securitate privind prelucrarea datelor aplicații / sisteme IT incorect
Email, calculatoare Date temporare cu caracter personal configurate sau administrate Identificarea cauzelor
Scade eficiența muncii
personale, echip, Date ascunse lipsa unor procese de curățire Îmbunătățirea configurării
Instructajul angajaților relația a datelor aplicațiilor sistemelor în
pierderea încrederii
networking, email Date inaccessible cu parteneri/ subcontractori vederea minimizării acestora
clienților Lipsa unor criterii de validare a
angajați, email Date ignorate/uitate răspunsul la incidente/ breșe datelor Îmbunătățirea proceselor care
Pentru că pierdem
personal, telefon, de date Procesele de back-up și/ sau le-au determinat
Date în așteptare oportunități
sistem HR, fileserver, cererile persoanelor vizate arhivare prost definite sau Monitorizarea continuă a
print server, cloud… Date adunate "pentru orice monitorizate datelor
eventualitate" Inexistența unui cadru de implementarea unui cadru de
guvernanță a datelor guvernanță a datelor
 Ce ar mai putea fi util pe această temă ?
• Exemple de ”dark data” într-o organizație, procesele
responsabile de acestea, sistemele și locațiile unde se
regăsesc acestea, precum și modul în care ar putea fi
tratate
• Un checklist de adresat în organizație pentru identificarea
acestor ”dark data”, a volumului și potențialului impact
• ”Dark data” pe calculatoarele personale – exemple și
tratarea lor
• ….
• NIMIC 
MULȚUMESC!

Daniel SUCIU