Research on error probability assessment in user personal data processing in GDPR-compliant business process models

Abstract

The only right strategy for businesses and government organizations in Ukraine and other countries that may face aggression is to recognize themselves as a potential target for cyberattacks by the aggressor (both by its government agencies and related cybercriminal groups) and take appropriate measures in accordance with the European Union’s General Data Protection Regulation (GDPR). The main purpose of the GDPR is to regulate the rights to personal data protection and to protect EU citizens from data leaks and breaches of confidentiality, which is especially important in today’s digital world, where the processing and exchange of personal data are integral parts of almost every business process. Therefore, the GDPR encourages organizations to transform their day-to-day business processes that are involved in managing, storing, and sharing customers’ personal data during execution. Thus, business process models created in accordance with the GDPR regulations must be of high quality, just like any other business process models, and the probability of errors in them must be minimal. This is especially important with regard to the observance of human rights to personal data protection, since low-quality models can become sources of errors, which, in turn, can lead to a breach of confidentiality and data leakage of business process participants. This paper analyzes recent research and publications, proposes a method for analyzing business process models that ensure compliance with the GDPR regulations, and tests its performance based on the analysis of BPMN models of business processes for obtaining consent to data processing and withdrawal of consent to user data processing. As a result, the probability of errors in the considered business process models was obtained, which suggests the possibility of confidentiality violations and data leaks of the participants of the considered business processes associated with these errors, and appropriate recommendations were made.

Єдиною вірною стратегією для підприємств та державних організацій України та інших країн, що можуть зіткнутися з агресією, є усвідомлювати себе потенційною мішенню для кібератак агресора (як з боку його державних структур, так і з боку пов’язаних кіберзлочинних груп), та вживати відповідних заходів відповідно до Загального регламенту про захист даних Європейського Союзу (General Data Protection Regulation, GDPR). Основною метою GDPR є регулювання прав на захист персональних даних та реалізація захисту громадян ЄС від витоків даних та порушень їх конфіденційності, що особливо актуально в цифровому світі сьогодення, де обробка та обмін персональними даними є невід’ємними складовими майже кожного бізнес-процесу. Таким чином, GDPR спонукає організації до перетворення своїх повсякденних бізнес-процесів, які залучені до управління персональними даними клієнтів, їх зберігання та обміну під час виконання. Таким чином, моделі бізнес-процесів, що створюються у відповідності до регламенту GDPR, мають бути високої якості так само, як і будь-які інші моделі бізнеспроцесів, а ймовірність наявності у них помилок має бути мінімальною. Це особливо важливо щодо дотримання прав людини на захист персональних даних, оскільки моделі низької якості можуть стати джерелами помилок, які, у свою чергу, можуть призвести до порушення конфіденційності та витоку даних учасників бізнес-процесів. У роботі здійснено аналіз останніх досліджень і публікацій, запропоновано метод аналізу моделей бізнес-процесів, що забезпечують відповідність регламенту GDPR, перевірено його працездатність на основі аналізу BPMNмоделей бізнес-процесів отримання згоди на обробку даних та відкликання згоди на обробку даних користувачів. У результаті було отримано ймовірність виникнення помилок у розглянутих моделях бізнес-процесів, що дозволяє припустити про можливість виникнення пов’язаних з цими помилками порушень конфіденційності та витоків даних учасників розглянутих бізнес-процесів, сформовано відповідні рекомендації.