Geekly articles weekly

اللائحة العامة لحماية البيانات: رسم خرائط البيانات أو كيفية عثور العملاء على أجهزة الكمبيوتر المحمولة المنسية منذ فترة طويلة

تعيين البيانات أو تدقيق البيانات ، أو تقرير تدقيق تدفق البيانات


من حيث المبدأ ، لا يهم ما يطلق عليه إذا كنت ، على سبيل المثال ، مطور ألعاب على الإنترنت ومستعد لاكتشاف أن ملف تعريف الارتباط وعنوان IP بموجب القانون الأوروبي عبارة عن بيانات شخصية تقوم بمعالجتها والتي تم نقلها على الأرجح إلى بعض شركة تسويق في روسيا دون الاهتمام اللازم. ربما تجمع بيانات العملاء المحتملين الغبار على القرص الصلب لجهاز كمبيوتر محمول مكسور ، والذي كان من المفترض أن يذهب لقطع الغيار ، ولكنه لا يزال يستريح بهدوء في صندوق من الورق المقوى للأم. أو في الوقت الحالي ، ترك بعض المتخصصين المبتدئين من فريقك محرك أقراص محمول بسهولة يحتوي على بيانات في السيارة ، بعد أن دخلوا إلى المتجر للحصول على الكولا بعد اجتماع ساخن.

تقول " حسناً ". " نحن نفهم ما تريد أن تقوله - مخاطر الخسارة والكذا وكذا ."
" ليس فقط " ، سأجيبك.

وفقًا للائحة العامة لحماية البيانات ، ومن حيث المبدأ ، وسمعة الشركة الأكثر تكلفة ، يجب ألا يحدث هذا. ما لم يكن لديك بالطبع 20 مليون يورو إضافية لدفع غرامة.

يعد رسم خرائط البيانات أو تقرير تدقيق تدفق البيانات الخطوة الأولى نحو حماية البيانات الشخصية وفقًا للقوانين الأوروبية.

رسم خرائط البيانات أو تقرير تدقيق تدفق البيانات - تدقيق لأولئك في السوق الأوروبية أو مجرد التفكير في إدخاله. وهنا ، بغض النظر عما قد يقوله المرء ، سيكون عليك على الأرجح معالجة البيانات الشخصية للمقيمين الأوروبيين ، وهذا يقع ضمن اللائحة العامة الأوروبية لحماية البيانات أو اللائحة العامة لحماية البيانات (GDPR).

يعد رسم خرائط البيانات أو تقرير تدقيق تدفق البيانات عملية مسلية للكشف عن البيانات المفقودة منذ فترة طويلة ، والكيانات الغريبة التي يمكنها الوصول إليها ، والبرامج الغريبة التي يمكنها ، لسبب غير مسبوق ، الوصول إليها والاستمتاع بعملك بسرور كبير.

أدناه ، سأخبرك بكيفية إجراء رسم خرائط البيانات والعثور على المفقود (على الرغم من أنني متأكد من أنك ستقول أنك لم تفقد أي شيء وكل شيء تحت السيطرة).

التدقيق


يجب إجراء المراجعة في المرحلة الأولى قبل طرح المنتجات في السوق الأوروبية ، أو إذا كان المنتج موجودًا بالفعل في السوق ، فحينئذٍ في طريقه لجعل معالجة البيانات داخل شركتك وفقًا للمعايير التي وضعتها اللائحة العامة لحماية البيانات. لا يعرف الجميع ماهية البيانات الشخصية ، ولا يدرك الجميع مقدار البيانات التي ستتم معالجتها ، ولا يتذكر الجميع مكان تخزين البيانات ، ومقدارها ومن يمكنه الوصول إليها ، والأهم من ذلك ، لماذا لديهم حق الوصول إليها. سيجيب التدقيق على جميع الأسئلة. الهدف من اللائحة العامة لحماية البيانات هو حماية البيانات الشخصية. وكيف نحميهم ، ولا ندري ماذا وأين ومن الذي نحميهم.

فكر مرة أخرى: المنظفات تمسح الجداول بـ "الحالات" ، ويقوم الموظفون بإخراج محركات الأقراص المحمولة ونسخ البيانات "القديمة" عن طريق الخطأ ، متناسين حذفها من أجهزة الكمبيوتر المنزلية ، وقوائم العملاء المحتملين "المعلقة في الغيوم" على خوادم غير معروفة.

ما عليك القيام به أو كيفية إجراء تعيين البيانات


  1. نجمع معلومات حول جميع البيانات الممكنة التي قمت بتخزينها (الهواتف ، الأسماء الأخيرة ، العناوين ، مواقع العملاء ، البريد الإلكتروني ، ماركة السيارة ، إلخ). كلما كان ذلك أفضل هذا سيسمح لنا بفهم ما لدينا بشكل عام.
  2. نقسم البيانات إلى بيانات شخصية وغير شخصية. يعد ذلك ضروريًا للائحة العامة لحماية البيانات ، لأن اللائحة تحمي البيانات الشخصية فقط.
  3. نحدد التنسيق الذي يتم فيه تخزين كل نوع من البيانات (في شكل إلكتروني أو ورقي أو مختلط). هذا ضروري لفهم درجة أمن البيانات.
  4. نذكر لمن وما البيانات التي نرسلها (إلى الموظفين والمعارف والمقاولين والأطراف الثالثة للتخزين ، وما إلى ذلك). يعد ذلك ضروريًا لمعرفة ما إذا كنا قد نقلناه بشكل قانوني وما يمكن أن يحدث إذا فقده شخص خارجي.
  5. نكتشف الطرق التي ننقل بها البيانات الشخصية داخل الشركة وخارجها (عبر الهاتف أو البريد الإلكتروني أو عبر السحب أو CRM أو ما إلى ذلك). كما يوفر نظرة ثاقبة على موثوقية طرق الإرسال هذه.
  6. نحدد موقع موقع البيانات (على خادم في شركة في روسيا ، أو خادم في مسوق في أستراليا ، أو في صندوق مع أمي أو في مجلد على رف مكتبي مترب). هذا ضروري لفهم موثوقية حمايتهم ، ومن حيث المبدأ ، شرعية التواجد في مكان معين.
  7. نكتشف من لديه حق الوصول إلى البيانات (لقب أفضل ، حسب الموقع). غالبًا ما يكون الوصول إلى البيانات متاحًا ليس فقط للأشخاص الذين يجب عليهم الوصول إليها في الخدمة ، ولكن أيضًا للموظفين الذين تم فصلهم سابقًا والذين يكتبون خطة انتقام لفصل غير عادل.
  8. من القائمة الناتجة نقوم بتأليف سلسلة نقل البيانات. من ومتى ولأي سبب نقلهم إلى هذا الموظف أو ذاك أو إلى طرف ثالث. وهذا ضروري لتحديد جدوى وشرعية مثل هذا التحويل.

هنا ينتهي الجزء الرئيسي من العمل ورسمت خريطة لحركة البيانات الشخصية (أفضل الرؤية). في الصورة ، المرحلة الأولى (رسم بدائي للغاية) للخريطة المستقبلية.



بالإضافة إلى ما سبق ، يجب أن يحتوي التدقيق على وصف كامل لعمليات تلقي البيانات ونقلها ومعالجتها وتخزينها ، بالإضافة إلى إشارة إلى "نقاط الضعف" وطرق تصحيحها. لن أتطرق الآن إلى جميع المشكلات التي ، على سبيل المثال ، نكتشفها أيضًا في عملية جمع المعلومات ، مثل مشروعية تلقي البيانات ، أو توافر الموافقة من موضوع البيانات لمعالجتها ، أو تكرارها ، أو توقيت تخزينها ومعالجتها.

فقط لتلخيص


دفعت اللائحة العامة لحماية البيانات الشركات إلى التعامل مع البيانات الشخصية بجدية أكبر ، ولا تُظهر خريطة حركة البيانات أو تعيين البيانات أو تقرير تدقيق تدفق البيانات ، كما تفضل ، الصورة الحقيقية لدوران البيانات في الشركة فحسب ، بل تجد أيضًا البيانات الشخصية على أجهزة الكمبيوتر المحمولة المفقودة منذ فترة طويلة والتي تجمع الغبار في صندوق كرتون أمي القديم.

عمليات التدقيق الناجحة!

Source: https://habr.com/ru/post/ar419417/

More articles:


All Articles