Mapeamento de dados ou auditoria de dados ou relatório de auditoria de fluxo de dados
Em princípio, não importa como é chamado se, por exemplo, você é desenvolvedor de jogos on-line e está pronto para descobrir que um cookie e um endereço IP de acordo com a legislação européia são dados pessoais que você processa e que, provavelmente, foram transferidos para alguns empresa de marketing na Rússia sem a devida atenção. Talvez os dados de clientes em potencial estejam acumulando poeira no disco rígido de um laptop quebrado, que deveria comprar peças de reposição, mas ainda está descansando pacificamente na caixa de papelão de uma mãe. Ou agora, algum especialista novato da sua equipe deixou facilmente um pen drive com dados no carro, depois de ter corrido para a loja de cola após uma reunião acalorada.
"
Ok "
, você diz. "
Entendemos o que você quer dizer - os riscos de perda e blá blá blá ."
"
Não apenas "
, eu vou responder.
De acordo com o GDPR e, em princípio, a reputação mais cara da empresa, isso não deve acontecer. A menos que você tenha
20 milhões de euros a mais para pagar uma multa.
O mapeamento de dados ou o relatório de auditoria do fluxo de dados é o primeiro passo para a proteção de dados pessoais, de acordo com as leis europeias.
Mapeamento de dados ou relatório de auditoria de fluxo de dados - uma auditoria para aqueles no mercado europeu ou apenas pensando em entrar nele. E aqui, o que quer que se diga, você provavelmente terá que processar os dados pessoais dos residentes europeus, e isso se enquadra no Regulamento Geral Europeu de Proteção de Dados ou no Regulamento Geral de Proteção de Dados (GDPR).
O mapeamento de dados ou o relatório de auditoria de fluxo de dados é um processo divertido de detectar dados perdidos há muito tempo, entidades estranhas que têm acesso a eles e programas estranhos que, por uma razão sem precedentes, têm acesso a eles e apreciam seu trabalho com grande prazer.
Abaixo, mostrarei como realizar o mapeamento de dados e encontrar os perdidos (embora tenha certeza de que você dirá que não perdeu nada e que tudo está sob controle).
Auditoria
Uma auditoria deve ser realizada no primeiro estágio antes de liberar produtos para o mercado europeu ou, se o produto já estiver no mercado, a caminho de levar o processo de processamento de dados da sua empresa aos padrões estabelecidos pelo GDPR. Nem todo mundo sabe o que são dados pessoais, nem todo mundo sabe quantos dados serão processados, nem todo mundo se lembra onde os dados são armazenados, quanto e quem tem acesso a eles e, o mais importante, por que eles têm acesso a eles. A auditoria responderá a todas as perguntas. O objetivo do GDPR é proteger os dados pessoais. E como podemos protegê-los, sem saber o que, onde e de quem proteger.
Pense novamente: os limpadores limpam as tabelas com “caixas”, os funcionários fazem pen drives e copiam acidentalmente dados “antigos”, esquecendo de excluí-los dos computadores domésticos, as listas de clientes em potencial “ficam nas nuvens” em servidores desconhecidos.
O que você precisa fazer ou como conduzir o mapeamento de dados
- Coletamos informações sobre todos os dados possíveis que você armazenou (telefones, sobrenomes, endereços, sites de clientes, email, marca de carro, etc.). Quanto mais, melhor. Isso nos permitirá entender o que geralmente temos.
- Dividimos os dados em pessoais e não pessoais. Isso é necessário para o RGPD, porque o regulamento protege apenas dados pessoais.
- Determinamos em que formato cada tipo de dado é armazenado (em formato eletrônico, em papel ou misto). Isso é necessário para entender o grau de segurança dos dados.
- Recordamos a quem e quais dados transmitimos (para funcionários, conhecidos, contratados, terceiros para armazenamento, etc.). Isso é necessário para saber se os transferimos legalmente e o que pode acontecer se um estranho os perder.
- Descobrimos de que maneira transferimos dados pessoais dentro e fora da empresa (por telefone, e-mail, através das nuvens, CRM, etc.). Ele também fornece informações sobre a confiabilidade de tais métodos de transmissão.
- Determinamos a localização do local dos dados (em um servidor em uma empresa na Rússia, em um servidor em um comerciante na Austrália, em uma caixa com a mãe ou em uma pasta em uma prateleira empoeirada do escritório). Isso é necessário para entender a confiabilidade de sua proteção e, em princípio, a legalidade de estar em um determinado local.
- Descobrimos quem especificamente tem acesso aos dados (melhor sobrenome, por posição). Freqüentemente, o acesso aos dados está disponível não apenas para pessoas que, de plantão, deveriam ter acesso a eles, mas também para demitir funcionários que estavam escrevendo um plano de vingança por uma demissão injusta.
- A partir da lista resultante, compomos uma cadeia de transferência de dados. Quem, quando e por que motivo os transferiu para este ou aquele funcionário ou um terceiro. Isso é necessário para determinar a viabilidade e legalidade dessa transferência.
Aqui termina a parte principal do trabalho e é traçado um mapa do movimento de dados pessoais (eu prefiro visibilidade). Na foto, a primeira etapa (um esboço muito primitivo) do futuro mapa.
Além do acima, a auditoria deve conter uma descrição completa dos processos de recebimento, transmissão, processamento e armazenamento de dados, bem como uma indicação dos "pontos fracos" e formas de corrigi-los. Agora, não abordarei todos os problemas que, por exemplo, também descobrimos no processo de coleta de informações, como a legalidade do recebimento de dados, a disponibilidade de consentimento do titular dos dados para o processamento, redundância ou o tempo de armazenamento e processamento.
Apenas para resumir
O GDPR levou as empresas a levar os dados pessoais mais a sério, e o mapa de movimentação de dados, mapeamento de dados ou relatório de auditoria de fluxo de dados, como preferir, não apenas mostra a imagem real da rotatividade de dados na empresa, mas também encontra dados pessoais em laptops perdidos há muito tempo. na velha caixa de papelão da minha mãe.
Auditorias de sucesso!