数据映射或数据审核,或数据流审核报告
原则上,如果您是在线游戏开发商,并且愿意发现欧洲法律规定的cookie和IP地址是您要处理的个人数据,并且很可能已将其转移到某些个人数据,则该名称无所谓俄罗斯的行销公司没有引起足够的重视。 可能潜在客户的数据正在一台坏掉的笔记本电脑的硬盘驱动器上积聚灰尘,该笔记本电脑本来可以用来备件,但仍安放在母亲的纸板箱中。 或者现在,您的团队中的一些新手专家轻松地将闪存驱动器中的数据留在了汽车中,在激烈的会议后进入可乐商店。
“
好吧, ”你说。 “
我们了解您想说的-损失和等等的风险 。”
“
不仅如此, ”我会回答你的。
按照GDPR的原则,从原则上讲,该公司享有更高的声誉,这种情况不应该发生。 除非您当然要多付
2000万欧元以支付罚款。
根据欧洲法律,
数据映射或数据流审核报告是迈向保护个人数据的第一步。
数据映射或数据流审核报告 -针对欧洲市场的审核或只是考虑进入的审核。 在这里,无论怎么说,您都极有可能必须处理欧洲居民的个人数据,这属于《欧洲通用数据保护条例》或《通用数据保护条例》(GDPR)的约束。
数据映射或数据流审核报告是一个有趣的过程,可检测丢失长时间的数据,可以访问它们的奇特实体,以及由于前所未有的原因而可以访问它们并非常享受您的工作的奇怪程序。
下面,我将告诉您如何进行数据映射并找到丢失的对象(尽管我确信您会说您没有丢失任何东西,并且一切都在控制之中)。
稽核
在将产品发布到欧洲市场之前,应该在第一阶段进行审核,或者,如果产品已经投放市场,则应在使公司内部的数据处理过程达到GDPR确立的标准的路上进行审核。 不是每个人都想像什么是个人数据,不是每个人都知道将要处理多少数据,不是每个人都记得数据的存储位置,存储量和访问者,最重要的是为什么他们可以访问它。 审核将回答所有问题。 GDPR的目标是保护个人数据。 我们如何保护他们,却不知道要保护什么,在哪里和从谁那里保护。
再想一想:清洁工用“箱子”擦桌子,员工拿出闪存驱动器并意外地复制“旧”数据,忘记从家用计算机中删除它们,将潜在客户列表“挂在云端”在未知服务器上。
您需要做什么或如何进行数据映射
- 我们收集有关您已存储的所有可能数据(电话,姓氏,地址,客户地点,电子邮件,汽车品牌等)的信息。 越多越好。 这将使我们了解我们通常拥有的东西。
- 我们将数据分为个人数据和非个人数据。 这对于GDPR而言是必要的,因为该法规仅保护个人数据。
- 我们确定每种类型的数据以何种格式存储(电子,纸张或混合形式)。 这对于了解数据安全程度是必要的。
- 我们回想起我们向谁以及向谁传输什么数据(传输给员工,熟人,承包商,第三方以进行存储,等等)。 为了了解我们是否已经合法转让了它们,以及外来者失去它们会发生什么,这是必要的。
- 我们发现我们以何种方式在公司内部和外部传输个人数据(通过电话,电子邮件,通过云,CRM等)。 它还提供了有关此类传输方法可靠性的见解。
- 我们确定数据位置的位置(在俄罗斯某公司的服务器上,在澳大利亚营销人员的服务器上,在有妈妈的盒子中或在尘土飞扬的办公室架子上的文件夹中)。 这对于了解其保护的可靠性以及原则上在特定地点的合法性是必要的。
- 我们找出谁特别有权访问数据(根据位置,更好的姓氏)。 通常,不仅值班人员可以访问数据,而且以前为解雇不正当解雇计划而被解雇的员工也可以访问数据。
- 从结果列表中,我们组成了数据传输链。 谁,何时以及出于何种原因将他们转移给此员工或该员工或第三方。 这对于确定此类转让的可行性和合法性是必要的。
此处工作的主要部分到此结束,并绘制了个人数据移动的地图(我更喜欢可见性)。 在照片中,是未来地图的第一阶段(非常原始的草图)。
除上述内容外,审核还应包含对接收,传输,处理和存储数据的过程的完整描述,并指出“缺陷”及其纠正方法。 现在,我将不谈所有在收集信息过程中发现的问题,例如接收数据的合法性,数据主体是否同意处理数据,冗余或存储和处理时间等问题。
总结一下
GDPR促使公司更加重视个人数据,数据移动图或数据映射或数据流审核报告(如您所愿)不仅可以显示公司数据周转的真实情况,还可以在丢失了长时间的笔记本电脑上收集灰尘在我母亲的旧纸箱里。
审核成功!