- PVSM.RU - https://www.pvsm.ru -
В принципе, не важно как это называется, если ты, к примеру, разработчик онлайн игр и готов узнать, что cookie и IP-адрес по европейским законам — это персональные данные, которые вы обрабатываете и которые, скорее всего, были переданы какой-нибудь маркетинговой компании в России без должного внимания. Возможно данные потенциальных клиентов пылятся на жестком диске сломанного ноутбука, который должен был пойти на запчасти, но всё ещё мирно покоится в картонной коробке у мамы. Или именно сейчас какой-нибудь начинающий специалист из вашей команды с лёгкостью оставил флешку с данными в автомобиле, забежав в магазинчик за колой после жаркого совещания.
«Окей», — скажете вы. – «Мы понимаем, что ты хочешь сказать – риски утраты и бла-бла-бла».
«Не только», — отвечу я вам.
В соответствии с GDPR, да и в принципе у дорожащей репутацией компании, такое происходить не должно. Если конечно у вас нет лишних 20 млн. евро на оплату штрафа.
Data mapping или Data flow audit report — это первый этап на пути к защите персональных данных в соответствии с европейскими законами.
Data mapping или Data flow audit report — аудит для тех, кто на европейском рынке или только задумался о выходе на него. А тут, как ни крути, скорее всего придётся обрабатывать персональные данные европейских жителей, и это попадает под европейский Общий регламент защиты персональных данных или General data protection regulation (GDPR).
Data mapping или Data flow audit report – это занимательный процесс обнаружения давно потерянных данных, странных субъектов, которые имеют к ним доступ, и странных программ, которые по невиданной причине получили к ним доступ и с огромным удовольствием пользуются вашими наработками.
Ниже я расскажу, как провести Data mapping и найти потерянное (хотя уверен, что вы скажете, что ничего не теряли и всё под контролем).
Аудит стоит проводить на первом этапе перед выпуском продукции на европейский рынок или, если продукт уже на рынке, то на пути приведения процесса обработки данных внутри вашей компании к нормам, установленными GDPR. Не все представляют, что такое персональные данные, не все осознают какой объём данных будет обрабатываться, не все помнят, где хранятся данные, в каком объёме и кто имеет к ним доступ, и самое главное ПОЧЕМУ они имеют к ним доступ. Аудит ответит на все вопросы. Задача GDPR – защитить персональные данные. А как мы можем их защищать, не зная, что, где и от кого защищать.
Ещё раз задумайтесь: уборщицы протирают столы с «делами», сотрудники выносят флешки и случайно копируют «старые» данные, забывая удалить с домашних компьютеров, списки потенциальных клиентов «висят в облаках» на неизвестных серверах.
Здесь заканчивается основная часть работы и рисуется (я предпочитаю наглядность) карта движения персональных данных. На фото первый этап (очень примитивная зарисовка) будущей карты.
Помимо сказанного, аудит должен содержать полное описание процессов получения, передачи, обработки и хранения данных, а также указания на «слабые места» и пути их исправления. Сейчас не буду затрагивать все вопросы, которые, к примеру, нами также выясняются в процессе сбора информации, такие как законность получения данных, наличия согласия от субъекта данных на их обработку, избыточность или сроки их хранения и обработки.
GDPR подтолкнул компании отнестись серьёзнее к обрабатываемым персональным данным, а карта движения данных или Data mapping, или Data flow audit report, как вам удобнее, демонстрирует не только реальную картину оборота данных в компании, но и находит персональные данные на давно потерянных ноутбуках, которые пылятся в старой картонной коробке у мамы.
Удачных аудитов!
Автор: Ilia_Munaev
Источник [1]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/zashhita-danny-h/288406
Ссылки в тексте:
[1] Источник: https://habr.com/post/419417/?utm_campaign=419417
Нажмите здесь для печати.