🧐
Что важно учесть при составлении карты потоков данных?
▪️
Инициаторов обработки. Необходимо верно определить роль компании в обработке: (со)контролер / процессор.
▪️
Категории персональных данных. Нужно определить тип данных, поскольку эта информация требуется для создания политики приватности и определения применимых законов и стандартов. Например, для специальных категорий данных с точки зрения GDPR, а также данных, которые защищаются отраслевыми законами, может потребоваться дополнительная защита.
▪️
Источники данных. Эта информация требуется для политики приватности и помогает DPO понять, на каком этапе необходимо внедрить защитные меры, а также определить процессоров и (со)контролеров. Источниками данных могут быть субъекты данных, базы данных, приложения, подрядчики.
▪️
Владельцы процесса. Для эффективного управления защитой персональных данных нужно назначить ответственных за каждый актив данных.
▪️
Использование данных. Важно описать, как и с какой целью данные используются в организации.
▪️
Хранение данных. Нужно определить, в какой системе хранятся данные, могут ли они использоваться для других целей, принадлежит ли система хранения компании или используется внешнее решение, в какой стране находится владелец системы хранения, откуда осуществляется доступ к данным и кто в компании имеет к ним доступ.
▪️
Передача данных. Происходит ли передача данных в другие страны, какой защитный механизм используется.
▪️
Удаление данных. Нужно учесть как долго они хранятся, соответствует ли это политикам компании, каким образом данные удаляются.
▪️
Оценка рисков. Анализ результатов инвентаризации данных позволяет выявить потенциальные риски и пробелы в соблюдении требований, а также определить возможности для улучшения. Реестр обработок или карта данных дает полную и наглядную картину, поскольку с их помощью можно подобрать меры по каждой обработке.
▪️
Применимые законы. Полезно составить список применимых законов и нормативных актов.
📌 Важно помнить, что маппинг и инвентаризация данных — это не одноразовые мероприятия. Они требуют постоянного обновления, чтобы отражать изменения в системах данных, процессах и нормативных документах.
Автор: Анастасия Вербанович, CIPP/E, GDPR DPP
#opinion