[Из песочницы] GDPR: Data mapping или как клиенты находят давно забытые ноутбуки
Data mapping или Data audit, или Data flow audit report
В принципе, не важно как это называется, если ты, к примеру, разработчик онлайн игр и готов узнать, что cookie и IP-адрес по европейским законам — это персональные данные, которые вы обрабатываете и которые, скорее всего, были переданы какой-нибудь маркетинговой компании в России без должного внимания. Возможно данные потенциальных клиентов пылятся на жестком диске сломанного ноутбука, который должен был пойти на запчасти, но всё ещё мирно покоится в картонной коробке у мамы. Или именно сейчас какой-нибудь начинающий специалист из вашей команды с лёгкостью оставил флешку с данными в автомобиле, забежав в магазинчик за колой после жаркого совещания.
»Окей», — скажете вы. — »Мы понимаем, что ты хочешь сказать — риски утраты и бла-бла-бла».
»Не только», — отвечу я вам.
В соответствии с GDPR, да и в принципе у дорожащей репутацией компании, такое происходить не должно. Если конечно у вас нет лишних 20 млн. евро на оплату штрафа.
Data mapping или Data flow audit report — это первый этап на пути к защите персональных данных в соответствии с европейскими законами.
Data mapping или Data flow audit report — аудит для тех, кто на европейском рынке или только задумался о выходе на него. А тут, как ни крути, скорее всего придётся обрабатывать персональные данные европейских жителей, и это попадает под европейский Общий регламент защиты персональных данных или General data protection regulation (GDPR).
Data mapping или Data flow audit report — это занимательный процесс обнаружения давно потерянных данных, странных субъектов, которые имеют к ним доступ, и странных программ, которые по невиданной причине получили к ним доступ и с огромным удовольствием пользуются вашими наработками.
Ниже я расскажу, как провести Data mapping и найти потерянное (хотя уверен, что вы скажете, что ничего не теряли и всё под контролем).
Аудит
Аудит стоит проводить на первом этапе перед выпуском продукции на европейский рынок или, если продукт уже на рынке, то на пути приведения процесса обработки данных внутри вашей компании к нормам, установленными GDPR. Не все представляют, что такое персональные данные, не все осознают какой объём данных будет обрабатываться, не все помнят, где хранятся данные, в каком объёме и кто имеет к ним доступ, и самое главное ПОЧЕМУ они имеют к ним доступ. Аудит ответит на все вопросы. Задача GDPR — защитить персональные данные. А как мы можем их защищать, не зная, что, где и от кого защищать.
Ещё раз задумайтесь: уборщицы протирают столы с «делами», сотрудники выносят флешки и случайно копируют «старые» данные, забывая удалить с домашних компьютеров, списки потенциальных клиентов «висят в облаках» на неизвестных серверах.
Что нужно сделать вам или как провести Data mapping
- Собираем информацию о всех возможных данных, которые у вас хранятся (телефоны, фамилии, адреса, сайты клиентов, email, марка авто и прочее). Чем больше, тем лучше. Это позволит понять, что у нас вообще есть.
- Разделяем данные на персональные и не персональные. Это нужно для GDPR, ведь Регламент защищает только персональные данные.
- Определяем в каком формате хранится каждый вид данных (в электронном, бумажном или смешанном). Это нужно для понимания степени защищённости данных.
- Вспоминаем кому и какие данные нами передаются (сотрудникам, знакомым, подрядчикам, третьим лицам на хранение и прочее). Это нужно для того, чтобы знать, а законно ли мы их передали, и что может случиться, если стороннее лицо их утратит.
- Выясняем, какими способами мы передаём персональные данные как внутри компании, так и за её пределы (по телефону, по эл.почте, через облака, CRM и т.д.). Это также даёт понимание о надёжности таких способов передачи.
- Определяем локацию нахождения данных (на сервере в компании в России, на сервере у маркетолога в Австралии, в коробке у мамы или в папке на пыльной полке офиса). Это необходимо для понимания надёжности их защиты и в принципе законности нахождения в определённом месте.
- Выясняем, кто конкретно имеет доступ к данным (лучше пофамильно, по должностям). Часто доступ к данным имеют не только лица, которые по долгу службы должны иметь к ним доступ, но и ранее уволенные работники, которые сочиняют план мести за несправедливое увольнение.
- Из полученного списка составляем цепочку передачи данных. Кто, когда и по какой причине передал их тому или иному сотруднику или третьему лицу. Это необходимо для выяснения целесообразности и законности такой передачи.
Здесь заканчивается основная часть работы и рисуется (я предпочитаю наглядность) карта движения персональных данных. На фото первый этап (очень примитивная зарисовка) будущей карты.
Помимо сказанного, аудит должен содержать полное описание процессов получения, передачи, обработки и хранения данных, а также указания на «слабые места» и пути их исправления. Сейчас не буду затрагивать все вопросы, которые, к примеру, нами также выясняются в процессе сбора информации, такие как законность получения данных, наличия согласия от субъекта данных на их обработку, избыточность или сроки их хранения и обработки.
Просто подытожу
GDPR подтолкнул компании отнестись серьёзнее к обрабатываемым персональным данным, а карта движения данных или Data mapping, или Data flow audit report, как вам удобнее, демонстрирует не только реальную картину оборота данных в компании, но и находит персональные данные на давно потерянных ноутбуках, которые пылятся в старой картонной коробке у мамы.
Удачных аудитов!