GDPR: Data mapping или как клиенты находят давно забытые ноутбуки

Data mapping или Data audit, или Data flow audit report


В принципе, не важно как это называется, если ты, к примеру, разработчик онлайн игр и готов узнать, что cookie и IP-адрес по европейским законам — это персональные данные, которые вы обрабатываете и которые, скорее всего, были переданы какой-нибудь маркетинговой компании в России без должного внимания. Возможно данные потенциальных клиентов пылятся на жестком диске сломанного ноутбука, который должен был пойти на запчасти, но всё ещё мирно покоится в картонной коробке у мамы. Или именно сейчас какой-нибудь начинающий специалист из вашей команды с лёгкостью оставил флешку с данными в автомобиле, забежав в магазинчик за колой после жаркого совещания.

«Окей», — скажете вы. – «Мы понимаем, что ты хочешь сказать – риски утраты и бла-бла-бла».
«Не только», — отвечу я вам.

В соответствии с GDPR, да и в принципе у дорожащей репутацией компании, такое происходить не должно. Если конечно у вас нет лишних 20 млн. евро на оплату штрафа.

Data mapping или Data flow audit report — это первый этап на пути к защите персональных данных в соответствии с европейскими законами.

Data mapping или Data flow audit report — аудит для тех, кто на европейском рынке или только задумался о выходе на него. А тут, как ни крути, скорее всего придётся обрабатывать персональные данные европейских жителей, и это попадает под европейский Общий регламент защиты персональных данных или General data protection regulation (GDPR).

Data mapping или Data flow audit report – это занимательный процесс обнаружения давно потерянных данных, странных субъектов, которые имеют к ним доступ, и странных программ, которые по невиданной причине получили к ним доступ и с огромным удовольствием пользуются вашими наработками.

Ниже я расскажу, как провести Data mapping и найти потерянное (хотя уверен, что вы скажете, что ничего не теряли и всё под контролем).

Аудит


Аудит стоит проводить на первом этапе перед выпуском продукции на европейский рынок или, если продукт уже на рынке, то на пути приведения процесса обработки данных внутри вашей компании к нормам, установленными GDPR. Не все представляют, что такое персональные данные, не все осознают какой объём данных будет обрабатываться, не все помнят, где хранятся данные, в каком объёме и кто имеет к ним доступ, и самое главное ПОЧЕМУ они имеют к ним доступ. Аудит ответит на все вопросы. Задача GDPR – защитить персональные данные. А как мы можем их защищать, не зная, что, где и от кого защищать.

Ещё раз задумайтесь: уборщицы протирают столы с «делами», сотрудники выносят флешки и случайно копируют «старые» данные, забывая удалить с домашних компьютеров, списки потенциальных клиентов «висят в облаках» на неизвестных серверах.

Что нужно сделать вам или как провести Data mapping


  1. Собираем информацию о всех возможных данных, которые у вас хранятся (телефоны, фамилии, адреса, сайты клиентов, email, марка авто и прочее). Чем больше, тем лучше. Это позволит понять, что у нас вообще есть.
  2. Разделяем данные на персональные и не персональные. Это нужно для GDPR, ведь Регламент защищает только персональные данные.
  3. Определяем в каком формате хранится каждый вид данных (в электронном, бумажном или смешанном). Это нужно для понимания степени защищённости данных.
  4. Вспоминаем кому и какие данные нами передаются (сотрудникам, знакомым, подрядчикам, третьим лицам на хранение и прочее). Это нужно для того, чтобы знать, а законно ли мы их передали, и что может случиться, если стороннее лицо их утратит.
  5. Выясняем, какими способами мы передаём персональные данные как внутри компании, так и за её пределы (по телефону, по эл.почте, через облака, CRM и т.д.). Это также даёт понимание о надёжности таких способов передачи.
  6. Определяем локацию нахождения данных (на сервере в компании в России, на сервере у маркетолога в Австралии, в коробке у мамы или в папке на пыльной полке офиса). Это необходимо для понимания надёжности их защиты и в принципе законности нахождения в определённом месте.
  7. Выясняем, кто конкретно имеет доступ к данным (лучше пофамильно, по должностям). Часто доступ к данным имеют не только лица, которые по долгу службы должны иметь к ним доступ, но и ранее уволенные работники, которые сочиняют план мести за несправедливое увольнение.
  8. Из полученного списка составляем цепочку передачи данных. Кто, когда и по какой причине передал их тому или иному сотруднику или третьему лицу. Это необходимо для выяснения целесообразности и законности такой передачи.

Здесь заканчивается основная часть работы и рисуется (я предпочитаю наглядность) карта движения персональных данных. На фото первый этап (очень примитивная зарисовка) будущей карты.



Помимо сказанного, аудит должен содержать полное описание процессов получения, передачи, обработки и хранения данных, а также указания на «слабые места» и пути их исправления. Сейчас не буду затрагивать все вопросы, которые, к примеру, нами также выясняются в процессе сбора информации, такие как законность получения данных, наличия согласия от субъекта данных на их обработку, избыточность или сроки их хранения и обработки.

Просто подытожу


GDPR подтолкнул компании отнестись серьёзнее к обрабатываемым персональным данным, а карта движения данных или Data mapping, или Data flow audit report, как вам удобнее, демонстрирует не только реальную картину оборота данных в компании, но и находит персональные данные на давно потерянных ноутбуках, которые пылятся в старой картонной коробке у мамы.

Удачных аудитов!
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 27

    +1
    GDPR подтолкнул компании отнестись серьёзнее к обрабатываемым персональным данным

    Слишком мягко. Больше подходит: заставил (или заставит), несмотря на ярко выраженное и упрямое их нежелание этим заниматься и наоборот извлекать выгоду из целенаправленного аморальной их обработки.

      0
      Самое «страшное» — размытость понятия «персональные данные», под которое попадает фактически любая информация о субъекте. Так что компаниям придётся поработать.
        +1
        Можете привести формальное определение понятия?
          0
          (выделено мной) Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица.

          Я как-то приводил про пример с жёлтой курткой. Сама по себе куртка не является персональными данными, но если с помощью неё можно идентифицировать человека, то куртка уже считается персональными данными. Например, подойдите к мужчине в жёлтой куртке, который пьёт кофе в промежутке между 10 и 11 часами в кофейне «Ветерок».
            0
            По одной куртке нельзя идентифицировать конкретного человека. Группу людей можно. Одного — нет. То же самое и с неполным IP. Кусок данных не является в этом случае информацией — только её недостаточной частью. Трактование и применение этого закона в таком ключе, чтобы можно было зацепиться за любой кусок данных и «притянуть за уши» его к статье и наказанию — это прямое мошенничество (которое вполне может быть и узаконено — по недосмотру или специально). Потому что конечная цель — штраф (обман с целью отъёма денежных средств) и не более того. Понятно, что никто открыто этот момент обсуждать не возьмётся, но понимать и знать это стоит. Опять же, факт наличия и действия «кривого закона» ещё не говорит, что «там наверху дураки сидят». Возможно, такой закон просто является временным прикрытием чего-то большего, что афишировать и открыто обсуждать не положено.
            –1
            Закон не подразумевает формального определения, его могут подогнать комиссия под удобные ситуации. Выкрутиться неправильной трактовкой не получится.
            Из типового: логин в виде емейла, IP адрес являются персональными данными.
              0
              Кстати, в России IP адрес является персональными данными, если можно однозначно меня идентифицировать. И жёлтая куртка вкупе с временем встречи, и номер телефона, и связка отчество+адрес+возраст.

              В GDPR это необязательно: данными может являться даже 123.43.23.* — затёртый IP адрес.
                0
                Дополню мной вышесказанное: именно связка в этом случае является персональной информацией. По отдельности это просто характеризующие данные (просто жёлтая куртка, которую носят ещё какие-то 100.000 человек). Я специально не стал называть их «не персональной информацией», чтобы отчётливо была видна разница. И терминологически, при классификации чего-либо, так называть корректнее (частица «не» в данном случае даже не моветон, а вполне «запрещённый приём»).
          0
          Здесь нужна практика. Модель браузера и его версия являются персональными данными?

          А что конкретно GDPR говорит о защите персональных данных?
          Состав нарушения закона в чем состоит?
            0

            Хороший вопрос. С одной стороны по User-Agent'у нельзя идентифицировать человека, с другой стороны, если у него кастомный User-Agent, то уже можно

              +1
              Практики нет. Планируется к 19-му году. Сейчас принято ориентироваться не на конкретную информацию, а на её совокупность. Если храним и обрабатываем ФИО, телефон и модель браузера, то всё это персональные данные. А если в течение месяца, например, специалист по контекстной рекламе собирал инфу о браузерах от конкретных пользователей, которые побывали на сайте клиента (здесь инфа. еще персональные данные), потом выгрузил их в таблицу без указания на конкретных лиц, то это уже статистические данные, которые не попадают под понятие персональные. Тонкостей много.
                0
                Я про практику европейских судов (или кто там эти дела рассматривает) по данному закону. Он вообще применяется? А то Фэйсбук регулярно громко персональные данные пользователей теряет, а что-то не слышно о его миллионных штрафах.
            0
            Если это сингл на Стиме, то персональных данных ведь не будет?
              0
              Имеется в виду, если я в качестве Инди выпущу на Стиме игру для одиночной игры, то ко мне GDPR не относится?
                0
                Нужно ответить на вопросы:
                1) Получаю ли я какие-либо данные от людей, играющих в игру?
                2) Могу ли я идентифицировать лицо, данные от которого получены (не обязательно знать имя и фамилию, достаточно каким-либо образом иметь возможность обратиться к нему, имея полученные данные)?
                3) Являются ли данные от жителей ЕС?
                Если ответы да, то попадаете. Отвечаю конечно приблизительно. Потому что с разработчиками игр мы садимся за стол и начинаем выяснять что, откуда, с какой целью получено, нет ли лишних данных, как идентифицировать, нет ли обезличенных данных и т.д.
                  0
                  Спасибо за ответ!
                    0
                    2) Получается всё, что позволяет осуществить обратную связь с конкретным человеком, к вам обратившимся, попадает под понятие «персональные данные». В таком случае, придётся всегда чётко понимать, кого вы, например, решаете добавить в копию емейла, т.к. вероятна утечка, которая грозит вам нарушением GDPR. Весело, ничего не скажешь…
                0
                Отличная статья! Такие вещи полезно, во всех смыслах, знать и использовать. Илья, вы действительно уверены, что к 19му году мы получим достаточно практики для получения разъяснений в «размытых» моментах этого регламента? Мне кажется, что срока в 7-8 месяцев будет маловато.
                  0
                  GDPR принят в 2016, но вступил в силу в 2018. За эти 2 года собиралась практическая информация, решались вопросы, так сказать собирали возражения от стран ЕС. Комиссия ЕС, если не ошибаюсь, то она, объявила, что сделает обзор практики применения в 19-м году. Статьи на эту тему ещё будут. Потому что многие российские компании возмущены тем, что это не российский закон и не применяется на российские компании в России. Но как быть, если в Европе вынесут решение в отношение российской компании? Как исполнять решение? Сможет ли нарушитель продолжать работать в Европе? Сейчас уже видно, что компании всё равно подгоняют стандарты по обработке данных и по законам РФ и ЕС. Хотя противоречия тоже есть.
                  0
                  У меня возник странный вопрос.
                  Вот у нас есть некий злоумышленник. Тролль на форуме, читер в онлайновой игрушке; горе-хакер, перебором словаря пытающийся подобрать пару admin:admin на вашем сервере — в общем, представитель той категории персонажей, которую любят «лишать свободы слова» посредством бана.

                  Верно ли я понимаю, что теперь такому злоумышленнику достаточно потребовать удаления персональных данных согласно GDPR, и можно начинать резвиться заново? И существуют ли какие-то механизмы, предотвращающие такое использование закона?
                    0
                    Данные о клиенте вы можете хранить, и банить его. Главное, не передавать их третьим лицам и не терять.
                    А потребовать троль ничего не может по GDPR. С чего?
                      0
                      Если я верно понимаю, то
                      В GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу
                      Отсюда

                      Дальше: если я тролль, и меня забанили, я могу отправить запрос на удаление моих ПД в том числе из бан-листа. Profit?
                      Или я все же где-то ошибаюсь? Ошибаться я могу, это запросто.
                        0
                        Да, есть такое. Но мне кажется тут тролль не сможет юридически доказать, что конкретный IP в бан-листе — его персональная информация
                          0
                          Необязательно же именно и только IP. ПД участника с ником «зеленое трололо», мейл, IP, привязанный номер телефона, -100500 кармы…

                          В общем, понятно, что все сложно. Благодарю за ответы.
                            0
                            Да, это интересный момент.
                            Article 17 of the GDPR, The Right To Erasure, states:

                            Data Subjects have the right to obtain erasure from the data controller, without undue delay, if one of the following applies:
                            The controller doesn’t need the data anymore
                            The subject withdraws consent for the processing with which they previously agreed to (and the controller doesn’t need to legally keep it [N.B. Many will, e.g. banks, for 7 years.])
                            The subject uses their right to object (Article 21) to the data processing
                            The controller and/or its processor is processing the data unlawfully
                            There is a legal requirement for the data to be erased
                            The data subject was a child at the time of collection (See Article 8 for more details on a child’s ability to consent)
                    0
                    или поступить вот так:
                    image

                    Утренняя новость…
                    Возвращение к сборкам для конкретных стран

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое