Χαρτογράφηση ροής δεδομένων (Data Flow Mapping) στο πλαίσιο του GDPR της ΕΕ

Στο πλαίσιο ενός σχεδίου συμμόρφωσης με το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της ΕΕ, οι οργανισμοί θα χρειαστεί να χαρτογραφήσουν τις ροές δεδομένων και πληροφοριών τους προκειμένου να αξιολογήσουν τους κινδύνους ιδιωτικής ζωής τους. Πρόκειται επίσης για ένα ουσιαστικό πρώτο βήμα για την ολοκλήρωση της αξιολόγησης αντικτύπου προστασίας δεδομένων (DPIA), η οποία είναι υποχρεωτική για ορισμένα είδη επεξεργασίας.

Τα βασικά στοιχεία της χαρτογράφησης ροής δεδομένων (Data Flow Mapping) στο GDPR

Για να χαρτογραφήσετε αποτελεσματικά τα δεδομένα σας, πρέπει να κατανοήσετε τη ροή πληροφοριών, να την περιγράψετε και να προσδιορίσετε τα βασικά στοιχεία της.

1. Κατανόηση της ροής πληροφοριών (Data Flow)

Μια ροή πληροφοριών (Data Flow) είναι μια μεταφορά πληροφοριών από μια τοποθεσία σε μια άλλη, για παράδειγμα:

• Από το εσωτερικό προς το εξωτερικό της Ευρωπαϊκής Ένωσης. ή
• Από τους προμηθευτές και τους υπο-προμηθευτές έως τους πελάτες.

2. Περιγράψτε τη ροή πληροφοριών (Data Flow)

• Αναλύστε τον κύκλο ζωής της πληροφορίας για να εντοπίσετε απρόβλεπτες ή ακούσιες χρήσεις δεδομένων. Αυτό συμβάλλει επίσης στην ελαχιστοποίηση των στοιχείων που συλλέγονται.
• Βεβαιωθείτε ότι οι άνθρωποι που θα χρησιμοποιήσουν τις πληροφορίες έχουν συμβουλευτεί σχετικά με τις πιθανές πρακτικές συνέπειες.
• Εξετάστε και καταγράψτε τις πιθανές μελλοντικές χρήσεις των συλλεγόμενων πληροφοριών, ακόμη και αν δεν είναι άμεσα αναγκαίες.

3. Προσδιορίστε τα βασικά στοιχεία της ροής πληροφορίων

Στοιχεία δεδομένων

• Τι είδους δεδομένα υπόκεινται σε επεξεργασία (όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου, διεύθυνση κ.λπ.) και
• σε ποια κατηγορία εμπίπτουν (δεδομένα υγείας, ποινικό μητρώο, δεδομένα θέσης κ.λπ.);

Μορφές

Σε ποια μορφή αποθηκεύετε τα δεδομένα (έντυπη, ψηφιακή, βάση δεδομένων, κινητά τηλέφωνα κ.λπ.);

Μέθοδος μεταφοράς

• Πώς συλλέγετε δεδομένα (ταχυδρομείο, τηλέφωνο, κοινωνικά μέσα) και
• πώς τα μοιράζεστε εσωτερικά (εντός του οργανισμού σας) και εξωτερικά (με τρίτους);

Τοποθεσία

Ποιες τοποθεσίες εμπλέκονται στη ροή δεδομένων (γραφεία, Cloud, τρίτα μέρη κ.λπ.);

Ευθύνη

Ποιος είναι υπεύθυνος για τα προσωπικά δεδομένα; Συχνά αυτό αλλάζει καθώς τα δεδομένα μετακινούνται σε ολόκληρο τον οργανισμό.

Πρόσβαση

Ποιος έχει πρόσβαση στα εν λόγω δεδομένα;

Οι βασικές προκλήσεις της χαρτογράφησης δεδομένων στο GDPR

Προσδιορισμός προσωπικών δεδομένων

Τα προσωπικά δεδομένα μπορούν να βρίσκονται σε διάφορες τοποθεσίες και να αποθηκεύονται σε διάφορες μορφές, όπως το χαρτί, ηλεκτρονικά ακόμα και ηχητικά. Η πρώτη πρόκληση είναι να αποφασίσετε ποιες πληροφορίες πρέπει να καταγράψετε και σε ποια μορφή.

Προσδιορισμός κατάλληλων τεχνικών και οργανωτικών εγγυήσεων

Η δεύτερη πρόκληση είναι να προσδιοριστεί η κατάλληλη τεχνολογία, η πολιτική και οι διαδικασίες για τη χρήση της για την προστασία των πληροφοριών, ενώ παράλληλα καθορίζεται ποιος ελέγχει την πρόσβαση σε αυτήν.

Κατανόηση νομικών και κανονιστικών υποχρεώσεων

Η τελευταία πρόκληση σας είναι να καθορίσετε ποιες είναι οι νομικές και κανονιστικές υποχρεώσεις του οργανισμού σας. Εκτός από το GDPR, αυτό μπορεί να περιλαμβάνει και άλλα πρότυπα συμμόρφωσης, όπως το Πρότυπο Ασφάλειας Δεδομένων της Κάρτας Πληρωμών (PCI DSS) και το ISO 27001.