06.08.2018 13:54
Ilia_Munaev 17 3200 Источник

Data mapping или Data audit, или Data flow audit report


В принципе, не важно как это называется, если ты, к примеру, разработчик онлайн игр и готов узнать, что cookie и IP-адрес по европейским законам — это персональные данные, которые вы обрабатываете и которые, скорее всего, были переданы какой-нибудь маркетинговой компании в России без должного внимания. Возможно данные потенциальных клиентов пылятся на жестком диске сломанного ноутбука, который должен был пойти на запчасти, но всё ещё мирно покоится в картонной коробке у мамы. Или именно сейчас какой-нибудь начинающий специалист из вашей команды с лёгкостью оставил флешку с данными в автомобиле, забежав в магазинчик за колой после жаркого совещания.

«Окей», — скажете вы. – «Мы понимаем, что ты хочешь сказать – риски утраты и бла-бла-бла».
«Не только», — отвечу я вам.

В соответствии с GDPR, да и в принципе у дорожащей репутацией компании, такое происходить не должно. Если конечно у вас нет лишних 20 млн. евро на оплату штрафа.

Data mapping или Data flow audit report — это первый этап на пути к защите персональных данных в соответствии с европейскими законами.

Data mapping или Data flow audit report — аудит для тех, кто на европейском рынке или только задумался о выходе на него. А тут, как ни крути, скорее всего придётся обрабатывать персональные данные европейских жителей, и это попадает под европейский Общий регламент защиты персональных данных или General data protection regulation (GDPR).

Data mapping или Data flow audit report – это занимательный процесс обнаружения давно потерянных данных, странных субъектов, которые имеют к ним доступ, и странных программ, которые по невиданной причине получили к ним доступ и с огромным удовольствием пользуются вашими наработками.

Ниже я расскажу, как провести Data mapping и найти потерянное (хотя уверен, что вы скажете, что ничего не теряли и всё под контролем).

Аудит


Аудит стоит проводить на первом этапе перед выпуском продукции на европейский рынок или, если продукт уже на рынке, то на пути приведения процесса обработки данных внутри вашей компании к нормам, установленными GDPR. Не все представляют, что такое персональные данные, не все осознают какой объём данных будет обрабатываться, не все помнят, где хранятся данные, в каком объёме и кто имеет к ним доступ, и самое главное ПОЧЕМУ они имеют к ним доступ. Аудит ответит на все вопросы. Задача GDPR – защитить персональные данные. А как мы можем их защищать, не зная, что, где и от кого защищать.

Ещё раз задумайтесь: уборщицы протирают столы с «делами», сотрудники выносят флешки и случайно копируют «старые» данные, забывая удалить с домашних компьютеров, списки потенциальных клиентов «висят в облаках» на неизвестных серверах.

Что нужно сделать вам или как провести Data mapping


  1. Собираем информацию о всех возможных данных, которые у вас хранятся (телефоны, фамилии, адреса, сайты клиентов, email, марка авто и прочее). Чем больше, тем лучше. Это позволит понять, что у нас вообще есть.
  2. Разделяем данные на персональные и не персональные. Это нужно для GDPR, ведь Регламент защищает только персональные данные.
  3. Определяем в каком формате хранится каждый вид данных (в электронном, бумажном или смешанном). Это нужно для понимания степени защищённости данных.
  4. Вспоминаем кому и какие данные нами передаются (сотрудникам, знакомым, подрядчикам, третьим лицам на хранение и прочее). Это нужно для того, чтобы знать, а законно ли мы их передали, и что может случиться, если стороннее лицо их утратит.
  5. Выясняем, какими способами мы передаём персональные данные как внутри компании, так и за её пределы (по телефону, по эл.почте, через облака, CRM и т.д.). Это также даёт понимание о надёжности таких способов передачи.
  6. Определяем локацию нахождения данных (на сервере в компании в России, на сервере у маркетолога в Австралии, в коробке у мамы или в папке на пыльной полке офиса). Это необходимо для понимания надёжности их защиты и в принципе законности нахождения в определённом месте.
  7. Выясняем, кто конкретно имеет доступ к данным (лучше пофамильно, по должностям). Часто доступ к данным имеют не только лица, которые по долгу службы должны иметь к ним доступ, но и ранее уволенные работники, которые сочиняют план мести за несправедливое увольнение.
  8. Из полученного списка составляем цепочку передачи данных. Кто, когда и по какой причине передал их тому или иному сотруднику или третьему лицу. Это необходимо для выяснения целесообразности и законности такой передачи.

Здесь заканчивается основная часть работы и рисуется (я предпочитаю наглядность) карта движения персональных данных. На фото первый этап (очень примитивная зарисовка) будущей карты.



Помимо сказанного, аудит должен содержать полное описание процессов получения, передачи, обработки и хранения данных, а также указания на «слабые места» и пути их исправления. Сейчас не буду затрагивать все вопросы, которые, к примеру, нами также выясняются в процессе сбора информации, такие как законность получения данных, наличия согласия от субъекта данных на их обработку, избыточность или сроки их хранения и обработки.

Просто подытожу


GDPR подтолкнул компании отнестись серьёзнее к обрабатываемым персональным данным, а карта движения данных или Data mapping, или Data flow audit report, как вам удобнее, демонстрирует не только реальную картину оборота данных в компании, но и находит персональные данные на давно потерянных ноутбуках, которые пылятся в старой картонной коробке у мамы.

Удачных аудитов!

Комментарии (17)


  1. firk
    06.08.2018 17:27
    #18963287

    GDPR подтолкнул компании отнестись серьёзнее к обрабатываемым персональным данным

    Слишком мягко. Больше подходит: заставил (или заставит), несмотря на ярко выраженное и упрямое их нежелание этим заниматься и наоборот извлекать выгоду из целенаправленного аморальной их обработки.


    1. Ilia_Munaev Автор
      06.08.2018 17:35
      #18963311
      +1

      Самое «страшное» — размытость понятия «персональные данные», под которое попадает фактически любая информация о субъекте. Так что компаниям придётся поработать.


      1. altrus
        06.08.2018 17:55
        #18963401

        Можете привести формальное определение понятия?


        1. Ilia_Munaev Автор
          06.08.2018 18:00
          #18963419

          (выделено мной) Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица.

          Я как-то приводил про пример с жёлтой курткой. Сама по себе куртка не является персональными данными, но если с помощью неё можно идентифицировать человека, то куртка уже считается персональными данными. Например, подойдите к мужчине в жёлтой куртке, который пьёт кофе в промежутке между 10 и 11 часами в кофейне «Ветерок».


        1. ainu
          07.08.2018 15:34
          #18967317

          Закон не подразумевает формального определения, его могут подогнать комиссия под удобные ситуации. Выкрутиться неправильной трактовкой не получится.
          Из типового: логин в виде емейла, IP адрес являются персональными данными.


        1. ainu
          07.08.2018 15:36
          #18967331

          Кстати, в России IP адрес является персональными данными, если можно однозначно меня идентифицировать. И жёлтая куртка вкупе с временем встречи, и номер телефона, и связка отчество+адрес+возраст.

          В GDPR это необязательно: данными может являться даже 123.43.23.* — затёртый IP адрес.


  1. altrus
    06.08.2018 18:07
    #18963441

    Здесь нужна практика. Модель браузера и его версия являются персональными данными?

    А что конкретно GDPR говорит о защите персональных данных?
    Состав нарушения закона в чем состоит?


    1. APXEOLOG
      06.08.2018 19:16
      #18963707

      Хороший вопрос. С одной стороны по User-Agent'у нельзя идентифицировать человека, с другой стороны, если у него кастомный User-Agent, то уже можно


    1. Ilia_Munaev Автор
      06.08.2018 20:28
      #18963909
      +1

      Практики нет. Планируется к 19-му году. Сейчас принято ориентироваться не на конкретную информацию, а на её совокупность. Если храним и обрабатываем ФИО, телефон и модель браузера, то всё это персональные данные. А если в течение месяца, например, специалист по контекстной рекламе собирал инфу о браузерах от конкретных пользователей, которые побывали на сайте клиента (здесь инфа. еще персональные данные), потом выгрузил их в таблицу без указания на конкретных лиц, то это уже статистические данные, которые не попадают под понятие персональные. Тонкостей много.


      1. altrus
        07.08.2018 04:14
        #18964649

        Я про практику европейских судов (или кто там эти дела рассматривает) по данному закону. Он вообще применяется? А то Фэйсбук регулярно громко персональные данные пользователей теряет, а что-то не слышно о его миллионных штрафах.


        1. Ilia_Munaev Автор
          07.08.2018 09:29
          #18965065

          Фейсбук оштрафован на 500 000 фунтов — это максимальный штраф по британским законам. На момент совершения нарушения GDPR ещё не вступил в силу. В противном случае штраф мог быть 20 млн. евро.
          tjournal.ru/73467-velikobritaniya-oshtrafovala-facebook-na-polmilliona-funtov-sterlingov-iz-za-skandala-s-cambridge-analytica


  1. DelphiCowboy
    07.08.2018 08:48
    #18964943

    Если это сингл на Стиме, то персональных данных ведь не будет?


    1. DelphiCowboy
      07.08.2018 09:43
      #18965139

      Имеется в виду, если я в качестве Инди выпущу на Стиме игру для одиночной игры, то ко мне GDPR не относится?


      1. Ilia_Munaev Автор
        07.08.2018 09:52
        #18965191

        Нужно ответить на вопросы:
        1) Получаю ли я какие-либо данные от людей, играющих в игру?
        2) Могу ли я идентифицировать лицо, данные от которого получены (не обязательно знать имя и фамилию, достаточно каким-либо образом иметь возможность обратиться к нему, имея полученные данные)?
        3) Являются ли данные от жителей ЕС?
        Если ответы да, то попадаете. Отвечаю конечно приблизительно. Потому что с разработчиками игр мы садимся за стол и начинаем выяснять что, откуда, с какой целью получено, нет ли лишних данных, как идентифицировать, нет ли обезличенных данных и т.д.


        1. DelphiCowboy
          07.08.2018 11:36
          #18965885

          Спасибо за ответ!


  1. Radziuk
    07.08.2018 11:57
    #18966067

    Отличная статья! Такие вещи полезно, во всех смыслах, знать и использовать. Илья, вы действительно уверены, что к 19му году мы получим достаточно практики для получения разъяснений в «размытых» моментах этого регламента? Мне кажется, что срока в 7-8 месяцев будет маловато.


    1. Ilia_Munaev Автор
      07.08.2018 12:03
      #18966095

      GDPR принят в 2016, но вступил в силу в 2018. За эти 2 года собиралась практическая информация, решались вопросы, так сказать собирали возражения от стран ЕС. Комиссия ЕС, если не ошибаюсь, то она, объявила, что сделает обзор практики применения в 19-м году. Статьи на эту тему ещё будут. Потому что многие российские компании возмущены тем, что это не российский закон и не применяется на российские компании в России. Но как быть, если в Европе вынесут решение в отношение российской компании? Как исполнять решение? Сможет ли нарушитель продолжать работать в Европе? Сейчас уже видно, что компании всё равно подгоняют стандарты по обработке данных и по законам РФ и ЕС. Хотя противоречия тоже есть.