- المادة 30 من الناتج المحلي الإجمالي: يجب على المنظمات أن تحتفظ بسجل لأنشطة التجهيز - أساسا خريطة بيانات
- وثائق خرائط البيانات: ما البيانات التي تحملها، أين، لماذا، من يستطيع الوصول إليها، كم من الوقت تحتفظ بها
- ابدأ بأكبر بياناتك المخاطرة أولاً (بيانات العملاء والبيانات الصحية والسجلات المالية)
- وهي وثيقة حية - استكمالها كلما تغيرت النظم أو العمليات
ورسم خرائط البيانات الشخصية - التي تسمى أيضا جردا للبيانات أو رسم خرائط لتدفق البيانات - هو عملية تحديد جميع البيانات الشخصية بصورة منهجية في منظمتكم: ما هو، حيث يعيش، وكيف يتدفق، الذين لديهم إمكانية الوصول، وكم من الوقت تحتفظون به. Under GDPR Article 30, most organisations are required to document this in a Record of Processing Activities (RoPA).
بالإضافة إلى الامتثال، تعد خريطة البيانات ذات قيمة تشغيلية. عند حدوث خرق للبيانات، عليك أن تعرف بالضبط البيانات المتأثرة. عندما يصل DSAR، عليك أن تعرف مكان البحث. عندما تقوم بنشر نظام جديد، فإنك تحتاج إلى معرفة البيانات التي سيلمسها. يجيب مخزون البيانات الذي يتم الاحتفاظ به على كل هذه الأسئلة بسرعة.
مسار الشراء ذو الصلة HubSecure
دليل الامتثال لإدارة علاقات العملاء (CRM) الامتثال لإدارة علاقات العملاء (CRM) للشركات النامية وحدة إدارة علاقات العملاء (CRM) مقارنة HubSpot دليل الامتثال لإدارة علاقات العملاء (CRM) دليل المكتبة احجز عرضًا توضيحيًا لسير العمل
موارد الأمان والخصوصية والحوكمة ذات الصلة
تابع مع مركز الأمان والثقة HubSecure، واتفاقية معالجة البيانات، والمعالجات الفرعية، وسير عمل الامتثال، ومشغل الذكاء الاصطناعي المحكوم.
حالة الاستخدام ذات الصلة
ينتمي هذا الدليل إلى مجموعة بدائل مساحة العمل وأدلة دمج الأدوات. تابع مع مركز المنتج للحصول على بدائل مساحة العمل ودمج الأدوات.
ما يجب أن تلتقطه خريطة بياناتك
كحد أدنى، يجب أن يتضمن قانون RoPA الخاص بك بموجب المادة 30 ما يلي:
- اسم وتفاصيل الاتصال بوحدة التحكم (و DPO إن أمكن)
- أغراض كل نشاط معالجة
- فئات أصحاب البيانات (العملاء، الموظفون، العملاء المحتملون، وما إلى ذلك)
- فئات البيانات الشخصية (الأسماء، وتفاصيل الاتصال، والبيانات المالية، والبيانات الصحية، وما إلى ذلك)
- فئات المستلمين (الذين يتلقون البيانات أو يصلون إليها)
- التحويلات إلى دول ثالثة (خارج المنطقة الاقتصادية الأوروبية) والضمانات المطبقة
- فترات الاحتفاظ أو معايير الحذف
- وصف التدابير الأمنية (على المستوى العام)
كيفية بناء خريطة بياناتك
الخطوة 1: تحديد أنشطة المعالجة الخاصة بك
ابدأ بإدراج جميع الأشياء التي تفعلها بالبيانات الشخصية. بالنسبة لشركة الخدمات المهنية، يتضمن ذلك عادةً ما يلي: تأهيل العملاء ومعرفة عميلك، وتقديم الخدمات وإدارة الأمور، وإعداد الفواتير والفواتير، والاتصالات التسويقية، والموارد البشرية وكشوف المرتبات، وإدارة الموردين، وإدارة الوصول إلى تكنولوجيا المعلومات، وكاميرات المراقبة.
الخطوة 2: مقابلة أصحاب البيانات
بالنسبة لكل قسم أو وظيفة، تحدث إلى الأشخاص الذين يستخدمون البيانات فعليًا يومًا بعد يوم. وهم يعرفون الأنظمة التي يستخدمونها، وما هي المعلومات التي يجمعونها، ومع من يشاركونها. يجب تضمين فرق تكنولوجيا المعلومات والموارد البشرية والمالية والامتثال والتعامل مع العملاء.
الخطوة 3: تحديد كافة الأنظمة
قم بإدراج كل تطبيق أو نظام أو موقع تخزين يحتوي على بيانات شخصية. يشمل:
- أنظمة إدارة علاقات العملاء وإدارة الحالات
- منصات البريد الإلكتروني
- إدارة الوثائق والتخزين السحابي
- أنظمة الموارد البشرية والرواتب
- منصات المحاسبة
- أدوات أتمتة التسويق
- منصات مؤتمرات الفيديو (إذا كانت تقوم بتخزين التسجيلات)
- الملفات المادية والسجلات الورقية
- أنظمة النسخ الاحتياطي
الخطوة 4: خريطة تدفقات البيانات
بالنسبة لكل نشاط معالجة، تتبع تدفق البيانات: من أين تأتي، وماذا يحدث لها، وأين تذهب، ومن لديه حق الوصول في كل مرحلة. ويكشف هذا عن معالجات الطرف الثالث، وعمليات النقل الدولية، وثغرات التحكم في الوصول التي قد لا تكون واضحة من قوائم النظام وحدها.
الخطوة 5: تعيين الأساس القانوني وفترات الاحتفاظ
بالنسبة لكل نشاط معالجة، قم بتوثيق الأساس القانوني للقانون العام لحماية البيانات وفترة الاحتفاظ. هذا هو المكان الذي تتصل فيه خريطة البيانات الخاصة بك بوثائق الامتثال الأوسع نطاقًا - إشعارات الخصوصية، والجداول الزمنية للاحتفاظ، ومسؤوليات حماية البيانات (DPA).
الاختصار العملي: ابدأ ببيانات العميل الخاصة بك - فمن المؤكد تقريبًا أنها تمثل أعلى حجم وأعلى مخاطرة لديك. قم بتخطيط ذلك بشكل كامل قبل التعامل مع أنشطة المعالجة الأقل خطورة. تعد خريطة البيانات الجزئية التي يتم صيانتها أكثر قيمة بكثير من الخريطة الشاملة التي أصبحت قديمة على الفور.
الحفاظ على خريطة البيانات الخاصة بك
خريطة البيانات التي لم تتم صيانتها تصبح التزامًا بالامتثال بدلاً من كونها أصلًا. بناء عملية المراجعة:
- قم بمراجعة خريطة البيانات الكاملة سنويًا على الأقل
- قم بتشغيل التحديث كلما تم نشر نظام جديد، أو إشراك بائع جديد، أو تغيير العملية بشكل ملحوظ
- تعيين الملكية — فرد أو فريق مسمى مسؤول عن إبقاء الخريطة محدثة
- التحكم في الإصدار - احتفظ بسجل لمعرفة متى تم إجراء التغييرات ولماذا
هل ينطبق إعفاء المادة 30 من نظام RoPA للشركات الصغيرة والمتوسطة على الشركات الخاضعة للتنظيم؟
تعفي المادة 30 (5) المؤسسات التي لديها أقل من 250 موظفًا من متطلبات RoPA - ما لم تشكل المعالجة خطرًا على حقوق الأفراد وحرياتهم، أو لا تتم المعالجة من حين لآخر، أو تتضمن بيانات فئة خاصة. الشركات الخاضعة للتنظيم (الكيانات الملتزمة بمكافحة غسل الأموال، والخدمات المالية، والرعاية الصحية) تقع دائمًا خارج نطاق الإعفاء.
هل يمكن للسلطات الإشرافية أن تطلب خريطة البيانات الخاصة بنا؟
نعم. يجب أن يكون قانون RoPA متاحًا للسلطات الإشرافية عند الطلب بموجب المادة 30(4). يقوم المنظمون بمراجعة خرائط البيانات بشكل روتيني أثناء عمليات التدقيق والتحقيقات.
جميع بيانات عملائك، محددة ومحكومة
يحتفظ HubSecure CRM وVault بالبيانات الشخصية في مساحة عمل واحدة مُدارة - بحيث تظل خريطة البيانات الخاصة بك دقيقة وتكون استجابات DSAR سريعة.
Book a demoتمت المراجعة للفرق المنظمة
تم إعداده بواسطة فريق تحرير HubSecure للمشغلين وقادة الامتثال ومراجعي تكنولوجيا المعلومات الذين يقومون بتقييم برامج عمليات العميل الآمنة.
المؤلفون: مراجعون؛ سياسة التحرير