Spis treści
Mapowanie przepływów danych osobowych to proces dokumentowania, skąd pochodzą dane, przez jakie systemy przechodzą, gdzie są przechowywane i komu są udostępniane. Bez takiej mapy trudno jest ocenić, czy architektura systemu spełnia wymogi RODO, ponieważ nie wiadomo dokładnie, jakie dane i w jakim zakresie są przetwarzane.
Proces zwykle rozpoczyna się od zidentyfikowania wszystkich punktów wejścia danych do systemu — formularzy rejestracyjnych, integracji z systemami zewnętrznymi, importów plików. Następnie dokumentuje się, jak dane przemieszczają się między poszczególnymi komponentami architektury, w tym między mikrousługami, kolejkami komunikatów i bazami danych.
Efektem tego etapu powinien być diagram lub tabela pokazująca źródło danych, cel przetwarzania, miejsce przechowywania oraz odbiorców, którym dane są przekazywane.
Szczególną uwagę należy poświęcić miejscom, w których dane opuszczają infrastrukturę własną organizacji — na przykład integracjom z zewnętrznymi dostawcami usług płatniczych, systemami analitycznymi czy narzędziami do wysyłki wiadomości. Każdy taki punkt styku wymaga odrębnej analizy pod kątem podstawy prawnej i zakresu przekazywanych danych.
Mapa przepływów danych nie jest dokumentem statycznym. Każda zmiana w architekturze systemu — dodanie nowej integracji, zmiana dostawcy usług chmurowych, wdrożenie nowego modułu — powinna skutkować aktualizacją dokumentacji, tak aby odzwierciedlała ona rzeczywisty stan systemu.
Zwykle jest to wspólna praca zespołu technicznego odpowiedzialnego za architekturę systemu oraz osób odpowiedzialnych za zgodność z przepisami o ochronie danych.
Najlepszą praktyką jest aktualizacja przy każdej istotnej zmianie architektury oraz okresowy przegląd całości, na przykład raz do roku.