Baixe o app para aproveitar ainda mais
Prévia do material em texto
DPIA Enviando detalhes do controlador Nome do Controlador Alpha Manufacturing Inc. Assunto / título do DPO Avaliação de impacto - Nome do contato do controlador / DPO (apague como apropriado) johnybati@gmail.com Etapa 1: Identificar a necessidade de um DPIA Explique amplamente o que o projeto pretende alcançar e que tipo de processamento envolve. Você pode achar útil consultar ou vincular a outros documentos, como uma proposta de projeto. Resuma por que você identificou a necessidade de um DPIA. Esta DPIA se faz necessária por conta do processamento tratar de diz respeito à aplicação de uma nova solução tecnológica em uma organização organizacional alterada e também diz respeito ao processamento desses dados pessoais específicos pela parte externa pode ter um impacto significativo no dia a dia e na privacidade dos funcionários da empresa Alpha. Etapa 2: Descreva o processamento Descreva a natureza do processamento: como você coletará, usará, armazenará e apagará dados? Qual é a fonte dos dados? Você compartilhará dados com alguém? Você pode achar útil consultar um diagrama de fluxo ou outra maneira de descrever fluxos de dados. Que tipos de processamento identificados como de alto risco provável está envolvidos? Coleta dos dados: realizada na admissão. Como será utilizado: Utilizado via sistema para processamento da folha Armazenamento: Servidor do sistema que processa a folha. Exclusão: Após 10 anos da saída do funcionário da empresa, ou conforme legislação vigente. Fonte dos dados: Colaborador Compartilhamento: Sim – para Beta Cloud Services S.A. (Beta) epara Realização do fluxo de dados Criação de contrato de prestação de serviço com a Beta Descreva o âmbito do tratamento: qual é a natureza dos dados e inclui dados de categorias especiais ou de infracções penais? Quantos dados você irá coletar e usar? Quantos dados você irá coletar e usar? Por quanto tempo você vai ficar com ele? Quantas pessoas são afetadas? Que área geográfica cobre? Natureza dos dados: Informações fornecidas pelos colaboradores Inclui categorias especiais ou de infrações penais: Não inclui categorias especiais Quantidade de dados coletados e utilização: Nome, RG, CPF, conta bancaria, PIS e data de nascimento Frequência da coleta de dados: Sempre que houver nova contratação Tempo de utilização dos dados: Durante vigência do contrato Pessoas afetadas: Todos os colaboradores da Alpha Que área geográfica cobre: Todas as localidades onde houverem colaborares. Descreva o contexto do processamento: qual é a natureza do seu relacionamento com os indivíduos? Quanto controle eles terão? Eles esperam que você use seus dados dessa maneira? Eles incluem crianças ou outros grupos vulneráveis? Existem preocupações anteriores sobre este tipo de processamento ou falhas de segurança? É novo de alguma forma? Qual é o estado atual da tecnologia nesta área? Existem questões atuais de interesse público que você deva levar em consideração? Você se inscreveu em algum código de conduta ou esquema de certificação aprovado (uma vez que algum tenha sido aprovado)? Os dados serão processados com finalidade de realizar o pagamento dos salários dos colaboradores, cálculo de INSS e imposto de renda, cálculo de férias, cálculo de 13º salário e verbas rescisórias. O vínculo dos empregados com a Alpha será feito através de contrato de trabalho, onde estarão descritas todas as obrigações e direitos dos empregados. Serão controlados através de auditorias internas e externas e verificações mensais dos cálculos. A Beta aplica controles de firewall, anti vírus, controles de acesso, auditorias de senhas e medidas de pentest. Os dados fornecidos a Beta poderão incluir dados de crianças. As tecnologias utilizadas pela Beta são de alta proteção e apresentam requisitos tecnológicos de ponta. Todos os colaboradores são regidos pelo código de conduta da Alpha Descreva os objetivos do processamento: o que você deseja alcançar? Qual é o efeito pretendido sobre os indivíduos? Quais são os benefícios do processamento - para você e de forma mais ampla? O objetivo principal do processamento é a realização do processamento da folha de pagamento dos colaboradores da Alpha, o efeito esperado é a redução do quadro de colaboradores das Alpha, diminuição do tempo de processamento e redução dos custos da Alpha. Etapa 3: processo de consulta Considere como consultar as partes interessadas relevantes: descreva quando e como você buscará as opiniões dos indivíduos - ou justifique por que não é apropriado fazê-lo. Quem mais você precisa envolver em sua organização? Você precisa pedir ajuda aos seus processadores? Você planeja consultar especialistas em segurança da informação ou qualquer outro especialista? A Alpha realizou consulta interna com os colaboradores, para verificar a opinião e as possíveis consequências da realização do processamento pela Beta, houve algumas críticas por acharem que a comunicação poderia ser prejudicada. Os seguintes departamentos foram envolvidos: Financeiro, Fiscal, Recursos Humanos, Planejamento e Escritório de Projetos. A Beta precisa informar todos os controle de segurança adotados, todos os canais de comunicação inclusive as redundância para que possa ser comunicado aos colaboradores. Etapa 4: avalie a necessidade e a proporcionalidade Descreva as medidas de conformidade e proporcionalidade, em particular: qual é a sua base legal para o processamento? O processamento realmente atinge seu propósito? Existe outra maneira de alcançar o mesmo resultado? Como você evitará o deslocamento da função? Como você garantirá a qualidade e a minimização dos dados? Que informações você dará às pessoas? Como você ajudará a apoiar os direitos deles? Que medidas você toma para garantir que os processadores cumpram? Como você protege quaisquer transferências internacionais? A base legal para o processamento é que a Alpha precisa realizar o pagamento das obrigações formados no contrato com colaboradores e precisa honrar as obrigações, como INSS, FGTS e Imposto de Renda. Após diversos testes realizados com a Beta, também foi realizado pesquisa de mercado para entender as outras possibilidades e a solução apresentada pela Beta foi a melhor e que apresentar os melhores requisitos de segurança da informação. Outra maneira de alcançar o resultado de processar a folha de pagamento, seria a própria Beta realizar o processamento dos dados. O deslocamento de função de função será evitado através de auditorias, responsabilidades descritas em contratos, e uma matriz de responsabilidades. A Alpha monitora as leis em vigor para entender as necessidades atuais e quais os dados pessoais são necessários para a realização do processamento, assim garantindo a minimização dos dados. Os colaboradores serão comunicados da mudança e também serão informados como será realizado o processamento e quais as medidas de segurança que serão aplicadas no processamento feito pela Beta. A Alpha colocou em contrato que as transferências de dados internacionais são proibidas por parte a Beta! Etapa 5: identificar e avaliar os riscos Descreva a fonte de risco e a natureza do impacto potencial sobre os indivíduos. Inclua os riscos corporativos e de conformidade associados, conforme necessário. Probabilidade de dano Gravidade do dano Risco geral Vazamento de dados Remoto Grave Alto Perda de dados Remoto Grave Alto Não exclusão de dados após o término de contrato Remoto Grave Alto Não processamento dos dados nos prazos estabelecidos Remoto Grave Alto Etapa 6: Identificar medidas para reduzir o risco Identifique medidas adicionais que você pode tomar para reduzir ou eliminar os riscos identificados como médio ou alto risco na etapa 5 Risco Opções para reduzir ou eliminar o risco Efeito no risco Risco residual Medida aprovada Apropriação indevida de dados Firewal, antivírus e controle de acesso físico e logico Eliminado reduzido aceito Médio Sim Cópia de dados Controle de acesso, gerenciamento desenhas e travamento de portas USB Reduzido Baixo Sim Destruição de dados Backup dos dados Reduzido Médio Sim Desastre natural Backup dos dados e redundância de serviços Reduzido Baixo Sim Etapa 7: assinar e registrar os resultados Item Nome / cargo / data Notas Medidas aprovadas por: João da Dores Integrar ações de volta ao plano do projeto, com data e responsabilidade pela conclusão Riscos residuais aprovados por: Maria Bonita Se aceitar qualquer alto risco residual, consulte a OIC antes de prosseguir Conselhos DPO fornecidos: Os controles devem ser implementados antes do início do vigor do contrato O DPO deve aconselhar sobre conformidade, medidas da etapa 6 e se o processamento pode prosseguir Resumo do conselho do DPO: Implementar todos os controles antes do inicio do processamento, realização de auditorias periódicas, monitoramento do ambiente da Beta e avaliação da prestação do serviço por períodos regulares. Conselho DPO aceito ou rejeitado por: José Nascimento Se rejeitado, você deve explicar seus motivos Comentários: Respostas da consulta revisadas por: Marcia Alencar Se sua decisão diverge das visões individuais, você deve explicar suas razões Comentários: Este DPIA será mantido sob revisão por: Johny Batista O DPO também deve revisar a conformidade contínua com DPIA DPIA template 20180622 v0.4 2 2
Compartilhar