Como trabalhar com atividades de processamento de dados

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 9 min. de leitura

    • Os agentes de processamento de dados podem usar as opções no módulo Atividade de processamento de dados para criar metas, identificá-las como atividades de processamento de dados e executar GDPR DPIA avaliações de meta nelas para determinar se as metas são de alto risco.

    Nota:
    Começando com a versão Rome, o GRC: GDPR DPIA Accelerator está sendo preparado para descontinuação futura. Ele ficará oculto e não será mais ativado em novas instâncias, mas continuará a ser compatível. Para obter detalhes, consulte o artigo Processo de descontinuação [KB0867184] na base de conhecimento do Now Support.

    Criar um destino

    No GDPR, uma meta se refere à associação entre uma entidade e uma atividade de processamento de dados.

    Antes de Iniciar

    Função necessária: sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Nota:
    Começando com a versão Rome, o GRC: GDPR DPIA Accelerator está sendo preparado para descontinuação futura. Ele ficará oculto e não será mais ativado em novas instâncias, mas continuará a ser compatível. Para obter detalhes, consulte o artigo Processo de descontinuação [KB0867184] na base de conhecimento do Now Support.

    Por Que e Quando Desempenhar Esta Tarefa

    Uma avaliação de destino é executada em um destino para identificar se é uma atividade de processamento de dados. Se a avaliação retornar e a meta for identificada como de alto risco, crie um risco de DPIA para executar uma avaliação de DPIA e determinar como o risco pode ser atenuado.As metas podem ser criadas manualmente ou você pode gerá-las automaticamente selecionando a verificação Gerar meta caixa no formulário de entidade ou no formulário de tipo de entidade.

    Procedimento

    1. Navegar até Todos > DPIA do GDPR > Atividade de processamento de dados > Criar Destino.
      Nova meta
    2. Preencha os campos, conforme necessário.
      Campo Descrição
      Nome Insira o nome do destino.
      Pertence a Selecione o proprietário para este destino.
      Descrição Insira uma descrição que descreva o destino.
      Ativo Marque esta caixa de seleção para ativar o destino.
      Entidade Selecione a entidade associada a este destino. Uma entidade pode ter apenas um destino associado a ela.
      Estrutura O padrão deste campo é GDPR DPIA.
    3. Siga um destes procedimentos:
      • Para salvar os dados, clique em Atualizar.
      • Para identificar o registro de destino como uma atividade de processamento de dados, clique aqui.
      • Para modificar a lista de entrevistados da avaliação, clique na guia Avaliações preliminares.
      • Para executar uma avaliação preliminar no destino, clique em Enviar avaliações.
      • Para executar uma avaliação de DPIA no destino, clique em Gerar DPIA.

    Identificar um destino como uma atividade de processamento de dados

    Identificar um destino como uma atividade de processamento de dados é a primeira etapa para determinar se uma avaliação de processamento de dados deve ser realizada no destino.

    Antes de Iniciar

    Função necessária: sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Nota:
    Começando com a versão Rome, o GRC: GDPR DPIA Accelerator está sendo preparado para descontinuação futura. Ele ficará oculto e não será mais ativado em novas instâncias, mas continuará a ser compatível. Para obter detalhes, consulte o artigo Processo de descontinuação [KB0867184] na base de conhecimento do Now Support.

    Procedimento

    1. Navegar até Todos > DPIA do GDPR > Atividade de processamento de dados > Todos os destinos.
      Atividade de processamento de dados - todos os destinos
    2. Selecione o registro de destino que você deseja identificar como uma atividade de processamento de dados.
    3. Clique em Atualizar.
      Duas listas relacionadas são exibidas: GDPR DPIA e GDPR Preliminary Assessment.
      Lista relacionada DPIA do GDPR
    4. Na guia GDPR DPIA, marque a caixa de seleção Atividade de processamento de dados.
    5. Preencha os campos, conforme necessário.
      Campo Descrição
      Status de Aprovação Exibe o status atual do processo de aprovação.
      Finalidade A finalidade da meta. Inclua informações como onde a atividade é aplicável.
      Necessidade e proporcionalidade Uma avaliação da necessidade e proporcionalidade da meta em relação à sua finalidade.
      Medidas conhecidas Medidas para lidar com o risco, incluindo proteções, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais.
      Critérios de avaliação Clique no ícone de cadeado e selecione os critérios a serem considerados para avaliar se a meta provavelmente resultará em alto risco. Os critérios são:
      • Avaliação ou pontuação
      • Tomada de decisão automatizada com efeito jurídico ou efeito semelhante significativo
      • Monitoramento sistemático
      • Dados confidenciais ou dados de natureza altamente pessoal
      • Dados processados em larga escala
      • Associação ou combinação de conjuntos de dados
      • Dados relativos a assuntos de dados vulneráveis
      • Uso inovador ou aplicação de novas soluções tecnológicas ou organizacionais
      • Evitar que os indivíduos relativos aos dados exerçam um direito ou usem um serviço ou contrato
      Usa DPIA existente? Marque esta caixa de seleção se o destino usar um DPIA preexistente, clique no ícone de cadeado e selecione os DPIAs associados a este destino na lista.
      É recomendado pelo agente de processamento de dados? Marque esta caixa de seleção se o destino exigir a aprovação de um Agente de processamento de dados, clique no ícone de cadeado e selecione o Agente de processamento de dados apropriado na lista.
      Usa o Código de Conduta aprovado? Marque esta caixa de seleção se a meta deve estar em conformidade com um Código de Conduta quando seu impacto for acessado e insira o nome do Código de Conduta na caixa de texto.
      Busca exibições do assunto dos dados? Marque esta caixa de seleção se o destino exigir que as exibições dos titulares dos dados ou de seus representantes sejam revisadas e insira as exibições dos titulares dos dados na caixa de texto.
      Já existia antes do GDPR? Marque esta caixa de seleção se a meta já existia antes da criação do GDPR.
      Nota:
      O requisito para executar o DPIA se aplica a todas as atividades de processamento de dados existentes que provavelmente resultam em um alto risco para os direitos e liberdades das pessoas físicas para as quais houve uma mudança dos riscos.
      É de alto risco? Marque esta caixa de seleção. Este é um destino de alto risco.
      Nota:
      Mesmo que não haja nenhuma indicação de provável alto risco, considere realizar uma avaliação de DPIA para todas as principais atividades de processamento de dados que envolvem o uso de dados pessoais.
      Nota:
      Você tem duas opções para preencher os campos na guia GDPR DPIA. Você pode preenchê-las manualmente conforme descrito acima ou, se não souber as respostas das perguntas, poderá gerar uma avaliação para outra pessoa que saiba e copiar as respostas da avaliação para o formulário de destino, conforme descrito abaixo.
    6. Para gerar uma avaliação para outro usuário, execute estas etapas.
      1. Clique na guia Avaliação preliminar do GDPR.
      2. No campo Entrevistados da avaliação, clique no ícone de cadeado e selecione o usuário para o qual você deseja preencher o formulário.
      3. Depois de selecionar o respondente, clique no ícone de cadeado novamente.
      4. Clique em Enviar avaliações.

        Depois que o usuário selecionado tiver feito a avaliação, um botão Copiar respostas da avaliação será exibido.

        Botão Copiar resposta da avaliação
      5. Clique em Copiar respostas da avaliação.

        O registro de avaliação concluído é mostrado.

        Copiar avaliação para meta
      6. Você pode clicar em Exibir resposta para exibir as respostas da avaliação.
      7. Selecione o registro e clique em Copiar.
        As respostas fornecidas pelo entrevistado selecionado são copiadas para o GDPR DPIA.
    7. Ao preencher os campos, siga um destes procedimentos:
      • Para salvar os dados, clique em Atualizar.
      • Para modificar a lista de entrevistados da avaliação, clique na guia Avaliações preliminares.
      • Para executar uma avaliação preliminar no destino, clique em Enviar avaliações.
      • Para gerar um risco de DPIA e iniciar uma avaliação de DPIA no destino, clique em Gerar DPIA.
      • Se você selecionou É recomendado pelo agente de processamento de dados? caixa de seleção e selecionou um aprovador, um botão Solicitar aprovação de DPO é exibido. Clique neste botão para solicitar aprovação do aprovador selecionado. Todos os campos na guia GDPR DPIA se tornam somente leitura. Se forem necessárias modificações adicionais, você poderá clicar em Redefinir aprovação.

    Enviar uma avaliação preliminar para um destino

    Você pode iniciar uma avaliação preliminar em um destino para determinar se ela é considerada uma operação de alto risco e para decidir quais procedimentos de mitigação são necessários. Depois que a avaliação preliminar é iniciada, os entrevistados da avaliação selecionados podem fazer a avaliação.

    Antes de Iniciar

    Função necessária: sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Nota:
    Começando com a versão Rome, o GRC: GDPR DPIA Accelerator está sendo preparado para descontinuação futura. Ele ficará oculto e não será mais ativado em novas instâncias, mas continuará a ser compatível. Para obter detalhes, consulte o artigo Processo de descontinuação [KB0867184] na base de conhecimento do Now Support.

    Procedimento

    1. Navegar até Todos > DPIA do GDPR > Atividade de processamento de dados > Todos os destinos.
      Todos os destinos
    2. Abra o registro de destino para o qual você deseja executar uma avaliação preliminar.
      Estrutura
    3. Certifique-se de que o campo Estrutura mostre GDPR DPIA.
    4. Clique na guia Avaliação preliminar do GDPR.
      Avaliação Preliminar do GDPR
    5. Certifique-se de que o campo Avaliações mostre Avaliação de metas de GDPR DPIA.
    6. No campo Entrevistados da avaliação, clique no ícone de cadeado e selecione os usuários que você deseja que façam a avaliação preliminar para o destino.
    7. Depois de selecionar os respondentes, clique no ícone de cadeado novamente.
    8. Clique em Enviar avaliações.
      As avaliações são enviadas para os entrevistados selecionados e uma mensagem mostra o número de avaliações criadas. Além disso, a guia Avaliações mostra os registros de avaliação.
      Guia Avaliações
    9. Para solicitar a aprovação do agente de processamento de dados, clique no link relacionado Solicitar aprovação de DPO.
    10. Depois que os entrevistados responderem, você poderá exibir as respostas deles clicando em Exibir respostas na guia Avaliações.

    Fazer uma avaliação preliminar

    Quando você for identificado como entrevistado de uma avaliação preliminar, deverá acessar e fazer a avaliação.

    Antes de Iniciar

    Função necessária: nenhuma
    Nota:
    Começando com a versão Rome, o GRC: GDPR DPIA Accelerator está sendo preparado para descontinuação futura. Ele ficará oculto e não será mais ativado em novas instâncias, mas continuará a ser compatível. Para obter detalhes, consulte o artigo Processo de descontinuação [KB0867184] na base de conhecimento do Now Support.

    Procedimento

    1. Navegar até Todos > DPIA do GDPR > Atividade de processamento de dados > Minhas Avaliações Preliminares.
      Todas as avaliações para as quais você é um entrevistado solicitado são mostradas.
      Minhas Avaliações
    2. Abra a avaliação que você deseja fazer.
      Fazendo uma avaliação

      Os campos são descritos aqui.

      Campo Descrição
      Número Número de registro gerado automaticamente.
      Tipo de métrica Tipo de métrica desta avaliação.
      Prazo Data em que a avaliação deve ser concluída. O sistema preenche a data de vencimento a partir do valor no campo Duração da avaliação do tipo de métrica. O sistema gera notificações por e-mail relacionadas à data de vencimento.
      Nota:
      Por padrão, o sistema executa o script Cancel Expired Assessments a cada 30 dias para cancelar as instâncias expiradas de pesquisa, avaliação e teste que estão nos estados Trabalho em andamento ou Pronto para responder.
      Data de vencimento Data em que o usuário atribuído pode repetir a avaliação.
      Estado Estado da avaliação.
      Atribuído a Usuário ao qual essa avaliação foi atribuída. Esse campo se torna somente leitura quando o estado é Em andamento, Concluído ou Cancelado.
      Resultado de assinatura Verificação fornecida pelo destinatário quando uma assinatura é necessária. Esse valor é o nome completo do destinatário da tabela Usuário [sys_user] ou marcado, indicando que o destinatário confirmou a leitura da declaração marcando uma caixa de seleção.
    3. Clique em Fazer avaliação.
      Perguntas de avaliação
    4. Responda às perguntas da melhor forma possível e clique em Enviar.

    Exibir todas as avaliações preliminares

    Executivos de risco e agentes de processamento de dados podem exibir as respostas dos avaliadores individuais.

    Antes de Iniciar

    Função necessária: sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Nota:
    Começando com a versão Rome, o GRC: GDPR DPIA Accelerator está sendo preparado para descontinuação futura. Ele ficará oculto e não será mais ativado em novas instâncias, mas continuará a ser compatível. Para obter detalhes, consulte o artigo Processo de descontinuação [KB0867184] na base de conhecimento do Now Support.

    Procedimento

    1. Navegar até Todos > DPIA do GDPR > Atividade de processamento de dados > Todas as Avaliações Preliminares.
      Todas as avaliações preliminares
    2. Clique no número da avaliação que você deseja revisar.
      Exibir link de resposta do usuário
    3. Clique no link relacionado Exibir resposta do usuário.