Scribd Logo
Importer

Bienvenue sur Scribd !

  • Exemplo Do DPIA Portugal

    Transféré par

    Wiliam Faria
    370 vues10 pages
    Este documento descreve o tratamento de dados pessoais realizado por uma pequena empresa para processar salários de seus funcionários. Ele inclui dados como nome, endereço, número da segurança social e informações salariais dos funcionários. Embora o processamento seja realizado localmente com software de recursos humanos, há um risco médio devido à falta de treinamento em segurança de dados do responsável pelo tratamento e ausência de políticas formais sobre o assunto.

    Description originale:

    Modelo de construção de um DPIA

    Titre original

    Exemplo do DPIA Portugal

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    Este documento descreve o tratamento de dados pessoais realizado por uma pequena empresa para processar salários de seus funcionários. Ele inclui dados como nome, endereço, número da segurança social e informações salariais dos funcionários. Embora o processamento seja realizado localmente com software de recursos humanos, há um risco médio devido à falta de treinamento em segurança de dados do responsável pelo tratamento e ausência de políticas formais sobre o assunto.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    370 vues10 pages

    Exemplo Do DPIA Portugal

    Transféré par

    Wiliam Faria
    Este documento descreve o tratamento de dados pessoais realizado por uma pequena empresa para processar salários de seus funcionários. Ele inclui dados como nome, endereço, número da segurança social e informações salariais dos funcionários. Embora o processamento seja realizado localmente com software de recursos humanos, há um risco médio devido à falta de treinamento em segurança de dados do responsável pelo tratamento e ausência de políticas formais sobre o assunto.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 10

    EXEMPLO DE

    REGISTO DE 1
    TRATAMENTO
    DE DADOS
    PESSOAIS
    EXEMPLO DO REGISTO DO TRATAMENTO DE
    PROCESSAMENTO DE SALÁRIOS DE PME
    Dados Pessoais Tratados:

    Identificação (como 1º e último nome, morada, telefones de


    contacto)

    NISS

    PME que processa dados pessoais dos seus NIF


    empregados para pagamento de salários,
    benefícios e segurança social
    Data de Admissão

    Função

    Informação de valor do salário e benefícios


    DESCRIÇÃO DO TRATAMENTO
    Processamento no Software de RH Primavera.

    Localmente nos escritórios da PME

    Operado pelos administrativos do departamento de RH e supervisionado pelo diretor de RH

    Existe um processo específico para o processamento, contudo não existe políticas de retenção e
    destruição dos dados pessoais

    O processamento dos dados pessoais está limitado ao perímetro das instalações da PME

    Nas datas definidas na lei, o diretor de RH submete as declarações à Ent. Tributária e Segurança
    Social para todos os funcionários

    Embora o diretor de RH tenha assinado um NDA (acordo de confidencialidade), não houve formação
    ou ação de sensibilização de segurança ou proteção dos dados
    RESUMO DO TRATAMENTO
    Descrição da atividade Gestão do pagamento de salários aos funcionários

    Identificação (como 1º e último nome, morada, telefones de contacto); NISS;


    Dados pessoais processados NIF; Data de Admissão; Função Informação de valor do salário e benefícios;
    Entre outros

    Gestão de Salários (Pagamento de salários, benefícios e contribuições à


    Finalidade
    segurança social)

    Categoria Titulares Colaboradores

    Meio de Processamento Software RH Primavera

    Categoria de Destinatários Entidade Tributária e Segurança Social

    Responsável de Tratamento de Dados PME que faz em casa


    AVALIAÇÃO DO IMPACTO CIA
    • Neste Processo o impacto da perda de confidencialidade está relacionado com a potencial divulgação
    inadvertida dos valores dos salários (e outros dados relevantes) a terceiros.
    • Isso poderá expor o Titular dos Dados a consequências:
    • Desde desconforto decorrente do conhecimento público dos dados privados,
    • Até o potencial risco de ataques direcionados de roubos por parte de terceiros.
    Confidencialidade • Este ultimo pode ser mais do que um simples aborrecimento, assim o impacto da perda de
    confidencialidade pode ser definido como MÉDIO.

    • A perda de Integridade e/ou disponibilidade pode ser considerada como BAIXA, pois espera-se que
    os Titulares dos Dados enfrentem raros inconvenientes (reenvio de informação ou não receber a
    horas), mas são rapidamente superados.
    • Impactos mais sérios podem ser definidos como MÉDIO se as consequências forem persistentes ao
    Integridade e longo do tempo que não é o nosso caso.
    Acessibilidade
    PROBABILIDADE DA OCORRÊNCIA DA
    AMEAÇA

    Rede e
    Processos e
    Recursos
    Procedimentos
    Técnicos

    Sector
    Pessoas ou
    Atividade e
    Partes
    Escala
    envolvidas
    Tratamento
    PROBABILIDADE DA OCORRÊNCIA DA
    AMEAÇA
    Rede e Recursos Técnicos

    • Probabilidade BAIXA, sistema não está conectado à Internet e não permite o acesso da Internet a recursos
    internos e outros sistemas de TI.

    Processos/Procedimentos de Tratamentos de dados pessoais

    • Probabilidade BAIXA, presumindo responsabilidade do administrativo RH estejam definidas com uma política
    de uso aceitável, o processamento de dados está limitado às instalações. Os logs são criados para cada
    atividade de processamento

    Pessoas ou partes envolvidas no Tratamento de dados pessoais

    • Probabilidade MÉDIA, diretor de RH não recebeu formação / ações de sensibilização na segurança da


    informação, não é certo que os dados sejam processados ou destruídos com segurança (falta de políticas)

    Sector de Atividade e Escala de Tratamento

    • Probabilidade BAIXA, setor de negócios da PME não é considerado propenso a ataques cibernéticos.
    Presume-se que nenhuma violação de dados tenha ocorrido no passado e que a o processamento salarial
    seja limitada aos funcionários da PME
    PROBABILIDADE DA OCORRÊNCIA DA
    AMEAÇA
    PROBALIDADE Probabilidade
    Área de Avaliação Somatório da Probabilidade
    Nivel Resultado Ocorrência da ameaça

    Baixa 1 4-5 Baixa

    REDE E RECURSOS TÉCNICOS Media 2 6-8 Média

    Alta 3
    9 - 12 Alta

    Baixa 1
    PROCESSOS/PROCEDIMENTOS DE TRATAMENTO DE DADOS
    Media 2
    PESSOAIS Probabilidade Ameaças = Média
    Alta 3

    Baixa 1
    PESSOAS OU PARTES ENVOLVIDAS NO TRATAMENTO DE DADOS
    Media 2
    PESSOAIS
    Alta 3

    Baixa 1

    SECTOR DE ATIVIDADE E ESCALA DE TRATAMENTO Media 2

    Alta 3

    Total Probabilidade de Ocorrência de Ameaça = 5


    AVALIAÇÃO DE RISCO E ADOÇÃO DE
    MEDIDAS DE SEGURANÇA
    Nível de IMPACTO

    Baixo Medio Alto/Muito Alto


    PROBABILIDADE acontecer Ameaça

    Baixa X

    Media

    Alta

    Risco Baixo Risco Médio Risco Alto

    O Risco Global para este tratamento é MÉDIO o que dará origem a algumas Recomendações como por ex.: Deve
    documentar sua política em relação ao processamento de dados pessoais como parte de sua política de
    segurança da informação.
    OBRIGADO

    Vous aimerez peut-être aussi