Управління GDPR#
Огляд#
З моменту оновлення до версії 1.8.0 від 27 квітня 2018 року в системі відвідуваності повністю реалізовані інструменти, необхідні для захисту персональних даних - GDPR.
GDPR (General Data Protection Regulation) - це регламент ЄС про захист персональних даних, який набув чинності 25 травня 2018 року на всій території ЄС.
Він регулюється Регламентом (ЄС) 2016/679 Європейського Парламенту та Ради і в Чеській Республіці замінює існуючу систему захисту персональних даних, засновану на Директиві 95/46/ЄС та пов’язаному з нею Законі № 101/2000 Coll. про захист персональних даних.
У Положенні чітко визначені наступні терміни:
- Контролер даних:
фізична або юридична особа, орган державної влади, установа чи інший орган, який самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних
- Обробник даних:
фізична або юридична особа, орган державної влади, установа чи інший орган, який обробляє персональні дані від імені контролера
Контролером даних завжди є користувач системи обліку відвідуваності; обробником може бути, наприклад, зовнішня бухгалтерська фірма.
Як контролер, ви завжди визначаєте в організаційній структурі компанії список уповноважених осіб контролера даних. Щоб надати цей дозвіл собі або іншому адміністратору компанії, зверніться до вашого системного провайдера iTA.
Обробка персональних даних#
У системі обліку відвідуваності ми вважаємо, що дані кожного працівника є приватними. Це стосується, зокрема, імені, табельного номера, дати народження та іншої подібної інформації. На додаток до цього, записи про відвідування працівника також можуть вважатися приватними.
Загалом, мають бути дотримані наступні вимоги:
Захищаємо дані, які ми зберігаємо, від доступу третіх осіб#
Усі персональні дані співробітників, включно з резервними копіями, зберігаються за найвищими стандартами безпеки на серверах Microsoft Azure у Німеччині - країні з найсуворішими законами про захист персональних даних у світі.
База даних захищена дуже надійним паролем, і доступ до неї можливий лише з певних дозволених IP-адрес.
Персональні дані передаються між хмарним сервером і користувачем виключно через зашифроване з’єднання з використанням протоколу https://, а автентичність сайту підтверджується сертифікатом.
Керування доступом до персональних даних для користувачів системи#
Наше програмне забезпечення дозволяє керувати правами доступу та налаштовувати доступ для кожного користувача відповідно до індивідуальних вимог роботодавця.
У ролі дистриб’ютора ми можемо запросити доступ до системи через віддалене управління. Щоб отримати такий дозвіл, ми просимо клієнта надати доступ за посиланням у розділі « « → «Зв «:
Потім генерується PIN-код; після того, як він буде переданий адміністратору і доступ буде схвалений, технічний фахівець отримує віддалений доступ. Адміністратор підтверджує доступ і тим самим надає права на фіксований період в 1 годину. Всі ці події фіксуються в журналі розкриття персональних даних (хто запросив доступ, хто його затвердив тощо).
Надавати записи про доступ до персональних даних кожного працівника на вимогу працівника#
Кожен працівник має право і можливість вимагати журнал, який показує, коли і хто переглядав його персональні дані, а також перелік даних, записаних про нього.
Ми збираємо записи про кожен доступ до персональних даних працівника.
Доступ до цих опцій має лише уповноважена особа контролера даних, призначена безпосередньо контролером даних, як описано у вступі до глави GDPR.
Збереження узгодженості бази даних при відновленні з резервної копії#
Як уже згадувалося, резервні копії зберігаються на виділених серверах, розташованих у Німеччині.
При відновленні з цих резервних копій працівник міг бути анонімізований або видалений. Тому на момент відновлення дані не повинні містити персональних даних видалених працівників. Щоб відповідати цим вимогам, під час відновлення всі дані порівнюються з поточною базою даних і оцінюються, щоб визначити, які дані слід відновити.