GDPR

Projectino sro bere ochranu osobních údajů vážně. Evropská regulace známá jako obecné nařízení o ochraně osobních údajů (GDPR) přináší řadu výzev pro všechny organizace a stala se jedním z nejvíce rezonujících obchodních témat.

Naším posláním je poskytovat klientům RedmineX a v podstatě celé komunitě projektu spolehlivý software, který umožňuje efektivně plnit všechny úkoly datových procesorů.

Tento dokument obsahuje odpovědi na:

  • Jsem zpracovatel dat, jak mohu dosáhnout souladu s GDPR s RedmineX
  • Používám cloud RedmineX, je tato služba v souladu s GDPR?
  • Potřebuji vědět, zda Projectino sro má všechny bezpečnostní procesy zavedené.

1. Terminologie

Projectino sro je výrobcem RedmineX.

Řadič dat - subjekt, který určuje účely, podmínky a prostředky zpracování osobních údajů. Pro účely tohoto dokumentu je to vaše organizace.

Data Processor - subjekt, který zpracovává data jménem správce údajů; v tomto dokumentu:

  • Cloudoví klienti RedmineX: Projectino sro je zpracovatel dat a data se zpracovávají v našich cloudových službách na základě pravidel, která jste nastavili vy, zpracovateli dat, ve vaší cloudové aplikaci RedmineX.
  • Vlastní uživatelé serveru RedmineX: Projectino sro není zpracovatelem dat. RedmineX vám ale pomůže správně uspořádat vaše data.

RedmineX je aplikace, která může nebo nemusí být použita k zpracování dat pomocí řadiče dat.

2. Úvod

Projectino sro jako výrobce RedmineX zavádí aktualizace RedmineX s cílem pomoci správcům údajů plnit jejich povinnosti vyplývající z nařízení GDPR.

Zároveň pro naše cloudové klienty tento dokument přináší informace o společnosti Projectino sro jako zpracovateli dat.

Společnost Projectino sro také prohlašuje, že ke dni účinnosti GDPR budou všechny procesy, smlouvy, dodavatelé, přístup k datům a další plně v souladu s požadavky GDPR.

3. RedmineX pro všechny správce dat

Následující popis a funkce budou nasazeny / aktualizovány do konce dubna 2018.

RedmineX přináší následující funkce pro zvýšení zabezpečení dat a specifické požadavky GDPR na správce dat.

  • Rozšíření hesla v oblasti rozšířeného hesla
    • Definice použití minimální délky, použití velkých písmen, čísel a zvláštních znaků v hesle
    • Časový limit pro platnost hesla a kontrolu opakování hesla
    • Automatické odhlášení uživatele po určité době
    • Nedávno byla přidána funkce k opětovnému zadání hesla po manipulaci s uživatelskými roli a oprávněními
  • Vlastnosti GDPR:
    • Právo na zapomenutí: Smazání kontaktu je tradiční vlastností, ale může narušit konzistenci dat, zprávy atd., Protože existuje možnost kontaktu s projekty, úkoly, CRM a dalšími subjekty. Také by to poškodilo údaje o profilování vašich zákazníků. Kontakt Anonymizace by umožnilo vymazání dat z kontaktu, které by umožnily identifikaci osoby, avšak zůstanou anonymní údaje o službách, úkolech a dalších službách klienta.
    • Právo na přístup: Zvláštní tlačítko, které by exportovalo údaje o kontaktu v automatickém čitelném formátu (XML), by splňovalo vaši povinnost poskytovat osobní údaje, jaké údaje shromažďujete.
  • Omezená viditelnost údajů – je to kritický požadavek GDPR, který od správců údajů požaduje, aby omezili přístup k osobním údajům pouze na ty osoby, které potřebují mít přístup. RedmineX přináší několik přístupů k tomuto problému:
    • Omezení přístupu k kontaktům obecně.
    • Omezení přístupu ke kontaktům pouze pro konkrétní typ kontaktu. Typicky mohou všichni přistupovat ke kontaktům s typem Company (společnosti nepodléhající GDPR) a omezit přístup do kontaktů s typem Personal pouze vybraným uživatelům. Takže uživatel bez oprávnění může vidět, že je kontakt propojen (viz název samotný), ale nevidí žádné další údaje, které by mohly umožnit osobní identifikaci.
    • Uživatelská viditelnost - určitá data mohou být omezena pouze pro zobrazení
      • a) Uživatel / seznam uživatelů
      • b) Uživatelská skupina / seznam skupin uživatelů
      • c) Typ uživatele / seznam typů uživatelů
    • Audity uživatelských akcí
      • RedmineX poskytuje kompletní protokoly o akcích uživatele včetně akce Zobrazit.
      • Nyní RedmineX přináší funkci pro správu protokolů za účelem splnění vašeho interního procesu.
    • Omezená viditelnost dat - je kritickým požadavkem GDPR, který žádá Ředitele údajů, aby omezili přístup k osobním údajům pouze těm,

Jak se stát krok za krokem kompatibilní s GDPR

  • Identifikujte, jaké osobní údaje shromažďujete v RedmineX.
  • Vytvořte interní předpis, že všechny osobní údaje je třeba vyplnit do vlastních polí, nikoli do nativních polí RedmineX. Doporučeným přístupem je však rozhodnout, že všechna osobní data musí být uložena pouze v kontaktech.
    • Pokud chcete používat službu Anonymizace, musíte zapomenout, že budete mít pravidlo, že všechna osobní data musí být v kontaktech.
    • Zjistěte, jaké údaje jsou pro Anonymizaci vymazány - můžete to provést ve vlastních nastaveních kontaktů.
    • Rozhodněte, kteří uživatelé RedmineX potřebují přístup ke kontaktům, a omezte přístup podle typu kontaktu.
    • Pokud potřebujete přístup ke všem kontaktům všem uživatelům, ale někteří budou mít omezenou sadu dat, stačí nastavit vlastní viditelnost pole.
  • Určete, které uživatelské pole mimo Kontakty je třeba chránit, a nastavte viditelnost dat podle toho.
  • Zvyšte prosazování zásad hesel RedmineX.
  • Právo zapomenout:
    • Doporučujeme definovat šablonu projektu, která by formalizovala všechny kroky k odstranění osobních údajů ze všech systémů ve velkých detailech. Jakmile přijde požadavek, můžete jednoduše dokumentovat, že všechny kroky byly provedeny podle vašeho vnitřního procesu.
  • Vytvořte regulaci, jak dlouho potřebujete uchovávat data auditu akcí uživatele (protokoly) a podle toho nakonfigurujte v RedmineX.

4. RedmineX v cloudu

Projectino sro poskytuje RedmineX jako službu v cloudu. Pro cloudové klienty působí Projectino sro jako Data Processor. Jako zpracovatel dat splňujeme požadavky GDPR díky následujícímu:

  • Projectino sro zavedla technická a procesní opatření k omezení případného přístupu k datům pouze na výjimky a požadované příležitosti.
  • Pokud jste organizací z EU, je zaručeno, že vaše instance RedmineX (a tedy i data a jejich zálohy na stránkách obnovy po havárii) jsou uloženy v EU.
  • Projectino sro používá pouze ověřená datová centra se špičkovým zabezpečením a všemi příslušnými certifikacemi ISO. Podrobnosti lze poskytnout na vyžádání.
  • Pro přenos zálohy se používá pravidelné zálohování, https pro prohlížeče, šifrování SSH-2. Firewall omezený na HTTPS a další běžná nastavení splňují požadavky GDPR.
  • Zabezpečení lze dále zvýšit službou Private Cloud, kde lze individuální zabezpečení rozšířit o individuální konfiguraci dedikovaného serveru (HW).
  • Projectino sro je britská společnost, ale nařízení GDPR bylo implementováno ve všech aspektech organizace a pro všechny produkty a služby.

5. Projectino a vaše osobní údaje

Projectino sro je výrobcem platformy Project Management. Projectino sro je business to business obchodní organizace. To znamená, že všechna shromážděná data slouží k podpoře podnikání a služeb společnosti Projectino sro pro organizace.

Podle nařízení GDPR existují i ​​údaje o shromážděných osobách a ty jsou považovány za údaje pod ochranou GDPR.

5.1. Shromážděné osobní údaje

  • Jméno a příjmení
  • Telefon
  • E-mail
  • Společnost
  • Pozice u společnosti
  • Získaná školení a certifikace pro produkty společnosti Projectino sro
  • Historie související s návštěvou produktových stránek Projectino sro.
  • IP adresa

5.2. Účel sběru, zpracování a profilování dat

Projectino sro shromažďuje údaje pro následující účely:

  • Nastavit obchodní spolupráci s organizacemi. A za tímto účelem může Projectino sro shromažďovat údaje o kontaktních osobách v takových organizacích.
  • Poskytovat službu pro stávající zákazníky (organizace a za tím účelem Projectino sro může shromažďovat údaje o kontaktních osobách v těchto organizacích.
  • Informujte zákazníky a potenciální zákazníky o nových funkcích, zprávách a dalších zprávách informačního i marketingového charakteru.

Sbírka:

  • Všechny shromážděné informace o jednotlivcích jsou shromážděny prostřednictvím kontaktních formulářů.
  • Projectino sro nedisponuje ani nepoužívá údaje o jednotlivcích z externích zdrojů.

Datová kombinace a profilování:

  • Projectino sro neprofiluje žádné osoby, veškerá shromážděná data slouží pouze jako kontaktní informace v rámci organizace.
  • Projectino sro profiluje organizace pro marketingové a obchodní účely. Nepodléhá těmto analýzám.
  • Projectino sro sdružuje všechna data ve vlastním informačním systému (RedmineX) na Entity Contact nebo Entity CRM. Jakýkoli jiný systém používá pouze datové fragmenty, a proto nejsou považovány za data podle GDPR.

Zásady zpracování osobních údajů