Easy Software серьёзно относится к защите персональных данных. Закон ЕС о защите персональных данных (GDPR) поставил сложные задачи перед организациями и вызвал широкий резонанс в бизнес-среде.
Наша цель — предоставить клиентам Easy Redmine и всему сообществу проектных менеджеров доступ к надёжному продукту, который эффективно справляется с обработкой данных.
В этом документе вы найдёте ответы на следующие вопросы:
· Я являюсь обработчиком данных. Работая с Easy Redmine, я соблюдаю правила GDPR?
· У меня Easy Redmine в облаке, это решение соответствует нормам GDPR?
· Применяет ли Easy Software надлежащие процедуры защиты данных?
1. Терминология
Easy Software— разработчик программного обеспечения Easy Redmine.
Контроллер данных— субъект, определяющий цели, условия и средства обработки персональных данных. В настоящем документе под контроллером данных понимается ваша организация.
Обработчик данных— субъект, обрабатывающий данные от имени контроллера данных. В этом документе:
· Для клиентов Easy Redmine, использующих облачное решение: Easy Software является обработчиком данных, данные обрабатываются в наших облачных службах в соответствии с правилами, установленными вами в вашем облачном приложении Easy Redmine.
· Пользователи Easy Redmine, использующие серверное решение: Easy Software не является обработчиком данных. При этом Easy Redmine помогает вам систематизировать данные надлежащим образом.
Easy Redmine— приложение, которое контроллер данных может использовать для обработки данных.
2. Введение
Как разработчик программы Easy Redmine компания Easy Software представляет обновления, призванные помочь контроллерам данных выполнять свои обязанности в соответствии с требованиями закона GDPR.
Из настоящего документа пользователи облачного решения могут получить информацию об Easy Software как обработчике данных.
Easy Software заявляет, что все процессы, контракты, поставщики, процедуры доступа к данным и прочие аспекты работы компании будут полностью соответствовать требованиям GDPR к моменту вступления закона в силу.
3. Easy Redmine для обработчиков данных
Следующие функции и возможности будут внедрены / обновлены до конца апреля 2018 года.
Эти обновления Easy Redmine направлены на повышение безопасности данных и помогают контроллерам данных соблюдать требования GDPR.
· Усиление парольной защиты
o Требование о минимальной длине, использовании заглавных букв, цифр и специальных символов
o Ограниченный срок действия пароля и невозможность использовать старый пароль повторно
o Автоматический выход из системы по истечении заданного периода времени
o Недавно добавлено правило повторного ввода пароля при изменении ролей и прав пользователей
· Функции, связанные с законом GDPR:
o Право на забвение. Удаление контакта — стандартная процедура, но это действие может нарушить целостность данных, отчётов и т.д., если контакт привязан к проектам, задачам, CRM и другим сущностям. Кроме того, есть риск искажения результатов профилирования. Анонимизация позволит удалить те данные о контакте, по которым можно установить личность, но анонимные данные, например, о клиентских службах и задачах, сохранятся.
o Право на доступ. Специальная кнопка для экспорта данных о контакте в XML позволит выполнить обязательство по предоставлению права на доступ к личным данным.
· Ограничение видимости данных — одно из главных требований GDPR, в соответствии с которым контроллеры данных должны предоставлять доступ к персональным данным не всем пользователям. Easy Redmine предлагает два пути:
o Ограничение доступа к контактам в целом.
o Ограничение доступа к конкретным типам контактов. Как правило, доступ к контактам типа «Компания» есть у всех (закон GDPR не распространяется на компании), а доступ к контактам типа «Личный» ограничен и есть только у выбранных пользователей. Пользователю без прав доступа видно, что к сущности привязан контакт (имя отображается), при этом другие данные, по которым можно установить личность, скрыты.
o Видимость настраиваемых полей — видимость определённых данных можно ограничить, чтобы они были видны только
§ a) Пользователю / списку пользователей
§ b) Группе пользователей / списку групп пользователей
§ b) Типу пользователей / списку типов пользователей
o Проверка действий пользователей
§ Все действия пользователей в Easy Redmine регистрируются в журнале и доступны для просмотра.
§ Новая функция позволяет управлять журналами в соответствии с внутренними процедурами.
o Ограничение видимости данных — одно из главных требований GDPR, в соответствии с которым контроллеры данных должны ограничивать доступ к персональным данным.
Соблюдение правил GDPR: пошаговая инструкция
· Определите, какие персональные данные вы собираете посредством Easy Redmine.
· Установите правило, согласно которому все персональные данные должны вводиться в настраиваемые поля, а не в стандартные поля Easy Redmine. Мы рекомендуем хранить персональные данные в модуле «Контакты».
o Если вы хотите использовать «Анонимизацию» и «Право на забвение», возьмите за правило хранить все персональные данные в модуле «Контакты».
o Определите, какие данные подлежат удалению в целях анонимизации. Для этого используйте настраиваемые поля в «Контактах».
o Решите, каким пользователям Easy Redmine нужен доступ к контактам и введите ограничения по типам контактов.
o Если вы не хотите ограничивать доступ к контактам, но при этом хотите скрыть часть данных, используйте настройки видимости настраиваемых полей.
· Определите, какие настраиваемые поля за пределами модуля «Контакты» требуют защиты, и настройте видимость данных соответствующим образом.
· Используйте новые возможности Easy Redmine для усиления парольной защиты.
· Право на забвение:
o Мы рекомендуем создать Шаблон проекта, закрепляющий пошаговую процедуру удаления персональных данных из всех систем. При поступлении запроса на удаление вам надо будет просто проверить, что все шаги выполнены в соответствии с установленной процедурой.
· Введите правило в отношении срока хранения данных об активности пользователей (журналов) и настройте Easy Redmine согласно этому правилу.
4. Easy Redmine в облаке
Easy Software предлагает полный функционал Easy Redmine в облаке. Для клиентов, использующих облачное решение, Easy Software выступает в роли обработчика данных. Вот что помогает нам соблюдать требования GDPR к обработчикам данных:
· Благодаря процедурам, принятым в Easy Software, доступ к данным ограничен и предоставляется только в качестве исключения и по требованию.
· Если вы работаете в ЕС, мы гарантируем, что ваш экземпляр Easy Redmine со всеми данными и резервными копиями хранится на территории ЕС.
· Easy Software использует высокотехнологичные и надёжные дата-центры, сертифицированные по стандартам ISO. Свяжитесь с нами, чтобы узнать подробности.
· Регулярное резервное копирование, HTTPS в браузере, SSH-2 для передачи резервных копий, межсетевой экран только для HTTPS и другие стандартные настройки обеспечивают соответствие требованиям GDPR. Почитайте о нашем облачном решении.
· Ещё более высокий уровень безопасности обеспечивает частное облако — здесь выделенный сервер настраивается в соответствии с индивидуальными требованиями.
· Компания Easy Software Ltd. зарегистрирована в Великобритании, то есть за пределами ЕС. Тем не менее, мы соблюдаем требования GDPR в отношении всех аспектов работы, продуктов и услуг.
5. Easy Software и ваши персональные данные
Easy Software — разработчик платформы для управления проектами. Как коммерческая B2B-площадка мы используем все собранные данные для развития бизнеса и услуг Easy Software.
Некоторые из собранных данных классифицируются как персональные. Они защищены законом GDPR.
5.1. Какие персональные данные мы собираем
· Имя и фамилия
· Номер телефона
· Адрес эл. почты
· Компания
· Должность в компании
· Сведения о прохождении тренингов и получении сертификатов Easy Software
· История посещения страниц о продуктах Easy Software
· IP-адрес
5.2. Цель сбора, обработки и профилирования данных
Easy Software собирает данные в следующих целях:
· Налаживание коммерческого сотрудничества с организациями. С этой целью Easy Software может собирать данные о контактных лицах в таких организациях.
· Обслуживание существующих клиентов и организаций (с этой целью Easy Software может собирать данные о контактных лицах в таких организациях).
· Информирование клиентов и потенциальных клиентов о новых возможностях, функциях, выпусках продукта, а также передача других сообщений информационного и рекламного характера.
Сбор данных:
· Вся персональная информация собирается посредством форм обратной связи.
· Easy Software не использует персональные данные из внешних источников и не владеет такими данными.
Систематизация и профилирование данных:
· Easy Software не занимается профилированием для выявления индивидуальных характеристик отдельных лиц. Все собранные данные используются исключительно в качестве контактной информации в пределах организации.
· Easy Software составляет профили организаций в маркетинговых и коммерческих целях, что выходит за рамки закона о защите персональных данных.
· Easy Software систематизирует данные в собственной информационной системе (Easy Redmine) в модуле «Контакты» или CRM. В любой другой системе используются только фрагменты данных, следовательно, на них действие GDPR не распространяется.
