GDPR compliance

Easy Software серйозно ставиться до захисту персональних даних. Європейське регулювання, відоме як Загальний регламент про захист персональних даних (GDPR), створює низку викликів для всіх організацій і стало однією з найбільш обговорюваних тем в бізнесі.

Наша місія - забезпечити клієнтів Easy Redmine та взагалі всієї спільноти проектів надійним програмним забезпеченням, яке дозволяє ефективно виконувати всі обов'язки обробки даних.

Цей документ має надати відповіді на такі запитання:

  • Я є обробником даних, як я можу дотримуватися GDPR з Easy Redmine
  • Я використовую хмарний сервіс Easy Redmine, чи відповідає цей сервіс вимогам GDPR?
  • Мені потрібно знати, чи має Easy Software всі процеси безпеки на місці.

1. Термінологія

Easy Software є виробником Easy Redmine.

Контролер даних - суб'єкт, який визначає цілі, умови та засоби обробки персональних даних. Для цього документа це ваша організація.

Обробник даних - суб'єкт, який обробляє дані від імені контролера даних; у цьому документі:

  • Хмарні клієнти Easy Redmine: Easy Software є обробником даних, а дані обробляються в наших хмарних сервісах на основі правил, встановлених вами, обробником даних, у вашому хмарному додатку Easy Redmine.
  • Користувачі власного сервера Easy Redmine: Easy Software не є обробником даних. Але Easy Redmine допоможе вам належним чином організувати ваші дані.

Easy Redmine - це додаток, який може або не може використовуватися контролером даних для обробки даних.

2. Вступ

Easy Software як виробник Easy Redmine вводить оновлення Easy Redmine, щоб допомогти контролерам даних виконувати свої обов'язки, що випливають з регулювання GDPR.

У той же час для наших хмарних клієнтів цей документ містить інформацію про Easy Software як обробника даних.

3. Easy Redmine для всіх контролерів даних

Наступний опис та функції будуть розгорнуті / оновлені до кінця квітня 2018 року.

Easy Redmine пропонує наступні функції для підвищення безпеки даних та відповідно до конкретних вимог GDPR до контролерів даних.

  • Розширена політика паролів
    • Визначення мінімальної довжини, використання великих літер, цифр та спеціальних символів у паролі
    • Обмеження часу дії пароля та контроль повторення пароля
    • Автоматичний вихід користувача після певного часу
    • Нещодавно була додана функція повторного введення пароля при роботі з ролями та привілеями користувача
  • Специфічні функції GDPR:
    • Право на забуття: Видалення контакту є традиційною функцією, але воно може порушити консистентність даних, звіти тощо, оскільки існує можливість пов'язати контакт з проектами, завданнями, CRM та іншими сутностями. Крім того, це може порушити дані про профілювання клієнтів. Анонімізація контакту дозволить видалити дані з контакту, які дозволяють ідентифікувати особу, але анонімні дані про послуги клієнта, завдання та інші залишаться.
    • Право на доступ: Спеціальна кнопка, яка експортує дані контакту в автоматично читабельному форматі (XML), виконає вашу зобов'язання надати особисту інформацію про те, які дані ви збираєте.
  • Обмеження видимості даних - це критична вимога GDPR, яка вимагає від контролерів даних обмежувати доступ до особистих даних тільки для тих людей, які повинні мати до них доступ. Easy Redmine пропонує кілька підходів до цієї проблеми:
    • Обмеження доступу до контактів загалом.
    • Обмеження доступу до контактів тільки для певного типу контакту. Зазвичай, кожен може отримати доступ до контактів з типом "Компанія" (компанії не підлягають GDPR), а доступ до контактів з типом "Особисті" обмежується тільки для вибраних користувачів. Таким чином, користувач без дозволу може бачити, що існує зв'язок з контактом (бачить тільки ім'я), але не може бачити жодних інших даних, які можуть дозволити особисту ідентифікацію.
    • Обмеження видимості користувача - певні дані можуть бути обмежені для перегляду тільки:
      • a) Користувач / список користувачів
      • b) Група користувачів / список груп користувачів
      • c) Тип користувача / список типів користувачів
    • Аудит дій користувача
      • Easy Redmine надає повні журнали дій користувачів, включаючи дію перегляду.
      • Тепер Easy Redmine пропонує функцію керування журналами, щоб виконати ваш внутрішній процес.
    • Обмеження видимості даних - це критична вимога GDPR, яка вимагає від контролерів даних обмежувати доступ до особистих даних тільки для тих людей, які повинні мати до них доступ.

Як стати відповідним GDPR крок за кроком

  • Визначте, які особисті дані ви збираєте в Easy Redmine.
  • Внутрішній регламент повинен передбачати, що всі особисті дані повинні бути заповнені в користувацьких полях, а не в нативних полях Easy Redmine. Але рекомендований підхід - прийняти рішення, що всі особисті дані повинні зберігатися тільки в контактах.
    • Якщо ви хочете використовувати анонімізацію, право на забуття, вам слід мати регламент, що всі особисті дані повинні бути в контактах.
    • Визначте, які дані підлягають видаленню для анонімізації - ви можете зробити це в налаштуваннях користувацьких полів контакту.
    • Визначте, які користувачі Easy Redmine потребують доступу до контактів та обмежте доступ за типом контакту.
    • Якщо вам потрібно, щоб всі користувачі мали доступ до всіх контактів, але деякі з них мали доступ лише до обмеженого набору даних, просто встановіть видимість користувацьких полів.
  • Визначте, які користувацькі поля поза контактами потребують захисту та встановіть відповідну видимість даних.
  • Підвищення політики паролів Easy Redmine.
  • Право на забуття:
    • Ми рекомендуємо визначити шаблон проекту, який формалізує всі кроки для видалення особистих даних з усіх систем детально. Якщо надійде запит, ви можете просто документувати, що всі кроки були виконані відповідно до вашого внутрішнього процесу.
  • Створіть регламент про те, як довго в

    5. Програмне забезпечення Easy та ваші персональні дані

    Easy Software є виробником платформи управління проектами. Easy Software є комерційною організацією бізнесу до бізнесу. Це означає, що всі зібрані дані служать для підтримки бізнесу та послуг Easy Software для організацій.

    Згідно з регулюванням GDPR, також збираються дані фізичних осіб, які вважаються даними, що підлягають захисту GDPR.

    5.1. Зібрані персональні дані

    • Ім'я та прізвище
    • Телефон
    • Електронна пошта
    • Компанія
    • Посада в компанії
    • Отримані навчання та сертифікати для продуктів Easy Software
    • Історія, пов'язана з відвідуванням сторінок продуктів Easy Software.
    • IP-адреса

    5.2. Мета збору, обробки та профілювання даних

    Easy Software збирає дані для наступних цілей:

    • Настановлення комерційної співпраці з організаціями. Для цієї мети Easy Software може збирати дані про контактні особи в таких організаціях.
    • Надання послуг для існуючих клієнтів (організацій) і для цієї мети Easy Software може збирати дані про контактні особи в таких організаціях.
    • Інформування клієнтів та потенційних клієнтів про нові функції, випуски та інші повідомлення як інформаційного, так і маркетингового характеру.

    Збір:

    • Вся інформація, зібрана про фізичних осіб, збирається через контактні форми.
    • Easy Software не володіє або не використовує дані про фізичних осіб з зовнішніх джерел.

    Комбінування даних та профілювання:

    • Easy Software не профілює жодну фізичну особу, всі зібрані дані служать лише як контактна інформація в організації.
    • Easy Software профілює організації для маркетингових та бізнес-цілей. Не підлягає цим аналізам.
    • Easy Software комбінує всі дані в власній інформаційній системі

Спробуйте Easy Redmine у 30-денній безкоштовній пробній версії

Повнофункціональний, захищений SSL, щоденне резервне копіювання, у вашій геолокації