Menu


GDPR z pohledu technologie: jak jsme připravovali naše systémy

IT bezpečí dat uchazečů v náborové aplikaci Teamio

Nové nařízení o ochraně osobních údajů (GDPR) především urychlilo některé projekty související s bezpečností a automatizací. Přesněji nám to popsal Ondřej Mysliveček, Technology Director v LMC. Co musel jeho tým v posledních měsících kvůli GDPR řešit (a vyřešit?)

1. Automatické mazání dat

Smažte veškeré osobní údaje, které o mě shromažďujete.“ Do spuštění GDPR se tyto požadavky uživatelů řešily ručně. Nyní už smazání probíhá s velkou mírou automatizace (a rozhodně už nikdo neloví střípky po jednotlivých databázích).

Uchazeče, kteří se registrovali na Jobs.cz nebo Prace.cz, systém smaže v podstatě hned. U Teamia je to trochu složitější, protože tam LMC nevystupuje jako správce osobních údajů, ale jako zpracovatel.

Rozhodli jsme se to řešit tak, že pokud nás uživatel požádá, abychom mu sdělili, kde všude jeho data uchováváme, tak mu poskytneme i seznam firem, které ho evidují,“ upřesňuje Ondra Mysliveček.

Půjde tedy o soupis firem, kterým dotyčný v minulosti odpovídal na pracovní nabídku (a tato firma ho stále v Teamiu zpracovává). S žádostí o smazání svých dat se pak uživatel může obrátit na tyto konkrétní společnosti.

2. Centrální souhlasovník

Jobs.cz, Prace.cz, Teamio, Seduo, Práce za rohem… Služeb, které spadají pod hlavičku LMC, je hned několik. Donedávna si každá držela vlastní historii souhlasů se zpracováním osobních dat. Po spuštění GDPR vše míří do nového centrálního souhlasovníku. Díky tomu bude snazší uhlídat třeba blížící se vypršení souhlasů.

Zrovna tak když nám uživatel napíše, že chce být smazán z některé naší služby, tak se tato informace bude evidovat centrálně,“ říká Ondra.

3. Přesnější proces retence logů a záloh

Kvůli GDPR bylo potřeba také přesněji popsat proces retence logů aplikací a záloh jejich dat. „Máme nyní formalizované, po jakou dobu uchováváme logy aplikací i zálohy dat v nich uložených,“ říká Ondra Mysliveček.

U uživatelů z internetu se log archivuje typicky 6 měsíců. „Je to třeba i kvůli policii, pokud by se na nás obrátila například kvůli stalkingu. I takový případ jsme už v minulosti řešili – nějaký uchazeč personalistce přes Teamio posílal místo životopisu nevhodné fotky,“ říká Ondra.

U business logu Teamia (tedy kdo provádí jaké aktivity v Teamiu) je lhůta pro uchování prodloužena na 3 roky. „Je to vlastně auditní log. Občas se stane, že nám zavolá personalista s tím, že mu v Teamiu chybí určitá data. Nebo že někdo koupil nějakou službu na účet klienta. My musíme dohledat, kdo z jeho firmy daný úkon udělal. Může to být třeba i někdo, kdo tam už delší dobu nepracuje.“

Potřebujete předat vašemu IT oddělení technické informace o bezpečnosti Teamia? Pošlete jim odkaz na stránku Bezpečnost →

4. Vývoj bez ostrých dat

Prostředí, kde se vyvíjí Jobs.cz, Prace.cz nebo Teamio, už neobsahuje ostrá data uživatelů nebo zákazníků. Ke skutečným datům se tak dostane výrazně omezenější skupina osob.

Vývojové prostředí vytváříme buď prázdné bez dat, nebo ze slovníků generujeme data, která vypadají reálně,“ říká Ondra a dodává, že s tímto opatřením se začalo už před rokem a půl, tedy ještě před GDPR.

5. Soukromý cloud

Další novinkou je pořízení privátního cloudu. „Nesdílíme hardwarovou strukturu s žádnou jinou firmou. Servery, na kterých jsou data uložena, jsou tedy pronajaty pouze námi,“ říká Ondřej.

A co se ještě chystá?

GDPR tak spíše urychlilo některé projekty, které by bez „Damoklova meče“ v podobě enormních pokut obtížněji hledaly podporu napříč celou firmou. Podle Ondry Myslivečka se bude bezpečnost a automatizace zlepšovat i nadále.

Například chceme omezovat počet lidí, kteří mají přístup k produkčním databázím. Chtěli bychom to postavit tak, že za normálních okolností přístup nebude mít vůbec nikdo. Pokud bude potřeba udělat nějaký zásah, udělíme pouze časově omezený přístup, který po uplynutí určité doby v řádu maximálně jednotek hodin sám zanikne.“

Přečtěte si víc o tom, jak se GDPR dotklo Teamia →

„Ačkoliv tento dokument viděly oči několika právníků, LMC s. r. o. není advokátní kancelář. Tento dokument proto prosím chápejte jako informativní, s obecným charakterem, který nereflektuje Vaše konkrétní požadavky nebo poměry. Nezamýšleli jsme ho jako právní poradenství, komplexní vyjádření zákona nebo návrh na řešení Vašich individuálních požadavků, a proto neodpovídáme za soulad tohoto dokumentu s právními předpisy, ani za použití tohoto dokumentu jinak než v souladu s námi zamýšleným účelem. Pokud ve Vaší společnosti řešíte ochranu osobních údajů, doporučujeme Vám obrátit se na nezávislou právní kancelář a probrat s ní veškeré postupy tak, aby vyhovovaly přesně Vašim účelům.“



Připravili jsme pro vás nápovědu s tipy a návody pro každou fázi náboru.

Přejít do nápovědy