GDPR urychlilo některé projekty související s bezpečností a automatizací náborové aplikace. Přesněji nám to popsal Ondřej Mysliveček, Technology Director v LMC.
Nové nařízení o ochraně osobních údajů (GDPR) především urychlilo některé projekty související s bezpečností a automatizací. Přesněji nám to popsal Ondřej Mysliveček, Technology Director v LMC. Co musel jeho tým v posledních měsících kvůli GDPR řešit (a vyřešit?)
1. Automatické mazání dat
„Smažte veškeré osobní údaje, které o mě shromažďujete.“ Do spuštění GDPR se tyto požadavky uživatelů řešily ručně. Nyní už smazání probíhá s velkou mírou automatizace (a rozhodně už nikdo neloví střípky po jednotlivých databázích).
Uchazeče, kteří se registrovali na Jobs.cz nebo Prace.cz, systém smaže v podstatě hned. U Teamia je to trochu složitější, protože tam LMC nevystupuje jako správce osobních údajů, ale jako zpracovatel.
„Rozhodli jsme se to řešit tak, že pokud nás uživatel požádá, abychom mu sdělili, kde všude jeho data uchováváme, tak mu poskytneme i seznam firem, které ho evidují,“ upřesňuje Ondra Mysliveček.
Půjde tedy o soupis firem, kterým dotyčný v minulosti odpovídal na pracovní nabídku (a tato firma ho stále v Teamiu zpracovává). S žádostí o smazání svých dat se pak uživatel může obrátit na tyto konkrétní společnosti.
2. Centrální souhlasovník
Jobs.cz, Prace.cz, Teamio, Seduo, Práce za rohem… Služeb, které spadají pod hlavičku LMC, je hned několik. Donedávna si každá držela vlastní historii souhlasů se zpracováním osobních dat. Po spuštění GDPR vše míří do nového centrálního souhlasovníku. Díky tomu bude snazší uhlídat třeba blížící se vypršení souhlasů.
„Zrovna tak když nám uživatel napíše, že chce být smazán z některé naší služby, tak se tato informace bude evidovat centrálně,“ říká Ondra.
3. Přesnější proces retence logů a záloh
Kvůli GDPR bylo potřeba také přesněji popsat proces retence logů aplikací a záloh jejich dat. „Máme nyní formalizované, po jakou dobu uchováváme logy aplikací i zálohy dat v nich uložených,“ říká Ondra Mysliveček.
U uživatelů z internetu se log archivuje typicky 6 měsíců. „Je to třeba i kvůli policii, pokud by se na nás obrátila například kvůli stalkingu. I takový případ jsme už v minulosti řešili – nějaký uchazeč personalistce přes Teamio posílal místo životopisu nevhodné fotky,“ říká Ondra.
U business logu Teamia (tedy kdo provádí jaké aktivity v Teamiu) je lhůta pro uchování prodloužena na 3 roky. „Je to vlastně auditní log. Občas se stane, že nám zavolá personalista s tím, že mu v Teamiu chybí určitá data. Nebo že někdo koupil nějakou službu na účet klienta. My musíme dohledat, kdo z jeho firmy daný úkon udělal. Může to být třeba i někdo, kdo tam už delší dobu nepracuje.“
4. Vývoj bez ostrých dat
Prostředí, kde se vyvíjí Jobs.cz, Prace.cz nebo Teamio, už neobsahuje ostrá data uživatelů nebo zákazníků. Ke skutečným datům se tak dostane výrazně omezenější skupina osob.
„Vývojové prostředí vytváříme buď prázdné bez dat, nebo ze slovníků generujeme data, která vypadají reálně,“ říká Ondra a dodává, že s tímto opatřením se začalo už před rokem a půl, tedy ještě před GDPR.
5. Soukromý cloud
Další novinkou je pořízení privátního cloudu. „Nesdílíme hardwarovou strukturu s žádnou jinou firmou. Servery, na kterých jsou data uložena, jsou tedy pronajaty pouze námi,“ říká Ondřej.
A co se ještě chystá?
GDPR tak spíše urychlilo některé projekty, které by bez „Damoklova meče“ v podobě enormních pokut obtížněji hledaly podporu napříč celou firmou. Podle Ondry Myslivečka se bude bezpečnost a automatizace zlepšovat i nadále.
„Například chceme omezovat počet lidí, kteří mají přístup k produkčním databázím. Chtěli bychom to postavit tak, že za normálních okolností přístup nebude mít vůbec nikdo. Pokud bude potřeba udělat nějaký zásah, udělíme pouze časově omezený přístup, který po uplynutí určité doby v řádu maximálně jednotek hodin sám zanikne.“
Přečtěte si víc o tom, jak se GDPR dotklo Teamia →
