GDPR (General Data Protection Regulation) je obecné nařízení o ochraně osobních údajů, které představuje právní rámec ochrany soukromí v Evropské unii. Cílem je dát občanům větší kontrolu nad tím, jak organizace nakládají s jejich osobními daty.
Za osobní údaj se považuje jakákoliv informace, která umožňuje přímo či nepřímo identifikovat konkrétní osobu:
Každý, kdo v rámci firmy nakládá s daty (např. v nástrojích Jira nebo při procesu Onboarding), musí dodržovat tyto principy:
| Princip | Význam |
|---|---|
| Zákonnost a transparentnost | Data lze zpracovávat jen na základě zákonného důvodu (např. smlouva, souhlas). |
| Účelové omezení | Data se smí sbírat pouze pro konkrétní, výslovně vyjádřený účel. |
| Minimalizace dat | Uchováváme pouze ty údaje, které jsou nezbytně nutné (nesbíráme data „do zásoby“). |
| Omezení uložení | Data se nesmí uchovávat déle, než je nutné pro daný účel. |
| Integrita a důvěrnost | Zajištění technické kybernetické bezpečnosti dat. |
Lidé, jejichž data zpracováváme, mají zákonná práva, která musíme být schopni naplnit:
V rámci naší knihovny procesů se GDPR projevuje zejména v:
1. **Správě přístupů:** K osobním údajům v [[Jira]] nebo HR systémech mají přístup jen lidé, kteří je potřebují k práci. 2. **Zpracovatelských smlouvách:** Pokud data předáváme externím partnerům (např. cloudovým službám [[Atlassian]]), musíme mít písemnou smlouvu o zpracování. 3. **Likvidaci dat:** Pravidelné promazávání starých životopisů, neaktivních účtů a ex-zaměstnanců.
Upozornění: Porušení pravidel GDPR může vést k vysokým pokutám a poškození dobrého jména firmy. Ochrana dat je součástí našeho etického kodexu.
— Související stránky: Kybernetická bezpečnost, Etický kodex, IT Podpora, Právní minimum