Ar DI dokumentų apdorojimas atitinka BDAR? Praktinis ES kontrolinis sąrašas
Klausimas, kurį prieš automatizuodamas dokumentus užduoda kiekvienas ES operacijų vadovas. Trumpas atsakymas: DI dokumentų apdorojimas GALI atitikti BDAR, bet atitiktis gyvena darbo eigos projektavime — ne DI modelio rinkodaros puslapyje.
BDAR nedraudžia DI dokumentų apdorojimo. Jis reikalauja to paties, ko visada — teisėto pagrindo, tikslo apribojimo, minimizavimo, saugumo, atskaitomybės — pritaikyto darbo eigai, kuri tiesiog naudoja DI. Gerai suprojektuotą išgavimo darbo eigą padaryti atitinkančią lengviau nei žmogaus pašto dėžutę, nes kiekvienas žingsnis aiškus ir audituojamas.
Kas atitiktį praktikoje sulaužo: dokumentų siuntimas į įrankius be DPA, leidimas teikėjams mokytis iš jūsų klientų duomenų, amžinai laikomos tylios kopijos ir dokumentų turinio rašymas į žurnalus, kurių niekas nekontroliuoja.
Kontrolinis sąrašas
Įvardytas teisėtas pagrindas kiekvienam dokumentų tipui (sutarties vykdymas, teisinė prievolė, teisėtas interesas — surašyta).
Tikslo apribojimas: darbo eiga dokumentus tvarko vienam apibrėžtam tikslui; pernaudojimui reikia naujo sprendimo.
Duomenų minimizavimas: išgaunami apibrėžti laukai; visas dokumentas nesiurbiamas į tolesnes sistemas.
DPA su darbo eigos teikėju IR išvardytais visais pagalbiniais tvarkytojais (įskaitant DI modelio teikėją).
Jokio mokymosi iš jūsų duomenų: modelio teikėjo sąlygos turi išskirti jūsų turinį iš mokymo.
Duomenys ES, kur sistema tai leidžia; kur ne — galiojantys perdavimo mechanizmai (SCC).
Saugojimas sutartas kiekvienam dokumentų tipui; DI sluoksnio laikini failai ir žurnalai trinami pagal grafiką.
Turinys nepatenka į programų žurnalus — registruojami metaduomenys (laikas, būsenos), niekada dokumento tekstas.
Žmogaus priežiūra reikšminguose žingsniuose; duomenų subjektų teisės (prieiga, ištrynimas) įgyvendinamos iki galo.
Incidentų kelias: kas, ką ir kada sužino, jei kas nors nuteka.
Ypatingi atvejai, reikalaujantys daugiau dėmesio
CV ir įdarbinimo dokumentai: pagal ES DI aktą — didelė rizika. DI gali struktūruoti ir apibendrinti, bet kiekvieną sprendimą turi priimti žmogus.
Sveikatos, teisės ir finansų dokumentai: griežtesni pagrindai ir dažnai trumpesni prieigos sąrašai; patvirtinimo vartus projektuokite atitinkamai.
Dokumentai apie vaikus ar pažeidžiamus asmenis: paprastai ženklas, kad prieš ką nors paleidžiant darbo eigai reikia poveikio duomenų apsaugai vertinimo (DPIA).
Kas atsakingas
Dokumentus tvarkanti įmonė lieka valdytoja: jai priklauso teisėtas pagrindas, saugojimo grafikas ir galutiniai sprendimai. Toks teikėjas kaip Rexora veikia kaip tvarkytojas — saistomas DPA, atsakingas už tai, kad darbo eiga būtų sukurta taip, jog valdytojas GALĖTŲ laikytis reikalavimų, ir už savo paties sluoksnio (žurnalų, laikinų failų, pagalbinių tvarkytojų) švarą.
Atitikties patvirtinimas priklauso valdytojui ir jo konsultantams. Geras teikėjas tą peržiūrą palengvina — raštu perduoda duomenų srautą, pagalbinių tvarkytojų sąrašą ir saugojimo elgseną — ir atsisako apimčių, kurių neįmanoma padaryti atitinkančių.
Prieš automatizuodami dokumentus
Dešimt minučių su šiais klausimais sutaupo skausmingą perdarymą vėliau.
Surašykite dokumentų tipus ir kiekvieno teisėtą pagrindą.
Užsirašykite, kuriuos laukus iš tiesų reikia išgauti.
Kiekvieno teikėjo paprašykite pagalbinių tvarkytojų sąrašo ir mokymo išskyrimo sąlygų.
Sutarkite originalų, išrašų, laikinų failų ir žurnalų saugojimą.
Nuspręskite, kuriems žingsniams reikia įvardyto žmogaus tvirtintojo.
Kur tinka Rexora
Rexora dokumentų darbo eigas projektuoja pirmiausia pagal BDAR: minimizavimas, sutartas saugojimas, žurnalai be turinio, ES talpinami įrankiai, kur įmanoma, ir peržiūrai paruošti DPA apmatai.
Įdarbinimo dokumentuose visada sprendžia žmonės — ES DI akto didelės rizikos taisyklės yra pati architektūra, o ne išnaša.
Sąžiningos ribos
Šis gidas — praktinė orientacija, ne teisinė konsultacija; galutinį patvirtinimą duoda valdytojo konsultantai.
Atsisakome apimčių, reikalaujančių pašalinti žmogaus priežiūrą iš jautrių sprendimų.