跳转到主要内容

文章分类

个人数据无处不在。许多公司在检查其IT系统是否符合欧盟GDPR时很快就了解到了这一点。尤其是ERP、HR和CRM系统实际上充满了个人数据。安全解决方案适用于需要访问、锁定甚至删除个人数据的SAP用户。

“如果你认为合规成本很高,那就试试不合规。”虽然我们认为尝试不合规的建议并不完全是字面意思,但美国副检察长保罗·麦克纳尔蒂的这一建议也很可能源于欧盟GDPR的作者。任何考虑过可能对违反《通用数据保护条例》的行为进行制裁的人都知道,不遵守该条例可能代价高昂。非常昂贵。自欧盟GDPR在一年多前生效以来,各公司正在加大力度处理这一问题。

提醒一下:欧盟GDPR特别加强了三类欧盟公民的权利:数据主体的访问权、“被遗忘”权和数据可移植权。摘录:

•第15条–欧盟GDPR:数据主体的访问权

数据主体应有权从控制人处获得有关其个人数据是否正在处理的确认,在这种情况下,有权访问个人数据[…]。

•第17条——欧盟GDPR:删除权(“被遗忘权”)

数据主体应有权从控制人处获得有关其个人数据的删除,不得无故延迟[…]。

•第20条——欧盟GDPR:数据可移植性权利

数据主体应有权接收他或她以结构化、通用和机器可读格式提供给控制者的与他或她有关的个人数据[…]。

光是“被遗忘”的权利并不是一项小任务。它要求当受影响者撤回处理数据的同意时,或当数据不再需要用于最初收集或处理的目的时,删除个人数据。当然,这可能与禁止立即删除(例如)业务文档的法定保留期相矛盾。这种情况下存在删除锁。删除锁阻止访问不再需要的数据和文档。虽然公司已经习惯了“被遗忘的权利”,但对一些人来说,这一概念的应用仍然存在问题。

个人数据随处可见

个人数据潜伏在哪些IT系统中?它肯定可以在SAP系统的主数据以及ERP、HR和CRM模块中找到,如中央业务合作伙伴、客户、供应商和员工。就欧盟GDPR而言,个人数据可以在所有类型的文档中找到,例如合同、报价、发票和电子邮件。虽然这些文档可能不存储在SAP系统中,但它们可能存在于例如SER的Doxis之类的电子存档中。

您的公司和个人之间的每一个联系点都可以记录下来并保存在档案中;每个接受要约的人都可能在CRM系统中有记录。这相当于许多公司的大量隐藏数据。一个恰当的例子:保险提供商。只要看看所有提及证人的手写索赔报告或事故报告,换言之,这些人与保险提供商没有业务往来,在这种情况下,他们可以利用擦除权。在医疗保健部门,删除权与冗长的法定保留期相冲突,后者可能持续30年或更长时间。就业背景下的数据处理是影响人力资源部门的一个特别棘手的话题。它也是欧盟GDPR的一部分。员工同样可以要求提供有关当前存储了哪些个人数据以及如何处理这些数据的信息。员工离开公司后,可以请求从人力资源系统中删除或锁定其存储的数据

“如果你认为合规成本很高,那就试试不合规。”虽然我们认为尝试不合规的建议并不完全是字面意思,但美国副检察长保罗·麦克纳尔蒂的这一建议也很可能源于欧盟GDPR的作者。任何考虑过可能对违反《通用数据保护条例》的行为进行制裁的人都知道,不遵守该条例可能代价高昂。非常昂贵。自欧盟GDPR在一年多前生效以来,各公司正在加大力度处理这一问题。

 

“默认隐私”和“设计隐私”

欧盟GDPR没有就其要求的技术实施提出任何具体建议。它“仅仅”描述了所选技术在获取、管理和保护个人数据方面必须满足的标准。在此之后,对处理数据的公司和组织提出了要求,规定个人数据必须“以允许识别数据主体的形式保存,保存时间不得超过处理个人数据所需的时间”(欧盟GDPR第5条)。这本质上意味着个人数据在其原始用途不再需要时必须自动删除(或至少锁定)。这种自动化必须由系统处理。

欧盟GDPR第25条的标题就说明了这一点:“设计和默认数据保护”。换言之,实施的技术必须基于“设计隐私”和“默认隐私”的概念进行开发,以便从产品设计阶段的一开始就实施数据隐私要求,并且用户可以轻松修改。至于使用哪种技术的决定,则由公司的数据控制器决定。欧盟GDPR第25条明确规定:“控制员应实施适当的技术和组织措施,以确保在默认情况下,仅处理每个特定处理目的所需的个人数据。该义务适用于收集的个人数据的数量、处理程度、存储期限及其可访问性。”换言之,公司有法律责任确保其软件系统符合欧盟GDPR关于个人数据获取、管理和保护的要求。

SAP用户如何遵守欧盟GDPR

与SAP系统的结构化数据集相比,可以在更多的地方找到与客户、供应商、工作、订单等相关的个人数据。商业案例的随附文档也包含此数据。因此,仅考虑SAP系统本身是不够的。更困难的任务是识别、标记和(根据需要)删除或锁定包含欧盟GDPR数据的特定于事务的非结构化文档。如果文档仅保存在文件目录中,则这些任务将具有Sisyphean字符。

如果这些文档存储在ECM平台(如Doxis)的电子存档中,公司可以方便地管理其业务流程和所有相关文档。此类归档还将为您提供必要的工具,以符合欧盟GDPR的方式管理这些非结构化文档。SER提供了一个ILM解决方案,该解决方案包含一个经过认证的接口,该接口将自身停靠在SAP系统上,以创建一个全面的欧盟GDPR解决方案。

第一步是识别SAP企业应用程序中的个人数据,并在定义的时间段后分配保留、锁定和删除规则。为此,SAP已将SAP ILM模块添加到其企业解决方案中。除法定保留期外,还可以对文件进行法律保留。为了使这些数据仍然符合欧盟GDPR“被遗忘”的权利,可以将其锁定,使其无法访问或进一步处理。

如何保护电子档案中的个人数据

SER用户可以部署信息生命周期管理附加组件,以符合EU GDPR的方式处理归档数据和文档。Doxis WebDAV Connector for ILM采用SAP中定义的ILM规则,并将其应用于存档内容。根据“默认隐私”的要求,SER解决方案包含处理当前业务案例不再需要的数据的保留期分配、锁定或删除的规则。此外,可以为单个文档设置无限期的删除锁定,例如,如果保留期未知。例如,如果客户或员工根据欧盟GDPR要求删除,则可以删除锁定。文档可以以可追溯的方式自动、完全和物理地删除。

换句话说,为了能够很好地遵守通用数据保护法规,仅仅关注SAP系统是不够的。将电子存档纳入其信息生命周期管理解决方案的公司可以控制所有个人数据,而不仅仅是SAP数据。SER解决方案处理所有相关文档,而不管它们来自哪个系统。有合适的技术解决方案可用,只需利用它们!

► 有关用于管理个人数据的SAP和SER组合解决方案的更多信息,我们推荐白皮书“符合欧盟GDPR的SAP信息生命周期管理”。

本文:https://cioctocdo.com/how-ensure-your-sap-complies-eu-gdpr

文章链接