作为统一端点管理 (UEM) 提供商,我们可以告诉您,仅凭我们的解决方案,您就已经完全具备了满足 GDPR 要求的能力。 但这只是事实的一半。
最初的兴奋之后是巨额罚款
去年,随着《通用数据保护条例》(GDPR)于 5 月 25 日生效,该条例就像幽灵一样在媒体上萦绕。 虽然热闹似乎已稍稍平息,但在某些情况下,GDPR 制裁已成为令人痛苦的现实:2018 年底,德国数据保护机构要求邮购公司 Kolibri Image 支付 5000 欧元,而法国数据保护机构 CNIL 则在 2019 年初对谷歌处以 5000 万欧元的罚款。
因此,任何人都可能被处以重罚。 因此,建议各种规模的公司不断思考如何处理个人数据。 当流程日益数字化,员工在 BYOD 计划中将移动设备用于业务和私人用途时,情况尤其如此。 谨慎使用移动设备管理(MDM)无疑是不可或缺的工具,但在某些情况下,它本身也会成为问题。
业务数据属于容器
GDPR 第 5 条已经明确规定,收集数据只能用于明确界定的目的,并且只能在尽可能小的范围内进行处理。 这意味着,员工和客户的个人信息不应不受控制地流入移动设备,也不应被移动设备上运行的应用程序访问。 在这种情况下,特别值得关注的是获取手机联系人数据并可能与不安全的第三国服务器同步的信使。
不过,为了防止这种情况发生,公司不必完全拒绝员工访问公司的敏感数据。 将智能手机和平板电脑上的业务信息与私人应用程序严格分开,这样做更有意义。 高度加密的安全容器(如 AppTec Secure PIM 提供的容器)是实现这一目的的理想选择。 这样,用户就可以继续访问电子邮件、日历或文档,而 WhatsApp 或 Facebook 等私人应用程序则会像未经授权的用户一样被有效阻止。 此外,如果移动设备被盗或丢失,管理员可以远程重置所有容器数据。
使用 EMM 时应注意这一点
虽然这听起来不错,但仅有一个正常运行的企业移动管理系统并不能免除 GDPR 中规定的所有义务,即记录流程并按照数据保护法规设计流程。 以员工数据保护为例。 在德国,《联邦数据保护法》(BDSG)第 26 条规定了以下原则:如果要在法律规定的情况之外处理员工的数据,必须征得员工的同意。
矛盾的是,你可以用你真正想要执行 GDPR 的 EMM 产品来打破这一要求。 例如,管理解决方案可以收集 GPS 定位数据,以便在设备丢失时对其进行定位。 正是这些信息形成了最终用户的个人移动档案。 因此,应与劳资协议会商定相应的职能,而且只有在受影响的人都参与进来的情况下才能启动这些职能。 无论您做出何种决定,AppTec 的统一终端管理都能适应您的场所:控制台以符合工程委员会要求的方式显示 GPS 信息(双重控制原则)。 该解决方案还可以进行配置,以便用户自行关闭 GPS 跟踪功能。
如果您的 EMM 解决方案是以云方式实施的,您也不应忽视可能向第三国传输数据的问题。 AppTec 信心十足地回答了这个问题:我们的服务器目前位于德国的 PlusServer GmbH 数据中心,因此受 GDPR 数据保护法规的约束。 您也可以在瑞士内部运行在瑞士开发的软件。 无论您选择哪种模式:公司数据永远不会存储在我们的服务器上,而是完全由客户(即您)掌握。
AppTec 博客 / 作者:Sahin TugcularSahin Tugcular
主题GDPR, AppTec Container, SecurePIM
用 DeepL.com 翻译(免费版)