em sua jornada de compliance - d.dam.sap.com · O ásico 4 / 14 Como empresa, a SAP está...
Transcript of em sua jornada de compliance - d.dam.sap.com · O ásico 4 / 14 Como empresa, a SAP está...
White paper da SAPGDPR
Os Princípios Básicos do GDPRComo as soluções certas de HCM podem ajudá-lo em sua jornada de compliance
© 2
018
SAP
SE o
u em
pres
a afi
liada
da
SAP.
Todo
s os
dire
itos
rese
rvad
os.
1 / 14
2 / 14
Índice
4 Introdução e Objetivos
5 Escopo
6 Impacto
10 Recursos das Soluções SAP SuccessFactors
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
3 / 14
Em maio de 2016, a União Europeia (UE) adotou uma lei de proteção de dados recentemente harmonizada chamada GDPR (General Data Protection Regulation, Regulamento Geral de Proteção de Dados). A partir de 25 de maio de 2018, o GDPR entrará em vigor em todos os estados membros da UE e no Espaço Econômico Europeu. Qualquer organização que colete ou processe dados pessoais de uma pessoa física dentro da UE ficará sujeita a esse regulamento, independentemente de sua localização. Embora o GDPR não introduza vários conceitos substancialmente novos, aumenta, de modo considerável, as exigências de compliance de controladores e processadores de dados com relação ao processamento de dados pessoais.
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
4 / 14
Como empresa, a SAP está comprometida em assegurar o compliance com o GDPR em 25 de maio de 2018. Temos sido consistentes na abordagem à proteção de dados, como parte de nossos padrões gerais de produto e agora estamos ampliando essa abordagem para corresponder às novas exigências do GDPR. Enquanto nossos clientes se preparam para o compliance, resumimos as mudanças introduzidas pelo GDPR, suas implicações e como os recursos do produto SAP® podem ajudálos na implementação das exigências do GDPR.
As informações contidas neste documento servem apenas como orientação geral, com base no entendimento de que, por meio deste documento, a SAP não se compromete a fornecer aconselhamento jurídico. A responsabilidade de adotar medidas apropriadas para obter o compliance com o GDPR cabe à sua organização, como controladores, segundo os termos do GDPR, e a SAP não se responsabiliza por quaisquer ações tomadas com base neste documento. Desse modo, tais informações não devem ser usadas em substituição a uma consulta jurídica ou profissional.
OBJETIVOSO GDPR tem como objetivo harmonizar as exigências de proteção de dados em toda a Europa em um único regulamento de proteção de dados da UE. Ele se destina a pessoas jurídicas de direito público e privado, em sua capacidade de controlador ou de processador. A nova lei visa a proteção dos direitos e liberdade das pessoas físicas, o aumento na confiança dos proprietários de dados nas organizações que retêm ou processam seus dados pessoais e o fortalecimento do mercado interno da UE. Para isso, o GDPR fornece um conjunto uniforme de regras para controlar o processamento de dados pessoais em toda a UE. Porém, o nível de harmonização na UE que o GDPR pode alcançar está restrito na medida em que o regulamento contém cláusulas de abertura que permitem que estados membros da UE estabeleçam leis e exigências específicas do país para determinadas atividades de processamento de dados. Portanto, essas cláusulas de abertura podem resultar na aplicação de regras e obrigações adicionais para controladores e processadores de dados.
Introdução e Objetivos
O GDPR tem como objetivo harmonizar as exigências de proteção de dados em toda a Europa em um único regulamento de proteção de dados da UE.
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
5 / 14
ESCOPO MATERIALO GDPR tem amplo escopo material que abrange o processamento de dados pessoais por meios automatizados ou de outra forma estruturada, incluindo aqueles destinados à parte de um sistema de arquivamento. Segundo o GDPR, o regulamento não se aplica quando pessoas físicas processam dados pessoais exclusivamente durante atividades domésticas, privadas ou puramente pessoais.
ESCOPO TERRITORIALDo mesmo modo, o GDPR tem amplo escopo territorial e se aplica a quaisquer atividades do controlador ou processador de dados na UE que incluam o processamento de dados pessoais de pessoas físicas. A questão central é se o controlador ou processador está localizado na UE. O GDPR se aplica também a controladores ou processadores localizados fora da UE, em que o processamento serve para oferecer mercadorias ou serviços a proprietários de dados na UE ou para monitorar o comportamento desses proprietários.
Escopo
O GDPR introduz várias novas exigências legais que podem afetar substancialmente os negócios do controlador ou processador.
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
6 / 14
BASES LEGAIS PARA PROCESSAMENTOO processamento de dados pessoais só será lícito se um dos critérios de permissão estabelecidos no GDPR for atendido. Na ausência de permissão legal direta, as organizações precisam do consentimento das pessoas físicas cujos dados vão ser processados. Esse consentimento deve cobrir todas as finalidades para as quais as organizações (que pretendem processar os dados) coletam e processam os dados e o direito da pessoa de retirar o consentimento a qualquer hora. Isso significa que o consentimento generalizado ou global não é válido para o processamento de dados pessoais.
O GDPR especifica o que são consideradas bases legais para o processamento de dados pessoais. Elas estão mostradas na Figura 1 e descritas abaixo. São boas práticas para seguir, independentemente de a organização estar ou não sujeita ao GDPR. As regulamentações relativas à privacidade e proteção de dados estão em constante evolução, por isso, é importante que sua organização estabeleça e mantenha políticas rigorosas de privacidade e proteção de dados. No final, cada organização deve fazer sua própria interpretação sobre o que considera bases legais para o processamento de dados pessoais. O Artigo 6 do Capítulo 2 do GDPR descreve a licitude do processamento:
O processamento será lícito somente se e na medida em que pelo menos uma das seguintes situações se aplique:
O GDPR introduz várias novas exigências legais que podem afetar substancialmente os negócios do controlador ou processador. Portanto, cada controlador ou processador deve verificar as obrigações do GDPR que se aplicam a ele e decidir sobre como implementálas corretamente.
PRINCÍPIOS GERAISDe acordo com os princípios gerais de processamento do GDPR, o processamento de dados pessoais deve ser lícito, proporcionado, transpa-rente, adequado, preciso, seguro, sigiloso, limitado no tempo e com finalidades determinadas e conduzido de maneira responsável. Esse último ponto implica a aplicação de segurança apropriada – inclusive medidas técnicas e organizacionais – para assegurar a integridade e a confidencialidade.
DADOS PESSOAISO GDPR define explicitamente o que isso significa com o termo “dados pessoais”: quaisquer dados que identifiquem ou possam ser usados para identificar uma pessoa. O termo inclui claramente metadados e outros dados associados, como endereços IP, cookies ou outros identificadores que possam rastrear uma pessoa. O GDPR ampliou o conhecido catálogo de categorias especiais de dados pessoais para incluir dados genéticos, dados biométricos, se usados para identificar exclusivamente uma pessoa física e dados relacionados a condenações penais e crimes de violação.
Impacto
Na ausência de permissão legal direta, as organizações precisam do consentimento das pessoas físicas cujos dados vão ser processados.
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
7 / 14
• O proprietário de dados deu consentimento para o processamento de seus dados pessoais para uma ou mais finalidades específicas
• O processamento é necessário para o desempenho de um contrato do qual faz parte o proprietário dos dados ou para tomar medidas na solicitação do proprietário dos dados antes de firmar um contrato
• O processamento é necessário para o compliance com uma obrigação legal à qual o controlador está sujeito
• O processamento é necessário para proteger interesses vitais do proprietário de dados ou de outra pessoa física
• O processamento é necessário para o desempenho de uma tarefa de interesse público ou no exercício da autoridade pública de que está investido o controlador
• O processamento é necessário para fins de interesses legítimos do controlador ou
de um terceiro, exceto quando esses interesses sejam substituídos pelos interesses ou liberdade e direitos fundamentais do proprietário de dados, que exige proteção dos dados pessoais, especialmente quando esse proprietário for uma criança
RESPONSABILIZAÇÃOO GDPR visa a melhoria da responsabilização daqueles que processam dados pessoais e o aumento da transparência dos dados que estão sendo processados.Apesar da semelhança na essência e estrutura com a legislação atual de proteção de dados, o GDPR adotará uma linha muito mais dura para ajudar na aplicação. As multas por falta de compliance são extremamente altas, incluindo multas administrativas de até EUR 20 milhões ou 4% da receita anual global da empresa, com possíveis pedidos de indenização e outros riscos
Bases legais para o processamento de dados pessoaisFigura 1
CONSENTIMENTO
INTERESSE PÚBLICO
CONTRATO
PROTEÇÃO DE INTERESSES VITAIS
OBRIGAÇÃO LEGAL
INTERESSE LEGÍTIMO
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
8 / 14
de responsabilidade legal, criadas para que as empresas melhorem as estruturas e processos internos e cumpram o regulamento.
PROTEÇÃO DE DADOS POR DESIGN E POR PADRÃONos termos do GDPR, as organizações devem incorporar intencionalmente a privacidade, e os sistemas e processos precisam adotar a privacidade por padrão. As organizações são obrigadas a assegurar que o processamento de dados pessoais tem uma finalidade específica e demonstrar que essa proteção de dados está no cerne da sua estrutura de TI e do design da solução.
SEGURANÇA TÉCNICA E ORGANIZACIONALAs organizações são obrigadas a implementar todas as medidas técnicas e organizacionais necessárias para garantir um nível de segurança apropriado ao risco do processamento para os proprietários de dados. Portanto, é necessário que a organização analise sua infraestrutura interna de ativos de TI para identificar e mapear fluxos de dados. Isso ajudará a determinar a adequação da estrutura de segurança. DIREITOS DO PROPRIETÁRIO DE DADOSAs organizações devem se orientar pelo conceito de que a pessoa física deve saber e sempre ser capaz de identificar quais dados pessoais são pro cessados, por quem, com que finalidade e por quanto tempo. Assim, os controladores de dados precisarão fornecer ativamente determinadas informações gerais e específicas. Isso está de acordo com os conceitos revisados do GDPR de portabilidade de dados e os direitos da pessoa de acessar, recusar ou objetar ou de ser esquecido. Portanto, as organizações envolvidas no proces samento de dados pessoais precisarão de proces sos internos robustos com funções designadas.
GOVERNANÇA DE DADOSCom o ônus de mostrar claramente para clientes, proprietários de dados e reguladores de que estão em conformidade com o GDPR, as organizações precisam implementar uma série de medidas sistemáticas para reduzir o risco de violação. A complexidade aumenta quando organizações precisam monitorar todas as finalidades para as quais os dados pessoais estão sendo processados e quando precisam assegurar que todas as pessoas tenham dado seu consentimento para cada caso de uso de processamento de dados. Essas medidas devem ser incorporadas às infraestruturas de TI existentes. Dependendo do resultado da avaliação de risco de proteção de dados, as organizações devem tomar medidas para ajudar a manter o compliance. Essas medidas incluem a nomeação de um responsável pela proteção de dados (DPO) dedicado, a execução de avaliações do impacto na privacidade (PIAs) e a adoção de procedimentos de auditoria regulares.
RETENÇÃO DE DADOS VERSUS EXCLUSÃO DE DADOSSistemas empresariais, como o de gestão do capital humano (HCM), contêm combinações de inúmeros registros dos colaboradores e outras pessoas, por exemplo, candidatos a emprego e prestadores de serviços. O sistema HCM de uma empresa pode, por exemplo, armazenar dados relacionados a pedidos de emprego, registros de folha de pagamento, histórico de treinamento, histórico de renumeração, planos de aposentadoria, informações de saúde etc. Com o passar do tempo, o sistema HCM da empresa acumulará um número considerável de registros, muitos dos quais com informações pessoais relacionadas a pessoas físicas.
O GDPR exige que as organizações removam todos os dados pessoais de seus sistemas quando não forem mais necessários para as atividades da empresa. Isso deve ser feito,
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
9 / 14
por exemplo, quando um colaborador sair da empresa (inclusive qualquer transferência de emprego para uma empresa afiliada). Em outros casos, um colaborador pode simplesmente retirar seu consentimento para uma determinada atividade de processamento de dados. Ao mesmo tempo, os dados pessoais obtidos podem ainda ser processados licitamente em outras bases legais ou serem parte integrante de registros sujeitos a períodos de retenção de 5, 10 ou até 30 anos. Nesses casos, a empresa precisa determinar a melhor forma de armazenar esses dados, para que não sejam acessados sem necessidade, mas que possam ser recuperados pelas partes autorizadas.
PROTEÇÃO DE DADOS COMO PARTE DE COMPLIANCE LEGALAs exigências de proteção de dados são apenas um subconjunto de exigências de compliance para uma empresa. As exigências de proteção de dados precisam ser alinhadas a outras exigências aplicáveis, inclusive legislação tributária ou leis específicas do setor. As exigências de retenção são o melhor exemplo. Se uma lei mais específica definir que determi nados registros, inclusive informações pessoais, precisam ser mantidos por 30 anos, a exclu são desses dados não será permitida. As orga nizações precisam analisar seus processos de negócio em relação a todas as leis aplicáveis e estabelecer as medidas técnicas e organiza cionais apropriadas para alcançar e manter o compliance.
PAPEL DOS PRODUTOS DA SAPComo mencionamos anteriormente, a SAP tem sido consistente na abordagem à proteção de dados como parte de nossos padrões gerais de produto. Estamos ampliando essa abordagem em relação às novas exigências do GDPR e aprimorando os padrões atuais.
Portanto, nossa empresa está comprometida em atender ao compliance do GDPR em 25 de maio de 2018. Paralelamente, estamos comprometidos em desenvolver e aprimorar ainda mais nossos produtos para ajudar nossos clientes no atendimento às exigências do GDPR da melhor maneira possível.
As medidas de desenvolvimento incluem o aprimoramento contínuo de recursos existentes do produto e a implementação das novas exigências.
Se forem configurados corretamente, os produtos de software da SAP podem ajudar seus controladores a cumprir determinadas obrigações do GDPR. É porque os produtos da SAP (como uma plataforma digital e do ponto de vista das soluções) são projetados para ajudar a garantir a consistência e a precisão dos dados em todos os sistemas. As soluções SAP fornecem camadas de garantia, medidas técnicas e organizacionais apropriadas, por exemplo, ocultação sob pseudônimos e criptografia, e um sistema de gerenciamento de padrões e melhores práticas. Todas essas estratégias ajudam a proteger direitos e liberdades fundamentais de pessoas físicas, conforme mencionado no GDPR.
As organizações precisam analisar seus processos de negócio em relação a todas as leis aplicáveis e estabelecer as medidas técnicas e organizacionais apropriadas para alcançar e manter o compliance.
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
10 / 14
Agora, vamos ver mais especificamente como os recursos das soluções SAP SuccessFactors podem dar suporte à sua organização na jornada para o compliance do GDPR. Vamos examinar essa funcionalidade observando o ciclo de vida dos dados pessoais.
Podemos considerar o ciclo de vida dos dados – incluindo os dados pessoais – que compreende três fases: a fase “ativa”, durante a qual os dados são processados com a finalidade pretendida; a fase de “retenção” ou “bloqueada”, durante a qual os dados não devem ser ativamente processados, mas podem ser exibidos por motivos específicos; e a fase “fim de uso”, no final do período de retenção aplicável dos dados. (Veja a Figura 2.) As soluções SAP SuccessFactors fornecem recursos robustos de proteção de dados em todas as três fases.
Cada organização precisa definir o que ela clas sifica como dados pessoais ou “confidenciais” (por exemplo, categorias especiais de dados pessoais). Portanto, pretendemos oferecer opções de configuração das soluções SAP SuccessFactors para marcar elementos de dados como pesso ais ou confidenciais. A classificação dos elemen tos de dados como pessoais ou confidenciais vai facilitar o bloqueio, a exclusão e a geração de relatórios de dados pessoais ou confidenciais.
FASE ATIVA DE DADOSDurante a fase em que você precisa ativamente dos dados pessoais em um sistema HCM, sua empresa em geral os utiliza em processos como controle de horas, folha de pagamento e gestão de desempenho.
Recursos das Soluções SAP® SuccessFactors®
Ciclo de vida de dados pessoaisFigura 2
Ativa Retenção Fim de uso
Dados processados para a finalidade desejada
Dados exibidos ou processados para fins específicos somente
Dados limpos
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
11 / 14
LOGS E RELATÓRIOS DE LEITURAAs soluções SAP SuccessFactors registram todos os acessos de leitura a dados confidenciais, independentemente do canal usado para ler os dados. Por exemplo, interface do usuá-rio, API, exportações ou geração de relatórios. A SAP pretende criar um relatório dessas informações. O objetivo é permitir que usuários autorizados gerem um relatório que mostre os dados pessoais lidos de um proprietário de dados específico ou os dados pessoais lidos por um usuário específico.
LOGS E RELATÓRIOS DE ALTERAÇÃOTodas as alterações feitas nos dados pessoais (inclusive correções) são automaticamente rastreadas nas soluções SAP SuccessFactors. A solução SAP SuccessFactors Employee Central, por exemplo, captura todas as alterações feitas nos dados pessoais, por padrão. Você pode definir se vai ou não rastrear alterações nos objetos baseados na estrutura de metadados (MDF). O software rastreia todas as alterações, independentemente do canal usado para fazer a alteração (interface do usuário, API ou importações).
A SAP pretende criar um “relatório de log de alterações” que exibirá todas as alterações feitas nos dados pessoais no formato “valor antes” e “valor depois”. Queremos que o software forneça informações adicionais, dependendo da subárea funcional, para explicar o contexto de uma alteração. O objetivo é permitir que usuários autorizados gerem relatórios que mostrem alterações nos dados confidenciais de um proprietário de dados específico ou alterações nos dados confidenciais feitas por um usuário específico.
PERMISSÕESAs soluções SAP SuccessFactors oferecem alto controle de permissões, chamado permissões baseadas em funções (RBPs), para ajudar a manter a segurança dos dados pessoais. Com as RBPs, você pode criar um conceito de autorização bastante específico, seguindo o princípio de “precisar saber”, inclusive pode definir permis sões separadas para exibição, alteração e exclusão de dados. Você deve confirmar regularmente se a lógica para conceder permissões ainda se aplica.
Os principais elementos das RBPs são as funções de permissões e os grupos de permissões.
• A função de permissão controla os direitos de acesso que um colaborador ou grupo de colaboradores tem ao aplicativo ou a dados de colaboradores. As RBPs permitem conceder uma função a um colaborador, gerente ou grupo específico ou a todos os colaboradores da empresa.
• O grupo de permissões é usado para definir grupos de colaboradores que compartilham atributos específicos. Você pode usar vários atributos para selecionar os membros do grupo, por exemplo, departamento, país ou código de trabalho do usuário. Os grupos podem ser estáticos ou dinâmicos.
• Qual é a relação entre funções e grupos? Enquanto as funções definem o que é permitido, os grupos definem quem tem permissão para fazer isso (usuários concedidos) e para quem (usuários de destino).
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
12 / 14
RELATÓRIOS DE DADOS PESSOAISPode haver casos em que você precise rela-tar dados pessoais armazenados na solução SAP SuccessFactors de um proprietário de dados específico. Por exemplo, um (ex)colaborador pode solicitar uma cópia de todos os seus dados pessoais armazenados no sistema de RH, a finalidade do uso dos dados e a duração de sua retenção. A SAP pretende desenvolver um “relatório de informações” para exibir esses dados. O relatório é projetado para ser associado a permissões específicas a fim de assegurar que somente pessoas autorizadas possam executálo. O objetivo é o sistema também rastrear quando o relatório foi executado, por quem e se ele foi baixado.
FASE DE RETENÇÃO DE DADOSQuando a empresa não precisa mais processar dados pessoais, é aconselhável excluir – ou pelo menos restringir – o acesso a eles para atenuar o risco de perda ou violação de dados. Pode haver casos em que você não precise mais processar ativamente os dados pessoais, mas precise retêlos por motivos de compliance. Os períodos de retenção incluem exigências de retenção legais, regulatórias, contratuais ou estatutárias. O bloqueio e a exclusão de dados pessoais no software empresarial tendem a ser complexos. Isso se deve principalmente ao número de regulamentações de retenção que precisam ser consideradas, mas também porque os mesmos dados são usados em processos diferentes por diferentes usuários. Ao restringir o uso de dados pessoais, talvez você precise considerar não só o tipo de dados, mas a “idade” dos dados. Por exemplo, o feedback de desempenho não tem data efetiva, mas tem validade por um ano específico (ou seja, o desempenho é avaliado durante um ano civil).
Quando a empresa não precisa mais processar dados pessoais, é aconselhável excluir – ou pelo menos restringir – o acesso a eles para atenuar o risco de perda ou violação de dados.
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
13 / 14
BLOQUEIOVocê pode usar o bloqueio para restringir o acesso a dados pessoais históricos dentro de um período de retenção que ainda está no sistema. Em alguns casos, talvez uma função ainda precise de acesso aos dados, e você pode bloquear o acesso de uma outra função. As RBPs das soluções SAP SuccessFactors já têm a opção de restringir as permissões de uma função a dados atuais somente, ou seja, sem registros históricos. Os aprimoramentos plane jados das RBPs incluem a capacidade de defi nir o período durante o qual o histórico deve ficar visível, inclusive a capacidade de definir diversos intervalos de restrições de tempo com base no país e também no status do colabora dor (ativo/inativo). Isso é necessário porque vários países podem ter regras diferentes sobre quanto tempo determinados dados podem ser acessados.
MASCARAMENTOVocê pode usar o mascaramento para ocultar (ou mascarar) o conteúdo do campo na interface do usuário. Se os dados forem mascarados, serão exibidos como asteriscos (********* [Clique para ver]) para o usuário. Somente no caso de o usuário clicar explicitamente no campo mascarado, eles serão mostrados. Você pode trocar o mascaramento por campo, o que ajuda a não expor dados pessoais ou até confidenciais, por padrão.
Observação: Você pode usar permissões no nível de campo para restringir o acesso a campos específicos.
FASE DE FIM DE USOO custo do armazenamento de dados continua caindo. Isso tende a desencorajar as organizações a investir no esforço de remover dados que não são mais necessários. No entanto, as organizações são legalmente obrigadas a excluir dados pessoais no final do período de retenção aplicável.
As organizações são legalmente obrigadas a excluir dados pessoais no final do período de retenção aplicável.
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Os princípios básicos do GDPR
14 / 14
LIMPEZA DE DADOSA limpeza de dados pessoais ou confidenciais que não são mais necessários para as finalidades da empresa é uma boa estratégia de gestão de riscos – e uma das exigências do GDPR.
As soluções SAP SuccessFactors oferecem uma ferramenta de “gestão de retenção de dados” que permite limpar dados obsoletos e usuários inativos dessas soluções. Você pode criar regras de negócios para especificar exceções ou dependências, bem como um fluxo de trabalho de aprovação para supervisionar solicitações de limpeza de dados. A SAP pretende aperfeiçoar a ferramenta de gestão de retenção de dados existente para que você defina, com flexibilidade, a configuração da retenção por período de tempo e país para cada objeto de retenção de dados, ao mínimo. Cada produto dentro das soluções SAP SuccessFactors pode oferecer critérios adicionais para definir regras de limpeza, por exemplo, divisão, departamento, local e assim por diante.
Ao executar uma solicitação de limpeza de dados, o software verificará se há dependências em todos os componentes e limpará os
dados corretamente. As configurações de limpeza são fornecidas no nível de objeto funcional e você pode reunir vários objetos de limpeza em um grupo de retenção de dados. É possível configurar os tempos de retenção no nível de grupo de retenção de dados com base em diferentes parâmetros, como nível de país e tipo de dados do colaborador (ativo/inativo).
PORTABILIDADE E EXPORTAÇÃO DE DADOSNo GDPR, os controladores de dados de todos os setores industriais deverão fornecer dados pessoais às pessoas físicas – ou até diretamente aos concorrentes – em um formato estruturado e legível por máquina. Para obter mais informações sobre essa exigência, consulte também o documento Guidelines to the Article 29 Data Protection Working Party (Diretrizes para o artigo 29, Grupo de trabalho de proteção de dados) sobre o direito à portabilidade de dados.
As soluções SAP SuccessFactors já disponibilizam todos os dados pessoais de proprietários de dados para geração de relatórios.
Você pode fazer o download e exportar dados de relatórios, por exemplo, no formato .CSV e .XLS.
OUTRAS INFORMAÇÕESA SAP pretende fornecer atualizações para dar suporte ao compliance do GDPR nos ciclos normais de lançamento trimestral e fornecer a documentação correspondente com esses lançamentos.
Para obter mais informações sobre o GDPR e a SAP, acesse www.sap.com/gdpr
Para obter mais informações sobre privacidade e proteção de dados na visão da SAP, acesse www.sap.com/security.
Consulte o texto integral do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679)
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.vQ417 ©
© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.
Nenhuma parte desta publicação pode ser reproduzida ou transmitida de alguma forma ou com qualquer finalidade sem a autorização expressa da SAP SE ou de uma empresa afiliada da SAP.
As informações contidas neste documento podem ser alteradas sem notificação prévia. Alguns produtos de software comercializados pela SAP SE e por seus distribuidores contêm componentes de software exclusivos de outros fornecedores. As especificações nacionais dos produtos podem variar.
Estes materiais são fornecidos pela SAP SE ou por empresas afiliadas da SAP com propósito meramente informativo, sem declaração ou garantia de qualquer espécie, assim a SAP ou suas empresas afiliadas não se responsabilizam por erros ou omissões relativos aos mesmos. As únicas garantias pelos produtos ou serviços da SAP SE ou das empresas afiliadas da SAP são as explicitamente especificadas em declarações de garantia contidas nos respectivos produtos e serviços, quando cabíveis.
Seu conteúdo não deve ser interpretado como constituição de garantia adicional.
Especificamente, a SAP SE ou suas empresas afiliadas não estão obrigadas a seguir nenhuma direção no curso dos negócios especificada neste documento ou em qualquer apresentação relacionada, nem a desenvolver ou lançar qualquer funcionalidade ali especificada. Este documento, ou qualquer apresentação a ele relacionada, e a estratégia e possíveis futuros desenvolvimentos, produtos e/ou direções e funcionalidade de plataforma da SAP SE ou de suas empresas afiliadas estão sujeitos a alterações e podem ser alterados pela SAP SE ou por suas empresas afiliadas a qualquer momento, por qualquer razão e sem prévio aviso. As informações contidas neste documento não constituem compromisso, promessa ou obrigação legal de fornecimento de qualquer material, código ou funcionalidade. Qualquer declaração com vistas ao futuro está sujeita a vários riscos e incertezas que podem produzir resultados efetivamente diferentes dos esperados. Os leitores ficam alertados a não basear indevidamente suas decisões de compra nesse tipo de declaração.
SAP e outros produtos e serviços da SAP aqui mencionados, bem como seus respectivos logotipos são marcas comerciais ou registradas da SAP SE (ou de uma empresa afiliada da SAP) na Alemanha ou em outros países. Todos os outros nomes de produtos e serviços mencionados são marcas registradas de suas respectivas empresas. Consulte http://www.sap.com/corporate/en/legal/copyright.html e veja outros avisos e informações sobre a marca registrada.
www.sap.com/contactsap