White paper da SAPGDPR

Os Princípios Básicos do GDPRComo as soluções certas de HCM podem ajudá-lo em sua jornada de compliance

© 2

018

SAP

SE o

u em

pres

a afi

liada

da

SAP.

Todo

s os

dire

itos

rese

rvad

os.

1 / 14

2 / 14

Índice

4 Introdução e Objetivos

5 Escopo

6 Impacto

10 Recursos das Soluções SAP SuccessFactors

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

3 / 14

Em maio de 2016, a União Europeia (UE) adotou uma lei de proteção de dados recentemente harmonizada chamada GDPR (General Data Protection Regulation, Regulamento Geral de Proteção de Dados). A partir de 25 de maio de 2018, o GDPR entrará em vigor em todos os estados membros da UE e no Espaço Econômico Europeu. Qualquer organização que colete ou processe dados pessoais de uma pessoa física dentro da UE ficará sujeita a esse regulamento, independentemente de sua localização. Embora o GDPR não introduza vários conceitos substancialmente novos, aumenta, de modo considerável, as exigên­cias de compliance de controladores e processadores de dados com relação ao processamento de dados pessoais.

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

4 / 14

Como empresa, a SAP está comprometida em assegurar o compliance com o GDPR em 25 de maio de 2018. Temos sido consistentes na abordagem à proteção de dados, como parte de nossos padrões gerais de produto e agora estamos ampliando essa abordagem para cor­responder às novas exigências do GDPR. Enquanto nossos clientes se preparam para o compliance, resumimos as mudanças introdu­zidas pelo GDPR, suas implicações e como os recursos do produto SAP® podem ajudá­los na implementação das exigências do GDPR.

As informações contidas neste documento ser­vem apenas como orientação geral, com base no entendimento de que, por meio deste docu­mento, a SAP não se compromete a fornecer aconselhamento jurídico. A responsabilidade de adotar medidas apropriadas para obter o compliance com o GDPR cabe à sua organiza­ção, como controladores, segundo os termos do GDPR, e a SAP não se responsabiliza por quaisquer ações tomadas com base neste docu­mento. Desse modo, tais informações não devem ser usadas em substituição a uma consulta jurídica ou profissional.

OBJETIVOSO GDPR tem como objetivo harmonizar as exi­gências de proteção de dados em toda a Europa em um único regulamento de proteção de dados da UE. Ele se destina a pessoas jurídicas de direito público e privado, em sua capacidade de controlador ou de processador. A nova lei visa a proteção dos direitos e liberdade das pessoas físicas, o aumento na confiança dos proprietá­rios de dados nas organizações que retêm ou processam seus dados pessoais e o fortaleci­mento do mercado interno da UE. Para isso, o GDPR fornece um conjunto uniforme de regras para controlar o processamento de dados pes­soais em toda a UE. Porém, o nível de harmoni­zação na UE que o GDPR pode alcançar está restrito na medida em que o regulamento con­tém cláusulas de abertura que permitem que estados membros da UE estabeleçam leis e exi­gências específicas do país para determinadas atividades de processamento de dados. Portanto, essas cláusulas de abertura podem resultar na aplicação de regras e obrigações adicionais para controladores e processadores de dados.

Introdução e Objetivos

O GDPR tem como objetivo harmonizar as exigências de proteção de dados em toda a Europa em um único regulamento de proteção de dados da UE.

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

5 / 14

ESCOPO MATERIALO GDPR tem amplo escopo material que abrange o processamento de dados pessoais por meios automatizados ou de outra forma estruturada, incluindo aqueles destinados à parte de um sistema de arquivamento. Segundo o GDPR, o regulamento não se aplica quando pessoas físicas processam dados pesso­ais exclusivamente durante atividades domésti­cas, privadas ou puramente pessoais.

ESCOPO TERRITORIALDo mesmo modo, o GDPR tem amplo escopo territorial e se aplica a quaisquer atividades do controlador ou processador de dados na UE que incluam o processamento de dados pesso­ais de pessoas físicas. A questão central é se o controlador ou processador está localizado na UE. O GDPR se aplica também a controla­dores ou processadores localizados fora da UE, em que o processamento serve para oferecer mercadorias ou serviços a proprietários de dados na UE ou para monitorar o comporta­mento desses proprietários.

Escopo

O GDPR introduz várias novas exigências legais que podem afetar substancialmente os negócios do controlador ou processador.

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

6 / 14

BASES LEGAIS PARA PROCESSAMENTOO processamento de dados pessoais só será lícito se um dos critérios de permissão estabele­cidos no GDPR for atendido. Na ausência de per­missão legal direta, as organizações precisam do consentimento das pessoas físicas cujos dados vão ser processados. Esse consentimento deve cobrir todas as finalidades para as quais as organizações (que pretendem processar os dados) coletam e processam os dados e o direito da pessoa de retirar o consentimento a qualquer hora. Isso significa que o consenti­mento generalizado ou global não é válido para o processamento de dados pessoais.

O GDPR especifica o que são consideradas bases legais para o processamento de dados pessoais. Elas estão mostradas na Figura 1 e descritas abaixo. São boas práticas para seguir, independentemente de a organização estar ou não sujeita ao GDPR. As regulamentações relati­vas à privacidade e proteção de dados estão em constante evolução, por isso, é importante que sua organização estabeleça e mantenha políti­cas rigorosas de privacidade e proteção de dados. No final, cada organização deve fazer sua própria interpretação sobre o que considera bases legais para o processamento de dados pessoais. O Artigo 6 do Capítulo 2 do GDPR descreve a licitude do processamento:

O processamento será lícito somente se e na medida em que pelo menos uma das seguintes situações se aplique:

O GDPR introduz várias novas exigências legais que podem afetar substancialmente os negócios do controlador ou processador. Portanto, cada controlador ou processador deve verificar as obrigações do GDPR que se aplicam a ele e deci­dir sobre como implementá­las corretamente.

PRINCÍPIOS GERAISDe acordo com os princípios gerais de processa­mento do GDPR, o processamento de dados pessoais deve ser lícito, proporcionado, transpa-rente, adequado, preciso, seguro, sigiloso, limi­tado no tempo e com finalidades determinadas e conduzido de maneira responsável. Esse último ponto implica a aplicação de segurança apropriada – inclusive medidas técnicas e orga­nizacionais – para assegurar a integridade e a confidencialidade.

DADOS PESSOAISO GDPR define explicitamente o que isso signi­fica com o termo “dados pessoais”: quaisquer dados que identifiquem ou possam ser usados para identificar uma pessoa. O termo inclui cla­ramente metadados e outros dados associados, como endereços IP, cookies ou outros identifica­dores que possam rastrear uma pessoa. O GDPR ampliou o conhecido catálogo de categorias especiais de dados pessoais para incluir dados genéticos, dados biométricos, se usados para identificar exclusivamente uma pessoa física e dados relacionados a condenações penais e crimes de violação.

Impacto

Na ausência de permissão legal direta, as organizações precisam do consentimento das pessoas físicas cujos dados vão ser processados.

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

7 / 14

• O proprietário de dados deu consentimento para o processamento de seus dados pessoais para uma ou mais finalidades específicas

• O processamento é necessário para o desem­penho de um contrato do qual faz parte o pro­prietário dos dados ou para tomar medidas na solicitação do proprietário dos dados antes de firmar um contrato

• O processamento é necessário para o com­pliance com uma obrigação legal à qual o con­trolador está sujeito

• O processamento é necessário para proteger interesses vitais do proprietário de dados ou de outra pessoa física

• O processamento é necessário para o desem­penho de uma tarefa de interesse público ou no exercício da autoridade pública de que está investido o controlador

• O processamento é necessário para fins de interesses legítimos do controlador ou

de um terceiro, exceto quando esses interesses sejam substituídos pelos interesses ou liber­dade e direitos fundamentais do proprietário de dados, que exige proteção dos dados pes­soais, especialmente quando esse proprietário for uma criança

RESPONSABILIZAÇÃOO GDPR visa a melhoria da responsabilização daqueles que processam dados pessoais e o aumento da transparência dos dados que estão sendo processados.Apesar da semelhança na essência e estrutura com a legislação atual de proteção de dados, o GDPR adotará uma linha muito mais dura para ajudar na aplicação. As multas por falta de com­pliance são extremamente altas, incluindo mul­tas administrativas de até EUR 20 milhões ou 4% da receita anual global da empresa, com possíveis pedidos de indenização e outros riscos

Bases legais para o processamento de dados pessoaisFigura 1

CONSENTIMENTO

INTERESSE PÚBLICO

CONTRATO

PROTEÇÃO DE INTERESSES VITAIS

OBRIGAÇÃO LEGAL

INTERESSE LEGÍTIMO

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

8 / 14

de responsabilidade legal, criadas para que as empresas melhorem as estruturas e processos internos e cumpram o regulamento.

PROTEÇÃO DE DADOS POR DESIGN E POR PADRÃONos termos do GDPR, as organizações devem incorporar intencionalmente a privacidade, e os sistemas e processos precisam adotar a privaci­dade por padrão. As organizações são obrigadas a assegurar que o processamento de dados pes­soais tem uma finalidade específica e demons­trar que essa proteção de dados está no cerne da sua estrutura de TI e do design da solução.

SEGURANÇA TÉCNICA E ORGANIZACIONALAs organizações são obrigadas a implementar todas as medidas técnicas e organizacionais necessárias para garantir um nível de segurança apropriado ao risco do processamento para os proprietários de dados. Portanto, é necessário que a organização analise sua infraestrutura interna de ativos de TI para identificar e mapear fluxos de dados. Isso ajudará a determinar a adequação da estrutura de segurança. DIREITOS DO PROPRIETÁRIO DE DADOSAs organizações devem se orientar pelo con­ceito de que a pessoa física deve saber e sempre ser capaz de identificar quais dados pessoais são pro cessados, por quem, com que finalidade e por quanto tempo. Assim, os controladores de dados precisarão fornecer ativamente determi­nadas informações gerais e específicas. Isso está de acordo com os conceitos revisados do GDPR de portabilidade de dados e os direitos da pessoa de acessar, recusar ou objetar ou de ser esquecido. Portanto, as organizações envol­vidas no proces samento de dados pessoais pre­cisarão de proces sos internos robustos com funções designadas.

GOVERNANÇA DE DADOSCom o ônus de mostrar claramente para clien­tes, proprietários de dados e reguladores de que estão em conformidade com o GDPR, as organi­zações precisam implementar uma série de medidas sistemáticas para reduzir o risco de violação. A complexidade aumenta quando orga­nizações precisam monitorar todas as finalida­des para as quais os dados pessoais estão sendo processados e quando precisam assegu­rar que todas as pessoas tenham dado seu consentimento para cada caso de uso de pro­cessamento de dados. Essas medidas devem ser incorporadas às infraestruturas de TI exis­tentes. Dependendo do resultado da avaliação de risco de proteção de dados, as organizações devem tomar medidas para ajudar a manter o compliance. Essas medidas incluem a nomea­ção de um responsável pela proteção de dados (DPO) dedicado, a execução de avaliações do impacto na privacidade (PIAs) e a adoção de procedimentos de auditoria regulares.

RETENÇÃO DE DADOS VERSUS EXCLUSÃO DE DADOSSistemas empresariais, como o de gestão do capital humano (HCM), contêm combina­ções de inúmeros registros dos colaborado­res e outras pessoas, por exemplo, candidatos a emprego e prestadores de serviços. O sis­tema HCM de uma empresa pode, por exem­plo, armazenar dados relacionados a pedidos de emprego, registros de folha de pagamento, histórico de treinamento, histórico de renume­ração, planos de aposentadoria, informações de saúde etc. Com o passar do tempo, o sistema HCM da empresa acumulará um número consi­derável de registros, muitos dos quais com infor­mações pessoais relacionadas a pessoas físicas.

O GDPR exige que as organizações removam todos os dados pessoais de seus sistemas quando não forem mais necessários para as atividades da empresa. Isso deve ser feito,

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

9 / 14

por exemplo, quando um colaborador sair da empresa (inclusive qualquer transferên­cia de emprego para uma empresa afiliada). Em outros casos, um colaborador pode sim­plesmente retirar seu consentimento para uma determinada atividade de processamento de dados. Ao mesmo tempo, os dados pessoais obtidos podem ainda ser processados licita­mente em outras bases legais ou serem parte integrante de registros sujeitos a períodos de retenção de 5, 10 ou até 30 anos. Nesses casos, a empresa precisa determinar a melhor forma de armazenar esses dados, para que não sejam acessados sem necessidade, mas que possam ser recuperados pelas partes autorizadas.

PROTEÇÃO DE DADOS COMO PARTE DE COMPLIANCE LEGALAs exigências de proteção de dados são apenas um subconjunto de exigências de compliance para uma empresa. As exigências de proteção de dados precisam ser alinhadas a outras exi­gências aplicáveis, inclusive legislação tributá­ria ou leis específicas do setor. As exigências de retenção são o melhor exemplo. Se uma lei mais específica definir que determi nados registros, inclusive informações pessoais, precisam ser mantidos por 30 anos, a exclu são desses dados não será permitida. As orga nizações precisam analisar seus processos de negócio em relação a todas as leis aplicáveis e estabelecer as medi­das técnicas e organiza cionais apropriadas para alcançar e manter o compliance.

PAPEL DOS PRODUTOS DA SAPComo mencionamos anteriormente, a SAP tem sido consistente na abordagem à proteção de dados como parte de nossos padrões gerais de produto. Estamos ampliando essa aborda­gem em relação às novas exigências do GDPR e aprimorando os padrões atuais.

Portanto, nossa empresa está comprome­tida em atender ao compliance do GDPR em 25 de maio de 2018. Paralelamente, estamos comprometidos em desenvolver e aprimorar ainda mais nossos produtos para ajudar nossos clientes no atendimento às exigências do GDPR da melhor maneira possível.

As medidas de desenvolvimento incluem o aprimoramento contínuo de recursos existen­tes do produto e a implementação das novas exigências.

Se forem configurados corretamente, os produ­tos de software da SAP podem ajudar seus con­troladores a cumprir determinadas obrigações do GDPR. É porque os produtos da SAP (como uma plataforma digital e do ponto de vista das soluções) são projetados para ajudar a garantir a consistência e a precisão dos dados em todos os sistemas. As soluções SAP fornecem cama­das de garantia, medidas técnicas e organiza­cionais apropriadas, por exemplo, ocultação sob pseudônimos e criptografia, e um sistema de gerenciamento de padrões e melhores práti­cas. Todas essas estratégias ajudam a proteger direitos e liberdades fundamentais de pessoas físicas, conforme mencionado no GDPR.

As organizações precisam analisar seus processos de negócio em relação a todas as leis aplicáveis e estabelecer as medidas técnicas e organizacionais apropriadas para alcançar e manter o compliance.

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

10 / 14

Agora, vamos ver mais especificamente como os recursos das soluções SAP SuccessFactors podem dar suporte à sua organização na jor­nada para o compliance do GDPR. Vamos exami­nar essa funcionalidade observando o ciclo de vida dos dados pessoais.

Podemos considerar o ciclo de vida dos dados – incluindo os dados pessoais – que compre­ende três fases: a fase “ativa”, durante a qual os dados são processados com a finalidade pre­tendida; a fase de “retenção” ou “bloqueada”, durante a qual os dados não devem ser ati­vamente processados, mas podem ser exibi­dos por motivos específicos; e a fase “fim de uso”, no final do período de retenção aplicá­vel dos dados. (Veja a Figura 2.) As soluções SAP SuccessFactors fornecem recursos robus­tos de proteção de dados em todas as três fases.

Cada organização precisa definir o que ela clas sifica como dados pessoais ou “confiden­ciais” (por exemplo, categorias especiais de dados pessoais). Portanto, pretendemos ofe­recer opções de configuração das soluções SAP SuccessFactors para marcar elementos de dados como pesso ais ou confidenciais. A classi­ficação dos elemen tos de dados como pessoais ou confidenciais vai facilitar o bloqueio, a exclu­são e a geração de relatórios de dados pessoais ou confidenciais.

FASE ATIVA DE DADOSDurante a fase em que você precisa ativa­mente dos dados pessoais em um sistema HCM, sua empresa em geral os utiliza em processos como controle de horas, folha de pagamento e gestão de desempenho.

Recursos das Soluções SAP® SuccessFactors®

Ciclo de vida de dados pessoaisFigura 2

Ativa Retenção Fim de uso

Dados processados para a finalidade desejada

Dados exibidos ou processados para fins específicos somente

Dados limpos

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

11 / 14

LOGS E RELATÓRIOS DE LEITURAAs soluções SAP SuccessFactors registram todos os acessos de leitura a dados confiden­ciais, independentemente do canal usado para ler os dados. Por exemplo, interface do usuá-rio, API, exportações ou geração de relatórios. A SAP pretende criar um relatório dessas infor­mações. O objetivo é permitir que usuários auto­rizados gerem um relatório que mostre os dados pessoais lidos de um proprietário de dados específico ou os dados pessoais lidos por um usuário específico.

LOGS E RELATÓRIOS DE ALTERAÇÃOTodas as alterações feitas nos dados pesso­ais (inclusive correções) são automaticamente rastreadas nas soluções SAP SuccessFactors. A solução SAP SuccessFactors Employee Central, por exemplo, captura todas as alterações feitas nos dados pessoais, por padrão. Você pode defi­nir se vai ou não rastrear alterações nos obje­tos baseados na estrutura de metadados (MDF). O software rastreia todas as alterações, indepen­dentemente do canal usado para fazer a altera­ção (interface do usuário, API ou importações).

A SAP pretende criar um “relatório de log de alterações” que exibirá todas as alterações fei­tas nos dados pessoais no formato “valor antes” e “valor depois”. Queremos que o software for­neça informações adicionais, dependendo da subárea funcional, para explicar o contexto de uma alteração. O objetivo é permitir que usu­ários autorizados gerem relatórios que mos­trem alterações nos dados confidenciais de um proprietário de dados específico ou alterações nos dados confidenciais feitas por um usuário específico.

PERMISSÕESAs soluções SAP SuccessFactors oferecem alto controle de permissões, chamado permis­sões baseadas em funções (RBPs), para aju­dar a manter a segurança dos dados pessoais. Com as RBPs, você pode criar um conceito de autorização bastante específico, seguindo o princípio de “precisar saber”, inclusive pode definir permis sões separadas para exibição, alteração e exclusão de dados. Você deve confir­mar regularmente se a lógica para conceder per­missões ainda se aplica.

Os principais elementos das RBPs são as fun­ções de permissões e os grupos de permissões.

• A função de permissão controla os direitos de acesso que um colaborador ou grupo de colaboradores tem ao aplicativo ou a dados de colaboradores. As RBPs permitem conce­der uma função a um colaborador, gerente ou grupo específico ou a todos os colaboradores da empresa.

• O grupo de permissões é usado para defi­nir grupos de colaboradores que comparti­lham atributos específicos. Você pode usar vários atributos para selecionar os membros do grupo, por exemplo, departamento, país ou código de trabalho do usuário. Os grupos podem ser estáticos ou dinâmicos.

• Qual é a relação entre funções e grupos? Enquanto as funções definem o que é permi­tido, os grupos definem quem tem permissão para fazer isso (usuários concedidos) e para quem (usuários de destino).

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

12 / 14

RELATÓRIOS DE DADOS PESSOAISPode haver casos em que você precise rela-tar dados pessoais armazenados na solução SAP SuccessFactors de um proprietário de dados específico. Por exemplo, um (ex­)colabo­rador pode solicitar uma cópia de todos os seus dados pessoais armazenados no sistema de RH, a finalidade do uso dos dados e a duração de sua retenção. A SAP pretende desenvolver um “relatório de informações” para exibir esses dados. O relatório é projetado para ser asso­ciado a permissões específicas a fim de assegu­rar que somente pessoas autorizadas possam executá­lo. O objetivo é o sistema também ras­trear quando o relatório foi executado, por quem e se ele foi baixado.

FASE DE RETENÇÃO DE DADOSQuando a empresa não precisa mais proces­sar dados pessoais, é aconselhável excluir – ou pelo menos restringir – o acesso a eles para atenuar o risco de perda ou violação de dados. Pode haver casos em que você não pre­cise mais processar ativamente os dados pes­soais, mas precise retê­los por motivos de compliance. Os períodos de retenção incluem exigências de retenção legais, regulatórias, contratuais ou estatutárias. O bloqueio e a exclusão de dados pessoais no software empre­sarial tendem a ser complexos. Isso se deve principalmente ao número de regulamenta­ções de retenção que precisam ser considera­das, mas também porque os mesmos dados são usados em processos diferentes por diferen­tes usuários. Ao restringir o uso de dados pesso­ais, talvez você precise considerar não só o tipo de dados, mas a “idade” dos dados. Por exem­plo, o feedback de desempenho não tem data efetiva, mas tem validade por um ano especí­fico (ou seja, o desempenho é avaliado durante um ano civil).

Quando a empresa não precisa mais processar dados pessoais, é aconselhável excluir – ou pelo menos restringir – o acesso a eles para atenuar o risco de perda ou violação de dados.

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

13 / 14

BLOQUEIOVocê pode usar o bloqueio para restringir o acesso a dados pessoais históricos dentro de um período de retenção que ainda está no sis­tema. Em alguns casos, talvez uma função ainda precise de acesso aos dados, e você pode bloquear o acesso de uma outra função. As RBPs das soluções SAP SuccessFactors já têm a opção de restringir as permissões de uma função a dados atuais somente, ou seja, sem registros históricos. Os aprimoramen­tos plane jados das RBPs incluem a capacidade de defi nir o período durante o qual o histó­rico deve ficar visível, inclusive a capacidade de definir diversos intervalos de restrições de tempo com base no país e também no status do colabora dor (ativo/inativo). Isso é necessá­rio porque vários países podem ter regras dife­rentes sobre quanto tempo determinados dados podem ser acessados.

MASCARAMENTOVocê pode usar o mascaramento para ocultar (ou mascarar) o conteúdo do campo na interface do usuário. Se os dados forem mascarados, serão exibidos como asteriscos (********* [Clique para ver]) para o usuário. Somente no caso de o usuário clicar explicitamente no campo mascarado, eles serão mostrados. Você pode trocar o mascaramento por campo, o que ajuda a não expor dados pessoais ou até confidenciais, por padrão.

Observação: Você pode usar permissões no nível de campo para restringir o acesso a campos específicos.

FASE DE FIM DE USOO custo do armazenamento de dados continua caindo. Isso tende a desencorajar as organiza­ções a investir no esforço de remover dados que não são mais necessários. No entanto, as orga­nizações são legalmente obrigadas a excluir dados pessoais no final do período de retenção aplicável.

As organizações são legalmente obrigadas a excluir dados pessoais no final do período de retenção aplicável.

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Os princípios básicos do GDPR

14 / 14

LIMPEZA DE DADOSA limpeza de dados pessoais ou confidenciais que não são mais necessários para as finalida­des da empresa é uma boa estratégia de gestão de riscos – e uma das exigências do GDPR.

As soluções SAP SuccessFactors oferecem uma ferramenta de “gestão de retenção de dados” que permite limpar dados obsoletos e usuá­rios inativos dessas soluções. Você pode criar regras de negócios para especificar exceções ou dependências, bem como um fluxo de traba­lho de aprovação para supervisionar solicitações de limpeza de dados. A SAP pretende aperfei­çoar a ferramenta de gestão de retenção de dados existente para que você defina, com flexi­bilidade, a configuração da retenção por período de tempo e país para cada objeto de retenção de dados, ao mínimo. Cada produto dentro das soluções SAP SuccessFactors pode oferecer cri­térios adicionais para definir regras de limpeza, por exemplo, divisão, departamento, local e assim por diante.

Ao executar uma solicitação de limpeza de dados, o software verificará se há dependên­cias em todos os componentes e limpará os

dados corretamente. As configurações de lim­peza são fornecidas no nível de objeto funcional e você pode reunir vários objetos de limpeza em um grupo de retenção de dados. É possível con­figurar os tempos de retenção no nível de grupo de retenção de dados com base em diferentes parâmetros, como nível de país e tipo de dados do colaborador (ativo/inativo).

PORTABILIDADE E EXPORTAÇÃO DE DADOSNo GDPR, os controladores de dados de todos os setores industriais deverão fornecer dados pessoais às pessoas físicas – ou até diretamente aos concorrentes – em um formato estruturado e legível por máquina. Para obter mais infor­mações sobre essa exigência, consulte tam­bém o documento Guidelines to the Article 29 Data Protection Working Party (Diretrizes para o artigo 29, Grupo de trabalho de proteção de dados) sobre o direito à portabilidade de dados.

As soluções SAP SuccessFactors já disponibili­zam todos os dados pessoais de proprietários de dados para geração de relatórios.

Você pode fazer o download e exportar dados de relatórios, por exemplo, no formato .CSV e .XLS.

OUTRAS INFORMAÇÕESA SAP pretende fornecer atualizações para dar suporte ao compliance do GDPR nos ciclos normais de lançamento tri­mestral e fornecer a documentação correspondente com esses lançamentos.

Para obter mais informações sobre o GDPR e a SAP, acesse www.sap.com/gdpr

Para obter mais informações sobre privacidade e proteção de dados na visão da SAP, acesse www.sap.com/security.

Consulte o texto integral do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679)

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.vQ417 ©

© 2018 SAP SE ou empresa afiliada da SAP. Todos os direitos reservados.

Nenhuma parte desta publicação pode ser reproduzida ou transmitida de alguma forma ou com qualquer finalidade sem a autorização expressa da SAP SE ou de uma empresa afiliada da SAP.

As informações contidas neste documento podem ser alteradas sem notificação prévia. Alguns produtos de software comercializados pela SAP SE e por seus distribuidores contêm componentes de software exclusivos de outros fornecedores. As especificações nacionais dos produtos podem variar.

Estes materiais são fornecidos pela SAP SE ou por empresas afiliadas da SAP com propósito meramente informativo, sem declaração ou garantia de qualquer espécie, assim a SAP ou suas empresas afiliadas não se responsabilizam por erros ou omissões relativos aos mesmos. As úni­cas garantias pelos produtos ou serviços da SAP SE ou das empresas afiliadas da SAP são as explicitamente especificadas em declarações de garantia contidas nos respectivos produtos e serviços, quando cabíveis.

Seu conteúdo não deve ser interpretado como constituição de garantia adicional.

Especificamente, a SAP SE ou suas empresas afiliadas não estão obrigadas a seguir nenhuma direção no curso dos negócios especi­ficada neste documento ou em qualquer apresentação relacionada, nem a desenvolver ou lançar qualquer funcionalidade ali especificada. Este documento, ou qualquer apresentação a ele relacionada, e a estra­tégia e possíveis futuros desenvolvimentos, produtos e/ou direções e funcionalidade de plataforma da SAP SE ou de suas empresas afiliadas estão sujeitos a alterações e podem ser alterados pela SAP SE ou por suas empresas afiliadas a qualquer momento, por qualquer razão e sem prévio aviso. As informações contidas neste documento não constituem compromisso, promessa ou obrigação legal de fornecimento de qualquer material, código ou funcionalidade. Qualquer declaração com vistas ao futuro está sujeita a vários riscos e incertezas que podem produzir resultados efetivamente diferentes dos esperados. Os leitores ficam alertados a não basear indevidamente suas decisões de compra nesse tipo de declaração.

SAP e outros produtos e serviços da SAP aqui mencionados, bem como seus respectivos logotipos são marcas comerciais ou registradas da SAP SE (ou de uma empresa afiliada da SAP) na Alemanha ou em outros países. Todos os outros nomes de produtos e serviços mencio­nados são marcas registradas de suas respectivas empresas. Consulte http://www.sap.com/corporate/en/legal/copyright.html e veja outros avisos e informações sobre a marca registrada.

www.sap.com/contactsap