Energetika-VDS Vyžádat poptávku
CS

Blog

GDPR a osazování DPS: jak EU EMS zachází s vaším BOM, firmwarem a IP

Publikováno 2026-05-27

Praktický průvodce tím, jak poskytovatelé EMS se sídlem v EU zpracovávají soubory BOM, binárky firmwaru a duševní vlastnictví zákazníka podle GDPR — a proč na tom záleží při porovnání s čínskými montážními domy.

Souhrn

  • GDPR se vztahuje na PCBA, když BOM, schémata nebo firmware obsahují osobní údaje, jména dodavatelů nebo identifikátory zařízení vázané na fyzické osoby.
  • Poskytovatelé EMS v EU fungují v rámci jednotného režimu ochrany dat; čínské montážní domy jsou řízeny PIPL plus Zákonem o kybernetické bezpečnosti Číny, které obsahují ustanovení o státním přístupu.
  • Energetika-VDS uchovává technické soubory zákazníka po dohodnuté záruční období, poté je bezpečně vymaže; NDA jsou oboustranné a podepsané dříve, než nějaký BOM přistane v našem MES.

Stručná odpověď: GDPR je relevantní pro montáž PCB kdykoli vaše projektové soubory nesou identifikovatelné osobní údaje — jména dodavatelů, identifikátory vázané na zařízení, vložené servisní účty nebo protokoly testovacích přípravků s ID operátorů. EU poskytovatelé EMS jako Energetika-VDS působí v rámci jediného vymahatelného rámce ochrany dat s občanskoprávními prostředky; čínští poskytovatelé působí v rámci PIPL a čínského zákona o kybernetické bezpečnosti, kde státní přístup ke komerčním datům je zákonem vynucen v definovaných případech.

Pro většinu kupujících elektroniky zní „ochrana dat v PCBA" jako HR téma. Není to tak. Váš BOM obsahuje váš seznam dodavatelů, váš firmware obsahuje vaše algoritmy, vaše testovací zprávy obsahují vaše výtěžnosti a vaše přípravky kódují vaši testovací strategii. Kde tato data leží — a kdo může být donucen je zveřejnit — je obchodní rozhodnutí, nikoli compliance poznámka.

Proč se GDPR dotýká montáže PCB

GDPR (nařízení EU 2016/679) reguluje zpracování osobních údajů rezidentů EU. PCBA vypadá jako B2B technická služba, ale několik kontaktních bodů překračuje hranici:

  • BOM soubory často obsahují jména a e-maily inženýrů, distributorů a smluvních návrhářů.
  • Binární soubory firmwaru mohou nést zkompilované servisní účty, telemetrické endpointy vázané na identifikovatelné uživatele nebo kryptografické klíče spojené s pojmenovanými osobami.
  • E-maily se zpětnou vazbou DFM jsou osobní korespondencí z definice.
  • Záznamy dohledatelnosti produkované během montáže PCB propojují ID operátorů s konkrétními sériovými čísly — to jsou osobní údaje podle článku 4 odst. 1.
  • Nahrávky v fázi nabídky na estimátor nabídky nesou IP adresy a kontaktní metadata.

Jakmile kterokoliv z výše uvedeného vstoupí do systému EMS, GDPR se aktivuje. Otázkou není „vztahuje se to?", ale „je vztah správce-zpracovatel čistý?"

EU EMS vs. čínští poskytovatelé: právní rámec

Jurisdikce Primární zákon Pravidlo přeshraničního přenosu Ustanovení státního přístupu Občanskoprávní prostředky za porušení
EU (vč. Energetika-VDS v MK jako strana PEM, GDPR-aligned) GDPR + národní DPA Článek 45 adequacy / SCC Pouze soudní příkaz Až 4 % globálního obratu
Čína (JLCPCB, PCBWay) PIPL + Zákon o kybernetické bezpečnosti CAC bezpečnostní posouzení pro export Článek 7 Zákona o kybernetické bezpečnosti — povinná spolupráce Omezené, soudní uvážení
Švýcarsko / Norsko (adequacy) revFADP / Zákon o osobních údajích Ekvivalent článku 45 Pouze soudní příkaz Srovnatelné s GDPR
USA Státní mozaika (CCPA atd.) Žádné pro B2B PCBA FISA 702, CLOUD Act Odvětvové

Rámec PIPL v Číně obsahuje ustanovení (článek 41) umožňující přenos ne-čínským orgánům pouze se souhlasem čínské vlády — což znamená, že váš BOM, pokud o něj požádá EU regulátor, nemůže být vrácen bez souhlasu Pekingu. Pro většinu spotřební elektroniky je to irelevantní. Pro obranné, zdravotnické, dual-use nebo kritické infrastrukturní projekty je to podstatné.

Jak „nakládání s daty" skutečně vypadá ve středním EU EMS

Když zákazník angažuje Energetika-VDS, datový pipeline probíhá takto:

  1. NDA podepsána před přistáním jakéhokoli technického souboru. Vzájemná, oboustranná, řídící se makedonským právem s možností EU místa.
  2. Soubory nahrány přes TLS do našeho cenového portálu; metadata odstraněna z PDF.
  3. BOM importován do MES pro zásobování součástkami; jména dodavatelů jsou viditelná pouze nákupnímu stolu.
  4. Gerbers, pick-and-place a firmware archivovány v projektovém trezoru, šifrováno v klidu (AES-256).
  5. Přístup operátorů je rolově řízený; linkoví operátoři vidí ID zakázky, nikoli jména zákazníků.
  6. Po uplynutí záruční lhůty (typicky 24 měsíců po finální dodávce) jsou soubory bezpečně vymazány — úroveň NIST SP 800-88 Purge.
  7. Záznamy dohledatelnosti propojující operátora - sériové číslo jsou uchovávány dle politiky kvality a dohledatelnosti a IPC-1782.

Firmware a IP: specifické obavy

Firmware je nejvyšširizikový artefakt v PCBA smlouvě. Zákazníci se ptají:

  • „Pokud flashujete můj binární soubor, udržujete kopii?" Ano — po dobu záruky — šifrovanou a neoddělitelnou od linky.
  • „Může konkurent na vaší lince vidět můj firmware?" Ne. Výrobní buňky jsou fyzicky odděleny; programovací stanice zapisují z uzavřeného trezoru.
  • „Co když programátor odejde?" Jejich přístup je zrušen ve stejný den; protokol auditu trezoru zaznamenává každé čtení.
  • „Provádíte zpětnou analýzu?" Smluvně zakázáno; technicky bezúčelné — jsme montér, ne chipová firma.

Pro citlivé projekty zákazníci mohou dodat předflashované MCU, dodat prázdné nebo použít jednorázově programovatelné pojistky po FCT.

Uchovávání dat, výmaz a práva auditu

Okna uchovávání středního EU EMS jsou vázána na záruční povinnost a pravidla dohledatelnosti IPC (desetileté uchovávání NENÍ výchozím nastavením GDPR — je to volba zákazníka pro bezpečnostně kritická odvětví). Standardní uchovávání Energetika-VDS:

  • Korespondence nabídky a e-mail: 36 měsíců
  • BOM, Gerbers, P&P: záruční okno + 12 měsíců
  • Binární soubor firmwaru: pouze záruční okno
  • Dohledatelnost JSON (operátor + sériové číslo + šarže): 10 let pro IPC Class 3, 5 let pro Class 2
  • Obrázky AOI: 6 měsíců, pokud zákazník nevyžaduje delší

Zákazníci mohou auditovat nakládání s daty na výzvu 30 dní. Jsme alternativou k JLCPCB právě proto, že toto právo auditu je zde vymahatelné a efektivně nevymahatelné v Shenzhenu.

Praktická doporučení

  • Pro nízkosériovou montáž PCB v Evropě odstraní EU EMS jeden celý compliance vektor za mírný cenový příplatek.
  • Zahrňte přílohu k ochraně dat do svého RFQ. Podepíšeme. Většina asijských firem ne.
  • Vyžádejte si diagram datového toku. Pokud ho EMS nedokáže vytvořit za týden, odejděte.
  • Ověřte seznam sub-zpracovatelů. Subdodavatelská programovací nebo testovací práce vyžaduje stejný průtok.
  • Při žádosti o nabídku upozorněte předem na jakoukoliv expozici osobních dat, aby rozsah NDA odpovídal realitě.

Nejčastější dotazy

Je GDPR relevantní pro PCBA? Ano, kdykoli projektové soubory nesou osobní údaje — jména dodavatelů, vložené ID uživatelů, telemetrické endpointy vázané na osoby nebo záznamy dohledatelnosti propojující operátory s jednotkami. Pro většinu komerční elektroniky je odpověď „ano, omezeně".

Co moje IP firmwaru? Binární soubory firmwaru jsou uloženy šifrovaně, přístupné pouze přes přihlašovací údaje programovací stanice a smazány na konci záruky. Zpětná analýza je smluvně zakázána a provozně není tím, co montér dělá. Zákazníci vyžadující maximální kontrolu mohou dodat předflashovaná zařízení.

Jaké jsou normy EU EMS pro uchovávání dat? BOM a Gerbers: záruční okno plus 12 měsíců. Firmware: pouze záruční okno. Dohledatelnost: 10 let pro IPC Class 3, 5 let pro Class 2. Obrázky AOI: 6 měsíců výchozí. Vše přepisovatelné zákazníkem.

Je NDA standardní? Ano, podepsáno oboustranně před příjmem souborů. Energetika-VDS poskytuje standardní vzájemné NDA v angličtině; podepíšeme také šablonu zákazníka, je-li rozumná. Rozhodné právo je vyjednávatelné; místo výchozí Skopje s EU uznávanou arbitrážní možností.

Existují zvláštní ochrany pro obranné nebo dual-use projekty? Ano — oddělená buňka, jmenovaní operátoři, žádné subdodavatelské programování, zákazníkem přítomné otevření linky a vzduchově izolované trezory firmwaru. Požadavky projednávejte při kalkulaci.

Přejít s tímto do sériové výroby

Pokud zrovna pracujete na podkladech nebo přípravě testů, kterých se tento článek týká, rádi se podíváme na to, co máte.

Pošlete soubory k posouzení Zobrazit schopnosti