Krátka odpoveď: GDPR je relevantné pre osadzovanie DPS vždy, keď Vaše projektové súbory nesú identifikovateľné osobné údaje — mená dodávateľov, ID viazané na zariadenie, vstavané servisné účty alebo logy testovacích prípravkov s ID operátorov. Poskytovatelia EMS so sídlom v EÚ ako Energetika-VDS fungujú v rámci jediného, vymáhateľného režimu ochrany údajov s občianskoprávnymi opravnými prostriedkami; čínski poskytovatelia fungujú podľa PIPL a Zákona o kybernetickej bezpečnosti Číny, kde je štátny prístup k obchodným údajom v definovaných prípadoch zákonne vynútený.
Pre väčšinu kupujúcich elektroniky znie "ochrana údajov v osadzovaní DPS" ako HR téma. Nie je. Vaša BOM obsahuje zoznam Vašich dodávateľov, Váš firmware obsahuje Vaše algoritmy, Vaše testovacie správy obsahujú Vaše výťažky a Vaše prípravky kódujú Vašu testovaciu stratégiu. Kde tieto údaje žijú — a kto môže byť donútený k ich zverejneniu — je obchodné rozhodnutie, nie poznámka pod čiarou súladu.
Prečo sa GDPR dotýka osadzovania DPS
GDPR (Nariadenie EÚ 2016/679) reguluje spracovanie osobných údajov obyvateľov EÚ. Osadzovanie DPS vyzerá ako B2B technická služba, ale niekoľko dotykových bodov prekračuje hranicu:
- Súbory BOM často obsahujú mená a e-maily inžinierov, distribútorov a zmluvných dizajnérov.
- Binárky firmwaru môžu obsahovať skompilované servisné účty, telemetrické endpointy spojené s identifikovateľnými používateľmi alebo kryptografické kľúče spojené s pomenovanými jednotlivcami.
- E-maily so spätnou väzbou DFM sú osobnou korešpondenciou z definície.
- Záznamy sledovateľnosti vyrobené počas osadzovania DPS spájajú ID operátora s konkrétnymi sériovými číslami — to sú osobné údaje podľa článku 4(1).
- Nahrávania v štádiu cenovej ponuky do odhadovača ponuky nesú IP adresy a kontaktné metadáta.
V okamihu, keď čokoľvek z vyššie uvedeného vstúpi do systému EMS, GDPR sa zapája. Otázka nie je "platí to?", ale "je vzťah správca-spracovateľ čistý?"
EU EMS vs čínski poskytovatelia: právny rámec
| Jurisdikcia | Hlavný zákon | Pravidlo cezhraničného prevodu | Ustanovenia o štátnom prístupe | Občianskoprávny opravný prostriedok pri porušení |
|---|---|---|---|---|
| EÚ (vrátane Energetika-VDS v MK ako strana PEM, zarovnané s GDPR) | GDPR + národný DPA | Článok 45 primeranosť / SCC | Iba súdny príkaz | Až 4 % globálnych príjmov |
| Čína (JLCPCB, PCBWay) | PIPL + Zákon o kybernetickej bezpečnosti | Bezpečnostné posúdenie CAC pre export | Článok 7 Zákona o kybernetickej bezpečnosti — povinná spolupráca | Obmedzené, podľa súdnej úvahy |
| Švajčiarsko / Nórsko (primeranosť) | revFADP / Zákon o osobných údajoch | Ekvivalent článku 45 | Iba súdny príkaz | Porovnateľné s GDPR |
| Spojené štáty | Štátna mozaika (CCPA atď.) | Žiadne pre B2B typu osadzovanie DPS | FISA 702, CLOUD Act | Sektorové |
Rámec PIPL v Číne obsahuje ustanovenia (článok 41) umožňujúce prevod čínskym orgánom mimo Číny iba so súhlasom čínskej vlády — čo znamená, že Vaša BOM, ak ju požiada regulátor EÚ, nemôže byť vrátená bez súhlasu Pekingu. Pre väčšinu spotrebnej elektroniky je to irelevantné. Pre projekty blízke obrane, medicíne, dvojakému použitiu alebo kritickej infraštruktúre je to materiálne.
Ako vyzerá "manipulácia s údajmi" v stredne veľkom EU EMS
Keď zákazník angažuje Energetika-VDS, dátový reťazec beží nasledovne:
- NDA podpísané predtým, než pristane akýkoľvek technický súbor. Bilaterálne, vzájomné, riadené macedónskym právom s opciou EU sudiska.
- Súbory nahrávané cez TLS do nášho ponukového portálu; metadáta sú zo súborov PDF stripnuté.
- BOM importovaný do MES pre získavanie komponentov; mená dodávateľov sú viditeľné iba pre nákupný oddiel.
- Gerbery, pick-and-place a firmware archivované v projektovej trezorovej miestnosti, šifrované v pokoji (AES-256).
- Prístup operátorov je podľa rolí; operátori linky vidia ID prác, nie mená zákazníkov.
- Po vypršaní záručnej doby (typicky 24 mesiacov po finálnej zásielke) sú súbory bezpečne vymazané — úroveň NIST SP 800-88 Purge.
- Záznamy sledovateľnosti spájajúce operátora - sériové číslo sa uchovávajú podľa zásad kvality-sledovateľnosti a IPC-1782.
Úplný proces je zdokumentovaný v výrobnom procese a v našej kontrole a testovaní.
Firmware a IP: konkrétne obavy
Firmware je najrizikovejším artefaktom v zmluve o osadzovaní DPS. Zákazníci sa pýtajú:
- "Ak nahrávate moju binárku, držíte kópiu?" Áno — počas záručnej doby — šifrovanú a neextrahovateľnú z linky.
- "Môže konkurent na Vašej linke vidieť môj firmware?" Nie. Výrobné bunky sú fyzicky oddelené; programovacie stanice zapisujú zo zapečateného trezora.
- "Čo ak programátor odíde?" Jeho prístup je odňatý v ten istý deň; audit log trezora zobrazuje každé čítanie.
- "Robíte reverzné inžinierstvo?" Zmluvne zakázané; technicky nezmyselné — sme osadzovacia spoločnosť, nie čipový dom.
Pre citlivé projekty môžu zákazníci dodať predprogramované MCU, expedovať prázdne alebo použiť jednorazovo programovateľné poistky po FCT.
Uchovávanie údajov, mazanie a práva auditu
Okná uchovávania stredne veľkých EU EMS sú viazané na záručnú povinnosť a na pravidlá sledovateľnosti IPC (uchovávanie 10 rokov nie je predvolenou hodnotou GDPR — je to voľba riadená zákazníkom pre bezpečnostne kritické odvetvia). Štandardné uchovávanie Energetika-VDS:
- Ponuka a e-mailová korešpondencia: 36 mesiacov
- BOM, Gerbery, P&P: záručná doba + 12 mesiacov
- Binárka firmwaru: iba záručná doba
- JSON sledovateľnosti (operátor + sériové č. + šarža): 10 rokov pre IPC Class 3, 5 rokov pre Class 2
- AOI obrázky: 6 mesiacov, pokiaľ zákazník nevyžaduje dlhšie
Zákazníci môžu auditovať manipuláciu s údajmi s 30-dňovým predstihom. Sme alternatíva k JLCPCB presne preto, že právo auditu je tu vymáhateľné a v Shenzhene fakticky nevymáhateľné.
Praktické odporúčania
- Pre osadzovanie DPS s nízkym objemom v Európe EU EMS odstraňuje celý jeden vektor súladu pri miernej cenovej prirážke.
- Zahrňte prílohu o ochrane údajov do Vášho RFQ. Podpíšeme ju. Väčšina ázijských dielní nie.
- Pýtajte si diagram dátového toku. Ak ho EMS nedokáže predložiť za týždeň, choďte preč.
- Overte zoznam sub-spracovateľov. Subkontraktovaná práca programovania alebo testovania potrebuje rovnaký tok.
- Keď žiadate o ponuku, označte akékoľvek vystavenie osobných údajov vopred, aby rozsah NDA zodpovedal realite.
Často kladené otázky
Je GDPR relevantné pre osadzovanie DPS? Áno, vždy keď projektové súbory nesú osobné údaje — mená dodávateľov, vstavané ID používateľov, telemetrické endpointy viazané na ľudí alebo záznamy sledovateľnosti spájajúce operátorov s jednotkami. Pre väčšinu komerčnej elektroniky je odpoveď "áno, v obmedzenom zmysle."
Čo s mojím IP firmwaru? Binárky firmwaru sú uložené šifrované, prístupné iba s prihlasovacími údajmi programovacej stanice a vymazané na konci záruky. Reverzné inžinierstvo je zmluvne zakázané a operatívne to nie je to, čo robí osadzovacia spoločnosť. Zákazníci chcúci maximálnu kontrolu môžu dodať predprogramované zariadenia.
Aké sú normy uchovávania údajov v EU EMS? BOM a Gerbery: záručná doba plus 12 mesiacov. Firmware: iba záručná doba. Sledovateľnosť: 10 rokov pre IPC Class 3, 5 rokov pre Class 2. AOI obrázky: predvolených 6 mesiacov. Všetko prepisuje zákazník.
Je NDA štandardom? Áno, podpisuje sa bilaterálne pred príchodom súborov. Energetika-VDS poskytuje štandardné vzájomné NDA v angličtine; podpíšeme aj šablónu zákazníka, ak je rozumná. Riadiace právo je obchodovateľné; sudisko predvolene Skopje s možnosťou arbitráže uznávanej EÚ.
Existujú dodatočné ochrany pre obranné alebo dvojako-použiteľné projekty? Áno — oddelená bunka, pomenovaní operátori, žiadne subkontraktované programovanie, otváranie linky pozorované zákazníkom a air-gapped trezory firmwaru. Požiadavky diskutujte pri ponuke.