Jak vyhovět požadavkům GDPR

Efektivní ochrana osobních dat v systému ABRA Gen vyhoví nejen požadavkům nařízení GDPR – nabídne pokročilé nástroje, které umožní přesně určit, kdo má k vybraným údajům přístup a jak s nimi nakládá.

ABRA plně podporuje GDPR

Chrání váš informační systém osobní údaje v souladu s GDPR?

Pokud ano, umí:

  • poradit si s GDPR napříč celou firmou – práci vám nepřidá, ale ulehčí
  • odlišit a ochránit osobní údaje, třeba i pseudonymizací
  • kontrolovat, kdo se k údajům dostane a jak s nimi nakládá
  • generovat potřebné výpisy, archivovat požadavky osob a v případě potřeby umožnit kompletní výmaz údajů
  • sledovat a archivovat veškerou manipulaci s daty včetně jejich zobrazení a kdykoliv dohledat, co se s údaji dělo
  • zohlednit udělené souhlasy i nakládání s informacemi na základě smluv či zákona
  • chránit osobní údaje napříč různými procesy, ať už jde o mzdy, finance, marketing či CRM

Informační systém ABRA Gen chrání data dle GDPR. ABRA Software tak poskytuje účinný nástroj, který vám pomůže nakládat s osobními údaji v souladu s GDPR.

Pokročilá ochrana osobních a citlivých dat v systému ABRA Gen:

Nový generický systém ochrany osobních a citlivých dat přesahující potřeby GDPR.

Nástroje umožňující chránit jakoukoliv položku jakékoliv třídy objektů v ABRA Gen, včetně uživatelsky definovaných.

Nástroje pro výpis, export či výmaz dat a evidence žádostí o tyto úkony včetně jejich řešení.

Šifrovaná komunikace mezi klientskou stranou a aplikačním serverem (https).

Nová agenda Definice ochrany dat chráněná nastavitelnými přístupovými právy a navázaná agenda Povolení ke zpracování dat pro osobní údaje.

Odlišná úroveň uživatelských oprávnění garantující přístup pouze oprávněným uživatelům a pouze po dobu, na kterou byl souhlas poskytnut nebo pro něj existuje právní důvod.

Logování zpracování dat – včetně jejich čtení/zobrazení.

V základní verzi jsou chráněny systémové položky v adresářích firem a osob.

Efektivní ochrana osobních dat v systému ABRA Gen vyhoví nejen požadavkům nařízení GDPR – nabídne pokročilé nástroje, které umožní přesně určit, kdo má k vybraným údajům přístup a jak s nimi nakládá.

Odpovídáme na vaše dotazy

Není tomu tak, správně fungující informační systém je pouze jedním z několika bodů, které je třeba do platnosti evropského nařízení vyřešit. Bude nutné získat potřebné souhlasy, upravit smlouvy, vnitřní směrnice, proškolit zaměstnance a používaný informační systém správně nastavit s ohledem na konkrétní procesy ve firmě. Všechny potřebné kroky k úspěšnému zvládnutí GDPR jsme pro vás sepsali na naší stránce.

Ne, jako každý informační systém, také ABRA Gen je třeba nejprve správně nastavit a využívat – pokud například bude rodné číslo v položce, která není pro zpracování rodného čísla určena (např. v položce IČ) nebo nebude ke zpracování udělen souhlas, samotný informační systém ochranu dat nezaručí. Na začátku je třeba analyzovat procesy, při kterých jsou osobní údaje zpracovávány a podle toho včas upravit vše potřebné. Pak systém nabízí skutečně vysokou míru zabezpečení.

Osobní údaje nebude možné zpracovávat bez právního důvodu. Souhlas je jedním z nich. Dalšími důvody mohou být například smlouva či zákonné požadavky (například na archivaci smluv, zákonné záruky apod.). V systému ABRA Gen bude možné evidovat, na jakém právním základě lze s danými údaji zacházet, tedy zda, za jakým účelem a na jak dlouhou dobu byl udělen souhlas, případně po jaké zákonné lhůtě je možné či nutné údaje vymazat. Pro konkrétní nastavení a práci s údaji je vhodné všechny typy údajů nejprve analyzovat a optimální způsob konzultovat s právním poradcem.

Budou vytvořeny tzv. vzory definic, které budou uživatelé moci využít pro práci s osobními údaji, nebo je využít pro vlastní nastavení. Bude však třeba od počátku nastavit, jaké údaje budou ochraně podléhat, určit míru oprávnění pro různé osoby (např. jiné údaje uvidí mzdová účetní, jiné majitel firmy) a již předem zvážit všechny potřebné úpravy systému podle svých konkrétních potřeb. K tomuto účelu je vhodné provést nejprve analýzu všech firemních procesů, při nichž je nakládáno s osobními údaji. V základní verzi ABRA Gen budou bezplatně k dispozici určené skupiny položek umožňujících ochranu, pokročilejší zabezpečení bude možné řešit v rámci rozšířené verze systému nebo na zakázku.

Ochrana údajů bude organicky prorůstat celým systémem ABRA Gen, tzn. bude možné ji nastavit na všechna definovaná pole s osobními údaji a bude fungovat stejně i v cloudu či přes API.

Začínáte s GDPR? Nezapomeňte na nic důležitého a vytvořte si akční plán.

Sebelepší software sám o sobě firmu na GDPR nepřipraví. Každý podnikatel musí analyzovat a dle potřeby změnit firemní procesy, při kterých se pracuje s osobními údaji.

Co je třeba udělat?

Pozn.: Zaškrtněte nutné kroky, zvolte si termín do kdy je potřebujete zvládnout a uložte událost do svého kalendáře.

  • Provést analýzu procesů s využitím formuláře ZDARMA.
  • Zahájit získávání souhlasů podle GDPR (v systému ABRA Gen je možné souhlasy ukládat již od aktuální verze).
  • Konzultace s právním poradcem (úprava smluv s odběrateli, dodavateli, zaměstnanci, adaptace interních směrnic apod.)
  • Změna firemních procesů podle zjištění z analýzy a konzultací.
  • Shromáždění všech nosičů osobních údajů a plán jejich likvidace, archivace či přepisu.
  • Revize technologií a informačních systémů – plán implementace změn (náhrady používaného SW, propojení jednotlivých systémů a jejich správné nastavení).
  • Provést potřebné změny zabezpečení dat včetně úprav IT systémů nebo vybrat systém fungující v souladu s GDPR.
  • Školení zaměstnanců včetně školení správného používání informačních systémů. Nastavit zabezpečení dat proti úniku a zajistit všechny potřebné záznamy.
  • Další kroky dle specifických podmínek firmy (např. zřízení pozice DPO).

Využít můžete také náš PDF formulář, do něhož si lze zapsat důležité termíny a poznámky.

Stáhněte si interaktivní formulář Analýza zpracování osobních údajů pro potřeby GDPR (CZ)

Jakékoliv změny ve firemních procesech doporučujeme konzultovat s právním poradcem.

Nařízení GDPR podrobně

Co je GDPR

General Data Protection Regulation (GDPR) je nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Bylo přijato v dubnu letošního roku, je závazné pro všechny členské státy a vejde v platnost 25. května 2018.

Cílem tohoto nařízení je hájit práva občanů proti neoprávněnému zacházení s jejich citlivými daty a osobními údaji. Tato pravidla respektují právo na ochranu osobních údajů občanů bez ohledu na jejich státní příslušnost nebo bydliště.

Koho se GDPR týká

Ochrana upravená tímto nařízením se týká zpracování osobních údajů fyzických osob. Ochrana fyzických osob se vztahuje jak na automatizované, tak manuální zpracování osobních údajů, pokud jsou údaje uloženy v evidenci nebo do ní mají být vloženy. Zásady ochrany údajů se vztahují na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby.

Nařízení platí pro firmy, instituce i jednotlivce ze všech odvětví, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů.

GDPR se rovněž věnuje ochraně digitálních práv občanů a zahrnuje i subjekty, které sledují či analyzují chování uživatelů na webu.

V případě závažného porušení mohou firmám hrozit postihy a vysoké pokuty (až 20 mil. EUR nebo až 4 % celosvětového ročního obratu).

Jaké zásadní změny GDPR přináší

  • Občané získávají právo na výmaz údajů a jeho rozšíření na právo být zapomenut, tzn. správce musí v takovém případě všechny osobní údaje vymazat, pokud neexistuje právní důvod pro jejich další zpracování.
  • Občanům musí být umožněn přístup k údajům, které jsou o nich shromažďovány, a to ideálně přímo a online.
  • Občané mají právo vznést námitku proti zpracování osobních údajů, na jejímž základě nebude moci správce údaje dále zpracovávat, nebude-li k tomu mít prokazatelné důvody.
  • Osobními údaji se nově rozumí rovněž technické parametry jako e-mail, IP adresa nebo soubory cookies v zařízení uživatele. Přibyla také kategorie genetických a biometrických údajů.

Jaké povinnosti ukládá GDPR institucím a firmám

Nové nařízení GDPR rozšiřuje a upřesňuje stávající právní normy o ochraně a zabezpečení osobních údajů. Základní principy se tedy nemění, nově však podnikatelům vznikají tyto povinnosti:

  • zpracovávat osobní data pouze k oprávněným účelům a jen po nezbytně nutnou dobu
  • zabezpečit osobní data před neoprávněnými osobami
  • zajistit ohlašovací povinnost v případě zjištění úniku dat
  • poskytnout subjektům údajů právo na:
    • výpis
    • výmaz (zapomenutí)
    • přenositelnost
  • vést záznamy o zpracování osobních údajů, spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit
  • vypracovat posouzení vlivu na ochranu osobních údajů (DPIA)
  • ve vybraných případech zavést tzv. pseudonymizaci – zpracovávat osobní údaje tak, aby nemohly být přiřazeny konkrétní osobě bez použití dalších, odděleně uchovávaných informací
  • ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a subjektům údajů
  • ustavit v některých případech pověřence pro ochranu osobních údajů (DPO)

Základní pojmy dle GDPR

Co jsou osobní údaje?

Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

DPO

Nařízení GDPR vytváří zcela novou pracovní pozici Pověřence pro ochranu osobních údajů (Data Protection Officer), jehož ustanovení bude pro některé subjekty povinné. Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení. DPO provádí interní audity, školení pracovníků a celkové řízení agendy interní ochrany dat.

DPIA

Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment) je odborný posudek, který musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob.

Subjekt údajů

Fyzická osoba, k níž se osobní údaje vztahují.

Správce osobních údajů

Každá firma, úřad či instituce, která během své činnosti shromažďuje, zpracovává a uchovává osobní či citlivá data.

Zpracovatel osobních údajů

Každá fyzická nebo právnická osoba či jiný subjekt, který zpracovává osobní údaje. Zpracovatelem je každý, kdo má přístup k osobním údajům.

Máte ohledně GDPR další dotazy?

Mám zájem o předvedení [post_title] CZ