abra_logo.png

Jak vyhovět požadavkům GDPR

Efektivní ochrana osobních dat v systému ABRA Gen vyhoví nejen požadavkům nařízení GDPR – nabídne pokročilé nástroje, které umožní přesně určit, kdo má k vybraným údajům přístup a jak s nimi nakládá.

Kontaktujte nás

Diagram spojenectví GDPR

Nezapomeňte na nic důležitého a vytvořte si akční plán.

Sebelepší software sám o sobě firmu na GDPR nepřipraví. Každý podnikatel musí analyzovat a dle potřeby změnit firemní procesy, při kterých se pracuje s osobními údaji.

Co je třeba stihnout?

Pozn.: Zaškrtněte nutné kroky, zvolte si termín do kdy je potřebujete zvládnout a uložte událost do svého kalendáře.

Provést analýzu procesů s využitím formuláře ZDARMA.
Provést analýzu procesů
Zahájit získávání souhlasů podle GDPR (v systému ABRA Gen je možné souhlasy ukládat již od aktuální verze).
Zahájit získávání souhlasů
Konzultace s právním poradcem (úprava smluv s odběrateli, dodavateli, zaměstnanci, adaptace interních směrnic apod.)
Konzultace s právním poradcem
Změna firemních procesů podle zjištění z analýzy a konzultací.
Změna firemních procesů
Shromáždění všech nosičů osobních údajů a plán jejich likvidace, archivace či přepisu.
Shromáždění všech nosičů
Revize technologií a informačních systémů – plán implementace změn (náhrady používaného SW, propojení jednotlivých systémů a jejich správné nastavení).
Revize technologií a informačních systémů
Provést potřebné změny zabezpečení dat včetně úprav IT systémů nebo vybrat systém fungující v souladu s GDPR.
Provést změny zabezpečení dat
Školení zaměstnanců včetně školení správného používání informačních systémů.
Školení zaměstnanců
Nastavit zabezpečení dat proti úniku a zajistit všechny potřebné záznamy.
Nastavit zabezpečení dat
Další kroky dle specifických podmínek firmy (např. zřízení pozice DPO).
Další kroky

Využít můžete také náš PDF formulář, do něhož si lze zapsat důležité termíny a poznámky.

Všechny kroky je třeba stihnout do 25. května 2018, kdy nařízení GDPR vejde v platnost. Jakékoliv změny ve firemních procesech doporučujeme konzultovat s právním poradcem.



Je váš informační systém připraven na GDPR?

Pokud ano, umí:

  • poradit si s GDPR napříč celou firmou – práci vám nepřidá, ale ulehčí
  • odlišit a ochránit osobní údaje, třeba i pseudonymizací
  • kontrolovat, kdo se k údajům dostane a jak s nimi nakládá
  • generovat potřebné výpisy, archivovat požadavky osob a v případě potřeby umožnit kompletní výmaz údajů
  • sledovat a archivovat veškerou manipulaci s daty včetně jejich zobrazení a kdykoliv dohledat, co se s údaji dělo
  • zohlednit udělené souhlasy i nakládání s informacemi na základě smluv či zákona
  • chránit osobní údaje napříč různými procesy, ať už jde o mzdy, finance, marketing či CRM

Informační systém ABRA Gen je na GDPR připraven. ABRA Software tak poskytuje účinný nástroj, který vám pomůže nakládat s osobními údaji v souladu s GDPR.

GDPR aktuálně

  • Zajímavá infografika, která ukazuje, co zásadního přináší GDPR.

  • Princip nového systému ochrany dat v informačním systému ABRA Gen názorně vysvětluje naše video. Jedná se o první část ze série na téma GDPR.

  • Jaké jsou nejčastější otázky k obecnému nařízení GDPR, na které je dotazován Úřad pro ochranu osobních údajů? Podívejte se zde. Nově přibyla sekce s dotazy provozovatelů e-shopů.

  • Jak definovat souhlas podle GDPR? Přečtěte si dokument Pracovní skupiny W29, který obsahuje vodítka podávající zevrubnou analýzu pojmu „souhlas“ podle GDPR. Popisuje rozdíly od interpretace v současné úpravě o ochraně osobních údajů a nabízí praktický návod, jak zajistit soulad právě s obecným nařízením.

  • Na začátku prosince ABRA Software pořádal v moderní učebně CIIRC praktický workshop na téma GDPR. Sešla se zde téměř stovka posluchačů, kteří nestihli, nebo se nemohli zúčastnit původního workshopu z konference ABRA Innovation Day 2017. Podívejte se na záznam celého workshopu.

  • Úřad pro ochranu osobních údajů průběžně zveřejňuje aktuální dokumenty Pracovní skupiny WP29 k GDPR. Skupina nyní vydala i některé jejich oficiální české překlady. Úřad sám pak přeložil vodítka k profilování.

  • Právo na soukromí máme všichni. Nové evropské nařízení o ochraně osobních údajů mnozí vnímají jen jako další výmysl a úřednickou šikanu, ale jeho smyslem je chránit jednu z nejcennějších věcí, které každý z nás má – soukromí.

  • Na základě požadavků ze strany zákazníků připravujeme sérii workshopů na téma ochrany dat v informačním systému s důrazem na ochranu osobních údajů o GDPR. Chcete být informováni o vypsaných termínech workshopů? Napište nám o tom do poznámky v kontaktním formuláři.

  • Pro úspěšný přechod na novou úroveň ochrany osobních údajů dle GDPR je třeba analyzovat všechny firemní procesy, při nichž dochází ke zpracování osobních údajů. Připravili jsme pro vás interaktivní formulář, který vám s analýzou pomůže.

  • Představení nové úrovně ochrany dat v ABRA Gen na konferenci ABRA Innovation Day. Stáhněte si prezentace: GDPR: ochrana osobních údajů, Workshop: Ochrana dat (GDPR)

  • Definován základní způsob řešení GDPR v informačním systému ABRA Gen. Informační systém ABRA Gen bude fungovat plně v souladu s nařízením GDPR.

  • Probíhá detailní analýza problematiky GDPR a jejího vlivu na informační systém.

  • Schválení obecného nařízení o ochraně osobních údajů GDPR (General Data Protection Regulation)

Odpovídáme na vaše dotazy

Není tomu tak, správně fungující informační systém je pouze jedním z několika bodů, které je třeba do platnosti evropského nařízení vyřešit. Bude nutné získat potřebné souhlasy, upravit smlouvy, vnitřní směrnice, proškolit zaměstnance a používaný informační systém správně nastavit s ohledem na konkrétní procesy ve firmě. Všechny potřebné kroky k úspěšnému zvládnutí GDPR jsme pro vás sepsali na naší stránce.

Ne, jako každý informační systém, také ABRA Gen je třeba nejprve správně nastavit a využívat – pokud například bude rodné číslo v položce, která není pro zpracování rodného čísla určena (např. v položce IČ) nebo nebude ke zpracování udělen souhlas, samotný informační systém ochranu dat nezaručí. Na začátku je třeba analyzovat procesy, při kterých jsou osobní údaje zpracovávány a podle toho včas upravit vše potřebné. Pak systém nabízí skutečně vysokou míru zabezpečení.

Osobní údaje nebude možné zpracovávat bez právního důvodu. Souhlas je jedním z nich. Dalšími důvody mohou být například smlouva či zákonné požadavky (například na archivaci smluv, zákonné záruky apod.). V systému ABRA Gen bude možné evidovat, na jakém právním základě lze s danými údaji zacházet, tedy zda, za jakým účelem a na jak dlouhou dobu byl udělen souhlas, případně po jaké zákonné lhůtě je možné či nutné údaje vymazat. Pro konkrétní nastavení a práci s údaji je vhodné všechny typy údajů nejprve analyzovat a optimální způsob konzultovat s právním poradcem.

Budou vytvořeny tzv. vzory definic, které budou uživatelé moci využít pro práci s osobními údaji, nebo je využít pro vlastní nastavení. Bude však třeba od počátku nastavit, jaké údaje budou ochraně podléhat, určit míru oprávnění pro různé osoby (např. jiné údaje uvidí mzdová účetní, jiné majitel firmy) a již předem zvážit všechny potřebné úpravy systému podle svých konkrétních potřeb. K tomuto účelu je vhodné provést nejprve analýzu všech firemních procesů, při nichž je nakládáno s osobními údaji. V základní verzi ABRA Gen budou bezplatně k dispozici určené skupiny položek umožňujících ochranu, pokročilejší zabezpečení bude možné řešit v rámci rozšířené verze systému nebo na zakázku.

Ochrana údajů bude organicky prorůstat celým systémem ABRA Gen, tzn. bude možné ji nastavit na všechna definovaná pole s osobními údaji a bude fungovat stejně i v cloudu či přes API.

Pokročilá ochrana osobních a citlivých dat v systému ABRA Gen:

Nový generický systém ochrany osobních a citlivých dat přesahující potřeby GDPR

Nástroje umožňující chránit jakoukoliv položku jakékoliv třídy objektů v ABRA Gen, včetně uživatelsky definovaných

Nástroje pro výpis, export či výmaz dat a evidence žádostí o tyto úkony včetně jejich řešení

Šifrovaná komunikace mezi klientskou stranou a aplikačním serverem (https)

Nová agenda Definice ochrany dat chráněná nastavitelnými přístupovými právy a navázaná agenda Povolení ke zpracování dat pro osobní údaje

Odlišná úroveň uživatelských oprávnění garantující přístup pouze oprávněným uživatelům a pouze po dobu, na kterou byl souhlas poskytnut nebo pro něj existuje právní důvod

Logování zpracování dat – včetně jejich čtení/zobrazení

V základní verzi budou chráněny systémové položky v adresářích firem a osob

Nařízení GDPR podrobně

Co je GDPR

General Data Protection Regulation (GDPR) je nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Bylo přijato v dubnu letošního roku, je závazné pro všechny členské státy a vejde v platnost 25. května 2018.

Cílem tohoto nařízení je hájit práva občanů proti neoprávněnému zacházení s jejich citlivými daty a osobními údaji. Tato pravidla respektují právo na ochranu osobních údajů občanů bez ohledu na jejich státní příslušnost nebo bydliště.

Koho se GDPR týká

Ochrana upravená tímto nařízením se týká zpracování osobních údajů fyzických osob. Ochrana fyzických osob se vztahuje jak na automatizované, tak manuální zpracování osobních údajů, pokud jsou údaje uloženy v evidenci nebo do ní mají být vloženy. Zásady ochrany údajů se vztahují na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby.

Nařízení platí pro firmy, instituce i jednotlivce ze všech odvětví, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů.

GDPR se rovněž věnuje ochraně digitálních práv občanů a zahrnuje i subjekty, které sledují či analyzují chování uživatelů na webu.

V případě závažného porušení mohou firmám hrozit postihy a vysoké pokuty (až 20 mil. EUR nebo až 4 % celosvětového ročního obratu).

Jaké zásadní změny GDPR přinese

  • Občané získají právo na výmaz údajů a jeho rozšíření na právo být zapomenut, tzn. správce musí v takovém případě všechny osobní údaje vymazat, pokud neexistuje právní důvod pro jejich další zpracování.
  • Občanům musí být umožněn přístup k údajům, které jsou o nich shromažďovány, a to ideálně přímo a online.
  • Občané budou mít právo vznést námitku proti zpracování osobních údajů, na jejímž základě nebude moci správce údaje dále zpracovávat, nebude-li k tomu mít prokazatelné důvody.
  • Osobními údaji se nově rozumí rovněž technické parametry jako e-mail, IP adresa nebo soubory cookies v zařízení uživatele. Přibyla také kategorie genetických a biometrických údajů.

Jaké povinnosti ukládá GDPR institucím a firmám

Nové nařízení GDPR rozšiřuje a upřesňuje stávající právní normy o ochraně a zabezpečení osobních údajů. Základní principy se tedy nemění, nově však podnikatelům vznikají tyto povinnosti:

  • zpracovávat osobní data pouze k oprávněným účelům a jen po nezbytně nutnou dobu
  • zabezpečit osobní data před neoprávněnými osobami
  • zajistit ohlašovací povinnost v případě zjištění úniku dat
  • poskytnout subjektům údajů právo na:
    • výpis
    • výmaz (zapomenutí)
    • přenositelnost
  • vést záznamy o zpracování osobních údajů, spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit
  • vypracovat posouzení vlivu na ochranu osobních údajů (DPIA)
  • ve vybraných případech zavést tzv. pseudonymizaci – zpracovávat osobní údaje tak, aby nemohly být přiřazeny konkrétní osobě bez použití dalších, odděleně uchovávaných informací
  • ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a subjektům údajů
  • ustavit v některých případech pověřence pro ochranu osobních údajů (DPO)

Základní pojmy dle GDPR

Co jsou osobní údaje?

Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

DPO

Nařízení GDPR vytváří zcela novou pracovní pozici Pověřence pro ochranu osobních údajů (Data Protection Officer), jehož ustanovení bude pro některé subjekty povinné. Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení. DPO provádí interní audity, školení pracovníků a celkové řízení agendy interní ochrany dat.

DPIA

Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment) je odborný posudek, který musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob.

Subjekt údajů

Fyzická osoba, k níž se osobní údaje vztahují.

Správce osobních údajů

Každá firma, úřad či instituce, která během své činnosti shromažďuje, zpracovává a uchovává osobní či citlivá data.

Zpracovatel osobních údajů

Každá fyzická nebo právnická osoba či jiný subjekt, který zpracovává osobní údaje. Zpracovatelem je každý, kdo má přístup k osobním údajům.

Máte ohledně GDPR další dotazy?

Zdroje informací a odkazy

Pokud vás zajímají další podrobnosti o problematice GDPR, můžete navštívit stránku s praktickými informacemi a radami, stáhnout si kompletní znění nařízení GDPR nebo prohledat stránky Úřadu pro ochranu osobních údajů.