abra_logo.png

Jak vyhovět požadavkům GDPR

Efektivní ochrana osobních dat v systému ABRA Gen vyhoví nejen požadavkům nařízení GDPR – nabídne pokročilé nástroje, které umožní přesně určit, kdo má k vybraným údajům přístup a jak s nimi nakládá.

Kontaktujte nás

Diagram spojenectví GDPR

10 kroků k úspěšnému zvládnutí GDPR:

1

Analyzujte všechny firemní procesy, při nichž nakládáte s osobními údaji. Využijte náš interaktivní formulář pro analýzu firemních procesů v rámci příprav na GDPR. Ke stažení zdarma.

2

Konzultujte výsledky analýzy a následné kroky s profesionálním právním poradcem, který definuje úkony potřebné právě pro vaše podnikání. Ten také vyhodnotí, zda je například nutné ustanovit DPO (Data Protection Officer) ,provést přípravu analýzy rizik či podniknout další kroky určené pouze některým společnostem.

3

Připravte si akční plán, podle něhož budete postupovat tak, aby všechny potřebné změny proběhly k datu platnosti nařízení – 25. května 2018.

4

Ve spolupráci s právním poradcem zrevidujte a dle potřeby upravte vnitřní směrnice.

5

Proveďte potřebné změny zabezpečení dat včetně úprav IT systémů, případně zvolte systém, který bude požadavkům GDPR vyhovovat a usnadní vám tak přechod na nová pravidla a práci s daty.

6

Naplánujte a realizujte nezbytná školení zaměstnanců v nakládání s osobními údaji, pečlivě definujte a nastavte míru jejich oprávnění.

7

Revidujte a upravte smlouvy s dodavateli, odběrateli i zaměstnanci. Zde je dobré vzít v úvahu, že schvalovací proces může být místy zdlouhavý a že ostatní firmy budou rovněž řešit obdobnou agendu.

8

Postarejte se o zabezpečení dat proti úniku a zajistěte všechny potřebné záznamy.

9

Zajistěte souhlasy ke zpracování osobních dat od všech subjektů osobních údajů, jejichž informace zpracováváte. Souhlasy podle GDPR lze začít shromažďovat již nyní (např. upravit formulaci pro souhlas se zasíláním obchodních sdělení). Formulaci je vhodné konzultovat s právním poradcem, aby zcela vyhověly svému účelu.

10

Zlikvidujte nevyhovující nosiče, média i zálohy s daty, k jejichž uchovávání nebudete mít oprávnění a odstraňte údaje z dalších míst dle výsledků analýzy.

Všechny kroky je nutné stihnout do 25. května 2018, kdy nařízení GDPR vejde v platnost. Jakékoliv změny ve firemních procesech doporučujeme konzultovat s právním poradcem.

ABRA Software poskytuje účinný nástroj, který vám pomůže nakládat s osobními údaji plně v souladu s GDPR. Informační systém ABRA Gen bude ke dni platnosti nařízení pracovat plně v souladu s jeho požadavky.

GDPR aktuálně

  • Na základě požadavků ze strany zákazníků připravujeme sérii workshopů na téma ochrany dat v informačním systému s důrazem na ochranu osobních údajů o GDPR. Chcete být informováni o vypsaných termínech workshopů? Napište nám o tom do poznámky v kontaktním formuláři.

  • Pro úspěšný přechod na novou úroveň ochrany osobních údajů dle GDPR je třeba analyzovat všechny firemní procesy, při nichž dochází ke zpracování osobních údajů. Připravili jsme pro vás interaktivní formulář, který vám s analýzou pomůže.

  • Představení nové úrovně ochrany dat v ABRA Gen na konferenci ABRA Innovation Day. Stáhněte si prezentace: GDPR: ochrana osobních údajů, Workshop: Ochrana dat (GDPR)

  • Definován základní způsob řešení GDPR v informačním systému ABRA Gen. Informační systém ABRA Gen bude fungovat plně v souladu s nařízením GDPR.

  • Probíhá detailní analýza problematiky GDPR a jejího vlivu na informační systém.

  • Schválení obecného nařízení o ochraně osobních údajů GDPR (General Data Protection Regulation)

Odpovídáme na vaše dotazy

Osobní údaje nebude možné zpracovávat bez právního důvodu. Souhlas je jedním z nich. Dalšími důvody mohou být například smlouva či zákonné požadavky (například na archivaci smluv, zákonné záruky apod.). V systému ABRA Gen bude možné evidovat, na jakém právním základě lze s danými údaji zacházet, tedy zda, za jakým účelem a na jak dlouhou dobu byl udělen souhlas, případně po jaké zákonné lhůtě je možné či nutné údaje vymazat. Pro konkrétní nastavení a práci s údaji je vhodné všechny typy údajů nejprve analyzovat a optimální způsob konzultovat s právním poradcem.

Budou vytvořeny tzv. vzory definic, které budou uživatelé moci využít pro práci s osobními údaji, nebo je využít pro vlastní nastavení. Bude však třeba od počátku nastavit, jaké údaje budou ochraně podléhat, určit míru oprávnění pro různé osoby (např. jiné údaje uvidí mzdová účetní, jiné majitel firmy) a již předem zvážit všechny potřebné úpravy systému podle svých konkrétních potřeb. K tomuto účelu je vhodné provést nejprve analýzu všech firemních procesů, při nichž je nakládáno s osobními údaji. V základní verzi ABRA Gen budou bezplatně k dispozici určené skupiny položek umožňujících ochranu, pokročilejší zabezpečení bude možné řešit v rámci rozšířené verze systému nebo na zakázku.

Ochrana údajů bude organicky prorůstat celým systémem ABRA Gen, tzn. bude možné ji nastavit na všechna definovaná pole s osobními údaji a bude fungovat stejně i v cloudu či přes API.

Pokročilá ochrana osobních a citlivých dat v systému ABRA Gen:

Nový generický systém ochrany osobních a citlivých dat přesahující potřeby GDPR

Nástroje umožňující chránit jakoukoliv položku jakékoliv třídy objektů v ABRA Gen, včetně uživatelsky definovaných

Nástroje pro výpis, export či výmaz dat a evidence žádostí o tyto úkony včetně jejich řešení

Šifrovaná komunikace mezi klientskou stranou a aplikačním serverem (https)

Nová agenda Definice ochrany dat chráněná nastavitelnými přístupovými právy a navázaná agenda Souhlasů pro osobní údaje

Odlišná úroveň uživatelských oprávnění garantující přístup pouze oprávněným uživatelům a pouze po dobu, na kterou byl souhlas poskytnut nebo pro něj existuje právní důvod

Logování zpracování dat – včetně jejich čtení/zobrazení

V základní verzi budou chráněny systémové položky v adresářích firem a osob

Nařízení GDPR podrobně

Co je GDPR

General Data Protection Regulation (GDPR) je nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Bylo přijato v dubnu letošního roku, je závazné pro všechny členské státy a vejde v platnost 25. května 2018.

Cílem tohoto nařízení je hájit práva občanů proti neoprávněnému zacházení s jejich citlivými daty a osobními údaji. Tato pravidla respektují právo na ochranu osobních údajů občanů bez ohledu na jejich státní příslušnost nebo bydliště.

Koho se GDPR týká

Ochrana upravená tímto nařízením se týká zpracování osobních údajů fyzických osob nebo firem (právnických osob). Ochrana fyzických osob se vztahuje jak na automatizované, tak manuální zpracování osobních údajů, pokud jsou údaje uloženy v evidenci nebo do ní mají být vloženy. Zásady ochrany údajů se vztahují na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby.

Nařízení platí pro firmy, instituce i jednotlivce ze všech odvětví, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů.

GDPR se rovněž věnuje ochraně digitálních práv občanů a zahrnuje i subjekty, které sledují či analyzují chování uživatelů na webu.

V případě závažného porušení mohou firmám hrozit postihy a vysoké pokuty (až 20 mil. EUR nebo až 4 % celosvětového ročního obratu).

Jaké zásadní změny GDPR přinese

  • Občané získají právo na výmaz údajů a jeho rozšíření na právo být zapomenut, tzn. správce musí v takovém případě všechny osobní údaje vymazat, pokud neexistuje právní důvod pro jejich další zpracování.
  • Občanům musí být umožněn přístup k údajům, které jsou o nich shromažďovány, a to ideálně přímo a online.
  • Občané budou mít právo vznést námitku proti zpracování osobních údajů, na jejímž základě nebude moci správce údaje dále zpracovávat, nebude-li k tomu mít prokazatelné důvody.
  • Osobními údaji se nově rozumí rovněž technické parametry jako e-mail, IP adresa nebo soubory cookies v zařízení uživatele. Přibyla také kategorie genetických a biometrických údajů.

Jaké povinnosti ukládá GDPR institucím a firmám

Nové nařízení GDPR rozšiřuje a upřesňuje stávající právní normy o ochraně a zabezpečení osobních údajů. Základní principy se tedy nemění, nově však podnikatelům vznikají tyto povinnosti:

  • zpracovávat osobní data pouze k oprávněným účelům a jen po nezbytně nutnou dobu
  • zabezpečit osobní data před neoprávněnými osobami
  • zajistit ohlašovací povinnost v případě zjištění úniku dat
  • poskytnout subjektům údajů právo na:
    • výpis
    • výmaz (zapomenutí)
    • přenositelnost
  • vést záznamy o zpracování osobních údajů, spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit
  • vypracovat posouzení vlivu na ochranu osobních údajů (DPIA)
  • ve vybraných případech zavést tzv. pseudonymizaci – zpracovávat osobní údaje tak, aby nemohly být přiřazeny konkrétní osobě bez použití dalších, odděleně uchovávaných informací
  • ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a subjektům údajů
  • ustavit v některých případech pověřence pro ochranu osobních údajů (DPO)

Základní pojmy dle GDPR

Co jsou osobní údaje?

Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

DPO

Nařízení GDPR vytváří zcela novou pracovní pozici Pověřence pro ochranu osobních údajů (Data Protection Officer), jehož ustanovení bude pro některé subjekty povinné. Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení. DPO provádí interní audity, školení pracovníků a celkové řízení agendy interní ochrany dat.

DPIA

Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment) je odborný posudek, který musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob.

Subjekt údajů

Fyzická osoba, k níž se osobní údaje vztahují.

Správce osobních údajů

Každá firma, úřad či instituce, která během své činnosti shromažďuje, zpracovává a uchovává osobní či citlivá data.

Zpracovatel osobních údajů

Každá fyzická nebo právnická osoba či jiný subjekt, který zpracovává osobní údaje. Zpracovatelem je každý, kdo má přístup k osobním údajům.

Máte ohledně GDPR další dotazy?

Zdroje informací a odkazy

Pokud vás zajímají další podrobnosti o problematice GDPR, můžete navštívit stránku s praktickými informacemi a radami, stáhnout si kompletní znění nařízení GDPR nebo prohledat stránky Úřadu pro ochranu osobních údajů.