Jak vyhovět požadavkům GDPR
Efektivní ochrana osobních dat v systému ABRA Gen vyhoví nejen požadavkům nařízení GDPR – nabídne pokročilé nástroje, které umožní přesně určit, kdo má k vybraným údajům přístup a jak s nimi nakládá.

Rozcestník
Chrání váš informační systém osobní údaje v souladu s GDPR?
Pokud ano, umí:
- poradit si s GDPR napříč celou firmou – práci vám nepřidá, ale ulehčí
- odlišit a ochránit osobní údaje, třeba i pseudonymizací
- kontrolovat, kdo se k údajům dostane a jak s nimi nakládá
- generovat potřebné výpisy, archivovat požadavky osob a v případě potřeby umožnit kompletní výmaz údajů
- sledovat a archivovat veškerou manipulaci s daty včetně jejich zobrazení a kdykoliv dohledat, co se s údaji dělo
- zohlednit udělené souhlasy i nakládání s informacemi na základě smluv či zákona
- chránit osobní údaje napříč různými procesy, ať už jde o mzdy, finance, marketing či CRM
Informační systém ABRA Gen chrání data dle GDPR. ABRA Software tak poskytuje účinný nástroj, který vám pomůže nakládat s osobními údaji v souladu s GDPR.
Pokročilá ochrana osobních a citlivých dat v systému ABRA Gen:
Nový generický systém ochrany osobních a citlivých dat přesahující potřeby GDPR.
Nástroje umožňující chránit jakoukoliv položku jakékoliv třídy objektů v ABRA Gen, včetně uživatelsky definovaných.
Nástroje pro výpis, export či výmaz dat a evidence žádostí o tyto úkony včetně jejich řešení.
Šifrovaná komunikace mezi klientskou stranou a aplikačním serverem (https).
Nová agenda Definice ochrany dat chráněná nastavitelnými přístupovými právy a navázaná agenda Povolení ke zpracování dat pro osobní údaje.
Odlišná úroveň uživatelských oprávnění garantující přístup pouze oprávněným uživatelům a pouze po dobu, na kterou byl souhlas poskytnut nebo pro něj existuje právní důvod.
Logování zpracování dat – včetně jejich čtení/zobrazení.
V základní verzi jsou chráněny systémové položky v adresářích firem a osob.
Efektivní ochrana osobních dat v systému ABRA Gen vyhoví nejen požadavkům nařízení GDPR – nabídne pokročilé nástroje, které umožní přesně určit, kdo má k vybraným údajům přístup a jak s nimi nakládá.
Odpovídáme na vaše dotazy
Začínáte s GDPR? Nezapomeňte na nic důležitého a vytvořte si akční plán.
Sebelepší software sám o sobě firmu na GDPR nepřipraví. Každý podnikatel musí analyzovat a dle potřeby změnit firemní procesy, při kterých se pracuje s osobními údaji.
Co je třeba udělat?
Pozn.: Zaškrtněte nutné kroky, zvolte si termín do kdy je potřebujete zvládnout a uložte událost do svého kalendáře.
- Provést analýzu procesů s využitím formuláře ZDARMA.
- Zahájit získávání souhlasů podle GDPR (v systému ABRA Gen je možné souhlasy ukládat již od aktuální verze).
- Konzultace s právním poradcem (úprava smluv s odběrateli, dodavateli, zaměstnanci, adaptace interních směrnic apod.)
- Změna firemních procesů podle zjištění z analýzy a konzultací.
- Shromáždění všech nosičů osobních údajů a plán jejich likvidace, archivace či přepisu.
- Revize technologií a informačních systémů – plán implementace změn (náhrady používaného SW, propojení jednotlivých systémů a jejich správné nastavení).
- Provést potřebné změny zabezpečení dat včetně úprav IT systémů nebo vybrat systém fungující v souladu s GDPR.
- Školení zaměstnanců včetně školení správného používání informačních systémů. Nastavit zabezpečení dat proti úniku a zajistit všechny potřebné záznamy.
- Další kroky dle specifických podmínek firmy (např. zřízení pozice DPO).
Využít můžete také náš PDF formulář, do něhož si lze zapsat důležité termíny a poznámky.
Jakékoliv změny ve firemních procesech doporučujeme konzultovat s právním poradcem.
Nařízení GDPR podrobně
Co je GDPR
General Data Protection Regulation (GDPR) je nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Bylo přijato v dubnu letošního roku, je závazné pro všechny členské státy a vejde v platnost 25. května 2018.
Cílem tohoto nařízení je hájit práva občanů proti neoprávněnému zacházení s jejich citlivými daty a osobními údaji. Tato pravidla respektují právo na ochranu osobních údajů občanů bez ohledu na jejich státní příslušnost nebo bydliště.
Koho se GDPR týká
Ochrana upravená tímto nařízením se týká zpracování osobních údajů fyzických osob. Ochrana fyzických osob se vztahuje jak na automatizované, tak manuální zpracování osobních údajů, pokud jsou údaje uloženy v evidenci nebo do ní mají být vloženy. Zásady ochrany údajů se vztahují na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby.
Nařízení platí pro firmy, instituce i jednotlivce ze všech odvětví, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů.
GDPR se rovněž věnuje ochraně digitálních práv občanů a zahrnuje i subjekty, které sledují či analyzují chování uživatelů na webu.
V případě závažného porušení mohou firmám hrozit postihy a vysoké pokuty (až 20 mil. EUR nebo až 4 % celosvětového ročního obratu).
Jaké zásadní změny GDPR přináší
- Občané získávají právo na výmaz údajů a jeho rozšíření na právo být zapomenut, tzn. správce musí v takovém případě všechny osobní údaje vymazat, pokud neexistuje právní důvod pro jejich další zpracování.
- Občanům musí být umožněn přístup k údajům, které jsou o nich shromažďovány, a to ideálně přímo a online.
- Občané mají právo vznést námitku proti zpracování osobních údajů, na jejímž základě nebude moci správce údaje dále zpracovávat, nebude-li k tomu mít prokazatelné důvody.
- Osobními údaji se nově rozumí rovněž technické parametry jako e-mail, IP adresa nebo soubory cookies v zařízení uživatele. Přibyla také kategorie genetických a biometrických údajů.
Jaké povinnosti ukládá GDPR institucím a firmám
Nové nařízení GDPR rozšiřuje a upřesňuje stávající právní normy o ochraně a zabezpečení osobních údajů. Základní principy se tedy nemění, nově však podnikatelům vznikají tyto povinnosti:
- zpracovávat osobní data pouze k oprávněným účelům a jen po nezbytně nutnou dobu
- zabezpečit osobní data před neoprávněnými osobami
- zajistit ohlašovací povinnost v případě zjištění úniku dat
- poskytnout subjektům údajů právo na:
- výpis
- výmaz (zapomenutí)
- přenositelnost
- vést záznamy o zpracování osobních údajů, spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit
- vypracovat posouzení vlivu na ochranu osobních údajů (DPIA)
- ve vybraných případech zavést tzv. pseudonymizaci – zpracovávat osobní údaje tak, aby nemohly být přiřazeny konkrétní osobě bez použití dalších, odděleně uchovávaných informací
- ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a subjektům údajů
- ustavit v některých případech pověřence pro ochranu osobních údajů (DPO)
Základní pojmy dle GDPR
Co jsou osobní údaje?
Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
DPO
Nařízení GDPR vytváří zcela novou pracovní pozici Pověřence pro ochranu osobních údajů (Data Protection Officer), jehož ustanovení bude pro některé subjekty povinné. Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení. DPO provádí interní audity, školení pracovníků a celkové řízení agendy interní ochrany dat.
DPIA
Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment) je odborný posudek, který musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob.
Subjekt údajů
Fyzická osoba, k níž se osobní údaje vztahují.
Správce osobních údajů
Každá firma, úřad či instituce, která během své činnosti shromažďuje, zpracovává a uchovává osobní či citlivá data.
Zpracovatel osobních údajů
Každá fyzická nebo právnická osoba či jiný subjekt, který zpracovává osobní údaje. Zpracovatelem je každý, kdo má přístup k osobním údajům.