Jak vyhovět požadavkům GDPR
Efektivní ochrana osobních dat v systému ABRA Gen vyhoví nejen požadavkům nařízení GDPR – nabídne pokročilé nástroje, které umožní přesně určit, kdo má k vybraným údajům přístup a jak s nimi nakládá.
Rozcestník
Chrání váš informační systém osobní údaje v souladu s GDPR?
Pokud ano, umí:
- poradit si s GDPR napříč celou firmou – práci vám nepřidá, ale ulehčí
- odlišit a ochránit osobní údaje, třeba i pseudonymizací
- kontrolovat, kdo se k údajům dostane a jak s nimi nakládá
- generovat potřebné výpisy, archivovat požadavky osob a v případě potřeby umožnit kompletní výmaz údajů
- sledovat a archivovat veškerou manipulaci s daty včetně jejich zobrazení a kdykoliv dohledat, co se s údaji dělo
- zohlednit udělené souhlasy i nakládání s informacemi na základě smluv či zákona
- chránit osobní údaje napříč různými procesy, ať už jde o mzdy, finance, marketing či CRM
Informační systém ABRA Gen chrání data dle GDPR. ABRA Software tak poskytuje účinný nástroj, který vám pomůže nakládat s osobními údaji v souladu s GDPR.
Pokročilá ochrana osobních a citlivých dat v systému ABRA Gen:
Nový generický systém ochrany osobních a citlivých dat přesahující potřeby GDPR
Nástroje umožňující chránit jakoukoliv položku jakékoliv třídy objektů v ABRA Gen, včetně uživatelsky definovaných
Nástroje pro výpis, export či výmaz dat a evidence žádostí o tyto úkony včetně jejich řešení
Šifrovaná komunikace mezi klientskou stranou a aplikačním serverem (https)
Nová agenda Definice ochrany dat chráněná nastavitelnými přístupovými právy a navázaná agenda Povolení ke zpracování dat pro osobní údaje
Odlišná úroveň uživatelských oprávnění garantující přístup pouze oprávněným uživatelům a pouze po dobu, na kterou byl souhlas poskytnut nebo pro něj existuje právní důvod
Logování zpracování dat – včetně jejich čtení/zobrazení
V základní verzi jsou chráněny systémové položky v adresářích firem a osob
Efektivní ochrana osobních dat v systému ABRA Gen vyhoví nejen požadavkům nařízení GDPR – nabídne pokročilé nástroje, které umožní přesně určit, kdo má k vybraným údajům přístup a jak s nimi nakládá.
Přečtěte si podrobnosti o ochraně dat a GDPR v informačním systému ABRA Gen.
Webová služba pro sběr souhlasů se zpracováním osobních údajů dle GDPR
Společně s novou ochranou dat v ABRA Gen spouštíme doplňkovou webovou službu, která vám umožní efektivně shromáždit souhlasy se zpracováním osobních údajů od osob např. pro obchodní a marketingové účely. Služba umožňuje obeslat vybrané osoby z adresáře ABRA Gen a po jejich potvrzení souhlasu automaticky vytvořit v příslušné agendě povolení se zpracováním.
Klíčové vlastnosti:
- Přehledné webové rozhraní s prostorem pro váš unikátní text souhlasu dostupný pro uživatele odkudkoliv z prohlížeče.
- Odeslání e-mailu vybraným osobám s žádostí o udělení souhlasu.
- Přímé propojení s ABRA Gen a automatické vytváření povolení se zpracováním osobních údajů.
- Zabezpečená komunikace webové aplikace s ABRA Gen přes rozhraní API.
- Možnost odeslání e-mailového upozornění s vypršením doby platnosti souhlasu a žádostí o prodloužení.
Máte o webovou službu zájem? Kontaktujte prosím naše obchodní oddělení.
- Společně s novou ochranou dat v ABRA Gen spouštíme doplňkovou webovou službu, která vám umožní efektivně shromáždit souhlasy se zpracováním osobních údajů od osob např. pro obchodní a marketingové účely. Služba umožňuje obeslat vybrané osoby z adresáře ABRA Gen a po jejich potvrzení souhlasu automaticky vytvořit v příslušné agendě povolení se zpracováním. Přečtěte si podrobnosti.
- Informační systém ABRA Gen přichází s novou verzí 18.03.12, která obsahuje podporu GDRP a umožňuje zapnout novou komplexní ochranu dat. Tuto verzi mohou instalovat jak uživatelé stávající progresivní, tak i konzervativní verze. Aktuální verzi stahujte na Zákaznickém portálu.
- V následujících několika dnech chystáme uvolnění progresivní verze s plně funkční ochranou dat dle nařízení GDPR. O přesném datu budeme zákazníky informovat prostřednictvím e-mailu a na Zákaznickém portálu.
- Ministerstvo obchodu a průmyslu ve spolupráci s Asociací malých a středních podniků a živnostníků ČR vytvořilo manuál, který má pomoci hlavně malým a středním firmám s přípravou na GDPR. V publikaci se podnikatelé například dočtou, jaké mají povinnosti jako správci údajů i to, jak mají svou firmu na GDPR připravit. Nechybí ani modelové příklady z praxe včetně tipů, jak řešit konkrétní situace. Příručku v PDF stáhnete zde.
- Uživatelé ABRA Gen se díky našim webinářům a odborným seminářům mohou detailně seznámit s tím, jak v systému funguje nová ochrana dat a jak ji správně nastavit, aby fungovala v souladu s GDPR. Vyberte si z květnových termínů.
- Přejděte na novou progresivní verzi ABRA Gen a získejte nejen první fázi podpory GDPR, ale také nástroj Vizualizace dat Live s více než 70 grafy a infografickými ukazateli pro okamžitý přehled o všech důležitých procesech ve vaší společnosti. To vše v reálném čase, bez zpoždění a v potřebných souvislostech.
- Úřad pro ochranu osobních údajů zveřejnil na svém webu tabulku přehledně shrnující nejvýraznější změny a nové povinnosti v režimu ochrany osobních údajů, které nastanou po zahájení účinnosti obecného nařízení.
- Úřad pro ochranu osobních údajů zveřejnil desatero zpracování pro správce, které je jednoduchým návodem, jak zacházet s osobními údaji. Zároveň zveřejnil aktualizovanou základní příručku k GDPR. Ta informuje čtenáře o základních pojmech a informacích vztahujících se k obecnému nařízení.
- „Chceme našim zákazníkům život s GDPR usnadnit“, říká Martin Jirmann, CEO ABRA Software. Jak se firmy na GDPR připravují, a jak jim může přípravy usnadnit informační systém ABRA Gen? Přečtě si celý rozhovor.
- Systém ABRA Gen přichází s druhou legislativní aktualizací pro rok 2018. Největší novinkou verze 18.01.05 je implementovaná první fáze podpory GDPR (tj. nový modul Ochrana dat a agendy GDPR, který umožňuje plnit datovou základnu: naplnit si číselníky, zavádět definice GDPR a začít sbírat povolení od subjektů).
- „Problém není jen v aktualizaci informačních systémů a zabezpečení IT infrastruktury. Mnohé firmy si to vůbec neuvědomují a myslí si, že bude stačit nahrát novou verzi softwaru,“ upozorňuje výkonný ředitel ABRA Software Martin Jirmann na serveru iDnes.cz v článku Ochrana údajů vyjde až na miliony, pětinu firem zatím GDPR nevzrušuje.
- Koho a jak ve firmě správně informovat o GDPR, aby byla rizika často likvidačních pokut minimální? Připravili jsme pro vás přehled odpovědných pozic ve firmě.
- Aktuální webináře GDPR v ABRA Gen jsou určeny všem uživatelům, kteří mají na starosti nastavení pravidel pro GDPR. Naučíte se nastavit vše potřebné na straně našeho systému tak, aby se citlivá data zobrazovala jen oprávněným uživatelům. Sledujte aktuální termíny.
- Dobře připravený informační systém je pouze jedním z kroků v přípravě firmy na GDPR. Společnost ABRA Software poskytuje účinný nástroj, který pomáhá v určitých fázích tohoto procesu pracovat s osobními údaji v souladu s nařízením GDPR. ABRA Software se nezabývá tvorbou právních analýz a právním poradenstvím.
- Zajímavá infografika, která ukazuje, co zásadního přináší GDPR.
- Princip nového systému ochrany dat v informačním systému ABRA Gen názorně vysvětluje naše video. Jedná se o první část ze série na téma GDPR.
- Jaké jsou nejčastější otázky k obecnému nařízení GDPR, na které je dotazován Úřad pro ochranu osobních údajů? Podívejte se zde. Nově přibyla sekce s dotazy provozovatelů e-shopů.
- Jak definovat souhlas podle GDPR? Přečtěte si dokument Pracovní skupiny W29, který obsahuje vodítka podávající zevrubnou analýzu pojmu „souhlas“ podle GDPR. Popisuje rozdíly od interpretace v současné úpravě o ochraně osobních údajů a nabízí praktický návod, jak zajistit soulad právě s obecným nařízením.
- Na začátku prosince ABRA Software pořádal v moderní učebně CIIRC praktický workshop na téma GDPR. Sešla se zde téměř stovka posluchačů, kteří nestihli, nebo se nemohli zúčastnit původního workshopu z konference ABRA Innovation Day 2017. Podívejte se na záznam celého workshopu.
- Úřad pro ochranu osobních údajů průběžně zveřejňuje aktuální dokumenty Pracovní skupiny WP29 k GDPR. Skupina nyní vydala i některé jejich oficiální české překlady. Úřad sám pak přeložil vodítka k profilování.
- Právo na soukromí máme všichni. Nové evropské nařízení o ochraně osobních údajů mnozí vnímají jen jako další výmysl a úřednickou šikanu, ale jeho smyslem je chránit jednu z nejcennějších věcí, které každý z nás má – soukromí.
- Na základě požadavků ze strany zákazníků připravujeme sérii workshopů na téma ochrany dat v informačním systému s důrazem na ochranu osobních údajů o GDPR.
Chcete být informováni o vypsaných termínech workshopů? Napište nám o tom do poznámky v kontaktním formuláři. - Pro úspěšný přechod na novou úroveň ochrany osobních údajů dle GDPR je třeba analyzovat všechny firemní procesy, při nichž dochází ke zpracování osobních údajů. Připravili jsme pro vás interaktivní formulář, který vám s analýzou pomůže.
- Představení nové úrovně ochrany dat v ABRA Gen na konferenci ABRA Innovation Day. Stáhněte si prezentace: GDPR: ochrana osobních údajů, Workshop: Ochrana dat (GDPR)
- Definován základní způsob řešení GDPR v informačním systému ABRA Gen. Informační systém ABRA Gen bude fungovat plně v souladu s nařízením GDPR.
- Probíhá detailní analýza problematiky GDPR a jejího vlivu na informační systém.
- Schválení obecného nařízení o ochraně osobních údajů GDPR (General Data Protection Regulation)
Odpovídáme na vaše dotazy
Když budu mít informační systém fungující podle GDPR, nemusím tedy už nic dalšího řešit?
Není tomu tak, správně fungující informační systém je pouze jedním z několika bodů, které je třeba do platnosti evropského nařízení vyřešit. Bude nutné získat potřebné souhlasy, upravit smlouvy, vnitřní směrnice, proškolit zaměstnance a používaný informační systém správně nastavit s ohledem na konkrétní procesy ve firmě. Všechny potřebné kroky k úspěšnému zvládnutí GDPR jsme pro vás sepsali na naší stránce.
Rozpozná ABRA Gen automaticky, jaké údaje má chránit a jak?
Ne, jako každý informační systém, také ABRA Gen je třeba nejprve správně nastavit a využívat – pokud například bude rodné číslo v položce, která není pro zpracování rodného čísla určena (např. v položce IČ) nebo nebude ke zpracování udělen souhlas, samotný informační systém ochranu dat nezaručí. Na začátku je třeba analyzovat procesy, při kterých jsou osobní údaje zpracovávány a podle toho včas upravit vše potřebné. Pak systém nabízí skutečně vysokou míru zabezpečení.
Potřebuji souhlas k jakémukoliv zpracování osobních údajů? Co smlouvy či zákonné požadavky?
Osobní údaje nebude možné zpracovávat bez právního důvodu. Souhlas je jedním z nich. Dalšími důvody mohou být například smlouva či zákonné požadavky (například na archivaci smluv, zákonné záruky apod.). V systému ABRA Gen bude možné evidovat, na jakém právním základě lze s danými údaji zacházet, tedy zda, za jakým účelem a na jak dlouhou dobu byl udělen souhlas, případně po jaké zákonné lhůtě je možné či nutné údaje vymazat. Pro konkrétní nastavení a práci s údaji je vhodné všechny typy údajů nejprve analyzovat a optimální způsob konzultovat s právním poradcem.
Budou pole definovaná jako osobní údaje automaticky chráněná?
Budou vytvořeny tzv. vzory definic, které budou uživatelé moci využít pro práci s osobními údaji, nebo je využít pro vlastní nastavení. Bude však třeba od počátku nastavit, jaké údaje budou ochraně podléhat, určit míru oprávnění pro různé osoby (např. jiné údaje uvidí mzdová účetní, jiné majitel firmy) a již předem zvážit všechny potřebné úpravy systému podle svých konkrétních potřeb. K tomuto účelu je vhodné provést nejprve analýzu všech firemních procesů, při nichž je nakládáno s osobními údaji. V základní verzi ABRA Gen budou bezplatně k dispozici určené skupiny položek umožňujících ochranu, pokročilejší zabezpečení bude možné řešit v rámci rozšířené verze systému nebo na zakázku.
Které části systému ABRA Gen budou umožňovat ochranu dat podle GDPR?
Ochrana údajů bude organicky prorůstat celým systémem ABRA Gen, tzn. bude možné ji nastavit na všechna definovaná pole s osobními údaji a bude fungovat stejně i v cloudu či přes API.
Začínáte s GDPR? Nezapomeňte na nic důležitého a vytvořte si akční plán.
Sebelepší software sám o sobě firmu na GDPR nepřipraví. Každý podnikatel musí analyzovat a dle potřeby změnit firemní procesy, při kterých se pracuje s osobními údaji.
Co je třeba udělat?
Pozn.: Zaškrtněte nutné kroky, zvolte si termín do kdy je potřebujete zvládnout a uložte událost do svého kalendáře.
- Provést analýzu procesů s využitím formuláře ZDARMA.
- Zahájit získávání souhlasů podle GDPR (v systému ABRA Gen je možné souhlasy ukládat již od aktuální verze).
- Konzultace s právním poradcem (úprava smluv s odběrateli, dodavateli, zaměstnanci, adaptace interních směrnic apod.)
- Změna firemních procesů podle zjištění z analýzy a konzultací.
- Shromáždění všech nosičů osobních údajů a plán jejich likvidace, archivace či přepisu.
- Revize technologií a informačních systémů – plán implementace změn (náhrady používaného SW, propojení jednotlivých systémů a jejich správné nastavení).
- Provést potřebné změny zabezpečení dat včetně úprav IT systémů nebo vybrat systém fungující v souladu s GDPR.
- Školení zaměstnanců včetně školení správného používání informačních systémů.Nastavit zabezpečení dat proti úniku a zajistit všechny potřebné záznamy.
- Další kroky dle specifických podmínek firmy (např. zřízení pozice DPO).
Využít můžete také náš PDF formulář, do něhož si lze zapsat důležité termíny a poznámky.
Jakékoliv změny ve firemních procesech doporučujeme konzultovat s právním poradcem.
Nařízení GDPR podrobně
Co je GDPR
General Data Protection Regulation (GDPR) je nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Bylo přijato v dubnu letošního roku, je závazné pro všechny členské státy a vejde v platnost 25. května 2018.
Cílem tohoto nařízení je hájit práva občanů proti neoprávněnému zacházení s jejich citlivými daty a osobními údaji. Tato pravidla respektují právo na ochranu osobních údajů občanů bez ohledu na jejich státní příslušnost nebo bydliště.
Koho se GDPR týká
Ochrana upravená tímto nařízením se týká zpracování osobních údajů fyzických osob. Ochrana fyzických osob se vztahuje jak na automatizované, tak manuální zpracování osobních údajů, pokud jsou údaje uloženy v evidenci nebo do ní mají být vloženy. Zásady ochrany údajů se vztahují na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby.
Nařízení platí pro firmy, instituce i jednotlivce ze všech odvětví, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů.
GDPR se rovněž věnuje ochraně digitálních práv občanů a zahrnuje i subjekty, které sledují či analyzují chování uživatelů na webu.
V případě závažného porušení mohou firmám hrozit postihy a vysoké pokuty (až 20 mil. EUR nebo až 4 % celosvětového ročního obratu).
Jaké zásadní změny GDPR přináší
- Občané získávají právo na výmaz údajů a jeho rozšíření na právo být zapomenut, tzn. správce musí v takovém případě všechny osobní údaje vymazat, pokud neexistuje právní důvod pro jejich další zpracování.
- Občanům musí být umožněn přístup k údajům, které jsou o nich shromažďovány, a to ideálně přímo a online.
- Občané mají právo vznést námitku proti zpracování osobních údajů, na jejímž základě nebude moci správce údaje dále zpracovávat, nebude-li k tomu mít prokazatelné důvody.
- Osobními údaji se nově rozumí rovněž technické parametry jako e-mail, IP adresa nebo soubory cookies v zařízení uživatele. Přibyla také kategorie genetických a biometrických údajů.
Jaké povinnosti ukládá GDPR institucím a firmám
Nové nařízení GDPR rozšiřuje a upřesňuje stávající právní normy o ochraně a zabezpečení osobních údajů. Základní principy se tedy nemění, nově však podnikatelům vznikají tyto povinnosti:
- zpracovávat osobní data pouze k oprávněným účelům a jen po nezbytně nutnou dobu
- zabezpečit osobní data před neoprávněnými osobami
- zajistit ohlašovací povinnost v případě zjištění úniku dat
- poskytnout subjektům údajů právo na:
- výpis
- výmaz (zapomenutí)
- přenositelnost
- vést záznamy o zpracování osobních údajů, spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit
- vypracovat posouzení vlivu na ochranu osobních údajů (DPIA)
- ve vybraných případech zavést tzv. pseudonymizaci – zpracovávat osobní údaje tak, aby nemohly být přiřazeny konkrétní osobě bez použití dalších, odděleně uchovávaných informací
- ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a subjektům údajů
- ustavit v některých případech pověřence pro ochranu osobních údajů (DPO)
Základní pojmy dle GDPR
Co jsou osobní údaje?
Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
DPO
Nařízení GDPR vytváří zcela novou pracovní pozici Pověřence pro ochranu osobních údajů (Data Protection Officer), jehož ustanovení bude pro některé subjekty povinné. Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení. DPO provádí interní audity, školení pracovníků a celkové řízení agendy interní ochrany dat.
DPIA
Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment) je odborný posudek, který musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob.
Subjekt údajů
Fyzická osoba, k níž se osobní údaje vztahují.
Správce osobních údajů
Každá firma, úřad či instituce, která během své činnosti shromažďuje, zpracovává a uchovává osobní či citlivá data.
Zpracovatel osobních údajů
Každá fyzická nebo právnická osoba či jiný subjekt, který zpracovává osobní údaje. Zpracovatelem je každý, kdo má přístup k osobním údajům.