Ako vyhovieť požiadavkám GDPR

Efektívny systém ochrany osobných údajov v systéme ABRA Gen vyhovie nielen požiadavkám nariadenia GDPR – ponúka pokročilé nástroje, ktoré umožnia presne určiť, kto bude mať k vybraným údajom prístup a ako s nimi bude môcť zaobchádzať.

ABRA plne podporuje GDPR

Chráni váš informačný systém dáta podľa GDPR?

Ak áno, vie:

  • poradiť si s GDPR naprieč celou firmou – prácu vám nepridá, ale uľahčí
  • odlíšiť a ochrániť osobné údaje, napríklad aj pseudonymizáciou
  • kontrolovať, kto sa k údajom dostane a ako s nimi manipuluje
  • generovať potrebné výpisy, archivovať požiadavky osôb a v prípade potreby umožniť kompletné vymazanie údajov
  • sledovať a archivovať všetku manipuláciu s dátami vrátane ich zobrazenia a kedykoľvek dohľadať, čo sa s údajmi dialo
  • zohľadniť udelené súhlasy aj nakladanie s informáciami na základe zmlúv či zákona
  • chrániť osobné údaje naprieč rôznymi procesmi, či už ide o mzdy, financie, marketing či CRM

Informačný systém ABRA Gen chráni dáta podľa GDPR. ABRA Software tak poskytuje účinný nástroj, ktorý vám pomôže nakladať s osobnými údajmi v súlade s GDPR.

Pokročilá ochrana osobných a citlivých dát v systéme ABRA Gen:

Nový generický systém ochrany osobných a citlivých údajov presahujúci potreby GDPR.

Nástroje umožňujúce chrániť akúkoľvek položku akejkoľvek triedy objektov v ABRA Gen, vrátane užívateľsky definovaných.

Nástroje pre výpis, export či vymazanie dát a evidencia žiadostí o tieto úkony vrátane ich riešenia.

Šifrovaná komunikácia medzi klientskou stranou a aplikačným serverom (https).

Nová agenda Definícia ochrany dát chránená nastaviteľnými prístupovými právami a naviazaná agenda Súhlasu pre osobné údaje.

Odlišná úroveň užívateľských oprávnení garantujúca prístup iba oprávneným používateľom a len na dobu, na ktorú im bol súhlas poskytnutý, alebo ak na jeho použitie existuje právny dôvod.

Logovanie spracovania dát – vrátane ich čítania/zobrazenia.

V základnej verzii sú chránené systémové položky v adresároch firiem a osôb

Efektívna ochrana osobných dát v systéme ABRA Gen vyhovie nielen požiadavkám nariadenia GDPR – ponúkne pokročilé nástroje, ktoré umožnia presne určiť, kto má k vybraným údajom prístup a ako s nimi nakladá.

Odpovedáme na vaše otázky

Nie je to tak, správne fungujúci informačný systém je len jedným z niekoľkých bodov, ktorý je potrebné do platnosti európskeho nariadenia zabezpečiť. Bude potrebné získať predpísané súhlasy, upraviť zmluvy, vnútorné smernice, preškoliť zamestnancov a používaný informačný systém správne nastaviť vzhľadom na konkrétne procesy vo firme. Na našej stránke sme pre vás zhrnuli všetky potrebné kroky k úspešnému zvládnutiu GDPR.

Nie, ako každý informačný systém, aj ABRA Gen je potrebné najprv správne nastaviť a využívať – ak napríklad bude rodné číslo v položke, ktorá nie je na spracovanie rodného čísla určená (napr. v položke IČ) alebo nebude na spracovanie udelený súhlas, samotný informačný systém ochranu dát nezaručí. Na začiatku je potrebné analyzovať procesy, pri ktorých sú osobné údaje spracovávané a podľa toho včas upraviť všetko potrebné. Následne vám náš systém ponúka skutočne vysokú mieru zabezpečenia.

Osobní údaje nebude možné zpracovávat bez právního důvodu. Souhlas je jedním z nich. Dalšími důvody mohou být například smlouva či zákonné požadavky (například na archivaci smluv, zákonné záruky apod.). V systému ABRA Gen bude možné Osobné údaje nebude možné spracovávať bez právneho dôvodu. Súhlas je jedným z nich. Ďalšími dôvodmi môžu byť napríklad zmluva alebo zákonné požiadavky (napríklad na archiváciu zmlúv, zákonnej záruky a pod.). V systéme ABRA Gen bude možné evidovať, na akom právnom základe možno s danými údajmi zaobchádzať, teda či a za akým účelom a na akú dlhú dobu bol súhlas udelený, prípadne po akej zákonnej lehote je možné či nutné údaje vymazať. Pre konkrétne nastavenie a prácu s údajmi je vhodné všetky typy údajov najprv analyzovať a optimálny spôsob konzultovať s právnym poradcom.

Budú vytvorené tzv. vzory definícií, ktoré budú užívatelia môcť využiť pre prácu s osobnými údajmi, alebo ich využiť pre vlastné nastavenie. Od začiatku však bude potrebné nastaviť, aké údaje budú ochrane podliehať, určiť mieru oprávnenia pre rôzne osoby (napr. iné údaje uvidí mzdová účtovníčka, iné majiteľ firmy) je potrebné dopredu zvážiť všetky nutné úpravy systému podľa Vašich konkrétnych potrieb. Na tento účel je vhodné previesť najprv analýzu všetkých firemných procesov, pri ktorých je nakladané s osobnými údajmi. V základnej verzii ABRA Gen budú bezplatne k dispozícii určené skupiny položiek umožňujúcich ochranu, pokročilejšie zabezpečenia bude možné riešiť v rámci rozšírenej verzie systému alebo na objednávku.

Ochrana údajov bude organicky prechádzať celým systémom ABRA Gen, tzn. bude možné ju nastaviť na všetky definované polia s osobnými údajmi a bude fungovať rovnako aj v cloude či cez API.

Začínate s GDPR? Nezabudnite na nič dôležitého a vytvorte si akčný plán.

Sebe lepší software sám o sebe firmu na GDPR nepripraví. Každý podnikateľ musí analyzovať a podľa potreby zmeniť firemné procesy, pri ktorých sa pracuje s osobnými údajmi.

Čo je potreba urobiť?

Pozn.: Zaškrtnite nutné kroky, zvoľte si termín do kedy ich potrebujete zvládnuť a uložte udalosť do svojho kalendáru.

  • Vykonať analýzu procesov s využitím formuláře ZDARMA.
  • Zahájiť získavanie súhlasov podľa GDPR (v systému ABRA Gen je možné súhlasy ukladať už od aktuálnej verzie).
  • Konzultácie s právnym poradcom (úprava zmlúv s odberateľmi, dodávateľmi, zamestnancami, adaptácia interných smerníc apod.)
  • Zmena firemných procesov podľa zistenia z analýzy a konzultácií.
  • Zhromaždenie všetkých nosičov osobných údajov a plán ich likvidácie, archivácie či prepisu.
  • Revízie technológií a informačních systémů – plán implementácie zmien (náhrady používaného SW, prepojenie jednotlivých systémov a ich správne nastavene).
  • Vykonať potrebné zmeny zabezpečenia dát vrátane úprav IT systému alebo vybrať systém fungujúci v súlade s GDPR.
  • Školenia zamestnancov vrátane školení správneho používania informačných systémov. Nastaviť zabezpečenie dát proti úniku a zaistiť všetky potrebné záznamy.
  • Ďalšie kroky podľa špecifických podmienok firmy (napr. zriadenie pozície DPO).

Využiť môžete taktiež náš PDF formulár, do neho si je možné zapísať dôležité termíny a poznámky.

Stiahnite si interaktívny formulár Analýza spracovania osobných údajov pre potreby GDPR (SK)

Akékoľvek zmeny vo firemných procesoch odporúčame konzultovať s právnym poradcom.

Nariadenie GDPR podrobne

Čo je GDPR

General Data Protection Regulation (GDPR) je nariadenie Európskeho parlamentu a Rady EU o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov. Nariadenie bolo prijaté v apríli tohto roku, je záväzné pre všetky členské štáty a začne platiť 25. mája 2018.

Cieľom tohto nariadenia je hájiť práva občanov proti neoprávnenému zaobchádzaniu s ich citlivými a osobnými údajmi. Tieto nariadenia rešpektujú právo na ochranu osobných údajov občanov bez ohľadu na ich štátnu príslušnosť alebo bydlisko.

Koho sa GDPR týka

Ochrana poskytovaná týmto nariadením sa týka spracovania osobných údajov fyzických osôb, alebo spoločností (právnických osôb). Ochrana fyzických osôb sa vzťahuje ako na automatizované spracovanie osobných údajov, tak aj na manuálne spracovanie, pokiaľ sú tieto údaje uložené v evidencii, alebo do nej majú byť vložené. Zásady ochrany údajov by sa mali uplatňovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.

Nariadenie teda platí pre právnické osoby, inštitúcie aj jednotlivcov zo všetkých odvetví, ktorí pracujú s osobnými údajmi zamestnancov, zákazníkov, klientov či dodávateľov.

GDPR sa venuje ochrane digitálnych práv občanov, taktiež zahŕňa aj subjekty, ktoré sledujú či analyzujú správanie užívateľov na webe.

V prípade závažného porušenia budú firmám hroziť vysoké pokuty (až 20mil.Eur, alebo až 4% z ich celosvetového ročného obratu).

Aké zásadné zmeny GDPR prinesie

  • Občania získajú právo na výmaz a jeho rozšírenie na právo byť zabudnutý, tzn. správca musí bez zbytočného odkladu všetky osobné údaje vymazať, ak neexistuje právny dôvod pre ich ďalšie spracovanie.
  • Občanom musí byť umožnený prístup k údajom, ktoré sú o nich zhromažďované, a to ideálne priamo a online.
  • Občania budú mať právo vzniesť námietku proti spracovaniu osobných údajov, na ich základe nebude môcť správca údaje ďalej spracovávať, ak nebude k tomu mať preukázateľné dôvody.
  • Osobnými údajmi sa po novom rozumejú taktiež technické parametre ako e-mail, IP adresa alebo cookie v zariadení užívateľa. Pribudla tiež kategória genetických údajov.

Aké povinnosti nariaďuje GDPR inštitúciám a spoločnostiam

Nová smernica GDPR rozširuje a upresňuje súčasné právne normy o ochrane a zabezpečení osobných údajov. Základné princípy sa teda nemenia, po novom však spoločnostiam vznikajú tieto povinnosti:

  • spracovávať osobné údaje len k oprávneným účelom a len na nevyhnutne potrebný čas
  • zabezpečiť osobné údaje pred neoprávnenými osobami
  • zaistiť ohlasovaciu povinnosť v prípade zistenia úniku dát
  • poskytnúť subjektom údajov právo na:
    • výpis
    • výmaz (zabudnutie)
    • prenositeľnosť
  • viesť záznamy o spracovaní osobných údajov, spolupracovať s dozorným úradom a na jeho žiadosť mu tieto záznamy sprístupniť
  • vypracovať posúdenie vplyvu na ochranu osobných údajov (DPIA)
  • pri vybraných prípadoch zaviesť tzv. pseudonymizáciu – spracovávať osobné údaje tak, aby nemohli byť priradené konkrétnej osobe bez použitia ďalších, oddelene uchovávaných informácií
  • ohlasovať prípady porušenia zabezpečenia osobných údajov Úradu pre ochranu osobných údajov
  • oznamovať prípady porušenia zabezpečenia osobných údajov subjektom
  • ustanoviť poverenú osobu pre ochranu osobných údajov (DPO)

Základné pojmy podľa GDPR

Čo sú osobné údaje?

Všetky informácie o identifikovanej alebo identifikovateľnej fyzickej osobe (ďalej len „dotknutá osoba“). Identifikovateľná fyzickou osobou je fyzická osoba, ktorú možno priamo alebo nepriamo identifikovať, najmä odkazom na určitý identifikátor. Napríklad meno, identifikačné číslo, lokačné údaje, sieťový identifikátor, alebo jeden, či viacero faktorov špecifických pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo spoločenskú identitu tejto fyzickej osoby.

DPO

Smernica GDPR vytvára úplne novú pracovnú pozíciu Poverená osoba pre ochranu osobných údajov (Data Protection Officer), táto pozícia bude pre niektoré subjekty povinná. Hlavnou úlohou DPO bude monitorovanie súladu spracovania osobných údajov s povinnosťami vyplývajúcimi z nariadenia. DPO realizuje interné audity, školenia pracovníkov a celkové riadenie agendy internej ochrany dát.

DPIA

Posúdenie vplyvu na ochranu osobných údajov (Data Protection Impact Assessment) je odborný posudok, ktorý musí zaviesť správca, v prípade ak je pravdepodobné, že určitý druh spracovania, hlavne pri využití nových technológií, s prihliadnutím k povahe, rozsahu, kontextu a účelom spracovania bude predstavovať vysoké riziko pre práva a slobody fyzických osôb.

Subjekt údajov

Fyzická osoba, ku ktorej sa osobné údaje vzťahujú.

Správca osobných údajov

Každá právnická osoba, úrad či inštitúcia, ktorá behom svojej činnosti zhromažďuje, spracováva uchováva osobné či citlivé údaje.

Spracovateľ osobných údajov

Každá fyzická, alebo právnická osoba či iný subjekt, ktorý spracováva osobné údaje. Spracovateľom je každý, kto má prístup k osobným údajom.

Máte ohľadom GDPR ďalšie otázky?

Mám záujem o predvedenie [post_title] SK