abra_logo.png

Ako vyhovieť požiadavkám GDPR

Efektívny systém ochrany osobných údajov v systéme ABRA Gen vyhovie nielen požiadavkám nariadenia GDPR - ponúka pokročilé nástroje, ktoré umožnia presne určiť, kto bude mať k vybraným údajom prístup a ako s nimi bude môcť zaobchádzať.

Kontaktujte nás

Diagram spojenectví GDPR

10 krokov k úspešnému zvládnutiu GDPR:

1

Analyzujte všetky firemné procesy, pri ktorých zaobchádzate s osobnými údajmi. Využite náš interaktívny formulár pre analýzu firemných procesov v rámci príprav na GDPR. K stiahnutiu zadarmo.

2

Konzultujte výsledky analýzy a následné kroky s profesionálnym právnym poradcom, ktorý definuje úkony potrebné práve pre Vaše podnikanie. Napríklad je potrebné vyhodnotiť, potrebu ustanoviť DPO (Data Protection Officer), vykonať prípravu analýzy rizík, či podniknúť ďalšie kroky určené len pre vybrané spoločnosti.

3

Pripravte si akčný plán, podľa ktorého budete postupovať tak, aby všetky potrebné zmeny prebehli k dátumu platnosti nariadenia - 25. mája 2018.

4

V spolupráci s právnym poradcom zrevidujte a podľa potreby upravte vnútorné smernice.

5

Vykonajte potrebné zmeny zabezpečenia dát vrátane úprav IT systémov, prípadne vyberte systém, ktorý bude požiadavkám GDPR vyhovovať a uľahčí Vám tak prechod na nové pravidlá a prácu s dátami.

6

Naplánujte a realizujte nevyhnutné školenia zamestnancov v zaobchádzaní s osobnými údajmi, starostlivo definujte a nastavte mieru ich oprávnenia.

7

Revidujte a upravte zmluvy s dodávateľmi, odberateľmi aj zamestnancami. Je potrebné vziať do úvahy, že aj ostatné spoločnosti budú riešiť obdobnú agendu takže následný schvaľovací proces môže byť miestami pre obe strany zdĺhavý.

8

Postarajte sa o zabezpečenie dát proti úniku a zaistite všetky potrebné záznamy.

9

Zaistite súhlasy na spracovanie osobných údajov od všetkých subjektov osobných údajov, ktorých informácie spracovávate. Súhlasy podľa GDPR možno začať zhromažďovať už teraz (napr. upraviť formuláciu pre súhlas so zasielaním obchodných oznámení). Formuláciu je vhodné konzultovať s právnym poradcom, aby úplne vyhovela svojmu účelu.

10

Zlikvidujte nevyhovujúce nosiče, médiá a zálohy s dátami, k uchovávaniu ktorých nebudete mať oprávnenie a odstráňte údaje z ďalších miest podľa výsledkov analýzy.

Všetky kroky je nutné stihnúť do 25. mája 2018, kedy nariadenie GDPR vojde do platnosti. Akékoľvek zmeny vo firemných procesoch odporúčame konzultovať s právnym poradcom.

ABRA Software poskytuje účinný nástroj, ktorý Vám pomôže zaobchádzať s osobnými údajmi plne v súlade s GDPR. Informačný systém ABRA Gen bude pracovať plne v súlade s jeho požiadavkami.

GDPR aktuálne

  • Dňa 19.12.2017 podpísal prezident Slovenskej republiky pán Andrej Kiska zákon o ochrane osobných údajov, ktorý nadobudne účinnosť dňa 25.5.2018 a zruší zákon č. 122/2013 Z. z. o ochrane osobných údajov. Schválené znenie zákona NRSR 704 (2,27 MB).

  • Na základe požiadaviek zo strany zákazníkov pripravujeme sériu workshopov na tému ochrany dát v informačnom systéme s dôrazom na ochranu osobných údajov o GDPR. Chcete byť informovaný o vypísaných termínoch workshopov? Napíšte nám o tom do poznámky v kontaktnom formulári.

  • Pre úspešný prechod na novú úroveň ochrany osobných údajov podľa GDPR je potrebné analyzovať všetky firemné procesy, pri ktorých dochádza k spracovaniu osobných údajov. Pripravili sme pre Vás interaktívny formulár, ktorý Vám s analýzou pomôže.

  • Predstavenie novej úrovne ochrany dát v ABRA Gen na konferencii ABRA Innovation Day. Stiahnite si prezentáciu (v CZ): GDPR: ochrana osobných údajov, Workshop: Ochrana dát (GDPR)

  • Definovaný základný spôsob riešenia GDPR v informačnom systéme ABRA Gen. Informačný systém ABRA Gen bude fungovať v úplnom súlade s nariadením GDPR.

  • Prebieha detailná analýza problematiky GDPR a jej vplyvu na informačný systém.

  • Schválenie všeobecného nariadenia o ochrane osobných údajov GDPR (General Data Protection Regulation)

Odpovedáme na Vaše otázky

Nie je to tak, správne fungujúci informačný systém je len jedným z niekoľkých bodov, ktorý je potrebné do platnosti európskeho nariadenia zabezpečiť. Bude potrebné získať predpísané súhlasy, upraviť zmluvy, vnútorné smernice, preškoliť zamestnancov a používaný informačný systém správne nastaviť vzhľadom na konkrétne procesy vo firme. Na našej stránke sme pre vás zhrnuli všetky potrebné kroky k úspešnému zvládnutiu GDPR.

Nie, ako každý informačný systém, aj ABRA Gen je potrebné najprv správne nastaviť a využívať - ak napríklad bude rodné číslo v položke, ktorá nie je na spracovanie rodného čísla určená (napr. v položke IČ) alebo nebude na spracovanie udelený súhlas, samotný informačný systém ochranu dát nezaručí. Na začiatku je potrebné analyzovať procesy, pri ktorých sú osobné údaje spracovávané a podľa toho včas upraviť všetko potrebné. Následne vám náš systém ponúka skutočne vysokú mieru zabezpečenia.

Osobné údaje nebude možné spracovávať bez právneho dôvodu. Súhlas je jedným z nich. Ďalšími dôvodmi môžu byť napríklad zmluva alebo zákonné požiadavky (napríklad na archiváciu zmlúv, zákonnej záruky a pod.). V systéme ABRA Gen bude možné evidovať, na akom právnom základe možno s danými údajmi zaobchádzať, teda či a za akým účelom a na akú dlhú dobu bol súhlas udelený, prípadne po akej zákonnej lehote je možné či nutné údaje vymazať. Pre konkrétne nastavenie a prácu s údajmi je vhodné všetky typy údajov najprv analyzovať a optimálny spôsob konzultovať s právnym poradcom.

Budú vytvorené tzv. vzory definícií, ktoré budú užívatelia môcť využiť pre prácu s osobnými údajmi, alebo ich využiť pre vlastné nastavenie. Od začiatku však bude potrebné nastaviť, aké údaje budú ochrane podliehať, určiť mieru oprávnenia pre rôzne osoby (napr. iné údaje uvidí mzdová účtovníčka, iné majiteľ firmy) je potrebné dopredu zvážiť všetky nutné úpravy systému podľa Vašich konkrétnych potrieb. Na tento účel je vhodné previesť najprv analýzu všetkých firemných procesov, pri ktorých je nakladané s osobnými údajmi. V základnej verzii ABRA Gen budú bezplatne k dispozícii určené skupiny položiek umožňujúcich ochranu, pokročilejšie zabezpečenia bude možné riešiť v rámci rozšírenej verzie systému alebo na objednávku.

Ochrana údajov bude organicky prechádzať celým systémom ABRA Gen, tzn. bude možné ju nastaviť na všetky definované polia s osobnými údajmi a bude fungovať rovnako aj v cloude či cez API.

Pokročilá ochrana osobných a citlivých dát v systéme ABRA Gen:

Nový generický systém ochrany osobných a citlivých údajov presahujúci potreby GDPR

Nástroje umožňujúce chrániť akúkoľvek položku akejkoľvek triedy objektov v ABRA Gen, vrátane užívateľsky definovaných

Nástroje pre výpis, export či vymazanie dát a evidencia žiadostí o tieto úkony vrátane ich riešenia

Šifrovaná komunikácia medzi klientskou stranou a aplikačným serverom (https)

Nová agenda Definícia ochrany dát chránená nastaviteľnými prístupovými právami a naviazaná agenda Súhlasu pre osobné údaje

Odlišná úroveň užívateľských oprávnení garantujúca prístup iba oprávneným používateľom a len na dobu, na ktorú im bol súhlas poskytnutý, alebo ak na jeho použitie existuje právny dôvod

Logovanie spracovania dát – vrátane ich čítania/zobrazenia

V základnej verzii budú chránené systémové položky v adresároch firiem a osôb

Nariadenie GDPR podrobne

Čo je GDPR

General Data Protection Regulation (GDPR) je nariadenie Európskeho parlamentu a Rady EU o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov. Nariadenie bolo prijaté v apríli tohto roku, je záväzné pre všetky členské štáty a začne platiť 25. mája 2018.

Cieľom tohto nariadenia je hájiť práva občanov proti neoprávnenému zaobchádzaniu s ich citlivými a osobnými údajmi. Tieto nariadenia rešpektujú právo na ochranu osobných údajov občanov bez ohľadu na ich štátnu príslušnosť alebo bydlisko.

Koho sa GDPR týka

Ochrana poskytovaná týmto nariadením sa týka spracovania osobných údajov fyzických osôb, alebo spoločností (právnických osôb). Ochrana fyzických osôb sa vzťahuje ako na automatizované spracovanie osobných údajov, tak aj na manuálne spracovanie, pokiaľ sú tieto údaje uložené v evidencii, alebo do nej majú byť vložené.

Zásady ochrany údajov by sa mali uplatňovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.

Nariadenie teda platí pre právnické osoby, inštitúcie aj jednotlivcov zo všetkých odvetví, ktorí pracujú s osobnými údajmi zamestnancov, zákazníkov, klientov či dodávateľov.

GDPR sa venuje ochrane digitálnych práv občanov, taktiež zahŕňa aj subjekty, ktoré sledujú či analyzujú správanie užívateľov na webe.

V prípade závažného porušenia budú firmám hroziť vysoké pokuty (až 20mil.Eur, alebo až 4% z ich celosvetového ročného obratu).

Aké zásadné zmeny GDPR prinesie

  • Občania získajú právo na výmaz a jeho rozšírenie na právo byť zabudnutý, tzn. správca musí bez zbytočného odkladu všetky osobné údaje vymazať, ak neexistuje právny dôvod pre ich ďalšie spracovanie.
  • Občanom musí byť umožnený prístup k údajom, ktoré sú o nich zhromažďované, a to ideálne priamo a online.
  • Občania budú mať právo vzniesť námietku proti spracovaniu osobných údajov, na ich základe nebude môcť správca údaje ďalej spracovávať, ak nebude k tomu mať preukázateľné dôvody.
  • Osobnými údajmi sa po novom rozumejú taktiež technické parametre ako e-mail, IP adresa alebo cookie v zariadení užívateľa. Pribudla tiež kategória genetických údajov.

Aké povinnosti nariaďuje GDPR inštitúciám a spoločnostiam

Nová smernica GDPR rozširuje a upresňuje súčasné právne normy o ochrane a zabezpečení osobných údajov. Základné princípy sa teda nemenia, po novom však spoločnostiam vznikajú tieto povinnosti:

  • spracovávať osobné údaje len k oprávneným účelom a len na nevyhnutne potrebný čas
  • zabezpečiť osobné údaje pred neoprávnenými osobami
  • zaistiť ohlasovaciu povinnosť v prípade zistenia úniku dát
  • poskytnúť subjektom údajov právo na:
    • výpis
    • výmaz (zabudnutie)
    • prenositeľnosť
  • viesť záznamy o spracovaní osobných údajov, spolupracovať s dozorným úradom a na jeho žiadosť mu tieto záznamy sprístupniť
  • vypracovať posúdenie vplyvu na ochranu osobných údajov (DPIA)
  • pri vybraných prípadoch zaviesť tzv. pseudonymizáciu – spracovávať osobné údaje tak, aby nemohli byť priradené konkrétnej osobe bez použitia ďalších, oddelene uchovávaných informácií
  • ohlasovať prípady porušenia zabezpečenia osobných údajov Úradu pre ochranu osobných údajov
  • oznamovať prípady porušenia zabezpečenia osobných údajov subjektom
  • ustanoviť poverenú osobu pre ochranu osobných údajov (DPO)

Základné pojmy podľa GDPR

Čo sú osobné údaje?

Všetky informácie o identifikovanej alebo identifikovateľnej fyzickej osobe (ďalej len "dotknutá osoba"). Identifikovateľná fyzickou osobou je fyzická osoba, ktorú možno priamo alebo nepriamo identifikovať, najmä odkazom na určitý identifikátor. Napríklad meno, identifikačné číslo, lokačné údaje, sieťový identifikátor, alebo jeden, či viacero faktorov špecifických pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo spoločenskú identitu tejto fyzickej osoby.

DPO

Smernica GDPR vytvára úplne novú pracovnú pozíciu Poverená osoba pre ochranu osobných údajov (Data Protection Officer), táto pozícia bude pre niektoré subjekty povinná. Hlavnou úlohou DPO bude monitorovanie súladu spracovania osobných údajov s povinnosťami vyplývajúcimi z nariadenia. DPO realizuje interné audity, školenia pracovníkov a celkové riadenie agendy internej ochrany dát.

DPIA

Posúdenie vplyvu na ochranu osobných údajov (Data Protection Impact Assessment) je odborný posudok, ktorý musí zaviesť správca, v prípade ak je pravdepodobné, že určitý druh spracovania, hlavne pri využití nových technológií, s prihliadnutím k povahe, rozsahu, kontextu a účelom spracovania bude predstavovať vysoké riziko pre práva a slobody fyzických osôb.

Subjekt údajov

Fyzická osoba, ku ktorej sa osobné údaje vzťahujú.

Správca osobných údajov

Každá právnická osoba, úrad či inštitúcia, ktorá behom svojej činnosti zhromažďuje, spracováva uchováva osobné či citlivé údaje.

Spracovateľ osobných údajov

Každá fyzická, alebo právnická osoba či iný subjekt, ktorý spracováva osobné údaje. Spracovateľom je každý, kto má prístup k osobným údajom.

Máte ohľadom GDPR ďalšie otázky?

Zdroje informácií a odkazy

Ak vás zaujímajú ďalšie podrobnosti o problematike GDPR, môžete navštíviť stránku s praktickými informáciami a radami, stiahnuť si kompletné znenie smernice GDPR alebo prehľadať stránky Úradu pre ochranu osobných údajov.