General Data Protection Regulation (GDPR) je nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Bylo přijato v dubnu letošního roku, je závazné pro všechny členské státy a vejde v platnost 25. května 2018.
Cílem tohoto nařízení je hájit práva občanů proti neoprávněnému zacházení s jejich citlivými daty a osobními údaji. Tato pravidla respektují právo na ochranu osobních údajů občanů bez ohledu na jejich státní příslušnost nebo bydliště.
Koho se GDPR týká
Ochrana upravená tímto nařízením se týká zpracování osobních údajů fyzických osob. Ochrana fyzických osob se vztahuje jak na automatizované, tak manuální zpracování osobních údajů, pokud jsou údaje uloženy v evidenci nebo do ní mají být vloženy. Zásady ochrany údajů se vztahují na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby.
Nařízení platí pro firmy, instituce i jednotlivce ze všech odvětví, které zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů.
GDPR se rovněž věnuje ochraně digitálních práv občanů a zahrnuje i subjekty, které sledují či analyzují chování uživatelů na webu.
V případě závažného porušení mohou firmám hrozit postihy a vysoké pokuty (až 20 mil. EUR nebo až 4 % celosvětového ročního obratu).
Jaké zásadní změny GDPR přinese
- Občané získají právo na výmaz údajů a jeho rozšíření na právo být zapomenut, tzn. správce musí v takovém případě všechny osobní údaje vymazat, pokud neexistuje právní důvod pro jejich další zpracování.
- Občanům musí být umožněn přístup k údajům, které jsou o nich shromažďovány, a to ideálně přímo a online.
- Občané budou mít právo vznést námitku proti zpracování osobních údajů, na jejímž základě nebude moci správce údaje dále zpracovávat, nebude-li k tomu mít prokazatelné důvody.
- Osobními údaji se nově rozumí rovněž technické parametry jako e-mail, IP adresa nebo soubory cookies v zařízení uživatele. Přibyla také kategorie genetických a biometrických údajů.
Jaké povinnosti ukládá GDPR institucím a firmám
Nové nařízení GDPR rozšiřuje a upřesňuje stávající právní normy o ochraně a zabezpečení osobních údajů. Základní principy se tedy nemění, nově však podnikatelům vznikají tyto povinnosti:
- zpracovávat osobní data pouze k oprávněným účelům a jen po nezbytně nutnou dobu
- zabezpečit osobní data před neoprávněnými osobami
- zajistit ohlašovací povinnost v případě zjištění úniku dat
- poskytnout subjektům údajů právo na:
- výpis
- výmaz (zapomenutí)
- přenositelnost
- vést záznamy o zpracování osobních údajů, spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit
- vypracovat posouzení vlivu na ochranu osobních údajů (DPIA)
- ve vybraných případech zavést tzv. pseudonymizaci – zpracovávat osobní údaje tak, aby nemohly být přiřazeny konkrétní osobě bez použití dalších, odděleně uchovávaných informací
- ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a subjektům údajů
- ustavit v některých případech pověřence pro ochranu osobních údajů (DPO)
Oblasti řešení v ABRA FlexiBee
Evidence účelů zpracování osobních údajů
Nová agenda evidence zpracování osobních údajů vám umožní definovat jaká pole v systému zpracováváte a jak s nimi dle GDPR nakládáte. Zároveň s tím máte možnost definovat dobu zpracování, vaši roli a ostatní subjekty, které mají případně k datům přístup a na základě jaké role.
Automatizované účely a základní definice
V ABRA FlexiBee budou automaticky existovat účely zpracování které plynou ze splnění právní povinnosti. Tyto účely se budou automaticky generovat např. u faktur nebo v personalistice (mzdy).
Omezení přístupu
Díky přístupovým právům jste schopni definovat kdo má do jaké agendy přístup, a tím zamezit přístupu k osobním údajům. Pokud potřebujete podrobnější definici přístupových práv, podívejte se na verzi ABRA FlexiBee Premium.
Evidence požadavků / incidentů
Je nástroj, který vám efektivně umožní evidovat požadavky ze strany vašich klientů, např. na výmaz, přenositelnost a jiná práva, které GDPR přináší. Díky této evidenci budete mít přehled jednotlivých úkonů a jejich stavu k dispozici na jednom místě.
Data pod kontrolou
ABRA FlexiBee vás bude informovat o tom, zda máte právo daná osobní data držet nebo už nemáte platný účel zpracování. A tím budete vědět, zda daný subjekt máte požádat a prodloužení souhlasu nebo zda musíte data anonymizovat nebo vymazat.
Evidence všech změn osobních údajů
FlexiBee již v základu umožňuje sledování změn nad záznamy pomocí žurnálu. Budete tak mít pod kontrolou kdo a kdy jaká data změnil.Pro zrychlení přehledu o datech, budou nově přidány i informace o tom, kdo záznamy založil a kdo je poslední změnil.
Právo na přístup k osobním údajům
Umožníme vám, pomocí připravených sestav, poskytnout informace o tom, jaká data evidujete a za jakým účelem pro daný subjekt.
Právo na opravu
Je již dnes standardní funkcí systému. Změnou dat v adresáři se změna projeví při dalším použití napříč systémem. Pokud potřebujete udělat změny i zpětně je potřeba opravit existující doklady. Uvádění vazby na adresář není na dokladech (fakturách, objednávkách, nabídkách atd.) povinné, údaje o subjektu lze zadat přímo na dokladu, přesto jej doporučujeme uvádět. Velmi se tak zjednoduší dohledávání dat právě za účelem opravy a nebo sdělení evidovaných údajů.
Právo na výmaz
Součástí naší implementace GDPR bude nová funkce, která vám umožní dle okolností provést výmaz či anonymizaci. Tato funkce zohlední i ostatní účely zpracování a vždy odstraní jen ty osobní údaje, kde již není platný účel zpracování.
Právo na přenositelnost údajů
Již dnes je možné data z FlexiBee exportovat v různých strojově čitelných formátech – jako XML, XLSX. A tím subjektu poskytnout jeho údaje z libovolné agendy. GDPR přesně nedefinuje podobu souborů, nicméně FlexiBee umožňuje data exportovat ve vámi definovatelné podobě (lze definovat jednotlivá pole pro export, atd). Pokud byste opravdu potřebovali co nejpodrobnější export, pak největší flexibility dosáhnete prostřednictvím API.
Bezpečnost
Pokud používáte systém v cloudu, je komunikace mezi serverem a klientskou stanicí šifrována pomocí HTTPS protokolu. Na lokálních serverech doporučujeme nasazení vlastního certifikátu. FlexiBee provozujeme v cloudu, u společnosti Amazon Web Services, Inc., jejíž služby budou plně v souladu s nařízením GDPR. Nově chystáme úpravu zálohování tak, aby došlo k zašifrování vašich záloh a nikdo nepovolaný si je nemohl obnovit (termín zašifrování záloh bude ješte potvrzen).
Základní pojmy dle GDPR
Co jsou osobní údaje?
Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
DPO
Nařízení GDPR vytváří zcela novou pracovní pozici Pověřence pro ochranu osobních údajů (Data Protection Officer), jehož ustanovení bude pro některé subjekty povinné. Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení. DPO provádí interní audity, školení pracovníků a celkové řízení agendy interní ochrany dat.
DPIA
Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment) je odborný posudek, který musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob.
Subjekt údajů
Fyzická osoba, k níž se osobní údaje vztahují.
Správce osobních údajů
Každá firma, úřad či instituce, která během své činnosti shromažďuje, zpracovává a uchovává osobní či citlivá data.
Zpracovatel osobních údajů
Každá fyzická nebo právnická osoba či jiný subjekt, který zpracovává osobní údaje. Zpracovatelem je každý, kdo má přístup k osobním údajům.