GDPR
Připraveno na GDPR

Definice GDPR

Obecné  nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (odtud zkratka „GDPR“), celým názvem nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, je novou celoevropsky přímo závaznou komplexní právní regulací, která výrazně zvýší ochranu osobních dat občanů. GDPR nabývá účinnosti 25. května 2018.

 

Připravení jsme my i vy

V Chytré organizaci pod záložkou GDPR je pro případ potřeby připravená tisková forma přehledu s informacemi o přístupu zaměstnanců k citlivým i osobním údajům ostatních uživatelů či klientů. 

 

Jak GDPR řešíme

Nařízení EU o ochraně údajů občanů EU (dále jen GDPR) analyzujeme. Povinnost organizací být v souladu s GDPR by však měla primárně vycházet z přijmutí vnitřní koncepce, provedení procesních změn a zavedení opatření, která dodržují zejména zásady záměrné ochrany osobních údajů.

Po analýze dopadů GDPR jsme v naší aplikaci provedli takové technické úpravy, aby jim z hlediska principů GDPR vyhovovala a co nejvíce Vám tak zjednodušila implementaci Vašich opatření.

V případě vynesení dat z organizace dokážeme pomocí logování odhalit, co se s daty dělo. 

Aplikace Chytrá organizace eviduje pohyb zaměstnanců a dat v rámci aplikace. Zpětně umíme zjistit a dohledat, kdo přistupoval k jakým datům. 

 

Jsme Zpracovatelem osobních údajů - co to znamená?

Jsme právnická osoba pověřená správcem osobních údajů zpracovávat jeho jménem osobní údaje a to v takovém rozsahu, v jakém  požaduje správce nebo vyplývá z činnosti, pro kterou byl zpracovatel správcem pověřen.

Při uzavírání smlouvy o poskytnutí software podepíšeme také Smlouvu o ochraně osobních údajů.

 

Osobní údaje z pohledu GDPR

GDPR dělá rozdíly mezi osobním údajem a citlivým údajem. 

Vymezení pojmů Pro účely tohoto zákona se rozumí:

a) osobní údaj: jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištní identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků,

b) citlivý údaj: osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů,

S oběma typy dat se setkáte hlavně v Organizační části a Klientské části a oba typy dat musí být chráněné. Citlivé údaje navíc spadají do mnohem přísnějšího režimu ochrany.

 

Povolování a omezování přístupu k datům

Administrátor má pravomoc nastavovat přístup uživatelů k datům.

 

Práva subjektu údajů

Subjekt údajů je žijící fyzická osoba k níž se osobní údaje vztahují.

Právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.

Správce údajů shromažďuje data, zpracovatel je na jeho pokyn zpracovává. Oba musí data chránit a plnit práva každého subjektu údajů, které jim GDPR dává.

 

Povinnosti správce a zpracovatele

GDPR ukládá správci a zpracovateli údajů povinnost vést evidenci:

- záznamů o zpracování,
- souhlasů se zpracováním subjektů údajů,
- žádostí subjektu údajů o výkon jeho práv, včetně oznamovací povinnosti,
- ověření identity subjektu údajů,
- (a hlášení) incidentů, včetně oznamovací povinnosti
- šetření prováděných dozorovým orgánem – Úřadem na ochranu osobních údajů.   

V praxi to znamená, že musíte zaznamenávat a uchovávat informace třeba o tom, že u vás byla kontrola a že evidujete (neboli logujete), kdo s daty pracoval.  

Při zapracování GDPR ve vaší firmě musíte myslet třeba na evidenční nebo oznamovací povinnost.
Nastavuje povinnou sílu hesel uživatelů. Uživatelé budou podle administrátorových pokynů používat hesla třeba s třemi velkými písmeny a  číslicemi a znaky.
Příkladem je uložení dat v SQL databázi. Ta zajišťuje, že se k údajům dostanou pouze uživatelé s přístupovými údaji přidělenými od administrátora.