Ako vyhovieť požiadavkám GDPR

Efektívny systém ochrany osobných údajov v systéme ABRA Gen od firmy ABITec vyhovie nielen požiadavkám nariadenia GDPR - ponúka pokročilé nástroje, ktoré umožnia presne určiť, kto bude mať k vybraným údajom prístup a ako s nimi bude môcť zaobchádzať.

GDPR vstúpi do platnosti už  25.05.2018.
Preto neváhajte a kontaktujte nás čo najskôr a my sa aj s naším právnikom postaráme o to, aby ste mali všetko v súlade s GDPR.

KONTAKTUJTE NÁS

Pripravte svoj web na GDPR

Uspešne zvládnite GDPR - 10 krokov ako na to

 

 

1

Analyzujte všetky firemné procesy, pri ktorých zaobchádzate s osobnými údajmi. Využite náš interaktívny formulár pre analýzu firemných procesov v rámci príprav na GDPR. K stiahnutiu zadarmo. - Pre správne fungovanie formulára odporúčame použiť Adobe Acrobat Reader

2

Konzultujte výsledky analýzy a následné kroky s profesionálnym právnym poradcom, ktorý definuje úkony potrebné práve pre Vaše podnikanie. Napríklad je potrebné vyhodnotiť, potrebu ustanoviť DPO (Data Protection Officer), vykonať prípravu analýzy rizík, či podniknúť ďalšie kroky určené len pre vybrané spoločnosti.

3

Pripravte si akčný plán, podľa ktorého budete postupovať tak, aby všetky potrebné zmeny prebehli k dátumu platnosti nariadenia - 25. mája 2018.

4

V spolupráci s právnym poradcom zrevidujte a podľa potreby upravte vnútorné smernice.

5

Vykonajte potrebné zmeny zabezpečenia dát vrátane úprav IT systémov, prípadne vyberte systém, ktorý bude požiadavkám GDPR vyhovovať a uľahčí Vám tak prechod na nové pravidlá a prácu s dátami.

6

Naplánujte a realizujte nevyhnutné školenia zamestnancov v zaobchádzaní s osobnými údajmi, starostlivo definujte a nastavte mieru ich oprávnenia.

7

Revidujte a upravte zmluvy s dodávateľmi, odberateľmi aj zamestnancami. Je potrebné vziať do úvahy, že aj ostatné spoločnosti budú riešiť obdobnú agendu takže následný schvaľovací proces môže byť miestami pre obe strany zdĺhavý.

8

Postarajte sa o zabezpečenie dát proti úniku a zaistite všetky potrebné záznamy.

9

Zaistite súhlasy na spracovanie osobných údajov od všetkých subjektov osobných údajov, ktorých informácie spracovávate. Súhlasy podľa GDPR možno začať zhromažďovať už teraz (napr. upraviť formuláciu pre súhlas so zasielaním obchodných oznámení). Formuláciu je vhodné konzultovať s právnym poradcom, aby úplne vyhovela svojmu účelu.

10

Zlikvidujte nevyhovujúce nosiče, médiá a zálohy s dátami, k uchovávaniu ktorých nebudete mať oprávnenie a odstráňte údaje z ďalších miest podľa výsledkov analýzy.

Všetky kroky je nutné stihnúť do 25. mája 2018, kedy nariadenie GDPR vojde do platnosti.
Akékoľvek zmeny vo firemných procesoch odporúčame konzultovať s právnym poradcom.

ABRA Software poskytuje účinný nástroj, ktorý Vám pomôže zaobchádzať s osobnými údajmi plne v súlade s GDPR. Informačný systém ABRA Gen bude pracovať plne v súlade s jeho požiadavkami.

Odpovedáme na Vaše otázky - FAQ

Keď budem mať informačný systém fungujúci podľa GDPR, nemusím sa teda už o nič ďalšie starať?

Nie je to tak, správne fungujúci informačný systém je len jedným z niekoľkých bodov, ktorý je potrebné do platnosti európskeho nariadenia zabezpečiť. Bude potrebné získať predpísané súhlasy, upraviť zmluvy, vnútorné smernice, preškoliť zamestnancov a používaný informačný systém správne nastaviť vzhľadom na konkrétne procesy vo firme. Na našej stránke sme pre vás zhrnuli všetky potrebné kroky k úspešnému zvládnutiu GDPR.

Rozpozná ABRA Gen automaticky, aké údaje má chrániť a ako?

Nie, ako každý informačný systém, aj ABRA Gen je potrebné najprv správne nastaviť a využívať - ak napríklad bude rodné číslo v položke, ktorá nie je na spracovanie rodného čísla určená (napr. v položke IČ) alebo nebude na spracovanie udelený súhlas, samotný informačný systém ochranu dát nezaručí. Na začiatku je potrebné analyzovať procesy, pri ktorých sú osobné údaje spracovávané a podľa toho včas upraviť všetko potrebné. Následne vám náš systém ponúka skutočne vysokú mieru zabezpečenia.

Potrebujem súhlas k akémukoľvek spracovaniu osobných údajov? Napríklad zmluvy či zákonné požiadavky?

Osobné údaje nebude možné spracovávať bez právneho dôvodu. Súhlas je jedným z nich. Ďalšími dôvodmi môžu byť napríklad zmluva alebo zákonné požiadavky (napríklad na archiváciu zmlúv, zákonnej záruky a pod.). V systéme ABRA Gen bude možné evidovať, na akom právnom základe možno s danými údajmi zaobchádzať, teda či a za akým účelom a na akú dlhú dobu bol súhlas udelený, prípadne po akej zákonnej lehote je možné či nutné údaje vymazať. Pre konkrétne nastavenie a prácu s údajmi je vhodné všetky typy údajov najprv analyzovať a optimálny spôsob konzultovať s právnym poradcom.

Budú polia definované ako osobné údaje automaticky chránené?

Budú vytvorené tzv. vzory definícií, ktoré budú užívatelia môcť využiť pre prácu s osobnými údajmi, alebo ich využiť pre vlastné nastavenie. Od začiatku však bude potrebné nastaviť, aké údaje budú ochrane podliehať, určiť mieru oprávnenia pre rôzne osoby (napr. iné údaje uvidí mzdová účtovníčka, iné majiteľ firmy) je potrebné dopredu zvážiť všetky nutné úpravy systému podľa Vašich konkrétnych potrieb. Na tento účel je vhodné previesť najprv analýzu všetkých firemných procesov, pri ktorých je nakladané s osobnými údajmi. V základnej verzii ABRA Gen budú bezplatne k dispozícii určené skupiny položiek umožňujúcich ochranu, pokročilejšie zabezpečenia bude možné riešiť v rámci rozšírenej verzie systému alebo na objednávku.

Ktoré časti systému ABRA GEN budú umožňovať ochranu dát podľa GDPR?

Ochrana údajov bude organicky prechádzať celým systémom ABRA Gen, tzn. bude možné ju nastaviť na všetky definované polia s osobnými údajmi a bude fungovať rovnako aj v cloude či cez API.

Pokročilá ochrana osobných a citlivých dát v systéme ABRA Gen:

Nový generický systém ochrany osobných a citlivých údajov presahujúci potreby GDPR
Nástroje umožňujúce chrániť akúkoľvek položku akejkoľvek triedy objektov v ABRA Gen, vrátane užívateľsky definovaných
Nástroje pre výpis, export či vymazanie dát a evidencia žiadostí o tieto úkony vrátane ich riešenia
Šifrovaná komunikácia medzi klientskou stranou a aplikačným serverom (https)
Nová agenda Definícia ochrany dát chránená nastaviteľnými prístupovými právami a naviazaná agenda Súhlasu pre osobné údaje
Odlišná úroveň užívateľských oprávnení garantujúca prístup iba oprávneným používateľom a len na dobu, na ktorú im bol súhlas poskytnutý, alebo ak na jeho použitie existuje právny dôvod
Logovanie spracovania dát – vrátane ich čítania/zobrazenia
V základnej verzii budú chránené systémové položky v adresároch firidiv a osôb

Nariadenie GDPR detailne

Čo je GDPR

General Data Protection Regulation (GDPR) je nariadenie Európskeho parlamentu a Rady EU o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov. Nariadenie bolo prijaté v apríli tohto roku, je záväzné pre všetky členské štáty a začne platiť 25. mája 2018.

Cieľom tohto nariadenia je hájiť práva občanov proti neoprávnenému zaobchádzaniu s ich citlivými a osobnými údajmi. Tieto nariadenia rešpektujú právo na ochranu osobných údajov občanov bez ohľadu na ich štátnu príslušnosť alebo bydlisko.

Koho sa GDPR týka

Ochrana poskytovaná týmto nariadením sa týka spracovania osobných údajov fyzických osôb, alebo spoločností (právnických osôb). Ochrana fyzických osôb sa vzťahuje ako na automatizované spracovanie osobných údajov, tak aj na manuálne spracovanie, pokiaľ sú tieto údaje uložené v evidencii, alebo do nej majú byť vložené.

Zásady ochrany údajov by sa mali uplatňovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.

Nariadenie teda platí pre právnické osoby, inštitúcie aj jednotlivcov zo všetkých odvetví, ktorí pracujú s osobnými údajmi zamestnancov, zákazníkov, klientov či dodávateľov.

GDPR sa venuje ochrane digitálnych práv občanov, taktiež zahŕňa aj subjekty, ktoré sledujú či analyzujú správanie užívateľov na webe.

V prípade závažného porušenia budú firmám hroziť vysoké pokuty (až 20mil.Eur, alebo až 4% z ich celosvetového ročného obratu).

Aké zásadné zmeny GDPR prinesie

  • Občania získajú právo na výmaz a jeho rozšírenie na právo byť zabudnutý, tzn. správca musí bez zbytočného odkladu všetky osobné údaje vymazať, ak neexistuje právny dôvod pre ich ďalšie spracovanie.
  • Občanom musí byť umožnený prístup k údajom, ktoré sú o nich zhromažďované, a to ideálne priamo a online.
  • Občania budú mať právo vzniesť námietku proti spracovaniu osobných údajov, na ich základe nebude môcť správca údaje ďalej spracovávať, ak nebude k tomu mať preukázateľné dôvody.
  • Osobnými údajmi sa po novom rozumejú taktiež technické parametre ako e-mail, IP adresa alebo cookie v zariadení užívateľa. Pribudla tiež kategória genetických údajov.

Aké povinnosti nariaďuje GDPR inštitúciám a spoločnostiam

Nová smernica GDPR rozširuje a upresňuje súčasné právne normy o ochrane a zabezpečení osobných údajov. Základné princípy sa teda nemenia, po novom však spoločnostiam vznikajú tieto povinnosti:

  • spracovávať osobné údaje len k oprávneným účelom a len na nevyhnutne potrebný čas
  • zabezpečiť osobné údaje pred neoprávnenými osobami
  • zaistiť ohlasovaciu povinnosť v prípade zistenia úniku dát
  • poskytnúť subjektom údajov právo na:
    • výpis
    • výmaz (zabudnutie)
    • prenositeľnosť
  • viesť záznamy o spracovaní osobných údajov, spolupracovať s dozorným úradom a na jeho žiadosť mu tieto záznamy sprístupniť
  • vypracovať posúdenie vplyvu na ochranu osobných údajov (DPIA)
  • pri vybraných prípadoch zaviesť tzv. pseudonymizáciu – spracovávať osobné údaje tak, aby nemohli byť priradené konkrétnej osobe bez použitia ďalších, oddelene uchovávaných informácií
  • ohlasovať prípady porušenia zabezpečenia osobných údajov Úradu pre ochranu osobných údajov
  • oznamovať prípady porušenia zabezpečenia osobných údajov subjektom
  • ustanoviť poverenú osobu pre ochranu osobných údajov (DPO)

Základné pojmy podľa GDPR

Čo sú osobné údaje?

Všetky informácie o identifikovanej alebo identifikovateľnej fyzickej osobe (ďalej len "dotknutá osoba"). Identifikovateľná fyzickou osobou je fyzická osoba, ktorú možno priamo alebo nepriamo identifikovať, najmä odkazom na určitý identifikátor. Napríklad meno, identifikačné číslo, lokačné údaje, sieťový identifikátor, alebo jeden, či viacero faktorov špecifických pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo spoločenskú identitu tejto fyzickej osoby.

DPO

Smernica GDPR vytvára úplne novú pracovnú pozíciu Poverená osoba pre ochranu osobných údajov (Data Protection Officer), táto pozícia bude pre niektoré subjekty povinná. Hlavnou úlohou DPO bude monitorovanie súladu spracovania osobných údajov s povinnosťami vyplývajúcimi z nariadenia. DPO realizuje interné audity, školenia pracovníkov a celkové riadenie agendy internej ochrany dát.

DPIA

Posúdenie vplyvu na ochranu osobných údajov (Data Protection Impact Assessment) je odborný posudok, ktorý musí zaviesť správca, v prípade ak je pravdepodobné, že určitý druh spracovania, hlavne pri využití nových technológií, s prihliadnutím k povahe, rozsahu, kontextu a účelom spracovania bude predstavovať vysoké riziko pre práva a slobody fyzických osôb.

Subjekt údajov

Fyzická osoba, ku ktorej sa osobné údaje vzťahujú.

Správca osobných údajov

Každá právnická osoba, úrad či inštitúcia, ktorá behom svojej činnosti zhromažďuje, spracováva uchováva osobné či citlivé údaje.

Spracovateľ osobných údajov

Každá fyzická, alebo právnická osoba či iný subjekt, ktorý spracováva osobné údaje. Spracovateľom je každý, kto má prístup k osobným údajom.

Máte ohľadom GDPR ďalšie otázky?