GDPR - Poradna (CZ)

Z Asseco Solutions
Přejít na: navigace, hledání
groups: lcs ; lcseditor ; partner (ro) ; translator (ro) ; customer (ro) ; anonymous (ro) ;

Obsah

Ochrana osobních údajů obecně

Legislativa

Zjednodušeně řečeno, GDPR je nový evropský zákon, který spojil dohromady osvědčená pravidla ochrany osobních údajů z různých států s hledisky kybernetické bezpečnosti, snadného elektronického sdílení a zároveň i ochrany práv lidí při robotizovaném zpracování. Celý název zní „Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů“.


Co musí instituce dle GDPR nařízení dělat

Nařízení GDPR jsou platná pro všechny, zajištění souladu však vyžaduje selektivní přístup v závislosti na oborovém zaměření a rozsahu zpracování osobních údajů. Ucelené řešení stojí na čtyřech pilířích – právním, procesním, technickém a myšlenkovém.


S GDPR by měly být spojeny minimálně tyto kroky:

  • Analýza, kde jsou ve firmě uchovávány osobní údaje – to se týká dokumentů a dat v elektronické i listinné podobě
  • Zhodnocení procesů, co se s daty děje, k čemu je firma využívá, kdo s nimi pracuje a jak
  • Zhodnocení technické – aplikace, databáze, operační systémy, hardware, zabezpečení
  • Zhodnocení rizik, návrh opatření a stanovení postupu zavedení potřebných opatření
  • Úprava procesů, zavedení norem, popř. zvolení pověřence (DPO)
  • Implementace nových pravidel a procesů zpracování osobních dat
  • Zprovoznění technických opatření


Informační systém může být v tomto procesu pouze jedním z nástrojů k dosažení cílů stanovených GDRP. Produkt HELIOS Orange bude rozšiřován o funkcionality s tímto tématem související a poskytující podporu k dosažení vybraných požadavků nařízení.

Podpora GDPR v HELIOS Orange

Aplikační rozsah řešení GDPR bude realizován v několika samostatných oblastech. Především v oblastech zabezpečení osobních údajů a v administraci povinných evidencí. Správa osobních údajů v systému HELIOS Orange bude vyhovovat z hlediska principů GDPR a zjednoduší implementaci vašich organizačně procesních změn a opatření.

(Aktualizováno 17. 04. 2018)

Zabezpečení osobních údajů – standard

  • Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace, která je v systému HELIOS Orange zajištěna architekturou dat
  • Omezení práva na moduly, přehledy a akce
  • Zabezpečení dokumentů proti neoprávněnému přístupu ve společných přehledech číselníků (Dokumenty a dokumenty v HELIOS Controlling)
  • Omezení práva na definice zprávdistribuce květen 2018
  • Možnost exportu dat formátem zprávy HELIOS-XML bez vazby na zaměstnance či kontaktní osobu – distribuce květen 2018
  • Možnost účtování a exportu z účetního deníku do TXT formátů (Účto TXT a Účto TXT UNICODE) a XML bez údajů o zaměstnanci a kontaktní osobě – distribuce květen 2018
  • Omezení přístupu k osobním údajům zejména v editorech, přehledech, při tisku a exportu – Práva na sloupce (citlivé informace) - nutné znát systémový nebo veřejný název tabulky
  • Omezení přístupových práv na sestavy v Generátorech účetních, mzdových, personálních sestav a sestav účetních standardů – lze definovat uživatele nebo role, které mají právo na danou sestavu


Správa osobních údajů – standard

Souhlasy se zpracováním

Evidence souhlasů s popisem účelu, pro který je souhlas udělen, stavem a dobou trvání. Pro získání souhlasů bude nutné v souhlasech založit požadované záznamy pro jednotlivé subjekty údajů, souhlas získat a pak výsledný stav zadat do příslušného záznamu. Dále bude nutné pravidelně kontrolovat platnost souhlasů. V případě odebrání souhlasu subjektem údajů bude na základě zaznamenaného požadavku potřeba příslušný souhlas vyhledat a ukončit jeho platnost.

  • Souhlasy jsou dostupné na záznamech zaměstnanců, uchazečů o zaměstnání, kontaktních osob a organizací
  • Ke každému záznamu souhlasu lze přiřadit dokumenty (např. oskenovaný souhlas)


Výpis hodnot k subjektu údajů

Manuální prohledání evidencí s osobními údaji v IS HELIOS, vyhledání navázaných záznamů přes vztahy, prohledání dokumentů fulltextovým vyhledáváním, vyhledáním záznamů v protokolech.


Žurnál změn osobních údajů – distribuce květen 2018

Změny atributů osobních údajů budou logovány podle uživatelského nastavení do protokolu změn. Dále bude podpořeno smazání těchto záznamů při anonymizaci údajů.

  • Zobrazení historických hodnot na atributu (pouze verze iNUVIO)


Správa osobních údajů – rozšířená verze

Práva na atributy osobních údajů

Omezení přístupu k osobním údajům zejména v editorech, přehledech, při tisku a exportu – Práva na sloupce (citlivé informace).

  • Rozšířeno o Kategorie atributů – zjednoduší orientaci a nastavení atributů podobného charakteru stejným způsobem. Předdefinované kategorie osobních údajů lze měnit podle potřeb a rovněž lze přidávat uživatelské databázové položky ze zakázkových řešení, popř. externí atributy.


Souhlasy se zpracováním

Evidence souhlasů s vazbou na účely zpracování a kategorie atributů.

  • Hromadné akce – generování souhlasů, změna stavu
  • Import souhlasů ze souboru – distribuce květen 2018
  • Kontrola platnosti při požadavku o výmaz OÚ – distribuce květen 2018
  • Strukturovaný tiskový formulář souhlasu – distribuce květen 2018


Zdroje osobních údajů

Prvotní evidence osobních údajů (zaměstnanci, uchazeče o zaměstnání, kontaktní osoby a organizace) byly rozšířeny o vazbu na číselník Zdroje osobních údajů. K záznamům subjektů osobních údajů lze ukládat informace, odkud byly osobní údaje získány, jak jednotlivě, tak i pomoci nástrojů hromadných změn těchto informací.


Účely zpracování

Základní agenda modulu, která mapuje jednotlivé procesy z pohledu práce s osobními údaji. Eviduje účely zpracování, třídy dat, které jsou pro konkrétní účel využívány, a využívané kategorie osobních údajů. Součástí jsou údaje o zákonnosti zpracování, době oprávněného zpracování, nastavení pro přenositelnost údajů apod. Využívá se pro zjištění a výpisy záznamů zpracování ke konkrétnímu subjektu, definice souhlasů nebo kontroly oprávnění zpracování, doby úschovy záznamů a návrhů na smazání/anonymizaci údajů.

  • Nastavení pro nejčastější procesy a jejich standardní implementaci, které může být buď přímo využito, nebo slouží jako inspirace a rychlý návod při zadávání vlastních procesů.

Evidence požadavků subjektu údajů – distribuce květen 2018

Evidence veškeré komunikace se subjekty údajů s řadou nástrojů – kdo a kdy poslal požadavek, čeho se týkal, jaké z toho plyne omezení, přílohy, stav vyřízení apod.


Výpis hodnot k subjektu údajů – distribuce květen 2018

Na vyžádání musí správce poskytnout subjektu údajů informace o evidovaných OÚ a veškerém zpracování jeho údajů v celém systému.

  • V rozšířené verzi program vyhledá všechny shody údajů subjektu podle zadaných kritérií (jméno a příjmení) v rámci celého systému a provede se ztotožnění subjektu (potvrzení dohledaných záznamů). Je připraven tiskový formulář, který obsahuje přehled uložených záznamů osobních údajů v IS HELIOS a jejich zdroje. Dále může obsahovat popis způsobu zpracování a ochrany osobních údajů a informace o právech subjektů, které se nastaví v konfiguraci modulu.


Záznamy zpracování – distribuce květen 2018

Automatické dohledání navázaných záznamů napříč systémem, vyhledání v protokolech. Určení zákonností a doby zpracování včetně popisu, návrhy na anonymizaci v procesech zpracování osobních údajů.

  • Souhrnný report, který na základě dohledaných údajů subjektu a nastavení na Účelech zpracování najde potřebné informace a poskytne je ve formě strukturovaného výpisu v exportovatelné podobě. Podle požadavků vypíše pro příslušný subjekt evidované osobní údaje, jejich zdroje (ze všech evidencí, kde může být konkrétní osoba v systému evidována) a v jakých procesech systému jsou údaje používány s uvedením doby, po kterou mají být záznamy uchovány.

Anonymizace – distribuce květen 2018

Právo na výmaz je v systému realizováno formou anonymizace osobních údajů.

  • Anonymizační funkce, která přepíše nebo smaže všechny atributy, které jsou navrženy k anonymizaci funkcí pro kontrolu oprávnění. Předpis pro způsob anonymizace bude nastavitelný na každém atributu. Funkce zároveň promaže všechny související informace a logy, kde se mohou údaje o subjektu nacházet.


Omezení zpracování – distribuce květen 2018

Automatické promítnutí vybraných požadavků subjektu údajů do omezení na příslušném záznamu subjektu a jeho odstranění při vyřízení požadavku. Jedná se o evidence Zaměstnanci, Uchazeči, Kontaktní osoby, Organizace a Rodinní příslušníci. Skutečnost, že zpracování osobních údajů je omezeno, je označena na záznamech stavem „Omezené zpracování“.


Sledování aktivit uživatelů – plán distribuce září 2018

Připravujeme univerzální monitorovací nástroj, který umožní nad vybranými moduly sledovat, které akce byly spuštěny a nad kterými záznamy. Ze záznamů protokolu lze identifikovat případné bezpečnostní incidenty porušení ochrany nebo úniku osobních údajů.

Osobní nástroje
Jmenné prostory
Varianty
Akce
Navigace
dokumentace orange
dokumentace easy
společné návody a tipy
interní dokumentace
Nástroje
další nástroje
Tisk/export