GDPR

Z Asseco Solutions
Prejsť na: navigácia, hľadanie
groups: lcs ; lcseditor ; partner (ro) ; translator (ro) ; customer (ro) ; anonymous (ro) ;

Obsah

Ochrana osobných údajov všeobecne

Legislatíva

Zjednodušene povedané, GDPR je nový európsky zákon, ktorý spojil osvedčené pravidlá ochrany osobných údajov z rôznych štátov z hľadiska kybernetickej bezpečnosti, jednoduchého elektronického zdielania a zároveň aj ochrany práv ľudí pri robotizovanom spracovaní. Celý názov znie „Nariadenie Európskeho parlamentu a Rady (EU) č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov“.


Čo musí inštitúcia podľa GDPR nariadenia vykonať

Nariadenia GDPR sú platné pre všetkých, zaistenie súladu však vyžaduje selektívny prístup v závislosti na odborovom zameraní a rozsah spracovávania osobných údajov. Ucelené riešenie stojí na štyroch pilieroch – právnom, procesnom, technickom a myšlenkovom.


S GDPR by mali byť spojené minimálne tieto kroky:

  • Analýza, kde sú vo firme uchovávané osobné údaje – to sa týka dokumentov a údajov v elektronickej aj listinnej podobe
  • Zhodnotenie procesov, čo sa s údajmi deje, k čomu ich firma využíva, kto s nimi pracuje a ako
  • Zhodnotenie technické – aplikácie, databázy, operačné systémy, hardware, zabezpečenia
  • Zhodnotenie rizík, návrh opatrení a stanovenie postupu zavedenia potrebných opatrení
  • Úprava procesov, zavedenie noriem, popr. zvolenie zodpovednej osoby (DPO)
  • Implementácia nových pravidiel a procesov spracovania osobných údajov
  • Sprevádzkovanie technických opatrení


Informačný systém môže byť v tomto procese len jedným z nástrojov k dosiahnutiu cieľov stanovených GDPR. Produkt HELIOS Orange bude rozširovaný o funkcionality s touto témou súvisiacich a poskytujúcich podporu k dosiahnutiu vybraných požiadaviek nariadenia.

Podpora GDPR v HELIOS Orange

Aplikačný rozsah riešenia GDPR bude realizovaný v niekoľkých samostatných oblastiach. Predovšetkým v oblastiach zabezpečenia osobných údajov a v administrácii povinných evidencií. Správa osobných údajov v systéme HELIOS Orange bude vyhovovať z hľadiska princípov GDPR a zjednoduší implementáciu Vašich organizačne procesných zmien a opatrení.


Warning Na tému GDPR v systéme HELIOS Orange prebehol pre všetkých zákazníkov webinár, ktorý Vás bližšie zoznamuje s novými funkcionalitami. Webinár môžete vzhliadnuť zo záznamu kliknutím na odkaz Webinář - GDPR v systému HELIOS Orange.


(Aktualizované 23. 5. 2018)


Zabezpečenie osobných údajov - štandard

  • Jedným z prvkov zabezpečenia osobných údajov je napr. ich pseudonymizácia, ktorá je v systéme HELIOS Orange zaistená architektúrou údajov
  • Obmedzenie práva na moduly, prehľady a akcie
  • Zabezpečenie dokumentov proti neoprávnenému prístupu v spoločných prehľadoch číselníkov (Dokumenty a dokumenty v HELIOS Controlling)
  • Obmedzenie práva na definície správdistribúcia máj 2018
  • Možnosť exportu údajov formátom správy HELIOS-XML bez väzby na zamestnanca alebo kontaktnú osobu – distribúcia máj 2018
  • Možnosť účtovania a exportu z účtovného denníka do TXT formátov (Účto TXT a Účto TXT UNICODE) a XML bez údajov o zamestnancovi a kontaktnej osobe – distribúcia máj 2018
  • Obmedzenie prístupu k osobným údajom najmä v editoroch, prehľadoch, pri tlači a exporte – Práva na stĺpce (citlivé informácie) - nutné poznať systémový alebo verejný názov tabuľky
  • Obmedzenie prístupových práv na zostavy v Generátoroch účtovných, mzdových, personálnych zostáv a zostáv účtovných štandardov – je možné definovať používateľov alebo role, ktoré majú právo na danú zostavu


Správa osobných údajov – štandard

Súhlasy so spracovaním

Evidencia súhlasov s popisom účelu, pre ktorý je súhlas udelený, stavom a dobou trvania. Pre získanie súhlasov bude nutné v súhlasoch založiť požadované záznamy pre jednotlivé subjekty údajov, súhlas získať a potom výsledný stav zadať do príslušného záznamu. Ďalej bude nutné pravidelne kontrolovať platnosť súhlasov. V prípade odobrania súhlasov subjektom údajov bude na základe zaznamenanej požiadavky potrebné príslušný súhlas vyhľadať a ukončiť jeho platnosť.

  • Súhlasy sú dostupné na záznamoch zamestnancov, uchádzačov o zamestnanie, kontaktných osôb a organizácií
  • Ku každému záznamu súhlasu je možné priradiť dokumenty (napr. oskenovaný súhlas)


Výpis hodnôt k subjektu údajov

Manuálne prehľadanie evidencií s osobnými údajmi v IS HELIOS, vyhľadanie naviazaných záznamov cez vzťahy, prehľadanie dokumentov fulltextovým vyhľadávaním, vyhľadaním záznamov v protokoloch.


Žurnál zmien osobných údajov – distribúcia máj 2018

Zmeny atribútov osobných údajov budú logované podľa používateľského nastavenia do protokole zmien. Ďalej bude podporené zmazanie týchto záznamov pri anonymizácii údajov.

  • Zobrazenie historických hodnôt na atribúte (len verzia iNUVIO)


Správa osobných údajov – rozšírená verzia

Práva na atribúty osobných údajov

Obmedzenie prístupu k osobným údajom najmú v editoroch, prehľadoch, pri tlači a exporte – Práva na stĺpce (citlivé informácie).

  • Rozšírené o Kategórie atribútov – zjednoduší orientáciu a nastavenie atribútov podobného charakteru rovnakým spôsobom. Preddefinované kategórie osobných údajov je možné meniť podľa potrieb a rovnako je možné pridávať používateľské databázové položky zo zákazkových riešení, popr. externé atribúty.


Súhlasy so spracovaním

Evidencia súhlasov s väzbou na účely spracovania a kategórie atribútov.

  • Hromadné akcie – generovanie súhlasov, zmena stavu
  • Import súhlasov zo súboru XML a XLS
  • Kontrola platnosti pri požiadavke o výmaz OÚ – distribúcia jún 2018
  • Štrukturovaný tlačový formulár súhlasu – distribúcia máj 2018

Zdroje osobných údajov

Prvotná evidencia osobných údajov (zamestnanci, uchádzači o zamestnanie, kontaktné osoby a organizácie) boli rozšírené o väzbu na číselník Zdroje osobných údajov. K záznamom subjektov osobných údajov je možné ukladať informácie, odkiaľ boli osobné údaje získané, ako jednotlivo, tak aj pomocou nástrojov hromadných zmien týchto informácií.


Účely spracovania

Základná agenda modulu, ktorá mapuje jednotlivé procesy z pohľadu práce s osobnými údajmi. Eviduje účely spracovania, triedy údajov, ktoré sú pre konkrétny účel využívané, a využívané kategórie osobných údajov. Súčasťou sú údaje o zákonnosti spracovania, dobe oprávneného spracovania, nastavenie pre prenositeľnosť údajov a pod. Využíva sa pre zistenie a výpisy záznamov spracovania ku konkrétnemu subjektu, definície súhlasov alebo kontroly oprávnenia spracovania, doby úschovy záznamov a návrhov na zmazanie/anonymizáciu údajov.

  • Nastavenie pre najčastejšie procesy a ich štandardnú implementáciu, ktoré môže byť buď priamo využité alebo slúžia ako inšpirácia a rýchly návod pri zadávaní vlastných procesov.


Evidencia požiadaviek subjektu údajov – distribúcia máj 2018

Evidencia celej komunikácie so subjektami údajov s množstvom nástrojov – kde a kedy poslal požiadavku, čoho sa týkala, aké z toho plynie obmedzenie, prílohy, stav vybavenia a pod.


Výpis hodnôt k subjektu údajov – distribúcia máj 2018

Na vyžiadanie musí správca poskytnúť subjektu údajov informácie o evidovaných OÚ a o kompletnom spracovaní jeho údajov v celom systéme.

  • V rozšírenej verzii program vyhľadá všetky zhody údajov subjektu podľa zadaných kritérií (meno a priezvisko) v rámci celého systému a vykoná sa ztotožnenie subjektu (potvrdenie dohľadaných záznamov). Je pripravený tlačový formulár, ktorý obsahuje prehľad uložených záznamov osobných údajov v IS HELIOS a ich zdroje. Ďalej môže obsahovať popis spôsobu spracovania a ochrany osobných údajov a informácie o právach subjektov, ktoré sa nastavia v konfigurácii modulu.


Záznamy spracovania – distribúcia jún 2018

Automatické dohľadanie naviazaných záznamov naprieč systémom, vyhľadanie v protokoloch. Určenie zákonností a doby spracovania vrátane popisu, návrhy na anonymizáciu v procesoch spracovania osobných údajov.

  • Súhrnný report, ktorý na základe dohľadaných údajov subjektu a nastavení na Účeloch spracovania nájde potrebné informácie a poskytne ich vo forme štrukturovaného výpisu v exportovateľnej podobe. Podľa požiadaviek vypíše pre príslušný subjekt evidované osobné údaje, ich zdroje (zo všetkých evidencií, kde môže byť konkrétna osoba v systéme evidovaná) a v akých procesoch systému sú údaje používané s uvedením doby, po ktorú majú byť záznamy uchované.

Anonymizácia – distribúcia jún 2018

Právo na výmaz je v systému realizovaný formou anonymizácie osobných údajov.

  • Anonymizačná funkcia, ktorá prepíše alebo zmaže všetky atribúty, ktoré sú navrhnuté k anonymizácii funkciou pre kontrolu oprávnení. Predpis pre spôsob anonymizácie bude nastaviteľný na každom atribúte. Funkcia zároveň premaže všetky súvisiace informácie a logy, kde sa môžu údaje o subjekte nachádzať.

Obmedzenie spracovania – distribúcia máj 2018

Automatické premietnutie vybraných požiadaviek subjektu údajov do obmedzenia na príslušnom zázname subjektu a jeho odstránenie pri vybavení požiadavky. Jedná sa o evidenciu Zamestnanci, Uchádzači, Kontaktné osoby, Organizácie a Rodinní príslušníci. Skutočnosť, že spracovanie osobných údajov je obmedzené, je označená na záznamoch stavom „Obmedzené spracovanie“.


Sledovanie aktivít používateľov – plán distribúcie september 2018

Pripravujeme univerzálny monitorovací nástroj, ktorý umožní nad vybranými modulmi sledovať, ktoré akcie boli spustené a nad ktorými záznamami. Zo záznamov protokolu je možné identifikovať prípadne bezpečnostné incidenty porušenia ochrany alebo úniku osobných údajov.

Warning Podrobnejšie informácie k jednotlivým funkcionalitám nájdete v príručke pre oblasť Správa osobných údajov.
Osobné nástroje
Menné priestory
Varianty
Operácie
Navigácia
dokumentácia
návody a tipy
interná dokumentácia
Nástroje
ďalšie nástroje
Tlačiť/exportovať