GDPR sebou přináší posun v myšlení. Tato směrnice výslovně zavádí několik zásad, jako je Princip „odpovědnosti“ a „Privacy by design“, a vyzývá organizace, aby převzaly větší zodpovědnost za ochranu osobních údajů, které zpracovávají.

Privacy by design je přístup k návrhu a tvorbě systémů, který v sobě obsahuje prvky ochrany soukromí. Přístup by se dal přeložit jako „ochrana soukromí zabudovaná do návrhu”, používá se ale anglický pojem. Přístup se prolíná celým cyklem navrhování systému – například informačního systému nebo návrhu procesního řízení organizace. Pokud zpracováváte velké množství dat nebo se zabýváte citlivými informacemi, v mnoha případech budete muset provést také posouzení dopadů ochrany dat tak, aby splňovaly zásadu Privacy by design.

Podpora GDPR v informačním systému HELIOS Orange

Aplikační rozsah řešení GDPR bude realizován v několika samostatných oblastech. Především v oblastech zabezpečení osobních údajů a v administraci povinných evidencí. Správa osobních údajů v informačním systému HELIOS Orange bude vyhovovat z hlediska principů GDPR a zjednoduší implementaci vašich organizačně procesních změn a opatření.

V informačním systému HELIOS Orange budete mít možnost zvolit buď verzi Standard, která je součástí podpory v rámci systémové podpory (nedoplácí se) a která obsahuje nezbytně nutné funkcionality vycházející z požadavků GDPR, nebo Rozšířenou verzi GDPR, kterou je nutno dokoupit za licenční poplatek. Nevýhoda standardní verze je vyšší pracnost pro nastavení, získání výstupů a práci s osobními údaji. Rozšířená verze umožňuje nadstandardní práci s osobními údaji, poskytuje větší komfort pro plnění požadavků GDPR, má více funkcí.

Standard verze poskytne nástroje a evidence požadované zákonem, do kterých si zákazník může ručně zadat vše, co potřebuje pro zmapování zpracování osobních údajů. Přidané nástroje nabídnou možnost základního nastavení systému a manuálního řízení procesu zpracování osobních údajů.

Zabezpečení osobních údajů
  • Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace, která je v systému HELIOS Orange zajištěna architekturou dat
  • Omezení práva na moduly, přehledy a akce
  • Zabezpečení dokumentů proti neoprávněnému přístupu ve společných přehledech číselníků (Dokumenty a dokumenty v HELIOS Controlling)
  • Omezení práva na definice zpráv – distribuce květen 2018
  • Možnost exportu dat formátem zprávy HELIOS-XML bez vazby na zaměstnance či kontaktní osobu – distribuce květen 2018
  • Možnost účtování a exportu z účetního deníku do TXT formátů (Účto TXT a Účto TXT UNICODE) a XML bez údajů o zaměstnanci a kontaktní osobě – distribuce květen 2018
  • Omezení přístupu k osobním údajům zejména v editorech, přehledech, při tisku a exportu – Práva na sloupce (citlivé informace) – nutné znát systémový nebo veřejný název tabulky
  • Omezení přístupových práv na sestavy v Generátorech účetních, mzdových, personálních sestav a sestav účetních standardů – lze definovat uživatele nebo role, které mají právo na danou sestavu
Souhlasy se zpracováním

Evidence souhlasů s popisem účelu, pro který je souhlas udělen, stavem a dobou trvání. Pro získání souhlasů bude nutné v souhlasech založit požadované záznamy pro jednotlivé subjekty údajů, souhlas získat a pak výsledný stav zadat do příslušného záznamu. Dále bude nutné pravidelně kontrolovat platnost souhlasů. V případě odebrání souhlasu subjektem údajů bude na základě zaznamenaného požadavku potřeba příslušný souhlas vyhledat a ukončit jeho platnost.

  • Souhlasy jsou dostupné na záznamech zaměstnanců, uchazečů o zaměstnání, kontaktních osob a organizací
  • Ke každému záznamu souhlasu lze přiřadit dokumenty (např. oskenovaný souhlas)
Výpis hodnot k subjektu údajů

Manuální prohledání evidencí s osobními údaji v IS HELIOS, vyhledání navázaných záznamů přes vztahy, prohledání dokumentů fulltextovým vyhledáváním, vyhledáním záznamů v protokolech.

Rozšířená verze minimalizuje práce nutné k dosažení základní shody s nařízením. Při počátečním nastavení systému nabídne maximální standardní přednastavení, při běžném provozu systému pak nástroje pro automatizaci odbourají ruční práci zadavatelů, sníží tak riziko selhání lidského faktoru. Připravené výpisy usnadní komunikaci se subjekty údajů.

Práva na atributy osobních údajů

Omezení přístupu k osobním údajům zejména v editorech, přehledech, při tisku a exportu – Práva na sloupce (citlivé informace).

  • Rozšířeno o Kategorie atributů – zjednoduší orientaci a nastavení atributů podobného charakteru stejným způsobem. Předdefinované kategorie osobních údajů lze měnit podle potřeb a rovněž lze přidávat uživatelské databázové položky ze zakázkových řešení, popř. externí atributy.
Souhlasy se zpracováním

Evidence souhlasů s vazbou na účely zpracování a kategorie atributů.

  • Hromadné akce – generování souhlasů, změna stavu
  • Import souhlasů ze souboru – distribuce květen 2018
  • Kontrola platnosti při požadavku o výmaz OÚ – distribuce květen 2018
  • Strukturovaný tiskový formulář souhlasu – distribuce květen 2018
Zdroje osobních údajů

Prvotní evidence osobních údajů (zaměstnanci, uchazeče o zaměstnání, kontaktní osoby a organizace) byly rozšířeny o vazbu na číselník Zdroje osobních údajů. K záznamům subjektů osobních údajů lze ukládat informace, odkud byly osobní údaje získány, jak jednotlivě, tak i pomoci nástrojů hromadných změn těchto informací.

Účely zpracování

Základní agenda modulu, která mapuje jednotlivé procesy z pohledu práce s osobními údaji. Eviduje účely zpracovánítřídy dat, které jsou pro konkrétní účel využívány, a využívané kategorie osobních údajů. Součástí jsou údaje o zákonnosti zpracování, době oprávněného zpracování, nastavení pro přenositelnost údajů apod. Využívá se pro zjištění a výpisy záznamů zpracování ke konkrétnímu subjektu, definice souhlasů nebo kontroly oprávnění zpracování, doby úschovy záznamů a návrhů na smazání/anonymizaci údajů.

  • Nastavení pro nejčastější procesy a jejich standardní implementaci, které může být buď přímo využito, nebo slouží jako inspirace a rychlý návod při zadávání vlastních procesů.
Evidence požadavků subjektu údajů

Evidence veškeré komunikace se subjekty údajů s řadou nástrojů – kdo a kdy poslal požadavek, čeho se týkal, jaké z toho plyne omezení, přílohy, stav vyřízení apod.

Výpis hodnot k subjektu údajů 

Na vyžádání musí správce poskytnout subjektu údajů informace o evidovaných OÚ a veškerém zpracování jeho údajů v celém systému.

  • V rozšířené verzi program vyhledá všechny shody údajů subjektu podle zadaných kritérií (jméno a příjmení) v rámci celého systému a provede se ztotožnění subjektu (potvrzení dohledaných záznamů). Je připraven tiskový formulář, který obsahuje přehled uložených záznamů osobních údajů v IS HELIOS a jejich zdroje. Dále může obsahovat popis způsobu zpracování a ochrany osobních údajů a informace o právech subjektů, které se nastaví v konfiguraci modulu.
Záznamy zpracování 

Automatické dohledání navázaných záznamů napříč systémem, vyhledání v protokolech. Určení zákonností a doby zpracování včetně popisu, návrhy na anonymizaci v procesech zpracování osobních údajů.

  • Souhrnný report, který na základě dohledaných údajů subjektu a nastavení na Účelech zpracování najde potřebné informace a poskytne je ve formě strukturovaného výpisu v exportovatelné podobě. Podle požadavků vypíše pro příslušný subjekt evidované osobní údaje, jejich zdroje (ze všech evidencí, kde může být konkrétní osoba v systému evidována) a v jakých procesech systému jsou údaje používány s uvedením doby, po kterou mají být záznamy uchovány.
Anonymizace 

Právo na výmaz je v systému realizováno formou anonymizace osobních údajů.

  • Anonymizační funkce, která přepíše nebo smaže všechny atributy, které jsou navrženy k anonymizaci funkcí pro kontrolu oprávnění. Předpis pro způsob anonymizace bude nastavitelný na každém atributu. Funkce zároveň promaže všechny související informace a logy, kde se mohou údaje o subjektu nacházet.
Omezení zpracování 

Automatické promítnutí vybraných požadavků subjektu údajů do omezení na příslušném záznamu subjektu a jeho odstranění při vyřízení požadavku. Jedná se o evidence Zaměstnanci, Uchazeči, Kontaktní osoby, Organizace a Rodinní příslušníci. Skutečnost, že zpracování osobních údajů je omezeno, je označena na záznamech stavem „Omezené zpracování“.

Připravujeme univerzální monitorovací nástroj, který umožní nad vybranými moduly sledovat, které akce byly spuštěny a nad kterými záznamy. Ze záznamů protokolu lze identifikovat případné bezpečnostní incidenty porušení ochrany nebo úniku osobních údajů.

Porovnání základní verze a rozšiřujícího modulu GDPR.

modul_gdpr_srovnani_verzi Jak je informační systém HELIOS Orange připraven na GDPR

Jaké jsou vaše povinnosti podle GDPR?

Je důležité si uvědomit, že vy, jako zákazníci a správce údajů, máte specifické právní závazky podle GDPR. Měli byste být přesvědčeni, že všichni zpracovatelé dat, s nimiž spolupracujete, mají zodpovědný přístup k ochraně údajů, chápou povinnosti GDPR a jsou dobře připraveni je plnit. Nezapomeňte však, že žádný  výrobce informačního systému vám nemůže poskytnout řešení pro „vyřešení“ GDPR. Žádný zákon neukládá výrobci informačního systému HELIOS Orange implementovat normu GDRP do jeho systémů a neexistuje žádná právní úprava či nějaká certifikační autorita, která by dokázala posoudit software z pohledu připravenosti na GDRP. Veškerá zodpovědnost je na straně správce osobních údajů.

Obecně lze tedy říci, že:
– Naše společnost nebude zajišťovat a nabízet konzultační a metodickou roli k zavádění GDPR.
– Je odpovědností správce přijmout potřebná technická a metodická opatření.
Informační systém HELIOS Orange poskytuje podmínky – prostředí pro naplnění směrnice.

 

Pro další informace ohledně řešení GDPR v informačním systému HELIOS Orange nás kontaktujte.

Jak je to s informačními systémy a GDPR se můžete podrobněji dočíst i v článku na serveru SystemOnLine.cz.

Použité zdroje informací: Helios.eu, ManagementMania.com

Kontaktujte nás