Jak začít - Ochrana dat a GDPR v ABRA Gen

GDPR je psáno obecně, aby bylo použitelné v širším rozsahu (různé země, různá specifika). Stanovena je ale zásada, kterou je vhodné při výběru a realizaci opatření také zohlednit. Jde o zásadu přiměřenosti (článek 32 GDPR): Opatření je třeba činit s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob.

Provést vstupní analýzu pro získání přehledu o stávajícím stavu zpracování osobních údajů. Prověřit existenci, obsah a platnost souvisejících dokumentů (směrnic). Vyhodnotit rozsah zpracovávaných osobních údajů, úroveň jejich ochrany ve vztahu k dosud platné legislativě (zákon na ochranu osobních údajů). Specifikovat účely zpracování, zákonné důvody, v minulosti udělená povolení ke zpracování (většina jich patrně nebude nové legislativě vyhovovat a bude je zapotřebí obnovit, viz níže), způsoby plnění informačních povinností. Vypracovat přehled, kdo a jakým způsobem údaje zpracovává. Obecně prověřit možnosti naplňování požadavků nové legislativní úpravy.

Následující body vám mohou být nápomocny:

• Zanalyzovat a dle potřeby změnit vaše firemní procesy, při kterých se pracuje s osobními údaji, provést výběr řešitele/řešitelů ochrany dat pro jednotlivé oblasti zpracování dat. Je vhodné si projít vlastní firmu, a to jak z pohledu zákazníků, tak z pohledu vlastních pracovníků, a to od prvního kontaktu přes všechny fáze až do ukončení spolupráce. Přitom je vhodné odpovědět si na otázky:

  • Odkud se evidovaná osobní data berou? Kde osobní data získáme, kde všude se pak objevují. Kam putují a v jaké formě.
  • K čemu a jak data používáme? Kdo má k datům přístup? Musí k nim mít přístup každý z našich pracovníků?
  • Opravdu potřebujeme všechna data? Je opravdu potřebné evidovat vše, co evidujeme? Vyžaduje to nějaký náš proces nebo zákon?
  • Kde všude osobní data máme? Např. ABRA Gen, ostatní systémy, telefony, tablety, papírové podoby.

  • Jak jsou data zabezpečená? Kdo k nim může? Je potřeba, aby tam měl přístup? Zálohujeme data, jak je záloha zabezpečená? Jsou data dostupná pouze pod heslem? Jsou data uzamčena?

    V jednotlivých fázích definujte, která data potřebujete evidovat a jak dlouho.

•  Provést si analýzu možných rizik ztráty dat a jejich dopadu, návrhy opatření a provést jejich realizaci. Možné otázky zde:

  • Jak by mohlo dojít k odcizení osobních údajů? A jak velké riziko je?
  • Jsou data na vlastním počítači/serveru? 
    • Je zabezpečen, máme aktuální verzi OS, antivir, firewall, šifrovaný disk, dostatečně bezpečné heslo?
    • Je počítač zabezpečen proti ztrátě či zničení? Jaké riziko mi hrozí v případě ztráty či zničení? Mám zálohovaná data? Nehrozí, že by díky odcizení došlo ke zneužití osobních údajů? A jaký by to mělo dopad na subjekt údajů?

  • Kde ukládám papírovou formu dokumentů? Je toto místo zabezpečeno proti přístupu neoprávněných osob? Potřebuji trezor? Kdo všechno má klíče?

    Vytvořte si např. seznam v tabulce MS Excel, zapište zmapovaná rizika a pro vysoká rizika navrhněte opatření a proveďte jejich realizaci (Zašifrování disků? Výměna klíčů k místnosti se šanony? Pořízení trezoru? 

• Provést revizi a příp. úpravy smluv se svými zaměstnanci, ale i odběrateli, dodavateli, uzavřít zpracovatelské smlouvy se svými zpracovateli. Možné otázky zde:

  • Mám data uložena v cloudu?

  • Předávám osobní údaje jiné společnosti? Např. dopravcům, externím účetním?

    Zrevidované smlouvy mohou sloužit pro následné automatické generování povolení ke zpracování dat, viz dále.

• Odstranit evidence s osobními údaji, které nepotřebujete

  Jedná se o neoprávněně evidované osobní údaje, k jejichž zpracování neexistuje žádný zákonný důvod. Např. různé dokumenty na discích.

• Sestavit systém hlášení bezpečnostních incidentů

• Připravit se na uplatňování práv subjektů osobních údajů. Možné otázky zde:

  • Plním informační povinnost? Jak informuji subjekt údajů o tom, jak zpracovávám osobní údaje? (Např. umístěním dostupné a transparentní informace na své web. stránky.)

• Od subjektů GDPR sbírat ta povolení ke zpracování dat, u kterých není oprávnění ke zpracování dáno zákonným důvodem, na základě kterého lze povolení ke zpracování dat vytvořit automaticky (podle čl. 6, odst. 1 a) v http://www.privacy-regulation.eu/cs/6.htm). (Ostatní povolení si budete moci nechat vygenerovat později automaticky v systému ABRA Gen na základě definovaných pravidel a existujících dat (dokladů, smluv, zaměstnanců aj.)) Možné otázky zde:

  • Co již existující souhlasy? Když dnes odesílám např. newslettery klientům, potřebuji nový souhlas? Zde je třeba posoudit, za jakých podmínek jste souhlas získali a zda není v rozporu s novým zněním obchodních podmínek. Také je vhodné posoudit, o jaké informace se jedná. Např. pokud jde o informaci o vydání nové verze a poskytl vám kontaktní osobu za to odpovědnou, pak by k tomu mělo stačit, že se jedná o vašeho klienta, který zakoupil váš produkt a pak je možné obhájit oprávněnost zaslání takové informace.
  • Nová povolení od obchodních partnerů - u subjektů, kde nemáte žádné povolení nebo kde stávající povolení nevyhoví, začněte povolení sbírat.
  • Povolení od zaměstnanců: Pokud se jedná o údaj, který nemusíte evidovat z titulu zaměstnaneckého poměru - např. použití fotografie, záznamu videa, kde zaměstnanec figuruje apod., pak byste si měli zajistit souhlasy (např. podpisem papírového dokumentu a jeho archivací a následným zadáním do ABRA Gen)
• a jiné

  Podnětné informace a tipy naleznete na www.abra.eu v sekci GDPR.

Tato přípravná fáze přesahuje rámec systému ABRA Gen a systém nemůže tyto činnosti provést za vás. Nicméně je to nezbytnou podmínkou pro to, abyste byli na GDPR řádně připraveni.

Obdobně toto platí i v případě, že budete chtít chránit jiné položky v systému z jiného důvodu než GDPR, i když v první fázi využití této možnosti zatím nepředpokládáme.

Poté můžete přejít k dalším přípravným krokům, které se již přímo týkají provozu ABRA Gen.

Definice vytvořte nejlépe:

• využitím instalační sady. Může to být Startovací instalační sada, ale může jít i o instalační sadu, kterou vám na míru připraví konzultant servisní sítě dodavatele.

  

  Příklad předvyplněných pravidel po importu sady

• Hlavička - Na záložce Hlavička je třeba kromě Kódu a Názvu zadat odkaz na Definici ochrany dat (k ní se pak bude vztahovat vygenerované povolení, které bude ovlivňovat dostupnost položek chráněných danou definici oprávněným uživatelům z dané definice), Oblast (určuje, z jakých zdrojů se budou povolení generovat, např. z faktur) a Platnost budoucího povolení. Více viz... Délka platnosti je dána dobou, kterou dokážete pro danou situaci odůvodnit před případnou kontrolou.

  

  Příklad zadání údajů v záložce Hlavička pravidla pro generování z aktivit (pro oblast aktivity)

• Parametry - V parametrech pravidel je třeba zkontrolovat nastavení jednotlivých parametrů, zejména zatržení položky Generovat povolení ke zpracování i pro osoby ve firmě pro osoby připojené k firmám na jejich záložce Osoby (doporučeno) a pro oblast Aktivity a Smlouvy zatržení položky Pro typ partnera "Firma" generovat povolení ke zpracování i pro osoby ve firmě pro osoby připojené k firmám na jejich záložce Osoby (doporučeno). Dále je třeba zkontrolovat odkazy na řady dokladů - pokud by instalační sada obsahovala i nastavení řad, pak by tyto nemusely odpovídat vašim konkrétním datům a bylo by třeba vybrat jiné adekvátní řady.

  

  Příklad zadání údajů v záložce Parametry pravidla pro generování z dokladů (pro oblast dokladů)

  Pro některé typy úloh je třeba definovat pravidla ke konkrétním řadám dokladů. Viz též příklady procesů - např. Řízení přístupu pro smlouvy.

Pravidla vytvořte s ohledem na vaši fázi Přípravy - rozmyšlení si okruhu chráněných položek a toho, jak dlouho a na základě čeho by oprávnění uživatelé k nim měli mít přístup:

• pravidla pro generování - slouží pro generování povolení ke zpracování dat z vybraných agend
• pravidla pro zakládání nových osob/zaměstnanců a firem - aplikují se při založení nových záznamů
• pravidla pro hromadné ruční generování povolení z adresáře firem nebo adresáře osob

Upravte si naplánované úlohy pro generování povolení ke zpracování dat dle potřeby (naplánovaná doba a parametry úloh výběrem z pravidel).

• spustit generování dle pravidel - (například spuštěním naplánovaných úloh mimo plán, příp. ručně z agendy Povolení, pokud nemáte automatizační server).

• zajistit doplnění povolení získaných ručně

  Pro ruční sběr povolení lze využít webovou službu pro sběr souhlasů se zpracováním osobních údajů dle GDPR poskytovanou firmou ABRA Software a.s. Více viz... Součástí je možnost obeslání vybraných subjektů požadavkem na udělení povolení (definovatelný vzhled, obsah) využitím modulu Odeslané e-maily. Adresát obdrží e-mail s odkazem na webový formulář žádosti, kde může udělit souhlas. Udělený souhlas se prostřednictvím Web API propíše zpět do ABRA Gen. V případě zájmu kontaktujte svého obchodníka či obchodní oddělení výrobce.

Další případy, kdy je třeba ručně zadat povolení, např. pro:

• vlastní firmu - neexistují doklady, ze kterých by se dala povolení vygenerovat, nicméně vlastní firma bude chráněná stejně jako ostatní firmy z adresáře firem
• různé fiktivní "firmy" typu Dovolená, Nemoc a podobně, typicky používané v rámci CRM

Více viz... Jak začít s ochranou dat, zde Počáteční nastavení agend ochrany dat.