Ako začať - Ochrana dát a GDPR v ABRA Gen

GDPR je písané všeobecne, aby bolo použiteľné v širšom rozsahu (rôzne krajiny, rôzne špecifiká). Stanovená je ale zásada, ktorú je vhodné pri výbere a realizácii opatrenia tiež zohľadniť. Ide o zásadu primeranosti (článok 32 GDPR): Opatrenia je potrebné činiť s prihliadnutím k stavu techniky, nákladom na vykonanie, povahe, rozsahu, kontextu a účelom spracovania i k rôzne pravdepodobným a závažným rizikám pre práva a slobody fyzických osôb.

Vykonať vstupnú analýzu pre získanie prehľadu o súčasnom stave spracovania osobných údajov. Preveriť existenciu, obsah a platnosť súvisiacich dokumentov (smerníc). Vyhodnotiť rozsah spracovávaných osobných údajov, úroveň ich ochrany vo vzťahu k doposiaľ platnej legislatíve (zákon na ochranu osobných údajov). Špecifikovať účely spracovania, zákonné dôvody, v minulosti udelené povolenia na spracovanie (väčšina ich patrne nebude novej legislatíve vyhovovať a bude ich potrebné obnoviť, viď nižšie), spôsoby plnenia informačných povinností. Vypracovať prehľad, kto a akým spôsobom údaje spracováva. Všeobecne preveriť možnosti naplňovania požiadaviek novej legislatívnej úpravy.

Nasledujúce body vám môžu byť nápomocné:

• Zanalyzovať a podľa potreby zmeniť vaše firemné procesy, pri ktorých sa pracuje s osobnými údajmi, vykonať výber riešiteľa/riešiteľov ochrany dát pre jednotlivé oblasti spracovania dát. Je vhodné si prejsť vlastnú firmu, a to jednak z pohľadu zákazníkov, tak z pohľadu vlastných pracovníkov, a to od prvého kontaktu cez všetky fázy až do ukončenia spolupráce. Pritom je vhodné odpovedať si na otázky:

  • Odkiaľ sa evidované osobné dáta berú? Kde osobné dáta získame, kde všade sa potom objavujú. Kam putujú a v akej forme.
  • Na čo a ako dáta používame? Kto má k dátam prístup? Musí k nim mať prístup každý z našich pracovníkov?
  • Skutočne potrebujeme všetky dáta? Je skutočne potrebné evidovať všetko, čo evidujeme? Vyžaduje to nejaký náš proces alebo zákon?
  • Kde všade osobné dáta máme? Napr. ABRA Gen, ostatné systémy, telefóny, tablety, papierové podoby.

  • Ako sú dáta zabezpečené? Kto k nim môže? Je potrebné, aby tam mal prístup? Zálohujeme dáta, ako je záloha zabezpečená? Sú dáta dostupné len pod heslom? Sú dáta uzamknuté?

    V jednotlivých fázach definujte, ktoré dáta potrebujete evidovať a ako dlho.

•  Vykonať si analýzu možných rizík straty dát a ich dopadu, návrhy opatrení a vykonať ich realizáciu. Možné otázky tu:

  • Ako by mohlo dôjsť k odcudzeniu osobných údajov? A aké je veľké riziko?
  • Sú dáta na vlastnom počítači/serveri? 
    • Je zabezpečený, máme aktuálnu verziu OS, antivír, firewall, šifrovaný disk, dostatočne bezpečné heslo?
    • Je počítač zabezpečený proti strate či zničeniu? Aké riziko mi hrozí v prípade straty či zničeniu? Mám zálohované dáta? Nehrozí, že by vďaka odcudzeniu došlo k zneužitiu osobných údajov? A aký by to malo dopad na subjekt údajov?

  • Kde ukladám papierovú formu dokumentov? Je toto miesto zabezpečené proti prístupu neoprávnených osôb? Potrebujem trezor? Kto každý má kľúče?

    Vytvorte si napr. zoznam v tabuľke MS Excel, zapíšte zmapované riziká a pre vysoké riziká navrhnite opatrenia a vykonajte ich realizáciu (Zašifrovanie diskov? Výmena kľúčov k miestnosti so šanónmi? Obstaranie trezoru? 

• Vykonať revíziu a príp. úpravy zmlúv so svojimi zamestnancami, ale i odberateľmi, dodávateľmi, uzavrieť spracovateľské zmluvy so svojimi spracovateľmi. Možné otázky tu:

  • Mám dáta uložené v cloude?

  • Odovzdávam osobné údaje inej spoločnosti? Napr. dopravcom, externým účtovníkom?

    Zrevidované zmluvy môžu slúžiť pre následné automatické generovanie povolení na spracovanie dát, viď ďalej.

• Odstrániť evidencie s osobnými údajmi, ktoré nepotrebujete

  Ide o neoprávnene evidované osobné údaje, ku ktorým spracovaniu neexistuje žiaden zákonný dôvod. Napr. rôzne dokumenty na diskoch.

• Zostaviť systém hlásenia bezpečnostných incidentov

• Pripraviť sa na uplatňovanie práv subjektov osobných údajov. Možné otázky tu:

  • Plním informačnú povinnosť? Ako informujem subjekt údajov o tom, ako spracovávam osobné údaje? (Napr. umiestením dostupnej a transparentnej informácie na svoje web. stránky.)

• Od subjektov GDPR zbierať tie povolenia na spracovania dát, pri ktorých nie je oprávnenie na spracovanie dané zákonným dôvodom, na základe ktorého je možné povolenie na spracovanie dát vytvoriť automaticky (podľa čl. 6, odst. 1 a) v http://www.privacy-regulation.eu/cs/6.htm). (Ostatné povolenia si budete môcť nechať vygenerovať neskôr automaticky v systéme ABRA Gen na základe definovaných pravidiel a existujúcich dát (dokladov, zmlúv, zamestnancov a i.)) Možné otázky tu:

  • Čo už existujúce súhlasy? Keď dnes odosielam napr. newslettery klientom, potrebujem nový súhlas? Tu je potrebné posúdiť, za akých podmienok ste súhlas získali a či nie je v rozpore s novým znením obchodných podmienok. Tiež je vhodné posúdiť, o aké informácie ide. Napr. pokiaľ ide o informáciu o vydaní novej verzie a poskytol vám kontaktnú osobu za to zodpovednú, tak by k tomu malo stačiť, že ide o vášho klienta, ktorý zakúpil váš produkt a potom je možné obhájiť oprávnenosť zaslania takej informácie.
  • Nové povolenia od obchodných partnerov - pri subjektoch, kde nemáte žiadne povolenia alebo kde súčasne povolenia nevyhovejú, začnite povolenia zbierať.
  • Povolenia od zamestnancov: Pokiaľ ide o údaj, ktorý nemusíte evidovať z titulu zamestnaneckého pomeru - napr. použitie fotografie, záznamu videa, kde zamestnanec figuruje a pod., tak by ste si mali zabezpečiť súhlasy (napr. podpisom papierového dokumentu a jeho archiváciou a následným zadaním do ABRA Gen)
• a iné

  Podnětné informace a tipy naleznete na www.abra.eu v sekci GDPR.

Táto prípravná fáza presahuje rámec systému ABRA Gen a systém nemôže tieto činnosti vykonať za vás. Avšak je to nevyhnutnou podmienkou pre to, aby ste boli na GDPR riadne pripravení.

Podobne toto platí i v prípade, že budete chcieť chrániť iné položky v systéme z iného dôvodu ako GDPR, hoci v prvej fáze využitie tejto možnosti zatiaľ nepredpokladáme.

Následne môžete prejsť k ďalším prípravným krokom, ktoré sa už priamo týkajú prevádzky ABRA Gen.

Definície vytvorte najlepšie:

• využitím instalační sady. Může to být Startovací instalační sada, ale může jít i o instalační sadu, kterou vám na míru připraví konzultant servisní sítě dodavatele.

  

  Príklad predvyplnených pravidiel po importe sady

• Hlavička - Na záložke Hlavička je potrebné okrem Kódu a Názvu zadať odkaz na Definíciu ochrany dát (k nej sa potom bude vzťahovať vygenerované povolenie, ktoré bude ovplyvňovať dostupnosť položiek chránených danou definíciou oprávneným užívateľom z danej definície), Oblasť (určuje, z akých zdrojov sa budú povolenia generovať, napr. z faktúr) a Platnosť budúceho povolenia. Viac viď... Dĺžka platnosti je daná dobou, ktorú dokážete pre danú situáciu odôvodniť pred prípadnou kontrolou.

  

  Príklad zadania údajov v záložke Hlavička pravidla pre generovanie z aktivít (pre oblasť aktivity)

• Parametry - V parametrech pravidel je třeba zkontrolovat nastavení jednotlivých parametrů, zejména zatržení položky Generovat povolení ke zpracování i pro osoby ve firmě pro osoby připojené k firmám na jejich záložce Osoby (doporučeno) a pro oblast Aktivity a Smlouvy zatržení položky Pro typ partnera "Firma" generovat povolení ke zpracování i pro osoby ve firmě pro osoby připojené k firmám na jejich záložce Osoby (doporučeno). Dále je třeba zkontrolovat odkazy na řady dokladů - pokud by instalační sada obsahovala i nastavení řad, pak by tyto nemusely odpovídat vašim konkrétním datům a bylo by třeba vybrat jiné adekvátní řady.

  

  Príklad zadania údajov v záložke Parametre pravidla pre generovanie z dokladov (pre oblasť dokladov)

  Pre niektoré typy úloh je potrebné definovať pravidlá ku konkrétnym radám dokladov. Viď tiež príklady procesov - napr. Riadenie prístupu pre zmluvy.

Pravidlá vytvorte s ohľadom na vašu fázu Prípravy - rozmyslenie si okruhu chránených položiek a toho, ako dlho a na základe čoho by oprávnení užívatelia k nim mali mať prístup:

• pravidlá pre generovanie - slúžia pre generovanie povolení na spracovanie dát z vybraných agend
• pravidlá pre zakladanie nových osôb/zamestnancov a firiem - aplikujú sa pri založení nových záznamov
• pravidlá pre hromadné ručné generovanie povolení z adresára firiem alebo adresára osôb

Upravte si naplánované úlohy pre generovanie povolení na spracovanie dát podľa potreby (naplánovaná doba a parametre úloh výberom z pravidiel).

• spustiť generovanie podľa pravidiel - (napríklad spustením naplánovaných úloh mimo plán, príp. ručne z agendy Povolenie, pokiaľ nemáte automatizačný server).

• zabezpečiť doplnenie povolení získaných ručne

  Pre ručný zber povolení je možné využiť webovú službu pre zber súhlasov so spracovaním osobných údajov podľa GDPR poskytovanú firmou ABRA Software a.s. Viac viď... Súčasťou je možnosť oboslania vybraných subjektov požiadavkom na udelenie povolení (definovateľný vzhľad, obsah) využitím modulu Odoslané e-maily. Adresát obdrží e-mail s odkazom na webový formulár žiadosti, kde môže udeliť súhlas. Udelený súhlas sa prostredníctvom Web API prepíše späť do ABRA Gen. V prípade záujmu kontaktujte svojho obchodníka či obchodné oddelenie výrobcu.

Ďalšie prípady, kedy je potrebné ručne zadať povolenie, napr. pre:

• vlastnú firmu - neexistujú doklady, z ktorých by sa dali povolenia vygenerovať, avšak vlastná firma bude chránená rovnako ako ostatné firmy z adresára firiem
• rôzne fiktívne "firmy" typu Dovolenka, Choroba a podobne, typicky používané v rámci CRM

Viac viď... Ako začať s ochranou dát, tu Počiatočné nastavenie agend ochrany dát.