· GDPR (General Data Protection Regulation) je nařízení Evropské unie o ochraně osobních údajů a vztahuje se na každou firmu v EU ale i na státní organizace. Norma je právně platná již dnes a účinná začne být 25. 5. 2018. Cílem tohoto nařízení je hájit práva občanů proti neoprávněnému zacházení s jejich citlivými daty a osobními údaji.
· Subjekt údajů je podle GDPR fyzická osoba, k níž se osobní údaje vztahují. Typicky jde o rezidenty EU, jejichž práva nařízení chrání. Subjekt údajů není právnická osoba. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě, jelikož Obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.
· Osobní údaje jsou veškeré informace k fyzické osobě. Zejména rodné číslo, jméno, email, adresa, GPS údaje, IP adresa, biometrické údaje apod. . Jakékoliv další údaje na jejichž základě je možno identifikovat osobu
· Ctít účelové omezení (např. plnění právní povinnosti, plnění smlouvy atd.)
· Minimalizovat sběr údajů (nezbytný rozsah relevantních údajů)
·
Omezovat
uložení – jen na dobu nezbytnou pro daný účel
· Integrita a důvěrnost (zajištění bezpečnosti dat, ochrana před neoprávněným a nezákonným zpracováním)
· Odpovědnost
· zajistit ohlašovací povinnost v případě zjištění úniku dat
· poskytnout subjektům údajů právo na výpis shromážděných údajů o jeho osobě, a případně o výmaz jeho osobních údajů
· ustavit v některých případech pověřence pro ochranu osobních údajů (DPO)
· v některých případech zajistit svobodný, informovaný souhlas. Žádost o souhlas musíte formulovat srozumitelně a jednoduše. Souhlas musí být svobodný, výslovný, vědomý a pro daný účel a na určitou dobu.
· Během trvání pracovního poměru zaměstnavatel zpracovává osobní údaje svých zaměstnanců a prakticky se tomu nemůže vyhnout. V některých případech je to dokonce jeho povinností (např. pro účely výpočtu mzdy nebo platu, úhrady zdravotního a důchodového pojištění apod.). V těchto případech zaměstnavatel ani nepotřebuje výslovný souhlas zaměstnance se zpracováním jeho osobních údajů.
· Zákoník práce přesně stanoví, že součástí osobního spisu zaměstnance mohou být jen dokumenty a písemnosti, které jsou nezbytné pro výkon práce (např. životopis, pracovní posudek od předchozího zaměstnavatele, pracovní smlouva, mzdový výměr, potvrzení o dosaženém vzdělání, absolvovaných kurzech a školeních, dohoda o hmotné odpovědnosti apod.). Naproti tomu součástí osobního spisu nemohou být informace o těhotenství, sexuální orientaci zaměstnance, jeho původu, národnosti nebo o jeho členství v politických stranách či příslušnosti k církvi.
· Osobní údaje po skončení pracovního poměru může zaměstnavatel uchovávat po dobu, po kterou trvá jeho povinnost uchovávat osobní údaje, nebo po dobu nezbytnou k vypořádání vzájemných práv a povinností zaměstnavatele a zaměstnance. Tyto údaje může zaměstnavatel uchovávat opět bez souhlasu zaměstnance.
·
Zaměstnanec má právo se informovat, kdo a jaké
osobní údaje zpracovává, k jakému účelu tak činí, zda je předává třetím osobám
a kdo má k osobním údajům přístup
· Proveďte analýzu vašich firemních procesů – jaké data se při nich zpracovávají, proč a kdo k nim má přístup. Výsledkem by měly být úpravy vnitřních směrnic či smluv s dodavateli a odběrateli, školení zaměstnanců, podepsání doložky o mlčenlivosti, zajištění potřebných souhlasů ke zpracování osobních dat a odpovídající změny zabezpečení včetně úprav IT systémů.
Doporučujeme prověřit zabezpečení pomocí
· Firewallu - prověřit otevřené porty a další nastavení
· Zprovoznění VPN pro bezpečný vzdálený přístup
· Zabezpečené hesla (více jak 8 znaků a kombinace čísel a znaků) na serveru i pro vzdálené přístupy
· Monitorování přístupů
· Antivirovou politiku
Atd.
·
Slouží k přehledu průběhu změn na
jednotlivých údajích modulů partnerů
·
Slouží k přehledu, kdo prohlížel data
konkrétního partnera
· Výpis uživatelů, kteří mají k osobním informacím přístup
· Dále lze monitorovat
· Kdo pouštěl jednotlivé moduly a z jakých stanic
· Jestli někdo nepřistupuje jiným uživatelem
· Přehled vytvořených a změněných dat uživatelem
· Monitoring filtrů tisku, přehledů a exportů dle uživatelů
· Více popis modulu Uživatelé
· Nově lze zadat práva na prohlížení a editaci partnerů až na jednotlivé partnery
· V nastavení uživatele nově přibylo nastavení. Defaultně práva na partnery jsou a odškrtnutím se odebírají.
· Nové sestavy, které shrnují všechny informace sledované k partnerovi
· Předá se partnerovi při žádosti o výpis, které údaje jsou o něm sledovány
· Při žádosti o zapomenutí informací je možno partnera vymazat (v případě, že nemá pořízené doklady) nebo nastavit aktivitu na 9. Partner se pak nikde nenabízí a není v přehledech partnerů.
· Sestavy sloužící jako vzory informovaného souhlasu
· V partnerech doplněn sloupec souhlas, kde lze zadat, jestli má partner podepsaný informovaný souhlas
·
Doplněn údaj– udělen souhlas se zpracováním osobních údajů a případné
omezení do kdy. Pokud
souhlas nebude vyplněn, tak je neomezená platnost.
·
S tímto údajem pracuje sestava, výpis
partnerů s propadlým souhlasem
· Do mzdové osoby doplněny 2 sloupce. Souhlas se zpracováním osobních údajů a případné omezení souhlasu. V modulu smlouvy přidám vzor informovaného souhlasu.
· Doporučujeme při zahájení pracovního poměru získat informovaný souhlas osoby i s ohledem na další oblasti související s ochranou osobních údajů na pracovišti a tj. , kopírování občanských průkazů, získávání biometrických údajů pro docházkový systém, Kamery na pracovišti, sledování GPS ve vozidlech, sledování soukromé pošty, monitorování aktivity na internetu, fotky zaměstnanců na webu a dalších.
· Doporučujeme udělat písemný a schválený rozpis přístupů jednotlivých pracovníků k jednotlivým agendám, dokladům, činnostem a osobním údajům
· Zabezpečené hesla (více jak 8 znaků a kombinace čísel a znaků) – nyní jsou často přístupy bez hesel nebo křestní jméno
· Průběžný monitoring přístupů
· Technická, bezpečnostní, informační
· Využít bezpečný modul pro přístup do IMESU viz. následující odkaz
·
Stanovit
přesný popis jak bude vypadat vzdálený přístup externím pracovníkům po stránce
technické, množství povolených informací a nastavení práv, odpovědnost za
nastavení