GDPR ready

IS KARAT je pripravený na GDPR

Nariadenie (EÚ) 2016/679 (GDPR) predstavuje právny rámec ochrany osobných údajov platný na celom území EÚ, ktorý háji práva občanov únie proti neoprávnenému zachádzaniu s ich dátami a osobnými údajmi. GDPR preberá všetky doterajšie zásady ochrany a spracovania údajov, na ktorých úniový systém ochrany osobných údajov stojí a potvrdzuje, že ochrana cestuje cez hranice súčasne s osobnými údajmi.

V súlade s tým ďalej GDPR rozvíja práva ľudí dotknutých zapracovaním, a to v oboch zložkách: mať (získavať) informácie o tom, ktoré ich údaje sú spracovávané a prečo, a domáhať sa dodržiavaniu pravidiel, vrátane nápravy stavu. GDPR kladie systematicky dôraz na vymáhateľnosť práv ľudí a povinností správcu (zodpovedných za spracovávanie). Obsahuje preto prepracovanejšie a náročnejšie pravidlá pre zvláštne kategórie údajov a spracovávanie  a súčasne vymáha od správcov a spracovateľov výrazne aktívnejší prístup. Jedná sa najmä o to, že pred zahájením nového spracovania je treba posúdiť vplyv jednotlivých spracovaní na ochranu osobných údajov (DPIA) a zvoliť vhodné nástroje ochrany údajov, za určitých podmienok si vyžiadať predbežnú konzultáciu dozorného úradu. Kľúčom k nastavovaniu povinností pre správcu je rizikovosť, ktorá pochádza z rozsahu spracovávania, spracovávaných osobných údajov a používaných technológií.

Správca a spracovávateľ sú za určitých podmienok povinný menovať poverenú osobu pre ochranu osobných údajov. Podrobnejšie sú stanovené povinnosti pri zabezpečení spracovaní a novo je zavedená povinnosť ohlasovať prípady porušenia zabezpečenia osobných údajov dozornému úradu a občanom, ktorých sa porušenie zabezpečenia týka.

GDPR výslovne upravuje nezávislosť, všeobecné podmienky pre členov, úlohy a právomoci dozorných úradov v členských štátoch Európskej únie, EHP i Švajčiarska a vzájomnú spoluprácu týchto dozorných úradov. Jednotný je taktiež prístup k sankciám.

GDPR v praxi

Samotná skratka znamená General Data Protection Regulation a ide o nariadenie Európskeho parlamentu a Rady EÚ 2016/679 zo dňa 27.4.2016, s platnosťou od 25.5.2018. A pretože ide o nariadenie, tak bez ohľadu nakoľko slovenská (alebo akákoľvek európska) národná legislatíva stihne upresniť toto nariadenie alebo upraviť súvisiace zákony, od dátumu použitia sa nimi musia riadiť všetci, ktorých sa to týka.

Podstatou nariadenia je ochrana osobných údajov a zavádza po celej EÚ jednotné pravidla ich ochrany. V zásade sa snaží dať maximálne práva fyzickým osobám a v maximálne možnej miere obmedziť hromadné spracovávanie osobných údajov a tým znížiť riziko ich úniku a zneužitia. Prakticky všetku zodpovednosť za ochranu osobných údajov prenáša na toho, kto s nimi nakladá. Definuje základné zásady zodpovednosti a prístupu založenom na riziku. T. j. ten, kto spracováva osobné údaje, musí vyhodnotiť, aké osobné údaje spracováva alebo sa chystá spracovávať, aké hrozí riziko ich úniku a zneužitia a podľa toho prijímať opatrenia pre ich ochranu. Nariadenie prináša i pomerne vysoké sankcie. Na druhú stranu taktiež definuje ich primeranosť a definuje, že pre ich stanovenie sa zohľadní to, či a čo a do akej miery bolo pre ochranu osobných údajov urobené a či je porušenie nariadenia dôsledkom systematického porušovania alebo ignorovania definovaných zásad a pravidiel alebo ide o ojedinelú výnimku.

Pretože zodpovednosť je primárne, z pohľadu IS KARAT, na užívateľoch IS KARAT, je pochopiteľné, že títo očakávajú od IS KARAT podporu, ktorá im umožní nariadenia dodržovať. A i keď sa momentálne jedná o veľké témy a "všetci to riešia", tak je fakt, že ako česká i slovenská legislatíva ochranu osobných údajov riešia a väčšinu toho, čo nariadenie obsahuje, už je v ČR i SK defacto uzákonené.

Viacej informácií napr. na UOOU alebo GDPR.cz

Podpora GDPR v IS KARAT

  1. Bude existovať definícia osobných údajov a ich kategórií naprieč systémom. Definícia bude plne podporovať firemné rozšírenie.
  2. Pre jednotlivé kategórie osobných údajov bude možné definovať prístup jednotlivých užívateľov, vrátane prípadného obmedzenia kopírovania osobných údajov.
  3. Parametricky bude možné nastaviť vizualizáciu (označenie) osobných údajov v jednotlivých komponentoch a protokolovaný prístup k nim.
  4. Bude možné evidovať všetky účely spracovania, ktoré v danej spoločnosti prebehajú, ich väzba na zákonné dôvody spracovávania a nutnosť súhlasu so spracovaním.
  5. Pri všetkých typoch fyzických osôb v systéme bude možné definovať, ku ktorým evidovaným účelom sú ich osobné údaje spracovávané, či existuje ich súhlas s daným spracovaním, prípadne obmedzení spracovania.
  6. Pri výbere fyzických osôb do jednotlivých spracovávaní bude možné zohľadniť (filtrovať) poskytnutie súhlasu s daným účelom spracovávania.
  7. Budú existovať kontrolné nástroje pre overenie, či pre spracovávanie osobných údajov (vo väzbe na účel a prípadnú nutnosť súhlasu) existujú zákonné dôvody.
  8. Budú k dispozícii nástroje pre splnenie žiadostí fyzických osôb domáhajúcich sa svojho práva - právo na prístup k osobným údajom, opravu, výmaz a prenositeľnosť.
  9. Budú existovať evidencie pre plnenie povinností voči dozornému úradu - záznamy o činnostiach spracovávania, ohlasovanie prípadov porušenia zabezpečenia, šetrenie dozorného úradu atď.
  10. …uvidíme, čo prinesie prax a požiadavky našich užívateľov

Chcete vyskúšať informačný systém KARAT?

Požiadať o demo

Zaujíma vás cena informačného systému KARAT?

Požiadať o kalkuláciu