Podpora GDPR

Nariadenie (EÚ) 2016/679 (GDPR) predstavuje právny rámec ochrany osobných údajov platný na celom území EÚ, ktorý háji práva občanov únie proti neoprávnenému zachádzaniu s ich dátami a osobnými údajmi. GDPR preberá všetky doterajšie zásady ochrany a spracovania údajov, na ktorých úniový systém ochrany osobných údajov stojí a potvrdzuje, že ochrana cestuje cez hranice súčasne s osobnými údajmi.

gdpr

V súlade s tým ďalej GDPR rozvíja práva ľudí dotknutých zapracovaním, a to v oboch zložkách: mať (získavať) informácie o tom, ktoré ich údaje sú spracovávané a prečo, a domáhať sa dodržiavaniu pravidiel, vrátane nápravy stavu. GDPR kladie systematicky dôraz na vymáhateľnosť práv ľudí a povinností správcu (zodpovedných za spracovávanie). Obsahuje preto prepracovanejšie a náročnejšie pravidlá pre zvláštne kategórie údajov a spracovávanie  a súčasne vymáha od správcov a spracovateľov výrazne aktívnejší prístup. Jedná sa najmä o to, že pred zahájením nového spracovania je treba posúdiť vplyv jednotlivých spracovaní na ochranu osobných údajov (DPIA) a zvoliť vhodné nástroje ochrany údajov, za určitých podmienok si vyžiadať predbežnú konzultáciu dozorného úradu. Kľúčom k nastavovaniu povinností pre správcu je rizikovosť, ktorá pochádza z rozsahu spracovávania, spracovávaných osobných údajov a používaných technológií.

Správca a spracovávateľ sú za určitých podmienok povinný menovať poverenú osobu pre ochranu osobných údajov. Podrobnejšie sú stanovené povinnosti pri zabezpečení spracovaní a novo je zavedená povinnosť ohlasovať prípady porušenia zabezpečenia osobných údajov dozornému úradu a občanom, ktorých sa porušenie zabezpečenia týka.

GDPR výslovne upravuje nezávislosť, všeobecné podmienky pre členov, úlohy a právomoci dozorných úradov v členských štátoch Európskej únie, EHP i Švajčiarska a vzájomnú spoluprácu týchto dozorných úradov. Jednotný je taktiež prístup k sankciám.

GDPR v praxi

Samotná skratka znamená General Data Protection Regulation a ide o nariadenie Európskeho parlamentu a Rady EÚ 2016/679 zo dňa 27.4.2016, s platnosťou od 25.5.2018. V legislatíve Českej republiky je implementovaný zákonom č. 110/2019 Zb. o spracovaní osobných údajov. V legislatíve slovenský republiky potom zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Podstatou nariadenia je ochrana osobných údajov a zavádza po celej EÚ jednotné pravidla ich ochrany. V zásade sa snaží dať maximálne práva fyzickým osobám a v maximálne možnej miere obmedziť hromadné spracovávanie osobných údajov a tým znížiť riziko ich úniku a zneužitia. Prakticky všetku zodpovednosť za ochranu osobných údajov prenáša na toho, kto s nimi nakladá. Definuje základné zásady zodpovednosti a prístupu založenom na riziku. T. j. ten, kto spracováva osobné údaje, musí vyhodnotiť, aké osobné údaje spracováva alebo sa chystá spracovávať, aké hrozí riziko ich úniku a zneužitia a podľa toho prijímať opatrenia pre ich ochranu. Nariadenie prináša i pomerne vysoké sankcie. Na druhú stranu taktiež definuje ich primeranosť a definuje, že pre ich stanovenie sa zohľadní to, či a čo a do akej miery bolo pre ochranu osobných údajov urobené a či je porušenie nariadenia dôsledkom systematického porušovania alebo ignorovania definovaných zásad a pravidiel alebo ide o ojedinelú výnimku.

Pretože zodpovednosť je primárne, z pohľadu IS KARAT, na užívateľoch IS KARAT, je pochopiteľné, že títo očakávajú od IS KARAT podporu, ktorá im umožní nariadenia dodržovať. A i keď sa momentálne jedná o veľké témy a „všetci to riešia“, tak je fakt, že ako česká i slovenská legislatíva ochranu osobných údajov riešia a väčšinu toho, čo nariadenie obsahuje, už je v ČR i SK defacto uzákonené.

Viacej informácií napr. na UOOU.sk alebo UOOU.cz

Podpora GDPR v IS KARAT

  1. Existuje definícia osobných údajov a ich kategórií naprieč systémom. Definícia plne podporuje firemné rozšírenie.
  2. Pre jednotlivé kategórie osobných údajov je možné definovať prístup jednotlivých užívateľov, vrátane prípadného obmedzenia kopírovania osobných údajov.
  3. Parametricky je možné nastaviť vizualizáciu (označenie) osobných údajov v jednotlivých komponentoch a protokolovaný prístup k nim.
  4. Je možné evidovať všetky účely spracovania, ktoré v danej spoločnosti prebehajú, ich väzbu na zákonné dôvody spracovávania a nutnosť súhlasu so spracovaním.
  5. Pri všetkých typoch fyzických osôb v systéme je možné definovať, ku ktorým evidovaným účelom sú ich osobné údaje spracovávané, či existuje ich súhlas s daným spracovaním, prípadne obmedzení spracovania.
  6. Pri výbere fyzických osôb do jednotlivých spracovávaní je možné zohľadniť (filtrovať) poskytnutie súhlasu s daným účelom spracovávania.
  7. Existujú kontrolné nástroje pre overenie, či pre spracovávanie osobných údajov (vo väzbe na účel a prípadnú nutnosť súhlasu) existujú zákonné dôvody.
  8. Sú k dispozícii nástroje pre splnenie žiadostí fyzických osôb domáhajúcich sa svojho práva – právo na prístup k osobným údajom, opravu, výmaz a prenositeľnosť.
  9. Existujú evidencie pre plnenie povinností voči dozornému úradu – záznamy o činnostiach spracovávania, ohlasovanie prípadov porušenia zabezpečenia, šetrenie dozorného úradu atď.

Zaujalo vás riešenie IS KARAT?

Neváhajte nás kontaktovať, pomôžeme vám zabezpečiť ďalší správny postup

Kontakt