Podpora GDPR
Nariadenie (EÚ) 2016/679 (GDPR) predstavuje právny rámec ochrany osobných údajov platný na celom území EÚ, ktorý háji práva občanov únie proti neoprávnenému zachádzaniu s ich dátami a osobnými údajmi. GDPR preberá všetky doterajšie zásady ochrany a spracovania údajov, na ktorých úniový systém ochrany osobných údajov stojí a potvrdzuje, že ochrana cestuje cez hranice súčasne s osobnými údajmi.
V súlade s tým ďalej GDPR rozvíja práva ľudí dotknutých zapracovaním, a to v oboch zložkách: mať (získavať) informácie o tom, ktoré ich údaje sú spracovávané a prečo, a domáhať sa dodržiavaniu pravidiel, vrátane nápravy stavu. GDPR kladie systematicky dôraz na vymáhateľnosť práv ľudí a povinností správcu (zodpovedných za spracovávanie). Obsahuje preto prepracovanejšie a náročnejšie pravidlá pre zvláštne kategórie údajov a spracovávanie a súčasne vymáha od správcov a spracovateľov výrazne aktívnejší prístup. Jedná sa najmä o to, že pred zahájením nového spracovania je treba posúdiť vplyv jednotlivých spracovaní na ochranu osobných údajov (DPIA) a zvoliť vhodné nástroje ochrany údajov, za určitých podmienok si vyžiadať predbežnú konzultáciu dozorného úradu. Kľúčom k nastavovaniu povinností pre správcu je rizikovosť, ktorá pochádza z rozsahu spracovávania, spracovávaných osobných údajov a používaných technológií.
Správca a spracovávateľ sú za určitých podmienok povinný menovať poverenú osobu pre ochranu osobných údajov. Podrobnejšie sú stanovené povinnosti pri zabezpečení spracovaní a novo je zavedená povinnosť ohlasovať prípady porušenia zabezpečenia osobných údajov dozornému úradu a občanom, ktorých sa porušenie zabezpečenia týka.
GDPR výslovne upravuje nezávislosť, všeobecné podmienky pre členov, úlohy a právomoci dozorných úradov v členských štátoch Európskej únie, EHP i Švajčiarska a vzájomnú spoluprácu týchto dozorných úradov. Jednotný je taktiež prístup k sankciám.
GDPR v praxi
Samotná skratka znamená General Data Protection Regulation a ide o nariadenie Európskeho parlamentu a Rady EÚ 2016/679 zo dňa 27.4.2016, s platnosťou od 25.5.2018. V legislatíve Českej republiky je implementovaný zákonom č. 110/2019 Zb. o spracovaní osobných údajov. V legislatíve slovenský republiky potom zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Podstatou nariadenia je ochrana osobných údajov a zavádza po celej EÚ jednotné pravidla ich ochrany. V zásade sa snaží dať maximálne práva fyzickým osobám a v maximálne možnej miere obmedziť hromadné spracovávanie osobných údajov a tým znížiť riziko ich úniku a zneužitia. Prakticky všetku zodpovednosť za ochranu osobných údajov prenáša na toho, kto s nimi nakladá. Definuje základné zásady zodpovednosti a prístupu založenom na riziku. T. j. ten, kto spracováva osobné údaje, musí vyhodnotiť, aké osobné údaje spracováva alebo sa chystá spracovávať, aké hrozí riziko ich úniku a zneužitia a podľa toho prijímať opatrenia pre ich ochranu. Nariadenie prináša i pomerne vysoké sankcie. Na druhú stranu taktiež definuje ich primeranosť a definuje, že pre ich stanovenie sa zohľadní to, či a čo a do akej miery bolo pre ochranu osobných údajov urobené a či je porušenie nariadenia dôsledkom systematického porušovania alebo ignorovania definovaných zásad a pravidiel alebo ide o ojedinelú výnimku.
Pretože zodpovednosť je primárne, z pohľadu IS KARAT, na užívateľoch IS KARAT, je pochopiteľné, že títo očakávajú od IS KARAT podporu, ktorá im umožní nariadenia dodržovať. A i keď sa momentálne jedná o veľké témy a „všetci to riešia“, tak je fakt, že ako česká i slovenská legislatíva ochranu osobných údajov riešia a väčšinu toho, čo nariadenie obsahuje, už je v ČR i SK defacto uzákonené.
Viacej informácií napr. na UOOU.sk alebo UOOU.cz
Podpora GDPR v IS KARAT
- Existuje definícia osobných údajov a ich kategórií naprieč systémom. Definícia plne podporuje firemné rozšírenie.
- Pre jednotlivé kategórie osobných údajov je možné definovať prístup jednotlivých užívateľov, vrátane prípadného obmedzenia kopírovania osobných údajov.
- Parametricky je možné nastaviť vizualizáciu (označenie) osobných údajov v jednotlivých komponentoch a protokolovaný prístup k nim.
- Je možné evidovať všetky účely spracovania, ktoré v danej spoločnosti prebehajú, ich väzbu na zákonné dôvody spracovávania a nutnosť súhlasu so spracovaním.
- Pri všetkých typoch fyzických osôb v systéme je možné definovať, ku ktorým evidovaným účelom sú ich osobné údaje spracovávané, či existuje ich súhlas s daným spracovaním, prípadne obmedzení spracovania.
- Pri výbere fyzických osôb do jednotlivých spracovávaní je možné zohľadniť (filtrovať) poskytnutie súhlasu s daným účelom spracovávania.
- Existujú kontrolné nástroje pre overenie, či pre spracovávanie osobných údajov (vo väzbe na účel a prípadnú nutnosť súhlasu) existujú zákonné dôvody.
- Sú k dispozícii nástroje pre splnenie žiadostí fyzických osôb domáhajúcich sa svojho práva – právo na prístup k osobným údajom, opravu, výmaz a prenositeľnosť.
- Existujú evidencie pre plnenie povinností voči dozornému úradu – záznamy o činnostiach spracovávania, ohlasovanie prípadov porušenia zabezpečenia, šetrenie dozorného úradu atď.