IS KARAT je GDPR ready

Nařízení (EU) 2016/679 (GDPR) představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji.

V souladu s tím dále GDPR rozvíjí a posiluje práva lidí dotčených zpracováním, a to v obou složkách: mít (získávat) informace o tom, které jejich údaje jsou zpracovávány a proč, a domáhat se dodržování pravidel, včetně nápravy stavu. GDPR klade systematicky důraz na vymahatelnost práv lidí a povinností správců (odpovědných za zpracování). Obsahuje proto propracovanější a náročnější pravidla pro zvláštní kategorie údajů a zpracování  a současně vymáhá od správců a zpracovatelů výrazně aktivnější přístup, zejména se jedná o to, že před zahájením nového zpracování je třeba posoudit vliv jednotlivých zpracování na ochranu osobních údajů (DPIA) a zvolit vhodné nástroje ochrany údajů, za určitých podmínek si vyžádat předběžnou konzultaci u dozorového úřadu. Klíčem k nastavování povinností pro správce je rizikovost, která je dovozována z rozsahu zpracování, zpracovávaných osobních údajů a používaných technologií.

Správci a zpracovatelé jsou za určitých podmínek povinni jmenovat pověřence pro ochranu osobních údajů. Podrobněji jsou stanoveny povinnosti při zabezpečení zpracování a nově je zavedena povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká.

GDPR výslovně upravuje nezávislost, obecné podmínky pro členy, úkoly a pravomoci dozorových úřadů v členských státech Evropské unie, EHP i Švýcarska a vzájemnou spolupráci těchto dozorových úřadů. Jednotný je také přístup k sankcím..

GDPR v praxi

Samotná zkratka znamená General Data Protection Regulation a jde o nařízení Evropského parlamentu a Rady EU 2016/679 za dne 27.4.2016, které bude použito od 25. 5. 2018. A protože jde o nařízení, tak bez ohledu nakolik česká (nebo jakákoliv evropská) národní legislativa stihne upřesnit toto nařízení nebo upravit související zákony, od data použití se jím musí všichni, jichž se týká řídit. Navíc první návrh českého zákona už existuje a nepřináší žádné podstatné překvapení nebo odchylky.

Podstatou nařízení je ochrana osobních údajů a zavádí po celé EU jednotná pravidla jejich ochrany. V zásadě se snaží dát maximální práva fyzickým osobám a v maximální možné míře omezit hromadné zpracování osobních údajů a tím i riziko jejich úniku a zneužití. Prakticky veškerou odpovědnost za ochranu osobních údajů přenáší na ty, kdo s nimi nakládají. Definuje základní zásady odpovědnosti a přístupu založeném na riziku. Tj. ten, kdo zpracovává osobní údaje, musí vyhodnotit, jaké osobní údaje zpracovává nebo se chystá zpracovávat, jaké hrozí riziko jejich úniku a zneužití a podle toho přijímat opatření pro jejich ochranu. Nařízení přináší i poměrně vysoké sankce. Na druhou stranu také definuje jejich přiměřenost a definuje, že pro jejich stanovení se zohlední to, zda, co a do jaké míry bylo pro ochranu osobních údajů uděláno a jestli je porušení nařízení důsledkem systematického porušování nebo ignorování definovaných zásad a pravidel nebo o ojedinělou výjimku.

Přestože odpovědnost je primárně, z pohledu IS KARAT, na uživatelích IS KARAT, je pochopitelné, že tito očekávají od IS KARAT podporu, která jim umožní nařízení dodržovat. A i když se momentálně jedná o velké téma a "všichni to řeší", tak je fakt, že jak stávající česká i slovenská legislativa ochranu osobních údajů řeší a většinu toho, co nařízení obsahuje, už je v ČR i SK de facto uzákoněno.

Více informací na webu GDPR.cz a. UOOU.cz

Podpora GDPR v IS KARAT

  1. Bude existovat definice osobních údajů a jejich kategorií napříč systémem. Definice bude plně podporovat firemní rozšíření.
  2. Pro jednotlivé kategorie osobních údajů bude možné definovat přístup jednotlivých uživatelů, včetně případného omezení kopírování osobních údajů.
  3. Parametricky bude možné nastavit vizualizaci (označení) osobních údajů v jednotlivých komponentách a protokolování přístupu k nim.
  4. Bude možné evidovat všechny účely zpracování, které v dané společnosti probíhají, jejich vazba na zákonné důvody zpracování a nutnost souhlasu se zpracováním.
  5. U všech typů fyzických osob v sytému bude možné definovat, ke kterým evidovaným účelům jsou jejich osobní údaje zpracovávány, zda existuje jejich souhlas s daným zpracováním, případně omezení zpracování.
  6. Při výběru fyzických osob do jednotlivých zpracování bude možné zohlednit (filtrovat) poskytnutí souhlasu s daným účelem zpracování.
  7. Budou existovat kontrolní nástroje pro ověření, zda pro zpracování osobních údajů (ve vazbě na účel a případnou nutnost souhlasu) existují zákonné důvody.
  8. Budou k dispozici nástroje pro splnění žádostí fyzických osob domáhajících se svého práva - právo na přístup k osobním údajům, opravu, výmaz a přenositelnost.
  9. Budou existovat evidence pro plnění povinností vůči dozorovém úřadu - záznamy o činnostech zpracování, ohlašování případů porušení zabezpečení, šetření dozorového úřadu atd.
  10. …uvidíme, co přinese praxe a požadavky našich uživatelů

Přehled funkcionalit

Chcete vyzkoušet informační systém KARAT?

Požádat o demo

Zajímá vás cena informačního systému KARAT?

Požádat o kalkulaci