Obecné nařízení o ochraně osobních údajů - GDPR

Paragraf
13.2.2018

S účinností od 25.5.2018 vstupuje v platnost nařízení EU o ochraně osobních údajů - General Data Protection Regulation neboli GDPR. Toto nařízení se týká všech podnikatelů, firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. Opatření definuje principy zabezpečení dat, zavádí nová práva zákazníků, stanoví vysoké sankce za porušování nových pravidel a nařizuje některým správcům nebo zpracovatelům osobních údajů zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů).

GDPR v PROFITu a ve vaší firmě

Směrnice GDPR má jak přímé dopady do funkcí PROFITu, tak (a to zejména) do činnosti a technické infrastruktury vaší firmy.

Organizační a technická opatření

V souvislosti s GDPR jsme do PROFITu implementovali úpravy, které vám pomohou řešit některé záležitosti týkající se GDPR. Stažením a instalací nové verze PROFITu pro vás ale implementace GDPR nekončí, většinu změn vyplývajících z GDPR budete muset ve firmě udělat formou organizačních a technických opatření. Bude potřeba revidovat či nově zajistit fyzickou ochranu úložiště databází i jejich záloh, analyzovat nutnost šifrování a řešit jeho případnou implementaci, v určitých případech bude nutné jmenovat pověřence DPO.

Šifrování dat

PROFIT v souvislosti s GDPR nijak nemění způsob uložení dat v SQL databázi (soubor typu FDB), jejíž data nejsou sice laicky přímo čitelná, ale technicky se nejedná o šifrované uložení. Směrnice GDPR přímo nenařizuje povinné šifrování dat, nicméně jedná se o jedno z opatření, které zvyšuje datovou bezpečnost a jehož zavedení je doporučeno. Rozhodnete-li se implementovat šifrování dat, je tak třeba šifrovat celé FDB soubory nebo (lépe) celé disky pomocí specializovaného software vhodného k tomuto účelu.

Anonymizace dat

Hlavním přímým dopadem do PROFITu je nová funkce, která umožňuje v adresáři jednoduchým způsobem anonymizovat vybraný záznam tak, aby byly odstraněny z celého systému veškeré citlivé údaje daného zákazníka jako e-mail, telefon, adresa, jméno a příjmení. Pomocí této funkce tak lze reagovat na požadavek uživatele na "zapomenutí" jeho údajů, vyplývající z práv zavedených směrnicí GDPR. Popsaná funkce nemá charakter pseudonymizace, tzn. po jednou provedené anonymizaci nebude možné data obnovit zpět. Tuto funkci bude možné použít také hromadně pro anonymizaci celé databáze, pro případy potřeby předání dat k analýze mimo firmu tak, aby nedošlo k porušení ochrany uživatelských dat.

Nová funkce je obsažena ve verzi 2018.02, ve starších verzích ji nenajdete. Funkce je k dispozici zdarma i pro uživatele FREE licence.

LPsoft jako zpracovatel osobních údajů dle GDPR?

V souvislosti s GDPR upzoorňujeme, naše společnost LPsoft Information Systems s.r.o. jakožto dodavatel PROFITu vůči vám není v roli zpracovatele osobních údajů. Tak by to bylo pouze v případě, kdyby Vaše data byla uložena u nás. Toto je typické např. u cloudových řešení (webových systémů), ale nikoliv u PROFITu. Veškerá data včetně záloh jsou vždy ve vaší přímé správě, uložená na fyzických datových nosičích ve vaší firemní infrastruktuře, nikoliv u nás.

Z pohledu předpisu GDPR tak jsme v obdobné pozici jako např. výrobce tužky, kterou si lze zapisovat osobní údaje zákazníků, avšak správce dat je ten, kdo tato data tužkou zapisuje, nikoliv dodavatel oné tužky.

Konzultace, školení

Máte k GDPR další otázky? Potřebujete konzultovat dopady do vaší firmy nebo zajistit audit a stanovit doporučení týkající se GDPR přímo ve vaší firmě?

Mgr. Petr Nováček

Máte-li zájem o školení či konzultace v oblasti GDPR, kontaktujte mne prosím.

Modu vám nabídnout konzultace, školení či komplexnější služby týkající se GDPR. Na školení vám mohu zajistit dotaci z operačních programů EU.

Telefon: 608 820 989

E-mail: skoleni@lpsoft.cz