Vyskúšať demo
Domov / O spoločnosti / Ochrana osobných údajov

Ochrana osobných údajov (GDPR)

Ako chránime vaše osobné údaje v súlade s európskou legislatívou

Definícia GDPR

Všeobecné nariadenie o ochrane osobných údajov, anglicky General Data Protection Regulation (odtiaľ skratka „GDPR"), celým názvom nariadenie Európskeho parlamentu a Rady EÚ 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES, je celoeurópsky priamo záväzná komplexná právna regulácia, ktorá výrazne zvýšila ochranu osobných údajov občanov. GDPR nadobudlo účinnosť 25. mája 2018.

Na Slovensku je GDPR implementované prostredníctvom zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Pripravení sme my aj vy

V systéme CARDIS v záložke GDPR je pre prípad potreby pripravená tlačová forma prehľadu s informáciami o prístupe zamestnancov k citlivým aj osobným údajom ostatných používateľov či klientov.

Ako GDPR riešime

Nariadenie EÚ o ochrane údajov občanov EÚ (ďalej len GDPR) analyzujeme. Povinnosť organizácií byť v súlade s GDPR by však mala primárne vychádzať z prijatia vnútornej koncepcie, vykonania procesných zmien a zavedenia opatrení, ktoré dodržiavajú najmä zásady zámernej ochrany osobných údajov.

Po analýze dopadov GDPR sme v našej aplikácii vykonali také technické úpravy, aby im z hľadiska princípov GDPR vyhovovala a čo najviac vám tak zjednodušila implementáciu vašich opatrení.

V prípade vynesenia dát z organizácie dokážeme pomocou logovania odhaliť, čo sa s dátami dialo.

Aplikácia CARDIS eviduje pohyb zamestnancov a dát v rámci aplikácie. Spätne vieme zistiť a dohľadať, kto pristupoval k akým dátam.

Sme Spracovateľom osobných údajov - čo to znamená?

Sme právnická osoba poverená správcom osobných údajov spracúvať jeho menom osobné údaje, a to v takom rozsahu, v akom požaduje správca alebo vyplýva z činnosti, pre ktorú bol spracovateľ správcom poverený.

Pri uzatváraní zmluvy o poskytnutí softvéru podpíšeme tiež Zmluvu o ochrane osobných údajov.

Osobné údaje z pohľadu GDPR

GDPR rozlišuje medzi osobným údajom a citlivým údajom (osobitnou kategóriou osobných údajov).

Vymedzenie pojmov

Pre účely zákona č. 18/2018 Z. z. o ochrane osobných údajov sa rozumie:

Osobný údaj

Akýkoľvek údaj týkajúci sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Osobitná kategória osobných údajov (citlivé údaje)

Osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

S oboma typmi dát sa stretnete hlavne v Organizačnej časti a Klientskej časti a oba typy dát musia byť chránené. Citlivé údaje navyše spadajú do oveľa prísnejšieho režimu ochrany.

Povoľovanie a obmedzovanie prístupu k dátam

Administrátor má právomoc nastavovať prístup používateľov k dátam.

Práva dotknutej osoby

Dotknutá osoba je žijúca fyzická osoba, ku ktorej sa osobné údaje vzťahujú.

Právo nebyť predmetom automatizovaného individuálneho rozhodovania s právnymi či obdobnými účinkami, vrátane profilovania.

Prevádzkovateľ údajov zhromažďuje dáta, spracovateľ ich na jeho pokyn spracúva. Obaja musia dáta chrániť a plniť práva každej dotknutej osoby, ktoré im GDPR dáva.

Povinnosti prevádzkovateľa a spracovateľa

GDPR ukladá prevádzkovateľovi a spracovateľovi údajov povinnosť viesť evidenciu:

Záznamy o spracúvaní

Evidencia všetkých spracovateľských činností.

Súhlasy so spracúvaním

Evidencia súhlasov dotknutých osôb.

Žiadosti dotknutých osôb

Evidencia žiadostí o výkon práv dotknutých osôb vrátane oznamovacej povinnosti.

Overenie identity

Overenie identity dotknutej osoby.

Bezpečnostné incidenty

Evidencia a hlásenie incidentov vrátane oznamovacej povinnosti.

Kontroly dozorného orgánu

Šetrenia vykonávané Úradom na ochranu osobných údajov SR.

V praxi to znamená, že musíte zaznamenávať a uchovávať informácie napríklad o tom, že u vás bola kontrola a že evidujete (čiže logujete), kto s dátami pracoval.

Pri zapracovaní GDPR vo vašej organizácii musíte myslieť napríklad na evidenčnú alebo oznamovaciu povinnosť.

Technické zabezpečenie

Sila hesiel

Systém nastavuje povinnú silu hesiel používateľov. Používatelia budú podľa pokynov administrátora používať heslá napríklad s veľkými písmenami, číslicami a špeciálnymi znakmi.

SQL databáza

Dáta sú uložené v SQL databáze. Tá zabezpečuje, že sa k údajom dostanú iba používatelia s prístupovými údajmi pridelenými od administrátora.

Logovanie prístupov

Kompletné logovanie všetkých prístupov k dátam pre audit a spätnú kontrolu.

Dozorný orgán na Slovensku

Úrad na ochranu osobných údajov Slovenskej republiky

Hraničná 12, 820 07 Bratislava 27

Tel.: +421 2 3231 3214

E-mail: statny.dozor@pdp.gov.sk

Web: dataprotection.gov.sk