Zákaznícky web

Záznam z odborného seminára k aplikácii GDPR

Viac
GDPR
11.5.2018

Termín, kedy nadobudne účinnosť Všeobecné nariadenie o ochrane osobných údajov, sa nezadržateľne blíži. Snažíme sa našim zákazníkom čo najviac uľahčiť plnenie požiadaviek z neho vyplývajúcich.

Cieľom májového odborného seminára GDPR bolo oboznámiť zákazníkov s tým, ako im Vema môže pomôcť pri plnení ich povinností vyplývajúcich z Nariadenia GDPR. Spoločnosť Vema k tomu pripravila nový modul GDPR, ktorý pomôže v oblastiach:

  • podpora tvorby a tlače „Smernice o ochrane osobných údajov“,
  • možnosť premazávania osobných údajov,
  • informovanosť o evidovaných osobných údajoch,
  • export osobných dát,
  • možnosť šifrovania dát,
  • logovanie prístupu k dátam.

V prvej časti seminára boli účastníci oboznámení s inštaláciou, ovládaním a funkciou tohto nového softwarového nástroja, druhá časť bola venovaná dopadom GDPR v mzdovej a personálnej oblasti.

Petr Peňás vysvetľuje funkčnosť modulu GDPR
Petr Peňás vysvetľuje funkčnosť modulu GDPR

Ako prvý sa ujal slova Petr Peňás, pod ktorého vedením tento nástroj vznikol. Svoju prednášku uviedol s upozornením, že software nevyrieši celú problematiku GDPR, ale jeho zavedenie v organizácii veľmi uľahčí.
Následne prezentoval jednotlivé funkčnosti nového softwaru pre podporu GDPR.

Podpora tvorby a tlače „Smernice o ochrane osobných údajov“
Systém Vema umožňuje vygenerovať návrh Smernice o ochrane osobných údajov, ktorý si každá organizácia môže upraviť podľa svojich vnútorných pravidiel a postupov.

Možnosť premazania osobných údajov
Táto požiadavka nariadenia GDPR patrí k najviac mediálne diskutovaným. V systéme Vema je riešené správou nastavení „aktívnych“ dátových prostredí, nastavení kategórií osobných dát, zoznamom tabuliek s osobnými dátami a zoznamom položiek v tabuľkách. Predvolené nastavenie retenčných lehôt je potrebné pred ostrým nasadením skontrolovať a upraviť na podmienky organizácie. Premazanie osobných dát je možné v systéme spustiť i na nečisto. Archívy dát sa nepremazávajú, ale po ich obnove je ponúknuté premazanie dát podľa aktuálne nastavených pravidiel.

Petr Peňás uvádza výpočet nevyhnutných podmienok pre sprevádzkovanie modulu GDPR
Petr Peňás uvádza výpočet nevyhnutných podmienok pre sprevádzkovanie modulu GDPR

Informovanosť o evidovaných osobných údajoch a export osobných dát
Pre tento účel sa generuje dokument so zoznamom tabuliek a ich hodnôt, v ktorých sú osobné údaje zadaného zamestnanca. Systém patom umožňuje export evidovaných osobných údajov do strojovo čitateľného formátu, konkrétne XML.

Možnosť šifrovania dát
GDPR šifrovanie nevynucuje, ale je voliteľne použiteľné. Odporúča sa používať len na vyhradených serverových staniciach, zálohovať kľúče oddelene od šifrovaných dát a používať silné heslo.

Logovanie prístupu k dátam
Je možné vykonať globálne alebo podrobné nastavenie. Sú podporované dve úrovne – logovanie len prístupu k tabuľkám s osobnými údajmi alebo logovanie všetkých čítaných riadkov. Pre analýzu logov slúži Koncentrátor logov – Sledovanie a Evidencia Aktív. Načíta zo všetkých logov vybrané typy záznamov. Povoľuje zobrazenie prístupu jednotlivých užívateľov a rolí k osobným údajom a zobrazenie aktivity užívateľa v dátach.

Nasledovala prestávka na občerstvenie a po nej sa ujala slova Renata Kolková, vedúca oddelenia analytikov miezd, ktorú zákazníci poznajú hlavne z organizovaných seminárov k novinkám aplikácie Mzdy.
Vo svojej prednáške sa zamerala na konkrétne dopady GDPR na mzdovú a personálnu oblasť s väzbou na legislatívu.

Renata Kolková oboznamuje s návrhom adaptačného zákona
Renata Kolková oboznamuje s návrhom adaptačného zákona

V úvode pripomenula, čo je cieľom Nariadenia GDPR a že každému členskému štátu EÚ je v niekoľkých článkoch Nariadenia GDPR daná možnosť prostredníctvom tzv. derogačných klauzúl vylúčiť znenie GDPR a stanoviť si vlastné pravidlá úpravy. Neprijatím adaptačného zákona sa ČR zatiaľ o túto možnosť pripravila, a teda bude musieť aplikovať GDPR v jeho plnom rozsahu bez akýchkoľvek výnimiek alebo úľav. Pre orgány verejnej moci je možné za vysoko rizikové považovať nevyužitie možnosti obmedziť výšku správnej pokuty podľa článku 83 GDPR. Návrh Ministerstva vnútra počíta s maximálnou hranicou pokuty do výšky 10 000 000 Kč, pričom podľa GDPR môže byť udelená pokuta max. vo výške 20 000 000 eur alebo 4 % celkového ročného obratu podľa toho, ktorá hodnota je vyššia.

Renata Kolková ďalej pokračovala informáciami z navrhovaného znenia zákona o ochrane osobných údajov. Veľmi podstatná časť navrhnutej úpravy je venovaná novému usporiadaniu Úradu pre ochranu osobných údajov (ÚOOÚ), ktorý aj naďalej bude plniť funkciu hlavného dozorného orgánu pre ČR. K ďalším zaujímavým okruhom navrhovaného zákona patrí napr. úprava veku dieťaťa pre súhlas so spracovaním jeho osobných údajov (13 rokov) alebo špecifikácia verejného subjektu podľa článku 37.

Podľa článku 5 GDPR boli prezentované princípy GDPR, ktoré doteraz neboli v zákone č. 101/2000 Sb. definované. Podľa súčasných pravidiel ale nedochádza k vecnej zmene, jediný nový princíp je zodpovednosť – povinnosť zaistiť súlad s platnou legislatívou a tento nanovo preukázať. Zaujímavou časťou prezentácie bolo vysvetlenie desatora najčastejších omylov či zavádzajúcich tvrdení o GDPR, ktoré spracoval ÚOOÚ. Sú to:

  • Odkazovanie na všeobecné nariadenie ako na smernicu
  • Označovanie všeobecného nariadenia za revolúciu v právach dotknutých osôb a v povinnostiach prevádzkovateľov
  • Rozširuje sa definícia osobného údaju
  • Je lepšie mať paušálny súhlas dotknutých osôb, ako sa zaoberať jednotlivými zákonnými dôvodmi
  • Šifrovanie je povinné
  • Každý, príp. takmer každý musí mať splnomocnenca pre ochranu osobných údajov
  • Splnomocnenec musí mať osvedčenie (certifikát)
  • Všeobecné nariadenie kladie na splnomocnenca pre ochranu osobných údaj vysoké, ťažko splniteľné nároky
  • Prevádzkovateľ nemôže splnomocnencovi pre ochranu osobných údajov dávať úlohy
  • Po novom hrozí prevádzkovateľom a sprostredkovateľom pokuty podľa obratu.

Poslucháči v sále počúvajú prezentáciu Renaty Kolkové s veľkým zaujatím
Poslucháči v sále počúvajú prezentáciu Renaty Kolkové s veľkým zaujatím

Účastníci boli tiež informovaní, ako by organizácia mala postupovať, aby bola schopná preukázať súlad s GDPR.

Základným firemným dokumentom by mala byť Smernica o ochrane osobných údajov, ktorú vo forme vzorového textu umožňuje Vema vo svojich produktoch vygenerovať. Smernica je to pomerne rozsiahla, a preto zákazníci určite uvítajú ponuku pomoci s tvorbou tohto dokumentu od spoločnosti Vema.
Smernica musí obsahovať:

  • Definíciu pojmov (napr. osobné údaje, citlivé osobné údaje)
  • Spôsob spracovania osobných údajov
  • Kto je dotknutá osoba?
  • Kto je prevádzkovateľ osobných údajov?
  • Kto je sprostredkovateľ osobných údajov?
  • Ako prebieha náborový proces?
  • Ako prebieha nástup zamestnanca?
  • Ako sa spracovávajú údaje o zdravotnom stave?
  • Ako sa riešia zdravotné prehliadky zamestnancov?
  • Ako sú zabezpečené osobné údaje?
  • Aké opatrenia sú v Personálnom informačnom systéme?
  • Prebieha monitoring zamestnancov? Ako?
  • Riešenie žiadostí zamestnancov a ďalších dotknutých osôb o uplatnenie práv.
  • Ako je umožnený prístup k osobným údajom žiadateľov?
  • Ako sú riešené námietky proti spracovaniu osobných údajov?
  • Ako sú riešené žiadosti o opravu?
  • Ako sú riešené žiadosti o výmaz (právo byť zabudnutý)?
  • Ako je zaistený prenos osobných údajov zamestnávateľa k inému prevádzkovateľovi osobných údajov?
  • Ako je riešené sprístupňovanie údajov o zamestnancoch tretím stranám?
  • atď.

Renata Kolková pokračovala vysvetlením pojmu zákonnosti spracovania osobných údajov. Každé spracovanie musí mať právny základ. Právne základy v HR sú:

  • právna povinnosť,
  • plnenie či uzatvorenie zmluvy s dotknutou osobou,
  • oprávnený záujem,
  • súhlas zamestnancov, ktorý musí byť slobodný, konkrétny, informovaný a jednoznačný.

Renata Kolková zdôrazňuje, že každé spracovanie osobných údajov musí mať právny základ
Renata Kolková zdôrazňuje, že každé spracovanie osobných údajov musí mať právny základ

Udelenie súhlasu preukazuje prevádzkovateľ, v prípade odmietnutia nesmie vzniknúť žiadny následok. Pre udelenie súhlasu je nevyhnutné mať samostatné prehlásenie oddelené od pracovnej zmluvy. Po 25. 5. 2018 budú platné iba súhlasy udelené v súlade s GDPR.
Osobné údaje je možné spracovávať iba po nevyhnutne potrebný čas. Pokiaľ pominie právny základ pre ich spracovanie alebo je naplnený účel spracovania, je potrebné údaje anonymizovať alebo zmazať.

Pre uľahčenie plnenia požiadaviek GDPR pri výbere nových pracovníkov ponúka Vema modul Výberové konanie, ktorý zaistí celý proces v súladu s GDPR. Tiež aplikácia Personalistika vám plnenie nárokov GDPR uľahčí, jej hlavnou výhodou je centrálna správa personálnych dokumentov. Aplikácia Mobilný výplatný lístok zase umožňuje odosielať výplatné lístky zabezpečené heslom na mobil alebo na e-mail.

Copyright 2019 Vema.sk