V minulém díle jste se dozvěděli co pro Vás znamená GDPR (General Data Protection Regulation). Pro připomenutí si zde zopakujme na co se musíte připravit. Každá společnost, která pracuje s osobními údaji musí splňovat několik důležitých bodů:
- Veškeré osobní údaje v rámci obecného nařízení GDPR musí Vaše organizace získávat (případně aktualizovat) pouze na základě právního titulu a pouze pro konkrétní jednoznačný účel (který je vždy zákazníkovi podrobně vysvětlen) a po dobu nezbytně nutnou. Osobní údaje musí být zpracovávány legálně.
- Jako správce nebo zpracovatel osobních údajů zákazníka máte tzv. Informativní povinnost o tom, jaká data o něm zpracováváte. Tuto informativní povinnost, musíte splnit nejpozději v okamžiku získávání osobních údajů a to v jasně daném rozsahu, stručně, srozumitelně a transparentně.
- Pro zavedení GDPR do Vaší organizace doporučujeme vytvořit si vlastní interní směrnici, která není povinná, ale pomůže Vám podchytit a následně nastavit všechny oblasti a procesy tohoto nařízení.
- V rámci archivace, pokud ukládáte osobní údaje v papírové podobě, musíte zabezpečit jejich uložení proti neoprávněnému přístupu (uzamykatelná skříň)
- V rámci interního auditu si zmapujte, kde všude pracujete s osobními údaji Vašich zaměstnanců a zákazníků a na základě této analýzy proveďte opatření k dosažení souladu s nařízením GDPR.
- Nastavte si ve Vaší organizaci správu přístupů a politiku silných hesel. Nepoužívejte sdílené účty (jeden uživatelský účet pro více pracovníků/uživatelů. Analyzujte kdo z vašich zaměstnanců má přístup k osobním údajům a případně tyto přístupy minimalizujte.
- V rámci ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu si vytvořte schéma kontaktů kam zaslat oznámení o porušení zabezpečení osobních údajů – lidský faktor, krádež, vytvoření protokolu, zaznamenávání incidentů, porušení povinností v oblasti ochrany osobních údajů.
Nyní je na čase, abyste se dozvěděli, jak Vám EKONOM system pomůže v dodržování GDPR.
Zabezpečené moduly: Adresář + personální a mzdové údaje
Ochranu osobních údajů zabezpečujeme před nežádoucím únikem, rep. poskytnutím třetí straně na základě úrovně přístupových hesel jednotlivých uživatelů, jejichž zodpovědnost za data je definována např. interní směrnicí.
Samotnou práci s daty lze odlišit dle místa a času zpracování
První variantou je zpracování přímo programem, kde osobní data předurčená pro chránění jsou nezbytná pro průběh např. obchodního případu. Například se jedná o tzv. “plnění smlouvy” (adresář – evidence e-mailu, jména, telefonu) nebo výpočet mzdy, výkazy OSSZ, ZP apod. Přístup k datům v této fázi zpracování je definován právě přístupovými právy zodpovědností osoby, která tato data zpracovává – fakturantka, mzdová účetní aj.
Druhou variantou je archivace dat, exporty a poskytování dat zainteresovaným osobám mimo kompetenční dosah účetní agendy. Zde se jedná o to definovat, pro jaký účel jsou tato data, resp. výstupy, následně určeny. Může se jednat o veřejný zájem, poskytnutí policii, FÚ, účetní nebo běžná archivace či oprava dat. Toto program zabezpečuje redukcí archivovaných dat v rámci záloh či exportních seznamů (export z jednotlivých evidencí) a to opět dle definice v přístupových právech, kdy poskytujete úplný nebo redukovaný seznam, tzn. bez osobních údajů.
Tyto procesy z pohledu zodpovědnosti jsou dle identifikace přihlášeného uživatele dohledatelné. Dodavatel / odběratel, resp. osoba evidovaná, může požádat o výmaz svých údajů z příslušné evidence systému EKONOM, což je řešeno datem expirace. Zde se samozřejmě prioritně přihlíží k souladu s plněním smlouvy, zákonu o účetnictví apod. (povinnost evidovat potřebná data po určitou dobu).
Chystáme 3. díl ze seriálu GDPR na téma EKONOM online a GDPR. Sledujte nás.