GDPR

Tip: Vzorový návrh "Prohlášení o zpracování osobních údajů" naleznete v sekci Vzory dokumentů.

I  Úvod

Tento článek popisuje připravenost aplikace ContOS na plnění požadavků, které vyplývají z nařízení GDPR.

Ačkoli má nařízení GDPR významný dopad na IT technologie, není primárně jen a pouze o nich. Většina dalších povinností souvisí s tzv. "data governance", nebo-li se způsobem, jak je firma řízena a kontrolována a jak se v reálné praxi chová vůči svým zaměstnancům, klientům nebo obchodním partnerům. 

Níže tedy následuje popis řešení jednotlivých oblastí GDPR z pohledu aplikace ContOS.

II  Bezpečnost

ContOS využívá nejmodernější technologie pro ukládání a zpracování dat, databázový server MS SQL Server, který zajišťuje vysoký stupeň ochrany dat. Přístup k databázím je chráněn heslem, data jsou souborově nečitelná a ve spojení s bezpečnostní politikou operačního systému MS Windows k nim nemá přístup nikdo nepovolaný. ContOS dále disponuje vlastní správou uživatelských účtů a hesel, která opravňují uživatele k dalším operacím nad daty.

Spojení mezi aplikací a databází je šifrované a nemůže být přečteno třetí stranou.

III  Omezení přístupu

ContOS obsahuje vlastní systém uživatelských účtů, kterým lze přidělovat další oprávnění a přístupová práva do jednotlivých modulů. Lze definovat přístup a typ přístupu do všech modulů aplikace pro každého uživatele. Zároveň lze definovat i množinu operací, které smí konkrétní uživatel s data provádět. Lze zároveň omezit množství dat, se kterými může uživatel pracovat najednou, čímž je eliminováno riziko odcizení dat např. ofocením obrazovky.

Uživatelská oprávnění je možné nastavit i nad konkrétními tiskovými sestavami, čili každý uživatel může prohlížet a tisknout pouze povolené sestavy.

Totéž se týká také možnosti exportu dat. Kromě samotného nastavení oprávnění k této funkci, lze nastavit i oprávnění na editaci či použití konkrétních exportních šablon a omezit tedy množinu dat, kterou smí uživatel exportovat.

IV  Analýza bezpečnostních incidentů

Všechny záznamy obsahují informaci o tom, který uživatel a kdy je založil či změnil. Interně jsou ukládány také podrobné informace o změnách záznamů, kdy jsou ukládány původní i nové hodnoty jednotlivých polí. Volitelně lze v zapnout logování tisku (ale i náhledu nebo exportu do PDF) a logování exportu dat.

V  Právo na informovanost

V případě, že subjekt požaduje odpovědět na otázku, jaká data jsou o něm evidována, je k dispozici několik tiskových sestav, které umožňují přehledně tyto informace zobrazit, vytisknout či mu je odeslat e-mailem.

Tisková sestava Karta klienta

VI  Právo na opravu / na aktuálnost údajů

V modulu Adresář jsou centrálně evidovány veškeré základní osobní údaje o jednotlivých subjektech a tak je zajištěno jejich automatické zobrazení tam, kde je to nutné. Kromě údajů o dodací adrese, které jsou shromažďovány odděleně také na objednávce nebo v expedici jsou všechny ostatní údaje uloženy pouze v kartě klienta, kde je lze centrálně aktualizovat. V Adresáři zároveň existují odkazy na všechny související doklady toho kterého konkrétního subjektu.  

VII  Časová minimalizace

Aby nebyly osobní údaje shromažďovány déle, než je nezbytně nutné, případně pro zodpovědné posouzení požadavku některé osoby na výmaz, jsou v modulu Adresář tiskové sestavy, které dokáží zobrazit veškeré doklady a jejich datum pro daný subjekt.

VIII  Právo být zapomenut / právo na výmaz

V modulu Adresář existují tiskové sestavy, které dokáží zobrazit veškeré evidované doklady pro daný subjekt a na základě těchto informací lze konkrétní údaje odstranit či zneplatnit nebo posoudit samotné oprávnění pro takový výmaz.

IX  Právo na přenositelnost údajů

Nařízení GDPR obsahuje pokyn pro export osobních údajů subjektu ve "strukturovaném, obecně použitelném a strojově čitelném" formátu, avšak konkrétně nespecifikuje, o jaký formát a o jakou strukturu jde. ContOS však umožňuje vyexportovat jakákoli data subjektu ve standardních formátech XML a CSV, a tak toto právo naplnit.