GDPR v HELIOSU aneb jak zabránit pokutám

13. července 2020

Pokutu 9,6 milionu eur dostala společnost 1&1 Telecom v Německu za nezavedení dostatečných technických a organizačních opatření k zabezpečení osobních údajů svých zákazníků. Osobní údaje a jejich bezpečí jsou vážná věc. Často však stačí relativně málo, abyste požadavky GDPR splnili. HELIOS vám s tím pomůže.

GDPR není raketová věda

Nařízení GDPR klade jasné nároky na to, jak je potřeba zacházet s osobními a citlivými údaji. Jeho text není nikterak dlouhý, při uvážení, že obsahuje i veškeré instrukce pro veřejné instituce členských zemí Evropské unie. Text nařízení si můžete přečíst zde.

Zmíněná pokuta byla německé telekomunikační společnosti udělena hlavně za to, že k autentizaci zákazníka do systémů operátora využívala jen jeho jméno, příjmení a datum narození, což jsou snadno zjistitelné údaje. Jejich prostřednictvím šlo pak přistupovat k dalším osobním údajům zákazníků.

Jenže podobná fatální chyba v zabezpečení nemusí být jediný potenciální problém, který může firmě s GDPR vzniknout. Bohatě stačí, když nebudete ze svých systémů vymazávat osobní údaje lidí, u kterých vám vypršel jejich souhlas, nebo je půjde snadno někým nepovolaným z vašich systémů vyexportovat. Naštěstí my v HELIOSU jsme na to mysleli.

HELIOS jako GDPR ready

Náš systém HELIOS je plně připraven na nařízení GDPR a nabízí všechny funkce, které jsou k naplnění jím stanovených technických požadavků potřeba. Velkou část funkcionalit najdete už v základní verzi systému. Předně je to možnost udělovat oprávnění na určité sloupce v tabulce určitým uživatelům. Tím můžete u zákazníků či zaměstnanců velice jednoduše a efektivně zpřístupnit databázová pole s jejich osobními údaji jen konkrétním uživatelům systému. Jejich aktivita se navíc automaticky zaznamenává do logu, ze kterého lze případně kdykoliv doložit, kdo, kdy a jak s údaji nakládal.

Dále zde máme také přístupová práva k různým tiskovým sestavám. Ta umožní předejít nepovolanému „vedlejšímu“ úniku dat třeba formou vygenerování sestavy všech zaměstnanců, kteří čerpali v daném roce nemocenskou, někým, kdo nemá mít oprávnění s těmito citlivými údaji nakládat. Podobné úniky je třeba ošetřit i prostřednictvím omezování práv na čtení, respektive přístupu k dokumentům, kdy osobní údaje například zaměstnanců mohou být obsaženy v pracovních smlouvách. Dalším místem, které umožňuje případné vedlejší úniky dat a které umí HELIOS ve standardu také velice dobře ohlídat, jsou exporty, třeba u účetního deníku. Ten totiž může obsahovat některé osobní údaje klientů či zaměstnanců, v závislosti na tom, která data z účetnictví budete exportovat.

Základní funkcionalitou spojenou s GDPR je rovněž evidence souhlasů se zpracováním osobních údajů. Již v základní verzi lze evidovat typy souhlasů, platnosti souhlasů, data a formy jejich udělení apod.

Využijte modul GDPR

Pro firmy, které často potřebují komplexnější ochranu osobních údajů, chtějí řešit problematiku efektivně a nezatěžovat správce a uživatele pracemi, které nesouvisejí s vlastním předmětem činnosti společnosti, máme připraven specializovaný modul GDPR. Tento modul obsahuje nadstavbové nástroje a přednastavené řešení pro fungování systému v oblasti práce s osobními údaji. Nad rámec standardních funkcionalit nabízí například předpřipravené číselníky pro dohledávání dat či výpis dat, o který si může libovolný subjekt, jehož osobní údaje spravujete, kdykoliv zažádat. Stejně tak dokáže zajistit anonymizaci dat, což představuje přímé smazání nebo nahrazení konkrétních osobních údajů (např. rodné číslo, datum narození), a to z jednoho jediného místa ve všech částech systému, případně i s propojenými dokumenty, pokud je máte umístěny v HELIOSU.

Modul GDPR minimalizuje práce nutné k dosažení základní shody s nařízením, zjed­noduší prokázání, že problematika je řešena, a tím sníží riziko problémů a pokut při auditu.

Při běžném provozu systému pak nástroje pro automatizaci od­bourají ruční práci uživatelů, která by jinak byla nutná k uspokojení požadavků nařízení, a sníží riziko selhání lidského faktoru.

Využitím logů všech činností spojených se zpracováním osobních údajů je zajištěna prokazatelnos­t zpracování osobních údajů pro případ auditu. Připravené výpisy vám usnadní komunikaci s do­zorovými orgány i subjekty údajů.

Nebojte se GDPR

GDPR se opravdu není třeba bát. Stačí se seznámit s jeho obsahem, jednorázově přijmout několik systémových opatření, která promítnete do svého podnikového informačního systému, a můžete se opět soustředit jen na byznys. Právě se zavedením těchto systémových opatření vám HELIOS pomůže.

Chcete o GDPR v HELIOSU vědět více? Navštivte náš web https://www.helios.eu/gdpr/.