DPO Radar - řešení pro GDPR procesy

GDPR a ochrana osobních údajů

V květnu 2018 začne v celé Evropské unii platit Nařízení o ochraně osobních údajů fyzických osob v souvislosti s jejich zpracováním (General Data Protection Regulation - GDPR), dále jen GDPR. GDPR sjednocuje ochranu osobních údajů v celé EU a dopadá na všechny společnosti, které osobní údaje zpracovávají a zároveň značně navyšuje pokuty za nedodržení pravidel GDPR. Klíčovou rolí pro úspěch projektu je pověřenec pro ochranu osobních údajů (Data Protection Officer - DPO), který má být garantem dané společnosti pro správné nakládáni s osobními údaji. Tato stránka obsahuje jen velmi stručné informace o základních pojmech používaných v problematice GDPR a odkazuje na další zdroje.

Projekt dosažení kompatibility s GDPR  je nesmírně komplexní a obsahuje množství komponent a účastníků v různých rolích. Navíc je to projekt dlouhodobý, protože díky zvýšeným právům subjektů zpracování údajů bude potřeba systematicky a včas řešit žádosti subjektů údajů a zároveň bezodkladně informovat dozorové orgány o případech úniku či zneužití dat. Takto rozsáhlý a dlouhodobý projekt nelze implementovat bez robustního a flexibilního systému pro evidenci a sledování projektů, úkolů a incidentů.

DPO Radar - řešení pro GDPR procesy na open-source helpdeskovém nástroji OTRS

Společnost Extend IT, s.r.o., jeden s předních dodavatelů helpdeskového systému OTRS, vyvinula pro open-source helpdeskový nástroj OTRS speciální modul DPO Radar, který řeší problematiku GDPR od implementace až po rutinní provoz. Přizpůsobení struktury pro konkrétní podmínky dané společnosti lze docílit většinou pouhou změnou nastavení parametrů. Díky velké flexibilitě a konfigurovatelnosti OTRS je tento proces relativně jednoduchý.

V případě náročnější implementace je společnost Extend IT ochotna pomoci s implementací formou konzultačních služeb. Navíc, pokud již tak velmi rozsáhlé schopnosti základní systému OTRS nebudou postačovat, společnost Extend IT je schopna doprogramovat další části kódu na míru pomocí tzv. OTRS balíčků. Extend IT má rovněž velké zkušenosti s napojováním OTRS na externí systémy přes API rozhraní, například na aplikace (SAP, Oracle ERP...), databáze (MySQL, Oracle...) a další.

Společnost Extend IT disponuje GDPR experty, kteří mohou pomoci s návrhem projektu pro implementaci procesů a technických změn a vypracováním dokumentace.
Jsme rovněž připraveni nabídnout službu poradenství pro vašeho/vaši DPO, případně DPO outsourcing našimi certifikovanými konzultanty.

Při implementaci GDPR projektů spolupracujeme s partnerskými firmami například v následujících oblastech:

  • Právní kanceláře: gap analýza a posouzení vlivu změn při zpracování dat na ochranu osobních údajů tzv. DPIA (Data Protection Impact Assessment).
  • Dodavatelé strukturovaných systémů:  aplikace ERP, CRM, HR... a různé druhy databází.
  • Specialisté na šedá data: mnoho společností udržuje osobní údaje na sdílených úložištích, v elektronické poště a v různých historických systémech či dokumentech, které si zaměstnanci ukládají na lokální disky. Tato data nejsou zdokumentována a identifikace osobních údajů v nich je bez specializovaných nástrojů prakticky nemožná.

V případě zájmu o další informace o našich službách nás kontaktujte.

 

Vlastnosti DPO Radaru

DPO Radar je postaven na systému OTRS (Open-source Ticket Request System), který je jedním z nejlepších open-sourcových helpdeskových systémů současnosti. Jeho možnosti zdaleka přesahují možnosti komerčních konkurenčních produktů tohoto druhu. Systém OTRS je velmi robustní a navrhovaný na uřízení velkého počtu tiketů. Mezi jeho vlastnosti patří automatická odpověď klientovi, automatické přiřazení řešitele problému, automatické přiřazení čísla tiketu, reporting a statistiky a další. Systém byl od počátku navržen tak, aby korespondoval s ITSM-ITIL (IT service management-Information Technology Infrastructure Library). Více o OTRS zde.

DPO Radar je implementován s využitím následujících vlastností systému OTRS:

Šablony a Procesy: Pro jednotlivé typy tiketů byly vytvořeny strukturované templaty a procesy pomocí worklfow mechanismu.

  • Incidenty: Pro řešení problémů spojených se zneužitím či únikem dat je nastaven proces od sledování konkrétního řešení až po informovanost dozorovému orgánu. Využívá se bohatý rejstřík možností pro nastavování priorit, SLA a eskalací, a email interface pro informování subjektů údajů, DPO a dalších uživatelů. 
  • Žádosti: Pro zpracování žádostí subjektů (např. žádost o výmaz, opravu...)  existují přednastavené formuláře a workflow, které provázejí splnění žádosti přes jednotlivá oddělení dané společnosti a zároveň informují subjekty údajů o průběhu žádosti.

Role a fronty: OTRS obsahuje propracovaný systém uživatelských rolí s různými právy přiřazených k jednotlivým frontám. DPO Radar obsahuje přednastavené role pro jednotlivé uživatele jako jsou:

  • DPO: DPO je klíčovým uživatelem a proto má maximální práva a přehled o všech incidentech a žádostech souvisejících s GDPR.
  • Manažeři: Manažeři jednotlivých oddělení by měli mít hlavně přehled o stavu GDPR ve svých oblastech a řídit řešení tiketů s ohledem na nastavené SLA.
  • Řešitelé: Řešitelé jsou techničtí a administrativní zaměstnanci společnosti a pracovníci dodavatelských firem určeni pro řešení tiketů.
  • Zaměstnanci, Zákazníci, Partneři: Zaměstnanci, zákaznici a partneři jsou skupiny lidí, o kterých běžná firma vede osobní údaje. Díky GDPR regulaci mají nová práva, která mohou uplatňovat formou žádostí a zároveň být průběžně informováni o stavu řešení.

Dokumentace: Systém OTRS nabízí velmi efektivní a jednoduchou správu dokumentů formou FAQ. Dokumenty lze řadit do kategorií a je možné je průběžně aktualizovat, komentovat a připojovat k tiketům. DPO Radar obsahuje informace o relevantních článcích směrnice a návody jak postupovat v jednotlivých případech.

Reporty a statistiky: Významnou součástí nařízení GDPR je informovanost subjektů údajů o tom, jak se nakládá s jejich daty a zároveň včasné informování dozorových orgánů o případných incidentech. OTRS poskytuje řadu standardních reportů a Extend IT vyvinula speciání reporty pro problematiku GDPR. 

Základní pojmy GDPR

O GDPR existuje množství dokumentů dostupných volně na internetu, například: oficiální https://gdpr-info.eu/ i výkladové jako je https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/narizeni-gdpr-cesky-obsah/. 

V tomto dokumentu jsou základní pojmy jen velmi stručně popsány.

Nařízení GDPR: Evropské nařízení GDPR (General Data Protection Regulation = Nařízení o ochraně osobních údajů) stanovuje nová práva pro fyzické osoby a zejména nové povinnosti pro správce a zpracovatele osobních údajů.

  • Platnost: Ustanovení tohoto Nařízení budou platná od 25. 5.2018.
  • Pokuty: Za nesplnění GDPR hrozí pokuty až 20 milionů EUR (540 milionů Kč) nebo 4 % z obratu.

Osobní údaj a souhlas: Osobním údajem je každá informace o fyzické osobě (subjektu údajů), kterou o ní společnost eviduje například jméno, rodné číslo, adresa apod. Subjekt musí být o zpracování svých osobních údajů požádán o souhlas srozumitelnou a jednoduchou metodou. 

  • Rozšíření osobních údajů: Mezi osobní údaje patří nově například emailové adresy, IP adresy, cookies apod.
  • Citlivé osobní údaje: Speciální kategorií, na kterou se vztahují mnohem přísnější pravidla, jsou tzv. citlivé údaje. Například to mohou být údaje o rase, etnickém původu, politických názorech, náboženství, zdravotním stavu, anebo genetické a biometrické údaje.
  • Profilování: Profilování je automatizované zpracování osobních údajů za účelem sledování chování subjektů údajů a je rovněž velmi regulováno. Příklady profilování jsou hodnocení pracovního výkonu, ekonomické situace, preferencí, místa apod.

Role: GDPR s ohledem na vztah ke zpracování osobních údajů definuje několik rolí:

  • Správce: Správcem je společnost, která za zpracování primárně zodpovídá a určuje účely a prostředky pro zpracování. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti na základě smlouvy nebo zákonné povinnosti. Správce může zpracovávat osobní údaje i pro vlastní zájmy na základě souhlasu subjektů údajů.
  • Zpracovatel: Zpracovatelem je společnost, která zpracovává osobní údaje pro správce, nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.
  • Dozorové orgány: Dozorový orgán (Úřadu pro ochranu osobních údajů) je hlavním garantem GDPR pro Českou republiku. DPO musí nahlásit incident např. o úniku dat bezodkladně, nejpozději do 72 hodin od zjištění.
  • DPO: Mnoho firem bude muset ze zákona jmenovat DPO a pro většinu velkých společností bude funkce DPO praktickou nutností. Mezi základní úkoly DPO patří zajištění souladu zpracovatelských činností s nařízením GDPR, poskytování informací a doporučení správci nebo zpracovateli a komunikace s dozorovým orgánem.

Práva subjektů: Práva subjektů údajů (občanů EU) budou značně posílena a vymahatelná formou žádostí. Mezi práva patří právo: na přístup, opravu, výmaz, být zapomenut, přenositelnost údajů, vznést námitku a omezení zpracování. GDPR se vztahuje i na společnosti mimo EU, které pracují s osobními údaji občanů EU.

V případě zájmu o další informace o našich službách nás kontaktujte.

 

Produktový leták: