GDPR - Ochrana osobních údajů

Z Nápověda
Verze z 4. 11. 2020, 07:38, kterou vytvořil Zwseditor (diskuse | příspěvky) (Založena nová stránka s textem „== GDPR - Ochrana osobních údajů == Od aktualizace na verzi v1.8.0 z 27. 4. 2018 jsou v docházkovém systému plně implementovány nástroje potřebn…“)

(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)
Přejít na: navigace, hledání

GDPR - Ochrana osobních údajů

Od aktualizace na verzi v1.8.0 z 27. 4. 2018 jsou v docházkovém systému plně implementovány nástroje potřebné pro ochranu osobních údajů - GDPR.

GDPR (General Data Protection Regulation) je obecné nařízení na ochranu osobních údajů, které začíná platit v rámci EU jednotně od 25. 5. 2018

Je ošetřeno Nařízením EP a Rady EU č. 2016/679 a v ČR nahrazuje současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.

Nařízení jednoznačně definuje pojmy :

  • Správce osobních údajů - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů
  • Zpracovatel osobních údajů - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce

Správcem osobních údajů se vždy rozumí uživatel docházkového systému, zpracovatelem může být např. externí účetní firma

Jakožto správce si vždy v rámci organizační struktury firmy určujete seznam oprávněných osob správce osobních údajů. Pokud chcete toto oprávnění přidělit sobě či jinému firemnímu správci, kontaktujte, prosím, Vašeho dodavatele systému iTA.


Nakládání s osobními údaji

V docházkovém systému považujeme údaje o každém zaměstnanci za jeho soukromé. Obzvláště je to jeho jméno, osobní čísla, datum narození a další podobné údaje. Vedle těchto údajů můžeme za soukromé považovat i údaje o docházce zaměstnance.

Obecně lze říci, že musíme splňovat následující požadavky:


  • Chránit data, která ukládáme, od přístupu třetích osob

- všechny osobní údaje zaměstnanců včetně jejich záloh, jsou umístěny v nejvyšším možném standardu zabezpečení na serverech Microsoft Azure v Německu, v zemi, kde platí celosvětově nejpřísnější zákony na ochranu osobních údajů.

- databáze je chráněna pomocí velmi silného hesla a mohou do ní přistupovat pouze specificky povolené adresy IP.

- přenos osobních údajů mezi cloudovým serverem a uživatelem probíhá výhradně šifrovaným připojením prostřednictvím protokolu https:// s ověřením důvěryhodnosti webu certifikátem


  • Spravovat přístup k osobním údajům pro uživatele systému

- náš software umožňuje spravovat přístupová oprávnění, takže uživatelé systému mohou přistupovat pouze k datům, jejichž zobrazení mají povoleno. Tzn. zaměstnanec nemůže vidět žádné osobní údaje jiného zaměstnance. Tato možnost je splněna použitím systémových rolí (administrátor, správce skupiny, zaměstnanec ...), kde každá role poskytuje jinou úroveň oprávnění a přístupu k osobním údajům.

- v roli distributora můžeme zažádat o přístup k systému za pomoci vzdálené správy. Abychom toto oprávnění získali, požádáme zákazníka o přístup pomocí e-mailu, který se vygeneruje na základě kliknutí na odkaz "Povolit vzdálenou správu" . E-mail je zaslán zákazníkovi a obsahuje informace o důsledcích této akce, tedy i o přístupu k osobním údajům zaměstnanců. Zákazník přístup povolí kliknutím na odkaz v e-mailu a tím udělí práva distributorovi na předem stanovou dobu 1 hodiny. Všechny tyto události jsou zaznamenány do protokolu o odhalení soukromých údajů (kdo požádal o přístup, kdo ho povolil atd.).


Povolit vzdalena sprava.png


  • Zajistit záznamy o přístupu k osobním údajům každého zaměstnance na žádost daného zaměstnance

- každý zaměstnanec má právo a možnost vyžádat si protokol, ve kterém zjistí kdy a kým byly zobrazeny jeho osobní údaje, stejně tak jako seznam evidovaných údajů

Seznam udaju.png

Zaznamy zobrazeni.png

- shromažďujeme údaje o každém přístupu k osobním údajům zaměstnance

- ke těmto možnostem má přístup pouze oprávněná osoba správce osobních údajů určená přímo správcem osobních údajů viz. úvod kapitoly o GDPR


  • Zachovat konzistenci databáze v případě jejího obnovení ze zálohy

- jak již bylo zmíněno, zálohování probíhá na speciálních serverech uložených v Německu

- v případě potřeby obnovení z těchto záloh, může dojít k tomu, že některý zaměstnanec byl již mezitím anonymizován/smazán. Tudíž v momentě obnovy již data nesmí obsahovat smazané osobní údaje zaměstnance. Abychom splnili tyto požadavky, dochází v případě obnovy k porovnání všech dat s aktuální databází a vyhodnocení, jaká data obnovit zpět.

Obrazovka přítomnosti zaměstnanců:

- ve výchozím nastavení není možné získat přístup na obrazovku s přítomností zaměstnanců. Lze pouze vygenerovat odkaz na tuto obrazovku. Před potvrzením tohoto kroku proběhne upozornění, že údaje zobrazované pomocí odkazu budou obsahovat osobní údaje - jména zaměstnanců a jejich docházku. Uživatel generující odkaz, je upozorněn, že zobrazení přítomnosti zaměstnanců pomocí generovaného odkazu bude zaznamenáno pro účely GDPR - s údaji uživatele, který odkaz generuje.


Zak.info.png


Generovat odkaz2.png

Ukončení pracovního poměru zaměstnance

Jakmile dojde k ukončení pracovního poměru některého ze zaměstnanců, je nutné rozhodnout o tom, jak bude dále naloženo s jeho osobními údaji. Upozorňuje nás nato také box přímo v dashboardu.

Ukonceny zam.pomer.png


Abychom si mohli následně zobrazit zaměstnance s ukončeným pracovním poměrem, je zapotřebí v kartě zaměstnanců zatrhnout příslušný Checkbox

Karta ukoncenych2.png


Nyní máme na výběr ze tří možností, jak naložit s osobními údaji zaměstnance :

  • Ponechat osobní údaje - zaměstnanec nebude smazán/anonymizován, ale označí se, že umožňuje ponechat jeho osobní údaje ve společnosti
  • Anonymizovat zaměstnance - po potvrzení zaměstnanec zůstává v systému, ale jeho data jsou nevratně anonymizována
  • Smazat zaměstnance - zaměstnanec je nevratně a kompletně smazán ze systému

Zmazani osob.udaju.png


  • Zaměstnanec souhlasí se zachováním osobních údajů

Zaměstnanec se může rozhodnout, že je v pořádku, aby společnost uchovala jeho osobní údaje. Vzhledem k tomu, že je odpovědností správce provést tuto dohodu se zaměstnancem, úkolem iTA je pouze uchování informací, se kterými zaměstnanec souhlasil. Proto když klepnete na tlačítko "Ponechat osobní data" , systém upozorní uživatele a zaznamená kdo tuto změnu provedl.

Ponechat udaje2.png


  • Anonymizace dat zaměstnance

Anonymizace se provádí z důvodu, aby nebylo možné spojit konkrétní data se zaměstnancem a tím ho identifikovat. Je to operace, která smaže pouze data, umožňující identifikaci zaměstnance tzn. že budou skryty osobní údaje, jako je jméno a další identifikační údaje (osobní číslo, datum narození, počátek zaměstnání ...). Všechna ostatní data, zejména záznamy o docházce a stavech účtů zůstávají, tudíž i celková historie pro potřeby reportů zůstává zachována, pouze není zaměstnanec identifikovatelný.

Anonymizovanie.png


Po provedení této akce se opět zaeviduje kdo a kdy tuto změnu provedl. Osobní údaje zaměstnance jsou již anonymní a namísto nich všude uvidíme pouze " *** *** "

Anonym.png


Hviezdy.png


  • Smazání dat zaměstnance

Tato operace odstraní z databáze veškerá data zaměstnance, což znamená, že každý řádek, který patřil danému zaměstnanci, bude smazán, aniž by bylo možné jej obnovit. Tato operace může ovlivnit celkové údaje společnosti např. součet stavů účtů, protože se ztratí data o smazaném zaměstnanci z historie. Pokud upřednostňujete zachování historie stavů, bude preferovanou možností anonymizace dat zaměstnance.

Zmazanie.png

Citováno z „http://test-cs-cz.zwswikiroot.a2hosted.com/index.php?title=GDPR_-_Ochrana_osobních_údajů&oldid=2097