Správa GDPR#
Přehled#
Od aktualizace na verzi v1.8.0 z 27. 4. 2018 jsou v docházkovém systému plně implementovány nástroje potřebné pro ochranu osobních údajů - GDPR.
GDPR (General Data Protection Regulation) je obecné nařízení na ochranu osobních údajů, které začíná platit v rámci EU jednotně od 25. 5. 2018
Je ošetřeno Nařízením EP a Rady EU č. 2016/679 a v ČR nahrazuje současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.
Nařízení jednoznačně definuje pojmy :
- Správce osobních údajů:
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů
- Zpracovatel osobních údajů:
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
Správcem osobních údajů se vždy rozumí uživatel docházkového systému, zpracovatelem může být např. externí účetní firma
Jakožto správce si vždy v rámci organizační struktury firmy určujete seznam oprávněných osob správce osobních údajů. Pokud chcete toto oprávnění přidělit sobě či jinému firemnímu správci, kontaktujte, prosím, Vašeho dodavatele systému iTA.
Nakládání s osobními údaji#
V docházkovém systému považujeme údaje o každém zaměstnanci za jeho soukromé. Obzvláště je to jeho jméno, osobní čísla, datum narození a další podobné údaje. Vedle těchto údajů můžeme za soukromé považovat i údaje o docházce zaměstnance.
Obecně lze říci, že musíme splňovat následující požadavky:
Chránit data, která ukládáme, od přístupu třetích osob#
Všechny osobní údaje zaměstnanců včetně jejich záloh, jsou umístěny v nejvyšším možném standardu zabezpečení na serverech Microsoft Azure v Německu, v zemi, kde platí celosvětově nejpřísnější zákony na ochranu osobních údajů.
Databáze je chráněna pomocí velmi silného hesla a mohou do ní přistupovat pouze specificky povolené adresy IP.
Přenos osobních údajů mezi cloudovým serverem a uživatelem probíhá výhradně šifrovaným připojením prostřednictvím protokolu https:// s ověřením důvěryhodnosti webu certifikátem
Spravovat přístup k osobním údajům pro uživatele systému#
Náš software umožňuje spravovat přístupová oprávnění a nastavit každému uživateli přístupy na základě individuálních potřeb zaměstnavatele
V roli distributora můžeme zažádat o přístup do systému za pomoci vzdálené správy. Abychom toto oprávnění získali, požádáme zákazníka o přístup pomocí odkazu, který je v sekci → :
Následně se vygeneruje PIN kód, který po sdělení administrátorovi a povolení přístupu umožní pracovníkovi podpory vzdálený přístup. Administrátor přístup přijme a tím má udělená práva na předem stanovenou dobu 1 hodiny. Všechny tyto události jsou zaznamenány do protokolu o odhalení soukromých údajů (kdo požádal o přístup, kdo přístup přijal atd.).
Zajistit záznamy o přístupu k osobním údajům každého zaměstnance na žádost daného zaměstnance#
Každý zaměstnanec má právo a možnost vyžádat si protokol, ve kterém zjistí kdy a kým byly zobrazeny jeho osobní údaje, stejně tak jako seznam evidovaných údajů
Shromažďujeme údaje o každém přístupu k osobním údajům zaměstnance
K těmto možnostem má přístup pouze oprávněná osoba správce osobních údajů určená přímo správcem osobních údajů, viz. úvod kapitoly o GDPR
Zachovat konzistenci databáze v případě jejího obnovení ze zálohy#
Jak již bylo zmíněno, zálohování probíhá na speciálních serverech uložených v Německu
V případě potřeby obnovení z těchto záloh, může dojít k tomu, že některý zaměstnanec byl již mezitím anonymizován/smazán. Tudíž v momentě obnovy již data nesmí obsahovat smazané osobní údaje zaměstnance. Abychom splnili tyto požadavky, dochází v případě obnovy k porovnání všech dat s aktuální databází a vyhodnocení, jaká data obnovit zpět.