DMS/ECM v souladu s GDPR

»»

DMS/ECM systémy v souladu s legislativou gdpr.

GDPR představuje revoluční legislativu EU, která si klade za cíl výrazně zvýšit ochranu osobních dat občanů.

Platné od 25. 5. 2018

Cílem GDPR je co nejvíce hájit práva občanů EU proti neoprávněnému zacházení s jejich osobními údaji.

GDPR ovlivní všechny právnické a fyzické osoby, které zpracovávají údaje o fyzických osobách (např.: údaje o zaměstnancích, zákaznících, obchodních partnerech…). Nejvíce postihne ty, které:

zpracovávají citlivé údaje (jedná se např. o obor zdravotnictví, bezpečností agentury, odbory, e-shopy, veřejná správa…)
zaměstnávají více jak 250 zaměstnanců

Jedním z cílů přijetí GDPR je zajištění jednotnosti pravidel ochrany osobních údajů, které platí v každém státě EU (navíc včetně Islandu, Norska a Lichtenštejnska) a dalších zemí mimo EU zpracovávají osobní údaje rezidentů EU. Za porušení pravidel jsou navíc zavedeny velmi vysoké pokuty. GDPR přináší rovnocennou vymahatelnost práva v celé EU.

S nařízením GDPR přichází dodatečné povinností:

Implementace nezbytné ochrany dat
Vypracovat posouzení vlivu na ochranu osobních údajů (DPIA – Data Protection Impact Assessment)
Povinné pro společnosti, které:
- vedou systematické a rozsáhlé vyhodnocování osobních údajů (např. banky, pojišťovny, leasingové společnosti či jiné finanční instituce).
- poskytují věrnostní programy, společnosti, a zpracovávají větší objem citlivých osobních údajů.
- systematicky monitorují veřejně přístupné prostory (např. bezpečnostní agentury, zdravotní pojišťovny či nemocnice).
Pro větší společnosti se nařizuje jmenovat nezávislou kontrolní funkci (tzv. DPO – Data Protection Officer), jejímž úkolem bude dohlížet nad řádným zacházením s osobními údaji a hlásit možné úniky dat či porušení zákona.
Zavést tzv. pseudonymizace osobních údajů (zpracování osobních údajů způsobem, který neumožňuje jejich přiřazení ke konkrétnímu člověku bez použití dodatečných informací)
Evidovat záznamy o činnostech zpracování

Jak se na GDPR připravit?

Důležité je posoudit, zda organizace pracuje s osobními daty. Na základě analýzy dat a procesů identifikujeme, kdo, jak a s jakými daty pracuje. Důležitá bude úprava systémů tak, aby došlo k zabezpečení osobních a citlivých údajů.

Závislost GDPR na DMS systémech?

Z pohledu DMS je nutné:

Vědět, kdo, kde, jak a které dokumenty s osobními údaji používá a na požádaní tyto informace poskytnout
Opravit chybné osobní údaje
V případě, že fyzická osoba žádá o smazání, vymazat všechny údaje, které obsahují v samotném obsahu osobní údaje, a také všechny dokumenty, které se týkají dané osoby (existují výjimky, např. Zákoník práce a povinnost evidovat osobní údaje zaměstnanců)
V případě odvolání souhlasu se zpracováním údajů omezit/zakázat další zpracování všech dokumentů, které obsahují osobní údaje a také všech dokumentů, které se týkají dané osoby
Poskytnout všechny dokumenty, které obsahují osobní údaje a také všechny dokumenty, které se týkají žádající osoby

Jak se GDPR dotýká ECM/DMS systémů?

V případě, že ECM/DMS neobsahuje osobní a citlivé údaje, GDPR se jej týkat nebude. Nicméně z drtivé většiny ECM/DMS systém dokumenty s citlivými údaji obsahovat bude a je třeba zabezpečit naplnění práv subjektů osobních údajů a na GDPR se připravit.

Často bývá ECM/DMS systém implementován jako podpůrný nástroj k informačnímu systému (ERP, CRM, nemocniční IS…), kdy jsou citlivá data uložena v těchto systémech, a ne přímo v DMS.

Nevíte si rady s GDPR? Kontaktujte nás a navrhneme Vám optimální řešení správy dokumentů v souladu s GDPR na míru.

Zdroje:

GDPR | Obecné nařízení o ochraně osobních údajů — prakticky. GDPR | Obecné nařízení o ochraně osobních údajů — prakticky [online]. Dostupné z: https://www.gdpr.cz/?gclid=EAIaIQobChMInZ2a-L6p1QIVCYwZCh2RXwZyEAAYAyAAEgLrkfD_BwE