GDPR v KelSQL

16.11.2017

Ochrana osobních údajů je již mnoho let řešena zákonem č. 101/2000 Sb., který byl přijat na základě předchozí směrnice EU 95/46/EC.

Nové Obecné nařízení o ochraně osobních údajů EU 2016/679 (angl. General Data Protection Regulation neboli GDPR) přebírá ustanovení původní směrnice a k nim přidává některé nové povinnosti, nejedná se tedy o nic zcela nového. Doporučujeme Vám prostudovat nařízení EU, nebo se zúčastnit školení GDPR, kde se podrobně s novými povinnostmi seznámíte. Drtivá většina z těchto povinností se odehrává mimo ekonomický systém.

Osobní údaje fyzických osob evidované v našem ekonomickém systému (ve všech verzích, dále jen KelSQL) jsou uloženy v databázi na Microsoft SQL Serveru, jehož bezpečnost garantuje firma Microsoft. Konkrétně se v KelSQL osobní údaje evidují v modulu Mzdy a v číselnících osob, firem a kontaktů. K osobním údajům se dostanou pouze uživatelé, kterým přidělíte přístup do KelSQL zabezpečený heslem (bez hesla není možné se do KelSQL přihlásit). Tito uživatelé si musí být vědomi, a nejlépe smluvně zavázáni, pro jaké účely a jakým způsobem mohou evidované osobní údaje zpracovávat. V případě potřeby je možné uživatelům zakázat v jednotlivých modulech přístup k nabídkám obsahujícím osobní údaje, např. k číselníku firem nebo osob.

Většina osobních údajů v KelSQL nepodléhá souhlasu subjektů údajů se zpracováním, neboť jsou evidovány za účelem plnění právní povinnosti (Mzdy), nebo za účelem plnění smlouvy (číselníky). V případě evidování osobních údajů k účelům, které vyžadují souhlas subjektu, je možné poskytnutý souhlas evidovat formou elektronické přílohy k zaměstnanci, osobě, firmě nebo kontaktu. Elektronickou přílohou může být např. e-mail od subjektu nebo oskenovaný dokument obsahující souhlas se zpracováním vyjmenovaných údajů pro přesně specifikovaný účel.

Nová povinnost správce údajů poskytnout subjektu na vyžádání kopii zpracovávaných osobních údajů (čl. 15) bude zajištěna tiskem sestav v modulu Mzdy a v příslušných číselnících.

Jakmile bude stanoven závazný formát souboru pro přenášení osobních údajů, budeme tento způsob uplatnění práva subjektu na přenositelnost (čl. 20) implementovat. Zatím však není jasné ani našemu Úřadu pro ochranu osobních údajů, jak by to v praxi mělo probíhat.

Jsme samozřejmě také připraveni na zakázku implementovat případné speciální požadavky našich klientů.