GDPR
General Data Protection Regulation (Nařízení EU 2016/679)
Nařízení EU o ochraně osobních údajů platné od 25. 5. 2018 — definuje práva subjektů údajů a povinnosti správců.
Co je GDPR?
GDPR (General Data Protection Regulation), oficiálně Nařízení Evropského parlamentu a Rady (EU) 2016/679, je právně závazné nařízení o ochraně fyzických osob při zpracovávání osobních údajů, platné ve všech členských státech EU od 25. května 2018. V České republice ho doplňuje zákon č. 110/2019 Sb. o zpracování osobních údajů. Dozor vykonává Úřad pro ochranu osobních údajů (ÚOOÚ).
GDPR definuje klíčová práva subjektů údajů:
- Právo na přístup (čl. 15) — co o mně firma má
- Právo na opravu (čl. 16)
- Právo na výmaz / right to be forgotten (čl. 17)
- Právo na omezení zpracování (čl. 18)
- Právo na přenositelnost údajů (čl. 20)
- Právo vznést námitku (čl. 21)
Pro správce (každou firmu, která zpracovává osobní údaje) plynou povinnosti: vedení záznamů o zpracovatelských činnostech, posouzení vlivu na ochranu údajů (DPIA) při vysokém riziku, jmenování DPO (Data Protection Officer) při určitých rozsazích a oznámení bezpečnostních incidentů do 72 hodin.
Pokuty podle GDPR mohou dosáhnout až 20 000 000 € nebo 4 % globálního ročního obratu, podle toho, která částka je vyšší.
Kdy se používá
GDPR se týká každé firmy, která zpracovává osobní údaje občanů EU — zaměstnanců, zákazníků, dodavatelů (fyzických osob), zájemců z webu. V ERP systému to znamená zvláštní zacházení s HR a CRM daty.
Viz stránku Bezpečnost, modul Soubory a modul Evidence.
Související pojmy
- AI Act — doplňující regulace pro AI systémy. Viz /cs/slovnik/ai-act.
- ISO 27001 — certifikace pomáhá s GDPR compliance. Viz /cs/slovnik/iso-27001.
- RBAC — technická implementace omezení přístupu k osobním údajům. Viz /cs/slovnik/rbac.
V Modulario
Modulario je v plném souladu s GDPR — podrobnosti o datové mapě, subprocesurech a implementaci práv subjektů údajů najdete na stránce /bezpecnost. Moduly Evidence a Soubory podporují retenční politiky a automatické mazání po uplynutí lhůty.
Modulario poskytuje zákazníkům DPA (Data Processing Agreement) přímo v registračním toku, seznam subprocesorů s hostingem v EU a automatizované nástroje pro plnění práv subjektů údajů (data subject requests). Při ukončení služby se po uplynutí retenční lhůty data nenávratně mažou.
Související pojmy
AI Act
První komplexní nařízení EU upravující vývoj, nasazení a používání umělé inteligence — rizikový přístup se čtyřmi úrovněmi.
ISO/IEC 27001
Mezinárodní standard pro systém řízení informační bezpečnosti (ISMS) — certifikace, která prokazuje zralost firmy v IT bezpečnosti.
RBAC
Autorizační model, ve kterém se oprávnění přiřazují přes role, ne jednotlivým uživatelům — jednodušší správa a auditovatelnost.
SSO
Autentizační mechanismus, který umožňuje uživateli přihlásit se jednou a získat přístup k více aplikacím bez opakovaného zadávání hesla.
ReBAC
Autorizační model založený na vztazích mezi objekty — přístup se odvozuje od toho, v jakých týmech a projektech uživatel je.
Implementujete GDPR ve své firmě?
Modulario pokrývá většinu B2B procesů modulárně — nasaďte jen to, co teď potřebujete, a postupně rozrůstejte. Domluvte si bezplatnou konzultaci.
Domluvit konzultaci