11. září 2017

GDPR (Ochrana osobních údajů) pro SAP a Salesforce řešení

Nařízení EU o ochraně fyzických osob a jejich osobních údajů je zde (GDPR – General Data Protection Regulation). Zavádí nové bezpečnostní požadavky a povinnosti, se kterými se musí dotyčné společnosti sladit nejpozději 25. 5. 2018. Výkonný management nesmí čekat na lokální legislativu a už teď se musí soustředit na přípravu své zaměstnance, procesů a technologií.

Koho se GDPR týká?

Nařízení se týká velké většiny institucí: větších společností i menších firem, pokud například zpracovávají údaje o svých klientech, využívají data na marketingové účely, monitorují chování svých zákazníků, mají kamerový systém nebo e-shop.

Jde o všechny organizace, které mají docházkový systém svých zaměstnanců, databázi zákazníků, nebo uchazečů o zaměstnání, zálohují a archivují údaje, smlouvy nebo šifrují data. Tedy všechny firmy, které mají osobní údaje uložené na serverech, posílají je po sítích do datových úložišť a využívají různé aplikace.

Co to pro vás znamená?

Hlavní povinnosti, které vám z GDPR vyplývají, jsou například:

• Zabezpečení prevence před únikem dat a osobních údajů;
• Předcházení neoprávněnému přístupu k osobním údajům;
• Zavedení anonymizace osobních údajů;
• Povinnost určení odpovědné osoby;
• Zajištění bezpečné likvidace osobních údajů;
• Řízení a monitorování aktivit s osobními údaji;
• Zajištění odolnosti systémů zpracovávajících osobní údaje proti výpadkům a ztrátě dat;
• Schopnost včas identifikovat bezpečnostní incidenty, analyzovat je a zdokumentovat;
• Pravidelné testování bezpečnosti osobních údajů;
• Zavedení šifrování dat a osobních údajů.

Za nedodržení nařízení hrozí max. pokuta až 20 mil. EUR nebo 4 % z ročních globálních tržeb společnosti (platí vyšší hodnota).

Například v případě využívání systémů SAP, Vám umíme pomoci s:

• Zhodnocení připravenosti vašeho systému na požadavky GDPR;
• Vytvořením akčního plánu implementace změn na systému na základě zjištěných nesrovnalostí vůči GDPR;
• Identifikací dat / tabulek v SAP databázi, které se týkají GDPR s cílem nastavení nových business pravidel;
• Identifikací procesů pro zajištění práv subjektů (přístup, oprava, výmaz, omezení zpracování, přenositelnost, námitka);
• Návrhem, jak anonymizovat testovací SAP systémy a Sandboxy, kde přicházejí do styku z osobními údaji i nepověřené osoby;
• Přípravou funkčnosti pro vytvoření hromadného / jednotného výpisu všech osobních údajů ze systému o subjektech;
• Přípravou funkčnosti na anonymizaci nebo výmaz osobních údajů o subjektech, které již podle GDPR nemohou být uloženy na systému;
• Zaznamenáváním záznamu souhlasu / nesouhlasu s použitím osobních údajů podle podmínek GDPR (kdo souhlas udělil, jak byl udělen, pro jaké účely byl udělen, na jakou dobu byl udělen, kdy byl odvolán) do systému;
• Zaznamenáváním záznamy souhlasu na automatické rozhodování;
• Zaznamenáváním záznamy souhlasu pro zpracování citlivých údajů o subjektech;
• Přípravou funkčnosti na hromadné / jednotlivé zaznamenávání omezená zpracování osobních údajů o subjektech;
• Procesem informování subjektů o ověření a rozhodnutí o námitce a zrušení omezení se zpracováním osobních informací;
• Přípravou funkčnosti na hromadnou přenositelnost osobních údajů jinému správci na základě žádosti subjektu;
• Přípravou funkčnosti na hromadnou úpravu osobních údajů subjektů;
• Přípravou procesů sloužících k uplatňování práv klientů a dalších subjektů podle GDPR;
• Úpravou šablon dokumentů a extraktorů.

Poradí Vám odborníci

Anodius je oficiální SAP a Salesforce partner. 

Náš tým certifikovaných expertů specializovaný na zavádění GDPR v Evropě Vám pomůže s:

• Porovnáním současných nastavení procesů a systémů Vaší společnosti s požadavky GDPR;
• Podporou při návrhu organizačních, procesních a IT změn;
• Podporou při implementaci akceptovaných změn v systémech SAP nebo Salesforce.com (do května 2018).

Stanislav Micheller, Partner – Delivery Services