GDPR v aplikacích Vema

IS Vema nebrání nijak dosažení souladu s nařízením GDPR. Mnoho ustanovení v evropském nařízení má organizační povahu a bude třeba vypracovat Záznamy o zpracování osobních údajů (svým způsobem směrnice).  V IS Vema je historicky  věnována velká péče ochraně dat, sledování přístupů, s využitím správného nastavení a bezpečnostního modelu, s logováním či auditováním změn. Nicméně nároky nařízení GDPR jsou navíc řešeny novým modulem Vema GDPR, který usnadní dosažení souladu automatizací některých činností, které by jinak uživatel musel provádět ručně.

Nový modul GDPR Vema

Nová aplikace GDPR Vema řeší technickou část souladu provozu personální agendy s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Obsahuje i podporu pro tvorbu příslušných metodik. Aplikace GDPR podpoří plnění povinností vyplývajících z citovaného v níže popsaných oblastech. Pořídit modul není povinné, záleží na Vás, jak se k problematice postavíte - co si "prohlásíte" v Záznamech o činnostech zpracování a co budete chtít udělat následně ručně, resp. s podporou programových funkcí modulu GDPR.

Modul bude proti standardním funkcím programu řešit tyto oblasti:

Právo subjektů údajů na přenositelnost údajů

V rámci plnění tohoto práva subjektů údajů bude pomocí aplikace GDPR možné na přání vyexportovat z celého Personálního IS Vema do formátu XML všechna relevantní data týkající se příslušného zaměstnance. Tato data mohou následně být předána zaměstnanci na vhodném médiu. Upozorňujeme, že zatím nebyl stanoven žádný obecně používaný formát pro přenos údajů, nicméně XLM soubor generovaný z modulu GDPR Vema obsahuje veškerá potřebná metadata pro jeho následné zpracování.

Právo subjektů údajů na informovanost o evidovaných údajích

Tato funkce umožní vyexportovat do formátu PDF či vytisknout příslušnému zaměstnanci (ať již současnému, tak i bývalému) na jeho přání všechna relevantní data aktuálně evidovaná v Personálním IS Vema. Bude-li si to zákazník přát, může zpřístupnit svým zaměstnancům tyto informace formou odkazu i na Portále Vema.

Postupné mazání osobních údajů zaměstnanců v souladu s pomíjením důvodů k jejich uchovávání

Tato velmi komplexní funkce cyklicky provádí průchod celou provozní databází Personálního IS Vema a promazává údaje, u kterých pominul právní důvod, oprávněný zájem či případný souhlas opravňující zaměstnavatele jakožto správce k držení osobních údajů zaměstnanců (opět ať ji současných, tak i bývalých). Aplikace GDPR obsahuje veškeré potřebné nástroje pro konfiguraci mazání. Veškeré údaje jsou kategorizovány do základních kategorií, ke kterým se váže povinnost výmazu. V rámci celé kategorie bude možné formou výjimek změnit pravidla pro dílčí části kategorie, tedy pro jednotlivé tabulky (v terminologii Vema soubory) tak dokonce i pro individuální položky. Mazání bude probíhat vždy na základě konkrétní spouštěcí události (např. ukončení PPV, vznik nároku apod.) a příslušné expirační lhůty.

Tato nastavení budou platná vždy pro všechny zaměstnance. Pro specifické účely (např. soudní spor se zaměstnancem) bude možné u konkrétního zaměstnance po potřebnou dobu zcela zablokovat proces mazání.

Proces mazání generuje podrobný protokol o mazaných údajích. Mazání bude možné spustit nanečisto bez skutečného výmazu a následně zkontrolovat v protokolu, zda smazané údaje skutečně odpovídají zamýšlenému rozsahu mazání.  Spouštění funkce je možné ručně nebo pomocí systémového plánovače úloh. Součástí aplikace GDPR bude výchozí nastavení těchto spouštěcích událostí a expiračních lhůt. Upozorňujeme, že dodávaná výchozí nastavení jsou pouze orientační a každý zaměstnavatel si je musí upravit podle své konkrétní situace. Proto společnost Vema, a. s. bohužel nemůže převzít zodpovědnost za případné škody způsobené smazáním údajů pomocí modulu GDPR.

Ochrana dat

Aplikace GDPR bude umožňovat pro zvýšení ochrany dat zapnout šifrování relevantních dat. Pomocí prostředků operačního systému bude možné zašifrovat celý tzv. Svět Vema V4. Z toho plyne, že šifrování musí být podporované operačním systémem, tj. nebude možné například na jednouživatelských instalacích na Home verzích Windows. Upozorňujeme, že funkce šifrování je volitelná a Nařízením není explicitně vyžadována. Tato funkcionalita nebude podporovaná ve verzi 1.0 Modulu GDPR a bude podle skutečného zájmu uživatelů doplněna až v rámci údržby v budoucnosti.

Logování a analýza logů

Všechny aplikace Vema umožňujicí historicky velmi podrobné logování a auditování událostí v souborech. Součástí aplikace GDPR budou vylepšené možnosti logování a analýzy logů potřebné pro naplňování požadavků Nařízení (auditování v potřebném rozsahu je již nyní běžnou součástí všech částí Personálního IS Vema).

Podpora tvorby směrnic pro GDPR v personálním systému

Důležitou součástí plnění Nařízení je jsou metodické pokyny pro zacházení s osobními údaji. Aplikace GDPR obsahuje prostředky podpory pro generování metodiky ochrany osobních údajů zaměstnanců. Pomoci aplikace GDPR je možné vygenerovat z dílčích částí metodiku pro práci s osobními údaji zaměstnanců, jejíž součástí jsou veškerá nastavená pravidla pro postupné cyklické mazání osobních údajů v Personálním IS Vema ve srozumitelném textovém tvaru.

Ostatní

  • první distribuce aplikace je plánována na počátek května 2018
  • objednávat modul GDPR můžete přímo u nás, viz stránka Kontakty

Upozornění

Pokud máte na svém lokálním PC jednouživatelskou instalaci V4S (průvodcem při instalaci jste prošli jako instalace "Jednoduchá"), bude při zavedení modulu GDPR nutné rekonfigurovat svět V4 Vema a projít znovu průvodcem konfigurace V4S a zvolit instalaci typu "Standardní". Mimo jiné se doinstaluje podpora "Autentizační server Vema" a při práci v aplikacích Vema budete plně autentizováni jménem a heslem. Tento způsob reinstalace (spíše rekonfigurace) Vám umožní též využit Bezpečnostní model Vema. Na druhou stranu, pokud máte uživatelské úpravy v Centru na uživatele, uživatel se tím změní. Centrum bude potřeba upravit znovu. Pokud však jsou již úpravy v Centru provedeny na skupinu "Všichni uživatelé", zůstanou i nadále viditelné.