Tato kapitola popisuje základní kroky potřebné pro přípravu vaší konfigurace bpm'online k GDPR a pokyny pro použití vašeho bpm'online k posouzení a provádění každodenních operací souvisejících s GDPR.
Nastavte prostředí pro práci pověřence pro ochranu osobních údajů
Připravte prostředí pro pověřence pro ochranu osobních údajů (anglicky Data Protection Officer, DPO). V bpm'online postupujte takto:
- Vytvořte funkční roli „Pověřenec pro ochranu osobních údajů“.
- Nastavte přístupová práva pro roli „Pověřenec pro ochranu osobních údajů“. Pověřenec pro ochranu osobních údajů (DPO) musí mít přístup ke všem systémovým sekcím, které obsahují osobní údaje (OÚ).
- Povolte přístup k následujícím operacím: „čtení“, „editace“, „odstranit“.
- Omezte přístup k přidávání nových záznamů (operace „nový“).
Seznam výchozích sekcí bpm'online obsahujících osobní údaje (OÚ) je k dispozici v Příloze. Vezměte prosím na vědomí, že jiné sekce bpm'online také mohou obsahovat OÚ v důsledku uživatelských nastavení provedených ve vaší konfiguraci bpm'online.
- Vytvořte prostor „Pracoviště pro ochranu údajů“ (Office for Protection of Data) pro DPO.
- Udělte přístup k prostoru „Pracoviště pro ochranu údajů“ pro roli „Pověřenec pro ochranu osobních údajů“.
- Do prostoru „Pracoviště pro ochranu údajů“ přidejte všechny sekce obsahující osobní údaje (OÚ).
Viz též:
- Jak přidat a nastavit funkční role (angl.),
- Jak zpřístupnit sekce (angl.),
- Nastavení prostorů (angl.),
- Detail [Přístup k objektu] v sekci [Oprávnění k objektům].
Nastavte žurnál auditu a žurnál změn
Nastavte logování pro osobní údaje uložené v systému. V bpm'online postupujte takto:
- Nastavte žurnál auditu tak, aby umožňoval prohlížení protokolu systémových operací.
- Nastavte žurnál změn pro sledování změn provedených v systémových záznamech.
- Nastavte audit událostí DBMS pro sledování jakýchkoli operací s databází, které nevznikly z aplikačního serveru (běžící skripty databáze atd.).
Viz též:
- Sekce [Žurnál auditu] (angl.),
- Sekce [Žurnál změn] (angl.),
- Audit SQL Serveru (Database Engine) (angl., on-premise only),
- Oracle: Kontrola aktivity databáze (angl., on-premise only).
Přidejte povinné pole „Zdroj osobních údajů“ ve všech sekcích, které obsahují osobní údaje
Přidejte varianty pro evidenci zdrojů osobních údajů v systému. V bpm'online postupujte takto:
- Otevřete Návrhář sekce pro každou sekci, která obsahuje osobní údaje.
- Na záložce [Stránka] přidejte povinné pole typu Číselník „Zdroj osobních údajů“.
- Vytvořte číselník(y) „Zdroje osobních dat - <název sekce>“.
- Vyplňte číselníky možnými zdroji osobních údajů v příslušných sekcích (např. seznam Excel, registrace na webu atd.).
Viz též:
- Návrhář sekce (angl.),
- Jak nastavovat stránky sekce (angl.),
- Sekce [Číselníky] (angl.).
Rutinní postupy pro ochranu dat s bpm'online
Níže najdete doporučené pokyny pro každodenní práci vašeho DPO v bpm'online.
Ověření žadatele v rámci dotazu o osobních údajích
DPO může rychle ověřit totožnost žadatele porovnáním informací v dotazu s informacemi uloženými v bpm'online. V bpm'online postupujte takto:
- Spusťte globální vyhledávání s použitím identifikačních údajů žadatele.
- Vyfiltrujte záznamy v odpovídajících sekcích dle identifikačních údajů žadatele pomocí standardního nebo pokročilého filtru.
- Porovnejte výsledky vyhledávání a parametry požadavku.
Viz též:
Rychlý výběr všech kontaktů nebo jiných záznamů, které jsou předmětem GDPR
DPO může rychle vybrat všechny záznamy kontaktů nebo záznamy jakéhokoli jiného typu, které jsou předmětem GDPR a zobrazit:
- Osobní údaje,
- zdroj osobních údajů,
- text souhlasu subjektu se zpracováním osobních údajů,
- kompletní log akcí souvisejících s osobními údaji (kdo akci prováděl, kdy byla akce vykonána, druh operace s osobními údaji a výsledek operace).
V bpm'online postupujte takto:
- Vytvořte složku pro rychlý přístup k evidenci.
- Otevřete stránku odpovídajícího záznamu (například stránku kontaktu) pro zobrazení:
- Osobních dat,
- informace o zdroje osobních údajů,
- kopie souhlasu se zpracováním osobních údajů.
- Otevřete sekci [Žurnál změn] pro zobrazení informací o provedených změnách osobních údajů.
Viz též:
- Jak vytvořit složku (angl.),
- Stránka Kontaktu (angl.),
- Akce [Zobrazit všechny změny u vybraného záznamu] v sekci [Žurnál změn] (angl.).
Poskytnutí kopie osobních údajů osoby na vyžádání (Právo na přenositelnost dat)
Na základě žádosti vlastníka osobních údajů poskytuje DPO kopii osobních údajů zákazníka (Právo na přenositelnost dat). V bpm'online postupujte takto:
- Spusťte v bpm'online globální vyhledávání dle identifikačních údajů vlastníka osobních údajů.
- Vyfiltrujte záznamy v odpovídajících sekcích dle identifikačních údajů žadatele pomocí standardního nebo pokročilého filtru.
- Exportujte výsledky vyhledávání.
- Exportujte přílohy z detailů [Přílohy].
Viz též:
- Globální vyhledávání (angl.),
- Standardní filtr,
- Pokročilý filtr,
- Export evidence (angl.),
- Jak pracovat s přílohami a poznámkami (angl.).
Vymazání osobních údajů osoby (Právo na výmaz)
Na základě žádosti vlastníka osobních údajů, nebo pokud vlastník osobních údajů odmítne služby správce dat, DPO odstraní osobní údaje z bpm'online (Právo na výmaz). V bpm'online postupujte takto:
- Spusťte v bpm'online globální vyhledávání dle identifikačních údajů vlastníka osobních údajů.
- Vyfiltrujte záznamy v odpovídajících sekcích dle identifikačních údajů žadatele pomocí standardního nebo pokročilého filtru.
- Vymažte záznam(y) zvolením volby [Odstranit propojené záznamy].
- Operace je zaznamenána do žurnálu změn bpm'online.
Viz též:
- Globální vyhledávání (angl.),
- Standardní filtr,
- Pokročilý filtr,
- Jak odstranit záznamy (angl.),
- Akce [Zobrazit všechny změny u vybraného záznamu] v sekci [Žurnál změn] (angl.).
Omezení zpracování osobních údajů zákazníka (Právo na omezení zpracování)
Na základě žádosti vlastníka osobních údajů omezuje DPO možnost zpracování osobních údajů zákazníka (Právo na omezení zpracování). V bpm'online postupujte takto:
- Spusťte v bpm'online globální vyhledávání dle identifikačních údajů vlastníka osobních údajů.
- Vyfiltrujte záznamy v odpovídajících sekcích dle identifikačních údajů žadatele pomocí standardního nebo pokročilého filtru.
- Zrušte u kontaktu odběry všech hromadných e-mailů. Tento krok platí pro bpm'online marketing a jakoukoli uživatelskou konfiguraci, která obsahuje sekci [E-mail].
- Upravte přístup k záznamu (omezte přístup všem kromě DPO).
Viz též:
- Globální vyhledávání (angl.),
- Standardní filtr,
- Pokročilý filtr,
- Jak spravovat odběry pro různé typy hromadných e-mailů (angl.),
- Stránka Kontaktu, Způsoby komunikace (bpm'online marketing, angl.),
- Přístupová práva (angl.).
Zajištění souladu s GDPR v uživatelských sekcích a standardních sekcích, které byly přizpůsobeny tak, aby obsahovaly osobní údaje
Při vytváření nové vlastní sekce nebo přizpůsobení existující sekce zkontrolujte, zda je nová (přizpůsobená) sekce objektem GDPR. Pokud se jedná o tento případ, pak:
- Udělte přístupová práva k operacím „čtení“, „editace“ a „odstranit“ a omezte přístup k operaci „nový“ pro skupinu uživatelů „Pověřenec pro ochranu osobních údajů“.
- Přidejte novou/upravenou sekci do prostoru „Pracoviště pro ochranu údajů“.
- Nastavte složku pro rychlý přístup k záznamům, které obsahují osobní údaje.
- Povolte protokolování změn v sekci pomocí žurnálu změn bpm'online.
Doporučení:
- Vytvořte dynamickou složku pro rychlý přístup k záznamům, které obsahují osobní údaje a jsou objektem GDPR.
- Nastavte žurnál změn pro sledování změn provedených v systémových záznamech. Ujistěte se, že jste nastavili žurnál pro sledování změn ve všech sloupcích, které obsahují osobní údaje.
Viz též:
- Sekce [Žurnál změn] (angl.),
- Akce [Zobrazit všechny změny u vybraného záznamu] v sekci [Žurnál změn] (angl.).
Prokázání souladu s GDPR Úřadu pro ochranu osobních údajů
Na žádost Úřadu pro ochranu osobních údajů musí DPO prokázat splnění požadavků GDPR. Použijte proto „digitální stopy“ operací s osobními údaji. Během auditu/potvrzení souladu s požadavky GDPR musí být prokázána následující potvrzení:
- Potvrzení dostupnosti určitých kategorií osobních údajů (kategorie budou specifikovány jako součást žádosti),
- potvrzení vymazání,
- potvrzení změn,
- potvrzení zdrojů osobních údajů,
- potvrzení souhlasů vlastníků osobních údajů se zpracováním osobních údajů (naskenovaná kopie smlouvy se zákazníkem nebo digitálně podepsaná smlouva),
- audit činnosti správce systému a pracovníků podpory (protokol změn na úrovni databází: skripty, které vytvářejí, upravují nebo odstraňují data).
V bpm'online postupujte takto:
- Zobrazte záznamy z žurnálu změn bpm'online.
- Zobrazte naskenované kopie smluv se zákazníky v [Přílohách] odpovídajících záznamů.
- Ukažte logy podsystému auditu na úrovni DBMS (SQL Server/Oracle Database).
Viz též:
- Sekce [Žurnál změn] (angl.),
- Akce [Zobrazit všechny změny u vybraného záznamu] v sekci [Žurnál změn] (angl.),
- Audit SQL Serveru (Database Engine) (angl., on-premise only),
- Oracle: Kontrola aktivity databáze (angl., on-premise only).
FAQ
Může bpm'online zajistit pro své zákazníky kompletní dodržovaní zásad GDPR?
Bpm'online zajišťuje soulad svých produktů a služeb s GDPR. Řada požadavků GDPR se však týká konkrétně zpracovatelů dat (tj. zákazníků bpm'online), nikoli nástrojů používaných pro shromažďování, ukládání a zpracování osobních údajů. Další informace naleznete v Přehledu dodržování předpisů (Compliance insights and perspectives).
Jak umožním anonymizaci dat v bpm'online?
Anonymizaci dat můžete povolit instalací nástroje GDPR Compliance Toolkit (k dispozici zdarma na bpm'online Marketplace), který doplní software bpm'online nástroji potřebnými k implementaci zásad anonymizace/vymazání osobních údajů.
Jak bpm'online zajišťuje splnění mnou požadavků GDPR na vymazání osobních údajů?
Společnost bpm'online, Inc. nemá přístup k osobním údajům uloženým v databázích zákazníků společnosti bpm'online. Software bpm'online má veškeré nástroje potřebné k zajištění správného vymazání osobních údajů, ale samotný postup mohou iniciovat pouze zákazníci společnosti bpm'online. Další informace naleznete v části Vymazání osobních údajů osoby (Právo na výmaz).
Může bpm'online poskytnout mým zákazníkům informace týkající se zpracování jejich osobních údajů?
Společnost bpm'online, Inc. nemá přístup k osobním údajům uloženým v databázích zákazníků bpm'online, a proto nemůže ověřit, zda jsou tam uloženy konkrétní osobní údaje. Software bpm'online má všechny nástroje potřebné k ověření existence konkrétních osobních údajů a získání informací, které musí být poskytnuty vlastníkovi dat. Viz část Poskytnutí kopie osobních údajů osobě na vyžádání (Právo na přenositelnost dat).
Jak bpm'online zaznamenává souhlas mých zákazníků se zpracováním jejich osobních údajů?
Specifika získání souhlasu se zpracováním osobních údajů se u různých zákazníků bpm'online liší. Jedním ze způsobů, jak zaznamenat souhlas, je přiložit naskenovanou kopii smlouvy se zákazníkem nebo digitálně podepsanou dohodu na kartu zákazníka. Společnost bpm'online, Inc. nemá přístup k osobním údajům uloženým v databázích zákazníků společnosti bpm'online. Podrobné informace naleznete v článku Prokázání souladu s GDPR Úřadu pro ochranu osobních údajů.
Jak bpm'online zajišťuje protokolování operací s osobními údaji (registrace, získání souhlasu se zpracováním, úprava, vymazání atd.)?
Software bpm'online zaznamenává všechny operace s osobními údaji, včetně přidávání, úpravy, mazání a přístupu, prostřednictvím žurnálu změn a žurnálu auditu. Další informace naleznete v tématu Nastavení žurnálu auditu a žurnálu změn.
Kompletní text o splnění bpm'online požadavků GDPR naleznete v příloze (GDPR Compliance, angl.).