NAŘÍZENÍ GDPR a program PREMIER system, od 25. května 2018 OBSAH

Transkript

1 NAŘÍZENÍ GDPR a program PREMIER system, od 25. května 2018 OBSAH Co to je GDPR? 2 GDPR - Základní pojmy 2 Nakládání s osobními údaji 3 Jak začít s GDPR? 4 GDPR v programu PREMIER System 5 Ochrana osobních a citlivých dat 5 Mzdy a GDPR 17 Bezpečnost dat 18

2 Co to je GDPR? CO TO JE GDPR? GDPR (General Data Protection Regulation - Obecné nařízení o ochraně osobních údajů) je nové nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně osobních údajů pro firmy, instituce, ale i jednotlivce a on-line služby zpracovávající data uživatelů. Cílem GDPR je poskytnout občanům na území EU ochranu osobních dat a kontrolu nad tím, co se s jejich osobními údaji děje. Nařízení výrazně zvyšuje práva fyzických osob, tzv. subjektů údajů. citlivé - speciální kategorie, která je nyní ještě více zpřísněna - zdravotní stav, politická příslušnost, genetické údaje, sexuální orientace, vyznání, biometrické údaje, osobní údaje dětí atd. Pro koho GDPR platí? Nařízení se vztahuje na každého, kdo pracuje s osobními údaji Evropanů včetně společností a institucí, které působí na evropském trhu. GDPR se nevztahuje na činnosti fyzických osob v rámci čistě osobní povahy nebo na příslušné orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonů trestů. Odkdy GDPR platí? GDPR začíná platit od 25. května 2018 na celém území EU. V České republice GDPR nahradí směrnici 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Sankce Za nedodržování nařízení GDPR hrozí zpracovatelům údajů vysoké pokuty. Ty mají být účinné, přiměřené a odrazující. Při hrubém porušení hrozí pokuta až do výše EUR nebo až do výše 4 % z celkového celosvětového ročního obratu společnosti. GDPR ZÁKLADNÍ POJMY Co je z pohledu GDPR osobní údaj? Obecně lze říci, že osobními údaji (dále jen OÚ ) jsou myšleny veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě ( subjekt údajů ). Prvky osobních údajů: obecné - jméno, věk, pohlaví, stav, datum narození, občanství, fotografie, IP adresa atd., organizační - adresa bydliště a zaměstnání, telefonní číslo, ová adresa, identifikační údaje určené státem atd., Zpracovávání osobních údajů dětí, je možné jen se souhlasem zákonného zástupce. Do GDPR nespadají anonymizované údaje a údaje o zemřelých osobách. Zjednodušeně lze říci, že osobní údaj je všechno, podle čeho se dá daná osoba identifikovat. Kdo je subjektem osobních údajů? Každá fyzická osoba, (tzn. koncový uživatel, zákazník, nebo zaměstnanec), jejíž osobní údaje jsou zpracovávány. Kdo je správcem osobních údajů? Je to každý subjekt (bez ohledu na právní formu), který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování osobních údajů. Správce může zpracováním pověřit třetí osobu ( zpracovatele ). Kdo je zpracovatelem osobních údajů? Je to, dle GDPR, každá fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. 2

3 Nakládání s osobními údaji NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI Pojem zpracovávání údajů Pojmem zpracování ve smyslu GDPR je myšlena operace nebo soubor operací s osobními údaji nebo soubory osobních údajů prováděných pomocí či bez pomoci automatizovaných postupů jako shromažďování (sběr dat), zaznamenávání (zápis dat), uspořádání (organizace dat), strukturování (zápis dat podle standardů), uložení (uchování dat), přizpůsobení nebo pozměnění (úpravy dat), vyhledání (nalezení dat), nahlédnutí (možnost podívat se na data), použití (aplikace dat), zpřístupnění přenosem (předání dat elektronickou formou), šíření (poskytnutí dat), seřazení či zkombinování (třídění dat), omezení (práce pouze s určitými daty), výmaz nebo zničení (vymazaní osobních údajů). Jak zpracovávat osobní údaje v souladu s GDPR? Aby byly osobní údaje zpracovávány v souladu s GDPR musí být splněna jedna z následujících podmínek: subjekt údajů udělil souhlas se zpracováním osobních údajů, zpracování je nezbytné pro splnění smlouvy, zpracování je nezbytné pro splnění právní/zákonné povinnosti, zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů, zpracování je ve veřejném zájmu nebo při výkonu veřejné moci, zpracování je v oprávněném zájmu správce či třetí strany. Souhlas se zpracováním osobních údajů Pokud jsou data zpracovávána na základě souhlasu, musí být správce schopen kdykoliv doložit, že mu subjekt údajů udělil souhlas se zpracováním osobních údajů. Souhlas se zpracováním osobních údajů musí být svobodný, konkrétní, informovaný, jednoznačný a ničím nepodmíněný. Znění souhlasu se zpracováním osobních údajů musí být srozumitelné, jasné za použití jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Subjekt údajů může svůj souhlas kdykoliv odvolat. Nicméně je nutné si uvědomit, že souhlas se zpracováním osobních údajů byl poskytnut k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat. Práva subjektů údajů Subjekt údajů neboli fyzická osoba má v souvislosti s GDPR: právo přístupu ke všem svým údajům - subjektu údajů musí být umožněno získat potvrzení, zda jsou či nejsou údaje zpracovány, k jakému účelu jsou data zpracovávány a má právo vědět, o jaké kategorie údajů se jedná, komu budou zpřístupněny a plánovanou dobu, po kterou budou údaje uloženy. Subjekt údajů má rovněž možnost podat stížnost u příslušných dozorčích orgánů. Upozornění: Právem na přístup nesmí být dotčena práva ostatních osob např. obchodní tajemství. právo na opravu údajů - subjekt údajů může kdykoliv požádat o opravu poskytnutých údajů. Správce dat musí data bez odkladu opravit či doplnit. právo na omezení zpracování - subjekt údajů má právo na omezení zpracování dat, například když je zpracování protiprávní nebo když správce již osobní údaje nepotřebuje. právo na přenositelnost údajů - subjekt údajů má právo kdykoliv získat údaje poskytnuté správci údajů a tyto předat jinému správci. právo vznést námitku - subjekt údajů má právo vznést námitku ke zpracování osobních údajů a přimět tak správce dat k omezenému zpracování dat. právo na výmaz údajů (právo být zapomenut) - subjekt údajů má za určitých podmínek stanovených v nařízení, právo vznést požadavek na výmaz údajů. Správce dat má povinnost tyto údaje bez odkladu vymazat s ohledem na zákonné povinnosti evidence. 3

4 Jak začít s GDPR? Povinnosti správce dat (institucí a firem) vůči GDPR Správce dat musí zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je v souladu s nařízením. Zároveň dohlídne na to, aby zpracovával pouze ty osobní údaje, jež jsou pro daný účel nezbytně nutné. Nejvýznamnější technická opatření, která bude nutno realizovat, jsou zejména následující: zpracování osobních dat pouze k oprávněným účelům a jen po nezbytně nutnou dobu, logování udělených souhlasů se zpracováním osobních údajů, anonymizace OÚ - anonymizované údaje jsou takové údaje, pomocí kterých nelze identifikovat subjekt údajů, pseudonymizace OÚ zpracování osobních údajů takovým způsobem, aby nemohly být přiřazeny konkrétní osobě bez použití dalších informací, Inteligentní vyhledávání a mazání vybraných osobních údajů (právo být zapomenut), nastavování přístupových oprávnění k OÚ, obnova dostupnosti osobních údajů a přístupu k nim včas v případě fyzických či technických incidentů (řízení zálohování a plány obnovy dat po havárii IS/IT), pravidelné testování, posuzování a hodnocení minimalizace zpracovávaných OÚ, zajištění integrity, přesnosti OÚ, ohlašování porušení zabezpečení OÚ ( incident management ) - správce dat má nově povinnost oznámit porušení ochrany dat do 72 hodin příslušnému ÚOOÚ (Úřad pro ochranu osobních údajů) a rovněž dotčené fyzické osobě, přístup k OÚ a jejich přenositelnost (poskytnout subjektům právo na výpis, výmaz a přenos). JAK ZAČÍT? K naplnění požadavků GDPR doporučujeme přistoupit komplexně. Zjistěte, co znamená GDPR pro vaši organizaci, nechte si udělat od specializované firmy tzv. rozdílový audit, tzn. audit současného stavu vašich systémů vzhledem k plnění požadavků GDPR. Doporučujeme, na základě této vstupní analýzy, nechat si udělat analýzu dopadů na OÚ a zpracovat si soubor opatření, který snižuje vaše rizika vzhledem ke zpracovávaným OÚ. Proveďte potřebné změny zabezpečení dat včetně úprav IT systémů. Postarejte se o zabezpečení dat proti úniku a zajistěte všechny potřebné záznamy. Zajistěte souhlasy ke zpracování osobních dat od všech subjektů osobních údajů, jejichž informace uchováváte a zpracováváte v informačním systému. Některé požadavky jsou jednoduché a zvládnete je sami. Ty složitější budou vyžadovat i externí pomoc od zkušené firmy z oblasti GDPR. Bude se jednat o významné změny, např. změnu obchodních, účetních a personálních procesů. Bude to znamenat nejen změnu směrnic a postupů, ale i zásah do vámi používaných a provozovaných informačních systémů (ERP, CRM atd.). Termín pro všechny kroky je 25. května 2018, kdy nařízení GDPR vejde v platnost. Doporučujeme s implementací GDPR začít co nejdříve! Upozorňujeme, že PREMIER system není odborníkem na zavádění GDPR v praxi a tudíž nemůže poskytovat odborné rady k tomuto tématu, s výjimkou aplikace funkcí, kterými podporuje plnění požadavků GDPR. 4

5 OCHRANA OSOBNÍCH A CITLIVÝCH DAT V PREMIER SYSTEM Je velmi složité popsat všechny souvislosti a rozsah jednotlivých požadavků nařízení GDPR souvisejících s informačním systémem. Ani sebelepší software firmu na GDPR nepřipraví. Program PREMIER system nabízí řadu vstupů, analytické a zpracující funkce, ovšem je na straně každé společnosti, aby si sama, či za pomoci odborníků na GDPR, stanovila optimálně své vlastní procesy monitoringu, zvyšování bezpečnosti osobních údajů a navrhla účinná opatření. PREMIER system již jen pomůže v jejich aplikaci. PREMIER system X6.2 v sobě již nyní integruje funkcionality, které jsou nástrojem základních požadavků na GDPR. Rovněž jsme v našem software PREMIER system nově implementovali řadu funkcí, které přímým způsobem podporují správu údajů dle GDPR a lze říci, že PREMIER system je na GDPR připraven. Na dalších vylepšeních a funkcích ještě pracujeme. Lze počítat s tím, že v průběhu získávání nových informací a praktických dopadů pravidel GDPR budou další zákonné funkce postupně doplňovány a upravovány a budou nabídnuty k aktualizaci. Pokud nenajdete některou z níže uvedených funkcionalit, program prosím aktualizujte. ADRESÁŘ PARTNERŮ - AGENDA GDPR Hlavním zdrojem osobních údajů v programu je Adresář partnerů. V adresáři partnerů pro účely GDPR byla zavedena nová agenda GDPR, která nabízí komfortní funkce jako účinný nástroj pro kontrolní procesy GDPR. 5

6 Díky tomuto novému nástroji budete mít na jednom místě informace o tom, odkdy, dokdy a proč máte osobní údaje v evidenci, jak se účel jejich zpracování časem měnil, nebo třeba kdo s nimi pracuje. Důvody zpracovávání osobních údajů Vše bude uživatel zaznamenávat na záložce GDPR, na které jednoduše vyplníte potřebné informace. Nepodléhá nebo není nutný souhlas - pro maximální komfort uživatelů program v adresáři automaticky detekuje partnera, který není fyzickou osobou, nebo partnera, jehož údaje jsou zpracovávány s ohledem na splnění smlouvy (existence objednávek, faktur, pokladních dokladů, ad.) a vyznačí danou položku v agendě GDPR příznakem (A). Není fyzickou osobou Splnění smlouvy (obchodní vztah) - zpracování údajů je nutné z důvodu splnění smlouvy. Splnění právní povinnosti - zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo např.: jde o údaje vycházející ze zaměstnaneckého poměru, evidence data narození při obchodování se zlatem, ad. Podléhá GDPR - pokud partner spadá do GDPR, zaškrtne se tato volba a následně je nutné zvolit, na základě čeho probíhá zpracovávání osobních údajů. Souhlas - subjekt udělil souhlas se zpracováním osobních údajů, tento je možné vytisknout přímo z programu. Jiný důvod #1 a #2- pokud zpracování osobních údajů probíhá z jiného než výše uvedeného důvodu, pak jej uživatel vyplní zde. Pomocí... je možné nadefinovat si číselník dalších důvodů a jejich rozsahů a poté vybírat z číselníku (viz obrázek níže). Informace z číselníku se následně přenáší do Souhlasu se zpracováním osobních údajů. Platnost od - do - zde se vyplní data, od kdy do kdy jsou údaje zpracovávány. 6

7 Odvolání - zde se vyplní datum odvolaní. Poznámka - prostor pro libovolnou poznámku. Souhlas - přímo v agendě GDPR je možné si vytisknout souhlas se zpracováním osobních údajů (podrobnější postup viz níže). Přehled změn - zde se zaznamenává historie ohledně změn ve zpracování osobních údajů (viz obrázek níže). Vazby ( sponka ) - ke každému partnerovi je možné si přímo v agendě GDPR přes vazbu připojit skenovaný (link) nebo vložený externí dokument souhlasu nebo jiného dokumentu. To, kde budou tyto dokumenty uloženy, si může uživatel nastavit (viz níže). Číselník dalších důvodů evidence osobních údajů včetně definice jejich rozsahu. Historie změn partnera v souvislosti s GDPR. 7

8 S ohledem na to, že v některých společnostech bude za GDPR zodpovídat určitá osoba, lze ostatním uživatelům ve Správci - Předvolbách - Omezujících - Odběratelé zakázat editovat důvody zpracování osobních údajů. Rovněž lze nově v omezujících předvolbách uživateli nastavit, aby se mu při práci s programem nezobrazovali partneři, kteří podléhají ochraně osobních údajů - GDPR. S tímto nastavením uživatel uvidí pouze ty partnery, kteří mají v GDPR zvolenou volbu Není fyzickou osobou. 8

9 SOUHLAS SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ Pokud chcete zpracovávat osobní údaje na základě souhlasu, který udělil subjekt údajů, pak je možné tento souhlas vytvořit přímo z programu. Souhlas podává fyzická osoba. Není nutný u obchodních vztahů, kde zpracování vychází ze zákona (splnění smlouvy, což je systémem označeno automaticky). Souhlas se především týká obchodních sdělení pro potencionálního klienta fyzickou osobu. V Premieru je k partnerovi možné zadat jeden obecný souhlas a dva další volitelné z číselníku. Obecný souhlas Text obecného souhlasu je možné nastavit ve Správci - Předvolby - Globální - Odběratelé - GDPR souhlas. Volitelná textová pole jsou na smlouvě proto, aby je každý uživatel mohl vyplnit dle svých potřeb a nebyl nijak omezen. 9

10 V této nabídce v globálních předvolbách je rovněž možné nastavit si speciální adresář pro skenované dokumenty a vkládané přílohy v agendě GDPR (např. souhlasy), aby tyto dokumenty mohly být uchovány na jiném místě než ostatní. Takto nastavený souhlas je následně možné vytisknout přímo u daného partnera GDPR - Souhlas. Ještě před samotným tiskem má uživatel možnost text (přenesený z předvoleb globálních) upravit. Samozřejmostí je, že i tato sestava je editovatelná a lze ji dle individuálních potřeb upravit. Rovněž lze po vytvoření souhlasu jej rovnou ze systému odeslat em partnerovi pomocí volby: Export - Odeslat kopii na . 10

11 Další volitelný souhlas Pokud zpracování osobních údajů probíhá z volitelného důvodu, k němuž má uživatel vyplněné informace v číselníku, pak si obdobně může vytisknout Souhlas se zpracováním osobních údajů, do něhož se přenáší údaje z definice daného důvodu. Tisk a práce se souhlasem je stejná jako u obecného souhlasu. 11

12 NÁSTROJ PRO VYHODNOCENÍ GDPR Dle nařízení GDPR má každý subjekt údajů právo požádat o opravu nebo vymazání údajů (za určitých podmínek), které jsou o něm evidovány. Nejen k těmto účelům jsme vyvinuli nástroj pro vyhodnocení GDPR. Nástroj se nachází přímo v adresáři partnerů na horní liště Seznam - GDPR - Přehled partnerů/hromadné úpravy. Přehled pro vyhodnocení GDPR uživateli usnadní a maximálně zjednoduší hromadnou práci s adresářem partnerů ve vazbě na GDPR. Tento nástroj umožňuje pracovat s automatickými funkcemi programu a provádět hromadné akce s partnery. Program v přehledu pro vyhodnocení GDPR automaticky detekuje, jestli daný partner je právnickou osobou nebo má v systému doklad (nabídka, objednávka, výdejka, faktura ad.) a takového partnera v seznamu označí (zelené písmeno (A)). Do sloupce rekapitulace u těchto partnerů pak program zapíše Není třeba souhlas. Díky této funkci lze jednoduše pomocí filtru následně vyselektovat seznam partnerů, na které je potřeba se zaměřit a doplnit důvody zpracovávání osobních dat, případně zajistit souhlasy se zpracováním osobních údajů. 12

13 Rovněž lze v přehledu využívat Hromadné akce se zvolenými partnery : Nastavení důvodu GDPR - umožní u zvolené skupiny partnerů hromadně editovat agendu GDPR. Výmaz osobních údajů - subjekt údajů má za určitých podmínek stanovených v nařízení, právo vznést požadavek na výmaz údajů, což umožní např. tato funkce. Pokud provedete výmaz osobních údajů u zvolených partnerů, pak program z adresáře u daného partnera vymaže telefonní číslo, ovou adresu a ulici (všechny tyto údaje najednou). Po takto provedeném výmazu údajů se původní údaje odstraní i z kompletního archivu změn, aby byly nedohledatelné. Kompletní odstranění - tato funkce umožní hromadné úplné odstranění vybraných partnerů z adresáře programu. Tuto funkci lze rovněž využít při aplikaci práva subjektu údajů na výmaz osobních údajů. Díky filtrům a unigridové tabulce se stává z přehledu pro vyhodnocení GDPR všestranný nástroj pro práci s tímto seznamem. Vyfiltrovat lze i staré partnery, např. s dokladem starším než 10 let. Nebo lze do pohledu přidat libovolný údaj z adresáře (např. identifikátory, uživatelské údaje, atd.), díky čemuž lze k GDPR sledovat i další informace dle individuálních potřeb společnosti, a ty využít k filtrování a hromadné akci. 13

14 OBECNÉ FUNKCE PROGRAMU PREMIER Přístupová práva Program PREMIER disponuje možností nastavit přístupová práva k jednotlivým modulům, což zajišťuje ochranu dat proti neoprávněnému přístupu. Díky propracovaným přístupovým právům je možné tvořit odlišnou úroveň uživatelských oprávnění garantujících přístup pouze oprávněným uživatelům. Lze nastavit resp. omezit zápis, mazání, změnu, tisk, export. Přehled změn Historie událostí HISTORIE ZMĚN Program PREMIER nabízí propracovanou a detailní historii práce jednotlivých uživatelů systému. Lze snadno zjistit, kdo, v jakém čase a jakým způsobem manipuloval s daty. Tomu napomáhá i tzv. změnová databáze na kartě partnera v Adresáři partnerů, která nabízí informace o původní hodnotě, nové hodnotě, kdo manipuloval s údaji a v jakém čase. 14

15 ČASOVÉ RAZÍTKO Toto se týká i tisku a exportu přehledů a dokumentů do grafického formátu, např. *.pdf. Tlačítko časové razítko obsahuje podrobné informace k danému dokumentu. 15

16 Exportované dokumenty AUTOR Exportované dokumenty (PDF, DOC, XLS, XSLX) z programu PREMIER system nově nesou informaci o tom, kdo je vytvořil. Údaj autora se přebírá ze Správce - Předvoleb - Uživatelských - Obecné - Doklad vystavil. Není-li tento údaj vyplněn, použije se přihlašovací jméno do programu PREMIER system. V prohlížených dokumentech lze pak najít autora ve vlastnostech dokumentu. ZAKÓDOVÁNÍ HESLEM Další možnost zabezpečení dokumentu, kde se vyskytují osobní nebo citlivější údaje, je zakódovat exportované dokumenty z programu PREMIER system ve formátu PDF heslem. Dokument následně při otevření bude po uživateli vyžadovat heslo. 16

17 Mzdy a GDPR v PREMIER system MZDY A GDPR SOUHLAS SE ZPRACOVÁVÁNÍM OSOBNÍCH ÚDAJŮ Ve mzdách bude možné vytisknout Souhlas se zpracováním osobních údajů zaměstnance v souladu s GDPR: VÝPLATNÍ LÍSTKY CHRÁNĚNÉ HESLEM V souvislosti s ochranou osobních údajů je možné chránit heslem odesílané výplatní lístky. Nastavením hesla zajistíte, aby k danému výplatnímu lístku měl přístup pouze dotyčný zaměstnanec. Heslo je možno na kartě zaměstnance nastavit dvěma způsoby: Zadat ručně - na kartě zaměstnance se do pole Heslo vyplní heslo, na kterém se uživatel dohodl se zaměstnancem. Heslo se bude objevovat uživateli s přístupem do personalistiky. Vygenerovat heslo automaticky - program vygeneruje náhodné heslo o délce 5 alfanumerických znaků a toto heslo zašle pomocí SMTP na ovou adresu zaměstnance. To vše stisknutím tlačítka Generovat. Toto heslo pak bude znát pouze daný zaměstnanec, neboť takto vygenerované heslo nebude přístupno uživateli mezd. 17

18 Bezpečnost dat v PREMIER system BEZPEČNOST DAT V PREMIER SYSTEM Verze Smart-klient jedná se o technologii file-server. Zabezpečení je řešeno ověřením uživatelského hesla a systémem nastavení přístupových práv a omezujících předvoleb, které jsou propracovány až na úroveň jednotlivé operace. Verze Enterprise SQL databáze v technologii klient-server, kdy data uložena v MS SQL serveru jsou pro uživatele nedostupná. Tímto jsou citlivá data vysoce chráněna proti poškození a neoprávněnému přístupu. PREMIER Outsourcing nejvyšší stupeň zabezpečení, data jsou na mimofiremním serveru a pro vybrané uživatele jsou data zcela nedostupná. Jak zvýšit bezpečnost dat? Pro vyšší bezpečnost dat uživatelů programu PREMIER system nabízíme možnost využívat technologicky vyspělejší verzi programu PRE- MIER system ENTERPRISE nebo přesun dat na naše zabezpečené servery služba PREMIER Outsourcing. PREMIER SYSTEM ENTERPRISE PREMIER OUTSOURCING Službu PREMIER Outsourcing provozuje naše společnosti již více než 11 let. Je to silně dynamicky rozvíjející se služba. V současné době využívá služeb našich serverů více než 268 společností, což představuje téměř 1700 uživatelů. Jen za poslední rok jsme zaznamenali meziroční nárůst o 55 společností, které se rozhodly umístit svůj program PREMIER system na naše firemní servery a svěřit veškerý servis s tím spojený do našich rukou. Spektrum oborů klientů je velmi široké, kdy největší podíl tvoří účetní firmy, následovány obchodními společnostmi (propojení poboček a externích skladů) a výjimkou nejsou ani výrobní společnosti. GDPR a vyšší bezpečnost dat PREMIER Outsourcing Nejen v souvislosti s novou legislativou o ochraně osobních údajů GDPR se nabízí tato služba jako výkonný nástroj, jak zvýšit bezpečnost a ochranu vašich dat proti zneužití neoprávněnými osobami. Volbou služby PREMIER system Outsourcing využíváte všech technologických nástrojů terminálového režimu, které nabízí vysokou míru bezpečnosti dat. Jednou z možností, jak zvýšit bezpečnost vašich dat, nejen proti úniku osobních údajů, je bezesporu přechod na technologicky vyspělejší verzi PREMIER system ENTERPISE, která využívá technologii SQL databáze. Tuto verzi programu využívá již více něž 150 společností. PREMIER system ENTERPRISE představuje technologickou vyspělost našich produktů. GDPR a vyšší bezpečnost dat PREMIER system ENTERPRISE V případě této verze hraje vysokou roli bezpečnost. Oproti standardní verzi PREMIER je úroveň bezpečnosti na neporovnatelně vyšší úrovni. Vysoká míra zabezpečení dat, která již nemusí být sdílená po síti. K adresáři s SQL daty již nemá přístup žádný uživatel, jen administrátor SQL serveru. Je tak zabezpečeno uložení dat proti zkopírování a zneužití. Komunikace s SQL serverem probíhá šifrovaně. 18

19 Bezpečnost dat v PREMIER system Jak jsou data na našich serverech zabezpečena? Naše společnost investuje nemalé finanční náklady na udržování výkonu a bezpečnosti našich serverů, aby splňovaly nejpřísnější kritéria pro bezpečnost dat našich klientů. ÚLOŽIŠTĚ ÚDAJŮ Data uložena v hlídaném server hostingu v Brně a Praze, na serverové farmě firmy PRE- MIER system. Operační systém serverů 2008R Přístup k serverům kontroluje výkonný zálohovaný firewall s integrovaným antivirovým systémem. ŠIFROVÁNÍ ÚDAJŮ Šifrování zabezpečuje protokol RDP 7 a vyšší nebo IPSEC nebo SSL klient. ZABEZPEČENÍ APLIKACE Přístup k jednotlivým serverům zabezpečuje firewall, ten vyhodnocuje případné útoky a automaticky blokuje přístup k serverové farmě. Uživatelé přistupují přes OS k aplikaci. Hesla do operačního systému jsou nastavena na minimální počet 8 znaků s nejméně jedním velkým písmenem a jedním velkým číslem. Přístup do jednotlivých adresářů aplikace dle nastavení oprávnění OS. Další zabezpečení dle nastavení GPO (přístup v určenou dobu, připojení lokálních disků atd.). ZABEZPEČENÍ DAT K datům přistupují uživatelé prostřednictvím aplikace zadáním uživatelského jména a hesla. Přístup k jednotlivým datovým adresářům dle nastavení oprávnění OS. Záloha dat probíhá 1x denně na externí datové pole (disky v RAID5). Výměna zálohy 1x týdně probíhá mezi Prahou a Brnem. Denní zálohy se uchovávají nejméně 30 dní. Další informace ohledně zabezpečení Servery jsou chráněny špičkovým HW Firewallem, který rozpozná i podezřelé operace na místní síti. Uživatelé, s tzv. terminálovým připojením, mají oprávnění k přístupu pouze do svých dat. Možnost nastavení i vlastního oprávnění pro své klienty nebo např. brigádníky, kteří nemusí mít práva do všech adresářů na serveru. Výrazně vyšší zabezpečené šifrované spojení se serverem. Data nejsou na lokálním serveru, kde je nebezpečí odcizení. Automatické zálohování a aktualizace programu. Na serverech PREMIER Outsourcing je mnohem výkonnější hardware. Možnost používat k připojení k serveru SSL VPN (aplikace na klientském PC, která vytvoří šifrované spojení mezi PC a naším serverem). 19