blíží se datum, kdy vstoupí v účinnost Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation - GDPR), a proto bychom Vás chtěli informovat o povinnostech, které z Obecného nařízení vyplývají pro nás jako pro poskytovatele informačního systému ESO9 a pro Vás jako pro uživatele tohoto systému.

Systém ESO9 slouží především k řízení firemních procesů, což s sebou přináší i možnost zpracování osobních údajů. Záleží však pouze na Vás, jako na správci osobních údajů, jak s nimi Vy a Vaši zaměstnanci pracujete. Systém ESO9 nabízí řadu možností jak nejen osobní údaje, ale samozřejmě i všechna ostatní data zabezpečit. Jedná se především o nastavení přístupu do Vaší aplikace a o nastavení uživatelských práv pro konkrétní uživatele. Tato nastavení systému zná a provádí Váš správce ESO9, který takto může definovat, kdo má přístup do aplikace, která data (osobní údaje) může zpracovávat a jakým způsobem (jestli na ně může pouze nahlížet nebo jestli je může i editovat, případně mazat). Všechny operace, které uživatel v systému ESO9 na základě svých uživatelských práv realizuje, jsou logovány, takže jsou snadno dohledatelné. Nastavení logování zajistí opět Váš správce systému ESO9.

Po nastavení zabezpečení přístupů do aplikace a uživatelských práv Vašich zaměstnanců Vás však jako správce osobních údajů čeká ještě jeden důležitý krok. Tím je vyškolit Vaše zaměstnance, jak mají k osobním údajům přistupovat, jaké osobní údaje, za jakým účelem, kde a v jaké podobě mají zpracovávat. Jinými slovy, seznámit je s hlavními zásadami Obecného nařízení o ochraně osobních údajů.

Pokud budete mít zájem, je možné domluvit se na konzultaci týkající se GDPR. Případně Vás již nyní můžeme pozvat na Snídani s ESO9 GDPR, kterou plánujeme na konec dubna.

Pokud se jedná o provoz systému ESO9, pak bude záležet na způsobu, jakým systém ESO9 provozujete. V zásadě existují dvě možnosti:

• Pokud provozujete systém ESO9 na Vašich vlastních HW prostředcích, je technické zabezpečení všech Vašich dat a tím i Vámi zpracovávaných osobních údajů pouze na Vás. Z Obecného nařízení o ochraně osobních údajů vyplývá, že jako správci osobních údajů, byste měli přijmout technická a organizační zabezpečení vhodná k zajištění požadované ochrany osobních údajů.
  

• Pokud provozujete systém ESO9 v cloudu, přechází část zodpovědnosti za Vaše data i na poskytovatele cloudových služeb. Správcem osobních údajů ale zůstáváte i nadále Vy, i nadále jste zodpovědní za to, co se s osobními údaji děje, tedy i za to, že je někam ukládáte. Poskytovatel cloudu se pro Vás stává zpracovatelem osobních údajů a na Vás je vybrat takového poskytovatele, který nakládá s Vašimi daty v souladu s Obecným nařízením o ochraně osobních údajů.
  

Společnost ESO9 international a.s. se pro své zákazníky stává zpracovatelem osobních údajů a ostatních dat ve dvou případech:

V prvním případě je ESO9 international a.s. poskytovatelem servisních služeb, kdy při zásahu do zákaznických aplikací může docházet i ke zpracování osobních údajů. Toto zpracování probíhá na základě objednávky zákazníka a za účelem, který stanovuje zákazník jako správce osobních údajů.

V druhém případě je ESO9 international a.s. poskytovatelem cloudových služeb, kdy si k nám zákazník ukládá svá data, a tím i některé osobní údaje. Toto zpracování probíhá na základě smlouvy o poskytování ASP služeb, přičemž účel je stanoven v této smlouvě.

Společnost ESO9 international a.s. se v obou případech stává zpracovatelem osobních údajů zákazníka, který i nadále zůstává jejich správcem.

Jako zpracovatel dat a osobních údajů zaručuje ESO9 international a.s. svým zákazníkům technická a organizační zabezpečení vedoucí k zajištění požadované ochrany osobních údajů na vysoké úrovni.

Z technických zabezpečení se jedná především o vhodné a dobře zabezpečené umístění HW prostředků (serverů), nastavení jejich vysoké antivirové ochrany a vhodných přístupových práv. Na úrovni organizačních zabezpečení jde především o zodpovědný výběr našich zaměstnanců, kteří jsou pravidelně a důkladně školeni nejen o přístupu k osobním údajům, ale i k ostatním zákaznickým datům, a o vnitřní předpisy společnosti ESO9 international a.s., které jsou naši zaměstnanci povinni dodržovat.

Závěrem bychom chtěli stručně shrnout základní myšlenku Obecného nařízení o ochraně osobních údajů, které nabyde účinnosti 25. května 2018. Obecné nařízení přinese některé nové povinnosti správcům i zpracovatelům osobních údajů, na druhou stranu přinese mnoho nových práv subjektům osobních údajů, kterými jsme každý z nás. Pro správce osobních údajů může být Obecné nařízení impulsem k revizi vnitropodnikových postupů a nakládání s osobními údaji a nejen s nimi. Sankce, které za porušení ochrany osobních údajů hrozí, jsou vysoké, do jaké míry a za jakých podmínek budou tyto sankce uplatňovány, ukáže teprve čas. Nicméně i v tomto případě bude platit, že lepší je být na Obecné nařízení alespoň nějak připraven a moci prokázat v tomto smyslu nějakou činnost, než ho úplně ignorovat.

V Praze dne 5.2.2018

Jiří Ptáček
místopředseda představenstva
generální ředitel společnosti

ESO9 international a.s.
U Mlýna 2305/22, 141 00 Praha 4