+420 222 011 602

FormFlow připraveno na GDPR

Aktuální verze FormFlow 10.2.0 připravena na GDPR. Nahrazuje původní verzi FormFlow 6 a starší. Podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, veřejně známé jako General Data Protection Regulation – zkráceně GDPR.

14.3.2018 / Novinky

V Software602 jsme připravili nejaktuálnější verzi svého informačního systému FormFlow 10.2.0 dle nového souboru pravidel na ochranu dat, které vstupuje v platnost 25. 5. 2018.

Informační systém FormFlow 10.2.0 nově přináší řadu novinek, mezi které patří např.:

  • zajištění zabezpečeného přístupu k informacím a dokumentům
  • vysokou úroveň zabezpečení proti neoprávněnému přístupu a zneužití informací
  • soulad s národním i nadnárodním právním rámcem v oblasti ochrany osobních údajů
  • podporu pro naplnění práv subjektů
  • omezení práce s osobními údaji na nezbytnou míru
  • rozšíření záznamů o práci s osobními údaji
  • zvýšení bezpečnosti aplikace s ohledem na GDPR.

Níže uvedené odpovědi se vztahují na informační systém FormFlow ve verzi 10.2.0

1. Je Vámi dodávaný informační systém (dále IS) v souladu s požadavky GDPR?  ANO

2. Umožňuje Vámi dodávaný IS automatický výmaz osobních údajů po uplynutí stanovené doby zpracování?  ANO


Poznámka: Na základě dokončeného skartačního řízení nebo na pokyn uživatele, dojde k automatickému upozornění na neoprávněné zpracovávání osobních údajů s možností jejich hromadného smazání.

3. Umožňuje Vámi dodávaný IS automatický výmaz osobních údajů před uplynutím stanovené doby zpracování (např. pokud subjekt údajů odvolá svůj souhlas se zpracováním)?  ANO


Poznámka: Na základě předčasného uplynutí stanovené doby zpracování, tedy uživatelského odpojení předmětných vazeb, systém uživatele automaticky upozorní na neoprávněné zpracovávání osobních údajů s možností jejich hromadného smazání.

4. Umožňuje Vámi dodávaný IS vyhledání konkrétních zpracovávaných osobních údajů?  ANO


Poznámka: FormFlow umožňuje vyhledání zpracovávaných osobních údajů o externích subjektech vedených v modulu Adresář a to až do úrovně účelu pro konkrétní osobní údaj.

Pokud ano, umožňuje Vámi dodávaný IS automaticky generovat informace poskytované subjektu údajů v rámci práva na přístup k jeho osobním údajům. tj. zejména za jakým účelem, z jakého právního titulu (plnění povinnosti/smlouva/souhlas apod.) a po jakou dobu je osobní údaj zpracováván?  ANO

5. Umožňuje Vámi dodávaný IS opravu/změnu zpracovávaných osobních údajů (např. příjmení, bydliště subjektu údajů apod.)?  ANO

6. Umožňuje Vámi dodávaný IS omezit přístup k osobním údajům (např. po určité době od zahájení zpracování osobních údajů již bude mít oprávněná osoba přístup pouze k vybraným osobním údajům)?  ANO

7. Jaké jsou v aplikaci zabudovány bezpečnostní mechanizmy chránící data – osobní údaje – před neoprávněnou činností, neautorizovanou změnou, kompromitací atd.?

Odpověď: Data jsou chráněna díky uplatňování kombinace bezpečnostních mechanizmů, mezi které řadíme vícefaktorovou autentizaci a autorizaci uživatelů. Autorizovaný uživatel musí mít přiřazena individualizovaná oprávnění na základě, kterých má přístup pouze k těm údajům, které odpovídají jeho pracovnímu zařazení a pouze k činnostem spadajícím do jeho pracovní náplně. Detailní transakční protokol mapuje každou operaci, a to do úrovně náhledu na detail formulářů.

Bezpečnost formulářů a verifikace vyplněných dat může být zajištěna elektronickým podpisem. Tento způsob ukládání dat a práce s formuláři tak zaručuje věrohodnost původu, neporušitelnost jeho obsahu a jednoznačnou identifikace původce záznamu.Pro potřeby vyššího stupně zabezpečení ukládaných dat je možné použít standardního šifrování databázových serverů, které je určeno bezpečnostní politikou databázového řešení (vychází z bezpečnostních standardů pro tyto servery). Úložiště dokumentů je přístupné pouze přes zabezpečenou komunikaci a každý soubor může být ukládán v šifrované podobě.

Uchovávání osobních a citlivých dat je řešeno prostřednictvím kombinací pseudonymizace a šifrování. Přístup k těmto datům je umožněn pouze na základě detailních oprávnění každého uživatele nebo skupin uživatelů.

8. Užívá aplikace nebo její předávací rozhraní postupy pseudonymizace osobních údajů?  ANO

9. Užívá aplikace nebo její předávací rozhraní postupy využívající kryptografické funkce a metody?   ANO

Jsou využity kryptografické algoritmy v souladu s doporučením vyhlášky 316/2014 Sb. o kybernetické bezpečnosti ve znění pozdějších předpisů a jaké to jsou?  ANO

Poznámka: Je využit kryptografický algoritmus Advanced Encryption Standard (AES) s využitím délky klíčů 128 a mód šifrování CBC. Výše uvedené je dle doporučení vyhlášky č. 316/2014 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti).

10. Jaká data je možné uživatelsky exportovat z aplikace? Jsou operace exportu nebo výstupu osobních údajů předávacím rozhraním zaznamenávány v míře umožňující pozdější identifikaci původce operace, rozsahu a identifikace vystupovaných dat a jejich způsobu ochrany? Jaké užívá aplikace mechanizmy k zajištění ochrany exportovaných dat?

Odpověď: Téměř veškerá data je možné vyexportovat, ovšem na základě předem definovaných práv pro daného uživatele. Exporty mohou být dle nastavení aplikace vždy šifrovány. Detailní logování bude do nabytí účinnosti GDPR v celém systému sjednoceno tak, aby se docílilo jednotného a detailního zaznamenávání v míře umožňující pozdější identifikaci původce operace, rozsahu a identifikace vystupovaných dat.

11. Jaký bezpečnostní mechanizmus využívá aplikace pro ověření identity uživatelů a administrátorů?

Odpověď: Jako bezpečnostní mechanismus je využívána například autentizace:

  • Jménem a heslem
  • Certifikátem
  • Jménem, heslem a certifikátem
  • Single Sign-On (Microsoft Active Directory, Google, 602ID, JIP/KAAS)
  • Jménem a heslem vůči centrální adresářové službě LDAP (typicky Microsoft Active Directory, eDirectory)

12. Jakým způsobem je v aplikaci nebo IS zajištěno řízení přístupových oprávnění? Uveďte, zda aplikovaný systém řízení granulárně pokrývá. Přístup k jednotlivým funkcionalitám nebo modulům a datům

Jakým způsobem je zaznamenáváno použití přístupových oprávnění v aplikaci?

Odpověď: Použití přístupových oprávnění je zaznamenáno do transakčního protokolu.

Chcete vědět více? Kontaktujte nás

a mezitím se rozlučte s papírem

Volejte
+420 222 011 602

Pište na e-mail
info@602.cz

Nebo využijte
kontaktní formulář

Na váš dotaz odpovíme nejpozději do dvou pracovních dnů.




osobních údajů