25. máj 2018 bol v znamení nadobudnutia účinnosti všeobecného nariadenia Európskej únie o ochrane osobných údajov, ktoré je dobre známe pod skratkou GDPR. A ktoré vďaka sérii nejasností a vysokým sankciám stále vyvoláva v mnohých firmách takmer posvätnú hrôzu. Či oprávnene, to ukáže až nasledujúcich niekoľko rokov a prvé prípady riešené podľa nových právnych predpisov. Faktom však je, že GDPR predstavuje najväčšiu legislatívnu zmenu ochrany osobných údajov za posledných dvadsať rokov – a to nielen v kontexte Slovenskej republiky.
Objem spracovávaných osobných dát neustále rastie a bohužiaľ viaceré organizácie stále ešte netušia, ktoré z nimi spracúvaných údajov budú nariadeniu GDPR podliehať. Problémom totiž je, že osobné údaje sú dnes bežne rozprestreté naprieč celou podnikovou informačnou architektúrou – bežne sa s nimi stretávame nielen v informačných systémoch, ale veľmi často aj v dokumentoch. V tých papierových i elektronických. Áno, osobné údaje môžu byť obsiahnuté vo faktúrach, v zmluvách, v obchodnej korešpondencii, v špecifikáciách výberových konaní, v životopisoch uchádzačov o prácu, na výplatných páskach …
Z pohľadu bezpečnosti predstavuje eDoCat prepracovanú kombináciu systémových i objektových oprávnení a rolí, vďaka ktorej je možné riešiť aj prístupy na najnižšej možnej úrovni centralizovane a veľmi efektívne.
Výhodné riešenie mnohých povinností
Spracovanie dokumentov vždy bolo, je a bude dôležitou súčasťou podnikovej informatiky. Vďaka GDPR sú ale dokumentové procesy zase o niečo zložitejšie – menší, či väčší vplyv má tu každé ustanovenie nového nariadenia. Či už ide o sledovanie nakladania s osobnými údajmi, o naplnenie „práva byť zabudnutý“ alebo o zabezpečenie podkladov pre ohlasovacie povinnosti. GDPR tiež odporúča – a podľa kontextu za určitých okolností prikazuje – využívať najmodernejšie technológie, a teda aj pokročilé mechanizmy pre riadenie prístupu.
V oblasti spracovania dokumentov sú vhodným riešením týchto požiadaviek tzv. DMS systémy (Document Management System). Ich prínosy pritom výrazne závisia od doterajších spôsobov spracovania dokumentov, rozsahu elektronickej správy a miery integrácie s ostatnými prvkami podnikovej informačnej architektúry. Konkrétnym príkladom môže byť vysoko modulárny systém eDoCat českej spoločnosti Onlio, ktorý ponúka centrálny priestor pre ukladanie a spracovanie všetkých typov dokumentov pri súčasnej maximálnej prispôsobiteľnosti workflow.
Nová legislatíva prináša množstvo práv aj povinností a ovplyvní každú organizáciu, ktorá zhromažďuje alebo spracováva osobné údaje Európanov, vrátane spoločností a inštitúcií mimo územia EÚ. Regulačné orgány sa navyše dočkajú naozaj účinných právomocí vrátane už dobre známych obrovských pokút – Úrad na ochranu osobných údajov ale sľubuje, že sankcie budú udeľované obdobne ako doteraz, teda v primeranej výške.
Vo vzťahu ku GDPR sa môžeme bližšie pozrieť na problematiku životopisov, či celých personálnych spisov. Systém eDoCat umožňuje ukladanie šifrovaných dokumentov, dovoľuje nastaviť skartačné lehoty dané internými smernicami, či legislatívnymi predpismi, alebo napríklad kategorizovať dokumenty na základe metadát vrátane následného reportingu podľa požiadaviek subjektov osobných údajov. Nechýba ani automatické riadenie životného cyklu vrátane archivácie a už spomínanej skartácie, veľmi citlivé riadenie prístupu na základe užívateľských práv, popr. hodnôt v metadátach, podrobné logovanie prístupu k dokumentom (kto, kedy, čo) a schopnosť obnoviť v prípade bezpečnostného, či technického incidentu dostupnosť osobných údajov v potrebnom rozsahu a čase.
Vopred známy a preverený postup spracovania dokumentov významne znižuje riziko porušenia GDPR v dôsledku zlyhania ľudského faktora – všetci presne vedia, čo majú s ktorým dokumentom robiť. A nemôžu so žiadnym dokumentom urobiť viac, než k čomu majú dostatočné oprávnenia.
DMS eDoCat môže byť skvelým pomocníkom aj pre zaistenie evidencie súhlasov jednotlivých subjektov vrátane správy verzií týchto súhlasov a sledovania termínov ich platnosti. Z komplexného pohľadu podporuje eDoCat aj proces pravidelného testovania a hodnotenia opatrení zavedených v danej organizácii práve s ohľadom na GDPR.
Koniec chaosu
Z predchádzajúcich odsekov by mohlo vyplývať, že implementovaný DMS systém zaistí súlad s GDRP viac-menej sám o sebe. Nie je tomu tak, a to ani v prípade tak mocného nástroja, ako je eDoCat. Document Management systémy nie sú bez väzby na správne a detailne podchytené princípy práce s osobnými údajmi spásou samy o sebe. V každom prípade je ale DMS technológiou, pomocou ktorej je možné zaviesť do firemného spracovania dokumentov tak často chýbajúci poriadok – čo je pochopiteľne dôležité aj bez ohľadu na GDPR.
Systémy DMS navyše plne podporujú moderné spôsoby práce vrátane mobilných. Užívatelia tak môžu ťažiť z výhod digitálneho veku vrátane rýchleho prístupu k požadovanému dokumentu, kedykoľvek a odkiaľkoľvek. Výsledkom je väčšia bezpečnosť a celkovo lepšia efektivita jednotlivých tímov i celej organizácie.
Autor: Pavel Nykl, obchodný riaditeľ Onlio