Od pátku 25. května 2018 začne být účinné obecné nařízení Evropské unie o ochraně osobních údajů. Nařízení známé pod zkratkou GDPR (General Data Protection Regulation) představuje největší legislativní změnu v oblasti ochrany osobních údajů za posledních dvacet let – a to nejen v kontextu České republiky.
Nová právní úprava přináší řadu práv i povinností a ovlivní každou organizaci, která shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu. Regulační orgány se navíc dočkají opravdu účinných pravomocí včetně již dobře známých obrovských pokut.
Objem zpracovávaných osobních dat neustále roste a mnoho firem stále ještě netuší, která z těchto dat budou nařízení GDPR podléhat. Dnes bývají osobní údaje rozprostřeny napříč celou podnikovou informační architekturou a takřka vždy je najdeme i v běžně zpracovávaných dokumentech – v elektronických i tradičních papírových, od dopisů uchazečů o práci a jejich CV přes faktury až po smlouvy.
Zajištění souladu s pomocí DMS systémů
Míra vlivu nařízení GDPR na systémy DMS (Document Management System) závisí na způsobu využívání elektronické správy dokumentů v kontextu organizace jako celku i na rozsahu integrace DMS a ostatních prvků podnikové informační architektury. Zkusme se ale na tuto problematiku podívat z druhé strany a položit si otázku, zda mohou DMS systémy dosažení souladu s GDPR usnadnit. A kladnou odpověď můžeme najít hned v několika rovinách.
Nařízení GDPR předpokládá proaktivní přístup, a to včetně využívání moderních bezpečnostních technologií a opatření. A tedy i pokročilých mechanismů pro řízení přístupu, které jsou přirozenou součástí DMS systémů již od jejich raných verzí – například u řešení eDoCat společnosti Onlio jde o propracovanou kombinaci systémových i objektových oprávnění a rolí, díky které lze řešit i přístupy na nejnižší možné úrovni velmi efektivně.
Pozornost si určitě zaslouží i podpora řízení oběhu elektronických dokumentů pomocí workflow – ta může pomoci s prosazováním vnitřních předpisů, které si jednotlivé organizace budou definovat právě s cílem naplnit povinnosti související s GDPR. Opět jde o jednu z velmi silných stránek DMS systémů, která nejen usnadňuje, zrychluje a řídí oběh dokumentů, ale také aktivně podporuje dodržování interních bezpečnostních pravidel. Mimochodem, předem známý a prověřený postup zpracování dokumentu významně sníží riziko porušení GDPR v důsledku selhání lidského faktoru – všichni přesně vědí, co mají s kterým dokumentem dělat.
Nařízení GDPR upravuje i mechanismy udělování a odebírání souhlasu se zpracováním osobních údajů. Systémy DMS zjednoduší jak správu verzí těchto souhlasů, tak i sledování termínů jejich platnosti a případné slaďování s budoucími legislativními změnami. Obdobně díky přesnému sledování kdo, kdy a jak s jednotlivými dokumenty pracoval, lze snadněji naplnit i informační povinnost v případě úniků dat. V souvislosti s GDPR a DMS systémy bychom neměli zapomenout ani na vyhledávání konkrétních dokumentů v případě šetření bezpečnostního incidentu nebo na naplnění práva „být zapomenut“, tedy na vymazání všech dat potenciálně umožňujících odhalení identity „zapomínané“ osoby.
Na závěr jedno malé upřesnění: mohlo by se zdát, že správně implementovaný DMS systém zajistí soulad s GDRP víceméně sám o sobě. Jenže opak je pravdou, samotná řízená dokumentace tento soulad nikdy zajistit nemůže, a to ani tehdy, pokud by DMS byl jediným prvkem informační architektury. A platí to i v případě tak komplexního řešení, jako je systém eDoCat. Důvod je prostý, nové obecné nařízení Evropské unie o ochraně osobních údajů není jen o technologiích, ale o organizaci jako celku včetně všech procesů a lidí.
