CROSS Zlín a.s.

Laboratorní informační a řídící systémy (LIMS)
Softwarové služby pro analytické laboratoře

Labsystém a GDPR

Dostáváme v poslední době dotazy, jak Labsystém bude řešit GDPR.Samozřejmě nijak, protože řešení GDPR není otázka softwaru, software je jen nástrojem. Přikládáme pár bodů podle našeho názoru, nejedná se o žádný návrh řešení či právní rozbor, jen o náš pohled na GDPR.

GDPR musí řešit organizace, laboratoř. Ta musí realizovat vše, co vyplývá z ochrany osobních údajů. Nastavit procesy k jejímu zajištění :

  • - nastavit politiku ochrany, vytvořit předpisy, vzory dokumentů
  • - stanovit zodpovědnosti - provést analýzu rizik - identifikovat, kde se evidují jaké osobní údaje
  • - posoudit, zda tyto údaje vyžadují speciální souhlas k jejich evidenci, případně řešit tento souhlas
  • - přijmout opatření proti jejich zneužití 
  • - zajistit počítače, servery
  • - vyškolit zaměstnance
  • a další a další.

Dodržení GDPR je tedy nejprve nutné zpracovat procesně a pak aplikovat na evidenci, jak písemnou, tak počítačovou. Z toho všeho plyne, že žádný SW neřeší GDPR a nijak nezajistí dodržení ochrany osobních údajů. Vlastní software nezabrání tomu, aby si v něm někdo nevedl jakoukoliv evidenci a nezapsal si osobní údaje. Těžko může MS Excel nebo WORD kontrolovat, zda v něm nemáte seznam těch nejosobnějších informací. Z tohoto pohledu bude pro každou laboratoř řádově větší problém s mailovou poštou nebo adresáři v Outlooku než s Labsystémem.

Laboratorní evidence mnoho osobních údajů neshromažďuje. Maximálně kontaktní údaje (telefon, mail , adresa) fyzických osob. Tyto údaje vyplývají z charakteru laboratorní činnosti, nejsou evidovány bezdůvodně. Z jiné legislativy plyne požadavek na jejich evidenci po dobu 5 let, takže ani případný požadavek zákazníka na odstranění těchto informací z evidence nelze akceptovat. Právní výklad se bude určitě ještě vyvíjet, ale naštěstí laboratoř nemá statisíce fyzických osob v evidenci s rodnými čísly, bankovními účty ap. 

Osobní údaje se v laboratoři evidují oprávněně, pracovníci laboratoře mohou mít možnost je vidět v celkem širokém výběry pracovníků oprávněně ( kontaktování zákazníka, konzultce o analýze, výsledcích, předání protokolu, faktury ap.). Hlavní problém je tedy, aby tyto údaje, které jsou uchovány za přesně definovaným účelem nebyly použity k jinému účelu (předání jinému subjektu, zaslání reaklamy na dovolenou  aj.), což už software nezajistí, to je již jen otázka zneužití člověkem.

Z pohledu GDPR je vůči Labsystému třeba definovat :

1. Jaké osobní údaje a jakým způsobem budou evidovány Musí být deklarováno, kde se mohou vyskytovat osobní údaje a v jakém rozsahu se budou evidovat. Například v seznamu zákazníků, u fyzických osob jméno, příjmení, adresa, kontaktní telefon, mail. U firem kontaktní osoba - jméno , příjmení, mail, telefon. V jakém režimu budou tyto údaje evidovány (se souhlasem, bez souhlasu ...).

2. Jak budou údaje chráněny před zneužitím Dodržování práv k editaci a prohlížení informací v databázi, používání přidělených přístupových přihlašovacích informací, odhlašování při odchodu od počítače, zabezpečení serveru ap.

3.Jaká budou pravidla pro odstranění těchto údajů. Určení doby uchování údajů v souladu s jinou legislativou. Které údaje je nutné uchovávat podle jiné legislativy, které ne. Možnost evidovat souhlas s uchováním, žádost o odstranění po uplynutí doby evidence ap.

4.Jak bude přezkoumáváno dodržování těchto pravidel Jak často a jakým způsobem bude kontrolováno. Například jednou za rok bude kontrolováno:

  • - zda se se někde v datech nevyskytují osobní údaje tam ,kde nemají být (třeba si zapíšete do poznámky ke vzorku rodné číslo zákazníka)
  • - zda se nezapisují osobní údaje, které se nemají evidovat (náboženství zákazníka či cokoliv jiného)
  • - zda fungují další mechanismy zabezpečení (přístup k datům přes práva ap.)

Pro uvedenou aplikaci GDPR na Labsystém není potřeba žádné velké připravenosti SW, za cenu "nepohodlí" lze i Labsystém verze 6 dostat do souladu. Vše v něm ale už realizovat nelze, naráží na své limity. Nová verze Labsystému - verze 7 nabízí již více možností a komfortu :

  • - nástroje ke snadnější kontrole, zda se neevidují osobní údaje jinde, než má být
  • - možnost nastavení evidence k uchovávání všech informací o vztahu evidované fyzické osoby k odstranění údajů (datum odstranění, evidence souhlasu, skan papírového souhlasu ap.)
  • - aparát pro odstranění údajů metodou anonymizace ( k termínu odstranění není osoba smazána, jsou pouze anonymizovány údaje, například lze jméno osoby nahradit textem "anonymní zákazník číslo 12345")
  • - možnost označit údaje jako "osobní" s omezeným přístupem uživatelů