Více povinností ve správě osobních údajů a hlavně mnohem vyšší sankce za jejich nedodržení. GDPR startuje naostro už za pár měsíců. ERP systémy Money jsou ale na změny dobře připravené.

GDPR je téměř stostránkové nařízení, které ukládá legislativní a technické pokyny týkající se osobních údajů. Platí od 25. května 2018 pro všechny:

  • správce údajů (obvykle zaměstnavatelé či obchodníci),
  • zpracovatele údajů (například firmy, které externě zpracovávají mzdy)
  • i kategorie subjektů údajů (typicky zaměstnanci, zákazníci, uchazeči o zaměstnání, kolemjdoucí zaznamenaní na kameru a další.)

Možná tušíte, že jediný a nejlepší postup pro implementaci změn podle GDPR neexistuje. Začněte ale těmito 2 kroky:

  • Nechte si vypracovat posudek, jak GDPR ve vaší firmě naplňovat.
  • Použijte ke splnění povinností nové i stávající funkce svého Money.

Díky posudku si ujasníte, které požadavky GDPR se vztahují přímo na vás. Budete si tak moct stanovit interní pravidla a vlastní opatření, pomocí kterých nařízení GDPR naplníte.

Po ujasnění interních pravidel se vrhněte na technickou stránku – zjistěte, se kterými povinnostmi vám pomůže váš ERP systém.

Seminář o GDPR v ERP Money

Záznam je určen výhradně pro uživatele ERP Money. Pro spuštění budete potřebovat vložit PIN vašeho ERP Money. Ten najdete v pravém dolním rohu svého Money.

seminář GDPR v ERP Money

 

Přejít na záznam

3 důležité oblasti GDPR

Pro snazší pochopení se na GDPR podívejte ze tří úhlů. Ke každému jsme v Money připravili nové funkce.

GDPR se týká:

  1. Povolování a omezování přístupu k datům. Administrátor má nově větší pravomoci v nastavování přístupu uživatelů k datům.
  2. Práv subjektů údajů. Správce údajů shromažďuje data, zpracovatel je na jeho pokyn zpracovává. Oba musí data chránit a plnit práva subjektů údajů, které jim GDPR dává.
  3. Povinností správce a zpracovatele. Při zapracování GDPR ve vaší firmě musíte myslet třeba na evidenční nebo oznamovací povinnost.

Administrátor systému a přístupy

Kvůli GDPR přidáme do Money nové funkce, které využije váš administrátor. Získáte je v novém volitelném modulu GDPR, který si budete moci brzy pořídit.

Administrátor systému omezí platnost hesla a nastaví jeho sílu

Administrátor systému ve volitelném modulu:

  • Nastavuje povinnou sílu hesel uživatelů. Uživatelé budou podle administrátorových pokynů používat hesla třeba s třemi velkými písmeny a pěti číslicemi.
  • Spravuje přístupy uživatelů přímo v Money nebo nově v externím identity systému (například Active Directory). Administrátor přidělí práva a nastaví, která data může konkrétní uživatel po přihlášení do Money pořizovat, upravovat, číst, tisknout či exportovat do excelu.

TIP: Co je to externí identity systém a jak vám pomůže?

V externím identity systému probíhá ověřování uživatele. Pokud administrátor obsluhuje ve firmě více informačních systémů, musí v každém zvlášť nastavit uživatelům role a pravomoci. V externím identity systému má všechny uživatele pohromadě na jednom místě a rovnou jim přiřadí jejich práva a přístupy do každého ze systémů.

Příkladem je uložení dat v SQL databázi. Ta zajišťuje, že se k údajům dostanou pouze uživatelé s přístupovými údaji přidělenými od administrátora. Díky tomu nepotřebujete data šifrovat ani pseudonymizovat.

Pseudonymizace vs. anonymizace

Při pseudonymizaci skryjete identitu subjektu údajů a např. pomocí klíče ji můžete znovu odkrýt. Znamená to, že data o osobě si uchováte, ale oddělíte je od totožnosti konkrétního člověka.

Anonymizace dat znamená, že údaje smažete a už nemáte šanci se k nim vrátit.

Data na váhách: Money za vás rozliší osobní a citlivé údaje

GDPR dělá rozdíly třeba mezi adresou a informací o zdravotním stavu. Zatímco adresa je pouze běžný osobní údaj, zdravotní stav spadá mezi osobní údaje zvláštních kategorií (zkráceně citlivé údaje).

S oběma typy dat se setkáte hlavně v Adresáři, Personalistice a ve Mzdách a oba typy dat musí být chráněné. Citlivé údaje navíc spadají do mnohem přísnějšího režimu ochrany.

Money odlišuje:

  • citlivé a osobní údaje
  • a také operace v systému, při kterých zpracováváte osobní data. To se děje třeba při prohlížení, zaznamenání nebo uložení dat.

Pomocník s hlídáním historie systému: nastavte si logování

Pokud dojde k nejhoršímu – a někdo třeba vynese data z firmy – dokáže Money S4 a S5 pomocí logování odhalit, co se s daty dělo.

Základní logování je součástí standardního ERP Money. V novém modulu využijete i logování akcí, které navíc dovede rozpoznat osobní údaje.

V Money máte k dispozici 3 typy logování, které se liší podle množství zaznamenávaných dat.

  1. Základní logování – zaznamenává základní pohyby v Money, například přidání údajů, editování, smazání.
  2. Archivované logování – navíc sbírá informace o editovaných datech.
  3. Podrobné logování – ukládá i záznamy o nahlédnutí do dat a obsah dat. V praxi se tento typ logování zapíná ve firmách, kde mají podezření na úniky dat.

Do modulu GDPR jsme přidali další 2 typy logování – GDPR optimum a GDPR.

  1. GDPR optimum  – logování se týká jen vybraných objektů: Firma, Osoba, Spojení, Pracovník a všechny objekty modulu Mzdy.
  2. GDPR – loguje všechny objekty, které obsahují osobní údaje.

Kromě toho si můžete také vybrat, kam se budou data logovat:

  • Přímo v Money do tabulky Historie akcí. Pak si můžete data vyexportovat mimo systém do souboru.
  • Nebo nově ve volitelném modulu do externího logovacího systému (například syslog). Výhodou je, že logy nezabírají v systémové databázi Money místo a nezpomalují tak práci v systému.

Administrátor navíc může v Money nově nastavit automatické akce – třeba odesílání upozornění po e-mailu.

Příklad: Administrátor si zapne funkci upozornění po e-mailu. Díky tomu mu přijde zpráva třeba v případech, kdy se někdo pokusil neoprávněné přihlásit do systému – měl už zrušený účet nebo zkoušel, jestli uhodne heslo.

Při logování ale musíte počítat s tím, že kvůli velkému množství dat a zaměstnanců extrémně narostou databáze. S tím vám pomůže Údržba databází, kterou najdete v Řízení systémů. Máte 4 možnosti:

  1. Pokud používáte modul CSW Automatic, jednoduše si tam zapnete automatickou údržbu a nemusíte se o nic starat.
  2. Jestli nemáte CSW Automatic, můžete si nově nechat posílat zprávu na e-mail. Hned se dozvíte o blížícím se limitu logů a uděláte údržbu.
  3. Můžete zapnout přesun logů. Po uplynutí stanoveného období od poslední údržby nebo po překročení limitu se logy přesunou do:
    1. archivu
    2. nebo souboru, který funguje jako záloha.
  4. Čtvrtou možností je záznam historie do externího logovacího systému, který zaznamená historii akcí pouze v okamžiku vzniku a s Řízením systémů nesouvisí.

Práva subjektů údajů

GDPR dává subjektům údajů práva, která vám ERP Money pomůže plnit.

1)   Právo na informace

Pokud jako správce údajů dostanete od subjektu údajů informace, musíte mu dát vědět třeba to, že je zpracováváte, za jakým účelem údaje získáváte a kdo s nimi bude dále pracovat.

2)   Právo na opravu

Pokud se zákazník domnívá, že o něm zpracováváte nepřesné údaje, může vás na to upozornit. Pak se musíte jeho žádosti věnovat a data opravit – a to je vše.

3)   Právo na výmaz (známé také jako právo být zapomenut)

Subjekt údajů může žádat smazání osobních údajů ze systému:

  • po uplynutí zákonných či smluvních lhůt
  • nebo při odvolání souhlasu ke zpracování osobních údajů.
„Data můžete ručně smazat nebo anonymizovat. To je praktičtější – Money je totiž natolik rozsáhlý a provázaný systém, že mazání jednotlivých dat třeba o zaměstnanci by bylo velmi složité nebo dokonce nevýhodné či nemožné.”
Radslava Neuwirthová z ERP Money

Při anonymizaci systém vyhledá všechna data, která o  subjektu údajů shromažďuje. Vy si je pak ve volitelném modulu automaticky anonymizujete.

Kromě přednastavené anonymizace máte k dispozici ve volitelném modulu také vlastní anonymizaci. Díky tomu například nastavíte hodnoty, kterými se přepíšou anonymizovaná data.

4)   Právo na přístup k osobním údajům

Pomocí tiskových sestav snadno vydáte zájemci souhrn informací, které o něm shromažďujete.

5)   Právo na přenositelnost údajů

GDPR přesně nestanovuje formát pro přenositelné údaje. V Money si jednoduše vyexportujete údaje do formátu XML.

Toto právo pravděpodobně najde využití především pro přenos údajů mezi bankami.

6)   Právo na omezení zpracování

Subjekt údajů může požádat o omezení zpracování osobních údajů. V tom případě se vám bude hodit skrývání údajů.

V praxi to znamená, že v systému skryjete informace o osobě, která si stěžuje, a uživatelé s nimi nemohou pracovat. Záznamy v Money zůstávají, ale nikdo bez příslušných práv s nimi nemůže pracovat.

Povinnosti správce a zpracovatele

GDPR ukládá správci a zpracovateli údajů povinnost vést evidenci:

  • záznamů o zpracování,
  • souhlasů se zpracováním subjektů údajů,
  • žádostí subjektu údajů o výkon jeho práv, včetně oznamovací povinnosti,
  • ověření identity subjektu údajů,
  • (a hlášení) incidentů, včetně oznamovací povinnosti
  • šetření prováděných dozorovým orgánem – Úřadem na ochranu osobních údajů.

V praxi to znamená, že musíte zaznamenávat a uchovávat informace třeba o tom, že u vás byla kontrola a že evidujete (neboli logujete), kdo s daty pracoval.

S tím vám pomůže funkce Aktivity a modul DMS.

V seznamu aktivit můžete vést přehledy, které se týkají subjektů údajů, například:

  • žádosti o výmaz
  • nebo o opravu údajů.

V modulu DMS můžete bezpečně evidovat například:

  • dokumenty se souhlasem se zpracováním údajů
  • i všechny dokumenty s osobními údaji.

Veškeré zpracování osobních údajů v Money podléhá logování – takže i práce s dokumenty, které obsahují osobní údaje.

Velký přehled GDPR funkcí v Money

Důležité funkce pro GDPR budou součástí modulu s názvem GDPR, který si můžete pořídit v květnu 2018. O jeho vydání vám včas dáme vědět.

  • Funkce důležité pro administrátora
    • Rozšíření logování
    • Nastavení síly hesla
    • Podrobnější nastavení přístupových práv
    • Externí autentizace – např. Active Directory
    • Označení osobních a citlivých údajů ve výchozích sloupcích a polích Money
    • Uživatelské nastavení osobních a citlivých údajů
    • Export logu do externího logovacího systému
    • Možnost určení, ve kterých připojených dokumentech jsou citlivé či osobní údaje
  • Funkce důležité pro naplnění práv subjektů údajů
    • Právo na opravu
    • Anonymizace
    • Právo na výmaz – ruční anonymizace
    • Omezení zpracování
    • Právo na přístup k osobním údajům
    • Právo na přenositelnost
  • Funkce důležité pro naplnění povinností správců a zpracovatelů
    • Evidence záznamů o zpracování
    • Evidence šetření prováděných dozorovým orgánem
    • Evidence souhlasů se zpracováním subjektů údajů
    • Evidence a hlášení incidentů, včetně oznamovací povinnosti
    • Evidence žádostí subjektu údajů o výkon jeho práv, včetně oznamovací povinnosti
    • Evidence ověření identity subjektu údajů

Zjistěte více o GDPR ve vašem Money

V květnu vydáme podrobnější návod pro práci s GDPR funkcemi. Odkaz na video s podrobným komentářem najdete co nejdříve na tomto místě.