Viac povinností pri spracovaní osobných údajov ale hlavne oveľa vyššie sankcie za ich nedodržanie. ERP systémy Money sú na zmeny dobre pripravené.

GDPR je takmer sto-stranové nariadenie, ktoré upravuje legislatívne a technické pokyny týkajúce sa osobných údajov. Platí od 25. mája 2018 pre všetkých:

  • prevádzkovateľov (obvykle zamestnávatelia a obchodníci),
  • sprostredkovateľov (napríklad firmy, ktoré externe spracovávajú mzdy)
  • a kategórie dotknutých osôb (typicky zamestnanci, zákazníci, uchádzači o zamestnanie, okoloidúci zaznamenaní na kameru a ďalší).

Možno tušíte, že univerzálny postup pre implementáciu zmien podľa GDPR neexistuje. Začnite preto týmito 2 krokmi:

  • Nechajte si vypracovať analýzu ochrany osobných údajov vo Vašej spoločnosti.
  • Použite k splneniu povinností nové aj existujúce funkcie vášho Money.

Vďaka analýze si ujasníte, ktoré požiadavky GDPR sa vzťahujú priamo na Vás. Budete si tak môcť stanoviť interné pravidlá a vlastné opatrenia, pomocou ktorých nariadenie GDPR naplníte.

Po ujasnení interných pravidiel sa vrhnite na technickú stránku – zistite s ktorými povinnosťami Vám pomôže Váš ERP systém.

Školenie o GDPR v ERP Money

GDPR sme v priebehu marca venovali špecializované školenia v Čechách aj na Slovensku. Pozrite si záznam z prednášky Libora Novotného o požiadavkách GDPR, a aj prednášku Mareka Kamana a Petry Pípalovej, ktorí vo videu ukážu, ako Vám Money pomôže zosúladiť firemné procesy s GDPR.

(Pozn. Záznam je určený výhradne pre používateľov ERP Money. Pre spustenie budete potrebovať vložiť PIN Vášho ERP Money, ktorý nájdete v pravom dolnom rohu Vášho Money.)

Školenie o GDPR v ERP Money

 

Prejsť na záznam

3 dôležité oblasti GDPR

Pre jednoduchšie pochopenie sa na GDPR pozrite z troch uhlov. Ku každému sme v Money pripravili nové funkcie.

GDPR sa týka:

  1. Povoľovanie a obmedzovanie prístupu k dátam. Administrátor má teraz väčšie právomoci v nastavovaní prístupu používateľov k dátam.
  2. Práv dotknutých osôb. Prevádzkovateľ zhromažďuje dáta, sprostredkovateľ ich na jeho pokyn spracováva. Obaja musia dáta chrániť a napĺňať práva dotknutých osôb, ktoré im GDPR dáva.
  3. Povinnosti prevádzkovateľa a sprostredkovateľa. Pri zapracovaní GDPR vo Vašej firme musíte myslieť na evidenčnú a oznamovaciu povinnosť.

Administrátor systému a prístupy

Kvôli GDPR pridáme do Money nové funkcie, ktoré využije Váš administrátor. Získate ich v novom voliteľnom module GDPR, ktorý si budete môcť už čoskoro zakúpiť.

Administrátor systému obmedzí platnosť hesla a nastaví jeho silu.

Administrátor systému vo voliteľnom module:

  • Nastavuje povinnú silu hesiel používateľov. Používatelia budú podľa pokynov administrátora používať heslá napríklad s troma veľkými písmenami a piatimi číslicami.
  • • Spravujte prístupy používateľov priamo v Money alebo po novom v externom identity systéme (napríklad Active Directory). Administrátor práva pridelí a nastaví, ktoré dáta môže konkrétny používateľ po prihlásení do systému Money vytvárať, upravovať, čítať, tlačiť alebo exportovať do Excelu.

TIP: Čo je to externý identity systém a ako Vám pomôže?

V externom identity systéme prebieha overovanie používateľov. Ak administrátor obsluhuje vo firme viac informačných systémov, musí v každom zvlášť nastaviť používateľom role a práva. V externom identity systéme má všetkých používateľov zoskupených na jednom mieste a rovno im priradí prístupy do každého zo systémov.

Príkladom je uloženie dát v SQL databáze. Tá zabezpečuje, že sa k údajom dostanú iba používatelia s prístupovými právami pridelenými od administrátora. Vďaka tomu nie je potrebné dáta šifrovať ani pseudonymizovať.

Pseudonymizácia vs. anonymizácia

Pri pseudonymizácii ukryjete identitu dotknutých osôb a napr. pomocou kľúča ich môžete znovu odkryť.

Anonymizácia dát znamená, že údaje nenávratne vymažete a už sa k nim viac nemôžete vrátiť.

Dáta na váhach: Money za Vás rozlíši osobné a citlivé údaje

GDPR napríklad rozdielne posudzuje adresu a informáciu o zdravotnom stave. Zatiaľ čo adresa je iba bežný osobný údaj, zdravotný stav spadá medzi osobitnú kategóriu osobných údajov (skrátene citlivé údaje).

S oboma typmi údajov sa stretnete hlavne v Adresári, Personalistike a v Mzdách (česká legislatíva) a oba typy údajov musia byť chránené. Citlivé údaje navyše spadajú do oveľa prísnejšieho režimu ochrany.

Money rozlišuje:

  • citlivé a osobné údaje
  • a rovnako operácie v systéme, pri ktorých spracovávate osobné dáta. To sa deje napríklad pri prezeraní alebo ukladaní dát.

Pomocník pri sledovaní histórie akcií systému: nastavte si logovanie

Ak príde k najhoršiemu – a niekto napríklad vynesie dáta z firmy – Money S4 a Money S5 dokáže pomocou logovania odhaliť, čo sa s údajmi dialo.

Základné logovanie je súčasťou štandardného ERP Money. V novom module využijete aj logovanie akcií, ktoré navyše dokáže rozpoznať osobné údaje.

V Money máte k dispozícii 3 typy logovania, ktoré sa líšia podľa množstva zaznamenávaných údajov.

  1. Základné logovanie – zaznamenáva základné pohyby v Money, napríklad pridávanie údajov, editovanie, vymazávanie.
  2. Archivované logovan – navyše zbiera informácie o editovaných údajoch.
  3. Podrobné logovanie – ukladá aj záznamy o prezeraní dát a obsah dát. V praxi sa tento typ logovania zapína vo firmách, kde hrozí vysoké riziko úniku dát.

Do modulu GDPR sme pridali ďalšie 2 typy logovania – GDPR optimum a GDPR.

  1. GDPR optimum – logovanie sa týka len vybraných objektov: Firma, Osoba, Spojenia, Pracovník a všetky objekty modulu Mzdy.
  2. GDPR – loguje všetky objekty, ktoré obsahujú osobné údaje.

Okrem toho si môžete vybrať, kam sa budú dáta logovať:

  • Priamo v Money do tabuľky Histórie akcií. Neskôr si môžete dáta vyexportovať mimo systém do súboru.
  • Alebo po novom v rámci voliteľného modulu do externého logovacieho systému (napríklad syslog). Výhodou je, že logy nezaberajú v systémovej databáze Money miesto a nespomaľujú tak prácu v systéme.

Administrátor navyše môže v Money nastaviť automatické akcie – napríklad odoslanie upozornenia e-mailom.

Príklad: Administrátor si zapne funkciu upozornenia e-mailom. Vďaka tomu mu príde automaticky správa napríklad v prípadoch, keď sa niekto pokúsil neoprávnene prihlásiť do systému – mal už zrušený účet alebo skúšal, či uhádne heslo.

Pri logovaní ale musíte počítať s tým, že kvôli veľkému množstvu dát a zamestnancov extrémne narastú databázy. S tým Vám pomôže Údržba databáz, ktorú nájdete v Riadení systému. Máte 4 možnosti:

  1. Ak používate modul CSW Automatic, jednoducho si tam zapnete automatickú údržbu a nemusíte sa o nič starať.
  2. Ak nemáte CSW Automatic, môžete si posielať správu na e-mail. Ihneď sa dozviete o blížiacom sa limite logov a vykonáte údržbu dát.
  3. Môžete zapnúť presun logov. Po uplynutí stanoveného obdobia od poslednej údržby alebo po prekročení limitu sa logy presunú do:
    1. archívu
    2. alebo súboru, ktorý funguje ako záloha.
  4. 4. Štvrtou možnosťou je záznam histórie do externého logovacieho systému, ktorý zaznamená históriu akcií iba v okamžiku jej vzniku a s Riadením systému nesúvisí.

Práva dotknutých osôb

GDPR dáva dotknutým osobám práva, ktoré Vám ERP Money pomôže napĺňať.

1. Právo na informácie

V prípade, že ako prevádzkovateľ dostanete od dotknutých osôb údaje, musíte mu dať vedieť napríklad to, že ich spracovávate, za akým účelom ste údaje získali, na aké obdobie a kto s nimi bude ďalej pracovať.

2. Právo na opravu

Ak sa zákazník domnieva, že o ňom spracovávate nepresné údaje, môže Vás na to upozorniť. Potom sa musíte jeho žiadosti venovať a údaje opraviť – to je všetko.

3. Právo na výmaz (známe taktiež ako právo byť zabudnutý)

Dotknutá osoba môže žiadať vymazať osobné údaje zo systémov:

  • po uplynutí zákonných alebo zmluvných lehôt
  • alebo pri odvolaní súhlasu k spracovaniu osobných údajov.
„Dáta môžete ručne vymazať alebo anonymizovať. To je praktickejšie – Money je totiž tak veľmi rozsiahly a previazaný systém, že mazanie jednotlivých dát napríklad o pracovníkovi by bolo veľmi zložité alebo dokonca nevýhodné či nemožné.”
Pavol Garaj z ERP Money

Pri anonymizácii systém vyhľadá všetky údaje, ktoré o dotknutej osobe zhromažďuje. Vy si ich potom vo voliteľnom module automaticky anonymizujete.

Okrem prednastavenej anonymizácie máte k dispozícii vo voliteľnom module aj vlastnú anonymizáciu. Vďaka tomu napríklad nastavíte hodnoty, ktorými sa prepíšu anonymizované údaje.

4. Právo na prístup k osobným údajom

Pomocou tlačových zostáv jednoducho vydáte záujemcovi súhrn údajov, ktoré o ňom zhromažďujete.

5. Právo na prenositeľnosť údajov

GDPR presne nestanovuje formát pre prenos údajov. V Money si jednoducho vyexportujete údaje do formátu XML.

Toto právo pravdepodobne nájde uplatnenie predovšetkým pri prenose údajov medzi bankami.

6. Právo na obmedzenie spracovania

Dotknutá osoba môže namietať spracovanie osobných údajov. Kým vo veci rozhodnete, mali by ste pristúpiť k obmedzeniu spracovania jej osobných údajov. V takomto prípade sa Vám bude hodiť skrývanie údajov.

V praxi to znamená, že v systéme skryjete informácie o osobe, ktorá namieta spracovanie osobných údajov a používatelia s nimi tak nemôžu ďalej pracovať. Záznamy v Money ostávajú ale nikto bez príslušných práv s nimi nemôže pracovať.

Povinnosti prevádzkovateľa a sprostredkovateľa

GDPR ukladá prevádzkovateľovi a sprostredkovateľovi povinnosť viesť evidenciu:

  • záznamy o spracovateľských činnostiach,
  • súhlasov so spracovaním údajov dotknutých osôb,
  • žiadostí dotknutých osôb a výkon jeho práv vrátane oznamovacej povinnosti,
  • overenia identity dotknutých osôb,
  • (a hlásení) incidentov, vrátane oznamovacej povinnosti,
  • kontrol vykonávaných dozorujúcim orgánom – Úradom na ochranu osobných údajov.

V praxi to znamená, že musíte zaznamenávať a uchovávať informácie napríklad o tom, že u Vás bola kontrola a že evidujete (resp. logujete), kto s údajmi pracoval.

S tým Vám pomôže funkcia Aktivity a modul DMS.

V zozname aktivít môžete viesť evidenciu, ktorá sa týka dotknutých osôb, napríklad:

  • žiadosti o výmaz
  • alebo o opravu údajov.

V module DMS môžete bezpečne evidovať napríklad:

  • dokumenty so súhlasmi so spracovaním osobných údajov
  • aj všetky dokumenty s osobnými údajmi.

Akékoľvek spracovanie osobných údajov v Money podlieha logovaniu – takže aj práca s dokumentmi, ktoré obsahujú osobné údaje.

Veľký prehľad GDPR funkcií v Money

Dôležité funkcie pre GDPR budú súčasťou modulu s názvom GDPR, ktorý si môžete zakúpiť od mája 2018. Na jeho vydanie Vás včas upozorníme.

  • Funkcie dôležité pre administrátora
    • Rozšírené logovanie
    • Nastavenie sily hesla
    • Podrobnejšie nastavenie prístupových práv
    • Externá autentifikácia – napr. Active Directory
    • Označenie osobných a citlivých údajov v predvolených stĺpcoch a poliach Money
    • Používateľské nastavenie osobných a citlivých údajov
    • Export logu do externého logovacieho systému
    • Možnosť určenia, v ktorých pripojených dokumentoch sú citlivé alebo osobné údaje
  • Funkcie dôležité pre naplnenia práv dotknutých osôb
    • Právo na opravu
    • Anonymizácia
    • Právo na výmaz – ručná anonymizácia
    • Obmedzenie spracovania
    • Právo na prístup k osobným údajom
    • Právo na prenositeľnosť
  • Funkcie dôležité pre naplnenie povinností prevádzkovateľa a sprostredkovateľa
    • Evidencia záznamov spracovateľských činností
    • Evidencia kontrol vykonávaných dozorujúcim orgánom
    • Evidencia súhlasov so spracovaním dotknutých osôb
    • Evidencia a hlásenie incidentov, vrátane oznamovacej povinnosti
    • Evidencia žiadostí dotknutých osôb o výkon ich práv, vrátane oznamovacej povinnosti
    • Evidencia overenia identity dotknutých osôb

Zistite viac o GDPR vo Vašom Money

V máji vydáme podrobnejší návod pre prácu s GDPR funkciami.