GDPR neboli obecné nařízení o ochraně osobních údajů (General Data Protection Regulation) představuje v rámci EU právní rámec ochrany osobních údajů. Týká se firem, institucí, jednotlivců i online služeb zpracovávajících data uživatelů, pro které zavádí přísnější pravidla při zacházení s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů (tzv. subjektů údajů). Za osobní údaje se považuje jméno, pohlaví, věk, datum narození, osobní stav, IP adresa, fotografický záznam, e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem. Firmám evidujícím osobní a citlivé údaje z tohoto nařízení vyplývají následující povinnosti:
Zabezpečit evidované soukromé údaje tak, aby nemohly být poskytnuty třetí straně
Informovat příslušný subjekt v případě, kdy byla bezpečnost uchovávaných údajů porušena
Umožnit subjektu přístup k údajům, které o něm evidujete
Na vyžádání subjekt informovat, za jakým účelem jeho údaje zpracováváte
V případě oprávněné námitky subjektu ohledně zpracování jeho údajů tyto údaje anonymizovat
Po dobu řešení oprávněnosti námitky omezit zpracování osobních údajů daného subjektu
Uchovávat osobní údaje subjektu co nejkratší možnou dobu
Zavedení pravidel GDRP do systému
Dodržení těchto pravidel v Money ERP umožňuje modul GDPR, který do systému dodává nejen samostatný uzel v nabídce Administrace, ale i řadu dalších rozšiřujících funkčností. Ideální postup při zajištění bezpečnosti dat partnerů a zaměstnanců je následující:
1) V menu Osobní údaje si zjistěte, kde všude v agendě se osobní a citlivé údaje vyskytují.
2) Volbou Tisk osobních údajů si můžete vytisknout jejich přehled.
3) Na kartách Uživatelských rolí povolte/zakažte jednotlivým okruhům uživatelů hromadný export dat, a to buď obecně volbou Povolit export dat, nebo jen u vybraných seznamů ve sloupci Export.
4) Zabezpečte Money ERP tak, aby se do systému dostali opravdu jen povolení uživatelé. Pro bezpečnější přihlašování nabízí modul dvě možnosti:
a) Jednotlivým Uživatelům lze pro interní přihlášení do Money ERP nastavit různé stupně Síly hesla. Stupeň Vysoká umožňuje stanovit minimální počet a složení povinných znaků.
b) V menu Konfigurace autentizace se dá nastavit externí přihlašování do systému pomocí protokolu LDAP. Externí označení se pak přidělí na kartu Role a následně se funkčnost aktivuje na kartách jednotlivých Uživatelů.
5) V Průvodci nastavením programu upřesněte úroveň Logování historie akcí tak, aby byla vhodná pro potřeby GDPR. S ohledem na co nejmenší zatížení databáze si můžete rozsah logovaných údajů upřesnit na kartách Nastavení seznamu v záložce Výchozí konfigurace pro historii akcí GDPR. Archivované údaje pak dohledáte na kartě Historie akcí v záložce Podrobnosti. Celý seznam Historie akcí si navíc můžete tlačítkem Osobní údaje omezit jen na ty, které nějaké citlivé údaje obsahují.
6) Pokud by podrobné logování stále příliš zvětšovalo vaši databázi, můžete historii akcí s programem evidovat vně Money ERP:
a) Ručně se data dají exportovat z Money ERP na kartě Řízení systému v části Údržba databází volbou Spustit průvodce. Na první straně průvodce (část Historie akcí) si v poli Pro zvolené záznamy provést akci vyberte z roletové nabídky možnost Exportovat. Po zadání adresy pro archivaci vám již jen stačí potvrdit volbu Provést. Následně můžete exportovaná data v Money ERP smazat.
b) V Průvodci nastavením programu je možné zadat Nastavení externího logovacího sytému typu Syslog, který zajistí automatickou archivaci dat mimo Money ERP.
7) V seznamu Bezpečnostních incidentů si vytvořením vhodných automatických akcí nastavte bezpečnostní pravidla pro registraci případných úniků, oprav nebo mazání dat, podezřelých pokusů o přihlášení apod. Při vzniku takového incidentu vás program upozorní odesíláním varovné e-mailové zprávy na zvolenou adresu.
Postup při dodržování pravidel GDPR
Jako zpracovatel osobních dat máte za povinnost spolupracovat se subjekty evidovaných údajů a na vyžádání jim poskytnout všechny osobní údaje, které o nich zpracováváte. Vyžádá-li si subjekt informaci o svých, vámi evidovaných osobních údajích, můžete mu poskytnout některou z následujících sestav:
Kartu firmy – najdete ji v nabídce tlačítka Tisk, Náhled, PDF nebo Mail v seznamu Firem
Kartu osoby – tlačítko Tisk, Náhled, PDF nebo Mail v seznamu Osob
Subjekt zpracování dat si může vyžádat také výpis údajů vytvořených vaší vlastní činností. Za takové údaje se v Money ERP dají považovat doklady, na kterých je subjekt uvedený. Jejich přehled najdete pro danou kartu Firmy v detailu Doklady u seznamu Firem.
Pokud subjekt, jehož osobní data evidujete, vznese námitku proti jejich zpracování, musíte do vyřešení oprávněnosti námitky zpracování jeho údajů omezit a současně zajistit, aby nedošlo k jejich úpravám. Tento stav zajistíte v seznamech Firem, Osob a Pracovníků volbami místní nabídky Zamknout nebo Skrýt záznam.
V případě, kdy subjekt požádá o výmaz údajů a neexistuje jiný právní titul, proč je evidovat, můžete jeho údaje Anonymizovat.
Aby byly osobní údaje uchovávány jen po nezbytně nutnou dobu, můžete si nastavit Typy aktivit s různou délkou platnosti (pro obchodní, daňové, marketingové či mzdové legislativní požadavky) a s jejich pomocí přidělovat kartám Firem příslušné Aktivity.