Nastavení GDPR v HELIOS Red
(základní informace k funkci GDPR v HELIOS Red najdete zde)
Úvod do GDRP – základní shrnutí
GDPR se vztahuje na fyzické osoby a podnikající fyzické osoby. Za osobní údaje se považují jméno, pohlaví, věk, datum narození, osobní stav, IP adresa nebo i fotografický záznam či různé identifikační údaje vydané státem. Zvláštní kategorií osobních údajů jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientace, trestních deliktech či pravomocném odsouzení. Mezi citlivé údaje patří genetické, biometrické údaje a osobní údaje dětí – jejich zpracování podléhá přísnějšímu režimu než obecné osobní údaje.
GDPR nám jako občanům dává:
- právo na přístup (ověřit si zákonnost zpracování svých údajů a mít právo vědět a být informován, za jakým účelem se osobní údaje zpracovávají, po jakou dobu budou uchovány a znát příjemce mých osobních údajů)
- právo na výmaz (aby správce bez zbytečného odkladu vymazal naše osobní údaje, pokud už nejsou potřebné pro účel, pro který jsou shromažďovány, pokud občan odvolá souhlas, pokud je zpracování založeno na jeho souhlasu, pokud vznese námitku proti zpracování z důvodu oprávněných zájmů správce osobních údajů, pokud byly osobní údaje zpracovány protiprávně nebo pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí)
- právo být zapomenut (s rozšířeným právem na výmaz, což ale bude v praxi poměrně složité)
- právo vznést námitku (pokud nelze uplatnit právo na výmaz, lze tímto právem donutit společnost k omezenému zpracování těch údajů, které jsou předmětem uplatněné námitky)
- omezení zpracování (zajištění technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny)
- přenositelnost údajů (což je rozšířené právo přístupu a může být uplatněno pouze, pokud současně nastanou tyto podmínky: 1. zpracování je založeno na souhlasu občana nebo na smlouvě, 2. je prováděno automatizovaně).
Účely zpracování osobních údajů: vázané na souhlas subjektu – oprávněná doba zpracování závisí na době platnosti souhlasu a tento souhlas je třeba získat, vázané na právní povinnosti – závisí na obecných legislativních pravidlech a doba oprávněného zpracování osobních údajů je daná zákonem (např. uchovávat daňové doklady DPH po dobu 10 let). Doba oprávnění je tak dána zákonem.
GDPR ukládá institucím a firmám novou odpovědnost: princip tzv. zodpovědnosti: provést technické zabezpečení dat, organizační a procesní opatření za účelem prokázání v souladu s principy GDPR. Pro standardní firmy tedy zejména implementaci záměrné a nezbytné ochrany dat a zavedení pseudonymizace osobních údajů (zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovány odděleně a chráněny proti opětovnému přiřazení k původním údajům).
Pro doložení souladu s GDPR by měla firma (správce) přijmout vnitřní koncepce, provést procesní změny a zavést opatření pro dodržení zásady záměrné a standardní ochrany osobních údajů (minimalizace sběru, co nejrychlejší pseudonymizace, transparentnost a umožnění přístupu občanů k jejich údajům). Bezpečnostní opatření musí být pravidelně testována.
Souhlas musí být zákazníkem poskytnut výslovně, svobodně a jednoznačně. Souhlasy musí být pro všechny různé typy účelů. Všechny souhlasy je třeba evidovat a to včetně jména a data jejich udělení.
Do 72 hodin je zpracovatel povinen nahlásit únik či ohrožení zabezpečení osobních dat ÚOOÚ.
GDPR v HELIOS Red
Asseco Solutions pouze poskytuje podmínky – prostředí /nástroj pro naplnění normy. Neexistuje žádná právní úprava, která posoudí software z hlediska připravenosti na GDPR. Veškerá zodpovědnost je tak na straně správce osobních údajů, tedy uživatele ERP (podnikového informačního systému).
V HELIOS Red GDPR dopadá na mnoho míst: zaměstnanci, kontaktní osoby, organizace – číselník partnerů, který se týká fyzických osob (podnikajících či nepodnikajících) a prvotní doklady téměř ve všech modulech.
Nastavení přístupových práv v modulu Správa systému
Správa systému a společné číselníky: Správa systému - Definice uživatele – Nastavení práv
V modulu Správa systému se nastavuje se možnost přístupu do agendy GDPR. Pokud v modulu Správa systému necháte volbu 4 - bez přístupu, i tak má uživatel právo na vytvoření Subjektu a zavedení Souhlasu. Volba 2 – standardní uživatel má ke GDPR stejná práva, pouze se dostane do modulu Správa systému. Tedy dostanou se do číselníku Definice souhlasů a číselníku Subjektů a souhlasů. Další nastavení je třeba provést v Rozšířeném nastavení práv.
V modulu Personalistika se nastavuje přístup do Správa osobních údajů, nastavuje se Oprava záznamu a Výmaz osobních údajů hromadně.
GDPR najdete v HELIOS Red ve všech modulech v menu Pomocné práce.
Číselník Definice souhlasů
Definice souhlasu: text souhlasu se přenáší k subjektu, přes navázané dokumenty lze přivázat formátovaný dokument (word, excel, pdf), lze nastavit neomezenou nebo omezenou dobu platnosti souhlasu. Standardně je nastavena platnost nemezená.
Může se jednat o souhlasy k použití fotografie pro nějaké účely, pro zasílání marketingových sdělení apod.
Číselník Účely zpracování
Výběr právního důvodu, proč správce eviduje osobní údaje:
- udělený souhlas
- plnění smlouvy se subjektem
- právní povinnost správce
- ochrana zájmů subjektu
- veřejný zájem
- oprávněný zájem
A definují se dotčené oblasti – k čemu to je, např. zasílání marketingových sdělení a kde všude budu tyto údaje zpracovávat (např. na firemní nástěnce, e-maily, v modulu Nákup a prodej…). Ke každému účelu zpracování je třeba vybrat potřebný souhlas z číselníku Definice souhlasů.
Číselník Subjekty osobních údajů
Jedná se o hlavní agendu pro vedení subjektů osobních údajů. Pro její využívání musí být nastaveny předchozí dva číselníky.
Identifikace osoby (jméno, adresa, telefony, emaily) – je možné evidovat 6 telefonů, 6 e-mailů, 6 dalších zdrojů informací.
Evidence zdroje informací – způsob získání údajů o osobě (hlavní zdroj informací – výběr z číselníku)
Stav subjektu – je zobrazován na dokladech v HELIOS Red – Nenastaveno / získány souhlasy /vymazán /pozastaveno zpracování
Nastavení příznaku, že je zakázáno použití telefonu, e-mailu, dopisu.
K Subjektu jde přidat položku souhlasů, účelu zpracování nebo záznamu o pozastavení či vymazání. Vybírá se z číselníku souhlasů nebo účelů zpracování. Jednou zadaný souhlas lze zneplatnit (funkce F11 zneplatnění souhlasu). Do políčka Odvolán se vloží aktuální datum zneplatnění souhlasu.
Jak se pracuje se Subjektem přímo na dokladech?
Ikona GDPR v pásu ikon: přiřazení subjektu /vytvoření nového subjektu, zobrazení subjektu a jeho editace, odstranění přiřazení subjektu (odstranění vazby).
Kliknout na ikonu GDPR os. údaje, přiřadit nový subjekt – vyberu buď existující subjekt nebo dám Nový. Při založení nového subjektu program kartu subjektu vyplní podle údajů z číselníku partnerů. Musíme doplnit Hlavní zdroj informací (většinou vybíráme „Subjekt údajů“) a stav a dále přidat do položek příslušné souhlasy. Vpravo nahoře pak tlačítkem Uložit a zavřít uložím. Po přiřazení subjektu k partnerovi z číselníku partnerů se ikona GDPR změní (zelené zaškrtnutí). Ikona GDPR os. údaje se symbolem červeného bodu znamená, že subjekt neexistuje. Ikona GDPR os. údaje se zámkem znamená, že je pozastaveno zpracování údajů.
Program umí signalizovat přímo na hlavičce dokladu pomocí podbarvení telefonu a e-mailu, jestli je jejich používání povolené. Zelené podbarvení se zelenou fajfkou znamená, že mám tento e-mail u subjektu povolený. Červené podbarvení s křížkem znamená, že e-mail je zakázaný pro odesílání. Stejně tak je to u telefonu.
Stejná kontrola je i při odeslání faktury e-mailem v PDF.
Výpis osobních údajů
Dělá se z databáze číselník Subjektů osobních údajů. Funkce Výpis údajů. Prohledávají se data aktuálního roku a dvou předchozích let. Nabídne se seznam záznamů ze všech evidencí, kde se osobní údaje daného subjektu nalézají. Je zde vidět důvod zařazení a ztotožnění. Program hledá nejen přímo přiřazené subjekty, ale prohledává i podle adresy, telefonů a e-mailů.
Pro pokračování je třeba vybrané záznamy označit (provádí se klávesou Insert). Pro hromadné označení funguje klávesa na numerické klávesnici + pro označení nebo – pro odznačení . Následně pokračuji tlačítkem OK. Je možno opravit data žádosti o o výpis a datum provedení výpisu, případně dopsat nějakou poznámku. Vytisknout lze klasicky na obrazovku, tiskárnu nebo do PDF. Výpis má všechny potřebné náležitosti.
Výmaz osobních údajů
Přepisuje (anonymizuje) jméno subjektu osobních údajů a maže další adresní a kontaktní údaje o subjektu. Na dokladu dojde k odstranění vazby na kartu partnera a přepsání názvu partnera na „anonymizováno“, vymaže vše, kromě PSČ. Jedná se o nevratnou operaci. Opět se spouští v Číselníku subjektů, funkce Výmaz údajů. Stejně jako při výpisu osobních údajů program prohledá všechny databáze a nabídne záznamy k anonymizaci. Po vybrání záznamů a odsouhlasení dojde k anonymizaci.
Import objednávek z e-shopu
Ve struktuře XML jsou nově atributy (v Nákup a prodej, Prodejní objednávky, Alt + X) kód souhlasu, datum udělení, platnost do.
Hromadné doplnění subjektů a souhlasů
Funkce se nachází v modulu Obchodní partneři, kde jde nad označenými záznamy spustit funkci Hromadné doplnění. Lze vyfiltrovat ve sloupci Fyzická osoba pouze ty záznamy, které jsou fyzickými osobami. A pouze tyto partnery hromadně doplnit. Funkce Hromadné doplnění subjektů a souhlasů. Doplní se Hlavní zdroj informací a typ Souhlasu a případně i datum udělení souhlasu. Po potvrzení program vygeneruje v databázi subjektů jednotlivé subjekty.
GDPR v modulu Personalistika
Nově volba Správa osobních údajů – je to seznam osobních údajů vedených na osobních kartách zaměstnanců a v připojených databázích a ve mzdové evidenci. Vyplňují se oprávnění k evidenci a doba povinnosti data uchovávat. Údaje jsou v HELIOS Red kompletně přednastavené podle požadavků zákona. Funkce se nachází ve Vstup dat – Správa osobních údajů. Nachází se zde všechny osobní údaje, oprávnění a délka uchování v letech po ukončení pracovního poměru. Celkem je v databázi 118 údajů.
Pozor na funkci Hromadný výmaz osobních údajů, jedná se o nevratnou operaci. Před spuštěním je vhodné si zálohovat data. Po spuštění program promaže záznamy v personalistice a mzdové evidenci. Podle nastavené délky zpracování vymaže údaje, které již není nutné dále zpracovávat. Funkce by se měla pouštět každý měsíc.
Přímo na Osobní kartě je možné hromadné doplnění subjektů a souhlasů (stejně jako v obchodních partnerech), je možné vymazat osobní údaje daného osobního čísla, zobrazení seznamu osobních údajů a jejich hodnot, u kterých se objevuje označení k výmazu. Lze udělat i výpis osobních údajů v personální a mzdové evidenci.
Zabezpečení osobních dat v rámci HELIOS Red
Data subjektů jsou v databázi zašifrována. Uložena jsou ve složce Číselníků (CISEL). Databáze jsou součástí běžné zálohy dat.
Servisní záloha (pro odeslání zálohy dat do Asseco Solutions) je nově také šifrovaná.