GDPR v PREMIER system

Owned by Linda Opluschilová
Last updated: říj 26, 2018
9 min read

Ochrana osobních a citlivých dat v PREMIER system

Je velmi složité popsat všechny souvislosti a rozsah jednotlivých požadavků nařízení GDPR souvisejících s informačním systémem. 

Ani sebelepší software firmu na GDPR nepřipraví. Program PREMIER system nabízí řadu vstupů, analytické a zpracující funkce, ovšem je na straně každé společnosti, aby si sama, či za pomoci odborníků na GDPR, stanovila optimálně své vlastní procesy monitoringu, zvyšování bezpečnosti osobních údajů a navrhla účinná opatření. PREMIER system již jen pomůže v jejich aplikaci.

Obecné informace ohledně GDPR se dozvíte /wiki/spaces/JOUR/pages/5308572

PREMIER system X6.2 v sobě již nyní integruje funkcionality, které jsou nástrojem základních požadavků na GDPR. Rovněž jsme v našem software PREMIER system nově implementovali řadu funkcí, které přímým způsobem podporují správu údajů dle GDPR a lze říci, že PREMIER system jen na GDPR připraven. Na dalších vylepšeních a funkcích ještě pracujeme.

Lze počítat s tím, že v průběhu získávání nových informací a praktických dopadů pravidel GDPR  budou další zákonné funkce postupně doplňovány a upravovány a budou nabídnuty k aktualizaci.

Pokud nenajdete některou z níže uvedených funkcionalit, program, prosím, aktualizujte.

Návrh na uzavírání smluv ze strany zákazníků:

Chtěli bychom všechny naše zákazníky upozornit, že naše společnost PREMIER system a.s., poskytováním práv k užívání informačního systému PREMIER system nevystupuje v tomto vztahu jako zpracovatel osobních údajů, tudíž není potřeba uzavírat jakékoliv smlouvy či dodatky. V tomto smyslu budeme muset odmítnout jakoukoliv žádost o uzavření jakékoliv zpracovatelské smlouvy, či jakéhokoliv jiného dokumentu ze strany našich zákazníků.

Více informací a zdůvodňující zprávu můžete nalézt v dokumentu "Zpráva - zpracovatelská smlouva". ->

Toto sdělení se netýká uživatelů služby PREMIER system Outsourcing, kteří obdrží automaticky zpracovatelskou smlouvu.

Adresář partnerů - agenda GDPR

Hlavním zdrojem osobních údajů v programu je Adresář partnerů. V adresáři partnerů pro účely GDPR byla zavedena nová agenda "GDPR", která nabízí komfortní funkce jako účinný nástroj pro kontrolní procesy GDPR.

Díky tomuto novému nástroji budete mít na jednom místě informace o tom, odkdy, dokdy a proč máte osobní údaje v evidenci, jak se účel jejich zpracování časem měnil, nebo třeba kdo s nimi pracuje.

Důvody zpracovávání osobních údajů

Vše bude uživatel zaznamenávat na záložce GDPR, na které jednoduše vyplníte potřebné informace.


Dokument o souladu s GDPR:

Zpráva – zpracovatelská smlouva:

Na této stránce najdete:

Důležité odkazy: 

Certifikace






  • Nepodléhá nebo není nutný souhlas - pro maximální komfort uživatelů program v adresáři automaticky detekuje partnera, který není fyzickou osobou, nebo partnera, jehož údaje jsou zpracovávány s ohledem na splnění smlouvy (existence objednávek, faktur, pokladních dokladů, atd.) a vyznačí danou položku v agendě GDPR příznakem (A).
    • Není fyzickou osobou 
    • Splnění smlouvy (obchodní vztah) - zpracování údajů je nutné z důvodu splnění smlouvy.
    • Splnění právní povinnosti - zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo např.: jde o údaje vycházející ze zaměstnaneckého poměruevidence data narození při obchodování se zlatem, ad.
  • Podléhá GDPR - pokud partner spadá do GDPR, zaškrtne se tato volba a následně je nutné zvolit, na základě čeho probíhá zpracování osobních údajů.
    • Souhlas - subjekt udělil souhlas se zpracováním osobních údajů, tento je možné vytisknout přímo z programu.
    • Jiný důvod #1 a #2- pokud zpracování osobních údajů probíhá z jiného než výše uvedeného důvodu, pak jej uživatel vyplní zde. Pomocí "..." je možné nadefinovat si číselník dalších důvodů a jejich rozsahů a poté vybírat z číselníku (viz obrázek níže). Informace z číselníku se následně přenáší do "Souhlasu se zpracováním osobních údajů".
  • Platnost od - do - zde se vyplní data, od kdy do kdy jsou údaje zpracovávány.
  • Odvolání - zde se vyplní datum odvolaní.
  • Poznámka - prostor pro libovolnou poznámku.
  • Souhlas - přímo v agendě GDPR je možné si vytisknout souhlas se zpracováním osobních údajů (podrobnější postup viz níže).
  • Přehled změn - zde se zaznamenává historie ohledně změn ve zpracování osobních údajů (viz obrázek níže).
  • Vazby ("sponka") - ke každému partnerovi je možné si přímo v agendě GDPR přes vazbu připojit skenovaný (link) nebo vložený externí dokument souhlasu nebo jiného dokumentu. To, kde budou tyto dokumenty uloženy, si může uživatel nastavit (viz níže).


Číselník dalších důvodů evidence osobních údajů včetně definice jejich rozsahu.


Historie změn partnera v souvislosti s GDPR.


S ohledem na to, že v některých společnostech bude za GDPR zodpovídat určitá osoba, lze ostatním uživatelům ve "Správci - Předvolbách - Omezujících - Odběratelé" zakázat editovat důvody zpracování osobních údajů. Rovněž lze nově v omezujících předvolbách uživateli nastavit, aby se mu při práci s programem nezobrazovali partneři, kteří podléhají ochraně osobních údajů - GDPR. S tímto nastavením uživatel uvidí pouze ty partnery, kteří mají v GDPR zvolenou volbu "Není fyzickou osobou".

Souhlas se zpracováním osobních údajů

Pokud chcete zpracovávat osobní údaje na základě souhlasu, který udělil subjekt údajů, pak je možné tento souhlas vytvořit přímo z programu. Souhlas podává fyzická osoba. Není nutný u obchodních vztahů, kde zpracování vychází ze zákona (splnění smlouvy, což je systémem označeno automaticky). Souhlas se především týká obchodních sdělení pro potencionálního klienta – fyzickou osobu. V PREMIERU je k partnerovi možné zadat jeden obecný souhlas a dva další volitelné z číselníku.

Obecný souhlas

Text obecného souhlasu je možné předvyplnit ve "Správci - Předvolby - Globální - Odběratelé - GDPR souhlas".


Volitelná textová pole jsou na smlouvě proto, aby je každý uživatel mohl vyplnit dle svých potřeb a nebyl nijak omezen.



V této nabídce v globálních předvolbách je rovněž možné nastavit si speciální adresář pro skenované dokumenty a vkládané přílohy v agendě GDPR (např. souhlasy), aby tyto dokumenty mohly být uchovány na jiném místě než ostatní dokumenty.

Takto předvyplněný souhlas je následně možné vytisknout přímo u daného partnera "GDPR - Souhlas".



Ještě před samotným tiskem má uživatel možnost text (přenesený z předvoleb globálních) upravit, a to po stisknutí tlačítka "Souhlas".

Tip

Samozřejmostí je, že i tato sestava je editovatelná a lze ji dle individuálních potřeb upravit. Rovněž lze po vytvoření souhlasu jej rovnou ze systému odeslat e-mailem partnerovi pomocí volby "Export - Odeslat kopii na e-mail".

Další volitelný souhlas

Pokud zpracování osobních údajů probíhá z volitelného důvodu, k němuž má uživatel vyplněné informace v číselníku, pak si obdobně může vytisknout "Souhlas se zpracováním osobních údajů", do něhož se přenášejí údaje z definice daného důvodu.

Tisk a práce se souhlasem jsou stejné jako u obecného souhlasu.




Nástroj pro vyhodnocení GDPR

Dle nařízení GDPR má každý subjekt údajů právo požádat o opravu nebo vymazání údajů (za určitých podmínek), které jsou o něm evidovány. Nejen k těmto účelům jsme vyvinuli nástroj pro vyhodnocení GDPR. Nástroj se nachází přímo v adresáři partnerů na horní liště "Seznam - GDPR - Přehled partnerů/hromadné úpravy". Přehled pro vyhodnocení GDPR uživateli usnadní a maximálně zjednoduší hromadnou práci s adresářem partnerů ve vazbě na GDPR. Tento nástroj umožňuje pracovat s automatickými funkcemi programu a provádět hromadné akce s partnery.

Program v přehledu pro vyhodnocení GDPR automaticky detekuje, jestli daný partner je právnickou osobou nebo má v systému doklad (nabídka, objednávka, výdejka, faktura ad.) a takového partnera v seznamu označí (zelené písmeno (A) ). Do sloupce rekapitulace u těchto partnerů pak program zapíše „Není třeba souhlas“.  Díky této funkci lze jednoduše pomocí filtru následně vyselektovat seznam partnerů, na které je potřeba se zaměřit a doplnit důvody zpracovávání osobních dat, případně zajistit souhlasy se zpracováním osobních údajů.


Rovněž lze v přehledu využívat "Hromadné akce se zvolenými partnery":

  • Nastavení důvodu GDPR - umožní u zvolené skupiny partnerů hromadně editovat agendu GDPR.

  • Výmaz osobních údajů - subjekt údajů má za určitých podmínek stanovených v nařízení právo vznést požadavek na výmaz údajů, což umožní např. tato funkce. Pokud provedete výmaz osobních údajů u zvolených partnerů, pak program z adresáře u daného partnera vymaže telefonní číslo, e-mailovou adresu a ulici (všechny tyto údaje najednou). Po takto provedeném výmazu údajů se původní údaje odstraní i z kompletního archivu změn, aby byly nedohledatelné.


  • Kompletní odstranění - tato funkce umožní hromadné úplné odstranění vybraných partnerů z adresáře programu. Tuto funkci lze rovněž využít při aplikaci práva subjektu údajů na výmaz osobních údajů.


Tip

Díky filtrům a unigridové tabulce se stává z přehledu pro vyhodnocení GDPR všestranný nástroj pro práci s tímto seznamem. Vyfiltrovat lze i staré partnery, např. s dokladem starším než 10 let. Nebo lze do pohledu přidat libovolný údaj z adresáře (např. identifikátory, uživatelské údaje, atd.), díky čemuž lze k GDPR sledovat i další informace dle individuálních potřeb společnosti a ty využít k filtrování a hromadné akci.

Obecné funkce programu PREMIER

Přístupová práva

Program PREMIER disponuje možností nastavit přístupová práva k jednotlivým modulům, což zajišťuje ochranu dat proti neoprávněnému přístupu. Díky propracovaným přístupovým právům je možné tvořit odlišnou úroveň uživatelských oprávnění garantující přístup pouze oprávněným uživatelům. Lze nastavit resp. omezit zápis, mazání, změnu, tisk, export. Podrobněji zde.




Přehled změn – historie událostí

Historie změn

Program PREMIER nabízí propracovanou a detailní historii práce jednotlivých uživatelů systému. Lze snadno zjistit, kdo, v jakém čase a jakým způsobem manipuloval s daty. Tomu napomáhá i tzv. změnová databáze na kartě partnera v Adresáři partnerů, která nabízí informace o původní hodnotě, nové hodnotě, kdo manipuloval s údaji a v jakém čase.

Časové razítko

Toto se týká i tisku a exportu přehledů a dokumentů do grafického formátu, např. *.pdf. Tlačítko "časové razítko" obsahuje podrobné informace k danému dokumentu.


Exportované dokumenty

Autor

Exportované dokumenty (PDF, DOC, XLS, XSLX) z programu PREMIER system nově nesou informaci o tom, kdo je vytvořil. Údaj autora se přebírá ze "Správce - Předvoleb -  Uživatelských - Obecné - Doklad vystavil". Není-li tento údaj vyplněn, použije se přihlašovací jméno do programu PREMIER system. V prohlížených dokumentech lze pak najít autora ve vlastnostech dokumentu.

Zakódování heslem

Další možnost zabezpečení dokumentu, kde se vyskytují osobní nebo citlivější údaje, je zakódovat exportované dokumenty z programu PREMIER system ve formátu PDF, DOC, DOCX, XLS, XLSX, XML. Původně toto šlo pouze u exportovaných dokumentů ve formátu PDF. Dokument následně při otevření bude po uživateli vyžadovat heslo. Ve "Správci - Předvolbách - Uživatelských - Volby pro síť/tisk/export" lze trvale přednastavit heslo pro exportované doklady a heslo pro exportované seznamy/přehledy, čímž lze práci se zabezpečením dokumentů maximální zjednodušit a není nutné hesla vypisovat opakovaně.

Mzdy a GDPR

Rovněž ve mzdovém modulu programu PREMIER system je možné nalézt nástroje pro efektivní plnění ochrany osobních údajů, které budou dále v nejbližší době doplňovány.

Souhlas se zpracováváním osobních údajů

Ve mzdách je možné vytisknout "Souhlas se zpracováním osobních údajů" zaměstnance v souladu s GDPR.

Obecně lze říci, že souhlas nevyžaduje evidence těch osobních údajů, které vyžaduje "splnění právní povinnosti" - tj. zákoník práce, zákon o daních z příjmů, zákon o nemocenském pojištění atd., pokud však evidujete i další osobní údaje, pak je již souhlas nutný.

V případě, že u zaměstnance evidujete i další osobní údaje - např. v souvislosti s evidencí průchodů do budovy zaměstnavatele apod, - tj. údaje, ke kterým je nutné mít souhlas, můžete tento souhlas vytisknout takto:

do příslušných polí doplníte rozsah, účel a dobu platnosti zpracování a následně zvolíte tisk.


Výplatní lístky chráněné heslem

V souvislosti s ochranou osobních údajů je možné chránit heslem odesílané výplatní lístky.  Nastavením hesla zajistíte, aby k danému výplatnímu lístku měl přístup pouze dotyčný zaměstnanec. Heslo je možno na kartě zaměstnance nastavit dvěma způsoby:

  1. Zadat ručně -  na kartě zaměstnance se do pole "Heslo" vyplní heslo, na kterém se uživatel dohodl se zaměstnancem. Heslo se bude objevovat uživateli s přístupem do personalistiky.
  2. Vygenerovat heslo automaticky - program vygeneruje náhodné heslo o délce 5 alfanumerických znaků a toto heslo zašle pomocí SMTP na emailovou adresu zaměstnance. To vše stisknutím tlačítka "Generovat". Toto heslo pak bude znát pouze daný zaměstnanec, neboť takto vygenerované heslo nebude přístupno uživateli mezd.

    Další informace ohledně výplních lístků chráněných heslem se dozvíte zde.

Bezpečnost dat v PREMIER system


Verze Smart-klient – jedná se o technologii file-server. Zabezpečení je řešeno ověřením uživatelského hesla a systémem nastavení přístupových práv a omezujících předvoleb, které jsou propracovány až na úrovneň jednotlivé operace.

Verze Enterprise SQL – databáze v technologii klient-server, kdy data uložena v MS SQL serveru jsou pro uživatele nedostupná. Tímto jsou citlivá data vysoce chráněna proti poškození a neoprávněnému přístupu.

PREMIER Outsourcing – nejvyšší stupeň zabezpečení, data jsou na mimofiremním serveru a pro vybrané uživatele jsou data zcela nedostupná.

Více informační o ochraně dat se dozvíte zde.