Modul GDPR je nástroj pro podporu řešení ochrany osobních údajů v rámci interních podnikových směrnic a procesů při plnění Obecného nařízení o ochraně osobních údajů. Modul na jednom místě zobrazuje data fyzických osob a související evidenci a umožňuje vyhledání dat podle zadaných osobních údajů.
Vlastní implementaci ochrany dat v podniku modul GDPR nenahrazuje stejně jako nepodporuje vedení záznamů o činnostech zpracování a osobních údajů mimo data Notia Business Server.
¶ Osobní a citlivé údaje v NBS
V Notia Business Server jsou evidovány osobní údaje u obchodních partnerů, fyzických osob, u osob – pracovníků obchodních partnerů a u vlastních pracovníků. Citlivé údaje se v NBS neevidují.
Kromě strukturované evidence primárně navržené pro evidenci údajů fyzických osob jsou v praxi některých podniků vepisovány osobní údaje do poznámek dokladů, ukládány v dokumentech příloh apod.
¶ NBS a modul GDPR v ochraně osobních údajů podniku
- Práce s osobními údaji v NBS by měla být omezena interními normami ochrany osobních údajů. Mimo jiné by měly:
- stanovit pravidla pro zápis osobních a/nebo citlivých údajů mimo pole pro to určená a do příloh,
- definovat lhůty pro uchování osobních údajů v konkrétních procesních případech,
- popsat výmaz a anonymizaci osobních údajů a podmínky jejich provedení.
- Modul GDPR je nástroj pověřence pro ochranu osobních údajů (DPO) a případně dalších osob v podniku pro:
- Zaznamenání získaného souhlasu se zpracováním.
- Evidenci lhůty zpracování u každé osoby.
- Vyhledání dat konkrétní osoby.
¶ Jak začít s modulem
¶ Nastavení
Lhůta pro zpracování je dána procesně nebo získaným souhlasem, případně kombinací. V parametrech systému se v souladu s interní normou a příslušnou např. daňovou legislativou nastaví pro každý případ lhůta uchování osobních údajů.
U konkrétní osoby se v konkrétním případě podle těchto parametrů doplní lhůta. Např.: Pro zpracování poptávky bude nastavena lhůta 3 měsíce. Při přijetí poptávky se pro údaje osoby z poptávající firmy nastaví lhůta 3 měsíce od data přijetí poptávky. Pokud by došlo k objednání, prodlouží se termín uchování o lhůtu spojenou s realizací obchodního případu.
¶ Parametry
Systémové parametry týkající se modulu GDPR začínají v kódu písmeny GDPR_.
Těmito parametry je možné nastavit počet dnů pro jednotlivé evidence, které se budou automaticky přičítat k datu posledního dokladu daného partnera v určené evidenci a budou tak stanovovat nejzazší datum jako lhůtu uchování osobních údajů.
GDPR_NAB_LHUTA – výchozí počet dnů období pro uchování osobních údajů od posledního dokladu v evidenčním modulu Nabídky (defaultní hodnota je 1800)
GDPR_OBJP_LHUTA – výchozí počet dnů období pro uchování osobních údajů od posledního dokladu v evidenčním modulu Prodej – přijaté objednávky (defaultní hodnota je 1800)
GDPR_OBJV_LHUTA – výchozí počet dnů období pro uchování osobních údajů od posledního dokladu v evidenčním modulu Nákup – vydané objednávky (defaultní hodnota je 1800)
GDPR_POHL_LHUTA – výchozí počet dnů období pro uchování osobních údajů od posledního dokladu v evidenčním modulu Pohledávky (defaultní hodnota je 1800)
GDPR_POKL_LHUTA – výchozí počet dnů období pro uchování osobních údajů od posledního dokladu v evidenčním modulu Pokladna (defaultní hodnota je 1800)
GDPR_ZAL_LHUTA – výchozí počet dnů období pro uchování osobních údajů od posledního dokladu v evidenčním modulu Zálohy (defaultní hodnota je 1800)
GDPR_ZAV_LHUTA – výchozí počet dnů období pro uchování osobních údajů od posledního dokladu v evidenčním modulu Závazky (defaultní hodnota je 1800)
GDPR_LHUTA_BEZ_SOUHLASU – výchozí počet dnů k automatickému nastavení lhůty uchování osobních údajů při aktualizaci s variantou bez evidovaného výslovného souhlasu (defaultní hodnota 365)
GDPR_LHUTA_SE_SOUHLASEM – výchozí počet dnů k automatickému nastavení lhůty uchování osobních údajů při aktualizaci ve variantě s evidovaným výslovným souhlasem (defaultní hodnota 1800)
¶ Číselníky
¶ Dokumenty – způsoby vzniku
Číselník se způsoby získání výslovného souhlasu. Obsahuje předvyplněné základní způsoby a je možné další doplňovat podle pravidel uživatele.
¶ První spuštění
¶ Aktualizovat data
Při prvním otevření modulu je seznam osob prázdný. Prvním použitím funkce Aktualizovat data (z menu GDPR hlavního okna) se naplní záznamy evidence fyzických osob. Změny provedené u osob v rámci celého systému NBS od této chvíle se projeví až po další aktualizaci. Aktualizace dat při prvním zpuštění může trvat delší dobu (v závislosti na velikosti databáze).
Spuštěním funkce z menu GDPR se aktualizují data v GDPR evidenci osob a obchodních kontaktů (s příznakem fyzická osoba) podle aktuálních údajů v evidenci Obchodních kontaktů, číselníků a podle všech údajů evidenčních modulů v systému.
Zároveň se dopočítává nejzazší lhůta pro výmaz údajů jako nejvyšší datum vzniklé připočtením dnů ze systémového parametru GDPR_ k poslednímu dokladu daného partnera v příslušném evidenčním modulu.
¶ Práce s modulem GDPR
¶ Vyhledání osoby
V hlavním okně je zobrazen seznam všech v systému evidovaných osob a firem označených jako fyzické osoby.
U každé osoby, resp. obchodního partnera – fyzické osoby je v modulu evidováno:
- Souhlas – datum, kdy byl získán souhlas s evidencí osobních údajů. Lze měnit pouze funkcí „Získání výslovného souhlasu“, při které se zároveň eviduje doklad souhlasu (viz níže).
- Lhůta pro výmaz osobních údajů – je možné nastavit ručně, nebo se dopočítává automaticky při funkci Aktualizovat data na základě aktuálně uložených evidenčních dokladů a nastavených systémových parametrů GDPR (viz dále).
- Účel – textový popis účelu evidence.
- Poznámka – textová poznámka k evidenci údajů.
- Vyhledat shody – tlačítko pro zobrazení všech míst v systému, kde se daná osoba/partner vyskytuje (viz dále).
- Přílohy související s evidencí osobních údajů (lze uložit soubory v jakémkoliv formátu, které nějak dokládají oprávněnost evidence osobních údajů dané osoby) – viz kapitola Záložky dále.
Záložky:
- Adresy – všechny adresy spojené s danou osobou / obchodním partnerem.
- Spojení – zobrazuje se seznam všech spojení různého typu, která jsou evidována u dané osoby / obchodního partnera .
- Souhlasy – seznam evidovaných výslovných souhlasů získaných od dané osoby/partnera a zaevidovaných dokladem Získání výslovného souhlasu.
- Doklady – seznam všech dokladů v evidenci NBS, na kterých se daná osoba/partner vyskytuje. Rozkliknutím lze zobrazit původní doklad z příslušné evidence NBS.
- Přílohy – zobrazují se všechny přílohy evidované v modulu GDPR u dané osoby/partnera. Je možné zde přidávat další. Funguje stejně, jako přílohy kdekoli jinde v NBS.
- Žurnál – zobrazuje se zde historie všech operací, které se prováděly u dané osoby/partnera v modulu GDPR.
¶ Tlačítko Vyhledat shody
Dohledají se v databázi celého systému NBS shody, tzn. zobrazí se všechna místa v evidenčních modulech, kde je uložen nějaký osobní údaj vybraného partnera.
¶ Zaznamenání souhlasu
¶ Funkce Získání výslovného souhlasu
Funkce slouží k evidování dokladu o získání výslovného souhlasu s evidencí osobních údajů v systému. V dialogovém okně funkce je možné vyplnit Způsob souhlasu (vybírá se z číselníku)
Touto funkcí lze nastavit datum souhlasu a datum lhůty pro výmaz bez ohledu na další funkce a údaje v evidenci systému.
¶ Odebrání souhlasu se zpracováním
Provádí se funkcí Odebrání souhlasu se zpracováním – včetně autom. přepočtu lhůty podle pravidel.
Vybrané osobě/partnerovi vymaže hodnotu data získání souhlasu v záznamu evidence GDPR. Nedojde k vymazání žádného dokumentu o získání souhlasu. Pouze se vymaže datum souhlasu a nastaví se datum lhůty pro výmaz podle aktuálního pravidla pro nevyplněné datum souhlasu.
Přestane se tím automaticky aktualizovat lhůta pro výmaz podle nastavených parametrů pro jednotlivé evidenční doklady NBS.
Tato funkce je hromadná, tzn. lze jí použít na více označených záznamů v evidenci.
¶ Funkce Nastavit lhůtu pro výmaz
Slouží k ručnímu nastavení lhůty uchování osobních údajů hodnotou Do data.
Pokud však existuje pro daného partnera nějaký doklad v evidenci, nebo se nějaký doklad zaeviduje, začne se datum lhůty pro výmaz automaticky modifikovat při funkci Aktualizovat data podle nastavených pravidel lhůty pro výmaz a parametrů počtu dnů pro jednotlivé evidence (viz výše).
¶ Aktualizovat data
Spuštěním této funkce se aktualizují data v GDPR evidenci osob a obchodních kontaktů (s příznakem fyzická osoba) podle aktuálních údajů v evidenci Obchodních kontaktů, číselníků a podle všech údajů evidenčních modulů v systému.
Zároveň se dopočítá nejzazší lhůta pro výmaz údajů jako nejvyšší datum vzniklé připočtením dnů ze systémového parametru GDPR_ k poslednímu dokladu daného partnera v příslušném evidenčním modulu.
¶ Další možnosti
¶ Dokumenty – souhlasy
Zobrazí se seznam všech evidovaných dokumentů, které mají výslovný souhlas. Zde je možné dokumenty upravovat, doplňovat přílohy a mazat.
¶ Nástroj pro dohledání a výmaz údajů z evidence
Volbou v menu Zobrazit – Dohledání všech údajů a výmaz se otevře speciální okno s nástrojem pro snadnější dohledání partnera podle vybraných údajů a následné zobrazení všech údajů, které se o dohledaných partnerech/osobách evidují v systému.
- Sekce pro zadání parametrů hledání osob a obchodních partnerů:
- Jméno
- Příjmení
- Tlačítko Vyhledat
- Sekce pro výběr dohledaných osob a partnerů
- Dohledané osoby
- Dohledaní partneři
- Tlačítka šipek výběru (přesun z leva doprava, do části s vybranými osobami a partnery)
- Vyhledat shody
Výsledek tlačítka Vyhledat shody se ukáže v dalším okně.
V horní části okna jsou vypsána výběrová kritéria, za kterých byla shoda dohledána, a podle kterých se zobrazují výsledky v seznamu níže.
¶ Výmaz a anonymizace
Modul GDPR zatím výmaz ani anonymizaci neřeší. Předpokládáme, že obě funkce s určitou mírou automatizace zařadíme v budoucnu podle zkušeností z praktického používání.
Výmaz dílčích dat, který může fyzická osoba požadovat (telefon, email…) stejně jako celého záznamu u osoby – pracovníka obchodního partnera lze provést standardními funkcemi NBS.
Výmaz obchodních partnerů, u nichž je dokladová vazba, možný není. Lze provést pouze anonymizaci záměnou příslušných údajů.