Solitea, a.s. | 10. 05. 2018
Přehled novinek ve verzi 1.9.4.5288 zavedených do Money od verze 1.9.3.5252.
Téma GDPR (obecné nařízení o ochraně osobních údajů) rezonuje v posledních dnech naplno. GDPR představuje nový právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Záměrem zákonodárců bylo dát evropským občanům větší kontrolu nad tím, co se s jejich daty děje. GDPR se tedy dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.
Nová verze ERP Money proto obsahuje samostatně prodávaný modul GDPR s řadou funkcí a nástrojů, které vám pomohou všechna opatření směrnice vyřešit.
Na konferencích o GDPR, které jsme uspořádali v březnu tohoto roku, jsme účastníkům představili připravovanou funkčnost a její zdůvodnění z hlediska výkladu směrnice. Jednu z konferencí jsme natočili a vy se na video můžete podívat. Záznam je určen výhradně pro uživatele ERP Money. Pro spuštění budete potřebovat vložit PIN vašeho ERP Money. Ten najdete v pravém dolním rohu svého Money.
Nový modul vám umožní používat ERP Money v souladu se směrnicí GDPR tak, abyste dostáli všem legislativním požadavkům. Nabízí k tomu následující nástroje:
V následujících kapitolách si výše uvedené novinky a funkčnosti vysvětlíme podrobně.
ERP Money pracuje s mnoha osobními údaji, které je nutné zabezpečit a případně dál sledovat, co se s nimi děje. Takové údaje jsou v Money uložené hlavně v seznamech modulů Adresář, Personalistika a Mzdy, avšak tyto seznamy dál využívá mnoho dalších částí systému – především všechny typy dokladů, ale i další seznamy, jako je Katalog, Zakázky, Kniha jízd aj. V programu jsme proto označili všechna místa, kde se osobní nebo citlivé údaje vyskytují. Jejich přehled si zobrazíte nabídkou Osobní údaje (Administrace / GDPR).
Na kartě vidíte přehled položek Navigátoru s označením těch, které obsahují osobní či citlivé údaje. Tlačítkem Osobní údaje si můžete výběr zúžit jen na problematické položky.
Samostatnou nabídkou menu Tisk osobních údajů (Administrace / GDPR) si pak tento podobný výpis položek s osobními údaji můžete vytisknout nebo exportovat. V průvodci si volíte ze dvou variant:
Důležitým požadavkem je potřeba omezit či kontrolovat hromadný export dat ze systému. Jednotliví uživatelé mohou mít potřebu například odeslat doklad ve formátu PDF, ale již není nutné, aby měli možnost provádět hromadný export. Proto jsme do nastavení Uživatelských rolí (Administrace / Přístupová práva) přidali možnost povolit/zakázat export dat z jednotlivých seznamů. Uživatelé, kteří nemají zatržené pole ve sloupci Export u konkrétního seznamu (např. Adresář nebo Faktury vydané), nemohou provést Export do MS Outlook, Export do Excelu, vytvořit PDF a další výstupy. Omezena je také možnost kopírovat data z náhledu tiskových sestav.
Karta Role obsahuje i samostatnou volbu Export dat, kterou se dá povolit/zakázat možnost hromadného exportu pro všechny tiskové sestavy v agendě.
Jednoznačnou identifikaci subjektu osobních údajů umožňuje zobrazení jména a spojení na kartách Pracovníků, kde je proto vhodné omezit oprávnění uživatelů na editaci těchto polí. Proto jsme na kartu Role přidali možnost omezit čtení a zápis u Spojení v nastavení Pole v kartě nad položkou Pracovníci.
Zvýšit bezpečnost přihlašování do systému ERP Money můžete pomocí externího Identity Management Systemu, například pomocí Active Directory nebo dalších systémů využívajících protokol LDAP. Nastavení provedete na kartě Konfigurace autentizace v menu Administrace / Přístupová práva.
Po uložení takto nastavené karty Konfigurace autentizace proběhne kontrola údajů. Pokud nebude možné parametry externího nastavení ověřit, zobrazí se varovné hlášení a konfigurace se neuloží.
Po úspěšném uložení musíte příslušné Externí označení role přidělit na jednotlivé karty Rolí. Položku externího označení vyhledáte v roletové nabídce (při větším počtu položek můžete hledaný text zapsat do vyhledávacího okna).
Nakonec je potřeba na kartě Uživatele zatrhnout pole Externí autentizace. Uživatel s tímto nastavením pak bude vždy ověřován v externím Identity Management Systemu a pro vstup do Money bude moci používat své obecné přístupové heslo (do operačního systému, MS Office365 apod.).
Běžným uživatelům ERP Money se dá nastavit oprávnění tak, aby mohli provádět výhradně jen operace, které spadají do jejich kompetence. Nadále však bude v systému pracovat řada uživatelů, kteří mají vysokou úroveň přístupových práv a v ERP Money mají povoleno používat velký rozsah funkcí – typicky administrátoři nebo účetní. Pro lepší zabezpečení jejich přístupu do systému můžete na kartě Uživatele (Administrace / Přístupová práva) nastavit volbu Síla hesla, a to na úroveň Nízká, Střední a Vysoká. Při variantě Vysoká se zpřístupní tlačítko Nastavení síly hesla, kde se dá zadat délka a obsah povinných znaků.
ERP Money může evidovat v seznamu Historie akcí (Administrace) všechny úkony, které se v agendě uskuteční. Zpětně se zde pak dá dohledat, kdy, kdo, jakou akci a s jakou úspěšností vykonal. V Průvodci nastavením agendy se v záložce Agenda určí Typ logování, tedy jak moc podrobná má tato evidence být. Původní typy Základní, Archivované a Podrobné byly rozšířeny o dvě nové položky:
Záložka Výchozí konfigurace pro historii akcí GDPR se objeví po volbě typu logování GDPR (optimum) na kartách Nastavení seznamu (Agenda / Nastavení skupin a seznamů) u všech seznamů, kterých se logování tohoto typu má týkat. V záhlaví karty si můžete určit, zda kromě Načtení objektu, Smazání a Uložení chcete logovat také Zobrazení záznamu, Tisk, Export do XML nebo Export do Excelu. Záložka dále obsahuje seznam atributů objektů, které jsou označené jako osobní údaje. Pro všechny zde zatržené objekty se budou na kartě Historie akcí v záložce Podrobnosti evidovat sledované úkony. Vhodným výběrem logovaných údajů tedy můžete výrazně snížit objem evidovaných záznamů a tím i velikost databáze.
Zatížení databáze můžete snížit pravidelným převodem evidovaných dat do archivu mimo Money. V menu Administrace si na kartě Řízení systému můžete nastavit režim odesílání e-mailových upozornění v případě, kdy počet záznamů přesáhne zadanou hranici. Přímo z karty Řízení systému pak lze tlačítkem Spustit průvodce otevřít průvodce Údržbou databází, kde program nabízí okamžité provedení exportu a smazání historie akcí do zvoleného úložiště.
Při větším počtu uživatelů a podrobném způsobu logování se však může generovat takové množství záznamů, které neúměrně zvětší velikost databáze. Proto byla do systému ERP Money přidána možnost logování v externím logovacím systému. Tím může být aplikace Syslog, což je standard pro záznam programových zpráv umožňující oddělit data agendy od databáze se záznamem historie. Nastavení externího logovacího systému je dostupné v Průvodci nastavením programu v záložce Agenda.
Aby bylo možné bezpečnostní incidenty sledovat, lze nad Historií akcí pro jednotlivé moduly programu vytvořit v menu Nastavení incidentů (Administrace / GDPR) speciální automatické akce. Za bezpečnostní incident lze považovat například chybné přihlášení, export dat do XLS nebo XML, odeslání e-mailů, tisk souboru atd.
Dále lze hlásit také:
Nastavení karty bezpečnostního incidentu vychází z funkčnosti Automatických akcí. Ve chvíli, kdy dojde k zápisu záznamu do Historie akcí a tento záznam současně splňuje podmínky zadané v Nastavení bezpečnostního incidentu, spustí se automatická akce odeslání e-mailu s hlášením o bezpečnostním incidentu.
Příklad: Na kartě Nastavení bezpečnostního incidentu si zvolte, který Typ akce budete sledovat (v níže uvedeném obrázku se jedná o Export do XLS). V tomto případě je také vhodné stanovit, jaký typ (objem) exportu budete již považovat za bezpečnostní incident – na obrázku je to export z Adresáře, který obsahuje více jak 10 řádků záznamů. Pro odesílání zpráv o bezpečnostních incidentech je nutné použít akci S5MailAutomat z modulu Ekonomické jádro. Vlastní podrobnosti e-mailového spojení (cílová adresa, text a hlavička zprávy, typ zprávy atd.) zadejte na kartě Nastavení automatického odeslání pošty, kterou otevřete tlačítkem Konfigurace.
Subjekt, o kterém jsou vedeny údaje, má právo vznést námitku ohledně zpracování osobních údajů, námitku proti automatizovanému zpracování, přímému marketingu atd. Některé námitky nemusí správce/zpracovatel akceptovat, některé musí akceptovat automaticky. Do vyřešení námitky dochází k tzv. omezení zpracování, kdy podle výkladu GDPR stačí mít subjekt označený, ale ze systému nemusí být zatím vymazán. Dále musí být po dobu omezení zpracování zajištěno, že se údaje subjektu nemění.
V případě, kdy subjekt údajů uplatní právo na omezení zpracování, uživatel může nastavit jeho záznam jako skrytý nebo jej může uzamknout. Proto byly do místní nabídky seznamu Firem, Osob a Pracovníků přidány volby:
Pokud subjekt osobních údajů požádá o výmaz, je potřeba ověřit, zda neexistuje jiný právní titul, proč se mají jeho osobní údaje evidovat (například zákonný, smluvní nebo oprávněný zájem). Pokud takový jiný právní titul existuje, správce musí subjekt údajů o tomto stavu věci informovat a současně evidovat, že jej informoval. V případě oprávněného zájmu musí také provést hodnocení, zda nad jeho oprávněným zájem nepřevyšují práva subjektu údajů.
Pokud však žádný důvod, proč by měly být údaje dále evidovány, neexistuje, máte za povinnost údaje ze systému odstranit – anonymizovat. V ERP Money je k tomu v nabídce Adresář / Osobní připraven nástroj Anonymizace. Nový nástroj Anonymizace je po aktualizaci systému přístupný všem uživatelům a proto je nutné provést úpravu uživatelských oprávnění a rolí. Po otevření karty Anonymizace je vhodné nejprve v Konfiguraci nastavit, jakým způsobem se mají anonymizované údaje nahradit:
Po nastavení konfigurace je potřeba v roletové nabídce zvolit, kde se má požadovaný subjekt vyhledat:
Poté se tlačítkem Vyhledání subjektu zobrazí karta Vyhledání subjektu pro anonymizaci:
Po zadání hodnot a uložení karty Vyhledání subjektu pro anonymizaci program v Navigátoru na kartě Anonymizace zvýrazní všechny seznamy, ve kterých se subjekt vyskytuje, a u každého uvede i celkový počet záznamů – na následujícím obrázku vidíte u seznamu Účetní deník uvedený počet 6/6, což znamená, že existuje celkem 6 zápisů s hledaným subjektem, z toho 6 nesmazaných. Jednotlivé karty si můžete na pravé straně okna otevřít a prohlédnout.
Po stisku tlačítka Anonymizace bude subjekt ihned anonymizován ve všech uvedených dokladech a záznamech. Současně bude anonymizován také v souvisejících kartách, které jsou na těchto záznamech uložené ve žlutě označených polích – typicky se jedná např. o kartu Zakázky, která je uložená na anonymizované Faktuře vydané (viz následující obrázek).
Průběh anonymizace se zapíše do protokolu, který doporučujeme uložit.
Subjekty údajů jsou evidovány v adresáři Firem – jsou to všichni dodavatelé, odběratelé, pracovníci personalistiky, zaměstnanci pro zpracování mezd atd. Správce/zpracovatel musí se subjektem údajů při uplatnění jeho práv spolupracovat a musí mu poskytovat všechny potřebné informace související se zpracováním jeho osobních údajů. Právo subjektu údajů na přístup k osobním údajům spočívá v tom, že mu správce musí na požádání poskytnout kopii zpracovávaných osobních údajů a další informace související se zpracováním. Předmětem práva na přístup jsou všechny zpracovávané osobní údaje týkající se subjektu údajů, a to i údaje, které vytvořil správce/zpracovatel vlastní činností.
V ERP Money je právo subjektu údajů na přístup k osobním údajům realizováno formou tiskových sestav, které je možné předat subjektu údajů v tištěné podobě, jako PDF přílohu e-mailu apod. Jedná se o následující sestavy, které nad níže uvedenými seznamy najdete v nabídce tlačítek Tisk, Náhled, PDF a Mail, případně tvoří samostatnou nabídku menu a uvedené výstupy se připraví pomocí průvodce:
Platí zásada, že osobní údaje mají být uchovávány co nejkratší dobu. Délka uchování záleží zpravidla na legislativních požadavcích – například daňové doklady je nutné archivovat po dobu 10 let a údaje z mezd až 30 let. Osobní údaje evidované na základě jiných oprávněných zájmů (např. obchodní nebo marketingové účely) by měly mít vnitřní směrnicí stanovenou časovou platnost. V ERP Money je možné přiřadit každému subjektu osobních údajů, evidovanému v adresáři, Aktivitu s požadovanou platností. Uživatelé si mohou v menu Seznamy / Adresní nastavit Typy aktivit s různou délkou platnosti.
Příklad: Pro Typ aktivity „marketing“ si zadejte Standardní dobu trvání na hodnotu 2 roky. Ke kartě Firmy příslušného subjektu pak přidejte Aktivitu vytvořenou pomocí tohoto typu. Později pak snadno např. pomocí filtru dohledáte, kdy končí povinnost evidovat příslušnou kartu.
Novinky ve verzi pro tisk si můžete stáhnout zde.
DPH Daň z příjmu Majetkové daně Daň z nemovitosti Daňové přiznání Sociální a zdravotní pojištění