Soulad pravidel GDPR v systému WinShop SQL

Obecně o GDPR

GDPR = Směrnice NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji - zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.

GDPR začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Zákon o ochraně osobních údajů po jeho novele bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. U některých aspektů dokonce Obecné nařízení předpokládá vnitrostátní úpravu. Mezi ně patří například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby.

Dosud byl v oblasti ochrany údajů hlavním českým regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ), který by měl v této funkci zůstat i nadále. Přibydou mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li pak jakákoli pochybnost o rozhodnutí českého regulátora, vždy zde bude existovat možnost obrátit se na EDPB s odvoláním

Role WinShop software s.r.o.

Umožnit nastavit provozovateli Winshop SQL a zajistit soulad s ustanoveními NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Dále jen (NAŘÍZENÍ GDPR). V této souvislosti bude nutné mezi Winshop software a provozovatelem zrevidovat stávající smlouvu o servisní podpoře a upravit tak vzájemný vztah související s touto problematikou.

Role provozovatele (uživatele) systému Winshop SQL

Pro provozovatele systémů WinShop (z hlediska ustanovení NAŘÍZENÍ GDPR se jedná o správce
osobních údajů) jsou v nových verzích systému WinShop připraveny úpravy, které umožní individuálně nastavit a redukovat tak přístup k osobním údajům pouze pověřeným uživatelům, kteří mají oprávněný zájem nakládat, nahlížet, editovat, pracovat s redukovaným seznamem osobních údajů fyzických osob, která potřebují z důvodu svých pracovních povinností.

Evidované osobní údaje v systému Winshop SQL

Systém WinShop ve svých databázích pracuje s číselníky odběratelů, dodavatelů a zákazníků. V případě, pokud v záznamech těchto číselníků figurují i fyzické osoby, je potřeba s takovými záznamy nakládat v souladu s NAŘÍZENÍ GDPR. Systém WinShop umožňuje evidovat ve svých číselnících u fyzických osob tyto Osobní údaje:

  • jméno a příjmení,
  • adresa, bydliště, doručovací adresa,
  • datum narození, rodné číslo,
  • fotografický záznam,
  • e-mailová adresa,
  • telefonní číslo,
  • IČ, DIČ, OP (číslo občanského průkazu),
  • RČ (rodné číslo),
  • související evidované doklady- především informace o jednotlivých nákupech)

Nastavení systému Winshop SQL

Obecná nastavení systému Winshop Sql

V rámci Winshop SQL se nařízení GDPR týká pouze fyzických osob, tedy je ze strany uživatele Winshop SQL velmi důležité jednotlivé zákazníky (dodavatele, odběratele apod.) označit jako Fyzická osoba (viz obrázek) , jinak se jej restrikce a nastavení systému nedotknou.

V případě, že je zákazník označen jako fyzická osoba, je potřeba určit, zda má zpracovatel se zákazníkem platné oprávnění k evidenci osobních údajů. K tomu slouží na kartě zákazníka zaškrtávátko GDPR oprávněný souhlas. Pokud toto pole není zaškrtnuto, pak bez ohledu na práva a nastavení šablon GDPR údaje o zákazníkovi systém nezobrazí (půjde vyhledávat tzv. naslepo). Pokud pole zaškrtnuté bude, tedy zpracovatel má u konkrétní fyzické osoby vyjádřený souhlas se zpracováním osobních údajů, pak uživatelé Winshop SQL uvidí jeho údaje podle nastavení oprávnění svých GDPR šablon (viz níže).

Uživatelský účet GDPRADMIN

V uživatelských právech je nové právo GDPR ADMIN :

uzivatelsky-ucet-gdpradmin.webp

jehož zaškrtnutím dostane příslušný uživatel přístup do administrátorské sekce nastavení oprávnění GDPR:

system-gdpr.webp

Vytvoření šablon GDPR

V sekci SKLAD -> Systém -> GDPR -> Administrace přístupových šablon je uživateli s GDPR oprávněním zakládat, měnit a mazat šablony práv.

administrace-prostupovych-sablon.webp

Šablony GDPR práv podle svého nastavení umožňují přiřazeným uživatelům operovat s daty fyzických osob podle definice šablony. Je tedy možné pro jednotlivé skupiny uživatelů nastavit vlastní šablony s různými druhy oprávnění (typy akcí = založení, změna, výmaz, viditelnost, trvalý výmaz z databáze, důvod přístupu) k jednotlivým položkám osobních údajů v číselníku uživatelů, vyjmenovaným výše. K jednotlivým šablonám jsou přiřazeni konkrétní uživatelé Winshop SQL a tím jsou pro ně v systému definována příslušná GDPR práva. Položky (pole u kontaktu) podléhající GDPR jsou dodány ve verzi Winshop, není možné je uživatelsky přidávat, jejich přidání bude vždy začleněno do nové verze programu Winshop SQL.

gdpr-nastaveni-sablony.webp

Nepřiřazení uživatelé k šablonám

Uživatelé, kteří nebudou správcem přiřazeni k jedné ze šablon GDPR systém ověří ale jejich GDPR oprávnění bude bez přístupu k údajům . Toto platí i pro servisní přístupy zaměstnanců Winshop SQL.

Doplnění standardních uživatelských práv Winshop SQL

Uživatelská práva byla doplněna o právo GDPR kopírovat datagridy.

gdpr-kipirovat-datagridy.webp

Uživatelům bude defaultně zakázáno pořídit otisk dat pomocí klávesových zkratek CTLR+A and CTRL + C, a nebude tak umožněno ručně kopírovat datagridy např. do jiných MS aplikací (Excel, Word apod.)

Dále byla uživatelské práva doplněna o právo exportu dat. Uživatelé bez vazby na šablonu s příslušným oprávněním nemohou provést export záznamu/záznamů/tiskové sestavy do jiných systémů.

Nová licenční politika

GDPR řešení je podmíněno instalací nové verze Winshop SQL s označením GDPR READY jak všech backoffice tak na všech pokladnách. Abychom předešli případným neautorizovaným přístupům k GDPR citlivým datům prostřednictvím různých starších verzí Winshop SQL, sjednocujeme touto verzí licenční politiku a tedy funkčnost Winshop SQL ve vazbě na konkrétní PC – tedy funkčnost bude omezena na zákazníkem definované a ve společnosti Winshop evidované PC. Případné reinstalace či nové instalace bude nutné předem hlásit na Winshop helpdesk nebo administrativní oddělení, kde bude PC adresa vyřazena / vyměněna / zaevidována nová. Na nezaregistrovaném PC nebude možné Winshop SQL GDPR READY spustit. Verze GDPR READY budou všechny verze od 25.5.2018. Do budoucna chystáme uživatelský nástroj k uživatelskému přesunu volné licence na jiné PC.

Konkrétní cenu upgrade na verzi GDPR READY a další náklady ( námi doporučené školení a pomoc při nastavení) domluvíte na základě vaší žádosti s naším obchodním oddělením.

Nové funkčnosti WINSHOP SQL

Logování přístupů k citlivým datům

Winshop SQL GDPR READY loguje všechny přístupy k GDPR citlivým údajům. Předmětem zápisu je mimo jiné: datum+čas, identifikace uživatele a PC, popis akce, typ akce (vložení, viditelnost údajů, editace, smazání, oprávněnost požadavku atd.)

Evidence a automatické hlášení o neautorizovaných přístupech

V případech neautorizovaného požadavku (viz předchozí bod) Winshop SQL automaticky odešle mail GDPR Administrátorovi s upozorněním, že došlo k pokusu o neautorizovaný přístup k GDPR citlivým údajům.

Umožnění trvalého výmazu osobních dat z databáze – právo být zapomenut

Jedním ze zásadních GDPR práv zákazníka - fyzické osoby je právo být zapomenut. V aplikaci Winshop SQL GDPR READY na kartě zákazníka, volbou pravá myš - aplikovat právo být zapomenut dojde k trvalému a nevratnému přepisu GDPR citlivých dat tak, aby nebylo možné zákazníka nadále identifikovat.

Výmaz-přepis dat se provede v takovém rozsahu, který odpovídá oprávněnému vyššímu zájmu (daňové doklady, povinná evidence státních institucí a zákonem stanové evidence)

Šifrování/zabezpečení komunikace – mezi-serverové přenosy dat.

Šifrování přenosů dat není nutnou podmínkou zajištění splnění požadavků nařízení GDPR. Winshop SQL bez ohledu na nutnost podmínky zajistil provozovatelům možnost VPN připojení, tedy je pouze na provozovateli, zda tuto nabídku využije či nikoliv. V případě, že takovou komunikaci vyžadujete, kontaktujte prosím naše obchodní oddělení.

Externí připojení k databázi / externí excelové sestavy a kontingenční tabulky

Externí připojení k databázi mimo aplikaci Winshop SQL není možné prostřednictvím aplikace Winshop SQL monitorovat. Přístup k datům je chráněn vždy uživatelským jménem a heslem, které je v databázi uloženo s právy vidět GDPR citlivé informace. Je tedy pouze na poskytovateli, jakým uživatelům toto jméno a heslo poskytnou, a tedy kdo bude mít k takovýmto údajům přístup. Winshop SQL důrazně doporučuje restrikci na straně provozovatele formou interního předpisu.

Přístup servisní organizace na úrovni SQL serveru

Každý pracovník servisní podpory společnosti WinShop má svůj unikátní přístup k databázi přiděleného klienta s platnou servisní smlouvou přístup, se kterým provádí veškeré servisní zásahy, vždy pouze na vyžádání a s vědomím klienta. Pracovníci servisní podpory jsou proškolení a seznámení s interní směrnici, která stanovuje pravidla pro poskytování servisních zásahu v souladu s ustanoveními nařízení GDPR a musí pořídit ruční zápis do logu (prostřednictvím aplikace Winshop SQL) a splnit tak informační povinnost.