Jak začít - Ochrana dat a GDPR v Funkcionalita související s modulem Ochrana dat se prolíná celým systémem . Jedná se o určitou nadstavbu nad stávajícími agendami, proto se předpokládá, že máte potřebné části systému zprovozněny a umíte je používat (viz kapitoly Jak začít pro jednotlivé oblasti systému ). Kromě ochrany osobních údajů dle nařízení GDPR systém nabízí také obecnou ochranu dat nad rámec GDPR (umožňující chránění obsahu položek ze všech tříd objektů). Této problematiky se v této kapitole dotkneme zatím jen okrajově. Před studiem této kap. doporučujeme se nejdříve seznámit s kap. Řešení ochrany dat a GDPR v ABRA Flores.Implementace ochrany dat dle GDPRCo byste měli provést, pokud chcete rozjet ochranu dat dle GDPR:Jelikož je GDPR aktuálně často diskutované a hledané téma, byl připraven i stručnější návod krok za krokem Ochrana dat dle GDPR - Quickstart. Obsahuje obdobné informace jako tato kapitola, pouze ve stručnější podobě.TODO_GDPR3-časem vyhodit QS a předchozí tipseznámení se s principem Ochrany dat dle GDPR v Ochrana dat dle GDPR umožní znepřístupnit obsah vybraných položek (tzv. chráněné položky) těm uživatelům, kteří nemají oprávnění je zpracovávat (není zákonný ani jiný důvod, aby taková data viděli či je měnili), u těch záznamů těch subjektů, k jejichž datům není žádné platné povolení ke zpracování (čtení, zápisu). Chráněné položky budou zakryty zástupnými znaky (*****). Ochrana obsahu položky se projeví všude, tedy nejen na vstupních formulářích (ať už pevných, definovatelných či variabilních), ale i v def. panelech, skriptech, tiskových sestavách, exportech, přístupu přes API, OLE aj. Příklad, jak se projeví ochrana dat v agendě.Více viz Řešení ochrany dat a GDPR v , zejména sekce Pojetí ochrany dat , Základní chráněné objekty z titulu GDPR, Jak se ochrana dat v projeví vizuálně a kde všude se projeví, Agendy ochrany dat a jejich význam a jiné.Které položky mají být chráněné a kteří uživatelé k nim mají mít oprávnění, si definuje uživatel sám (může ale využít dodávaných vzorů, či se inspirovat v dodávané instalační sadě, viz dále). Základní ochrana je k dispozici zdarma (systémové položky pro adresáře firem, osob, zaměstnanců), na rozšířenou ochranu je třeba licence. Viz též...Často kladené otázky, otázka Potřebuji nějakou licenci na ochranu dat?POZOR...Ochrana dat v nezačne fungovat sama od sebe po instalaci nové verze a ani se nezapne sama od sebe. Aby ochrana dat správně fungovala, musí být uživatelem správně naimplementována (musí být nastaveny číselníky, především definice ochrany dat, v nich nadefinovány množiny chráněných položek a množiny uživatelů majících dané oprávnění, musí existovat seznam povolení ke zpracování dat, pravidla pro jejich generování, aby tato byla průběžně občerstvována/doplňována atd.) Nastavení je jednoduché z hlediska provedení, ale není tak snadné jej vymyslet (jak si správně nadefinovat ony definice právě u vás). Nicméně uživatel si může řídit, kdy ochranu dat zapnout (definice lze zapínat (aktivovat) postupně), což doporučujeme. Tj. po odladění ochrany pro prvních pár položek jej postupně zavádět pro další. Viz dále. V případě velkého problému daného chybným nastavením ji lze (např. dočasně) i vypnout, viz dále.seznámení se s Potencionálními riziky a omezenímViz Často kladené otázky - Rizika spojená s ochranou dat a Omezení a slabá místa ochrany dat v .Zde je to jen proto, aby se to vypíchlo dle přání PETA. Doplnit link na Omezení (příp. upravit i název sekce). Nicméně link odtud by měl být spíše do věcné kapitoly, kde by byla sekce Potencionální rzika a omezení - vhodně přesunout ˇobsahy FAQů a jen navzájem linkovat + do které se postupně bude přidávat dle Bug 52615 - Dokumentovat zajímavosti/slabá místa ochrany dat atd.příprava před zavedením GDPR v Před zahájením evidencí pro účely ochrany dat dle GDPR v systému , je třeba provést řadu přípravných prací, především:Před zahájením použití ochrany dat v je nezbytně nutné podniknout řadu přípravných kroků, které jsou nad rámec vlastního systému , ale bez nichž byste nemohli nařízení GDPR dobře dostát.Jak přistupovat k GDPRGDPR je psáno obecně, aby bylo použitelné v širším rozsahu (různé země, různá specifika). Stanovena je ale zásada, kterou je vhodné při výběru a realizaci opatření také zohlednit. Jde o zásadu přiměřenosti (článek 32 GDPR): Opatření je třeba činit s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob.Kroky před zavedením ochrany dat v (netýkající se )Provést vstupní analýzu pro získání přehledu o stávajícím stavu zpracování osobních údajů. Prověřit existenci, obsah a platnost souvisejících dokumentů (směrnic). Vyhodnotit rozsah zpracovávaných osobních údajů, úroveň jejich ochrany ve vztahu k dosud platné legislativě (zákon na ochranu osobních údajů). Specifikovat účely zpracování, zákonné důvody, v minulosti udělená povolení ke zpracování (většina jich patrně nebude nové legislativě vyhovovat a bude je zapotřebí obnovit, viz níže), způsoby plnění informačních povinností. Vypracovat přehled, kdo a jakým způsobem údaje zpracovává. Obecně prověřit možnosti naplňování požadavků nové legislativní úpravy.Následující body vám mohou být nápomocny:Zanalyzovat a dle potřeby změnit vaše firemní procesy, při kterých se pracuje s osobními údaji, provést výběr řešitele/řešitelů ochrany dat pro jednotlivé oblasti zpracování dat. Je vhodné si projít vlastní firmu, a to jak z pohledu zákazníků, tak z pohledu vlastních pracovníků, a to od prvního kontaktu přes všechny fáze až do ukončení spolupráce. Přitom je vhodné odpovědět si na otázky:Odkud se evidovaná osobní data berou? Kde osobní data získáme, kde všude se pak objevují. Kam putují a v jaké formě.K čemu a jak data používáme? Kdo má k datům přístup? Musí k nim mít přístup každý z našich pracovníků?Opravdu potřebujeme všechna data? Je opravdu potřebné evidovat vše, co evidujeme? Vyžaduje to nějaký náš proces nebo zákon?Kde všude osobní data máme? Např. , ostatní systémy, telefony, tablety, papírové podoby.Jak jsou data zabezpečená? Kdo k nim může? Je potřeba, aby tam měl přístup? Zálohujeme data, jak je záloha zabezpečená? Jsou data dostupná pouze pod heslem? Jsou data uzamčena?V jednotlivých fázích definujte, která data potřebujete evidovat a jak dlouho. Provést si analýzu možných rizik ztráty dat a jejich dopadu, návrhy opatření a provést jejich realizaci. Možné otázky zde:Jak by mohlo dojít k odcizení osobních údajů? A jak velké riziko je?Jsou data na vlastním počítači/serveru? Je zabezpečen, máme aktuální verzi OS, antivir, firewall, šifrovaný disk, dostatečně bezpečné heslo?Je počítač zabezpečen proti ztrátě či zničení? Jaké riziko mi hrozí v případě ztráty či zničení? Mám zálohovaná data? Nehrozí, že by díky odcizení došlo ke zneužití osobních údajů? A jaký by to mělo dopad na subjekt údajů?Kde ukládám papírovou formu dokumentů? Je toto místo zabezpečeno proti přístupu neoprávněných osob? Potřebuji trezor? Kdo všechno má klíče?Vytvořte si např. seznam v tabulce MS Excel, zapište zmapovaná rizika a pro vysoká rizika navrhněte opatření a proveďte jejich realizaci (Zašifrování disků? Výměna klíčů k místnosti se šanony? Pořízení trezoru? Provést revizi a příp. úpravy smluv se svými zaměstnanci, ale i odběrateli, dodavateli, uzavřít zpracovatelské smlouvy se svými zpracovateli. Možné otázky zde:Mám data uložena v cloudu?Předávám osobní údaje jiné společnosti? Např. dopravcům, externím účetním?Zrevidované smlouvy mohou sloužit pro následné automatické generování povolení ke zpracování dat, viz dále.Odstranit evidence s osobními údaji, které nepotřebujeteJedná se o neoprávněně evidované osobní údaje, k jejichž zpracování neexistuje žádný zákonný důvod. Např. různé dokumenty na discích.Sestavit systém hlášení bezpečnostních incidentůPřipravit se na uplatňování práv subjektů osobních údajů. Možné otázky zde:Plním informační povinnost? Jak informuji subjekt údajů o tom, jak zpracovávám osobní údaje? (Např. umístěním dostupné a transparentní informace na své web. stránky.)Od subjektů GDPR sbírat ta povolení ke zpracování dat, u kterých není oprávnění ke zpracování dáno zákonným důvodem, na základě kterého lze povolení ke zpracování dat vytvořit automaticky (podle čl. 6, odst. 1 a) v http://www.privacy-regulation.eu/cs/6.htm). (Ostatní povolení si budete moci nechat vygenerovat později automaticky v systému na základě definovaných pravidel a existujících dat (dokladů, smluv, zaměstnanců aj.)) Možné otázky zde:Co již existující souhlasy? Když dnes odesílám např. newslettery klientům, potřebuji nový souhlas? Zde je třeba posoudit, za jakých podmínek jste souhlas získali a zda není v rozporu s novým zněním obchodních podmínek. Také je vhodné posoudit, o jaké informace se jedná. Např. pokud jde o informaci o vydání nové verze a poskytl vám kontaktní osobu za to odpovědnou, pak by k tomu mělo stačit, že se jedná o vašeho klienta, který zakoupil váš produkt a pak je možné obhájit oprávněnost zaslání takové informace.Nová povolení od obchodních partnerů - u subjektů, kde nemáte žádné povolení nebo kde stávající povolení nevyhoví, začněte povolení sbírat. Povolení od zaměstnanců: Pokud se jedná o údaj, který nemusíte evidovat z titulu zaměstnaneckého poměru - např. použití fotografie, záznamu videa, kde zaměstnanec figuruje apod., pak byste si měli zajistit souhlasy (např. podpisem papírového dokumentu a jeho archivací a následným zadáním do ) a jinéPodnětné informace a tipy naleznete na www.abra.eu v sekci GDPR.Tato přípravná fáze přesahuje rámec systému a systém nemůže tyto činnosti provést za vás. Nicméně je to nezbytnou podmínkou pro to, abyste byli na GDPR řádně připraveni. Obdobně toto platí i v případě, že budete chtít chránit jiné položky v systému z jiného důvodu než GDPR, i když v první fázi využití této možnosti zatím nepředpokládáme.Poté můžete přejít k dalším přípravným krokům, které se již přímo týkají provozu .Kroky před zavedením ochrany dat v (týkající se )Před zahájením evidencí pro účely ochrany dat dle GDPR v systému ABRA Gen, je třeba provést řadu přípravných prací, především:Před zahájením použití ochrany dat v je dále nutné provést řadu dalších přípravných kroků, aby ochrana dat v po zapnutí mohla řádně fungovat. Je třeba:Provést revizi HW – kapacita disku, výkon serveru. Viz též... Často kladené otázky - otázka Potřebuji silnější HW?Provést revizi přístupových práv. Více viz zde...Je zapotřebí zrevidovat nastavení přístupových práv k objektům a zejména funkcím pro jednotlivé definované role či pro definované skupiny rolí a přidělení rolí uživatelům podle jejich pravomocí. Viz též Často kladené otázky - otázka Je třeba si nějak nově nastavit přístupová práva v souvislosti s ochranou dat?TODO_GDPR2-větu přesunout jen do FAQ - to ted nejde, BEKA edituje...Zprovoznit automatizační server (nemáte-li). Více viz zde... Zejména generování povolení ke zpracování dat (z dokladů a modulu Mzdy a personalistika) je ve většině případů téměř nutné provádět automatizovaně. Viz též Co je třeba k provozu autoserveru a naplánovaných úloh a s tím související Co je třeba k provozu e-mailů a interních vzkazů, které využijete minimálně v rámci zasílání zpráv o zpracování naplánovaných úloh.Nastavit v Adresáři firem právnické/fyzické osoby. Více viz zde...Od verzí řady 18.03. lze v Adresáři firem rozlišovat, která firma je právnická osoba a která podnikající fyzická osoba (a ochranu dat jejich položek lze následně v definicích ochrany dat nastavovat s ohledem na to. Příznak Právnická osoba lze nastavit hromadně, viz funkce Hromadná oprava právního subjektu. (Pokud přecházíte ze starší verze systému, která toto rozlišení nepodporovala, po update budete mít všechny firmy nastavené jako Právnické osoby.) TODO_GDPR2-doplnit link, popis - už se to někde zmiňovalo, ne? Nicméně stejný link asi doplnit do věcného obsahuSmazat z osoby / firmy, které nepotřebujete (importy databází). Více viz zde... V průběhu času se v každém adresáři nahromadí obrovské množství záznamů, které v zásadě aktivně nepotřebujeme - může se jednak např. o nějaké importy z komerčních databází, použité v minulosti k nějakému marketingovému účelu apod. U velké části takových záznamů nebudeme mít žádný zákonný důvod k evidenci daných údajů (např. smluvní či obchodní vztah). Takové záznamy by měly být vymazány. Pokud je vymazat nechcete či nemůžete, bude třeba si od daných subjektů získat povolení ke zpracování dat, která o nich evidujete a která spadají do kategorie osobních údajů. Tip: na dohledání firem/osob, které nepotřebujete (není na ně vystaven žádný doklad ani nefigurují jinde) si lze vytvořit a s výhodou využít skript či si jej lze objednat u konzultanta.TODO_GDPR2-Jak s tím skriptem od ROEH - bude v sadě nebo co?U záznamů subjektů ochrany, které potřebujete, smazat osobní údaje, které nepotřebujete, pokud k nim v evidujete údaje, k jejichž zpracování neexistuje žádný zákonný důvod.Provést revizi skriptů, tisk. sestav, exportů a různých OLE či API aplikací napojených na , pracují-li s osobními daty. Viz též... Často kladené otázky - Ochrana dat vs. zakázkové úpravy a Rizika spojená s ochranou dat, zejména část Bude mi po zapnutí ochrany dat všechno fungovat?Provést revizi použití NxSQLSelect, NxSQLUpdate. Viz též... Často kladené otázky, otázka Týká se ochrana dat také přístupů na úrovni databáze? a dále viz Role - záložka tabulky.Seznámit se s dalšími potencionálními riziky, viz výše Potencionální rizika a omezení.Okruhy, které je třeba předem promyslet před následným plněním agend Ochrany dat (tyto okruhy by vám měly vyplynout z provedených analýz vašich procesů):Okruh(y) chráněných položek – výběr podle platné legislativy. Viz též... Položky je třeba rozdělit na obecné osobní a citlivé – každá kategorie musí mít vlastní definici. V systému budou k dispozici vzorové definice, které bude možné importovat při založení nové definice.Posouzení potřeby licence Viz též... Pokud vám nebude postačovat ochrana pevně dané množiny položek z kategorie osobních údajů, je zapotřebí rozšířit licenci vašeho systému o volitelný modul Ochrana dat (viz co je třeba k provozu Ochrany dat) a také odpovídajícím způsobem přizpůsobit následnou analýzu. Viz též často kladené otázky - otázka Potřebuji nějakou licenci na ochranu dat?Okruhy oprávněných uživatelů - výběr uživatelů s oprávněním ke zpracování jednotlivých balíků chráněných položek uvedených v definicích.Okruhy pravidel pro automatické generování povolení ke zpracování z dat systému.Okruhy naplánovaných úloh.Následně si můžete provést instalaci s podporou GDPR a začít si nastavovat agendy z modulu Ochrana dat v systému .Doručujeme si vše nejdříve vyzkoušet a nastavit v testovacím prostředí, např. s využitím startovací instalační sady, a teprve poté si nastavení přenést do ostrého provozu a i zde zapínat ochranu dat postupně.Instalace verze s podporou GDPR  - testovací prostředíOchrana dat byla do systému implementována postupně. Viz též... Často kladené otázky - otázka Od jaké verze je k dispozici ochrana dat?Samotná instalace verze systému obsahující podporu ochrany dat nezpůsobí sama o sobě žádné změny v chování aplikace. Instalace nové verze, případně update ze starší verze bez podpory ochrany dat, se tedy není nutné obávat. Dopady ochrany dat se v systému začnou projevovat až poté, co vytvoříte Definice ochrany dat a označíte je jako aktivní. Viz též... Často kladené otázky - otázka Kdy a jak se ochrana dat zapne? a kap. Věcný obsah - Dopad používání modulu Ochrana dat na systém . Poté se případně mohou vyskytnout nějaké potencionální problémy, viz výše Potencionální rizika a omezení.Z výše uvedeného důvodu DOPORUČUJEME nejdříve si připravit nezávislé testovací prostředí, co nejvíce podobné vašemu ostrému provozu (samostatná instalace vč. kopie vašich ostrých dat či jiné samostatné spojení ve vaší ostré instalaci vč. kopie vašich ostrých dat) a zde se s ochranou dat nejdříve seznámit, zkusit si ji nastavit a zapnout, poté vyzkoušet vaše běžné firemní procesy vč. funkčností zakázkových úprav, tj. skriptů, napojení aplikací přes OLE či API. Teprve poté nastavení přenést do ostré instalace a zde postupně zapínat, viz dále. Viz též často kladené otázky, otázka Ochrana dat vs. zakázkové úpravy.Pokud si zatím nejste zcela jisti, jak vše nastavit a potřebujete se s ochranou dat nejdříve "naučit", pak rozhodně nedoporučujeme to provádět za provozu na ostré instalaci s ostrými daty (mohli byste si nechtěně např. znepřístupnit položky, s nimiž nutně potřebují vaši kolegové pracovat apod., viz např. otázka Vidím v agendě samé *****, nemohu pracovat).Instalace Startovací instalační sadyK dispozici je Startovací instalační sada GDPR.ais, kterou si doporučujeme stáhnout a nainstalovat. Sada slouží jako vzor k použití ochrany dat a pomůže vám ochranu dat rozjet. Neřeší konkrétní potřeby klienta, slouží jen pro "inspirací". Sadu stáhnete zde. (Sada je zatím k dispozici pouze v Čj, to ale není na závadu, i tak demonstruje vzor, jak začít). Více viz... Sada obsahuje definice, kde je nastavena ochrana základních položek na osoby odběratelů – tel, fax, e-mail, křestní jméno. Příjmení není pro začátek chráněno pro start schválně, aby nebyly v agendě hned od začátku samé hvězdičky, nicméně po odladění a doplnění oprávněných uživatelů a povolení by se i příjmení mělo přidat mezi chráněné položky. U zaměstnanců je chráněno vše, co v základu nabízí. Sada dále definuje pravidla ochrany dat s přednastavenou platností a definuje i naplánované úlohy pro generování povolenek. POZOR! Všechny definice jsou pouze předvyplněné a neúplné a je NUTNÉ je doplnit (např. u definic doplnit jednotlivé uživatele systému podle jejich pracovního zařazení, u povolení nastavit platnosti dle vašich potřeb apod.). Postupujte dle popisů, které jsou součástí instalační sady. Práce s instalačními sadami viz Instalační sady. Instalační sadu zvládne nasadit i běžný uživatel, není nutná asistence konzultanta. Vlastní instalace je jednoduchá. Viz též Často kladené otázky - Jak nainstalovat instalační sadu?Sadu doporučujeme instalovat nejdříve do testovacího prostředí, viz doporučení výše.Nainstalovaná sada a předvyplněné definice ochrany dat, pravidla a naplánované úlohyTODO_GDPR2- po zlokalizování sady odstranit podmínku výše, po umístění sady do instalačky (řeší VLMO), upravit textyNaplnění pomocných číselníkůNaplňte si pomocné číselníky, které nejsou dodávány předvyplněné a které budete potřebovat pro zadávání záznamů do stěžejních agend GDPR. Číselníky si naplňte dle potřeby v návaznosti na přípravnou fázi (po zmapování situace). Naplnit je budete moci i později při potřebě daného záznamu, ale ztratíte tím zbytečně čas. Umístění povolení ke zpracování datPříklad naplnění číselníku umístění, bude třeba při zadávání povolení a definic ochrany dat. Může jít o umístění fyzická (budova, místnost, trezor, šanon), ale také například umístění v rámci informačního systému, určité agendy nebo diskového úložiště. Typy smluvPříklad naplnění číselníku typů smluv, bude třeba při zadávání smluvKategorie incidentů - potřebný pro případné budoucí incidenty Příklad naplnění číselníku incidentů, bude třeba při zadávání incidentůOstatní číselníky jsou dodávány předvyplněné. U předvyplněných se stačí seznámit s předvyplněnými záznamy, zkontrolovat si je či doplnit (jedná-li se o případ, kdy je smysluplné něco doplňovat). Zdroje povolení ke zpracování datPříklad naplnění číselníku zdrojů povolení. Bude třeba při zadávání povolení a definic ochrany dat. Číselník je dodáván předvyplněný několika systémovými (needitovatelnými) záznamy, v rámci implementace stačí seznam těchto systémových zdrojů zkontrolovat. V případě, že získáváte povolení nějakými dalšími způsoby, lze tyto další způsoby do číselníku doplnit.Důvody ochrany datPříklad naplnění číselníku důvodů povolení. Pro ochranu dat dle GDPR je číselník dodáván předvyplněný systémovými (needitovatelnými) záznamy a není třeba jej měnit, nicméně bylo by třeba jej doplnit v případě použití obecné ochrany dat Kategorie požadavků GDPRPříklad naplnění číselníku kategorií požadavků GDPR. Číselník je dodáván předvyplněný několika systémovými (needitovatelnými) záznamy, které odpovídají jednotlivým právům subjektu údajů dle nařízení GDPR a není třeba jej měnit.Ovladače ochrany datPříklad naplnění číselníku ovladačů. Číselník je dodáván předvyplněný systémovými ovladači a nelze jej nijak měnit. Podstatný je zatím pouze ovladač GDPR, který jediný (díky nastavení Nabízet) se vám bude nabízet k výběru při vytváření definic dat a povoleníZadání definic ochrany datVytvořte definice ochrany dat.MožnostiDefinice vytvořte nejlépe:využitím instalační sady. Může to být Startovací instalační sada, ale může jít i o instalační sadu, kterou vám na míru připraví váš konzultant servisní sítě dodavatele.Příklad předvyplněných definic po importu sadynebo importem ze vzorů. Viz funkce Nový podle vzorů. Práce se vzory je podobná práci s účetními předkontacemi (výběr vzoru, porovnání se vzorem).Příklad vytvoření další nové definice importem podle jednoho z dodávaných vzorůJak zadat údaje definiceHlavička - Na záložce Hlavička je třeba zadat ovladač (pro ochranu dle nařízení GDPR ovladač GDPR), dále Kód, Název a Důvod. Více viz... Důvod se vybírá z číselníku Důvody ochrany dat, který je pro GDPR ovladač již předvyplněný dle nařízení GDPR (v terminologii GDPR takzvané právní tituly), čili stačí jen vybrat podle toho, pro jaký typ povolení je definice určena (např. u definic, na které se budete odkazovat z ručně nasbíraných povolenek typicky vyberete účel "Článek -1a" (souhlas - pro individuálně získané souhlasy)) pro definice určené pro následné generování povolení z dokladů to bude typicky článek "6 - 1b" (pro plnění smluvních závazků), případně některé varianty dle článku 9 (zvláštní kategorie údajů). Číselník je uživatelsky rozšiřitelný (v případě potřeby ochrany dat nad rámec GDPR).. Do položky "Řešitel" uveďte vlastního uživatele systému, který bude odpovědný za případné řešení nesrovnalostí v souvislosti s touto definicí (položka Řešitel, slouží pro předvyplnění řešitele na následná povolení navázaná na danou definici (zatím pouze evidenční údaj)). Více viz... Jedná se o osobu zodpovědná za GDPR ve vaší firmě (pokud je ve společnosti zřízena pozice DPO, zpravidla se jedná o DPO). Pokud už víte, kdo bude onou osobou, vyberte konkrétního uživatele, pokud zatím nevíte, použijte např. nějakého fiktivního pro ten účel založeného a v budoucnu jej hromadně opravíte, až budete vědět finální odpovědné osoby - řešitele pro jednotlivé definice resp. následná povolení.V tomto kroku nechte položku Aktivní nezatrženou (!) - zatržení položky by znamenalo okamžité zamezení přístupu uživatelů k chráněným položkám, protože v této chvíli ještě neexistují povolení ke zpracování dat. Definici si nastavte jako aktivní později, až po vygenerování návazných povolení ke zpracování dat.Příklad zadání údajů v záložce Hlavička definice ochrany datGDPR - Do záložky GDPR je nutno vložit firmu - správce dat. Běžně vaši vlastní firmu. Více viz... Pro jednoduchost se zde vybírá z Adresáře firem. Čili abyste to mohli udělat, zaveďte si vaši vlastní firmu do Adresáře firem, pokud to tak zatím nemáte. Dále zde doplňte, kde budou uložena konkrétní povolení navázaná na danou definici a to výběrem z číselníku Zdroj povolení ke zpracování dat, který si naplňte dle vašich potřeb, viz výše Naplnění základních číselníků.Příklad zadání údajů v záložce GDPR definice ochrany datChráněné položky - Do záložky Chráněné položky je nutné postupně zadat položky, které má tato definice chránit. Platí: Pro jednoho uživatele je možné vytvořit několik definic ochrany dat s různě definovanými skupinami chráněných položek. Na tyto definice budou navázána povolení ke zpracování dat s různou platností, například pro různé fáze cyklu obchodního případu (předprodejní jednání, vlastní prodej, záruční doba). Které položky jsou chráněny, je dáno sjednocením množin položek obsažených v aktuálně aktivních definicích ochrany dat. Položka je chráněná, je-li obsažená alespoň v jedné aktivní definici.Pozor! Není účelné vložit maximum položek do jedné definice, naopak množinu položek chráněných jednou definicí definujte s ohledem na to, pro koho a pro jaký účel je daná definice určena (např. jedna definice bude určena pro povolení k údajům položek zaměstnance v době trvání prac. poměru (bude určena pro širší okruh uživatelů, ale na kratší dobu), jiná definice bude pro povolení k údajům položek zaměstnance po skončení prac. poměru (bude určena jen pro mzdovou účtárnu a po dobu danou zákonem 30 let a může obsahovat méně položek, k nimž bude přístup (např. mzdové účetní u zaměstnanců po skončení prac.poměru už nemusí potřebovat přístup e-mailu).Inspirujte se definicemi dle Startovací instalační sady. Příp. vVyužijte dodávané vzory, viz funkce Nový podle vzoru.Nabídka tříd objektů při vytváření definic ochrany dat je závislá na licenci. Viz též...Často kladené otázky, otázka Potřebuji nějakou licenci na ochranu dat?Příklad zadání údajů v záložce Chráněné položky definice ochrany dat. Doporučení: začněte s menším počtem položek, po odladění definice ostatní můžete postupně přidávat.Oprávnění - Do záložky Oprávnění je nutné doplnit jednotlivé uživatele systému (osoby, kterým tato definice dává právo data v položkách chráněných touto definicí vidět nebo s nimi manipulovat), a to podle jejich pracovního zařazení (účetní, obchodníci, personalisté, ...) a s ohledem na to, pro koho je daná definice určena.Doporučení pro zadávání definicZpočátku chránit jen některé položky, na nich vše odladit, např:TelefonE-mailAdresuNaopak zkraje nechránit jméno/ příjmení, doplnit do definic až později. Zkontrolovat, že v definicích ochrany dat jsou správně uživatelé. Zpočátku zadat jen omezenou skupinu uživatelů a na nich vyzkoušet, později rozšiřovat.Nezapomenout – v definici ochrany dat musí být i uživatelé využívaní pro:API - podrobněji viz samostatná kapitola Web API a ochrana datAutomatizační serverWEB službyOLE aplikaceVíce viz Jak začít s ochranou dat, zde Počáteční nastavení agend ochrany dat - Definice ochrany dat a Tipy k založení nové definice ochrany dat.Definice ochrany dat patří mezi tzv. chráněné objekty, musíte mít pro nově přidané definice správně nastavena přístupová práva. Viz též Upozornění Definice ochrany dat jsou chráněné objekty.Jaké definice si vytvořitPři vytváření definic ochrany dat je zapotřebí dopředu počítat s tím, že definice budou později využívány v pravidlech ochrany dat, ze kterých se budou generovat povolení ke zpracování dat aplikovaná v různých situacích a množinu chráněných položek v jednotlivých definicích této skutečnosti přizpůsobit.Definice vytvořte s ohledem na vaši fázi Přípravy - rozmyšlení si okruhu chráněných položek a oprávněných uživatelů a to minimálně: pro následná povolení následně generovaná z dokladů a smluv pro jednotlivé oblasti:Obchodní vč. smluv a aktivit (Pozor na různé záruky - tudíž i délku povolení) NákupníÚčetní Daňové Mzdové pro následná povolení dočasná tvořená systémem pro případy založení nové firmy/osoby/zaměstnanceDefinice pro založení nové firmy resp. osoby by měly být poněkud méně restriktivní než běžné definice - jejich smyslem je zabránit situaci, kdy se v okamžiku pořízení záznamu do adresáře okamžitě skryje podstatná část chráněných položek ještě dříve, než se stihne vyřídit potřebné povolení ke zpracování dat, tj. se záznamem se nedá kvůli jeho neidentifikovatelnosti pracovat. Definice se používají společně s pravidly ochrany dattypu Nová firma a Nová osoba. Tato skupina pravidel by měla mít co nejkratší platnost.Inspirujte se definicemi dle Startovací instalační sady. Definice ochrany datDefinice ochrany dat je základní agendou modulu Ochrana dat. Každou definici charakterizují zejména následující údaje:výčet uživatelů, kteří mají k obsahu položek chráněných danou definicí přístupZahrnutí konkrétního uživatele do seznamu uživatelů, kteří mají přístup k položkám chráněným danou definicí, je pro zpřístupnění obsahu chráněných položek podmínkou nutnou, nikoli však postačující.Je-li určitá položka obsažená v definici (tj. je chráněná), uživatel není uveden v seznamu oprávněných uživatelů (a není uveden v seznamu oprávněných uživatelů ani v žádné jiné definici, která obsahuje danou položku), k obsahu položky přístup nemá.Pokud je uživatel uveden mezi oprávněnými uživateli, o udělení přístupu rozhoduje ovladač ochrany dat přiřazený k dané definici (v případě ovladače GDPR ovladač kontroluje, zda k definici existuje platné povolení ke zpracování dat).Nastavení definic je dalším krokem procesu implementace, opět souvisí s úvodní analýzou procesů z přípravné fáze.Pro jednoho uživatele je možné vytvořit několik definic ochrany dat s různě definovanými skupinami chráněných položek. Na tyto definice budou navázána povolení ke zpracování dat s různou platností, například pro různé fáze cyklu obchodního případu (předprodejní jednání, vlastní prodej, záruční doba).Které položky jsou chráněny, je dáno sjednocením množin položek obsažených v aktuálně aktivních definicích ochrany dat. Položka je chráněná, je-li obsažená alespoň v jedné aktivní definici.Definice ochrany dat patří mezi tzv. chráněné objekty, musíte mít pro nově přidané definice správně nastavena přístupová práva.Tipy k založení nové definice ochrany datPoznámky k vybraným položkám na jednotlivých záložkách (Hlavička, GDPR, Chráněné položky, Oprávnění):Při nasazování do ostrého provozu je vhodné pro otestování správného nastavení vynechat (nechránit) položky, které usnadní identifikaci chráněných záznamů (např. u osob pole LastName, FirstName nebo DisplayName), teprve po vyzkoušení, že je nastavení v pořádku, nastavit ochranu i těchto položek. Pokud by se chránily všechny položky, bylo by problematické doladit povolení (nebylo by možné určit, od jakého subjektu povolení chybí).Alternativně je tento problém možné řešit použitím příznaku Obejít ochranu dat v agendě Uživatelé.V rámci jedné definice ochrany dat je možné nadefinovat určitou skupinu chráněných položek pro právnické osoby a jinou pro fyzické osoby. K rozlišení slouží příznak Právnická osoba v adresáři firem a následně odpovídající výběr třídy u jednotlivých chráněných položek v definicích ochrany dat. Chráněné položky z třídy Firma (fyzická osoba) se vztahují k firmám, které tento příznak nemají zatržený, chráněné položky z třídy Firma se vztahují k firmám, které ho zatržené mají (právnické osoby).Obdobné rozlišení platí pro osoby, u kterých je možné úroveň ochrany rozlišovat podle toho, zda dotyčný je zaměstnanec - nastavení příznaku Zaměstnanec/Pracovník v adresáři osob rozhoduje o tom, zda budou položky chráněny v rámci třídy Osoba (pokud daná osoba není zaměstnancem) nebo třídy Zaměstnanec (osoba), pokud daná osoba zaměstnancem je.Z hlediska objektového modelu systému jde o to, že s určitými daty je možné pracovat prostřednictvím různých tříd/objektů, ke kterým je také možné definovat různá oprávnění (v tomto případě úroveň ochrany dat).Nabídka tříd objektů při vytváření definic ochrany dat je závislá na licenci - pokud uživatel nemá zakoupenou licenci na modul Ochrany dat, má možnost chránit pouze osoby, zaměstnance, firmy (právnické a fyzické) a obrázky. V opačném případě (platná licence na Ochranu dat) je možné nastavovat oprávnění k položkám ze všech tříd.Naplnění agendy SmlouvyJe třeba zajistit naplnění agendy Smlouvy (aby bylo možné generovat na jejich podkladě povolení, viz dále). Více viz... Důležité je nastavení časové platnosti smluv - pro platnost následného povolení a vazby na firmu nebo osobu v sekci Partner, což je subjekt, pro který bude povolení vygenerováno. Typ smluv (evidenční význam) zadejte výběrem z číselníku Typy smluv, který si naplňte dle vašich potřeb, viz výše Naplnění základních číselníků.Pokud budete určité chráněné údaje zpracovávat na základě uzavřených smluv (např. dealerské smlouvy, licenční smlouvy atd.), založit tyto smlouvy do agendy Smlouvy, která slouží jako jeden ze zdrojů pro generování povolení ke zpracování dat. Důležité je nastavení časové platnosti smluv, která se bude zohledňovat při generování povolení (bude určovat platnost těchto povolení) a vazby na firmu nebo osobu v sekci Partner, což je subjekt, pro který bude povolení vygenerováno.Smlouvy jsou z pohledu systému běžná dokladová agenda. Než začnete pořizovat samotné smlouvy, je tedy zapotřebí nadefinovat řady dokladů typu Smlouvy a k těmto řadám nastavit uživatelům patřičná oprávnění (s využitím rolí a skupin rolí).Povinnou položkou je také typ smlouvy, navázaný do číselníku Typy smluv. Údaj má pouze evidenční význam, číselník Typy smluv si tedy vyplňte dle uvážení.TODO_GDPR2-Smouvy by měly být až dál...Pro některé typy úloh je třeba různé smlouvy zadávat do samostatných řad dokladů. Viz též příklady procesů - např. Řízení přístupu pro smlouvy.nastavení Pravidel ochrany dat - automatizace tvorby povoleníVytvořte si pravidla pro generování povolení.MožnostiDefinice vytvořte nejlépe:využitím instalační sady. Může to být Startovací instalační sada, ale může jít i o instalační sadu, kterou vám na míru připraví konzultant servisní sítě dodavatele.Příklad předvyplněných pravidel po importu sadyJak zadat údaje pravidlaHlavička - Na záložce Hlavička je třeba kromě Kódu a Názvu zadat odkaz na Definici ochrany dat (k ní se pak bude vztahovat vygenerované povolení, které bude ovlivňovat dostupnost položek chráněných danou definici oprávněným uživatelům z dané definice), Oblast (určuje, z jakých zdrojů se budou povolení generovat, např. z faktur) a Platnost budoucího povolení. Více viz... Délka platnosti je dána dobou, kterou dokážete pro danou situaci odůvodnit před případnou kontrolou.Příklad zadání údajů v záložce Hlavička pravidla pro generování z aktivit (pro oblast aktivity) Parametry - V parametrech pravidel je třeba zkontrolovat nastavení jednotlivých parametrů, zejména zatržení položky Generovat povolení ke zpracování i pro osoby ve firmě pro osoby připojené k firmám na jejich záložce Osoby (doporučeno) a pro oblast Aktivity a Smlouvy zatržení položky Pro typ partnera "Firma" generovat povolení ke zpracování i pro osoby ve firmě pro osoby připojené k firmám na jejich záložce Osoby (doporučeno). Dále je třeba zkontrolovat odkazy na řady dokladů - pokud by instalační sada obsahovala i nastavení řad, pak by tyto nemusely odpovídat vašim konkrétním datům a bylo by třeba vybrat jiné adekvátní řady.Příklad zadání údajů v záložce Parametry pravidla pro generování z dokladů (pro oblast dokladů) Pro některé typy úloh je třeba definovat pravidla ke konkrétním řadám dokladů. Viz též příklady procesů - např. Řízení přístupu pro smlouvy.Jaká pravidla si vytvořitPravidla vytvořte s ohledem na vaši fázi Přípravy - rozmyšlení si okruhu chráněných položek a toho, jak dlouho a na základě čeho by oprávnění uživatelé k nim měli mít přístup:pravidla pro generování - slouží pro generování povolení ke zpracování dat z vybraných agendpravidla pro zakládání nových osob/zaměstnanců a firem - aplikují se při založení nových záznamůpravidla pro hromadné ruční generování povolení z adresáře firem nebo adresáře osobInspirujte se definicemi dle Startovací instalační sady. Doporučení pro zadávání pravidelNezapomenout – nezapomenout na pravidla typu: Více viz... Typicky se používají pro generování dočasných povolení, aby údaje, které mají být chráněny nebyly zneviditelněny bezprostředně po založení záznamu do adresáře a bylo možné pro ně vygenerovat dlouhodobější povolení.Nová firma Nová firma (fyzická osoba)Nová osobaNový zaměstnanec (osoba) Více viz Jak začít s ochranou dat, zde Počáteční nastavení agend ochrany dat - Pravidla ochrany dat.Předchzí text je kopie z QS s linkem sem - ale zde se naopak musí ty tipy přidat... dodělat = text zatím schovaný v další části kap.naplánované úlohy pro generování povolení Upravte si naplánované úlohy pro generování povolení ke zpracování dat dle potřeby (naplánovaná doba a parametry úloh výběrem z pravidel).Inspirujte se definicemi dle Startovací instalační sady. Povolení ke zpracování dat (souhlasy)Zajistěte naplnění agendy Povolení ke zpracování:Možnosti spustit generování dle pravidel - (například spuštěním naplánovaných úloh mimo plán, příp. ručně z agendy Povolení, pokud nemáte automatizační server).zajistit doplnění povolení získaných ručněPro ruční sběr povolení lze využít webovou službu pro sběr souhlasů se zpracováním osobních údajů dle GDPR poskytovanou firmou ABRA Software a.s.FLORES Software s.r.o.Více viz... Součástí je možnost obeslání vybraných subjektů požadavkem na udělení povolení (definovatelný vzhled, obsah) využitím modulu Odeslané e-maily. Adresát obdrží e-mail s odkazem na webový formulář žádosti, kde může udělit souhlas. Udělený souhlas se prostřednictvím propíše zpět do . V případě zájmu kontaktujte svého obchodníka či obchodní oddělení výrobcezákaznickou podporu.Doporučení pro povoleníDalší případy, kdy je třeba ručně zadat povolení, např. pro:vlastní firmu - neexistují doklady, ze kterých by se dala povolení vygenerovat, nicméně vlastní firma bude chráněná stejně jako ostatní firmy z adresáře firemrůzné fiktivní "firmy" typu Dovolená, Nemoc a podobně, typicky používané v rámci CRMExterní Identifikátor – systémová položka, indexovaná. Používáme na webové udělování povolenek - generujeme GUID. Vhodné na napojení se souhlasy například udělené na E-shopu.Více viz... Jak začít s ochranou dat, zde Počáteční nastavení agend ochrany dat.Vypnutí potencionálně rizikových úlohPřed zapnutím ochrany dat je vhodné vypnout úlohy, které pracují s chráněnými údaji a kde je nějaká automatizace jako např.:Příjem E-mailůOdesílání E-mailůSynchronizační můstkyapod.Zapnutí ochrany dat a kontrolyNyní je potřeba:Zapnout ochranu dat aktivací definice/definic v agendě Definice ochrany dat - Doporučujeme zapínat postupně!Provést kontrolu uživatelů, že vše fungujeZkontrolovat API aplikace, WEB služby,… (mely by být již zrevidovány a odzkoušeny v nezávislém testovacím prostředí, viz výše)Zapnout ostatní automatizační úlohy a zkontrolovat činnostPřenos do ostré instalaceMáte-li vše vyzkoušeno, postupně přeneste nastavení do vaší ostré instalace (lze využít instalační sady) a tam postupně zapínejte.Obecné tipy na závěrZkontrolovat a příp. si upravit Nastavení sledování změn minimálně pro důležité objekty ochrany dat, kde by mohlo být účelné sledovat, jaké změny byly kdy a kým provedeny. Může to být předmětem budoucího dokazování apod.U všech výstupů, které budete chtít tisknout, byste měli zkontrolovat, zda vám vyhovují přednastavené dodávané tiskové formuláře. Jelikož tiskové výstupy jsou plně uživatelsky definovatelné, můžete provést jejich úpravy dle vlastních požadavků, příp. si jejich úpravy dle vlastních požadavků objednat u servisních oddělení dodavatele, resp. výrobce.===== následující texty ještě zbývá zkontrolovat a co zatím není uvedeno jinde, tak adekvátně někam přesunout =====Počáteční nastavení agend ochrany dat Povolení ke zpracování datPovolení ke zpracování dat jsou součástí mechanismu, který používá ovladač GDPR k rozhodování o tom, zda konkrétnímu uživateli zpřístupní určité položky či nikoli. Obecně platí, že pokud má být nějaká položka chráněna, je zapotřebí ji zahrnout do některé z definic ochrany dat (do seznamu chráněných položek). Pokud příslušná definice ochrany dat využívá ovladač GDPR, je zapotřebí pro každou definici udržovat ještě sadu povolení ke zpracování dat - každé povolení opravňuje uživatele zpracovávat údaje konkrétního subjektu (firmy nebo osoby), který povolení udělil, po dobu definovanou v povolení, v rozsahu daném množinou chráněných položek na navázané definici. Uživatel má chráněné položky přístupné pouze tehdy, pokud je uveden v seznamu oprávněných uživatelů v definici definice ochrany dat.Většinu povolení je možné generovat automaticky z pravidel ochrany dat, k čemuž slouží stejnojmenná agenda. Existují nicméně výjimky, které by měly být odhaleny v rámci analýzy v přípravné fázi a pro které je zapotřebí povolení vytvořit ručně, ještě před zahájením používání ochrany dat (před aktivací definic). Může se jednat například o:vlastní firmu - neexistují doklady, ze kterých by se dala povolení vygenerovat, nicméně vlastní firma bude chráněná stejně jako ostatní firmy z adresáře firemrůzné fiktivní "firmy" typu Dovolená, Nemoc a podobně, typicky používané v rámci CRMMáte-li nějaká povolení (udělené souhlasy), která splňují legislativní požadavky, opravňují vás ke zpracování údajů, můžete je do této agendy v této fázi implementace založit ručně. Je zapotřebí vyplnit:Subjekt povolení ke zpracování dat - v kontextu GDPR se jedná o subjekt údajů (subjekt, který udělil svolení ke zpracování svých údajů).Platnost od/Platnost do - obě položky jsou povinné.Definici ochrany dat - výběrem jedné z dříve vytvořených definic určíte, kterých chráněných položek se udělené povolení týká.Více informací naleznete v kapitole Povolení ke zpracování dat - záložka Detail.O udělení souhlasu (povolení) byste měli subjekty údajů žádat pouze v případech, kdy nemůžete jejich údaje zpracovávat na základě žádného jiného zákonného důvodu.2018-05-02: TODO_GDPR2: Možná by se sem (nebo někam jinam) dala doplnit zmínka o webové aplikaci na sběr souhlasů? ("Pokud chcete získávání souhlasů zautomatizovat, nabízíme volitelnou službu... kontaktujte svého obchodníka...").Automatizace - Pravidla ochrany datAby systém ochrany dat fungoval, je zapotřebí k pořizovaným datům průběžně doplňovat potřebná povolení ke zpracování dat. Aby nebylo nutné každé jednotlivé povolení vytvářet ručně, je k dispozici agenda Pravidla ochrany dat. V agendě je možné vytvářet pravidla několika typů:pravidla pro generování - slouží pro generování povolení ke zpracování dat z vybraných agendpravidla pro zakládání nových osob/zaměstnanců a firem - aplikují se při založení nových záznamůpravidla pro hromadné ruční generování povolení z adresáře firem nebo adresáře osobV rámci implementace je důležité nezapomenout na pravidla typu Nová firma, Nová firma (fyzická osoba), Nová osoba, Nový zaměstnanec (osoba) - typicky se používají pro generování dočasných povolení, aby údaje které mají být chráněny nebyly zneviditelněny bezprostředně po založení záznamu do adresáře a bylo možné pro ně vygenerovat dlouhodobější povolení.Povolení je na základě pravidel možné generovat ručně (na vyžádání) nebo automaticky (naplánovanou úlohou).2018-05-03: TODO_GDPR2: Hromadné ruční generování (třetí odrážka) viz bug 53330. Je zapotřebí někam jinam (asi nejlíp do úvodní kapitoly k pravidlům dat) "extenzivně" vysvětlit rozdíly mezi jednotlivými typy pravidel, smysl jejich existence, kdy se používají.Viz video...Viz též instruktážní video na toto téma.Ochrana dat, GDPR v - 3.část - vybrané agendy přímo v ABRA Gen (jen v Čj) (temporarily in Czech only)Třetí část ze série videí na téma Ochrana dat, GDPR v ABRA Gen. V této části se podíváme, na stěžejní agendy Ochrany dat přímo v ABRA Gen, co se v nich jak zadává a k čemu to slouží. Video zároveň může posloužit jako inspirace, pro zahájení práce s ochranou dat v ABRA Gen.Implementace obecné ochrany datJak bylo řečeno v kap. Řešení ochrany dat a GDPR v ABRA Flores, v této fázi je systém připraven na ochranu dle GDPR. Využití obecné ochrany dat je předpokládáno až v budoucnu. Systém sice již nyní podporuje možnost definic ochrany položek napříč celým systémem (je-li licence, viz Co je třeba k provozu ochrany dat), ale v této fázi zatím není funkcionalita ochrany dat všech takových položek odladěna a je pravděpodobné, že byste si jejím zapnutím způsobili nemalé potíže. Proto provozování ochrany dat pro systémové položky Business objektů nad rámec ochrany dle GDPR (viz Základní chráněné objekty z titulu GDPR) zatím nedoporučujeme.TODO_GDPR3-po rozjetí obecné ochrany vyhodit předchozí text a návod zobecnit + upravit text v úvodu kap. kde se píše, že se toho dotkneme zatím jen okrajově. 22.05.188.03.01