Soulad pravidel GDPR v systému WinShop Std.
Implementace úprav a nových pravidel v obchodním systému WinShop Std. a poskytovaných službách společnostmi WinShop software s.r.o., které zajišťují soulad s ustanoveními NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Dále jen ( NAŘÍZENÍ GDPR)
Změny v obchodním systému WinShop Std.
Systém WinShop Std. ve svých databázích pracuje s číselníky odběratelů, dodavatelů a zákazníků. V případě, pokud v záznamech těchto číselníků figurují i fyzické osoby, je potřeba s takovými záznamy nakládat v souladu s NAŘÍZENÍ GDPR. Systém WinShop Std. může evidovat ve svých číselnících u fyzických osob tyto Osobní údaje:
- jméno a příjmení
- adresa
- bydliště
- doručovací adresa
- datum narození
- rodné číslo
- fotografický záznam
- e-mailová adresa
- telefonní číslo
- IČ
- DIČ
- OP ( číslo občanského průkazu)
- RČ (rodné číslo)
- související evidované doklady ( především informace o jednotlivých nákupech )
Pro provozovatele systémů WinShop (z hlediska ustanovení NAŘÍZENÍ GDPR se jedná o správce
osobních údajů) jsou v nových verzích systému WinShop připraveny úpravy, které umožní redukovat přístup k výše uvedeným údajům pouze pověřeným uživatelům. Zásadní úpravou je vytvoření nového práva v číselníku uživatelů, které rozděluje uživatele s přístupem k těmto číselníkům na uživatele oprávněné k nahlížení a editaci všech evidovaných osobních údajů fyzické osoby a uživatele s možností nahlížet pouze na redukovaný seznam osobních údajů, který potřebují pro výkon svého pracovního zařazení. Tito uživatelé mají z hlediska provozovatele systému WinShop oprávněný zájem nahlížet na redukovaný seznam osobních údajů z důvodu svých pracovních povinností - například pro kontrolu údajů o fyzické osobě před poskytnutím slevy a nebo pro vystavení daňového dokladu s nezbytnými údaji o fyzické osobě.
Seznam nezbytných, zobrazovaných údajů o fyzické osobě je volitelný a může jej v administraci systému WinShop nastavit pouze administrátor systému WinShop.
Další významnou úpravou je možnost uživatelů nastavit při vkládání a nebo dodatečné editaci záznamů číselníků vlastnost „fyzická osoba“. Tato vlastnost vymezí soubor subjektů, požívajících ochranu dle NAŘÍZENÍ GDPR.
Neméně významnou funkcionalitou v systému WinShop Std. je i možnost výmazu osobních údajů o evidované fyzické osobě v případě jejího požadavku. Výmaz provede kompletní odstranění všech osobních údajů ze systému WinShop Std. vyjma takových údajů, které podléhají jiným zákonům / například zákonu o účetnictví / a jsou nezbytné pro zabezpečení zákonných povinností provozovatele systému WinShop. Příkladem mohou být úplné daňové doklady tzv. faktury s vyplněnými údaji o fyzické osobě – odběrateli.
Uživatele, kteří využívají WinShop Std. propojený s Eshopem, mohou nově lépe pracovat se zákazníky, kteří při vytváření objednávky zvolili variantu objednání zboží bez registrace. Systém WinShop Std. automaticky při importu zapsal takového zákazníka pro účely zpracování objednávky pouze do interní evidence systému WinShop Std. Zákazník nebyl veden v evidenci Eshopu. Nově je takovému zákazníkovi v systému WinShop Std. přidělena vlastnost „ Neregistrovat“. Zákazník s touto vlastností je pro uživatele systému WinShop Std. „neviditelný“, jeho záznam je určen pouze pro účely zpracování objednávky a může sloužit dále jen pro účely řešení reklamací. K údajům o takto označeném zákazníkovi má přístup pouze uživatel s nastaveným právem „ ADMINISTRATOR“ a může jako jediný a pouze v případě výše uvedeného oprávněného zájmu údaje využít.
Právo zákazníka na získání informací evidovaných o fyzické osobě a právo na přenositelnost evidovaných informací do jiného systému je možné realizovat stiskem tl. info
Nedílnou součástí evidence osobních údajů fyzických osob je interní protokolování operací s těmito údaji v systému WinShop. Mezi protokolované události patří především:
vznik záznamu
změna záznamu
náhled na záznam
export záznamu
tisk záznamu
s údaji o datumu, čase, uživateli, který událost vyvolal a důvodu operace.
Změny pravidel poskytování servisních zásahů.
Provozovatelům systémů WinShop doporučujeme, před účinností NAŘÍZENÍ GDPR (25.5.2018), zkontrolovat všechny evidované uživatele systému WinShop. V případě, pokud budou v číselníku uživatelů záznamy, které nejsou aktivními uživateli systému WinShop, je z hlediska zabezpečení systému doporučeno takové uživatele vymazat. Stávajícím uživatelů je nezbytné zkontrolovat jejich aktuální nastavení uživatelských práv, především v souladu s výše uvedenými změnami. Pro zachování možnosti poskytování případných servisních zásahů přímo pracovníky zákaznické podpory společnosti WinShop bude po aktualizaci verze (GDPR ready) automaticky vytvořen dne 25.5.2018 servisní uživatel se jménem „ SERVIS“ a s heslem, které bude generováno na základě licenčního čísla aplikace a bude známo pouze autorizovaným servisním pracovníkům společnosti WinShop. Tento servisní přístup nebude mít nastavena žádná oprávnění pro práci v systému WinShop. Provozovatel systému WinShop nechá pouze na svém rozhodnutí, zda tento servisní přístup do systému WinShop zachová, nastaví mu příslušná oprávnění pro základní správu systému WinShop a tím umožní společnosti WinShop v případě autorizovaného požadavku do systému efektivní přístup a nebo servisní přístup z číselníku uživatelů vymaže. V případě smazání uživatele SERVIS nebudou mít servisní pracovníci společnosti WinShop do systému WinShop žádný jiný přístup.
V případě zachování servisního přístupu SERVIS a výhradně na základě výzvy provozovatele, formou autorizovaného požadavku, k uskutečnění servisního zásahu v systému WinShop, bere provozovatel systému WinShop na vědomí skutečnost, že servisní pracovník má po dobu servisního zásahu na nezbytně dlouhou dobu přístup k takovému seznamu osobních údajů, které odpovídají nastavení oprávnění uživatele SERVIS. Servisní pracovník po dokončení servisního úkonu poskytne provozovateli systému WinShop protokol o prováděných operacích a zároveň, pokud servisní zásah obsahoval i operaci s osobními údaji, protokol operací s těmito údaji včetně seznamu osob, s jejichž údaji bylo v rámci servisního zásahu pracováno.