Podpora GDPR v Dynamics NAV – část 1

Nově vydaná březnová aktualizace pro systémy Microsoft Dynamics NAV 2015 a novější, poprvé obsahuje úpravy a přípravu pro podporu Obecného nařízení o ochraně osobních údajů (zkráceně GDPR, obecný popis směrnice zde), které vchází v účinnost 25. května 2018.

Co vlastně samotná aktualizace do systému přináší a jak je možné jednotlivé požadavky směrnice pomocí standardních procesů a postupů aplikovat? Na toto se zaměřím ve dvoudílném článku věnovaném nové podpoře GDPR od Cumulative Update 2018/03.

Jak na GDPR pomocí Microsoft Dynamics NAV

Identifikace osobních údajů

Jedna z nejdůležitějších částí GDPR je identifikace osobních údajů – způsobů, míst a vlastníků osobních údajů a procesů zpracovávajících osobní údaje. Pro tyto účely je možné použít standardního RTC klienta a standardní funkce systému, například vyhledávání či filtrování záznamů.

Bez identifikace osobních údajů (jméno zákazníka, identifikační čísla osob – např. rodná čísla či kontaktní adresy zákazníků) nelze splnit podmínky GDPR a poskytnuté nástroje pro automatizaci činností souvisejících se splněním podmínek GDPR v systému nebude možné účinně využít.

Klasifikace dat v systému

Klasifikace dat v systému či určení typu dat uchovávaných v jednotlivých tabulkách a samotných polích tabulek, nebylo do Cumulative Update 2018/03 standardně možné.

Od Cumulative Update 2018/03 obsahují všechny podporované verze systému Microsoft Dynamics NAV (tj. od verze 2015) možnost klasifikovat data uchovávaná v jednotlivých polích. Tato klasifikace se momentálně provádí v definici pole a je tedy možné ji provádět pouze jako programovou úpravu systému. V dokumentech vydaných zároveň s posledním Cumulative Update je ale zmíněno rozšíření funkcionality systému o tzv. „Sešit klasifikace dat“, který by měl umožnit uživatelsky klasifikovat jednotlivá pole, bez nutnosti zásahů do samotných objektů pomocí vývojového klienta.

Jednotlivé volby vlastnosti DataClassification pro GDPR

Nová vlastnost pole DataClassification pro GDPR

Klasifikovat je možné konkrétní pole (pouze standardní pole, pole typu flowfield jsou automaticky klasifikovány jako SystemMetadata), případně celou tabulku.

A co znamenají jednotlivé volby vlasnosti DataClassification?

  • CustomerContent
    • Údaje vlastněné zákazníkem, tj. například heslo zákazníka do webového portálu, nebo dokumenty poskytnuté zákazníkem uložené v BLOB poli.
  • ToBeClassified
    • Pole, u kterého ještě nebyla data klasifikována.
  • EndUserIdentifiableInformation
    • Údaje, které identifikují nebo mohou identifikovat jednotlivé subjekty, například uživatelské jméno či pevná IP adresa subjektu.
    • Nejedná se o údaje poskytnuté subjektem.
  • AccountData
    • Fakturační, registrační či platební údaje subjektu.
  • EndUsePseudonymousIdentifiers
    • Pseudoidentifikační údaje, například GUID či ID uživatele, které ve spojení s jinými údaji v jiné tabulce umožňuje identifikovat konkrétní subjekt.
    • Nejedná se o údaje poskytnuté subjektem.
  • OrganizationIdentifiableInformation
    • Údaje identifikující společnost či skupinu subjektů, například název společnosti či doména emailových adres.
    • Nejedná se o údaje poskytnuté subjektem a nejsou spojeny s konkrétním subjektem.
  • SystemMetadata
    • Údaje vytvořené systémem nespojené s konkrétním subjektem.

Myslím si, že toto rozdělení klasifikace dat v jednotlivých tabulkách a polích je dostatečné, ale způsob provedení není v současnosti použitelný. Doufejme tedy, že již v následujícím Cumulative Update 2018/04 bude k dispozici funkcionalita – sešit klasifikace dat.

Nejčastějí umístění dat

Výše jsem popsal jednotlivé volby, jak je možné data klasifikovat. Kde se ale tato data v systému nacházejí? Primárně se jedná o tabulky Kontaktů, Zákazníků, Dodavatelů, Zaměstnanců, Prodejců/Nákupčích, Zdrojů či Uživatelů. Tyto tabulky v základní verzi systému obsahují osobní údaje subjektů a je potřeba jednotlivé údaje analyzovat a následně klasifikovat.

Spolu s těmito tabulkami je nutné analyzovat i související tabulky, například Adresy příjemce, Alternativní adresy, Profily dotazníků či Protokoly změn.

Microsoft v rámci Cumulative Update 2018/03 identifikoval a klasifikoval nejčastější pole ve standardních tabulkách, ale finální klasifikace uložených dat a odpovědnost za správnou klasifikaci je na samotném vlastníkovi dat.

Funkce pro aktualizaci, odstranění a publikování dat

Ve druhé části tohoto dvoudílného článku proberu možnosti splnění jednotlivých požadavků směrnice, jako je právo na aktualizaci, smazání a informace o evidovaných údajích.

 

 

 

Zdroje:

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *