INTEGRIS Solidny    partner

Przewodnik RODO – dla użytkowników Microsoft Dynamics AX i Dynamics 365 F&O

 

W związku z pełnym rozpoczęciem przepisów dotyczących RODO przedstawiamy informacje ułatwiające praktyczną realizację tych przepisów w systemach z rodziny Microsoft Dynamics AX (Axapta 3.0, Axapta 4.0, AX 2009, AX 2012, D365 F&O).

Firma Microsoft deklaruje zgodność swoich wspieranych produktów z przepisami RODO. Dodatkowo w najnowszych uzupełnieniach (KB) do systemu pojawia się:

- informacja o zmianie polityki prywatności (AX 2009, AX 2012, D365),

- rezygnacja zbierania danych z systemu do programu poprawy jakości i dodatkowy znacznik wskazujący na użytkowników systemu mających dostęp do danych osobowych (AX 2012, D365)

- nowy raport wyszukiwania osób Person (D365 F&O)

Integris Sp. z o.o. posiada narzędzia wspierające i automatyzujące procesy związane danymi osobowymi w systemie wymagane przez RODO:

  • Wyszukiwanie i uzyskiwanie dostępu do danych osobowych.
  • Wprowadzanie zmian w danych osobowych.
  • Eksport danych do innych systemów.
  • Usuwanie i anonimizację danych osobowych.
  • Udostępnienie kopii danych osobowych osobie, której dotyczą te dane.
  • Raportowanie
  • Oznaczanie danych osobowych

Możemy wspomóc wdrożenie modyfikacji ułatwiających i automatyzujących wypełnianie poszczególnych wymagań związanych z RODO, lub zaproponować kompleksowe rozwiązanie współpracującego z nami Partnera Microsoft.

Zachęcamy do kontaktu telefonicznego lub wysłania email za pośrednictwem formularza kontaktowego na naszej stronie.

 

Dynamics AX/Dynamics 365 F&O a RODO – praktyczny przewodnik

 

Na podstawie materiałów Microsoft przygotowaliśmy informacje o RODO wraz opisem realizacji wymagań związanych z tymi przepisami w praktyce pracy z systemem. Zdecydowana większość informacji dotyczy wszystkich produktów z rodziny Microsoft Dynamics AX (Axapta 3.0, Axapta 4.0, AX 2009, AX 2012, D365 F&O).

RODO – nowy globalny standard w zakresie ochrony prywatności, bezpieczeństwa i zgodności danych, obowiązujący od 25 maja 2018r. na terenie Unii Europejskiej. RODO reguluje przetwarzanie i wykorzystywanie danych osobowych obywateli i mieszkańców UE. A konsekwencją nieprzestrzegania ich mogą być ogromne kary pieniężne. Regulacja RODO w szczególności daje szereg praw podmiotom danych osobowych i ogranicza wykorzystywanie danych tylko do celu, w którym zostały zebrane. Więcej informacji na temat rozporządzenia można znaleźć na stronie Unii Europejskiej.

Prawa podmiotu danych osobowych zawarte w RODO, w skrócie:

-możliwość wglądu do danych osobowych,

-możliwość poprawiania błędów w danych,

-możliwość usunięcia danych osobowych, prawo do bycia zapomnianym,

-przetwarzanie danych osobowych,

-eksport danych.

 

Dane osobowe w rozporządzeniu RODO mają bardzo szeroką definicję, są to: „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (…)”

DSR (Data Subject Right) – formalne żądanie podmiotu danych skierowane do kontrolera i dotyczące podjęcia akcji związanej z jego danymi, po polsku żądania praw podmiotu.

 

Powierzenie danych wg RODO. Wraz z rozpoczęciem obowiązywania zostały określone następujące stanowiska:

1. Kontroler danych - kontroluje dane osobowe i określa sposób ich użycia. Obowiązki to m.ni. gromadzenia, utrzymywania, kierowania działaniami, ochrony, modyfikowania i usuwania danych osobowych.

2. Procesor danych – zapewnia usługi przetwarzania danych w imieniu administratora. Wykonuje akcje w imieniu kontrolera, lecz nie jest właścicielem danych.

3.Przedmiot danych - podmiot danych to osoba fizyczna, której dane osobowe są wykorzystywane.

4. C1 - C1 to bezpośredni klient Microsoft

5. C2 - C2 jest klientem C1.

 

W przypadku Microsoft Dynamics AX/Dynamics 365 F&O, Microsoft działa jako procesor - zapewnia procesy i funkcje, które pomagają danej firmie spełnić zobowiązania w zakresie RODO jako kontrolera danych (C2). Poniższy schemat ilustruje migrację danych.

 

 

Źródło: https://docs.microsoft.com/en-us/dynamics365/unified-operations/dev-itpro/gdpr/gdpr-guide

Gdy osoba, której dane dotyczą, decyduje się na przesłanie DSR, czyli żądania praw podmiotu - przekazuje wniosek do kontrolera. Podmioty danych nie będą zwracać się do firmy Microsoft w celu skorzystania z przysługujących jej praw do danych zebranych przez firmę. Jako procesor, Microsoft pomaga kontrolerowi, zapewniając funkcje lub po prostu zapewniając, że działania są możliwe. Innymi słowy, kontroler przyjmuje i odpowiada na żądanie DSR, a procesor wspomaga lub włącza żądanie zgodności. Poniższa tabela przedstawia niektóre role i obowiązki, które są istotne dla finansów i operacji.

 

Rola

Scenariusz

Realizacja

Poziom dostępu do danych

Twój klient (2)

  • Wgląd do danych
  • Korekta danych
  • Usuwanie danych
  • Ograniczanie przesyłu danych
  • Eksport danych

Musisz zapewnić mechanizmy dla swoich klientów by wykonać DSR.

Twój klient widzi tylko swoje dane osobowe.

Twój pracownik

  • Wgląd do danych
  • Korekta danych
  • Usuwanie danych
  • Ograniczanie przesyłu danych
  • Eksport danych

Musisz zapewnić pracownikowi mechanizm do wykonywania DSR (procesu lub usługi).

Widzi tylko swoje dane osobowe

Twój pracownik – administrator RODO

  • Weryfikuje żądanie identyfikacji użytkownika
  • Lokalizuje dane w systemie
  • Rozporządzanie danymi zgodnie z zasadami
  • Tworzy pakiet danych lub wykonuje akcję
  • Użytkuje Dynamics AX/ D365 by zlokalizować dane i spełnić żądanie DSR
  • Opisuje dostosowanie danych
  • Dociera do stron trzecich w przypadku DSR objętych wspólnymi kontrolami.
  • Dociera do firmy Microsoft w celu uzyskania danych o aktywności.
 

Administrator RODO widzi dane, które zostały uzyskane w celu spełnienia żądania DSR.

 

 

Odpowiadanie na prośby o przeglądanie, poprawianie, usuwanie, zgłaszanie lub eksportowanie danych osobowych – przykładowe scenariusze i sposób realizacji w systemie.

Załóżmy, że klient chce się dowiedzieć, jakie dane osobowe są przechowywane przez organizację. Ten klient zgłasza się do organizacji i prosi o wykonanie swojego DSR. Kiedy osoby, których dane dotyczą, wykonują swoje DSR, kontrolerzy muszą zrealizować dokładnie następujące kwestie:

  • Prawidłowo zidentyfikować osobę i rolę (za pomocą informacji od osoby, której dane dotyczą sprawdzić, czy osoba jest pracownikiem, klientem, sprzedawcą. Ta informacja może być nazwą, identyfikatorem pracownika lub numerem klienta lub innym identyfikatorem)
  • Potwierdzić, że osoba, której dane dotyczą, jest rezydentem lub obywatelem kraju UE (lub Wielkiej Brytanii [UK]).
  • Zapisać dane i czas żądania. (Masz 30 dni na wypełnienie wniosku.)
  • Potwierdzić, że żądanie DSR jest prawidłowe. Aby ustalić, co jest ważne, należy skonsultować się z radcą prawnym. Na przykład musisz upewnić się, że zgodność z żądaniem DSR nie koliduje z żadnymi innymi obowiązkami prawnymi, które posiadasz.
  • Sprawdzić, czy posiadasz informacje związane z żądaniem.

 

Realizacja prawa do wglądu:

  • Standardowa funkcja wyszukiwania i filtrowania - można znaleźć określone dane osobowe i wyeksportować je za pomocą funkcji eksportu do Excel.
  • Raport wyszukiwania osób - Person, aby znaleźć i zebrać dane osobowe. Ten raport będzie dostępny w nadchodzącym wydaniu (tylko D365).
  • Rozszerzenie raportu wyszukiwania osób, tworząc nową jednostkę lub rozszerzając istniejącą jednostkę.
  • Skorzystać z dostarczonej dokumentacji, aby zidentyfikować tabele danych zawierające dane, które administrator zidentyfikował jako dane osobowe.
  • Niestandardowe formularze, które lokalizują i eksportują dane osobowe.
  • Zewnętrzny portal lub witryna internetowa, która umożliwia uwierzytelnionemu klientowi przeglądanie jego danych osobowych.

 

Realizacja prawo do korekty:

  • Użycie standardowej funkcji wyszukiwania i filtrowania, aby znaleźć określone dane osobowe.
  • Raport wyszukiwania Person, aby znaleźć i zebrać dane osobowe. Ten raport będzie dostępny w nadchodzącym wydaniu.
  • Rozszerzenie raportu wyszukiwania osób, tworząc nową jednostkę lub rozszerzając istniejącą jednostkę.
  • Niestandardowe formularze, które lokalizują i eksportują dane osobowe.
  • Zewnętrzny portal lub witryna internetowa, która umożliwia uwierzytelnionemu klientowi przeglądanie jego danych osobowych.

Po zlokalizowaniu danych użyj wbudowanych funkcjonalności systemu do skorygowania danych, np. zmiana manualna.

 

Realizacja prawa do bycia zapomnianym:

  • Bezpośrednie usuwanie danych osobowych w systemie
  • Manualna anonimizacja danych osobowych w systemie
  • Możliwość dostosowania oprogramowania, aby usunąć / zmodyfikować dane osobowe automatycznie.

 

Realizacja prawa do importowania/eksportowania:

  • Standardowy dodatek Microsoft Office, do eksportu danych osobowych
  • Niestandardowy raport, który umożliwia eksport danych osobowych.
  • Możliwość dostosowania oprogramowania, która eksportuje dane osobowe.
  • Raport wyszukiwania Person – możliwość konfiguracji raportu, by zebrać informacje na poparcie wniosku o kopię danych osobowych osoby, której dane dotyczą (tylko D365)

Raport wyszukiwania Person, może pomóc Ci odkryć dane osobowe, które są przedmiotem żądania DSR. Jeśli raport nie zawiera informacji, których szukasz, sprawdź stronę LCS pod kątem możliwych poprawek zawierających te informacje. Możesz także rozszerzyć raport samodzielnie, tworząc dodatkowe podmioty.

 

Realizacja prawa do ograniczania:

  • usunięcie danych klienta (na przykład z kampanii marketingowej).

 

Uwagi do realizacji powyżej opisanych praw:

Może się okazać, że niektóre dane, które kwalifikują się jako dane osobowe, nie mogą być modyfikowane i usuwane bezpośrednio. Zazwyczaj dane te są częścią transakcji finansowej lub innych danych biznesowych, które są przechowywane "tak jak jest".

RODO nie jest prawem wyłączającym wszystkie inne prawa. Jako system planowania zasobów przedsiębiorstwa, Dynamics AX/ D365 F&O nie pozwala na modyfikację niektórych danych biznesowych lub transakcyjnych i nie wspiera, ani nie zapewnia funkcjonalności do modyfikacji danych biznesowych, która jest niezbędna dla zgodności z innymi przepisami lub certyfikatami. System nie zapewnia wsparcia dla modyfikacji / dostosowań lub innych działań, które powodują uszkodzenie integralności referencyjnej lub biznesowej.

Przyczyny dla których niektóre dane nie mogą być modyfikowane lub usuwane:

PRZYCZYNA

KOMENTARZ

Finansowe, podatkowe, GAAP (generalne standardy w rachunkowości)

Danych podmiotu nie można usunąć, ale mogą zostać zaktualizowane.

Finansowe, podatkowe, GAAP

Dane pracownika nie mogą zostać usunięte, ale mogą zostać zaktualizowane.

GAAP

Wysłane lub ukończone transakcje nie mogą być modyfikowane.

 

 

 

Kontrolerzy informacji

Kontrolerzy mogą wykorzystać poniższe informacje by wypełnić wniosek DSR:

- Inwentaryzacja i tagowanie danych - firma Microsoft udostępniła infrastrukturę do znakowania, z której mogą korzystać deweloperzy i klienci. Każde pole danych zdefiniowane w metadanych zawiera właściwość klasyfikacji, która ma sugerowaną wartość, którą kontroler może potwierdzić lub zmienić na dowolną wybraną wartość lub termin w celu zidentyfikowania danych, które uzna za zgodne z definicją danych osobowych.

- Schemat przepływu danych - firma Microsoft opublikuje schemat przepływu danych, który identyfikuje przepływy danych między systemami w środowiskach produkcyjnych klientów.

- Raport wyszukiwania Person w D365 Finance & Operations, który można wykorzystać do zebrania informacji na poparcie wniosku o kopię danych osobowych wnioskodawcy. (Raport Wyszukiwania Person będzie dostępny w przyszłej wersji, dotyczy D365 F&O).

 

Dane osobowe w Dynamics AX/ D365 F&O

Microsoft Dynamics AX/D365 F&O mają wspólną globalną książkę adresową. Zazwyczaj za każdym razem, gdy dodajesz kontakt, klienta, użytkownika, pracownika lub inną osobę w systemie, najpierw utwórz wpis książki adresowej dla tej osoby. Każda osoba w książce adresowej jest określana jako strona i ma przypisany identyfikator PartyID. Osoba ta przyjmuje również rolę w systemie, na przykład Klient, Użytkownik lub Pracownik, i ma identyfikator roli: CustID, ID użytkownika, WorkerID i tak dalej.

 

Źródło: https://docs.microsoft.com/en-us/dynamics365/unified-operations/dev-itpro/gdpr/gdpr-guide

 

Każda osoba jest stroną

Istnieje kilka ról i można je przypisać do obu typów stron (osoby i organizacji):

Klient - osoba fizyczna, firma lub inny podmiot, który kupuje towary i usługi wyprodukowane przez inne osoby fizyczne, firmy lub podmioty.

Prospekt (potencjalny nabywca) - strona, która może być zainteresowana towarami lub usługami zapewnianymi przez organizację.

Pracownik - osoba, która przyjmuje rolę pracownika lub kontrahenta lub która otrzymuje wynagrodzenie za usługi.

Użytkownik - osoba, która jest użytkownikiem systemu. Użytkownik nie jest zidentyfikowany w globalnej książce adresowej.

Sprzedawca - strona, która dostarcza produkty do jednego lub więcej podmiotów prawnych w zamian za płatność.

Konkurent - osoba lub organizacja dostarczająca towary lub usługi podobne do towarów lub usług oferowanych przez firmę. Dynamics AX/D365 F&O nie ma szczególnej identyfikacji dla konkurentów.

Aplikant - osoba, która złożyła formalne pisemne lub elektroniczne żądanie pracy w organizacji lub zajęła w niej otwarte stanowisko.

Kontakt - osoba, w organizacji lub poza nią, dla której utworzyłeś wpis. W tym wpisie możesz zapisać informacje, takie jak ulica i adresy e-mail danej osoby, numery telefonu i faksu oraz adresy URL stron internetowych.

 

Prawo do oglądania i importowania/eksportowania danych.

Gdy osoba, której dane dotyczą, zgłasza się do kontrolera, aby zażądać kopii swoich danych osobowych, kontroler może wybrać opcję Globalnej książki adresowej w celu zlokalizowania danych opisujących daną osobę.

Organizacje, które prowadzą działalność wyłącznie w relacjach B2B mają skromne obowiązki w zakresie DSR. Natomiast organizacje prowadzące swoją działalność poprzez relacje B2C będą miały obowiązków zdecydowanie więcej. Organizacje te mogą używać globalnej książki adresowej i powiązanych z nią danych do pisania niestandardowych raportów, niestandardowych formularzy, niestandardowych zapytań i niestandardowych funkcji eksportowania danych, wykorzystując możliwości rozszerzania i dostosowywania oraz funkcji Open in Excel.

Jednostka reprezentuje przykład określonej roli. Funkcja zarządzania danymi umożliwia administratorowi eksport danych jednostek do kilku formatów, takich jak wartości rozdzielone dwukropkami, wartości rozdzielane przecinkami (CSV), wartości rozdzielone średnikami, wartości rozdzielane tabulatorami, Microsoft Excel i XML.

 

Dodatkowe uwagi dotyczące przetwarzania danych

Dane w Management Reporter i w prezentacjach Microsoft Power BI są generowane na podstawie informacji wprowadzanych do różnych dokumentów finansowych, a następnie przekazywane do tych aplikacji w celach raportowania. Wszelkie żądania dotyczące danych powinny być wypełniane z dokumentów finansowych w Dynamics AX/D365 przy użyciu narzędzi, takich jak raporty, eksport do programu Excel. Nie ma konieczności dodatkowego raportowania z Management Reporter lub Power BI, aby spełnić żądanie RODO, chyba że wprowadzono modyfikacje, które zmieniły podstawową funkcjonalność.

Dane osobowe zawarte w dokumentach lub załącznikach mogą również zostać zwrócone podmiotowi danych, niezależnie od rodzaju zgłoszenia.

Jeśli rekord główny zawiera powiązane dane transakcyjne, nie można go usunąć.

Podobnie, transakcje, które zostały zaksięgowane lub zakończone, nie mogą zostać usunięte.

 

Powody, dla których Dynamics AX/D365 F&O może nie obsługiwać modyfikacji lub usuwania danych

Poniższa tabela zawiera listę kilku powodów, dla których modyfikacja danych może być ograniczona.

Przyczyna

Komentarz

Audyt

Dane audytu muszą być zachowane dla zgodności i audytu.

Kalkulacja

Dane, które zostały obliczone, można zmienić tylko zmieniając dane uwzględnione w obliczeniach.

Finansowe, Podatkowe, GAAP

Przesłanych transakcji nie można już modyfikować.

Dziennik importu

Dane muszą być zachowane dla zgodności i audytu.

 

Kategorie danych osobowych w Dynamics AX/D365 F&O

Osoby, które są powiązane z Twoją firmą mogą w systemie byś w jednej z poniższych kategorii:

Klienci

Dostawcy

Pracownicy

Użytkownicy

Pracownicy hurtowni

Kierowcy ciężarówek

Potencjalni klienci

Kontakty

Aplikanci

Konkurencja

Dane osobowe mogą być również zawarte w innych ponadstandardowych rolach, które nie są tutaj wymienione. Encje służące do wprowadzania, przeglądania lub edycji danych osobowych zostały udostępnione w arkuszach dla większości ról z powyższej listy. Można przeglądać lub pobierać arkusze z dokumentów referencyjnych w CustomerSoource (https://mbs.microsoft.com/customersource/global/AX/learning/documentation/white-papers/referencedocumentspersonaldata).

 

 

Opracowane na podstawie :  https://docs.microsoft.com/en-us/dynamics365/unified-operations/dev-itpro/gdpr/gdpr-guide

 

Integris
Microsoft Partner
Axpact