Wiedza · documents
Zarządzanie dokumentami a RODO: na co musisz zwrócić uwagę
DMS i ochrona danych: lokalizacja hostingu, powierzenie przetwarzania, kontrola dostępu oraz napięcie między obowiązkiem usuwania a okresami przechowywania.
System zarządzania dokumentami niemal nieuchronnie przetwarza dane osobowe – nazwiska na fakturach, adresy w umowach, dane o wynagrodzeniach w dokumentach kadrowych. W związku z tym obowiązują wymogi RODO: potrzebujesz bezpiecznego przetwarzania, uregulowanych dostępów, umowy z dostawcą oraz koncepcji, która czysto oddziela obowiązki przechowywania od obowiązków usuwania.
Dlaczego DMS automatycznie staje się tematem ochrony danych
RODO nie rozróżnia między „bazą danych” a „archiwum dokumentów”. Zeskanowany list z nazwiskiem nadawcy jest tak samo danymi osobowymi jak wpis w systemie CRM. Kto centralnie przechowuje dokumenty, czyni je przeszukiwalnymi i udostępnia w zespole, ten przetwarza te dane – i musi robić to w sposób odpowiedzialny. To nie jest argument przeciwko DMS, wręcz przeciwnie: centralne, uregulowane archiwum jest znacznie łatwiej prowadzić zgodnie z RODO niż rozproszone foldery, lokalne kopie i prywatne skrzynki mailowe.
Pięć najważniejszych punktów do sprawdzenia przy wyborze
- Lokalizacja hostingu i obowiązujące prawo: Gdzie fizycznie znajdują się dane, jakie prawo obowiązuje dostawcę? Hosting w Niemczech lub w UE oszczędza ci konieczności sprawdzania transferów do państw trzecich.
- Umowa powierzenia przetwarzania (AVV): Dostawca przechowuje dokumenty na twoje zlecenie i jest tym samym z reguły podmiotem przetwarzającym. Bez umowy powierzenia brakuje podstawy umownej.
- Kontrola dostępu: Nie każdy w zespole musi widzieć wszystko. Zwróć uwagę na role i reguły widoczności – dokumenty kadrowe należą do innych rąk niż faktury przychodzące.
- Szyfrowanie i bezpieczne logowanie: Transmisja szyfrowana, dostępy chronione – na przykład za pomocą kodów jednorazowych zamiast współdzielonych haseł.
- Możliwość prześledzenia: Powinno być widoczne, co działo się z dokumentami. To pomaga również przy żądaniach dostępu ze strony osób, których dane dotyczą.
Napięcie: usuwać czy przechowywać
RODO wymaga usuwania danych osobowych, gdy ustaje cel ich przetwarzania. Jednocześnie prawo podatkowe i handlowe wymaga przechowywania dowodów księgowych przez wiele lat. Rozwiązanie: ustawowe obowiązki przechowywania stanowią odrębną podstawę prawną – dokumenty istotne podatkowo pozostają w archiwum, dopóki nie upłynie ich termin. Następnie zaczyna obowiązywać obowiązek usuwania. Dobry DMS wspiera dokładnie ten cykl życia: zdefiniowane przechowywanie zamiast „po prostu sobie leży”. Jak działa niezmienialne archiwizowanie, wyjaśnia artykuł Archiwizacja zgodna z wymogami rewizyjnymi.
Jak realizuje to webRichtung documents
webRichtung documents jest rozwijane i prowadzone w Niemczech oraz zaprojektowane z myślą o pracy świadomej wymogów RODO: dokumenty twojej organizacji znajdują się centralnie z jasnymi ścieżkami dostępu, logowanie odbywa się za pomocą kodów jednorazowych, a archiwum GoBD przechowuje dokumenty z Object Lock w sposób niezmienialny przez 6, 8 lub 10 lat – ze zdefiniowanym terminem końcowym zamiast nieograniczonej hałdy danych. Szczegóły dotyczące obsługi znajdziesz w dokumentacji.
Praktyczny początek
Zacznij od krótkiej inwentaryzacji: jakie rodzaje dokumentów z danymi osobowymi posiadasz (dowody księgowe, umowy, akta osobowe)? Kto potrzebuje dostępu do czego? Jakie okresy przechowywania obowiązują dla każdego rodzaju? Mając te trzy odpowiedzi, możesz w uporządkowany sposób ocenić DMS – i czysto udokumentować wdrożenie, na wypadek gdyby organ nadzorczy zapytał. Określ ponadto, jak kończą się dostępy: gdy ktoś opuszcza zespół, dostęp musi dać się odebrać centralnie. To również przemawia za platformą z centralnymi kontami zamiast lokalnie kopiowanych folderów, których losu nikt już nie jest w stanie prześledzić.
Niniejszy artykuł ma charakter ogólnoinformacyjny i nie zastępuje porady prawnej ani podatkowej.
FAQ
Dlaczego DMS jest tematem związanym z RODO?
Faktury, umowy i korespondencja zawierają dane osobowe klientów, dostawców i pracowników. Gdy tylko DMS przechowuje i przetwarza takie dokumenty, obowiązują wymogi RODO.
Na co powinienem zwrócić uwagę przy wyborze DMS?
Na lokalizację hostingu i obowiązujące prawo, umowę powierzenia przetwarzania (AVV), kontrolę dostępu opartą na rolach, szyfrowaną transmisję oraz możliwą do prześledzenia rejestrację dostępów.
Jak pogodzić obowiązek usuwania z okresami przechowywania?
Ustawowe obowiązki przechowywania mają pierwszeństwo przed usuwaniem: dowody istotne podatkowo muszą być przechowywane, nawet jeśli zawierają dane osobowe. Po upływie terminu zaczyna obowiązywać obowiązek usuwania.
Czy potrzebuję umowy powierzenia przetwarzania (AVV) z dostawcą DMS?
Z reguły tak: jeśli dostawca przechowuje dokumenty z danymi osobowymi na twoje zlecenie, jest podmiotem przetwarzającym – wtedy RODO wymaga umowy powierzenia przetwarzania.
Czy niemieckie centrum danych jest obowiązkowe?
Nie, RODO nie narzuca lokalizacji. Hosting w Niemczech lub w UE znacznie upraszcza jednak ocenę prawną, ponieważ nie trzeba sprawdzać transferu do państwa trzeciego.