Bilgi · documents
Belge yönetimi ve GDPR: dikkat etmen gerekenler
DMS ve veri koruma: barındırma konumu, sipariş işleme, erişim kontrolü ve silme yükümlülüğü ile saklama süreleri arasındaki gerilim.
Bir belge yönetim sistemi neredeyse kaçınılmaz olarak kişisel verileri işler – faturalardaki isimler, sözleşmelerdeki adresler, personel belgelerindeki maaş bilgileri. Bununla birlikte GDPR yükümlülükleri geçerli olur: Güvenli bir işleme, düzenlenmiş erişimler, sağlayıcıyla bir sözleşme ve saklama yükümlülükleri ile silme yükümlülüklerini düzgün şekilde birbirinden ayıran bir konsepte ihtiyacın var.
DMS'nin neden otomatik olarak bir veri koruma konusu olduğu
GDPR "veritabanı" ile "belge arşivi" arasında ayrım yapmaz. Gönderen adı içeren taranmış bir mektup, tıpkı bir CRM kaydı kadar kişiseldir. Belgeleri merkezi olarak saklayan, aranabilir hale getiren ve ekip içinde paylaşan kişi bu verileri işler – ve bunu sorumlu bir şekilde yapması gerekir. Bu, bir DMS'ye karşı bir gerekçe değildir, tam tersine: Merkezi, düzenlenmiş bir arşiv, dağınık klasörler, yerel kopyalar ve özel e-posta kutularından çok daha kolay GDPR uyumlu şekilde işletilebilir.
Seçim sırasında en önemli beş kontrol noktası
- Barındırma konumu ve uygulanabilir hukuk: Veriler fiziksel olarak nerede bulunuyor, sağlayıcı için hangi hukuk geçerli? Almanya'da veya AB'de barındırma, üçüncü ülke aktarımlarını incelemekten seni kurtarır.
- Sipariş işleme sözleşmesi (AVV): Sağlayıcı belgeleri senin adına saklar ve böylece genellikle sipariş işleyici konumundadır. AVV olmadan sözleşmesel temel eksik kalır.
- Erişim kontrolü: Ekipteki herkesin her şeyi görmesi gerekmez. Rollere ve görünürlük kurallarına dikkat et – personel belgeleri, gelen faturalardan farklı ellere aittir.
- Şifreleme ve güvenli oturum açma: İletim şifreli, erişimler korunmalı – örneğin paylaşılan parolalar yerine tek seferlik kodlarla.
- İzlenebilirlik: Belgelerle ne olduğu görülebilir olmalıdır. Bu, ilgili kişilerin bilgi taleplerinde de yardımcı olur.
Gerilim alanı: silmek mi yoksa saklamak mı
GDPR, amaç ortadan kalktığında kişisel verilerin silinmesini talep eder. Aynı zamanda vergi ve ticaret hukuku, belgelerin yıllarca saklanmasını talep eder. Çözüm: Yasal saklama yükümlülükleri ayrı bir hukuki gerekçedir – vergiyle ilgili belgeler, süreleri dolana kadar arşivde kalır. Bunun ardından silme yükümlülüğü devreye girer. İyi bir DMS, tam da bu yaşam döngüsünü destekler: "sadece öylece duruyor" yerine tanımlanmış saklama. Değiştirilemez arşivlemenin nasıl çalıştığını Denetime dayanıklı arşivleme makalesi açıklıyor.
webRichtung documents bunu nasıl uyguluyor
webRichtung documents Almanya'da geliştirilir ve işletilir ve GDPR bilincine sahip çalışmaya yöneliktir: Organizasyonunun belgeleri net erişim yollarıyla merkezi olarak bulunur, oturum açma tek seferlik kodlar üzerinden gerçekleşir ve GoBD arşivi belgeleri Object Lock ile değiştirilemez şekilde 6, 8 veya 10 yıl boyunca saklar – sınırsız bir veri yığını yerine tanımlanmış bir süre sonu ile. Kullanıma ilişkin ayrıntıları dokümantasyonda bulabilirsin.
Pratik başlangıç
Kısa bir envanter çıkarmakla başla: Kişisel veri içeren hangi belge türlerine sahipsin (belgeler, sözleşmeler, personel dosyaları)? Kimin neye erişmesi gerekiyor? Her tür için hangi saklama süreleri geçerli? Bu üç yanıtla bir DMS'yi yapılandırılmış şekilde değerlendirebilir – ve denetim makamı sorarsa, kullanıma alımı düzgünce belgeleyebilirsin. Ayrıca erişimlerin nasıl sona ereceğini de belirle: Biri ekipten ayrıldığında, erişim merkezi olarak geri alınabilmelidir. Bu da, kalıp kalmadığını kimsenin artık takip edemediği yerel olarak kopyalanmış klasörler yerine merkezi hesaplara sahip bir platformu destekler.
Bu makale genel bilgi verir ve hukuki veya vergisel danışmanlığın yerini tutmaz.
FAQ
Bir DMS neden bir GDPR konusudur?
Faturalar, sözleşmeler ve yazışmalar müşterilerin, tedarikçilerin ve çalışanların kişisel verilerini içerir. Bir DMS bu tür belgeleri sakladığı ve işlediği andan itibaren GDPR yükümlülükleri geçerli olur.
DMS seçiminde nelere dikkat etmeliyim?
Barındırma konumu ve uygulanabilir hukuk, bir sipariş işleme sözleşmesi (AVV), rol tabanlı erişim kontrolü, şifreli iletim ve erişimlerin izlenebilir şekilde kaydedilmesi gibi noktalara.
Silme yükümlülüğü ile saklama süreleri nasıl bir arada bulunur?
Yasal saklama yükümlülükleri silmenin önüne geçer: Vergiyle ilgili belgeler, kişisel veri içerseler bile saklanmalıdır. Sürenin dolmasının ardından silme yükümlülüğü devreye girer.
DMS sağlayıcımla bir AVV'ye ihtiyacım var mı?
Genel olarak evet: Sağlayıcı kişisel veri içeren belgeleri senin adına saklıyorsa, sipariş işleyici konumundadır – bu durumda GDPR bir sipariş işleme sözleşmesi talep eder.
Alman bir veri merkezi zorunlu mu?
Hayır, GDPR herhangi bir konum öngörmez. Ancak Almanya'da veya AB'de barındırma, hukuki değerlendirmeyi önemli ölçüde kolaylaştırır, çünkü bir üçüncü ülke aktarımı incelenmek zorunda kalmaz.