Ako upravuje elektronické účtovníctvo legislatíva? Je klasický softvér v počítači bezpečnejší ako cloudové riešenie? Na čo myslieť z hľadiska IT bezpečnosti pri výbere softvérového riešenia, prezradili odborníci z praxe.
V dobe, keď je takmer všetko možné uchovávať alebo šíriť elektronickou formou, digitalizácia neobchádza ani administratívu a účtovníctvo. Navyše ju vyžaduje čoraz viac zamestnancov a potrebu zavedenia digitálnych technológií potvrdila aj pandémia koronavírusu. Avšak, hoci fungovanie vo virtuálnom svete ponúka mnohé benefity, číha tu aj veľa hrozieb. Na čo dávať pozor pri archivácii dokladov v elektronickej podobe, či sú klasické softvéry nainštalované v počítačoch bezpečnejšie ako online riešenie (cloud) a čo o tom hovorí legislatíva, sme zisťovali od expertov z praxe.
Online účtovníctvo a administratíva z pohľadu legislatívy
Mnohé firmy vytvárajú a ukladajú dokumenty v elektronickej podobe. A zákon to nezakazuje. Lucia Semančínová, seniorná právna expertka z advokátskej kancelárie Semančín & Partners, upozorňuje, že v niektorých prípadoch je dokonca elektronická forma povinná. Napríklad pri elektronickej komunikácii medzi podnikateľmi a finančnou správou, súdmi či inými orgánmi verejnej moci. „Pravosť daného elektronického dokumentu je v takom prípade preukazovaná určeným spôsobom, najčastejšie podpísaním kvalifikovaným elektronickým podpisom a/alebo zaručenou konverziou,“ vysvetľuje odborníčka.
Pri vedení účtovníctva a administratívy on-line však treba dodržiavať isté pravidlá. L. Semančínová uvádza, že každý subjekt je povinný svoje účtovníctvo viesť spôsobom, ktorý zaručuje trvalosť účtovných záznamov a je povinný zabezpečiť vierohodnosť pôvodu, neporušenosť obsahu a čitateľnosť účtovného záznamu od okamihu vyhotovenia, prijatia či sprístupnenia účtovného záznamu až do ukončenia archívnej doby. Táto povinnosť sa vzťahuje aj na prenos účtovného záznamu inej osobe. „Účtovná jednotka je povinná zabezpečiť ochranu účtovnej dokumentácie proti strate, odcudzeniu, zničeniu alebo poškodeniu a je tiež povinná zabezpečiť ochranu použitých technických prostriedkov, nosičov a programového vybavenia,“ uvádza odborníčka.
Tieto povinnosti sú určené zákonom o účtovníctve a zákonom o archívoch a registratúrach. Okrem nich je však potrebné dodržiavať právne predpisy upravujúce ochranu osobných údajov (GDPR), a to vtedy, keď sú obsahom dokumentov aj osobné údaje. L. Semančínová upozorňuje, že v takom prípade je nevyhnutné, aby subjekty (firmy) s ohľadom na povahu, rozsah, kontext a účely spracúvania, prijali vhodné technické a organizačné opatrenia. Musia byť schopné preukázať, že sa s údajmi narába v súlade s GDPR. Uvedené opatrenia môžu zahŕňať:
- šifrovanie údajov a pseudonymizáciu (spracúvanie osobných údajov takým spôsobom, aby ich nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií);
- schopnosť zabezpečiť trvalú dôvernosť, integritu (neporušiteľnosť), dostupnosť a odolnosť systémov,
- schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu.
Odborníčka zároveň dodáva, že uvedené opatrenia sú firmy podľa potreby povinné testovať, posudzovať, skúmať a aktualizovať. Pri posúdení primeranej úrovne bezpečnosti sa prihliada najmä na spomenuté riziká, ktoré predstavuje spracúvanie (zneužitie, poškodenie, zničenie a pod.). „Je preto potrebné riešiť zabezpečenie a prijímanie bezpečnostných opatrení vždy individuálne, podľa okolností konkrétneho prípadu.“
Klasický softvér vs cloud z pohľadu bezpečnosti
Každá firma si môže vybrať medzi viacerými technologickými riešeniami, ako bude svoje účtovníctvo a administratívu spracovávať:
- Jednou z možností je „staviť“ na klasický počítačový účtovný softvér, ktorý si každý používateľ nainštaluje do svojho počítača a používa ho na ňom.
- Ďalším riešením je zakúpenie / prenajatie virtuálneho počítača (servera), do ktorého sa možno pripájať cez vzdialenú plochu a v ktorom má používateľ nainštalovaný svoj účtovný softvér.
- Súčasným trendom sú ale online cloudové programy, v ktorých možno pracovať odkiaľkoľvek, kde je pripojenie na internet a používať ich možno z akéhokoľvek zariadenia, prostredníctvom internetového prehliadača alebo mobilnej aplikácie.
Právna expertka vysvetľuje, že legislatívne predpisy nestanovujú konkrétne úložiská, ktoré subjekty môžu využívať na ukladanie a archivovanie svojich dokumentov. Technické riešenia však podľa nej musia byť dostatočne chránené a zabezpečené podľa spomínaných požiadaviek. V mnohých spoločnostiach sú na uchovávanie dokumentov využívané práve online cloudové úložiská ako Google disk, Onedrive či Dropbox.
Na druhej strane, niektorí podnikatelia sa možno takýmto online úložiskám vyhýbajú, pretože sa obávajú väčšieho rizika hackerského útoku. Avšak, IT expert Pavol Dovičovič uvádza, že nie je možné paušálne tvrdiť, či je cloudové prostredie menej bezpečné ako lokálny počítač pripojený k internetu. „Na obe pôsobia mierne odlišné typy hrozieb. V prípade cloudového prostredia je to napríklad hrozba neoprávneného prístupu tretích strán, v prípade lokálneho počítača môže byť hrozbou napríklad krádež vybavenia (napríklad notebook). A odolnosť voči nim vždy závisí od implementovaných opatrení.“ Niekedy je vhodné uvažovať aj nad kombináciou oboch riešení – príkladom je nedávny incident, kedy sa slovenskému poskytovateľovi služby na tvorbu faktúr stratili dáta desiatok tisíc klientov. Tí, ktorí si faktúry nezálohovali v lokálnom počítači alebo fyzicky netlačili, prišli o všetky dáta.
Aby boli splnené zákonné požiadavky na vedenie účtovníctva a administratívy v elektronickej podobe, IT odborník by sa (tak v prípade online cloud riešenia, ako aj pri lokálnych inštaláciách) zameral najmä na mechanizmy týkajúce sa riadenia prístupov, aby čo najúčinnejšie zabránil tomu, že sa k účtovníctvu dostane neoprávnený používateľ. „Samozrejmosťou by mala byť viacfaktorová autentifikácia, obmedzenie prístupu len z konkrétnych IP adries, prípadne pripojenie výhradne pomocou VPN,“ vysvetľuje P. Dovičovič. Radí zamerať sa na možnosť prístupu k dátam iba pre autorizovaných používateľov, zabrániť prístupu bez autorizácie, zabezpečiť, aby boli informácie správne a úplné, a taktiež aby boli dostupné v čase, kedy sú potrebné a požadované. Taktiež je podľa neho vhodné implementovať systém DLP (Data Loss Prevention), aby bolo možné kontrolovať pohyb jednotlivých dokumentov a záznamov, ako je napríklad zasielanie mailov, kopírovanie na USB kľúč a pod. Cieľom je znížiť riziko úniku citlivých informácií, medzi ktoré rozhodne patria aj informácie z účtovníctva.
Podľa L. Semančínovej je dôležité vybrať si takého poskytovateľa online účtovného softvéru, ktorý bude vedieť zaručiť dostupnosť a ochranu pred zneužitím, poškodením, zničením, odcudzením atď. „Z hľadiska ochrany osobných údajov je naviac potrebné myslieť na to, že poskytovateľ úložiska je v pozícii sprostredkovateľa, a preto je potrebné uzatvoriť s ním sprostredkovateľskú zmluvu. Pri veľkých poskytovateľoch je štandardne sprostredkovateľská zmluva súčasťou obchodných podmienok,“ vysvetľuje odborníčka. Taktiež upozorňuje, že je potrebné myslieť na to, že viacerí poskytovatelia majú svoje servery umiestnené mimo EÚ, a preto je potrebné správne vyriešiť aj prenos osobných údajov mimo EÚ. „Ak sú servery umiestnené v USA, v súčasnosti neexistuje žiadna dohoda medzi EÚ a USA o prenose údajov, preto je potrebné akýkoľvek prenos dát do USA, teda aj na servery do spojených štátov, upraviť v súlade s čl. 49 GDPR.“
„Zlatou strednou cestou“ môže byť riešenie, ktoré poskytuje obe možnosti
Ak sa firma teda rozhoduje, aké riešenie si vyberie, bude okrem schopnosti poskytnúť čo najväčšiu ochranu dát, pravdepodobne zvažovať aj ďalšie plusy a mínusy. Marek Polic, člen predstavenstva firmy KROS, napríklad uvádza: „Klasický desktopový program je dostupný len na jednom mieste, v konkrétnom počítači. Výhodou je, že takýto systém nie je závislý od internetu a práca s ním je relatívne rýchla. Na druhej strane, je tu hrozba krádeže či pokazenia zariadenia, a s tým súvisí aj strata dát. Preto sa odporúča pravidelná záloha dát. Online (webové) aplikácie majú výhodu v tom, že sú dostupné z hocijakého zariadenia a k dátam sa možno dostať kedykoľvek a kdekoľvek. Aplikácie dokážu vzájomne spolupracovať a je možné ich prepojiť prakticky s hocijakým systémom.“
Firma si ale nemusí vyberať len medzi spomínanými alternatívami. M. Polic uvádza, že legislatíva dáva možnosť výberu medzi fyzickou alebo elektronickou archiváciou dokumentov bez ohľadu na to, aký typ účtovného alebo ERP systému podnikateľ používa. Firma si tak môže vybrať napríklad aj také účtovné programy, ako ALFA plus a OMEGA od firmy KROS – majú v nich totiž integrované prepojenie na cloudové úložisko. „Náš digitálny archív je v súlade s predpismi a zákonmi SR, garantuje bezpečnosť dát a spĺňa požiadavky GDPR,“ dodáva M. Polic.
Tento článok bol pripravený v spolupráci so spoločnosťou KROS a.s.
