Teisinis Elektroninio pašto archyvavimas reikalaujama, kad Vokietijos įmonės saugotų ir peržiūrėtų verslo el. laiškus apsaugotu nuo klastojimo būdu. Ji pagrįsta Vokietijos prekybos kodeksu, Vokietijos mokesčių kodeksu ir GoBD ir užtikrina teisės aktų reikalavimus atitinkantį darbą, skaitmeninį atsekamumą ir mokestinių dokumentų prievoles.
Centriniai taškai
- Saugojimo laikotarpiai6-10 metų, priklausomai nuo el. pašto tipo
- GoBD atitiktisPrivaloma programinės įrangos sprendimams
- Duomenų vientisumasReikalingas šifravimas ir prieigos kontrolė
- AutomatizavimasArchyvavimas ir ištrynimas turi būti grindžiamas taisyklėmis
- Mokymo kursaiDarbuotojai turi suprasti archyvavimo reikalavimus atitinkančius procesus
Įmonės dažnai nepakankamai įvertina pastangas, susijusias su visiškai suderinamu el. pašto archyvavimu. Net dėl nedidelių neapsižiūrėjimų gali atsirasti archyvavimo spragų, pavyzdžiui, jei el. laiškas su mokestine nuoroda ištrinamas rankiniu būdu arba automatinė sistema nėra tinkamai sukonfigūruota. Tokių nesėkmių galima išvengti atidžiai peržiūrėjus esamus procesus ir įvedus aiškiai dokumentuotas gaires.
Taip pat reikėtų pažymėti, kad teisiniai reikalavimai gali būti nuolat atnaujinami. Vienas iš tokių pavyzdžių - duomenų apsaugos reglamentų pakeitimai, pavyzdžiui, BDAR arba konkrečios šalies pakeitimai. Todėl patartina nuolat stebėti teisinius ir techninius atnaujinimus. Tik taip užtikrinsite, kad archyvavimo sistema ne tik šiandien, bet ir ateityje atitiks teisinius standartus.
Elektroninio pašto archyvavimo teisinis pagrindas
Vokietijoje įmonės pagal įstatymus privalo saugiai archyvuoti verslo el. laiškus - tai reiškia, kad jie visada turi būti atsekami, nekeičiami ir išsamūs. Atitinkami teisiniai pagrindai yra Vokietijos mokesčių kodekso (AO) 147 straipsnis, Vokietijos komercinio kodekso (HGB) 257 straipsnis ir GoBD. Šiose nuostatose reglamentuojama, kiek laiko su verslu susiję elektroniniai laiškai turi išlikti prieinami skaitmeniniu būdu. Su mokesčiais susiję elektroniniai laiškai, pvz. 10 metų būti saugomi. Verslo ar komerciniams laiškams taikomi šie reikalavimai 6 metų amžiaus Galutinis terminas.
Kai kuriems laisvai samdomiems darbuotojams ir mažosioms įmonėms ši prievolė netaikoma, išskyrus konkrečioms pramonės šakoms taikomas specialias taisykles. Į komercinio laiško apibrėžtį taip pat reguliariai įtraukiami elektroniniai laiškai apie pasiūlymus, sutartinius susitarimus ar verslo sutartis. Visi, kurie jų tinkamai nearchyvuoja, rizikuoja sulaukti didelių baudų ir skundų dėl mokesčių.
Siekiant padidinti teisinį tikrumą, į sutartis su IT paslaugų teikėjais ir prieglobos paslaugų teikėjais patartina įtraukti nuostatas dėl el. pašto duomenų saugojimo. Tai suteikia abiem šalims aiškumo dėl jų atitinkamų pareigų ir sumažina ginčų riziką, jei atsirastų neatitikimų dėl duomenų saugojimo. Be to, įmonėms svarbu, kad jos bet kada galėtų įrodyti, jog el. laiškai archyve yra nepakeisti ir kad jų turinys vėliau nebuvo pakeistas.
Reikalavimai, keliami audito patikimam archyvavimui
Auditui atsparus archyvavimas reiškia, kad el. laiškai negali būti vėliau nepastebimai pakeisti ar ištrinti. Be to, visi įrašai turi būti saugomi išsamiai ir patikrinamai. Tam nepakanka įprasto saugojimo el. pašto dėžutėje arba vietiniame failų aplanke. Įmonėms reikia archyvavimo programinės įrangos, kuri atitiktų šiuos kriterijus ir užtikrintų aiškią Prieigos struktūra pasiūlymai.
Su GoBD suderinamose sistemose yra žurnalo funkcijos, jose registruojami visi pakeitimai ir siūlomos atskirų pranešimų versijos. Tai užtikrina atsekamumą teisiniu požiūriu. Kiekvienas, naudojantis "Microsoft 365" ar panašias platformas, gali sukurti teisės aktų reikalavimus atitinkantį archyvavimo ryšį naudodamasis specialiais priedais arba API.
Ypatingą dėmesį reikia skirti vadinamiesiems Žurnalų rašymas saugoti: Priklausomai nuo el. pašto infrastruktūros, kiekvieno gaunamo ir siunčiamo pranešimo kopija automatiškai perkeliama į nustatytą archyvą. Taip nelieka vietos atsitiktiniam ar tyčiniam svarbios korespondencijos ištrynimui. Kaip tiksliai įgyvendinamas žurnalavimas, labai priklauso nuo naudojamos el. pašto sistemos, todėl patartina glaudžiai bendradarbiauti su IT vadybininku arba archyvavimo sprendimo tiekėju.
Techninis įgyvendinimas ir programinės įrangos integravimas
Daugelis archyvavimo sistemų leidžia tiesiogiai integruoti į įprastas grupinės programinės įrangos sistemas, tokias kaip "Microsoft Outlook", "Exchange", "Gmail" ar "Zimbra". Tai leidžia automatiškai fiksuoti gaunamus ir siunčiamus el. laiškus ir perkelti juos į archyvą. Archyvavimas grindžiamas taisyklėmis, dažnai pagal siuntėją, temą, laiko žymą arba priedus. Naudojant atitinkamą papildomą sprendimą, galima archyvuoti per "Plesk" el. pašto adresai saugiai - tiek iš anksto, tiek atgaline data.
Labai svarbu, kad pasirinkta programinė įranga atitiktų GoBD 146 straipsnio 1 dalį. Tai reiškia, kad el. laiškai turi būti saugomi laiku, mašininiu būdu analizuojami ir struktūrizuoti. Programinė įranga taip pat turėtų palaikyti automatinį ištrynimą pasibaigus saugojimo laikotarpiui - tai padeda taupyti saugojimo vietą ir sistemos našumą. Kai kurie archyvavimo sprendimai taip pat palaiko specialius formatus, pavyzdžiui, .eml arba .msg, suteikia API trečiųjų šalių sistemoms arba leidžia saugoti debesų saugykloje, kurioje įdiegta reikalavimus atitinkanti audito funkcija.
Kitas techninis aspektas - prieigos prie archyvuotų el. laiškų greitis. Didelio našumo sprendimas gali greitai atsipirkti, ypač didesnėse įmonėse, kurios per dieną gauna tūkstančius el. laiškų. Priimant sprendimą dėl vietinio ar debesijos varianto, taip pat reikėtų atsižvelgti į saugumo klausimus ir tinklo pralaidumą. Iš esmės, specialus archyvavimo įrenginys suteikia daugiau kontrolės pačioje įmonėje - kita vertus, debesijos sprendimas gali suteikti mastelio keitimo ir priežiūros privalumų.
Administratoriai turėtų nuolat tikrinti prieigos registravimą, nes audito atveju būtent šis registravimas gali suteikti informacijos apie tai, kas ir kada prisijungė prie archyvuotų el. laiškų ir ar buvo atlikti pakeitimai. Sistemos stebėjimas, panašus į IDS/IPS (įsilaužimo aptikimo ir prevencijos sistemą), taip pat gali padėti anksti aptikti neleistinas manipuliacijas ir laiku inicijuoti atsakomąsias priemones.
Saugojimo laikotarpiai ir archyvo struktūra
Teisės aktuose nustatyti terminai priklauso nuo el. laiško turinio, o ne nuo jo formos. Mokesčių požiūriu šis skirtumas yra svarbus, nes PDF sąskaitos faktūros su priedais arba informacija apie PVM prievolę taip pat turi būti archyvuojamos. Toliau pateiktoje lentelėje apžvelgiami tipiniai archyvavimo reikalavimai:
| Tipiškas turinys | Kategorija | Saugojimo laikotarpis (metai) |
|---|---|---|
| Sąskaitos faktūros / pasiūlymai | Aktualu mokesčių tikslais | 10 |
| Sutarčių korespondencija | Komercinis laiškas | 6 |
| Galutinės ataskaitos / metinės finansinės ataskaitos | Balanso dokumentai | 10 |
| Projektų susitarimai | Verslo laiškas | 6 |
| Asmens duomenys | Su BDAR susijęs | Nuo konteksto priklausantis |
Archyvo struktūra turėtų būti orientuota į verslo procesus ir, pavyzdžiui, suskirstyta į aplankus arba kategorijas, atitinkančias atitinkamą turinį. Taip yra todėl, kad dėl aiškios struktūros lengviau greitai surasti atitinkamus el. laiškus - tiek atliekant vidinę paiešką, tiek atliekant auditą. Be to, neskelbtiną turinį (pavyzdžiui, asmens duomenis) galima saugoti specialiai apsaugotose srityse ir taip atitikti BDAR ir vidinės atitikties reikalavimus.
Saugumas: šifravimas ir prieiga apsaugo duomenis
Duomenų saugumas yra esminis teisiškai suderinamo archyvavimo komponentas. Kiekvienas saugomas el. laiškas turi būti apsaugotas taip, kad prie jo negalėtų prisijungti pašaliniai asmenys. Todėl šiuolaikinės sistemos šifruoja visą saugomą turinį perdavimo ir ramybės metu. Be to, prieiga reguliuojama suteikiant daugiapakopius leidimus, pavyzdžiui, per LDAP arba "Active Directory". Tai reiškia, kad atliekant auditą galima atsekti kiekvieną prieigą.
Patikimas El. pašto šifravimas papildo saugumo koncepciją. Be to, rekomenduojama atlikti automatinį sistemos patikrinimą su kenkėjiškų programų nuskaitymu, kad būtų galima anksti pašalinti pažeistą ar kenksmingą turinį. Užšifruotos atsarginės kopijos ir pasikartojantis bandomasis atkūrimas užtikrina ilgalaikį archyvuotų pranešimų vientisumą.
Kitas žingsnis, kurį dažnai žengia IT skyriai, yra standartizuotų saugumo gairių, taikomų ir produktyviojo el. pašto sistemai, ir archyvui, įgyvendinimas. Taip užtikrinama, kad antivirusinės programos, nepageidaujamų laiškų filtrai ir vykdomųjų priedų apribojimai būtų nuosekliai įgyvendinami abiejose aplinkose. Taip įmonė sumažina riziką, kad į archyvą pateks užkrėstų ar kenkėjiškų failų.
Gairės ir mokymai suteikia aiškumo
Įmonės turėtų turėti aiškius Archyvavimo gairės kuriuose dokumentuojami vidaus procesai ir atsakomybė. Elektroninių laiškų tvarkymo darbo instrukcijos, apibrėžtos saugojimo vietos, saugojimo laikotarpiai ir procedūros ypatingais atvejais (pvz., asmens duomenų) užkerta kelią informacijos praradimui ir sumažina interpretacijų galimybes.
Mokymo kursai padeda darbuotojams išsiugdyti supratimą, kaip teisingai tvarkyti su verslu susijusius el. laiškus. Darbuotojai turėtų žinoti, kaip atpažinti turinį, kurį reikia archyvuoti, ir kada reikia įsikišti rankiniu būdu. Praktinis pavyzdys: automatinis visų el. laiškų iš domenų "@kunde.de" arba "@steuerberater.de" archyvavimas. Taip sistemingai apsaugomos svarbios verslo operacijos.
Be šių mokymo kursų, gali būti naudinga nustatyti vidinius kontaktinius asmenis, į kuriuos galima kreiptis archyvavimo klausimais, pavyzdžiui, archyvavimo pareigūną arba IT skyrių. Tokiu būdu darbuotojai prireikus gali greitai gauti pagalbą ir vertingų žinių. Ypač naudinga naujiems darbuotojams, jei per pirmąsias kelias savaites jie bus supažindinti su el. pašto archyvavimu ir jo svarba.
Automatizavimas ir atitikties kontrolė
Dėl sudėtingo automatizavimo įmonei daug lengviau laikytis vidaus ir išorės taisyklių. Archyvavimo įrankiai gali automatiškai taikyti ištrynimo terminus, grupuoti el. laiškus pagal konkrečias taisykles ir rengti saugojimo būklės ir taisyklių pažeidimų ataskaitas. Atitiktis tampa ne vienkartiniu projektu, o kasdiene IT infrastruktūros dalimi.
Patyrę administratoriai reguliariai atlieka vidaus auditą arba išorės auditorių pagalbą. Taip užtikrinama, kad neliktų teisiškai svarbių spragų. Be to, daugelis sistemų siūlo REST API arba webhooks, kad būtų galima susieti archyvavimą su trečiųjų šalių sistemomis, pavyzdžiui, ERP arba DMS. Tai sumažina rankinių klaidų šaltinius ir padeda efektyviai dirbti.
Dažnai nepakankamai įvertintas veiksnys yra Stebėsena saugojimo išteklių. Automatinis el. pašto archyvavimas gali greitai padidinti duomenų apimtis, ypač jei tai yra dideli priedai. Reguliarus pajėgumų planavimas ir ankstyvas saugyklų pajėgumų išplėtimas padeda išvengti kliūčių. Tai ne tik turi įtakos sistemos našumui, bet ir gali užkirsti kelią netyčiniam senesnių el. laiškų ištrynimui ar perkėlimui į kitą vietą.
Praktiniai patarimai pradedantiesiems ir administratoriams
Veikianti archyvavimo sistema yra labai svarbi, kai kyla teisinių ginčų ar mokestinių patikrinimų. Kiekvieną naują el. pašto archyvavimo projektą pradedu nuo inventorizacijos: kas ir kaip jau saugoma? Ar yra šešėlinių pašto dėžučių? Ar laiškai iki šiol buvo trinami rankiniu būdu? Tik tada pasirenkama tinkama sistema.
Taip pat rekomenduoju sudaryti tipinių įmonės el. laiškų tipų sąrašą ir priskirti jiems konkrečias archyvų klases. Pavyzdžiui: Sąskaitos faktūros → 10 metų, vidinių susitikimų protokolai → neprivaloma archyvuoti. Tai sumažina neapibrėžtumą ir sukuria planavimo skaidrumą. Būtinai atsižvelkite į nuskenuotus popierinius dokumentus ar priedus iš trečiųjų šalių šaltinių ir skaitmeninkite juos laikydamiesi reikalavimų.
Įgyvendinti padeda praktinės taisyklės: pavyzdžiui, galite nurodyti, kad visi el. laiškai su tam tikru kliento ar projekto numeriu pagal nutylėjimą būtų siunčiami į specialų poarchyvą. Taip ne tik užtikrinamas saugumas, bet ir gerokai pagerinamas verslo operacijų atsekamumas. Jei taip pat naudosite aiškias pavadinimų suteikimo taisykles (pvz., "2023_ProjectXY_Invoice.pdf"), tai dar labiau palengvins greitą jų paiešką.
Išplėstiniai praktiniai vadovai: bendri klaidų šaltiniai ir sprendimai
Ypač pradiniame audito patikimo el. pašto archyvavimo diegimo etape susiduriama su tipiškais sunkumais. Pavyzdžiui, dažna klaida yra manyti, kad pakanka tiesiog užfiksuoti visus el. laiškus. Tačiau jei nenustatysite aiškių ištrynimo laikotarpių ir kategorizavimo taisyklių, greitai turėsite kalną duomenų, kuriuose niekas negalės susigaudyti. Tai galima ištaisyti Vaidmens ir teisių modeliskuris nustato, kas turi teisę peržiūrėti ar redaguoti kurias kategorijas.
Antroji dažnai pasitaikanti klaida - kelių nesinchronizuotų archyvavimo sistemų naudojimas. Jei tam tikri projekto el. laiškai rankiniu būdu išsaugomi vietiniuose aplankuose, o kiti el. laiškai patenka į debesijos archyvą, atsiranda spragų arba sutapimų, kurių, kilus abejonėms, nebegalima atsekti. Šiuo atveju taikoma toliau nurodyta tvarka: Vienas tiesos taškas - Turėtų būti sukurta centralizuota sistema, kuri būtų aiškiai atsakinga ir identifikuota kaip autoritetingas šaltinis.
Taip pat nerekomenduoju darbuotojams ištrinti didelio kiekio duomenų iš savo pašto dėžučių iš anksto nepasitarus. Net jei pranešimai yra tik iš pažiūros nesvarbūs, neatsargiai ištrintas bendravimas vėliau gali būti prarastas, kai reikės spręsti garantinius klausimus ar ginčus. Todėl archyvavimas turėtų įsigalioti automatiškai ir be spragų, kad nebebūtų įmanoma filtruoti rankiniu būdu.
Administratoriai taip pat gali reguliariai atlikti bandomuosius atkūrimus: Tai reiškia, kad reikia patikrinti, ar archyvuotus el. laiškus galima atkurti taip, kaip tikėtasi, ir ar teisingai išsaugotas duomenų vientisumas ir laiko žymos. Tokios užduotys ne tik skatina pasitikėjimą archyvu, bet ir atskleidžia techninius ar organizacinius trūkumus, kurie gali likti nepastebėti atliekant nuolatines operacijas.
Tvarumo užtikrinimas užtikrinant reguliarumą
Archyvavimas turi veikti ilgalaikėje perspektyvoje - ne tik vieną kartą, kai jis pradedamas taikyti, bet ir nuolat, kiekvieną dieną. Todėl planuoju reguliarius sistemos patikrinimus, tikrinu įrašų nuoseklumą, atlieku pavyzdines paieškas ir vertinu funkcijų žurnalus. Jei kasmet dokumentuosite, kada ir kaip veikia jūsų archyvas, sutaupysite daug laiko tyrimams kritiniu atveju.
Kartą per metus taip pat atnaujinu naudojamą programinę įrangą ir patikrinu, ar nėra naujų funkcijų arba teisinių pakeitimų. Atnaujinimų nereikėtų nuvertinti - reikalavimai dažnai keičiasi dėl naujų administracinių direktyvų ar konkrečiai pramonei skirtų rekomendacijų. Daugiau apie tai taip pat galite sužinoti mūsų vadove teisiniai reikalavimai ir geriausia praktika.
Elektroninio pašto archyvavimo sprendimo tvarumą galiausiai lemia tai, kaip gerai jį galima pritaikyti prie augančių ir besikeičiančių verslo reikalavimų. Įmonėms, kurios plečiasi arba keičia savo verslo sritį, gali tekti apibrėžti naujas kategorijas ir archyvavimo klases. Integracija į kitas sistemas (pvz., ERP, CRM) taip pat gali augti ir turėtų būti įtraukta į planavimą ankstyvame etape. Kadangi el. pašto archyvavimas dažnai naudojamas kartu su kitomis duomenų atsarginių kopijų strategijomis, patartina sukurti bendrą koncepciją, kurioje būtų numatytas pakankamas rezervas būsimiems pokyčiams.
Ilgalaikiam archyvavimui taip pat reikia žinoti duomenų apsaugos taisykles, kurios laikui bėgant gali keistis. Vienas iš pavyzdžių - buvusių darbuotojų duomenų saugojimas, ypač kai tai susiję su BDAR aktualia informacija. Šiuo atveju įmonė turi pasverti, kurie duomenys turi būti toliau saugomi, o kurie gali ar turi būti ištrinti.
Taip pat nepakankamai įvertinama metaduomenų svarba: Daugelyje archyvavimo sistemų galima saugoti papildomą informaciją, pavyzdžiui, raktinius žodžius arba klientų ID. Jei tokie laukai nuosekliai prižiūrimi, archyvas gali tapti galingu žinių šaltiniu, kuriame daug lengviau rasti istorinius projekto procesus ar bendravimą su klientais. Tai ne tik garantuoja teisinį tikrumą, bet ir suteikia realią pridėtinę vertę kasdienėje veikloje.
Galutiniai svarstymai
Tie, kurie el. pašto archyvavimo klausimus sprendžia išsamiai ir laiku, ilgainiui sutaupys išlaidų ir sumažins riziką. Neišsamus ar nestruktūrizuotas archyvavimas gali labai brangiai kainuoti kritiniu atveju - dėl baudų, pralaimėtų teismo procesų ar sugadintų santykių su klientais dėl neatsekamo bendravimo. Naudodamos aiškias gaires, tinkamai parinktą programinės įrangos sprendimą ir reguliarius patikrinimus, įmonės sukuria stabilų pagrindą profesionaliam el. pašto duomenų tvarkymui.
