Zásady ochrany osobních údajů a zabezpečení dat v aplikaci Škola OnLine
Zásady ochrany osobních údajů a zabezpečení dat v aplikaci Škola OnLine
Základní ustanovení
Podmínky uvedené v těchto zásadách se vztahují na data a služby poskytované společností ŠKOLA ONLINE a.s. v rámci bezplatných služeb či služeb za úhradu na základě písemné smlouvy vztahující se k SW produktu Škola OnLine (dále SOL).
Definice odpovědností
Pro operace s osobními údaji v rámci aplikace SOL rozlišujeme role správce a zpracovatele:
Správce osobních údajů – subjekt, který v rámci smluvního vztahu pořídí služby SW produktu SOL (zákazník). Správce nese plnou odpovědnost za soulad zpracování osobních údajů s GDPR (článek 24 GDPR). Správce garantuje zpracovateli existenci řádných právních důvodů zpracování osobních údajů.
Zpracovatel osobních údajů – ŠKOLA ONLINE a.s. jako provozovatel aplikace SOL přebírá na základě smluvního vtahu, včetně případných příloh a dodatků, roli zpracovatele osobních údajů (článek 28 GDPR). ŠKOLA ONLINE a.s. zpracovává osobní údaje pouze na základě doložených pokynů správce.
V případě doplňkových služeb aplikace SOL objednaných přímo subjekty údajů (např. zasílání informací o prospěchu pomocí SMS) je správcem osobních údajů ŠKOLA ONLINE a.s.
Rozsah zpracovávaných dat
Pro plnění služeb, které zákazníci objednají v rámci produktu SOL, jsou zpracovávány tyto kategorie dat:
1) Data o zákazníkovi – data poskytnutá zákazníkem určená pro plnění smlouvy (např. kontaktní údaje na ředitele, správce aplikace apod.)
2) Informace poskytnuté zákazníkem – osobní data, která zákazníci jako správci OÚ získají od subjektů údajů a vloží je do aplikace SOL nebo toto právo přenesou přímo na subjekt údajů
3) Informace o využití služeb – informace o operacích prováděných zákazníky s daty uloženými v aplikaci SOL, informace slouží pro auditní a forenzní účely a v případě regulérního provozu nejsou nijak dále zpracovávány
a. Informace o zařízení a protokolu – identifikátor zařízení, ze kterého se přistupuje k datům v aplikaci SOL a identifikace místa v síti, ze kterého bylo k datům přistupováno
b. Místní úložiště a cookie – technologie webové komunikace vyžaduje používání souborů cookie nebo podobných technologií pro ukládání informací o aktuálním uživateli
Data poskytnutá zákazníkem (správcovská data), včetně dat o využití služeb, využívá společnost ŠKOLA ONLINE a.s. výhradně pro naplnění služeb zákazníkům, včetně účelů kompatibilních s poskytováním těchto služeb. ŠKOLA ONLINE a.s. nebude správcovská data využívat ani z nich nebude odvozovat informace pro žádné reklamní či jiné komerční účely. Zákazníci mají zachována všechna práva, včetně práv duševního vlastnictví, k datům v aplikaci SOL. ŠKOLA ONLINE a.s. nezískává k zákaznickým datům žádná práva s výjimkou práv, která společnosti ŠKOLA ONLINE a.s. přidělí zákazník pro poskytování služeb souvisejících s provozem SW SOL..
Povinnosti Zpracovatele z pohledu GDPR
Společnost ŠKOLA ONLINE a.s. deklaruje, že její materiální, organizační, technické i personální zdroje poskytují zákazníkům dostatečné záruky, že zpracování osobních údajů bude v souladu s GDPR a bude zajištěna ochrana práv subjektů údajů (článek 28 odstavec 1 GDPR)
Společnost ŠKOLA ONLINE a.s. nezapojí jiného zpracovatele bez předchozího konkrétního nebo obecného písemného oprávnění od zákazníka, jakožto správce osobních údajů. V případě obecného písemného oprávnění bude společnost ŠKOLA ONLINE a.s. informovat zákazníka o veškerých zamýšlených změnách týkajících se přijetí dalších nebo výměny stávajících zpracovatelů a poskytne tím zákazníkovi možnost vznést námitku proti takovým změnám. (článek 28 odstavec 2 GDPR)
Zpracování osobních údajů společností ŠKOLA ONLINE a.s. se řídí platnou smlouvou o poskytování služeb aplikace SOL a podmínkami obecného nařízení o zpracování osobních údajů (článek 28 odstavec 3 GDPR). Předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů, kategorie subjektů údajů a povinnosti a práva zákazníka jsou ve smlouvě (vč. dodatků a příloh) přesně stanoveny. Zejména je upraveno, že zpracovatel:
1. zpracovává osobní údaje pouze na základě zdokumentovaných pokynů od zákazníka;
2. zajití, že osoby, které mají oprávnění zpracovávat osobní údaje, se zavázaly dodržovat jejich důvěrnost nebo se na ně vztahuje zákonná povinnost mlčenlivosti;
3. přijme všechna opatření požadovaná článkem 32 GDPR (zabezpečení osobních údajů);
4. dodrží podmínky pro zapojení dalšího zpracovatele dle odstavců 2 a 4 článku 28 GDPR;
5. bude brát v úvahu povahu zpracování a bude v rámci možností napomáhat zákazníkovi prostřednictvím příslušných technických a organizačních opatření při plnění povinnosti správce reagovat na žádosti o uplatňování práv subjektu údajů stanovených v kapitole III GDPR;
6. bude napomáhat zákazníkovi při zajištění shody s povinnostmi stanovenými články 32 až 36 GDPR s ohledem na povahu zpracování a informací, které má ŠKOLA ONLINE a.s. k dispozici (zabezpečení OÚ a předchozí konzultace);
7. na žádost zákazníka odstraní nebo vrátí zákazníkovi veškeré osobní údaje na konci poskytování služeb souvisejících se zpracováním a vymaže existující kopie;
8. poskytne zákazníkovi veškeré informace nezbytné k prokázání shody s povinnostmi stanovenými v článku 28 GDPR a umožní audity, včetně inspekcí, prováděné zákazníkem nebo jím pověřeným auditorem, a bude zákazníkovi při těchto činnostech napomáhat;
9. neprodleně informuje zákazníka v případě, pokud zjistí, že některý z pokynů zákazníka jako správce OÚ porušuje obecné nařízení o zpracování osobních údajů nebo jiné právní předpisy.
Pokud společnost ŠKOLA ONLINE a.s. pověří jiného zpracovatele realizací konkrétních činností zpracování jménem zákazníka, budou pro něj platit stejné povinnosti ohledně ochrany dat, jaké jsou stanoveny v těchto zásadách. Jde zejména o poskytnutí dostatečných záruk implementace vhodných technických a organizačních opatření způsobem, že zpracování splní požadavky GDPR a bude v souladu s pokyny správce. Neplní-li další zpracovatel své povinnosti v oblasti ochrany osobních údajů, nese společnost ŠKOLA ONLINE a.s. plnou odpovědnost vůči zákazníkovi za výkon povinností tohoto zpracovatele. (Článek 28 odstavec 4 GDPR)
Dílčí zpracovatelé
Zákazník je srozuměn s tím, že společnost ŠKOLA ONLINE a.s. může zapojit do zpracování osobních údajů dílčí zpracovatele v souladu s článkem 28 odstavcem 4 GDPR.
ŠKOLA ONLINE a.s. ručí za to, že dílčí zpracovatelé budou vázáni písemnými dohodami, které od nich vyžadují zajištění přinejmenším takové úrovně ochrany údajů, jaká je definovaná v těchto zásadách a povinnostech zpracovatele dle GDPR.
ŠKOLA ONLINE a.s. se zavazuje vydat na požádání zákazníkům seznam stávajících dílčích zpracovatelů. Minimálně 14 dní před poskytnutím oprávnění novému dílčímu zpracovateli pro přístup k osobním údajům informuje ŠKOLA ONLINE a.s. všechny zákazníky o tomto záměru. Pokud zákazník nového dílčího zpracovatele neschválí, může z tohoto důvodu vypovědět smlouvu o poskytování služeb aplikace SOL.
Záznamy aktivit zpracování
Společnost ŠKOLA ONLINE a.s. jako zpracovatel osobních údajů bude uchovávat veškeré záznamy o zpracování požadované článkem 30 odstavec 2 GDPR. Záznamy jsou vedeny písemně a na vyžádání budou předloženy zákazníkovi či dozorovému úřadu.
Zabezpečení zpracování OÚ
Prioritou společnosti ŠKOLA ONLINE a.s. je maximálně chránit zákaznická data v aplikaci SOL. ŠKOLA ONLINE a.s. implementovala a uplatňuje aktuální bezpečnostní standardy, technická a organizační opatření určená k ochraně zákaznických dat. Zejména klade důraz na ochranu před ztrátou či nezáměrnou změnou dat, neoprávněným nebo nezákonným přístupem, zveřejněním, pozměněním či zničením dat.
S přihlédnutím k současnému stavu vývoje v IT, nákladům na realizaci, povaze, rozsahu, kontextu a účelu zpracování, stejně jako s ohledem na různě pravděpodobná rizika a závažnosti dopadu do práv a svobod fyzických osob, bude zákazník a společnost ŠKOLA ONLINE a.s. implementovat vhodná technická a organizační opatření pro zajištění úrovně zabezpečení odpovídající definovaným rizikům (článek 32 odstavec 1 GDPR). Takovými opatřeními mohou být:
1. pseudonymizace a šifrování osobních údajů;
2. schopnosti zajistit důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
3. schopnost obnovit dostupnost osobních údajů a včasný přístup k nim v případě fyzického nebo technického problému;
4. realizace procesu pravidelného testování, přístupu a posouzení efektivity technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Při analýze vhodné úrovně zabezpečení se zejména posuzují rizika, která představuje náhodné nebo nezákonné zničení, ztráta, pozměnění, neautorizované zveřejnění nebo neautorizovaný přístup k osobním údajům. (článek 32 odstavec 2 GDPR)
Zákazník i společnost ŠKOLA ONLINE a.s. jsou povinni přijmout opatření, aby jakákoli fyzická osoba, která jedná z pověření zákazníka nebo společnosti a která má přístup k osobním údajům, nebude tyto údaje zpracovávat s výjimkou případů, kdy k tomu dostala pokyn od zákazníka. (článek 32 odstavec 4) Společnost ŠKOLA ONLINE a.s. nenese odpovědnost za únik či poškození dat způsobené zaměstnancem zákazníka či jinou osobou, která má do aplikace SOL přístup na základě zmocnění zákazníka.
Porušení zabezpečení osobních údajů
Pokud společnost ŠKOLA ONLINE a.s. zjistí jakýkoli neoprávněný přístup k zákaznickým datům v aplikaci SOL (tzv.
„bezpečnostní incident“), neprodleně informuje zákazníka o vzniklém problému, prošetří bezpečnostní incident, poskytne zákazníkovi podrobné informace o bezpečnostním incidentu a provede příslušné kroky ke zmírnění účinků a k minimalizaci škod.
Oznámení o bezpečnostních incidentech budou doručena jedné či více oprávněným osobám zákazníka a to adekvátní formou včetně elektronické komunikace. Zákazník výhradně zodpovídá za to, že jeho oprávněné osoby (např. statutární zástupce, pověřenec pro ochranu osobních údajů) budou stále udržovat přesné kontaktní údaje. Povinnost zpracovatele nahlásit bezpečnostní incident nebo na něj adekvátně reagovat neznamená, že společnost ŠKOLA ONLINE a.s. uznává odpovědnost v souvislosti s tímto bezpečnostním incidentem.
Zákazník se zavazuje informovat společnost ŠKOLA ONLINE a.s. o skutečném či předpokládaném zneužití svých účtů, přístupových či ověřovacích údajů aby zpracovatel mohl adekvátně a včas reagovat a minimalizovat bezpečnostní incidenty.
Oznamovací povinnost při bezpečnostních incidentech
Jakmile společnost ŠKOLA ONLINE a.s. zjistí porušení bezpečnosti osobních údajů v aplikaci SOL, neprodleně o tom uvědomí zákazníka a to bez zbytečného odkladu. (Článek 33 odstavec 2 GDPR).
Součástí upozornění bude zejména:
1. povaha narušení bezpečnosti osobních údajů, a pokud je to možné, kategorie a přibližný počet dotčených subjektů údajů a kategorie a přibližný počet záznamů osobních údajů;
2. jméno a kontaktní údaje specialisty pro ochranu osobních údajů nebo jiné kontaktní osoby, od níž lze získat více informací k incidentu;
3. popis pravděpodobných důsledků narušení bezpečnosti osobních údajů;
4. popis podniknutých nebo navržených opatření, která má provést správce v rámci vyřešení narušení bezpečnosti osobních údajů, včetně příslušných opatření na zmírnění možných nežádoucích dopadů. (Článek 33, odstavec 3 GDPR)
Povinnost oznámit porušení zabezpečení osobních údajů dozorovému úřadu (článek 33, odstavec 1 GDPR) a v případě vysokého rizika dopadu do práv subjetku údajů též subjektu údajů (článek 34 GDPR) má zákazník jako správce osobních údajů. ŠKOLA ONLINE a.s. mu v tom poskytne veškerou nutnou součinnost.
Použití údajů o technické a uživatelské podpoře
Údaje o technické a uživatelské podpoře budou používány pouze pro účely poskytnutí podpory zákazníkovi včetně účelů kompatibilních s poskytováním takovéto podpory (např. řešení opakovaných problémů, často kladené otázky, vylepšení služeb zákaznické podpory apod.). Společnost ŠKOLA ONLINE a.s. nebude data získaná v rámci služeb zákaznické podpory využívat ani z nich nebude odvozovat informace pro žádné reklamní či podobné komerční účely bez povolení zákazníka. Osobní údaje o subjektech údajů bude ŠKOLA ONLINE a.s. v tomto případě zpracovávat jako správce osobních údajů, přičemž právním titulem pro nakládání s OÚ je plnění smlouvy.
Místo zpracování dat
Osobní data uložená v aplikaci SOL jsou umístěna v renomovaném datovém centru v České republice. Toto centrum splňuje vysoké nároky na kybernetickou bezpečnost a je certifikováno dle ISO/IEC 27001:2013 pro ICT a cloudové služby. Elektronický přístup k datům je řešen pomocí sofistikované bezpečnostní cloudové infrastruktury, fyzický přístup k serverům podléhá přísným bezpečnostním protokolům a je monitorován v režimu 24/7. Infrastruktura využívaného datového centra je součástí
kritické informační infrastruktury na území ČR ve smyslu zákona č. 181/2014 Sb., poskytovatel xxxxxxxxxx služeb má rovněž prověrku od NBÚ dle zákona č. 412/2005 Sb.
Pomoc zákazníkům při řešení žádostí subjektů údajů
Společnost ŠKOLA ONLINE a.s. v aplikaci SOL garantuje zákazníkům online přístup k osobním údajům subjektu údajů a tím jim umožňuje plnit žádosti subjektů údajů na uplatnění jednoho nebo více jejich práv v rámci GDPR. U dat týkající se využití služeb, která nejsou v aplikaci běžně dostupná, vyhoví společnost ŠKOLA ONLINE a.s. v přiměřené míře žádostem zákazníka, aby mu napomohla vyřídit takovou žádost subjektu údajů.
Pokud ŠKOLA ONLINE a.s. obdrží žádost přímo od subjektu údajů na uplatnění jednoho nebo více svých práv v rámci obecného nařízení o zpracování osobních údajů, přesměruje subjekt údajů tak, aby jeho žádost byla adresována přímo na příslušného zákazníka, jenž je správcem osobních údajů.
Kontaktní údaje pro oblast zabezpečení a GDPR
Pokud se zákazník aplikace SOL domnívá, že společnost ŠKOLA ONLINE a.s. nedodržuje své závazky v oblasti ochrany osobních údajů a zabezpečení, může kontaktovat zákaznickou podporu nebo se přímo obrátit na pověřence pro ochranu osobních údajů.
Zákaznická podpora: ŠKOLA ONLINE a.s.
Karlovo nám. 17
120 00, PRAHA 2
x000 000 000 000
Pověřenec pro ochranu osobních údajů: ŠKOLA ONLINE a.s.
Xxx. Xxxxx Xxxxxxx Xxxxxx 0
301 00, Plzeň
x000 000 000 000
Verze dokumentu
Verze 1.0 vydaná dne 1. 12. 2017
Tato verze v plném rozsahu nahrazuje verzi 0,1 vydanou dne 22. 10. 2017. Aktuální znění Obecného nařízení je k dispozici zde.