RÁMCOVÁ
RÁMCOVÁ
SMLOUVA O ZPRACOVÁNÍ DAT
OBSAH
3
3
3 Technická a organizační opatření
4
4
5
5
7 Porušení zabezpečení osobních dat
6
6
6
10 Příloha 1: Kontaktní údaje pro záležitosti související s ochranou dat
7
11 Příloha 2: Technická a organizační opatření
8
1 Předmět a trvání DPA
(1) Tato smlouva o zpracování dat („DPA“) je nedílnou součástí Smlouvy o poskytování služeb nebo jiné smlouvy mezi Zákazníkem (správce) a společností SoftwareONE (zpracovatel) a upravuje poskytování služeb společností SoftwareONE správci v případech, kdy takovou DPA vyžadují k využívání služeb společnosti SoftwareONE příslušné zákony o ochraně dat.
(2) Tato DPA upravuje práva a povinnosti stran v oblasti zpracování osobních dat. Podrobnosti ohledně vykonávaných operací zpracování dat, mimo jiné předmětu, povahy a účelu zpracování, typu osobních dat a kategorií subjektů dat, jsou stranami upraveny v dodatku o zpracování dat (dále jen
„dodatek“), který je nedílnou součástí této DPA u zavírá se na povinném základě.
(3) Tato DPA bude platit, dokud bude společnost SoftwareONE zpracovávat osobní data jménem správce
podle Xxxxxxx o poskytování služeb nebo jiné smlouvy mezi správcem a společností SoftwareONE.
2 Pokyny správce
(1) Správce odpovídá za dodržování předpisů o ochraně dat, zejména za zákonnost zpracování dat a za
práva subjektu dat dle ustanovení o ochraně dat.
(2) Zpracovatel zpracovává osobní data poskytovaná správcem výhradně v rozsahu dohodnutých předpisů a dle písemných pokynů správce. Dodatečné pokyny nad rámec pokynů, které jsou uděleny v této DPA nebo jejichž udělení je zde dohodnuto, vyžadují předchozí písemnou smlouvu mezi zpracovatelem a správcem, včetně smlouvy o veškerých dalších poplatcích hrazených správcem zpracovateli za provádění takových pokynů.
(3) Zpracování probíhá výhradně v souladu s pokyny správce s výjimkou případů, kdy se po zpracovateli požaduje zpracování osobních dat podle zákonů Unie nebo členských států. V takových případech zpracovatel ještě před zpracováním vyrozumí o příslušných zákonných požadavcích správce, nejsou- li dotčené informace zakázány z důležitých důvodů veřejného zájmu.
(4) Pokud se zpracovatel domnívá, že pokyny udělené správcem porušují příslušné právní předpisy o ochraně dat, vyrozumí o tom zpracovatel neprodleně správce ještě před vykonáním takových pokynů. Pokud navzdory tomu, že zpracovatel na takové pokyny upozorní, správce na výkonu takových pokynů trvá, má zpracovatel právo výkon příslušných pokynů pozastavit do té doby, než je správce změní.
3 Technická a organizační opatření
(1) Zpracovatel zavede náležitá technická a organizační bezpečnostní opatření pro zpracování dat v souladu s přílohou 2 této DPA. Správce souhlasí s tím, že tato bezpečnostní opatření jsou přiměřená vzhledem k rizikům spojeným se specifickými operacemi zpracování osobních dat.
(2) Zpracovatel může přijatá opatření přizpůsobovat budoucímu technickému a organizačnímu vývoji. Zpracovatel smí tyto úpravy provádět jen tehdy, jestliže splňují minimálně předchozí úroveň zabezpečení. Zpracovatel je povinen informovat správce jen o změnách, které jsou podstatné.
4 Povinnosti zpracovatele
(1) Zpracovatel zaručuje a zavazuje se, že všichni zaměstnanci zapojení do postupů zpracování dat budou obeznámeni s příslušnými nařízeními o ochraně dat. Zpracovatel zaručuje, že xxxx zaměstnanci budou zavázáni k zachování důvěrnosti a budou vázáni odpovídající právní povinností zachovávat mlčenlivost.
(2) Zpracovatel může přistupovat k osobním datům správce jen tehdy, je-li to nezbytné pro účely výkonu
zpracování dat.
(3) Strany se dohodly, že poskytnou kontaktní údaje jmenovaného pracovníka pro ochranu dat nebo kontaktní osoby pro záležitosti související s ochranou dat ve své organizaci, aby umožnily veškerou potřebnou komunikaci mezi stranami týkající se této DPA. Příslušné údaje jsou uvedeny v příloze 1 této smlouvy.
(4) Zpracovatel bude správci poskytovat podporu, aby zajistil, že správce bude moci plnit svou povinnost odpovídat na žádosti o vykonání práv subjektu dat, t.j. práva na přístup, opravu a výmaz dat, omezení zpracování, přenositelnost dat a práva na námitky. Informace související s těmito žádostmi mohou být poskytnuty subjektům dat jen na základě předchozího pokynu správce. Pokud subjekt dat uplatní u zpracovatele svá práva na ochranu dat, předá zpracovatel tento požadavek správci.
(5) V míře vyžadované zákonem pomůže zpracovatel správci se správcovou povinností provést posouzení vlivu na ochranu osobních dat tam, kde se to vyžaduje, a bude-li to nutné, s předchozími konzultacemi s dozorovými úřady s přihlédnutím k povaze zpracování a informacím dostupným zpracovateli.
(6) Zpracování osobních dat ve třetí zemi mimo EU/EHP, popř. ve Švýcarsku, popř. ve Spojeném království, vyžaduje uzavření odpovídajících standardních smluvních doložek nebo jiných právních požadavků na takové předání. Zapojuje-li zpracovatel dílčího zpracovatele, který je dovozcem dat (jak je definován ve standardních smluvních doložkách), má zpracovatel právo a povinnost uzavřít s takovým dílčím zpracovatelem standardní smluvní doložky jménem správce a k němu přidružených subjektů.
5 Dílčí zpracování
(1) Zpracovatel může pověřit dílčí zpracovatele až poté, co vyrozumí správce o každé z plánovaných schůzek či změn, což správci dává možnost vznést proti daným změnám námitky. Správce může vznést námitky proti navrhovaným změnám jen z opodstatněných důvodů. Vznese-li správce námitky vůči zapojení dalšího dílčího zpracovatele, budou strany v dobré víře spolupracovat, aby nalezly oboustranně přijatelné řešení těchto námitek. V rozsahu, v jakém nelze oboustranně přijatelného řešení dosáhnout, budou mít obě strany právo s okamžitou platností zcela či zčásti ukončit dotčené služby.
(2) Vztah dílčího zpracování vzniká, když zpracovatel zcela či zčásti jmenuje další(ho) zpracovatele, aby poskytoval(i) služby sjednané v této DPA. Pomocné služby, které jsou poskytovány zpracovateli a jménem zpracovatele poskytovateli služeb představujícími třetí stranu a které mohou zpracovatele podporovat ve výkonu jeho povinností, se za dílčí zpracování ve smyslu této DPA nepovažují. Takové služby mohou zahrnovat například poskytování telekomunikačních služeb či správu infrastruktury.
(3) Dílčí zpracovatel smí získat přístup k osobním datům správce až poté, co zpracovatel na základě písemné smlouvy zajistí, aby po dílčím zpracovateli byla vyžadována srovnatelná úroveň povinností v oblasti ochrany dat a zejména aby byly poskytnuty odpovídající záruky, pokud jde o provádění vhodných technických a organizačních opatření.
(4) Všichni v současné době jmenovaní dílčí zpracovatelé jsou uvedeni v příslušném dodatku o zpracování dat a v dodatcích o zpracování dat ke konkrétním službám. Společnost SoftwareONE může čas od času aktualizovat platný seznam dílčích zpracovatelů v příslušném dodatku o zpracování dat, přičemž správce patřičně vyrozumí prostřednictvím kontaktních údajů poskytnutých ve Smlouvě o poskytování služeb.
6 Auditorská práva správce
Zpracovatel v rozsahu vyžadovaném zákonem souhlasí s tím, že správce nebo jiný auditor pověřený správcem bude mít právo po předchozím písemném oznámení sledovat dodržování příslušných právních předpisů o ochraně dat a této DPA, a to s využitím přiměřených a vhodných prostředků, včetně žádostí o příslušné dokumenty a informace a vstupu do podnikových prostor zpracovatele ve vyhrazených úředních hodinách. Doklad o řádném zpracování dat lze poskytnout také formou vhodných a platných certifikátů o zabezpečení IT (např. ISO 27001), pakliže se konkrétní předmět certifikace vztahuje na činnost zpracování dat vykonávanou v konkrétním případě. Zpracovatel souhlasí s tím, že v souladu se svými povinnostmi v rámci této DPA ponese náklady na jeden výroční audit nebo inspekci tak, jak to určí správce. Náklady na audit nebo inspekce vzniklé na základě dalších požadavků správce ponese správce, s výjimkou případů incidentů souvisejících s daty, k nimž došlo na základě zpracovatelské činnosti zpracovatele. V takových případech ponese náklady na příslušný audit zpracovatel.
7 Porušení zabezpečení osobních dat
Zpracovatel bez zbytečného prodlení vyrozumí správce, pokud se dozví o případu náhodného nebo nepovoleného zničení, ztráty či pozměnění osobních dat, jejich neoprávněného poskytnutí či neoprávněného přístupu k nim (dále porušení zabezpečení osobních dat), který pravděpodobně vyústí v ohrožení práva a svobod dotčených subjektů dat. Poskytovatel musí poskytnout nejméně následující informace:
a) Popis povahy porušení zabezpečení osobních dat, kategorii a přibližný počet subjektů dat a záznamů
osobních dat;
b) Jméno a kontaktní údaje pracovníka pro ochranu dat nebo jiné kontaktní osoby, od níž lze získat další
informace;
c) Popis veškerých pravděpodobných následků porušení; a
d) Popis opatření přijatých či navrhovaných zpracovatelem k nápravě či zmírnění porušení.
8 Ukončení smlouvy
(1) Po ukončení či vypršení této DPA zpracovatel všechna osobní data vrátí nebo smaže, podle rozhodnutí správce, pakliže neplatí povinnost uchovávat záznamy z důvodu povinných archivačních lhůt stanovených zákonem.
(2) Správce může tuto DPA vypovědět bez výpovědní lhůty v případě, že zpracovatel poruší podmínky této DPA nebo příslušné zákony o ochraně dat a nebude tak možné rozumně předpokládat, že správce bude nadále zpracovávat data až do vypršení výpovědní lhůty nebo sjednaného ukončení DPA.
9 Závěrečná ustanovení
(1) Strany se dohodly, že na závazky stran vzniklé na základě této DPA nebo v souvislosti s ní se budou vztahovat omezení a vyloučení odpovědnosti stanovená ve Xxxxxxx o poskytování služeb. Strany se dohodly, že žádná z omezení a vyloučení odpovědnosti stanovených ve Xxxxxxx o poskytování služeb se nebudou vztahovat na závazky stran vůči subjektům dat v rozsahu, v jakém jsou tato omezení či vyloučení zakázána příslušnými zákony o ochraně dat.
(2) Stane-li se některé ustanovení této DPA nevymahatelným, neovlivní to platnost ani vymahatelnost
žádného jiného ustanovení této DPA.
10 Příloha 1: Kontaktní údaje pro záležitosti související s
ochranou dat
1. Správce
Kontaktní údaje správce budou poskytnuty ve Xxxxxxx o poskytování služeb.
2. Zpracovatel
E-mail: xxxx-xxxxxxxxxx.xxxxxx@xxxxxxxxxxx.xxx
Další informace poskytne [xxx.xxxxxxxxxxx.xxx/xx/xxxxx/xxxxxxx-xxxxxx/xxxx-xxxxxxxxxx-xxxxxxx], jmenovaný pracovník pro ochranu dat společnosti SoftwareONE.
11 Příloha 2: Technická a organizační opatření
1. Důvěrnost |
Kontrola přístupu Nepovolaným osobám bude odepřen přístup k zařízením pro zpracování dat, která zpracovávají nebo používají osobní data, a to prostřednictvím následujících opatření. Přidělená oprávnění jsou pravidelně kontrolována z hlediska potřebnosti. |
Technická opatření • Alarm • Systém automatického řízení přístupu • Čipové karty / transpodérové systémy • Systém manuálního zamykání • Bezpečnostní zámky • Systém zamykání s kódovým zámkem |
Organizační opatření • Dokumentované předání klíčů, čipových karet atd. • Recepce • Návštěvy v doprovodu zaměstnanců • Opatrnost při volbě úklidových služeb |
Systém řízení přístupu Přístup k informačním systémům je udělován výhradně dle zásady „vědět jen nejnutnější“. Jsou přijata následující opatření k zamezení užívání nepovolených systémů zpracování dat: |
Technická opatření • Přihlášení pomocí uživatelského jména + hesla • Užívání monitorovaného a aktuálního antivirového systému |
• Brána firewall • Systémy detekce narušení; vedle vlastních systémů detekce narušení společnosti SoftwareONE je infrastruktura chráněna také zabezpečením společnosti Microsoft pro platformu Azure. Podrobnosti jsou k dispozici zde: Zabezpečení infrastruktury Azure | Dokumenty Microsoft • Správa mobilních zařízení • MS DirectAccess s tunelem IPSec do datového centra společnosti SoftwareONE • Za účelem přístupu k řízeným cloudovým prostředím společnosti SoftwareONE provozuje společnost SoftwareONE řešení pro ochranu přístupu na bázi VDI s MFA, ale bez možnosti připojení k VPN z podnikové sítě. • Šifrování datových nosičů • Šifrování smartphonů Kapesní mobilní zařízení jsou nastavena tak, aby je nebylo možno použít bez zadání přístupového hesla. Xxxx PIN jsou minimálně čtyřmístné. Zařízení jsou zabezpečena základním šifrováním dle metod výrobce. • Ochrana BIOS (samostatné heslo) • Automatický zámek pracovní plochy • Šifrování: Všechna zařízení jsou šifrována nástrojem BitLocker – 256bitové šifrování AES • Skartovačka (min. úroveň 4, příčný řez) • Externí poskytovatel služeb pro skartování dokumentů (DIN 66399) • Fyzické smazání datových médií • Microsoft Azure bezpečně vymaže nebo zničí jednotky užívané k ukládání, u nichž dojde k hardwarovému selhání. Při odstavení jsou tato zařízení vyprázdněna nebo zničena v souladu s NIST 800-88 Pokyny pro sanitaci médií. Další podrobnosti jsou k dispozici zde: xxxxx://xxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxxxx/xxxxxxx/xxx-xxx-xxxx-xxxx |
Organizační opatření • Správa uživatelských oprávnění: Všechny přístupy a identifikátory („účty“) jsou přidělovány výhradně konkrétním osobám. Není povoleno použití účtů více osobami (skupinové účty). Pokud se skupinovým účtům nelze vyhnout, je zajištěna možnost přiřadit přesný čas, kdy skupinový účet použila konkrétní fyzická osoba. Všechna přiřazení a odebrání oprávnění jsou dokumentována v systému lístků. |
• Vytváření profilů uživatelů • Centrální správa hesel • Zásady hesel Volená hesla jsou dostatečně složitá a kvalitní. V zájmu dostatečné složitosti a kvality se vyžaduje délka nejméně 12 znaků a použití každé ze 3 kategorií znaků (malá a velká písmena, číslice a speciální znaky), jsou zakázány obecné pojmy a vlastní jména a nepřipouští se nejméně 5 předchozích hesel. Pravidelně se vyžaduje změna hesla. Informační systém nutí uživatele, aby výše uvedené specifikace hesel dodržoval. Pravidla hesel odpovídají současným platným doporučením BSI. Je-li desetkrát za sebou zadán nesprávný údaj, je účet zablokován. • Zásady uchovávání dat • Obecné zásady zabezpečení informací • Ochrana dat a zásady ochrany osobních dat • Zásady zabezpečení pro systémy společnosti SoftwareONE přistupující k prostředkům IT ze zabezpečené domácí sítě, které zahrnují pravidla pro použití mobilních zařízení • Když uživatel opustí systém nebo je nečinný, aktivuje se nejpozději po 20 minutách šetřič obrazovky. K deaktivaci šetřiče obrazovky je nutné zadat heslo. Když zaměstnanec opouští pracovní stanici, musí počítač manuálně uzamknout. • Pro případ práce z domova byly zveřejněny zásady „Ochrana dat a práce z domova“. |
Řízení přístupu k datům Společnost SoftwareONE zajistí, aby osoby oprávněné užívat systém pro zpracování dat mohly přistupovat k datům jen na základě svých přístupových práv a aby během zpracování nebylo možno osobní data číst, kopírovat, měnit ani odstraňovat bez oprávnění. |
Technická opatření • Protokolování přístupů k aplikacím, konkrétně v průběhu zadávání, úpravy a mazání dat • Pro případ potřeby údržby systémů jsou odděleny produkční a zkušební systémy. |
Organizační opatření • Použití autorizačních konceptů: Společnost SoftwareONE zajistí, aby přístup k datům měly pouze osoby, které jsou zapojeny do plnění příslušného úkolu. Za tímto účelem byla zavedena náležitá opatření pro autorizaci přístupu (profily, skupiny, role atd). Je zaveden diferenciovaný autorizační koncept, který upravuje přístup |
zaměstnanců společnosti SoftwareONE k datům správce. Přístupová práva zaměstnanců k datům správce uděluje na vyžádání oddělení IT. Požadavek musí schválit nadřízený zaměstnanec. Udělené autorizace jsou ověřovány při revizích v rámci ročních účetních závěrek a auditů zabezpečení. • Je zaveden koncept víceúrovňového oprávnění ke správě. Pro nouzové situace je k dispozici centrální chráněný repositář přístupů ke správě, který je dostupný se souhlasem vedení oddělení IT. • Správa uživatelských práv správcem |
Řízení oddělenosti Společnost SoftwareONE přijímá následující opatření k zajištění toho, aby data shromážděná k různým účelům mohla být zpracována odděleně. Oddělení dat je navrženo tak, aby nebylo možno směšovat data určená k různým účelům zpracování nebo pro různé smluvní partnery či zákazníky. Toto logické oddělení dat objednávek správce od ostatních dat je uplatňováno soustavně. Postupy užívané ke zpracování dat objednávek podporují více klientů. |
Technická opatření • Oddělení produkčního a zkušebního prostředí • Logické oddělení (systémy / databáze / datové nosiče) • Podpora více klientů u příslušných aplikací |
Organizační opatření • Řízení na základě autorizačního konceptu • Definice databázových práv • Záznamy jsou poskytovány s atributy účelu. |
2. Integrita |
Řízení předávání Společnost SoftwareONE zajistí, aby v průběhu elektronického přenosu dat, jejich přepravy a ukládání na datové nosiče nebylo možno osobní data číst, kopírovat, upravovat ani odstraňovat bez oprávnění a aby dle zařízení pro přenos dat bylo možno ověřit a stanovit, do které destinace se osobní data mají přenášet. |
Technická opatření |
• Šifrování Zaměstnanci jsou instruováni, aby při ukládání a zasílání osobních dat a jejich přenosu na mobilní datové nosiče (CD, jednotky USB, paměťové karty atd.) využívali možnost šifrování ze strany systému. Přístup k systémům společnosti SoftwareONE pro zpracování dat a bezdrátový přenos osobních dat (WLAN, Bluetooth, atd.) v rámci podnikové sítě za účelem vzdálené údržby nebo služeb je možný jen prostřednictvím zabezpečených šifrovaných připojení (minimálně WPA2 u WLAN, 128bitové šifrování AES u Bluetooth). • Použití VPN • Protokolování přístupů a načítání • Je zaveden koncept šifrování i systém pro správu klíčů: • 256bitové šifrování přenosu HTTPS/SSL • Certifikáty SSL • Algoritmus podpisu SHA256-RSA • Veřejný klíč v podobě 2048bitového autentizačního ověřovací tokenu RSA • Využívání podpisových postupů |
Organizační opatření • Dokumentování příjemců dat a trvání plánovaného přenosu nebo dob odstraňování • Přehled pravidelných předjednaných a přenosových procesů • Osobní dodání s protokolem |
Řízení vstupů Společnost SoftwareONE zaručuje, že bude možné následně ověřit a určit, zda a kým byla osobní data v systémech pro zpracování dat zadána, upravena či odstraněna. Informační systémy budou nakonfigurovány tak, aby bylo k dispozici protokolování procesů s náležitou podporou pro správu operací, zabezpečení a ochrany dat. U důležitých objektů se protokolují přihlášení, přístupy a změny dat. Tato funkce je aktivována u ústředních softwarových aplikací, které nabízejí možnosti protokolování a historie změn. Je-li to nutné, vyhodnocují se protokoly z hlediska konkrétního účelu. |
Technická opatření • Technické protokolování zadávání, úpravy a mazání dat • Manuální nebo automatizovaná kontrola protokolů |
Organizační opatření • Přehled o tom, jakými programy lze zadávat, měnit a mazat jaká data • Možnost vystopovat zadání, úpravu či smazání dat ke konkrétním uživatelským jménům (nikoli skupinám uživatelů) • Udělování práv k přístupu, změně a mazání dat na základě autorizačního konceptu • Ukládání formulářů, z nichž lze přenášet data do automatizovaných operací zpracování • Jasně vymezená odpovědnost za mazání |
3. Dostupnost a odolnost |
Kontrola dostupnosti Společnost SoftwareONE zajistí, aby osobní data byla chráněna proti zničení a ztrátě. |
Technická opatření • Systémy detekce požáru a kouře • Serverovna vybavena hasicím přístrojem • Serverovna vybavena sledováním teploty a vlhkosti, serverovna klimatizována • Zdroj nepřerušovaného napájení (UPS) • V našich prostředích jsou zavedena centralizovaná řízená řešení pro ochranu proti malwaru. Příslušné informační systémy jsou chráněny řízením provozu. To implikuje použití firewallových technologií a segmentace sítě. Na všech zařízeních je nainstalována sada pro řízení klientů (Client Management Suite), kterou mohou zablokovat nebo upravit pouze správci. |
Organizační opatření • Koncept zálohování a obnovy: Společnost SoftwareONE disponuje dokumentovaným konceptem zálohování. Pravidelně je testována funkce obnovy ze zálohy. Na žádost správce může společnost SoftwareONE poskytnout koncept zálohování. • Kontrola postupu zálohování • Pravidelné zkoušky obnovy dat a protokolování výsledků • Pravidelné zálohování dat, zkouška možnosti obnovy |
• Existence krizového plánu: Společnost SoftwareONE má zavedeno několik scénářů pro provozní krizi a řízení rizik. • Oznámené aktualizace pro systémy či aplikace se co nejrychleji vyhodnocují a po vydání instalují. Prioritu má instalace aktualizací zabezpečení. Aktualizace zabezpečení jsou instalovány bezodkladně a musí být zavedeny do šesti týdnů od vydání. Smyslem této nejzazší lhůty je zajistit dostatek času na testování i u kritických systémů. • Úložné systémy vyhovují klasickým požadavkům na odolnost a spolehlivost. |
4. Postupy pravidelné kontroly, posouzení a vyhodnocení |
Řízení ochrany dat V zájmu zajištění zabezpečení zpracování bude zaveden postup pravidelné kontroly, posouzení a vyhodnocení účinnosti technických a organizačních opatření. Dále je nutné zajistit, aby osobní data zpracovávaná jménem správce mohla být zpracovávána pouze v souladu s pokyny správce. |
Technická opatření • Softwarová řešení pro užívané řízení ochrany dat • Dokumentují se schválení přidělení, opětovné aktivace či změny účtu i žádosti o ně ve fázi před schválením. Je zajištěno, aby uživatelé nemohli autorizovat svá vlastní přístupová práva a aby do procesu autorizace nebyl zapojen správce uživatelských účtů. Přístup k zabezpečeným datům je podmíněn souhlasem vedoucího. • Jsou zavedeny formální nástupní a výstupní postupy, které upravují mimo jiné řízení přístupu a zacházení s aktivy. • Certifikace zabezpečení dle ISO 27001 • Další dokumentované bezpečnostní koncepty • Nejméně jednou do roka se provádí kontrola účinnosti technických ochranných opatření. |
Organizační opatření • Školení a závazek zaměstnanců k zachovávání důvěrnosti a utajení dat • Ústřední dokumentace všech postupů a nařízení pro ochranu dat přístupná zaměstnancům na základě potřeby a oprávnění • Pravidelná osvěta zaměstnanců nejméně jednou za rok |
• Podle potřeby se bude provádět posouzení vlivu na ochranu osobních dat (DPIA). • Organizace dodržuje informační povinnosti. • Je zaveden formální postup zpracování žádostí o informace od subjektů dat. |
Řízení odezvy na incidenty Xxxxxxx při reakci na narušení zabezpečení |
Technická opatření • Nasazení firewallu, pravidelné aktualizace a pravidelné kontroly sady pravidel • Použití antispamových filtrů, pravidelné aktualizace a pravidelné kontroly sady pravidel • Použití virových skenerů, pravidelné aktualizace a pravidelné kontroly sady pravidel • Systémy detekce narušení (IDS) • Systémy prevence narušení (IPS) • Vedle vlastních systémů detekce narušení a systémů prevence narušení je infrastruktura chráněna také zabezpečením společnosti Microsoft pro platformu Azure. Podrobnosti jsou k dispozici zde: Zabezpečení infrastruktury Azure | Dokumenty Microsoft |
Organizační opatření • Dokumentovaný postup rozpoznávání a oznamování bezpečnostních incidentů / datových havárií (mimo jiné v souvislosti s oznamovacími povinnostmi vůči nadřízeným autoritám) • Dokumentovaný postup řešení bezpečnostních incidentů • Dokumentace bezpečnostních incidentů a datových havárií s ústředním systémem lístků • Formální postup a rozdělení odpovědností pro následné zpracování bezpečnostních incidentů a případů porušení zabezpečení dat |
Podpora ochrany dat ve výchozím nastavení Ochrana soukromí v návrhu / výchozím nastavení |
Technická opatření • Neshromažďuje se více osobních dat, než kolik je nutné k předmětnému účelu. • Jednoduché uplatnění práva datového subjektu na odstoupení prostřednictvím technických opatření |
Řízení objednávek (externí zajišťování u třetích stran) Opatření k zajištění toho, aby osobní data zpracovávaná jménem správce mohla být zpracovávána pouze v souladu s pokyny správce. Kromě zpracování dat jménem správce spadá pod tento bod také výkon údržby a podpůrných prací na systémech, ať už jsou prováděny na místě nebo vzdáleně. Pokud zpracovatel zapojuje dílčí zpracovatele v tom smyslu, že zpracovávají objednávky, je třeba s nimi vždy dojednat následující body. |
Organizační opatření • Předběžné prověření bezpečnostních opatření přijatých dílčím zpracovatelem a jejich dokumentace • Výběr dílčího zpracovatele z hlediska náležité pečlivosti (především pokud jde o ochranu dat a zabezpečení dat) • Uzavření nezbytné smlouvy o zpracování objednávek nebo standardních smluvních doložek EU • Písemné pokyny dílčímu zpracovateli • Povinnost zaměstnanců dílčího zpracovatele zachovávat utajení dat • Povinnost dílčího zpracovatele jmenovat pracovníka pro ochranu dat, existuje-li povinnost objednávat • Dohoda na účinných kontrolních právech vůči dodavateli • Regulace zapojování dalších dílčích dodavatelů • Zajištění zničení dat po dokončení objednávky • V případě dlouhodobější spolupráce: průběžná kontrola dodavatele a jeho úrovně ochrany |