Contract
Tato smlouva o zpracování údajů (dále jen „Smlouva“) je součástí smlouvy o pronájmu/leasingu / smlouvy o poskytování telematických služeb (dále jen „Hlavní smlouva“) mezi: i) nájemcem/zákazníkem (dále jen „Zákazník“), který jedná svým jménem a jako zástupce každé přidružené společnosti Zákazníka, a (ii) pronajímatelem/TIP (dále jen „TIP“), který jedná svým jménem a jako zástupce každé přidružené společnosti TIP. Pokud nejsou v této Smlouvě definovány jinak, mají pojmy s velkým počátečním písmenem význam, který je jim přiřazen v Podmínkách leasingu a pronájmu / Podmínkách poskytování služeb TIP Insight.
ÚVODNÍ UJEDNÁNÍ
(A) Společnost TIP a Zákazník uzavřeli Hlavní smlouvu, podle které společnost TIP poskytne služby TIP Insight Zákazníkovi (dále jen „Služby“).
(B) Pro případy, kdy poskytování těchto Služeb vyžaduje zpracování osobních údajů, se strany dohodly na uzavření této Smlouvy s cílem zajistit dodržování platných právních předpisů o ochraně údajů.
1. DEFINICE
1.1 Pojmy jako „zpracování“, „subjekt údajů“, „zpracovatel“, „správce“, „osobní údaje“, „porušení zabezpečení údajů“, „posouzení vlivu na ochranu osobních údajů“ atd. mají tentýž význam jako v právních předpisech o ochraně údajů.
1.2 „Přidruženou společností“ se rozumí subjekt, který vlastní nebo ovládá Zákazníka / společnost TIP, je vlastněn nebo ovládán Zákazníkem / společností TIP, podléhá společné kontrole Zákazníka / společnosti TIP nebo je spoluvlastněn Zákazníkem / společností TIP, přičemž kontrolou se rozumí přímá nebo nepřímá pravomoc ovlivňovat nebo nechávat ovlivňovat řízení a zásady subjektu, a to prostřednictvím vlastnictví cenných papírů s hlasovacím právem, na základě smlouvy nebo jinak.
1.3 „Anonymními údaji“ se rozumí údaje, které byly anonymizovány a/nebo byly sloučeny s jinými údaji do té míry, že subjekty údajů již nejsou identifikovány, identifikovatelné a ani jinak nelze zjistit jejich totožnost, ať už odkazem na jiné soubory údajů, nebo jejich kombinací.
1.4 „Oprávněnými dílčími zpracovateli“ se rozumí (a) dílčí zpracovatelé uvedení v příloze 2 (Oprávnění dílčí zpracovatelé a předávání údajů) a (b) další dílčí zpracovatelé, které Zákazník písemně schválil v souladu s oddílem 4.1.
1.5 „Právními předpisy o ochraně údajů" se rozumí nařízení (EU) 2016/679, známé jako obecné nařízení o ochraně osobních údajů (dále jen „GDPR“), spolu se všemi právními předpisy, které jej provádějí nebo doplňují, a další platné předpisy o ochraně údajů nebo soukromí, včetně směrnice (EU) 2002/58/ES o soukromí a elektronických komunikacích, jak byla provedena do právního řádu.
1.6 „EHP“ se rozumí Evropský hospodářský prostor.
1.7 „Standardními smluvními doložkami“ se rozumí standardní smluvní doložky pro předávání osobních údajů společnostem sídlícím ve třetích zemích schválené Evropskou komisí v rozhodnutí 2021/914/EU nebo jakýkoli soubor doložek schválený Evropskou komisí, který tyto standardní smluvní doložky mění nebo nahrazuje.
1.8 „Dílčím zpracovatelem“ se rozumí jakákoli společnost zpracovávající údaje (včetně jakékoli třetí strany a jakékoli přidružené společnosti), kterou společnost TIP pověřila zpracováním osobních údajů jménem Zákazníka.
1.9 „Dozorovým úřadem“ se rozumí (a) nezávislý orgán veřejné moci zřízený členským státem podle článku 51 a (b) jakýkoli podobný regulační orgán odpovědný za prosazování právních předpisů o ochraně údajů.
2. ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
2.1 Zákazník, který jedná jako nezávislý správce, zmocňuje a pověřuje společnost TIP, která jedná jako zpracovatel na základě pokynu a jménem Zákazníka, aby:
a. zpracovávala osobní údaje pro všechny legitimní a relevantní účely v souvislosti s poskytováním služeb společnosti TIP Zákazníkovi,
b. zpracovávala osobní údaje v rozsahu nezbytném ke splnění právní povinnosti Zákazníka nebo společnosti TIP, včetně zpřístupnění osobních údajů příslušným místním orgánům a
c. předávala v případě nutnosti nebo potřeby osobní údaje dílčímu zpracovateli.
2.2 Společnost TIP zpracovává osobní údaje pouze na základě doložených pokynů od Zákazníka a nezpracovává dále osobní údaje způsobem, který je neslučitelný s účely uvedenými v příloze 1 (Podrobnosti o zpracování osobních údajů).
2.3 Bez ohledu na články 2.1 a 2.2 této smlouvy Zákazník souhlasí s tím, že společnost TIP je jako nezávislý správce rovněž oprávněna anonymizovat osobní údaje a další údaje související se Službami tak, aby se z nich staly anonymní údaje, které pak mohou být použity pro účely zlepšování služeb a činností společnosti TIP, vývoje nových služeb a nabídek a modelování, analýzy trendů, průzkumu trhu, analýzy, výzkumu a související účely. Společnost TIP je oprávněna uchovávat anonymní údaje jako součást svých vlastních informací nebo dat a na anonymní údaje se již nevztahuje Hlavní smlouva ani tato Smlouva.
3. PRACOVNÍCI ZPRACOVATELE A ZABEZPEČENÍ
3.1 Společnost TIP zachovává důvěrnost osobních údajů a poučí o ochraně důvěrnosti své zaměstnance a dílčí zpracovatele.
3.2 Aniž jsou dotčeny jakékoli jiné bezpečnostní standardy, na kterých se smluvní strany dohodly, společnost TIP zavede technická a organizační bezpečnostní opatření
uvedená v příloze 3 (Technická a organizační bezpečnostní opatření), aby zajistila úroveň zabezpečení osobních údajů odpovídající danému riziku, a přijme veškerá opatření požadovaná podle článku 32 nařízení GDPR. Zákazník posoudil opatření zavedená společností TIP a uznává, že poskytují vhodnou úroveň zabezpečení, zejména s ohledem na rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim, a souhlasí s tím.
4. DÍLČÍ ZPRACOVÁNÍ
4.1 Zákazník tímto opravňuje společnost TIP, aby zadala zpracování osobních údajů dílčím zpracovatelům. Současní dílčí zpracovatelé, jejichž služeb společnost TIP využívá, jsou uvedeni v příloze 2 (Oprávnění dílčí zpracovatelé a předávání údajů), kterou můžeme průběžně aktualizovat. Na dílčí zpracovatele se v každém jednotlivém případě vztahují podmínky dohodnuté mezi společností TIP a dílčím zpracovatelem, které zajišťují alespoň stejnou úroveň ochrany jako podmínky stanovené v této Smlouvě. Společnost TIP informuje Zákazníka o podrobnostech těchto podmínek pro dílčí zpracovatele na základě písemné žádosti Zákazníka. Společnost TIP Zákazníka předem informuje
o všech zamýšlených změnách týkajících se doplnění nebo nahrazení dílčích zpracovatelů a poskytne tak Zákazníkovi možnost vznést proti těmto změnám námitku. Pokud Zákazník nevznese písemnou námitku do pěti (5) pracovních dnů ode dne, kdy obdržel oznámení o změnách, má se za to, že nového dílčího zpracovatele přijal. Pokud Zákazník do pěti (5) pracovních dnů od obdržení oznámení písemně vznese námitku, společnost TIP a Zákazník projednají možná řešení, a pokud nebudou připomínky Zákazníka uspokojivě vyřešeny, je Zákazník oprávněn ukončit Hlavní smlouvu a tuto Smlouvu, pokud se společnost TIP přesto rozhodne provést oznámenou změnu týkající se dílčího zpracovatele.
5. PRÁVA SUBJEKTU ÚDAJŮ
5.1. Společnost TIP co nejdříve informuje Zákazníka, pokud obdrží žádost subjektu údajů podle právních předpisů o ochraně údajů, včetně žádostí subjektu údajů o výkon práv podle kapitoly III nařízení GDPR, a poskytne Zákazníkovi úplné podrobnosti o této žádosti.
5.2. Společnost TIP bude na žádost Zákazníka spolupracovat, aby mu umožnila zajistit výkon práv subjektu údajů podle právních předpisů o ochraně údajů a podrobit se posouzení, vyhovět dotazu, dodržet požadavky oznámení nebo se podrobit šetření podle právních předpisů o ochraně údajů nebo této Smlouvy. V každém případě je Zákazník povinen uhradit společnosti TIP v plné výši veškeré náklady (včetně nákladů na interní zdroje a nákladů třetích stran), které společnosti TIP odůvodněně vzniknou při plnění její povinností podle tohoto oddílu 5.2.
6. ŘÍZENÍ INCIDENTŮ
6.1 Společnost TIP neprodleně a bez zbytečného odkladu informuje Zákazníka a poskytne mu dostatečné informace, které mu umožní splnit případnou povinnost ohlásit porušení zabezpečení údajů podle právních předpisů
o ochraně údajů. Toto ohlášení přinejmenším obsahuje:
a. popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
b. jméno a kontaktní údaje pověřence pro ochranu osobních údajů společnosti TIP nebo jiného kontaktního místa, které může poskytnout bližší informace,
c. popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
d. popis opatření, která Zákazník přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů.
6.2 Společnost TIP se Zákazníkem přiměřeně spolupracuje a učiní přiměřené kroky podle pokynů Zákazníka, aby pomohla při vyšetřování, zmírňování účinků a nápravě porušení zabezpečení údajů s cílem umožnit Zákazníkovi (i) provést důkladné vyšetřování porušení zabezpečení údajů, (ii) připravit správnou reakci a učinit vhodné další kroky v souvislosti s porušením zabezpečení údajů s cílem splnit veškeré požadavky podle právních předpisů o ochraně údajů.
6.3 V každém případě je Zákazník povinen uhradit společnosti TIP v plné výši veškeré náklady (včetně nákladů na interní zdroje a nákladů třetích stran), které společnosti TIP odůvodněně vzniknou při plnění povinností podle oddílu 6.2.
7. POSOUZENÍ VLIVU NA OCHRANU OSOBNÍCH ÚDAJŮ A PŘEDCHOZÍ
KONZULTACE
7.1 Společnost TIP poskytne Zákazníkovi přiměřenou pomoc při provádění posouzení vlivu na ochranu osobních údajů, která jsou vyžadována podle článku
35 nařízení GDPR, a při předchozích konzultacích s dozorovým úřadem Zákazníka, které jsou vyžadovány podle článku 36 nařízení GDPR, v obou případech v souvislosti se zpracováním osobních údajů společností TIP jménem Zákazníka a s ohledem na povahu zpracování a informace, které má společnost TIP k dispozici.
8. VYMAZÁNÍ NEBO VRÁCENÍ OSOBNÍCH ÚDAJŮ ZÁKAZNÍKA
8.1 Společnost TIP na žádost Zákazníka vymaže nebo vrátí osobní údaje po ukončení poskytování služeb spojených se zpracováním, pokud je to přiměřeně možné a pokud uchovávání těchto osobních údajů společností TIP není vyžadováno podle platných právních předpisů.
9. PRÁVA NA PROVEDENÍ AUDITU
9.1 Zákazník je oprávněn po předchozím oznámení, které zašle nejméně dva (2) týdny předem, provést audit zařízení na zpracování údajů společnosti TIP s cílem ověřit dodržování povinností stanovených v této Smlouvě; případně je Zákazník oprávněn pověřit tímto auditem řádně jmenovanou, nezávislou a uznávanou třetí stranu, která je na trhu zavedená pro její auditní činnosti a která je vázána přísnou povinností zachovávat mlčenlivost (ve formě, kterou společnost TIP z přiměřených důvodů vyžaduje). Společnost TIP je oprávněna odmítnout auditory třetích stran, kteří jsou konkurenty společnosti TIP. Tyto auditní činnosti nesmějí bránit provozu společnosti TIP nebo jejím obchodním aktivitám ani je jinak nepřiměřeně narušovat. Audit nezavazuje společnost TIP poskytnout (i) informace týkající se tvorby cen; (ii) informace týkající se jiných zákazníků společnosti TIP; iii) neveřejné a/nebo důvěrné informace společnosti TIP, které nesouvisejí se zpracováním osobních údajů; audit také společnost TIP nezavazuje umožnit k výše uvedeným informacím přístup. Audit se provádí v úzké spolupráci s určenými pracovníky společnosti TIP, například s pověřencem pro ochranu osobních údajů.
9.2 Společnost TIP zpřístupní Zákazníkovi veškeré informace nezbytné k prokázání
splnění jejích povinností podle článku 28 nařízení GDPR.
10. MEZINÁRODNÍ PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ ZÁKAZNÍKA
10.1 Společnost TIP nesmí (trvale ani dočasně) v žádném případě zpracovávat osobní údaje v zemi mimo EHP bez odpovídající úrovně ochrany, pokud zpracování není v souladu s kapitolou V (články 44–50) nařízení GDPR. Na žádost společnosti TIP Zákazník souhlasí s tím, že s dílčím zpracovatelem schváleným Zákazníkem a uvedeným v příloze 2 uzavře smlouvu obsahující standardní smluvní doložky a/nebo jejich obdobu, jak to mohou vyžadovat právní předpisy o ochraně údajů, pokud jde o zpracování osobních údajů v zemi mimo EHP bez odpovídající úrovně ochrany.
11. RŮZNÁ UJEDNÁNÍ
11.1 Zákazník zaručuje, že veškeré osobní údaje, které poskytuje společnosti TIP nebo které umožňuje společnosti TIP shromažďovat a zpracovávat podle této Smlouvy, byly a budou shromažďovány, předávány společnosti TIP a/nebo zpracovávány společností TIP v souladu s právními předpisy o ochraně osobních údajů, včetně například: (a) zajištění toho, že Zákazník v souladu s právními předpisy o ochraně údajů učiní veškerá oznámení regulačním orgánům a získá souhlasy regulačních orgánů a zachová platnost těchto souhlasů; a (b) zajištění toho, že všechny osobní údaje jsou shromažďovány a zpracovávány korektně a zákonným způsobem, jsou přesné a aktuální a že subjekty údajů obdrží řádné oznámení, které popisuje zpracování, jež má společnost TIP provádět podle této Smlouvy a/nebo Hlavní smlouvy.
11.2 Zákazník se zavazuje chránit společnost TIP, odškodnit ji a zbavit ji odpovědnosti, pokud jde o jakékoli závazky (včetně nároků třetích stran) vyplývající ze zpracování osobních údajů společností TIP v souladu s touto Smlouvou.
11.3 Pokud jde o předmět této Smlouvy, v případě rozporů mezi ujednáními této Smlouvy a jakýchkoli jiných smluv mezi smluvními stranami, včetně například Hlavní smlouvy, mají s ohledem na povinnosti smluvních stran v oblasti ochrany osobních údajů přednost ujednání této Smlouvy. V případě rozporu nebo nesouladu mezi touto Smlouvou a standardními smluvními doložkami mají přednost standardní smluvní doložky.
11.4 Pokud by některé ujednání této Smlouvy bylo neplatné nebo nevymahatelné, zbývající ujednání této Smlouvy zůstávají platná a účinná. Neplatné nebo nevymahatelné ujednání se buď (i) změní tak, aby byla zajištěna jeho platnost a vymahatelnost, přičemž se co nejvíce zachová úmysl stran, nebo, pokud to není možné, (ii) vyloží tak, jako by neplatnou nebo nevymahatelnou část vůbec neobsahovalo.
PŘÍLOHA 1: PODROBNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Tato příloha 1 obsahuje určité podrobnosti o zpracování osobních údajů podle čl. 28 odst. 3 nařízení GDPR.
Předmět a povaha zpracování osobních údajů
Poskytování služeb TIP Insight podle Hlavní smlouvy, které Zákazníkovi umožňuje jakýmkoli způsobem přímo či nepřímo propojit údaje shromážděné zařízeními a/nebo vybavením systému řízení vozového parku (fleet management system,
„FMS“), jak je uvedeno v Hlavní smlouvě, s identifikovanou nebo identifikovatelnou fyzickou osobou (například řidičem nákladního vozidla, které vybavení táhne).
Délka doby trvání zpracování osobních údajů
Doba trvání zpracování osobních údajů společností TIP podle této Smlouvy je
doba platnosti Hlavní smlouvy.
Účel zpracování osobních údajů
Účelem zpracování osobních údajů společností TIP podle této Smlouvy je poskytování služeb popsaných v Hlavní smlouvě.
Typy zpracovávaných osobních údajů
a. informace o zeměpisné poloze (prezentované ve formě map a přehledů přístupných prostřednictvím řešení FMS), trasa,
b. informace o jízdě týkající se rychlosti, směru jízdy, prudkého brzdění, prudkého zrychlování, prudkého zatáčení, počtu najetých kilometrů, údajů
z počítadla kilometrů elektronického brzdového systému („EBS“) a/nebo GPS (nebo kombinace údajů z počítadla kilometrů EBS a GPS),
c. informace o aktivitě (pohyb nebo stání),
d. výstrahy při vjezdu do / výjezdu z oblasti zónového monitorování, obecné výstrahy, výstrahy týkající se provozních neshod a jakékoli další výstrahy, které lze nastavit pomocí řešení FMS a
e. osobní údaje řidiče poskytnuté Zákazníkem (jméno, e-mailová adresa,
telefonní číslo, číslo řidičského průkazu).
Kategorie subjektů údajů, k nimž se osobní údaje vztahují
a. zaměstnanci nebo externí pracovníci Zákazníka a
b. jakákoli jiná fyzická osoba, kterou může Zákazník identifikovat pomocí
systému FMS.
Název společnosti oprávněné jako dílčí zpracovatel | Podrobnosti o zpracování | Místo poskytování služeb | Dodatečné záruky (pouze v případě předávání údajů mimo EHP) |
Transics International BVBA | Zajišťování systému FMS a poskytování dalších souvisejících služeb | Xxxxxx | nehodí se |
WABCO Europe BVBA | Infrastruktura IT systému FMS | Belgie | nehodí se |
SunGard Availability Services Limited (jako dílčí zpracovatel společnosti Transics International BVBA) | Centrum pro hostování dat | Irsko | nehodí se |
Amazon Web Services, Inc. | Centrum pro hostování dat | Irsko, Německo | nehodí se |
Cybage Software Pvt. Ltd.(jako dílčí zpracovatel společnosti Transics International BVBA) | Nepřetržitá podpora hostování | Pouze omezený a zabezpečený přístup z Indie s cílem zajistit technickou pomoc mimo běžnou pracovní dobu v Evropě a zaručit tak nepřetržitou dostupnost služeb pro koncové zákazníky | Standardní smluvní doložky |
PŘÍLOHA 2: OPRÁVNĚNÍ DÍLČÍ ZPRACOVATELÉ A PŘEDÁVÁNÍ ÚDAJŮ
PŘÍLOHA 3: TECHNICKÁ A ORGANIZAČNÍ BEZPEČNOSTNÍ OPATŘENÍ
1. SPRÁVA A MODEL PROVOZU
V rámci závazku podniku k odpovědnosti za zpracování osobních údajů skupina TIP zavedla správní strukturu, úlohy a úkoly v oblasti dohledu nad osobními údaji a řízení jejich zpracování. Tato struktura zahrnuje odpovědné osoby a odborníky na danou problematiku, kteří přezkoumávají záležitostí týkající se ochrany údajů a předkládají své příspěvky a stanoviska. Pověřenec pro ochranu osobních údajů přezkoumává klíčová rozhodnutí o ochraně osobních údajů a poskytuje poradenství představenstvu a výboru pro audit, přičemž tyto orgány nesou konečnou odpovědnost za rozhodování
o ochraně osobních údajů ve společnosti TIP.
2. ZÁSADY A PROCESY
Skupina TIP zavedla níže uvedený soubor zásad, procesů a pokynů, které popisují přístup, který mají v oblasti zpracování údajů přijmout zaměstnanci, a související očekávání:
• Zásady ochrany údajů a informací
• Zásady uchovávání dat a dokumentů
• Plán pro případ porušení zabezpečení údajů
Tyto zásady a procesy byly vytvořeny za přispění odborníků na ochranu údajů, informační technologie a právo, byly schváleny příslušnými zúčastněnými stranami, zavedeny v běžném provozu a všichni zaměstnanci se s nimi seznámili.
Byl vytvořen Plán zajištění kontinuity podnikání, který průběžně testujeme
a zlepšujeme.
3. ŘÍZENÍ ŽIVOTNÍHO CYKLU DAT
Skupina TIP zavedla postupy, které zajišťují řádné zpracování osobních údajů od jejich shromažďování přes používání a uchovávání až po zveřejnění a zničení. Před shromažďováním nebo zveřejněním osobních údajů získáme příslušný souhlas. Osobní údaje uchováváme pouze pro legitimní obchodní účely a ne déle, než je nezbytné nebo předepsané platnými právními předpisy.
Vynakládáme přiměřené úsilí k zajištění přesnosti, úplnosti, aktuálnosti a včasné dostupnosti osobních údajů v případě fyzického nebo technického incidentu. Zavedli jsme bezpečnostní opatření, která zajišťují bezpečné ukládání osobních údajů, jejich pseudonymizaci a případně šifrování.
Skupina TIP se zavázala reagovat na všechny žádosti subjektů údajů řádným a zákonným způsobem a na žádost subjektů údajů osobní údaje zničí, vymaže nebo vrátí.
4. ŠKOLENÍ A ZVYŠOVÁNÍ POVĚDOMÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ
Skupina TIP vyžaduje, aby všichni vedoucí pracovníci, zaměstnanci právního oddělení, oddělení lidských zdrojů a oddělení IT každoročně absolvovali školení o obecném nařízení o ochraně osobních údajů. Zaměstnanci se seznámili se všemi platnými zásadami a postupy ochrany údajů a tyto zásady a postupy jsou jim k dispozici; zaměstnanci jsou rovněž povinni absolvovat každoroční udržovací školení o všech zásadách.
5. SPRÁVA TŘETÍCH STRAN
Skupina TIP vynakládá přiměřené úsilí, aby zajistila, že s každým zákazníkem, dodavatelem nebo zhotovitelem, který zpracovává osobní údaje jménem společnosti TIP jako správce, jsou uzavřeny příslušné smlouvy o zpracování údajů. Smlouvy upravují přístup ke zpracování a opatření, která musí být zavedena k zajištění odpovídající ochrany osobních údajů.
Vynakládáme přiměřené úsilí k provedení náležité hloubkové kontroly dodavatelů
a poskytovatelů služeb, abychom zaručili bezpečnost a ochranu informací.
6. BEZPEČNOST INFORMACÍ A SPRÁVA AKTIV
Skupina TIP formálně vytvořila funkce ředitele pro informační technologie a člena představenstva odpovědného za infrastrukturu a provoz IT, kteří jsou odpovědní za každodenní řízení bezpečnosti informací. Všichni zaměstnanci mají povinnost jednat při svých pracovních činnostech v souladu se zásadami bezpečnosti informací a nesou související odpovědnost.
Zavedli jsme opatření s cílem zajistit ochranu notebooků, tabletů a mobilních zařízení, jakož i údajů na těchto zařízeních. Mezi tato opatření v příslušných případech patří systém kontroly přístupu (ID uživatele a silné heslo), vzdálený přístup prostřednictvím služby virtuální privátní sítě, vícefaktorové ověřování, etický hacking, firewall, penetrační testování, zdokumentovaný plán reakce na bezpečnostní incidenty, auditní protokoly u serverových a síťových zařízení, zdokumentovaný proces žádosti o zavedení nového hardwaru nebo softwaru, systém prevence ztráty dat, šifrování a pseudonymizace údajů a zásady čistého stolu a zamknuté obrazovky. U interních systémů, aplikací a databází jsme vynaložili přiměřené úsilí k omezení počtu uživatelů s oprávněním správce.
7. ŠKOLENÍ A ZVYŠOVÁNÍ POVĚDOMÍ O BEZPEČNOSTI INFORMACÍ
Skupina TIP vyžaduje, aby všichni vedoucí pracovníci, zaměstnanci právního oddělení, oddělení lidských zdrojů a oddělení IT každoročně absolvovali kurz o kybernetické bezpečnosti. Všem zaměstnancům jsou pravidelně zasílány simulované phishingové útoky a zaměstnanci, kteří simulovaný phishing neodhalí a nenahlásí ho prostřednictvím tlačítka „Phish Alert“ (upozornění na phishing), se musí zúčastnit školení, aby své nedostatky ve znalostech napravili. Všichni zaměstnanci se seznámili se všemi platnými zásadami a postupy bezpečnosti informací a tyto zásady a postupy jsou jim k dispozici.
8. REAKCE NA INCIDENTY
Skupina TIP přijala rámec amerického Národního ústavu pro normalizaci a technologie (NIST) v oblasti kybernetické bezpečnosti a rámec NIST pro ochranu soukromí, které podporují interní procesy identifikace, odhalování, kontroly, reakce a obnovy v případě porušení zabezpečení údajů nebo incidentu v oblasti bezpečnosti informací. V této souvislosti jsme zavedli mechanismy pro informování příslušných zúčastněných stran v případě porušení zabezpečení údajů nebo incidentu v oblasti bezpečnosti informací, provádění analýzy hlavních příčin a zajištění odpovídající nápravy.
Také jsme vytvořili Plán pro případ porušení zabezpečení údajů s cílem podpořit rychlou, účinnou a řádnou reakci na porušení zabezpečení osobních údajů.
9. MONITOROVÁNÍ A PODÁVÁNÍ ZPRÁV
Týmy právního oddělení a oddělení IT podávají představenstvu a výboru pro audit pravidelné zprávy o koncepci a provozní účelnosti činností v oblasti ochrany údajů a bezpečnosti informací, a to prostřednictvím přezkumů v rámci interního auditu a vlastního hodnocení vedoucích pracovníků.
10. FYZICKÁ BEZPEČNOST A BEZPEČNOST PROSTŘEDÍ
Skupina TIP zavedla kontroly fyzického přístupu s cílem zabránit neoprávněnému fyzickému přístupu, který by mohl vést k poškození nebo narušení interních systémů. V příslušných případech jsme jako kontrolní mechanismy v budovách zavedli systém vstupu na kartu, zásadu zamčených dveří, evidenci návštěvníků, poplašné zařízení pro detekci vniknutí nepovolaných osob, zámky na kartotéky s citlivými údaji a recepci s obsluhou.
Ve všech kancelářích a dílnách jsme zavedli opatření k zajištění ochrany zdraví a bezpečnosti na pracovišti, která chrání před riziky a úrazy při práci. Mezi tato opatření patří nošení vhodných osobních ochranných prostředků v dílnách a dodržování bezpečných pracovních postupů s cílem předcházet nehodám.
11. SOULAD S PŘEDPISY
Skupina TIP stanovila odpovědnost za dodržování právních a správních předpisů na úrovni skupiny a na regionální úrovni a formálně přidělila řediteli právního oddělení, zástupci hlavního právního poradce, pověřenci pro ochranu osobních údajů a členovi představenstva odpovědnému za infrastrukturu a provoz IT odpovědnost za identifikaci právních a správních předpisů, které ovlivňují obchodní činnosti.
Věnujeme přiměřené úsilí pravidelnému přezkoumávání, posuzování a vyhodnocování účinnosti technických a organizačních opatření s cílem zajistit bezpečnost zpracování údajů.