SMLOUVA O ZPRACOVÁNÍ ÚDAJŮ
SMLOUVA O ZPRACOVÁNÍ ÚDAJŮ
Tato SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ uzavřená 30. 12. 2020 (“Datum nabytí účinnosti”) mezi:
(1) Drážní úřad, IČO: 61379425, se sídlem Xxxxxxxxx 000/0, 000 00 Xxxxx - Xxxxxxxxx (dále “Zákazník”);
Informace o zasílání vyrozumění
Poštovní adresa | Země | |
Xxxxxxxxx 000/0, 000 00 Xxxxx - Xxxxxxxxx | ČR | |
Kontaktní osoba | Jiné prostředky kontaktu | |
Xxx. Xxxxxxx Xxxxxxx | ||
a
(2) Aleware Solutions s.r.o., IČO: 021 29 272, se sídlem Xxxxxxxxxx 000/00, Xxxxxx, 000 00 Xxxxx 0, xx. zn. C 215648 vedená u Městského soudu v Praze (dále “Aleware Solutions”).
Informace o zasílání vyrozumění
Poštovní adresa | Země | |
Xxxxxxxxxx 000/00, Xxxxxx, 000 00 Xxxxx 0 | XX | |
Kontaktní osoba (SPOC) | Jiné prostředky kontaktu | |
Každý označovaný jako strana a společně jako strany.
ÚVODNÍ USTANOVENÍ
(A) Zákazník je správní úřad v oblasti drah.
(B) Aleware Solutions je společnost zabývající se poskytováním bezpečnostních služeb.
(C) Aleware Solutions a Zákazník uzavřeli smlouvu o poskytování bezpečnostních služeb č. 2018OS0008 podle které bude Aleware Solutions poskytovat služby Zákazníkovi (“Smlouva o poskytování služeb”). Služby poskytované společností Aleware Solutions na základě Smlouvy o poskytování služeb zahrnují zpracování osobních údajů, jak je dále specifikováno v příloze 1. Pro zajištění bezpečného, správného a zákonného zpracování osobních údajů se strany dohodly na podmínkách a ujednáních stanovených v této smlouvě.
JE DOHODNUTO NÁSLEDUJÍCÍ
1 DEFINICE
1.1 Následující termíny mají v této smlouvě níže uvedené významy:
“Smlouvou” se rozumí tato smlouva o zpracování údajů včetně příloh, průběžně měněná;
“Právními předpisy EU na ochranu osobních údajů” se rozumí (i) do 24. května 2018 Směrnice EU 95/46/ES jak byla transponována do vnitrostátních právních předpisů každého členského státu a veškeré dodatky k ní, a (ii) od 25. května 2018 GDPR, a právní předpisy implementující nebo doplňující tento předpis;
“GDPR” se rozumí Nařízení EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů;
“Spřízněnou společností Aleware Solutions” se rozumí právnická osoba, která je přímo či nepřímo prostřednictvím jednoho nebo více prostředníků ovládána/řízena nebo je pod společným řízením/ovládáním konečnou mateřskou společností Aleware Solutions. Pro účely této definice se pod termínem “ovládání” rozumí pravomoc přímo či nepřímo řídit nebo ovlivnit řízení, strategií a zásady právnické osoby prostřednictvím vlastnictví akcií s právem hlasovat, na základě smlouvy či jinak;
“Smlouva o poskytování služeb” má význam podle ustanovení v bodě (C) výše v úvodních ustanoveních k této smlouvě.
1.2 Termíny “třetí země”, “členský stát”, "správce", "subjekt údajů", "osobní údaje", "porušení zabezpečení osobních údajů", "zpracování" a "orgán dozoru" mají stejný význam jako v GDPR, a jejich příbuzné termíny budou vykládány shodně.
2 ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ ZÁKAZNÍKA
2.1 Zákazník se zavazuje:
2.1.1 Zajistit právní základ pro zpracování osobních údajů, na něž se vztahuje tato smlouva.
2.1.2 Zajistit, že veškeré osobní údaje Zákazníka jsou shromažďovány a předávány společnosti Aleware Solutions zákonným způsobem.
2.1.3 Zajistit, že subjekty údajů, v souladu s ustanoveními Právních předpisů EU na ochranu osobních údajů, obdržely dostatečné informace týkající se zpracování, včetně informací o tom, že Aleware Solutions smí/bude jménem Zákazníka zpracovávat osobní údaje.
2.1.4 Nevydat žádné pokyny společnosti Aleware Solutions, které by byly jakýmkoliv způsobem v rozporu s Právními předpisy EU na ochranu osobních údajů nebo zákonnými právy subjektů údajů.
2.1.5 Neprodleně, jakmile se o tom dozví, informovat společnost Aleware Solutions o případných chybných, napravených, aktualizovaných nebo vymazaných osobních údajích podléhajících zpracování údajů ze strany společností Aleware Solutions.
2.1.7 Předat společnosti Aleware Solutions aktuálně platné zásady a směrnice Zákazníka pro zpracování osobních údajů, a to před vstupem této smlouvy v účinnost.
2.1.8 Jednat jako kontaktní místo subjektu údajů.
2.2 Aleware Solutions se zavazuje:
2.2.1 Nezpracovávat osobní údaje Zákazníka jinak než na základě zdokumentovaných pokynů Zákazníka, včetně případného předávání osobních údajů Zákazníka do třetích zemí nebo mezinárodním organizacím, ledaže to vyžadují právní předpisy Unie nebo členského státu, jimž Aleware Solutions podléhá. V takovém případě bude před zpracováním osobních údajů Aleware Solutions o tomto právním požadavku informovat Zákazníka, ledaže tyto předpisy zakazují poskytnutí těchto informací na základě důležitého veřejného zájmu.
2.2.2 Zajistit, aby osoby zmocněné ke zpracování osobních údajů prováděly činnosti při zpracování v souladu s pokyny Zákazníka a zavázaly se k mlčenlivosti, nebo se na ně povinnost zachování mlčenlivosti vztahovala ze zákona.
2.2.4 Poskytnout Zákazníkovi odůvodněnou součinnost při zajišťování plnění jeho povinností podle článků 32 až 36 GDPR (např. napomáhat správci v případě porušení zabezpečení osobních údajů, při provádění posouzení vlivu na ochranu osobních údajů a předchozích konzultacích) při zohlednění povahy zpracování údajů a informací, které má Aleware Solutions k dispozici.
2.2.5 Zpřístupnit Zákazníkovi informace potřebné pro prokázání plnění povinností Aleware Solutions stanovených v této smlouvě a umožnit přezkoumání, včetně kontrol prováděných podle článku 4, a poskytnout svou součinnost při tomto.
2.3 Aleware Solutions je oprávněna anonymizovat osobní údaje Zákazníka jako opatření ochrany a z technických důvodů a v souladu s právními předpisy.
2.4 Příloha 1 k této smlouvě specifikuje konkrétní informace týkající se zpracování osobních údajů Zákazníka společností Aleware Solutions, jak je vyžadováno podle ustanovení článku 28 odst. 3 GDPR (a případně, ekvivalentních požadavků jiných Právních předpisů EU na ochranu osobních údajů). Strany se dále dohodly, že bezpečnostní opatření přijatá společností Aleware Solutions, uvedená také v příloze 1, splňují závazky Aleware Solutions dle odstavce 2.2.3.
3 SUBDODAVATELÉ
3.1 Zákazník tímto zmocňuje Aleware Solutions, aby konkrétní činnosti spojené se zpracováním údajů při plnění této smlouvy, prováděla prostřednictvím subdodavatelů, pokud takový subdodavatel plní veškeré povinnosti podle této smlouvy, co se týče zpracování osobních údajů Zákazníka prováděného tímto subdodavatelem, jako by byl stranou této smlouvy. Jakýkoli subdodavatel poskytne dostatečné záruky a zavede dostatečná technická a organizační opatření tak, aby zpracování údajů splňovalo požadavky Právních předpisů EU na ochranu osobních údajů. V případě, že subdodavatel neplní své povinnosti týkající se ochrany údajů, Aleware Solutions je nadále odpovědná vůči Zákazníkovi za plnění povinností daného subdodavatele.
3.2 Aleware Solutions vyrozumí Zákazníka o veškerých zamýšlených změnách ohledně rozšíření nebo výměny takových subdodavatelů, čímž poskytne Zákazníkovi možnost vyslovení námitky proti tomuto opatření. Nebudou-li tyto námitky rozumně odůvodněné a budou mít za následek jakékoliv náklady navíc nebo výdaje na straně Aleware Solutions, nahradí Zákazník společnosti Aleware Solutions tyto náklady a výdaje navíc.
3.3 Pro zamezení pochybností Zákazník v plném rozsahu a výslovně souhlasí s tím, že (i) Aleware Solutions používá subdodavatele, se kterými má v době, kdy tato smlouva vstupuje v platnost, existující smlouvy a (ii) používá veškeré Spřízněné společnosti Aleware Solutions jako subdodavatele.
4 PRÁVA PŘEZKOUMÁNÍ
4.1 Aleware Solutions umožní a poskytne součinnost v případě rozumně požadovaných přezkoumání, jejichž účelem je ověřit dodržování této smlouvy ze strany Aleware Solutions i případných subdodavatelů. Za účelem ochrany důvěrných obchodních informací společnosti Aleware Solutions se strany dohodly, že tato přezkoumání budou prováděna nezávislou třetí stranou, kterou vybere Zákazník a Aleware Solutions schválí.
4.2 Aleware Solutions zajistí nezávislému auditorovi rozumný přístup do částí zařízení, kde Aleware Solutions provádí činnosti spojené se zpracováním údajů jménem Zákazníka, a k informacím týkajícím se zpracování osobních údajů Zákazníka na základě této smlouvy, a to během
běžné pracovní doby a na základě vyrozumění učiněného s dostatečným předstihem (přičemž za dostatečnou dobu se považuje lhůta nejméně 20 pracovních dnů). Přezkoumání bude provedeno co nejrychleji a nebude narušovat běžný obchodní provoz Aleware Solutions. Auditor je povinen dodržovat pracovní řád, bezpečnostní požadavky a normy společnosti Aleware Solutions při provádění návštěv pracoviště. Před započetím jakéhokoliv přezkoumání uzavře nezávislý auditor (včetně příslušných osob provádějících přezkoumání) smlouvu o mlčenlivosti, kterou připraví Aleware Solutions.
4.3 Orgán dozoru má vždy přímý a neomezený přístup do prostorů společnosti Aleware Solutions, k jejímu zařízení pro zpracování údajů i dokumentaci pro účely vyšetření, zda je zpracování osobních údajů Zákazníka společností Aleware Solutions prováděno v souladu s Právními předpisy EU na ochranu osobních údajů.
4.4 Zákazník odpovídá za veškeré náklady spojené s přezkoumáním uvedeným výše, vyjma situace, kdy se přezkoumáním zjistí zásadní porušení závazků Aleware Solutions, která jsou v rozporu s touto smlouvou. V takovém případě Aleware Solutions nahradí Zákazníkovi rozumné a prokázané náklady spojené s přezkoumáním.
5 MEZINÁRODNÍ PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ
5.1 Pro osobní údaje pocházející od Zákazníka nebo zpracovávané pro něj v rámci EU/EHP a předávané subdodavatelům Aleware Solutions nebo Spřízněným společnostem Aleware Solutions v rámci EU/EHP, platí ustanovení článku 2.
5.2 Pro případ, že osobní údaje pocházející od Zákazníka nebo zpracovávané pro něj v rámci EU/EHP, by měly být předávány nebo by k nim mělo být přistupováno mimo EU/EHP, je Zákazník povinen na tuto skutečnost Aleware Solutions neprodleně upozornit.
5.3 Pro osobní údaje pocházející od Zákazníka nebo zpracovávané pro něj v rámci EU/EHP, jestliže k přístupu k nim nebo k jejich zpracování společností Aleware Solutions a jejími subdodavateli nebo Spřízněnými společnostmi Aleware Solutions dochází v jurisdikcích mimo EU/EHP (a to i skrze používání IT cloudových řešení), tímto Zákazník zmocňuje společnost Aleware Solutions (všeobecným způsobem) k tomu, aby jménem a na účet Zákazníka uzavřela Smlouvu obsahující standardní smluvní doložky EU podle rozhodnutí Komise EU č. C(2010)593 se subjektem třetí země přejímajícím osobní údaje. Nicméně, bez ohledu na výše uvedené, Smlouva obsahující standardní smluvní doložky EU se neuplatní, jestliže právní řád země, ve které jsou příslušný subdodavatel nebo Spřízněná společnost Aleware Solutions usazeni, považuje Evropská unie za jurisdikci s dostatečnou úrovní ochrany osobních údajů, nebo jestliže se Aleware Solutions a/nebo její subdodavatel či Spřízněná společnost Aleware Solutions nacházející se v USA, připojili k programu EU – USA Privacy shield na ochranu soukromí. Smluvní strany se dohodly, že případné spory vzniklé na základě Smlouvy obsahující standardní smluvní doložky EU budou považovány za spory vzniklé na základě Smlouvy o poskytování služeb.
5.4 Pro osobní údaje pocházející od Zákazníka nebo zpracovávané pro něj mimo EU/EHP, kde je zpracování osobních údajů předmětem jakéhokoli platného regulatorního požadavku (vyjma Právních předpisů EU na ochranu osobních údajů), který zakazuje nebo omezuje (i) předávání osobních údajů do jakékoliv jurisdikce, nebo (ii) zpracování osobních údajů v jakékoliv jurisdikci (včetně vzdáleného přístupu k těmto osobním údajům z jakékoliv země nebo území a prostřednictvím používání řešení založených na IT cloudových řešeních), nesmí Aleware Solutions předávat ani zpracovávat osobní údaje v rozporu s tímto zákazem nebo omezením. V takovém případě budou strany v dobré víře spolupracovat pro nalezení proveditelného řešení.
6 ODMĚNA
6.1 Odměna za plnění závazků Aleware Solutions na základě této smlouvy, není-li dále uvedeno jinak, je zahrnuta do odměny placené Zákazníkem na základě Smlouvy o poskytování služeb. V případě pokynů Zákazníka nebo jiných žádostí na základě této smlouvy požadujících opatření navíc ze strany Aleware Solutions, kromě rozumných požadavků na základě Smlouvy o poskytování služeb, bude mít Aleware Solutions nehledě na výše uvedené, vždy právo na náhradu těchto prací navíc podle vynaloženého času a materiálu. To zahrnuje například pomoc Aleware Solutions při řešení žádostí subjektů údajů.
6.2 V případě, že (i) Zákazník změní své písemné pokyny uvedené v odstavci 2.1.6, nebo (ii) Zákazník bude požadovat zavedení technických nebo organizačních opatření nad rámec opatření uvedených v příloze 1, přičemž tato skutečnost povede k navýšení nákladů Aleware Solutions, má Aleware Solutions právo na spravedlivé navýšení odměny.
7 DOBA TRVÁNÍ A UKONČENÍ SMLOUVY
Tato smlouva nabývá platnosti a stává se účinná Datem nabytí účinnosti. Nebude-li tato smlouva ukončena dříve podle ustanovení uvedených níže, bude nadále platná až do ukončení nebo vypršení Smlouvy o poskytování služeb, přičemž v takovém případě bude automaticky ukončena bez dalšího vyrozumění.
8 VÝMAZ NEBO VRÁCENÍ OSOBNÍCH ÚDAJŮ ZÁKAZNÍKA
8.1 S výjimkou odstavce 8.2 níže přestane Aleware Solutions po ukončení této smlouvy zpracovávat osobní údaje zpracovávané jménem Zákazníka. Na základě písemného pokynu Zákazníka dále Aleware Solutions zajistí na náklady Zákazníka vrácení Zákazníkovi veškerých osobních údajů společně se všemi kopiemi, které vlastní, nebo drží. Nepředloží-li Zákazník pokyn k vrácení do tří (3) měsíců ode dne ukončení smlouvy, Aleware Solutions smí vymazat veškeré osobní údaje, včetně jejich kopií, pokud není uchovávání osobních údajů požadováno právními předpisy. Mají-li být osobní údaje vráceny v souladu s výše uvedeným, budou vráceny v běžném čitelném formátu, na kterém se strany dohodnou.
9 ODPOVĚDNOST A ODŠKODNĚNÍ
9.1 S výjimkou odstavců 9.2 až 9.4 níže poskytne každá strana kompenzaci druhé straně za veškeré přímé škody vyplývající nebo vzniklé z jakéhokoliv porušení této smlouvy první stranou.
odškodní Zákazníka pouze za část náhrady odpovídající jeho skutečné odpovědnosti za nesplnění svých vlastních povinností podle GDPR, nebo za případy, kdy jednal proti konkrétním pokynům Zákazníka nebo nad jejich rámec. Odpovědnost Aleware Solutions však v těchto případech nepřesáhne nižší z těchto částek (i) částky zaplacené společnosti Aleware Solutions na základě Smlouvy o poskytování služeb za posledních dvanáct (12) měsíců, a (ii) celkové limitace náhrady škody stanovené ve Smlouvě o poskytování služeb, pokud existuje.
9.4 Pro uplatnění nároku na náhradu vůči Aleware Solutions na základě odstavce 9.3 výše je Zákazník povinen (i) neprodleně informovat Aleware Solutions o jakémkoliv vyšetřování, nároku nebo žádosti, o kterých se dozví; (ii) dohodnout se Aleware Solutions způsob řešení a reakce na toto vyšetřování, nárok nebo žádost; (iii) komunikovat s nárokující stranou, orgánem dozoru nebo jinou třetí stranou pouze po projednání a po dohodě se Aleware Solutions; a (iv) odvolat se proti jakémukoliv odsuzujícímu rozhodnutí nebo uložení pokuty, pokud pro to existují rozumné důvody.
10 VYŠŠÍ MOC
Aleware Solutions neodpovídá za jakékoliv porušení povinností nebo prodlení v plnění svých povinností na základě této smlouvy, jestliže je toto porušení nebo prodlení způsobeno okolnostmi mimo kontrolu Aleware Solutions, které Aleware Solutions nemohla rozumně předpokládat nebo jim zabránit (dále “vyšší moc”). Neplnění subdodavatelem bude považováno za událost vyšší moci, pokud je předmětným důvodem neplnění ze strany subdodavatele událost, která by byla považována za událost vyšší moci, pokud by se přímo vztahovala k Aleware Solutions.
11 RŮZNÉ
11.1Veškerá vyrozumění druhé straně na základě této smlouvy musí být v písemné formě a zasílaná na její adresu uvedenou na začátku této smlouvy nebo na jinou adresu, kterou strana písemně sdělí.
11.2Neuplatní-li některá strana svá práva podle této smlouvy nebo v souvislosti s ní, nepředstavuje tato skutečnost zrušení či prominutí těchto práv, a tato práva nejsou nijak dotčena.
11.3Strany nejsou oprávněny postupovat jakákoliv práva a povinnosti na základě této smlouvy třetím stranám, ani je na ně převádět.
11.4Tuto smlouvu lze měnit pouze na základě písemné dohody mezi stranami.
11.5Je-li některé ustanovení této smlouvy prohlášeno za neplatné nebo nevymahatelné místně příslušným soudem, ostatní ustanovení této smlouvy budou nadále platná, pokud tato ostatní ustanovení nemusí být považována za nerozlučitelně spojená s neplatným nebo nevymahatelným ustanovením. V případě, že jsou ostatní ustanovení nadále platná, vynaloží obě strany snahu, aby nahradily neplatné či nevymahatelné ustanovení platným ustanovením, které se nejvíce blíží původnímu záměru stran.
11.6Pro případ, že mezi smluvními stranami byla v minulosti uzavřena jakákoli smlouva o zpracování osobních údajů Zákazníka ze strany Aleware Solutions, či sjednáno jakékoli ujednání o zpracování osobních údajů Zákazníka ze strany Aleware Solutions, pak takováto smlouva či takovéto ujednání se okamžikem nabytí účinnosti této smlouvy nahrazuje touto smlouvou.
12 ROZHODNÉ PRÁVO
Rozhodné právo a řešení sporů se řídí úpravou řešení sporů ve Smlouvě o poskytování služeb.
Vyhotoveno ve dvou (2) originálních výtiscích, přičemž každá strana potvrzuje převzetí jednoho (1) originálního výtisku.
Místo a datum:
Podepsal Jméno: xxx. Xxx. Xxxx Xxxxx, Ph.D. Funkce: ředitel Drážního úřadu Jménem Zákazníka | Místo a datum: Podepsal Jméno: Xxxxxxxx Xxxxxxxx Funkce: jednatelka Aleware Solutions s.r.o. Jménem Aleware Solutions |
Příloha 1
PODROBNOSTI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SPOLEČNOSTI ZÁKAZNÍKA
Tato Příloha 1 zahrnuje konkrétní informace o zpracování osobních údajů Zákazníka v souladu s ustanoveními článku 28 odst. 3 GDPR.
1 Předmět a doba trvání zpracování osobních údajů Zákazníka
Předmět a doba trvání zpracování osobních údajů Zákazníka jsou stanoveny ve Smlouvě o poskytování služeb doplněné touto Smlouvou
o zpracování údajů.
2 Podstata a účel zpracování osobních údajů Zákazníka
Aleware Solutions zpracovává osobní údaje Zákazníka prostřednictvím následujících způsobů zpracování |
☐ a) Kamerový systém; |
☐ b) Systém kontroly vstupu; |
☐ c) Poplachový zabezpečovací a tísňový systém; |
☐ d) Docházkový systém; |
☒ e) Vedení manuálních evidencí (fyzické knihy návštěv, knihy klíčů apod.); |
☒ f) Vedením elektronických evidencí (elektronicky zpracovávané knihy návštěv, telefonní seznamy apod.); |
☐ g) Integračních nástrojů (LATIS, C4 apod.); |
☐ h) [uveďte případně jiné způsoby zpracování] |
☐ ch) [uveďte případně jiné způsoby zpracování] |
☐ i) [uveďte případně jiné způsoby zpracování] |
Aleware Solutions zpracovává pro Zákazníka osobní údaje za těmito účely | Platí pro následující způsoby zpracování |
☒ Ochrana osob | |
☒ Ochrana majetku | e, |
☒ Evidence vstupujících/odcházejících osob | e, |
☐ Evidence vjíždějících/odjíždějících vozidel | |
☐ Evidence docházky | |
☐ Provoz podatelny | |
☒ Provoz telefonní ústředny | f |
☐ Zajištění záručních služeb | |
☐ Zajištění revizních služeb | |
☐ Jiné účely zpracování osobních údajů | |
☐ [uveďte jiné účely zpracování] |
3 Typy osobních údajů Zákazníka určené ke zpracování
Aleware Solutions zpracovává pro Zákazníka tyto typy osobních údajů | Platí pro následující způsoby zpracování |
☒ Adresní údaje | e, f |
☒ Identifikační údaje (jméno, příjmení apod.) | e, f |
☒ Popisné údaje (obrazové záznamy z CCTV, fotografie apod.) | f, |
☐ Biometrické údaje (otisk prstu, scan krevního řečiště apod.) | |
☐ [uveďte jiné typy osobních údajů] |
4 Kategorie subjektů údajů, ke kterým se vztahují osobní údaje Zákazníka
Aleware Solutions zpracovává pro Zákazníka osobní údaje od těchto kategorií subjektů údajů | Platí pro následující způsoby zpracování |
☒ Zaměstnanci Zákazníka | e, f |
☒ Zaměstnanci servisních firem | e |
☒ Klienti | e |
☒ Dodavatelé | e |
☒ Návštěvy | e |
☐ [uveďte jiné kategorie subjektu údajů] |
5 Povinnosti a práva Zákazníka
Povinnosti a práva Zákazníka jako správce jsou stanoveny ve Smlouvě o poskytování služeb doplněné touto Smlouvou o zpracování údajů.
6 Bezpečnostní opatření
1. ŘÍZENÍ PŘÍSTUPU DO MÍST ZPRACOVÁNÍ
Aleware Solutions zajistí taková technická a organizační opatření, která znemožní neoprávněným osobám vstup do míst a k zařízením, kde dochází ke zpracování osobních údajů.
Technická a organizační opatření pro řízení přístupu osob do míst zpracování osobních údajů mohou být následující:
• Čtečka průkazů totožnosti, magnetická karta, čipová karta;
• Ochranná opatření pro zamezení krádeže, manipulace a škod na zařízení používaném pro zpracování údajů;
• Bezpečnostní zónování objektu;
• Přihlášení (logování) personálu na daném pracovišti;
• Řízený výdej klíčů (včetně přístupových oblastí);
• Zabezpečovací systém dveří (elektrické otevírání dveří apod.);
• Fyzická ostraha;
• Bezpečnostní dokumentace;
• Izolační zařízení (např. turniket, bezpečnostní uzamčená propojovací chodba);
• Monitorovací zařízení, např. poplachový systém, sledování pomocí kamerového systému.
2. ŘÍZENÍ PŘÍSTUPU K ÚDAJŮM V SYSTÉMECH ZPRACOVÁNÍ
Aleware Solutions zajistí taková technická a organizační opatření, která znemožní neoprávněným osobám přístup k osobním údajům, které jsou zpracovávány v obsluhovaných systémech. Neoprávněné osoby nemají přístup k systému zpracování údajů.
Technická a organizační opatření zajišťující identifikaci uživatele v systému mohou být následující:
• Přístupová oprávnění (hesla, kódy apod.);
• Bezpečnostní monitoring (logování uživatelů);
• Automatické zamykání (např. heslo požadované pro opětovné přihlášení);
• Nastaven proces zajišťující okamžité odvolání veškerých přístupových práv v případě, že zaměstnanec ukončí pracovní proces;
• Bezpečnostní zálohy;
• Antivirová ochrana;
• Šifrování;
• Firewall;
• Zakódování disku;
• Bezpečnostní dokumentace.
3. ŘÍZENÍ PŘÍSTUPU K ÚDAJŮM
Aleware Solutions zajistí, aby osoby oprávněné používat zpracovatelský systém měly přístup pouze k údajům, ke kterým mají přístupové právo. Dále Aleware Solutions zajistí, aby tyto údaje nemohly být přečteny, kopírovány, změněny či vymazány během jejich zpracování, používání a dalšího přechovávání.
Opatření k přístupovým a přihlašovacím právům a jejich monitorování mohou být následující:
• Nastavení přístupových oprávnění, dle konkrétních potřeb (odlišné úrovně přístupů k údajům);
• Úložiště údajů jsou umístěna v zabezpečených místnostech, které jsou pravidelně kontrolovány z hlediska bezpečnosti;
• Dodržují se zásady need to know (zpřístupnit minimum potřebných informací);
• Neznámý / neoprávněný software nelze instalovat na hardware zpracovatele;
• Údaje jsou přechovávány zakódované;
• Bezpečnostní dokumentace.
4. ŘÍZENÍ PŘENOSU
Aleware Solutions zajistí, že během digitálního přenosu nebo dopravy / přechovávání na nosičích dat pro přenos nesmějí být údaje přečteny, kopírovány, změněny ani vymazány.
Opatření během přenosu, dopravy a přechovávání údajů na nosičích dat mohou být následující:
• Přístupová opatření (hesla, kódy apod.);
• Šifrování;
• Kódování, síťové připojení (VPN = Virtual Private Network/virtuální soukromá síť);
• Digitální podpis;
• Bezpečnostní monitoring uživatelů;
• Opatření pro zamezení neřízeného přenosu údajů (např. zamykání portů USB);
• Bezpečnostní dokumentace.
5. ŘÍZENÍ ZÁZNAMŮ
Aleware Solutions zajistí přijetí opatření pro zajištění kontroly, zda byly údaje v systému zpracování údajů zadány, změněny nebo vymazány, a kým.
Opatření pro následné ověření, zda byly údaje zadány, změněny nebo vymazány, a kým mohou být následující:
• Bezpečnostní monitoring uživatelů (čtení, změna, pokusy o neoprávněný přístup apod, pravidelná analýza záznamů / speciální analýza záznamů, bude-li třeba);
• Pravidelné vyhodnocování bezpečnostního monitoringu;
• Bezpečnostní dokumentace.
6. ŘÍZENÍ ZPRACOVÁNÍ ÚDAJŮ
Aleware Solutions zajistí, že osobní údaje budou zpracovávány pouze v souladu s pokyny Zákazníka. Opatření pro odlišení povinností ve vztahu k Zákazníkovi a Aleware Solutions mohou být následující:
• Zaměstnanci jsou povinni odlišovat zpracování údajů Aleware Solutions, Zákazníka a dalších zákazníků Aleware Solutions;
• S údaji Zákazníka bude nakládáno minimálně se stejnou péčí jako s vlastními "důvěrnými" údaji Aleware Solutions;
• Kontrola plnění smlouvy.
7. ŘÍZENÍ DOSTUPNOSTI ÚDAJŮ
Aleware Solutions zajistí, že osobní údaje budou chráněny proti náhodnému zničení nebo ztrátě. Opatření pro zajištění zamezení zničení / ztráty údajů mohou být následující:
• Zálohování;
• Oddělené přechovávání;
• Provádění zrcadlového otisku disků (např. postup RAID);
• Nepřerušitelná dodávka elektrické energie;
• Pravidelná kontrola stavu systému (monitorování);
• Antivirová ochrana;
• Nouzový plán (včetně pravidelných zkoušek).
8. ŘÍZENÍ ODDĚLENÍ ZPRACOVÁNÍ
Aleware Solutions zajistí zpracovávání a přechovávání osobních údajů nashromážděných pro určitý účel odděleně od jakýchkoliv jiných dat.
Opatření pro zajištění odděleného zpracování osobních údajů (přechovávání, změna, výmaz, přenos), pokud byly osobní údaje nashromážděny z odlišných důvodů mohou být následující:
• Víceklientské řešení;
• Oddělení systémů v reálném čase a vyzkoušení prostředí;
• Dokumentované oddělení funkcí.