Zásady ochrany osobních údajů a zabezpečení dat v aplikaci dm Software
Zásady ochrany osobních údajů a zabezpečení dat v aplikaci dm Software
Základní ustanovení
Podmínky uvedené v těchto zásadách se vztahují na data a služby poskytované společností dm Software s.r.o. v rámci bezplatných služeb či služeb za úhradu na základě písemné smlouvy vztahující se k SW produktu dm Software (dále DM).
Definice odpovědností
Pro operace s osobními údaji v rámci aplikace DM rozlišujeme role správce a zpracovatele:
Správce osobních údajů – subjekt, který v rámci smluvního vztahu pořídí služby SW produktu DM (zákazník). Správce nese plnou odpovědnost za soulad zpracování osobních údajů s GDPR (článek 24 GDPR). Správce garantuje zpracovateli existenci řádných právních důvodů zpracování osobních údajů.
Zpracovatel osobních údajů – dm Software s.r.o. jako poskytovatel aplikace DM přebírá na základě smluvního vtahu, včetně případných příloh a dodatků, roli zpracovatele osobních údajů (článek 28 GDPR). dm Software s.r.o. zpracovává osobní údaje pouze na základě doložených pokynů správce.
V případě doplňkových služeb aplikace DM objednaných přímo subjekty údajů (např. zasílání informací o prospěchu pomocí SMS) je správcem osobních údajů dm Software s.r.o.
Rozsah zpracovávaných dat
Pro plnění služeb, které zákazníci objednají v rámci produktu DM, jsou zpracovávány tyto kategorie dat:
1) Data o zákazníkovi – data poskytnutá zákazníkem určená pro plnění smlouvy (např. kontaktní údaje na ředitele, správce aplikace apod.)
2) Informace poskytnuté zákazníkem – osobní data, která zákazníci jako správci OÚ získají od subjektů údajů a vloží je do aplikace DM nebo toto právo přenesou přímo na subjekt údajů
3) Informace o využití služeb – informace o operacích prováděných zákazníky s daty uloženými v aplikaci DM, informace slouží pro auditní a forenzní účely a v případě regulérního provozu nejsou nijak dále zpracovávány
a. Informace o zařízení a protokolu – identifikátor zařízení, ze kterého se přistupuje k datům v aplikaci DM a identifikace místa v síti, ze kterého bylo k datům přistupováno
b. Místní úložiště a cookie – technologie webové komunikace vyžaduje používání souborů cookie nebo podobných technologií pro ukládání informací o aktuálním uživateli
Data poskytnutá zákazníkem (správcovská data), včetně dat o využití služeb, využívá společnost dm Software s.r.o. výhradně pro naplnění služeb zákazníkům, včetně účelů kompatibilních s poskytováním těchto služeb. dm Software s.r.o. nebude správcovská data využívat ani z nich nebude odvozovat informace pro žádné reklamní či jiné komerční účely. Zákazníci mají zachována všechna práva, včetně práv duševního vlastnictví, k datům v aplikaci DM. dm Software s.r.o. nezískává k zákaznickým datům žádná práva s výjimkou práv, která společnosti dm Software s.r.o. přidělí zákazník pro poskytování služeb souvisejících s provozem SW DM.
Povinnosti Zpracovatele z pohledu GDPR
Společnost dm Software s.r.o. deklaruje, že její materiální, organizační, technické i personální zdroje poskytují zákazníkům dostatečné záruky, že zpracování osobních údajů bude v souladu s GDPR a bude zajištěna ochrana práv subjektů údajů (článek 28 odstavec 1 GDPR)
Společnost dm Software s.r.o. nezapojí jiného zpracovatele bez předchozího konkrétního nebo obecného písemného oprávnění od zákazníka, jakožto správce osobních údajů. V případě obecného písemného oprávnění bude společnost dm Software s.r.o. informovat zákazníka o veškerých zamýšlených změnách týkajících se přijetí dalších nebo výměny stávajících zpracovatelů a poskytne tím zákazníkovi možnost vznést námitku proti takovým změnám. (článek 28 odstavec 2 GDPR)
Zpracování osobních údajů společností dm Software s.r.o. se řídí platnou smlouvou o poskytování služeb aplikace DM a podmínkami obecného nařízení o zpracování osobních údajů (článek 28 odstavec 3 GDPR). Předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů, kategorie subjektů údajů a povinnosti a práva zákazníka jsou ve smlouvě (vč. dodatků a příloh) přesně stanoveny. Zejména je upraveno, že zpracovatel:
1. zpracovává osobní údaje pouze na základě zdokumentovaných pokynů od zákazníka;
2. zajití, že osoby, které mají oprávnění zpracovávat osobní údaje, se zavázaly dodržovat jejich důvěrnost nebo se na ně vztahuje zákonná povinnost mlčenlivosti;
3. přijme všechna opatření požadovaná článkem 32 GDPR (zabezpečení osobních údajů);
4. dodrží podmínky pro zapojení dalšího zpracovatele dle odstavců 2 a 4 článku 28 GDPR;
5. bude brát v úvahu povahu zpracování a bude v rámci možností napomáhat zákazníkovi prostřednictvím příslušných technických a organizačních opatření při plnění povinnosti správce reagovat na žádosti o uplatňování práv subjektu údajů stanovených v kapitole III GDPR;
6. bude napomáhat zákazníkovi při zajištění shody s povinnostmi stanovenými články 32 až 36 GDPR s ohledem na povahu zpracování a informací, které má dm Software s.r.o. k dispozici (zabezpečení OÚ a předchozí konzultace);
7. na žádost zákazníka odstraní nebo vrátí zákazníkovi veškeré osobní údaje na konci poskytování služeb souvisejících se zpracováním a vymaže existující kopie;
8. poskytne zákazníkovi veškeré informace nezbytné k prokázání shody s povinnostmi stanovenými v článku 28 GDPR a umožní audity, včetně inspekcí, prováděné zákazníkem nebo jím pověřeným auditorem, a bude zákazníkovi při těchto činnostech napomáhat;
9. neprodleně informuje zákazníka v případě, pokud zjistí, že některý z pokynů zákazníka jako správce OÚ porušuje obecné nařízení o zpracování osobních údajů nebo jiné právní předpisy.
Pokud společnost dm Software s.r.o. pověří jiného zpracovatele realizací konkrétních činností zpracování jménem zákazníka, budou pro něj platit stejné povinnosti ohledně ochrany dat, jaké jsou stanoveny v těchto zásadách. Jde zejména o poskytnutí dostatečných záruk implementace vhodných technických a organizačních opatření způsobem, že zpracování splní požadavky GDPR a bude v souladu s pokyny správce. Neplní-li další zpracovatel své povinnosti v oblasti ochrany osobních údajů, nese společnost dm Software s.r.o. plnou odpovědnost vůči zákazníkovi za výkon povinností tohoto zpracovatele. (Článek 28 odstavec 4 GDPR)
Dílčí zpracovatelé
Zákazník je srozuměn s tím, že společnost dm Software s.r.o. může zapojit do zpracování osobních údajů dílčí zpracovatele v souladu s článkem 28 odstavcem 4 GDPR.
dm Software s.r.o. ručí za to, že dílčí zpracovatelé budou vázáni písemnými dohodami, které od nich vyžadují zajištění přinejmenším takové úrovně ochrany údajů, jaká je definovaná v těchto zásadách a povinnostech zpracovatele dle GDPR.
dm Software s.r.o. se zavazuje vydat na požádání zákazníkům seznam stávajících dílčích zpracovatelů. Minimálně 14 dní před poskytnutím oprávnění novému dílčímu zpracovateli pro přístup k osobním údajům informuje dm Software s.r.o. všechny zákazníky o tomto záměru. Pokud zákazník nového dílčího zpracovatele neschválí, může z tohoto důvodu vypovědět smlouvu o poskytování služeb aplikace DM.
Záznamy aktivit zpracování
Společnost dm Software s.r.o. jako zpracovatel osobních údajů bude uchovávat veškeré záznamy o zpracování požadované článkem 30 odstavec 2 GDPR. Záznamy jsou vedeny písemně a na vyžádání budou předloženy zákazníkovi či dozorovému úřadu.
Zabezpečení zpracování OÚ
Prioritou společnosti dm Software s.r.o. je maximálně chránit zákaznická data v aplikaci DM. dm Software s.r.o. implementovala a uplatňuje aktuální bezpečnostní standardy, technická a organizační opatření určená k ochraně zákaznických dat. Zejména klade důraz na ochranu před ztrátou či nezáměrnou změnou dat, neoprávněným nebo nezákonným přístupem, zveřejněním, pozměněním či zničením dat.
S přihlédnutím k současnému stavu vývoje v IT, nákladům na realizaci, povaze, rozsahu, kontextu a účelu zpracování, stejně jako s ohledem na různě pravděpodobná rizika a závažnosti dopadu do práv a svobod fyzických osob, bude zákazník a společnost dm Software s.r.o. implementovat vhodná technická a organizační opatření pro zajištění úrovně zabezpečení odpovídající definovaným rizikům (článek 32 odstavec 1 GDPR). Takovými opatřeními mohou být:
1. pseudonymizace a šifrování osobních údajů;
2. schopnosti zajistit důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
3. schopnost obnovit dostupnost osobních údajů a včasný přístup k nim v případě fyzického nebo technického problému;
4. realizace procesu pravidelného testování, přístupu a posouzení efektivity technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Při analýze vhodné úrovně zabezpečení se zejména posuzují rizika, která představuje náhodné nebo nezákonné zničení, ztráta, pozměnění, neautorizované zveřejnění nebo neautorizovaný přístup k osobním údajům. (článek 32 odstavec 2 GDPR)
Zákazník i společnost dm Software s.r.o. jsou povinni přijmout opatření, aby jakákoli fyzická osoba, která jedná z pověření zákazníka nebo společnosti a která má přístup k osobním údajům, nebude tyto údaje zpracovávat s výjimkou případů, kdy k tomu dostala pokyn od zákazníka. (článek 32 odstavec 4) Společnost dm Software s.r.o. nenese odpovědnost za únik či poškození dat způsobené zaměstnancem zákazníka či jinou osobou, která má do aplikace DM přístup na základě zmocnění zákazníka.
Porušení zabezpečení osobních údajů
Pokud společnost dm Software s.r.o. zjistí jakýkoli neoprávněný přístup k zákaznickým datům v aplikaci DM (tzv.
„bezpečnostní incident“), neprodleně informuje zákazníka o vzniklém problému, prošetří bezpečnostní incident, poskytne zákazníkovi podrobné informace o bezpečnostním incidentu a provede příslušné kroky ke zmírnění účinků a k minimalizaci škod.
Oznámení o bezpečnostních incidentech budou doručena jedné či více oprávněným osobám zákazníka a to adekvátní formou včetně elektronické komunikace. Zákazník výhradně zodpovídá za to, že jeho oprávněné osoby (např. statutární zástupce, pověřenec pro ochranu osobních údajů) budou stále udržovat přesné kontaktní údaje. Povinnost zpracovatele nahlásit bezpečnostní incident nebo na něj adekvátně reagovat neznamená, že společnost dm Software s.r.o. uznává odpovědnost v souvislosti s tímto bezpečnostním incidentem.
Zákazník se zavazuje informovat společnost dm Software s.r.o. o skutečném či předpokládaném zneužití svých účtů, přístupových či ověřovacích údajů aby zpracovatel mohl adekvátně a včas reagovat a minimalizovat bezpečnostní incidenty.
Oznamovací povinnost při bezpečnostních incidentech
Jakmile společnost dm Software s.r.o. zjistí porušení bezpečnosti osobních údajů v aplikaci DM, neprodleně o tom uvědomí zákazníka a to bez zbytečného odkladu. (Článek 33 odstavec 2 GDPR).
Součástí upozornění bude zejména:
1. povaha narušení bezpečnosti osobních údajů, a pokud je to možné, kategorie a přibližný počet dotčených subjektů údajů a kategorie a přibližný počet záznamů osobních údajů;
2. jméno a kontaktní údaje specialisty pro ochranu osobních údajů nebo jiné kontaktní osoby, od níž lze získat více informací k incidentu;
3. popis pravděpodobných důsledků narušení bezpečnosti osobních údajů;
4. popis podniknutých nebo navržených opatření, která má provést správce v rámci vyřešení narušení bezpečnosti osobních údajů, včetně příslušných opatření na zmírnění možných nežádoucích dopadů. (Článek 33, odstavec 3 GDPR)
Povinnost oznámit porušení zabezpečení osobních údajů dozorovému úřadu (článek 33, odstavec 1 GDPR) a v případě vysokého rizika dopadu do práv subjetku údajů též subjektu údajů (článek 34 GDPR) má zákazník jako správce osobních údajů. dm Software s.r.o. mu v tom poskytne veškerou nutnou součinnost.
Použití údajů o technické a uživatelské podpoře
Údaje o technické a uživatelské podpoře budou používány pouze pro účely poskytnutí podpory zákazníkovi včetně účelů kompatibilních s poskytováním takovéto podpory (např. řešení opakovaných problémů, často kladené otázky, vylepšení služeb zákaznické podpory apod.). Společnost dm Software s.r.o. nebude data získaná v rámci služeb zákaznické podpory využívat ani z nich nebude odvozovat informace pro žádné reklamní či podobné komerční účely bez povolení zákazníka. Osobní údaje o subjektech údajů bude dm Software s.r.o. v tomto případě zpracovávat jako správce osobních údajů, přičemž právním titulem pro nakládání s OÚ je plnění smlouvy.
Místo zpracování dat
Osobní data uložená v aplikaci DM jsou umístěna v renomovaném datovém centru v České republice. Toto centrum splňuje vysoké nároky na kybernetickou bezpečnost a je certifikováno dle ISO/IEC 27001:2013 pro ICT a cloudové služby. Elektronický přístup k datům je řešen pomocí sofistikované bezpečnostní cloudové infrastruktury, fyzický přístup k serverům podléhá přísným bezpečnostním protokolům a je monitorován v režimu 24/7. Infrastruktura využívaného datového centra je součástí
kritické informační infrastruktury na území ČR ve smyslu zákona č. 181/2014 Sb., poskytovatel xxxxxxxxxx služeb má rovněž prověrku od NBÚ dle zákona č. 412/2005 Sb.
Pomoc zákazníkům při řešení žádostí subjektů údajů
Společnost dm Software s.r.o. v aplikaci DM garantuje zákazníkům online přístup k osobním údajům subjektu údajů a tím jim umožňuje plnit žádosti subjektů údajů na uplatnění jednoho nebo více jejich práv v rámci GDPR. U dat týkající se využití služeb, která nejsou v aplikaci běžně dostupná, vyhoví společnost dm Software s.r.o. v přiměřené míře žádostem zákazníka, aby mu napomohla vyřídit takovou žádost subjektu údajů.
Pokud dm Software s.r.o. obdrží žádost přímo od subjektu údajů na uplatnění jednoho nebo více svých práv v rámci obecného nařízení o zpracování osobních údajů, přesměruje subjekt údajů tak, aby jeho žádost byla adresována přímo na příslušného zákazníka, jenž je správcem osobních údajů.
Kontaktní údaje pro oblast zabezpečení a GDPR
Pokud se zákazník aplikace DM domnívá, že společnost dm Software s.r.o. nedodržuje své závazky v oblasti ochrany osobních údajů a zabezpečení, může kontaktovat zákaznickou podporu nebo se přímo obrátit na pověřence pro ochranu osobních údajů.
Zákaznická podpora: dm Software s.r.o.
Xxxxxx 0
301 00, Plzeň
x000 000 000 000
Pověřenec pro ochranu osobních údajů: dm Software s.r.o.
Xxx. Xxxxx Xxxxxxx Xxxxxx 0
301 00, Plzeň
x000 000 000 000
Verze dokumentu
Verze 1.0 vydaná dne 1. 3. 2018
Tato verze v plném rozsahu nahrazuje verzi 0.1 vydanou dne 22. 10. 2017. Aktuální znění Obecného nařízení je k dispozici zde.