Dohoda

mezi

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 München

- dále pouze „Zhotovitel“ nebo „Smluvní zpracovatel dat“ -

vůči svým zákazníkům

- dále pouze „Objednatel“ –

Upozornění

Tento dokument obsahuje podmínky zhotovitele pro dohodu o smluvním zpracováním dat mezi objednatelem a zhotovitelem podle čl. 28 odst. 3 nařízení GDPR. Objednatel vyjadřuje svůj souhlas s těmito podmínkami v rámci uzavření smlouvy o použití on-line nebo jiných informačních služeb zhotovitele („Dohoda o rozsahu služeb“) nebo – pokud již byla dohoda o rozsahu služeb uzavřena – v rámci dodatečného prohlášení.

1. Předmět a doba trvání smluvního zpracování dat

(1) předmět

Předmět smluvního zpracování dat vyplývá z příslušné dohody o rozsahu služeb.

(2) doba trvání

Doba trvání smluvního zpracování dat (doba trvání) odpovídá době platnosti příslušné dohody o rozsahu služeb.

2. Specifikace obsahu smluvního zpracování dat

(1) způsob a účel předpokládaného zpracování osobních údajů Smluvní zpracování dat zahrnuje následující zpracování:

  1. Zpracování osobních údajů, které jsou zadávány objednatelem v rámci využívání příslušných online a dalších informačních služeb a které musí být zhotovitelem zpracovávány za účelem zajištění funkce produktu.
  2. Zpracovávání osobních údajů, u nichž není možné vyloučit možnost přístupu ze strany objednatele v rámci provádění jiných činností.
    • Na jedné straně může docházet k přístupu k osobním údajům uvedeným pod písm. a) v rámci vlastních vyhodnocení zhotovitele, zejména v rámci analýzy funkčnosti produktu pro účely optimalizace produktu a měření úspěšnosti a využití. Údaje dotčené zpracováním údajů v takovém případě nejsou zahrnuty do vyhodnocování a budou zhotovitelem odstraněna nebo pseudoanonymizována/anonymizována
    • Na druhou stranu může v rámci provádění údržby a / nebo poskytování podpůrných služeb docházet k přístupu k dalším osobním údajům lokálně uloženým u zhotovitele.
  3. Kromě toho může být nezbytné, aby zhotovitel za účelem dotazování na určité díly podle FIN přeposílal FIN na server příslušného výrobce. Výrobce přidá k FIN určité informace, které jsou nezbytné pro informování o dotazovaných dílech, a poté je znovu odesílá zpět zhotoviteli. Výrobce zpracovává FIN i pro vlastní účely a stává se tak osobou samostatně odpovědnou ve smyslu nařízení GDPR. Objednatel tímto zmocňuje zhotovitele k tomu, aby za tímto účelem předal FIN výrobci.

(2) Druh údajů

Předmětem zpracování osobních údajů jsou následující druhy/kategorie dat (výčet/specifikace kategorií dat)

  • Identifikační čísla vozidel a/nebo státní poznávací značky vozidel zadané objednatelem do on-line služby
  • Údaje koncových zákazníků zadané do on-line služby zhotovitelem za účelem vytvoření nabídek, a to zejména:
    • Údaje o adresách v rámci objednávek dílů
    • E-mailové adresy k zasílání obrazových a textuálních stránek
  • Data zákazníků zadaná koncovými zákazníky v rámci registrace k on-line službě a také
  • data zákazníků uložená místně u objednatele (v rámci vzdálené údržby zákaznickým servisem)
    • Kmenová data osob
    • Data pro komunikaci (např. telefon, e-mail)

(3) kategorie dotyčných osob

Kategorie osob, kterých se dotýká zpracování osobních údajů, zahrnují:

  • Koncové zákazníky objednatele

(4) Zhotovitel si vyhrazuje právo anonymizovat nebo agregovat údaje objednatele takovým způsobem, aby nebylo možné identifikovat jednotlivé subjekty údajů, a v této podobě tyto údaje dále používat pro účely utváření, dalšího vývoje a optimalizace jakož i k poskytování sjednané služby v souladu s hlavní smlouvou. Smluvní strany se dohodly, že anonymizované údaje objednatele popř. údaje agregované dle výše uvedeného ujednání již nejsou považovány za údaje objednatele ve smyslu této smlouvy.

(5) Zhotovitel je oprávněn zpracovávat a používat údaje objednatele v rozsahu přípustném dle zákona o ochraně údajů pro své vlastní účely na vlastní odpovědnost, pokud to umožňuje právní předpis nebo prohlášení o souhlasu vydané dotčenou osobou. Na takovéto zpracování osobních údajů se smlouva nevztahuje.

3. Místo zpracování údajů

Smluvní zpracování osobních údajů probíhá v prvé řadě v Německu či v jedné ze členských zemí Evropské unie nebo v jiném smluvním státě Dohody o Evropském hospodářském prostoru. Jsou-li osobní údaje zpracovávány také subdodavatelem ve třetí zemi, je toto zpracování prováděno pouze tehdy, jsou-li k tomu splněny zvláštní podmínky stanovené ustanovením čl. 44 a násl. článků nařízení GDPR.

4. Technicky organizační opatření

(1) Zhotovitel zadokumentuje realizaci technických a organizačních opatření, která jsou vyžadována a uvedena před pověřením smluvním zpracováním dat, zejména v ohledu na konkrétní provádění smluvního zpracování dat, a předloží tuto dokumentaci objednateli spolu s tímto prohlášením ke kontrole. V případě akceptování objednatelem budou tato zadokumentovaná opatření základem smlouvy. V opačném případě nebude dohoda mezi jednotlivými stranami uzavřena.

(2) zhotovitel zajistí bezpečnost pod. čl. 28 odst. 3, písm. c), 32 nařízení GDPR zejména v souvislosti s čl. 5 odst. 1, odst. 2 nařízení GDPR. Celkově se jedná u požadovaných opatření o opatření bezpečnosti dat a zajištění úrovně ochrany přiměřené riziku v ohledu na důvěrnost, integritu, dostupnost a také zatížitelnost systémů. Zhotovitel přitom zohlední stav techniky, náklady na implementaci a způsob, rozsah a účel zpracování a také různé stupně pravděpodobnosti a závažnost výskytu rizik pro práva a svobody fyzických osob ve smyslu čl. 32 odst. 1 GDPR (NOOÚ) [podrobnosti v příloze 1].

(3) Technická a organizační opatření podléhají technickému pokroku a zdokonalování. Do této míry je zhotoviteli povoleno realizovat alternativní přiměřená opatření. Přitom budou stanovená opatření dosahovat vždy minimální požadované úrovně ochrany. Podstatné změny musí být zadokumentovány.

5. Oprava, omezení a smazání dat

(1) Zhotovitel nebude smluvně zpracovávané údaje opravovat, mazat nebo omezovat jejich zpracování na základě svévolného rozhodnutí, ale pouze na základě zadokumentovaného pokynu objednatele. Pokud se v tomto ohledu nějaká dotyčná osoba bezprostředně obrátí na zhotovitele, předá tuto žádost zhotovitel okamžitě objednateli.

(2) Zhotovitel, pokud je to zahrnuto v rozsahu služeb, okamžitě zajistí na zadokumentovaný pokyn objednatele koncept smazání, právo na zapomenutí, opravu, přenositelnost dat a informování. Konkrétní pokyny, které vybočují z dohody o rozsahu služeb nebo kladou dodatečné požadavky, vyžadují předchozí souhlas zhotovitele. Zde se musí zohlednit, že on-line služby poskytnuté zhotovitelem jsou standardní produkty, jichž právní požadavky na ochranu dat objednatele mohou způsobit vyšší náklady. Tyto náklady nese po příslušné individuální dohodě v plném rozsahu objednatel.

6. Zajištění kvality a další povinnosti zhotovitele

Zhotovitelmusí kromě ustanovení této smlouvy dodržovat také zákonné povinnosti podle čl. 28 až 33 nařízení GDPR; v tomto rozsahu zajistí zejména dodržování těchto požadavků:

  1. Písemné pověření osoby zodpovědné za ochranu dat, která bude vykonávat svoji činnost pod. čl. 38 a 39 nařízení GDPR. Kontaktní údaje na tuto osobu budou sděleny objednateli za účelem přímého kontaktování této osoby. Při výměně osoby zodpovědné za ochranu dat bude tato skutečnost objednateli okamžitě oznámena.
  2. Dodržování důvěrnosti podle čl. 28 odst. 3, věta 2, písm. b), 29, 32 odst. 4 nařízení GDPR. Zhotovitel bude při vykonávání práce využívat pouze takové zaměstnance, kteří budou zavázáni povinností zachovávání důvěrnosti a kteří byli předtím poučeni o příslušných ustanoveních ochrany dat. Zhotovitel a každá osoba podřízená zhotoviteli, která má přístup k osobním údajům, smí tyto údaje zpracovávat výhradně na pokyn objednatele včetně oprávnění uděleného v této smlouvě, ledaže by byli zavázáni ke zpracování zákonnými předpisy.
  3. Realizace a dodržování veškerých technických a organizačních opatření vyžadovaných pro toto smluvní zpracování dat podle čl. 28 odst. 3 str. 2 písm. c), 32 GDPR (NOOÚ) [podrobnosti v příloze 1].
  4. Objednatel a zhotovitel budou na žádost dozorčího úřadu spolupracovat na splnění úřadem uložených úkolů.
  5. Objednatel bude okamžitě informován o provádění kontrol a opatření dozorčího úřadu, pokud se budou týkat této smlouvy. To platí také v případě, pokud bude příslušný úřad provádět vyšetřování v rámci přestupkového nebo trestního řízení v ohledu na zpracování osobních údajů při provádění smluvního zpracování dat u zhotovitele.
  6. Pokud je objednatel vystaven kontrole dozorčím úřadem, přestupovému nebo trestnímu řízení , vznesení nároku ze záruky dotyčnou osobou nebo třetí osobou nebo jinému nároku v souvislosti se smluvním zpracováním dat u zhotovitele, poskytne mu zhotovitel maximální součinnost.
  7. Zhotovitel bude pravidelně kontrolovat interní procesy a také technická a organizační opatření pro zajištění toho, aby bylo zaručeno zpracování v jeho rozsahu zodpovědnosti v souladu s požadavky platných předpisů ochrany osobních údajů a ochrany práv dotyčné osoby.
  8. Prokazatelnost realizovaných technických a organizačních opatření vůči objednateli v rámci jeho oprávnění provádění kontrol podle čísla 7 této smlouvy.

7. Pověřování subdodavatelů

(1) Jako pověřování subdodavatelů ve smyslu tohoto ustanovení se rozumí takové služby, které se vztahují bezprostředně na poskytování hlavních služeb. Mezi ty nepatří vedlejší služby, které vyžaduje zhotovitel, jako např. telekomunikační služby, poštovní/přepravní služby, údržbu a uživatelský servis nebo likvidaci datových nosičů a také další opatření pro zajištění důvěrnosti, dostupnosti, integrity a zatížitelnosti hardwaru a softwaru pro zařízení na zpracování dat. Zhotovitel je nicméně povinen uzavřít přiměřené smluvní dohody podle zákonných předpisů a také provádět kontroly pro zajištění ochrany dat a bezpečnosti dat objednatele u vedlejších služeb poskytovaných externími subjekty.

(2) Objednatel uděluje zhotoviteli obecný souhlas s pověřením dalších zpracovatelů, kteří se budou podílet na zpracování osobních údajů objednatele.

Objednatel uděluje souhlas s pověřením následujících subdodavatelů na základě podmínky smluvní dohody podle ustanovení čl. 28 odst. 2-4 GDPR (NOOÚ):

Subdodavatelská firma

Adresa/země

Služba

Belenus LOB GmbH

Rüdesheimer Str. 23
80686 München
NĚMECKO

Zajištění provozu veškerých interních a externích IT zařízení

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA

Poskytování zákaznického servisu

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPONSKO

Poskytování zákaznického servisu

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM

Poskytování zákaznického servisu

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANCIE

Poskytování zákaznického servisu

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZÍLIE

Poskytování zákaznického servisu

Element1 Media GmbH

Rüdesheimer Str. 21
80686 Mnichov
NĚMECKO

Zpracování zadaných dat zákazníků v rámci registrace

Výměna stávajícího subdodavatele je přípustná, pokud:

  • Zhotovitel oznámí takové pověření jiného subdodavatele objednateli přiměřenou dobu předem v písemné nebo textové podobě a
  • Objednatel nevznese námitku vůči zhotoviteli v písemné ani textové podobě proti plánovanému pověření jiného subdodavatele až do doby předání dat a
  • Bude uzavřena smluvní dohoda resp. vydáno závazné prohlášení podle ustanovení 28 čl. 2-4 GDPR (NOOÚ).

(3) Osobní údaje objednatele mohou být poskytnuty subdodavateli a subdodavatel může zahájit svoji činnost teprve po splnění všech předpokladů pro pověření subdodavatele.

(4) Pověření subdodavatele jiným subdodavatelem vyžaduje výslovný souhlas hlavního zhotovitele (min. v textové podobě); veškerá smluvní ustanovení ve smluvním řetězci platí také pro další subdodavatele nižší úrovně.

8. Právo objednatele na provádění kontrol

(1) Objednatel je oprávněn provádět po dohodě se zhotovitelem kontroly nebo nechat provádět kontroly v jednotlivých případech stanoveným kontrolorem. Objednatel je oprávněn se přesvědčit prováděním namátkových kontrol, které musí být prováděny v běžnou provozní dobu bez narušení provozu u zhotovitele s přísným zachováním provozních a obchodních tajemství zhotovitele a vyžadují včasné oznámení, o dodržování této dohody zhotovitelem v jeho podniku.

(2) Zhotovitel zajistí, aby se objednatel mohl přesvědčit o dodržování povinnosti zhotovitele podle čl. 28 nařízení GDPR. Zhotovitel se zavazuje poskytnout objednateli na vyžádání požadované informace a zejména prokázat realizaci technických a organizačních opatření. Objednatel může zpravidla provést jednu kontrolu ročně; v případě mimořádných událostí jsou přípustné další kontroly.

(3) Zhotovitel je oprávněn podle vlastního uvážení se zohledněním zákonných povinností objednatele nezveřejnit informace, které jsou citlivé v ohledu na obchodní činnost zhotovitele nebo pokud by zhotovitel jejich zveřejněním porušil zákonné nebo smluvní povinnosti.

(4) Podle výběru zhotovitele mohou být prokázána taková opatření, která se netýkají pouze konkrétního smluvního zpracování dat, namísto kontroly na místě

  1. dodržením schválených kodexů chování podle čl. 40 nařízení GDPR;
  2. certifikace podle schváleného mechanismu pro vydávání osvědčení podle čl. 42 nařízení GDPR;
  3. aktuálními certifikáty, zprávami nebo výňatky ze zpráv nezávislých institucí (např. auditory, revizí, osobami zodpovědnými za ochranu dat, oddělením IT bezpečnosti, auditory ochrany dat, auditory kvality);
  4. vhodnou certifikací pomocí auditu IT bezpečnosti a ochrany dat (např. podle zákona BSI).

Předpokladem pro to je, aby toto opatření přiměřeným způsobem umožňovalo dodržet technická a organizační opatření podle přílohy této dohody.

(5) Za umožnění kontrol objednatelem může zhotovitel uplatnit nárok na finanční kompenzaci.

9. Oznámení v případě porušení smluvních povinností zhotovitele

(1) Zhotovitel poskytne objednateli součinnost při dodržování povinností uvedených v článcích 32 až 36 nařízení GDPR s ohledem na bezpečnost osobních údajů, informační povinnost při narušení bezpečnosti osobních údajů, posouzení následků pro ochranu osobních údajů a předchozí konzultace. K těm patří mj.

  1. zajištění přiměřené úrovně ochrany technickými a organizačními opatřeními, které zohledňují okolnosti a účel zpracování a také předpovídanou pravděpodobnost a závažnost možného porušení právních povinností bezpečnostními mezerami a které umožňují okamžité zjištění příslušného porušení
  2. povinnost okamžitě oznámit objednateli porušení ustanovení v ohledu na ochranu osobních údajů
  3. povinnost poskytnout podporu objednateli v rámci jeho informační povinnosti vůči dotyčným a poskytnout mu v této souvislosti okamžitě veškeré relevantní informace
  4. podpora objednatele v ohledu na posouzení následků pro ochranu dat
  5. podpora objednatele v rámci předchozích konzultací s dozorčím úřadem

10. Oprávnění objednatele udílet pokyny

(1) Ústní pokyny potvrzuje objednatel okamžitě (min. v textové podobě).

(2) Zhotovitel okamžitě informujte objednatele, pokud je toho názoru, že nějaký pokyn porušuje předpisy ochrany dat. Zhotovitel je oprávněn neprovést příslušný pokyn do té doby, dokud ho objednatel nepotvrdí nebo nezmění. Za náklady, které tímto zhotoviteli vzniknou, může zhotovitel vůči objednateli uplatnit nárok na finanční kompenzaci.

11. Smazání a navrácení osobních údajů

(1) Kopie nebo duplikáty dat se nesmí vytváření bez vědomí objednatele. To se nevztahuje na bezpečnostní kopie, pokud jsou vyžadovány pro zajištění řádného zpracování dat, a také dat, která jsou vyžadována v ohledu na dodržování zákonných povinností archivace dat.

(2) Po dokončení smluvně dojednaných prací nebo dříve na vyzvání objednatelem – nejpozději s dokončením dohody o rozsahu služeb – musí zhotovitel vydat objednateli veškeré podklady, výsledky zpracování a použití dat a také data, která souvisí se smluvním poměrem, nebo je po předchozím souhlasu zlikvidovat v souladu s předpisy ochrany dat. Totéž platí pro testovací a odpadní materiál. Na vyžádání je nutné předložit protokol o smazání dat.

(3) Dokumentace, které slouží pro prokázání řádného zpracování dat, uschová zhotovitel po příslušně vyžadovanou lhůtu pro archivaci i po skončení této smlouvy. Pro zbavení zátěže může zhotovitel předat tuto dokumentaci objednateli.

1. Důvěrnost (čl. 32 odst. 1 písm. b) nařízení GDPR)

Kontrola přístupu

  • Systém oprávnění
  • Přístupové karty s kódem/transpodérem
  • Koncepce přístupového oprávnění
  • Monitorovací zařízení (např. videokamery)
  • Pravidla pro používání klíčů
  • Pravidla pro návštěvníky, návštěvnické průkazy
  • Doprovod návštěvníků vlastními pracovníky
  • Záznamy o přítomnosti návštěvníků
  • Zabezpečení i mimo pracovní dobu poplašným zařízením a/nebo podnikovou ostrahou
  • Definované bezpečnostní úseky a kontrolovaný přístup
  • Zabezpečený vstup pro příjem a odesílání
  • Zabezpečení dveří (elektrický otvírač dveří, čtečka průkazů, televizní obrazovka, vrátný)
  • Kontrola prováděná pracovníky (princip čtyř očí)
  • Opatření k zabezpečení objektu (např. speciální zasklení, poplašné zařízení, ostraha budovy)
  • Samostatně zajištěný přístup do výpočetního střediska
  • Uložení serverů v uzamykatelných místnostech
  • Uchovávání datových nosičů pod zámkem nebo v uzamčených místnostech
  • Uchovávání datových záloh (např. pásky, CD) v trezoru
  • Pokyny k vydávání klíčů
  • Jiné/specifikace výše uvedených opatření:

Kontrola přístupu

  • Kódování sítí
  • Uzamčení zařízení na zpracování dat
  • Identifikace uživatele zařízení na zpracování dat
  • Předání a zabezpečení identifikačních klíčů
  • Zabezpečení počítačových pracovišť heslem
  • Funkční a/nebo časově omezené používání příslušných počítačů a identifikačních znaků
  • Stanovení uživatelských oprávnění
  • Používání individuálních hesel
  • Automatické zablokování uživatelského účtu po opakovaném zadání chybného hesla
  • Automatické zablokování obrazovky zajištěné heslem v případě nečinnosti (spořič obrazovky)
  • Směrnice o heslech s určením minimální složitosti hesla a intervalu aktualizace
  • Hashování uložených hesel
  • Proces udělení práv při nástupu nových zaměstnanců
  • Proces odebrání práv při přechodu zaměstnanců do jiného oddělení
  • Proces odebrání práv při odchodu zaměstnanců z firmy
  • Povinnost mlčenlivosti při zpracovávání osobních údajů podle čl. 28 odst. 3 písm. b) nařízení GDPR
  • Směrnice pro organizaci souborů
  • Protokolování a vyhodnocování používání systému
  • Kontrolovaná skartace datových nosičů
  • Pracovní pokyny a postupy zpracování pro shromažďování údajů
  • Postupy kontroly programů a schvalování
  • Jiné/specifikace výše uvedených opatření:

Kontrola přístupu

  • Stanovení přístupového oprávnění, koncepce oprávnění
  • Stanovení oprávnění k zadávání, změně, mazání údajů
  • Oddělování schválení oprávnění (organizačně) a
  • Udělování oprávnění (technicky)
  • Koncepce používání a přiřazování diskových jednotek
  • Ustanovení týkající se obnovy zálohovaných dat (kdo,
  • kdy, na čí pokyn)
  • Pravidelná kontrola oprávnění
  • Omezení volných a nekontrolovaných
  • možností dotazů na databáze
  • Pravidelné vyhodnocování protokolů (log soubory)
  • Ausweisleser am TerminalČtečka průkazů na terminálu
  • Možnosti dílčího přístupu k databázím a funkcím (čtení, zápis, provedení)
  • Protokolování přístupu k souborům, jejich mazání a změn
  • Skener škodlivého softwaru na počítačích
  • Filtr škodlivého softwaru pro web
  • Filtr škodlivého softwaru/spamů pro e-mail
  • Firewally
  • Intrusion Detection/Prevention (IDS/IPS - detekce/prevence narušení)
  • Omezený přístup k log datům (pouze log administrátoři)
  • Ukládání log dat na dedikovaných log serverech
  • Jiné/specifikace výše uvedených opatření

Kontrola oddělování

  • Oddělování zákazníků/příkazců
  • Oddělování vývojového, testovacího a výrobního systému

2. Důvěrnost (čl. 32 odst. 1 písm. b) nařízení GDPR)

Kontrola předávání dat

  • Bezpečný přenos souborů (SFTP/FTPS)
  • Přenos dat prostřednictvím HTTPS (TLS 1.1 a 1.2)
  • Stanovení oprávnění k předávání dat, koncepce oprávnění
  • Kontrola prováděná pracovníky (princip čtyř očí)
  • Zabezpečený vstup pro příjem a odesílání
  • Správa datových nosičů, kontrola stavu
  • Stanovení oblastí, v nichž se musejí nacházet datové nosiče
  • Zakódování důvěrných datových nosičů
  • Zakódování notebooků
  • Uchovávání osobních údajů v uzamykatelných
  • bezpečnostních skříních
  • Zákaz vnášení tašek a jiných zavazadel do bezpečnostních zón
  • Bezpečné mazání datových nosičů (např. fyzické zničení, vícenásobné přepsání)
  • Bezpečná likvidace papíru: Uzavřené kovové nádoby (kontejnery pro sběr dokumentů určených ke skartaci)
  • Ustanovení ke zhotovování kopií
  • Záložní kopie datových nosičů, které se musí přepravovat
  • Balicí a přepravní předpisy
  • Přímé vyzvednutí, kurýrní služba, doprovod při přepravě
  • Kontrola úplnosti a správnosti

Kontrola vstupních dat

  • Označení/klasifikace získaných dat
  • Stanovení uživatelských oprávnění (role/profily)
  • Diferencovaná uživatelská oprávnění (čtení, změna, mazání dat, dílčí přístup k údajům nebo funkcím)
  • Organizační opatření v rámci kompetencí při zadávání
  • Protokolování vkládání/mazání dat
  • Ustanovení týkající se dob archivace pro účely revizí/dokazování

3. Dostupnost a odolnost (čl. 32 odst. 1 písm. b) nařízení GDPR)

Kontrola dostupnosti

  • Koncepce zabezpečení a zálohování dat
  • Pravidelná kontrola koncepce zabezpečení a zálohování dat
  • Omezení přístupu do serverovny na nutný personál
  • Požární hlásiče v serverovnách
  • Automatické hasicí zařízení v serverovnách
  • Hasicí prostředky, které nejsou na vodní bázi (např. sněhové hasicí přístroje (CO2)) v serverovnách
  • Klimatizované serverovny
  • Ochrana před bleskem/přepětím
  • Zdroj nepřerušovaného napájení (UPS)
  • Nouzové zdroje napájení
  • Detektory hladiny vody v serverovnách
  • Umístění zálohovacích systémů v samostatných prostorách a požárních úsecích
  • Uchovávání dat v bezpečnostních skříních, trezorech
  • Pravidelná kontrola obnovitelnosti záložních paměťových médií
  • Zajištění technické čitelnosti záložních paměťových médií do budoucna
  • Ukládání záložních paměťových médií při dodržení nutných skladovacích podmínek (klimatizace, potřeba ochrany atd.)
  • Dohoda o předání (zálohovaných) dat
  • Pravidelná analýza slabých míst (ostraha areálu, ostraha objektu, neoprávněné vniknutí do sítě a IT systémů)
  • Redundantní systém pro ukládání dat
  • Záložní výpočetní středisko

4. Obnovení dostupnosti a přístupu k údajům (čl. 32 odst. 1 písm. c) nařízení GDPR)

  • Krizový nebo nouzový plán (např. voda, požár, výbuch, hrozba teroristického útoku, zřícení, zemětřesení)

5. Testování, posuzování a hodnocení účinnosti (čl. 32 odst. 1, písm. d) nařízení GDPR; čl. 25 odst. 1 nařízení GDPR)

Metody zajištění pravidelné kontroly, hodnocení a evaluace

  • Definovaný proces řízení ochrany osobních údajů
  • Definovaný proces řízení a řešení incidentů
  • Záměrná a standardní ochrana osobních údajů (čl. 25 nařízení GDPR)

Kontrola plnění smlouvy

  • Pečlivý výběr subdodavatele při zvážení bezpečnostích hledisek (zejména s ohledem na bezpečnost údajů)
  • Úprava smlouvy podle zákonných předpisů (čl. 28 nařízení GDPR)
  • Centrální evidence stávajících subdodavatelů (jednotné řízení smluv)
  • Předběžné kontroly u subdodavatele před začátkem platnosti smlouvy
  • Pravidelné kontroly u subdodavatele po začátku platnosti smlouvy (během trvání smlouvy)
  • Kontrola koncepce zabezpečení dat u subdodavatele
  • Nahlédnutí do stávajících certifikátů o zajištění bezpečnosti údajů na straně subdodavatele
  • Udělení pokynů subdodavateli ohledně zlepšení ochrany osobních údajů
  • Upozornění na povinnost zaměstnanců subdodavatele dodržovat předpisy ochrany osobních údajů