Umowa

między

spółką LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 München

– dalej zwaną „Podmiotem przetwarzającym” –

a jego klientem

– dalej zwanym „Administratorem” –

Informacja

Niniejszy dokument zawiera warunki obowiązujące Podmiot przetwarzający dotyczące umowy o zlecenie przetwarzania danych pomiędzy Administratorem a Podmiotem przetwarzającym zgodnie z art. 28 ust. 3 RODO. Administrator oświadcza, że akceptuje niniejsze warunki w ramach zawarcia umowy o korzystanie z usług internetowych lub innych usług informacyjnych Podmiotu przetwarzającego („Umowy o gwarantowanym poziomie świadczenia usług”) lub – jeżeli zawarto już umowę o gwarantowany poziom usług – w ramach późniejszego oświadczenia.

1. Przedmiot i okres obowiązywania zlecenia

(1) Przedmiot

Przedmiot zlecenia przetwarzania danych wynika z zawartej umowy o gwarantowanym poziomie świadczenia usług.

(2) Okres obowiązywania

Okres obowiązywania niniejszego zlecenia odpowiada okresowi obowiązywania zawartej umowy o gwarantowanym poziomie świadczenia usług.

2. Doprecyzowanie przedmiotu zlecenia

(1) Rodzaj i cel przewidywanego przetwarzania danych
Zlecenie obejmuje następujące rodzaje przetwarzania:

  1. przetwarzanie danych osobowych, podanych przez Administratora w ramach korzystania z serwisów internetowych i innych serwisów informacyjnych oraz danych osobowych, które Podmiot przetwarzający musi przetwarzać w celu udostępnienia poszczególnych funkcji produktów.
  2. przetwarzanie danych osobowych, którego nie można wykluczyć w celu zagwarantowania Podmiotowi przetwarzającemu dostępu w ramach wykonywania innych czynności.
    • Dostęp do wymienionych w punkcie a) danych osobowych może nastąpić w ramach analiz własnych Podmiotu przetwarzającego, w szczególności analizy funkcji produktów, której celem jest ich optymalizacja oraz pomiar ich skuteczności i wykorzystywania. W takim przypadku dane objęte zleceniem nie są częścią analizy i zostaną usunięte przez Podmiot przetwarzający lub też będą podlegać pseudonimizacji/anonimizacji.
    • Ponadto dostęp do pozostałych danych osobowych, zapisanych lokalnie przez Administratora, może nastąpić w ramach usług opieki i/lub wsparcia.
  3. Poza tym do wyszukiwania częściowego po numerze VIN konieczne może okazać się przekazanie numeru VIN przez Podmiot przetwarzający na serwer danego producenta. Producent uzupełnia numer VIN o określone informacje, konieczne do udzielenia informacji częściowej i odsyła go do Podmiotu przetwarzającego. Producent przetwarza numer VIN również do celów własnych i jest w związku z tym samodzielnym podmiotem przetwarzającym w myśl RODO. Niniejszym Administrator zezwala Podmiotowi przetwarzającemu na przekazywanie producentowi numerów VIN w tym celu.

(2) Rodzaj danych

Przedmiotem przetwarzania danych osobowych są następujące rodzaje/kategorie danych (lista/opis kategorii danych):

  • numery VIN (Vehicle Identification Number) i/lub numery rejestracyjne pojazdów wprowadzone przez Administratora do usługi internetowej
  • dane klientów końcowych, wprowadzone przez Administratora do serwisu internetowego, w szczególności:
    • dane adresowe w ramach zamówień części
    • adresy mailowe do wysyłki stron ze zdjęciami i tekstem
  • dane klientów wprowadzone do usługi internetowej przez klientów końcowych w ramach rejestracji oraz
  • dane klientów zapisane lokalnie przez Administratora (w ramach konserwacji zdalnej prowadzonej przez obsługę klienta)
    • podstawowe dane osobowe
    • dane kontaktowe (np. telefon, e-mail)

(3) Kategorie osób, których dotyczy przetwarzanie

Kategorie osób, których dotyczy przetwarzanie, obejmują:

  • klientów końcowych Administratora

(4) Podmiot przetwarzający ma prawo do anonimizacji lub agregacji danych Administratora w celu uniemożliwienia identyfikacji osób, których dotyczy przetwarzanie oraz do wykorzystywania ich w tej formie w celu zgodnego z potrzebami zaprojektowania, dalszego rozwoju oraz optymalizacji i świadczenia określonej w umowie głównej usługi. Strony są zgodne co do tego, że zanonimizowane lub zagregowane zgodnie z powyższym punktem dane Administratora nie są już danymi Administratora w myśl niniejszej umowy.

(5) Podmiot przetwarzający może przetwarzać i wykorzystywać dane Administratora do celów własnych lub na własną odpowiedzialności w granicach dopuszczalnych przepisami o ochronie danych, jeśli jest to dozwolone na mocy odpowiednich przepisów prawa lub deklaracji zgody osoby, której dotyczy przetwarzanie lub wykorzystywanie. Niniejsza umowa nie ma zastosowania do takiego przetwarzania danych.

3. Miejsce przetwarzania

Świadczenie uzgodnionych umownie usług przetwarzania danych odbywa się przede wszystkim w Niemczech lub w kraju członkowskim Unii Europejskiej lub w innym państwie będącym stroną Porozumienia o Europejskim Obszarze Gospodarczym. Ewentualne przetwarzanie danych przez podwykonawcę w kraju trzecim jest dozwolone wyłączenie pod warunkiem spełnienia wymagań szczególnych, określonych w art. 44 i nast. RODO.

4. Środki techniczne i organizacyjne

(1) Podmiot przetwarzający dokumentuje wdrożenie określonych przed udzieleniem zlecenia i wymaganych środków technicznych i organizacyjnych, zwłaszcza w odniesieniu do konkretnej realizacji zlecenia, i udostępnia tę dokumentację Administratorowi do wglądu wraz z niniejszym oświadczeniem. Po zaakceptowaniu przez Administratora udokumentowane środki stanowić będą podstawę zlecenia. W przeciwnym wypadku strony nie zawrą umowy o gwarantowanym poziomie świadczenia usług.

(2) Podmiot przetwarzający wdroży zabezpieczenia zgodnie z art. 28 ust. 3 lit. c i art. 32 RODO w szczególności w związku z art. 5 ust. 1 i 2 RODO. Środki, jakie należy zapewnić, to w szczególności środki z zakresu bezpieczeństwa danych i środki mające na celu zapewnienie stopnia bezpieczeństwa odpowiadającego poziomowi ryzyka naruszenia praw w zakresie poufności, integralności, dostępności oraz odporności systemów. Podmiot przetwarzający uwzględnia przy tym stan techniczny, koszty wdrażania oraz rodzaj, zakres i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym poziomie i prawdopodobieństwie wystąpienia w rozumieniu art. 32 ust. 1 RODO (szczegóły w Załączniku 1).

(3) Środki techniczne i organizacyjne podlegają rozwojowi technicznemu i usprawnieniom. W związku z tym Podmiot przetwarzający ma prawo wdrożyć alternatywne adekwatne środki, pozwalające osiągnąć poziom bezpieczeństwa uzgodnionych środków. Podmiot przetwarzający udokumentuje istotne zmiany.

5. Korekta, ograniczenie i usunięcie danych

(1) Podmiot przetwarzający nie dokona samowolnie korekty, ograniczenia ani usunięcia danych przetwarzanych na zlecenie, a jedynie na udokumentowane polecenie Administratora. Jeżeli osoba, której dane dotyczą, zwróci się w tej kwestii bezpośrednio do Podmiotu przetwarzającego, to Podmiot przetwarzający bezzwłocznie przekaże tę prośbę Administratorowi.

(2) Jeżeli zakres usług obejmuje takie czynności, Podmiot przetwarzający na udokumentowane polecenie Administratora natychmiast zapewni możliwość skorzystania z metody usuwania, prawa do zapomnienia, przenoszenia danych oraz informacji. Polecenia indywidualne, które odbiegają od umowy o gwarantowanym poziomie świadczenia usług lub ustanawiają dodatkowe wymagania, wymagają uprzedniej zgody Podmiotu przetwarzającego. Należy przy tym zaznaczyć, że oferowane przez Podmiot przetwarzający usługi internetowe to produkty standardowe i dostosowanie ich do wymogów Administratora w zakresie ochrony danych może generować wysokie koszty. Koszty te zgodnie ze stosownym porozumieniem indywidualnym ponosi w całości Administrator.

6. Zapewnienie jakości i pozostałe obowiązki Podmiotu przetwarzającego

Oprócz dochowania zgodności z postanowieniami niniejszego zlecenia Podmiot przetwarzający musi spełnić obowiązki ustawowe zgodnie z art. 28–33 RODO. W związku z tym Podmiot przetwarzający gwarantuje w szczególności stosowanie się do następujących wytycznych:

  1. Pisemne wyznaczenie inspektora ochrony danych wykonującego swoją działalność zgodnie z art. 38 i 39 RODO. Przekazanie Administratorowi danych kontaktowych inspektora w celu bezpośredniej komunikacji. Bezzwłoczne powiadamianie Administratora o zmianie inspektora ochrony danych.
  2. Dochowywanie poufności zgodnie z art. 28 ust. 3 zdanie drugie lit. b, art. 29, art. 32 ust. 4 RODO. Podmiot przetwarzający oddelegowuje do realizacji działań wyłącznie osoby zatrudnione zobowiązane do dochowania poufności i zapoznane uprzednio ze stosownymi postanowieniami dotyczącymi ochrony danych. Podmiot przetwarzający i każda podlegająca mu osoba mająca dostęp do danych osobowych może przetwarzać te dane wyłącznie zgodnie z poleceniami Administratora w ramach uprawnień przyznanych na mocy niniejszej Umowy, chyba że do przetwarzania zobowiązują ich przepisy prawa.
  3. Wdrożenie i utrzymanie wszystkich środków technicznych i organizacyjnych wymaganych do wykonania niniejszego zlecenia zgodnie z art. 28 ust. 3 s. 2 lit. c, art. 32 RODO (szczegóły w Załączniku 1).
  4. Na żądanie organu nadzoru Administrator i Podmiot przetwarzający będą współpracować z organem nadzoru podczas realizacji jego zadań.
  5. Bezzwłoczne powiadomienie Administratora o działaniach kontrolnych i środkach organu nadzoru, o ile dotyczą one niniejszego zlecenia. Dotyczy to również zakresu określonego przez organ właściwy w ramach postępowania w sprawie o wykroczenie administracyjne lub postępowania karnego związanego z przetwarzaniem danych osobowych przez Podmiot przetwarzający podczas realizacji zlecenia.
  6. Podmiot przetwarzający będzie wspierać Administratora w miarę swoich możliwości w zakresie, w jakim sam Administrator podlega kontroli organu nadzoru, postępowaniu w sprawie o wykroczenie administracyjne lub postępowaniu karnemu, roszczeniu osoby, której dane dotyczą lub osoby trzeciej z tytułu odpowiedzialności, lub wszelkim innym roszczeniom związanym z przetwarzaniem zlecenia.
  7. Podmiot przetwarzający regularnie kontroluje procesy wewnętrzne oraz środki techniczne i organizacyjne, by zapewnić, że przetwarzanie leżące w zakresie jego odpowiedzialności odbywa się zgodnie z wymogami obowiązującego prawa o ochronie danych i zapewniona jest ochrona praw osób, których przetwarzanie dotyczy.
  8. Administrator ma prawo dokonać weryfikacji zastosowanych środków technicznych i organizacyjnych w ramach uprawnień kontrolnych określonych w pkt. 7 niniejszej Umowy.

7. Stosunki z podwykonawcami

(1) Stosunki z podwykonawcami w rozumieniu tych ustaleń to takie świadczenie usług, które bezpośrednio dotyczy realizacji usługi głównej. Nie obejmuje to usług dodatkowych, z których korzysta Podmiot przetwarzający, np. usług telekomunikacyjnych, usług pocztowych/transportowych, konserwacji i obsługi użytkownika, usuwania nośników danych ani innych środków służących zapewnieniu poufności, dostępności, integralności i odporności sprzętu i oprogramowania urządzeń do przetwarzania danych. Podmiot przetwarzający jest jednak zobowiązany do wdrożenia stosownych i zgodnych z prawem umów oraz środków kontrolnych w celu zapewnienia ochrony i bezpieczeństwa danych Administratora także w przypadku usług dodatkowych zlecanych na zasadzie outsourcingu.

(2) Niniejszym Administrator udziela Podmiotowi przetwarzającemu ogólnego pozwolenia na zaangażowanie innych podmiotów przetwarzających.

Administrator wyrazi zgodę na zaangażowanie następujących podwykonawców pod warunkiem zawarcia umowy zgodnie z art. 28 ust. 2-4 RODO:

Nazwa podwykonawcy

Adres/kraj

Usługa

Belenus LOB GmbH

Rüdesheimer Str. 23
80686 München
NIEMCY

Udostępnienie całego wewnętrznego i zewnętrznego działu IT

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA

Udostępnienie wsparcia technicznego dla klientów

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN

Udostępnienie wsparcia technicznego dla klientów

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM

Udostępnienie wsparcia technicznego dla klientów

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANCE

Udostępnienie wsparcia technicznego dla klientów

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZIL

Udostępnienie wsparcia technicznego dla klientów

Element1 Media GmbH

Rüdesheimer Str. 21
80686 München
NIEMCY

Przetwarzanie danych klientów podanych w ramach rejestracji

Zmiana aktualnego podwykonawcy jest dopuszczalna pod warunkiem, że:

  • Podmiot przetwarzający z odpowiednim wyprzedzeniem powiadomi Administratora na piśmie lub w formie dokumentu elektronicznego o takim outsourcingu podwykonawcy oraz
  • do chwili przekazania danych Administrator nie zgłosi Podmiotowi przetwarzającemu sprzeciwu na piśmie lub w formie dokumentu elektronicznego wobec planowanego outsourcingu, a także
  • zostanie zawarta umowa lub inny wiążący instrument prawny stosownie do art. 28 ust. 2-4 RODO.

(3) Przekazanie danych osobowych Administratora podwykonawcy i rozpoczęcie przez niego działalności w tym zakresie dozwolone jest dopiero po spełnieniu wszystkich warunków wstępnych podwykonawstwa.

(4) Dalszy outsourcing zlecany przez podwykonawcę wymaga wyraźnej zgody głównego Podmiotu przetwarzającego (co najmniej w formie dokumentu elektronicznego); wszelkie postanowienia umowne w łańcuchu umów nałożone zostają także na kolejnego podwykonawcę.

8. Prawo Administratora do przeprowadzania kontroli

(1) Administratorowi przysługuje prawo do przeprowadzania kontroli w porozumieniu z Podmiotem przetwarzającym lub do zlecania przeprowadzenia kontroli kontrolerowi wyznaczanemu w danym przypadku. Administrator ma prawo upewniać się, że Podmiot przetwarzający podczas wykonywania swojej działalności dochowuje zgodności z niniejszymi postanowieniami poprzez kontrole wyrywkowe zapowiadane z odpowiednim wyprzedzeniem i przeprowadzane w zwykłych godzinach pracy Podmiotu przetwarzającego bez zakłócania jej przebiegu z zachowaniem ścisłej tajemnicy handlowej i tajemnicy przedsiębiorstwa Podmiotu przetwarzającego.

(2) Podmiot przetwarzający zapewni Administratorowi możliwość upewnienia się, że Podmiot przetwarzający wywiązuje się ze swoich obowiązków zgodnie z art. 28 RODO. Podmiot przetwarzający zobowiązuje się udzielić na żądanie Administratora wymaganych przez niego informacji oraz w szczególności udowodnić wdrożenie środków technicznych i organizacyjnych. Co do zasady Administrator może przeprowadzić jedną kontrolę w roku kalendarzowym; w przypadkach szczególnych dopuszczalne są dalsze kontrole.

(3) Podmiot przetwarzający ma prawo według własnego uznania i uwzględniając zobowiązania ustawowe Administratora nie ujawnić informacji, które dotyczą działalności Podmiotu przetwarzającego, lub których ujawnienie stanowiłoby naruszenie jego obowiązków ustawowych lub umownych.

(4) Podmiot przetwarzający może zdecydować, by udowodnienie wdrożenia środków niedotyczących konkretnego zlecenia nie odbywało się jako kontrola na terenie zakładu, a zamiast tego przybrało formę:

  1. zgodności z zatwierdzonymi kodeksami postępowania zgodnie art. 40 RODO;
  2. certyfikacji w ramach zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO;
  3. aktualnych zaświadczeń, raportów lub wyciągów z raportów organów niezależnych (np. biegłych, rewidentów, inspektora ochrony danych, działu bezpieczeństwa IT, audytorów ochrony danych, audytorów jakości);
  4. stosownej certyfikacji w ramach audytu bezpieczeństwa IT lub audytu ochrony danych (np. wg polityki bezpieczeństwa BSI).

Metoda taka musi jednak umożliwić Administratorowi upewnienie się w odpowiednim zakresie, że Podmiot przetwarzający dochowuje zgodności ze środkami technicznymi i organizacyjnymi określonymi w załączniku do niniejszej Umowy.

(5) Podmiot przetwarzający może dochodzić wynagrodzenia za umożliwianie Administratorowi przeprowadzania kontroli.

9. Zgłaszanie przypadków naruszeń dokonywanych przez Podmiot przetwarzający

(1) Podmiot przetwarzający wspiera Administratora w wywiązywaniu się z jego obowiązków określonych w art. 32–36 RODO związanych z bezpieczeństwem danych osobowych, obowiązkiem zgłaszania przypadków naruszenia ochrony danych, szacowaniem skutków naruszenia ochrony danych oraz uprzednimi konsultacjami. Obejmuje to m.in.:

  1. zapewnienie za pomocą środków technicznych i organizacyjnych stosownego poziomu ochrony, uwzględniającego okoliczności i cele przetwarzania oraz prognozowane prawdopodobieństwo i stopień ewentualnego naruszenia praw wynikającego z luk w zabezpieczeniach, a także umożliwienie natychmiastowego wykrywania istotnych przypadków naruszeń;
  2. obowiązek bezzwłocznego zgłaszania Administratorowi naruszeń ochrony danych osobowych;
  3. obowiązek wspierania Administratora w wywiązywaniu się z jego obowiązku poinformowania o naruszeniu osób, których naruszenie dotyczy, oraz bezzwłoczne oddanie mu do dyspozycji wszelkich związanych z tym istotnych informacji;
  4. wspieranie Administratora w szacowaniu skutków naruszenia ochrony danych;
  5. wspieranie Administratora w ramach uprzednich konsultacji z organem nadzoru.

10. Uprawnienie Administratora do wydawania poleceń

(1) Polecenia ustne Administrator potwierdza bezzwłocznie (co najmniej w formie dokumentu elektronicznego).

(2) Podmiot przetwarzający bezzwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane mu polecenie jest sprzeczne z przepisami prawa o ochronie danych. Podmiot przetwarzający ma prawo odroczyć wykonanie danego polecenia do momentu, aż Administrator potwierdzi je lub zmieni. Podmiot przetwarzający może dochodzić u Administratora wynagrodzenia z tytułu poniesionych w związku z tym nakładów.

11. Usuwanie i zwracanie danych osobowych

(1) Bez wiedzy Administratora nie zostaną utworzone kopie ani duplikaty danych. Nie obejmuje to kopii bezpieczeństwa, o ile są one wymagane do zapewnienia należytego przetwarzania danych, a także danych koniecznych do spełnienia ustawowego obowiązku w zakresie przechowywania danych.

(2) Po zakończeniu uzgodnionych umownie prac lub wcześniej na życzenie Administratora, a najpóźniej w chwili zakończenia umowy o gwarantowanym poziomie świadczenia usług, Podmiot przetwarzający przekaże Administratorowi wszelkie znajdujące się w jego posiadaniu dokumenty, wyniki przetwarzania i użytkowania oraz zbiory danych związane ze zleceniem lub zniszczy je zgodnie z prawem o ochronie danych po uprzednim uzgodnieniu z Administratorem. To samo dotyczy materiałów testowych i odrzutów. Protokół zniszczenia zostanie przedstawiony do wglądu na żądanie.

(3) Dokumentacje służące jako dowód na przetwarzanie danych zgodne ze zleceniem oraz przepisami prawa Podmiot przetwarzający przechowa po zakończeniu umowy przez stosowne okresy przechowywania. Podmiot przetwarzający może w chwili zakończenia umowy przekazać tę dokumentację Administratorowi, aby się odciążyć.

1. Poufność (art. 32 (1) b) RODO)

Kontrola dostępu

  • Przepustki
  • Karty z kodami dostępu/ zbliżeniowe karty dostępu
  • Koncepcja dotycząca uprawnień dostępu
  • Urządzenia monitorujące (np. monitoring wideo)
  • Ustalenia dotyczące kluczy
  • Ustalenia dotyczące osób spoza firmy, przepustki dla gości
  • Towarzyszenie osobom trzecim (gościom) przez pracowników firmy
  • Rejestrowanie obecności osób trzecich (gości)
  • Zabezpieczenie również poza godzinami pracy za pomocą systemu alarmowego i/lub systemu ochrony zakładu
  • Zdefiniowane obszary bezpieczeństwa i kontrolowany dostęp
  • Zabezpieczony dostęp do celów realizacji dostaw i wysyłek
  • Zabezpieczenie drzwi (automatyczne urządzenie do zamykania drzwi, czytnik przepustek, monitor telewizyjny, portier)
  • Kontrola przeprowadzana przez pracowników (zasada „4 oczu”)
  • Środki zapewniające bezpieczeństwo obiektu (np. specjalne przeszklenie, system alarmowy, monitoring terenu)
  • Oddzielnie zabezpieczony dostęp do centrum danych
  • Przechowywanie serwerów w zamykanych pomieszczeniach
  • Przechowywanie nośników danych w zamknięciu lub w zamkniętych pomieszczeniach
  • Przechowywanie zabezpieczeń danych (np. taśm, płyt CD) w sejfie
  • Wytyczne dotyczące wydawania kluczy
  • Pozostałe informacje/wyszczególnienie ww. działań:

Kontrola dostępu

  • Szyfrowanie sieci
  • Szyfrowanie urządzeń do przetwarzania danych
  • Identyfikacja użytkownika za pomocą urządzenia do przetwarzania danych
  • Przydział i zabezpieczenie kluczy identyfikacyjnych
  • Zabezpieczenie hasłem stanowisk pracy z ekranem
  • Funkcjonalne i/lub ograniczone czasowo korzystanie z komputerów pracowniczych i identyfikatorów
  • Ustalenia dotyczące uprawnień użytkowników
  • Stosowanie indywidualnych haseł
  • Automatyczne blokowanie kont użytkowników po kilkukrotnym podaniu błędnego hasła
  • Automatyczne, zabezpieczone hasłem blokowanie ekranu po okresie braku aktywności (wygaszacz ekranu)
  • Wytyczne dotyczące haseł z minimalnymi wymogami w zakresie złożoności haseł i częstotliwości ich aktualizacji
  • Haszowanie zapisanych haseł
  • Proces przydziału praw w przypadku zatrudnienia nowych pracowników
  • Proces odbioru praw w przypadku przekierowania pracowników do innych działów
  • Proces odbioru praw w przypadku odejścia pracowników
  • Zobowiązanie do zachowania tajności danych zgodnie z art. 28 ust. 3 lit. b RODO
  • Wytyczne dotyczące organizacji plików
  • Protokołowanie i analiza korzystania z systemu
  • Kontrolowane niszczenie nośników danych
  • Instrukcje robocze i procesy przetwarzania zgromadzonych danych
  • Procesy kontroli programu i procesy zatwierdzania
  • Pozostałe informacje/wyszczególnienie ww. działań:

Kontrola dostępu

  • Ustalenie uprawnienia dostępu, koncepcja dotycząca uprawnień
  • Ustalenie uprawnienia do wprowadzania, zmiany, usuwania danych
  • Rozdzielenie zatwierdzenia uprawnienia (czynność organizacyjna) i
  • przyznania uprawnienia (czynność techniczna)
  • Koncepcja wykorzystywania i przydziału napędu
  • Ustalenia dotyczące przywracania danych z kopii zapasowych (kto,
  • kiedy, na czyje polecenie)
  • Regularna kontrola uprawnień
  • Ograniczenie swobodnej i niekontrolowanej
  • możliwości sprawdzania baz danych
  • Regularna analiza protokołów (plików dziennika)
  • Czytnik identyfikatorów w terminalu
  • Możliwości częściowego dostępu do zasobów danych i funkcji (odczytywanie, pisanie, wykonywanie)
  • Protokołowanie zdarzeń dostępu do danych oraz usunięcia i zmiany danych
  • Skaner szkodliwego oprogramowania w komputerach pracowniczych
  • Filtrowanie szkodliwego oprogramowania w sieci
  • Filtrowanie szkodliwego oprogramowania/spamu w wiadomościach e-mail
  • Zapory sieciowe (firewalle)
  • Systemy wykrywania włamań /zapobiegania włamaniom (Intrusion Detection/Prevention System – IDS/IPS)
  • Ograniczony dostęp do danych dziennika (tylko administratorzy dziennika)
  • Zapisywanie danych dziennika na dedykowanych serwerach dziennika
  • Pozostałe informacje/wyszczególnienie ww. działań

Kontrola rozdziału

  • Rozdział klientów/mandantów
  • Rozdział systemów rozwoju, testowania i produktywności

2. Integralność (art. 32 (1) b) RODO)

Kontrola przekazywania

  • Bezpieczna wymiana plików (SFTP/FTPS)
  • Wymiana danych poprzez połączenie HTTPS (TLS 1.1 i 1.2)
  • Ustalenie uprawnienia do przekazywania, koncepcja dotycząca uprawnień
  • Kontrola przeprowadzana przez pracowników (zasada „4 oczu”)
  • Zabezpieczony dostęp do celów realizacji dostaw i wysyłek
  • Zarządzanie nośnikami danych, kontrola zasobów
  • Ustalenie, w których obszarach muszą znajdować się nośniki danych
  • Szyfrowanie poufnych nośników danych
  • Szyfrowanie laptopów
  • Przechowywanie danych osobowych w zamykanych
  • szafach bezpieczeństwa
  • Zakaz wnoszenia toreb i innych bagaży do obszarów bezpieczeństwa
  • Bezpieczne usuwanie nośników danych (np. zniszczenie fizyczne, wielokrotne nadpisanie)
  • Bezpieczna utylizacja papierowych dokumentów: zamykane pojemniki metalowe (tzw. pojemniki zapewniające ochronę danych)
  • Ustalenia dotyczące sporządzania kopii
  • Kopie zapasowe nośników danych, które należy przetransportować
  • Przepisy dotyczące pakowania i wysyłki
  • Odbiór bezpośredni, usługa kurierska, asysta przy transporcie
  • Kontrola kompletności i prawidłowości

Kontrola wprowadzania

  • Oznakowanie/klasyfikacja zgromadzonych danych
  • Określenie uprawnień użytkowników (funkcje/profile)
  • Zróżnicowane uprawnienia użytkowników (odczytywanie, wprowadzanie zmian, usuwanie danych, częściowy dostęp do danych lub funkcji)
  • Ustalenie kompetencji w zakresie wprowadzania pod kątem organizacyjnym
  • Protokołowanie wprowadzania/usuwania danych
  • Ustalenia dotyczące okresów przechowywania do celów kontroli/przedstawienia dowodów

3. Dostępność i odporność (art. 32 (1) b) RODO)

Kontrola dostępności

  • Koncepcja zabezpieczenia danych i tworzenia kopii zapasowych
  • Regularna weryfikacja koncepcji zabezpieczenia danych i tworzenia kopii zapasowych
  • Zezwolenie na dostęp do serwerowni wyłącznie niezbędnemu personelowi
  • Systemy sygnalizacji pożarowej w serwerowniach
  • Automatyczne systemy gaśnicze w serwerowniach
  • Bezwodne środki gaśnicze (np. gaśnice CO2) w serwerowniach
  • Klimatyzowane serwerownie
  • Ochrona odgromowa/przepięciowa
  • Zasilacz awaryjny (UPS)
  • System zasilania awaryjnego
  • Czujniki wody w serwerowniach
  • Umieszczenie systemów tworzenia kopii zapasowych w oddzielnych pomieszczeniach i strefach pożarowych
  • Przechowywanie danych w szafach zapewniających bezpieczeństwo danych, sejfach
  • Regularna kontrola przywracania nośników danych zawierających kopie zapasowe
  • Zapewnienie technicznych możliwości odczytu nośników danych zawierających kopie zapasowe na przyszłość
  • Przechowywanie nośników danych zawierających kopie zapasowe w odpowiednich warunkach (klimatyzacja, potrzeby w zakresie zabezpieczenia itp.)
  • Ustalenia dotyczące przekazywania zabezpieczeń danych
  • Regularna analiza słabych punktów (ochrona terenu, ochrona budynku, włamania do sieci i systemów IT)
  • Redundantny system zapisywania danych
  • Zapasowe centra danych

4. Przywracanie dostępności i dostępu (art. 32 (1) c) RODO)

  • Plan kryzysowy lub awaryjny (np. zalanie wodą, pożar, wybuch, niebezpieczeństwo zamachów, awaria systemu, trzęsienie ziemi)

5. Testowanie, mierzenie i ocenianie (art. 32 (1) d) RODO; art. 25 (1) RODO)

Postępowanie w zakresie regularnego testowania, mierzenia i oceniania

  • Zdefiniowany proces zarządzania ochroną danych
  • Zdefiniowany proces zarządzania incydentami związanymi z bezpieczeństwem informacji
  • Uwzględnianie ochrony danych w fazie projektowania (art. 25 RODO)

Kontrola zlecenia

  • Wybór podwykonawcy z uwzględnieniem aspektów należytej staranności (w szczególności w odniesieniu do bezpieczeństwa danych)
  • Formułowanie umów zgodnie z przepisami prawa (art. 28 RODO)
  • Centralna rejestracja istniejących podwykonawców (spójne zarządzanie umowami)
  • Wstępne kontrole na miejscu u podwykonawcy przed rozpoczęciem umowy
  • Regularne kontrole na miejscu u podwykonawcy po rozpoczęciu umowy (w trakcie trwania umowy)
  • Kontrola koncepcji bezpieczeństwa danych u podwykonawcy
  • Sprawdzenie posiadanych przez podwykonawcę certyfikatów dotyczących bezpieczeństwa informacji
  • Udzielanie podwykonawcy wytycznych dotyczących poprawy ochrony danych
  • Zobowiązanie pracowników podwykonawcy do przestrzegania przepisów o ochronie danych