Dohoda

medzi

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 München

- ďalej nazývanou „dodávateľ“ alebo „spracovávateľ objednávky“ -

a jej zákazníkom

- ďalej nazývaným „objednávateľ“ -

Poznámka:

Tento dokument obsahuje podmienky dodávateľa pre dohodu o spracovaní objednávok medzi objednávateľom a dodávateľom podľa čl. 28 ods. 3 GDPR. Objednávateľ vyhlasuje, že súhlasí s týmito podmienkami v rámci uzavretia zmluvy o používaní online alebo iných informačných služieb dodávateľa („dohoda o službách“) alebo – ak dohoda o službách už existuje – v rámci dodatočného vyhlásenia.

1. Predmet a trvanie objednávky

(1) Predmet

Predmet objednávky týkajúcej sa spracovávania údajov vyplýva z dohody o službách, ktorá je základom tohto spracúvania.

(2) Trvanie

Doba trvania tejto objednávky (doba platnosti) zodpovedá dobe platnosti dohody o službách, ktorá je základom tejto objednávky.

2. Konkretizácia obsahu objednávky

(1) Druh a účel plánovaného spracovávania údajov
Objednávka zahŕňa spracúvanie:

  1. Spracúvanie osobných údajov, ktoré sú zadané objednávateľom v rámci využívania príslušných online a iných informačných služieb a musia byť spracované dodávateľom na prípravu funkcií produktu.
  2. Osobné údaje, pre ktoré nie je možné vylúčiť možnosť prístupu zo strany dodávateľa v rámci iných činností.
    • Po prvé môže ísť o prístup k osobným údajom uvedeným v bode a) v rámci vlastných vyhodnotení dodávateľa, predovšetkým analýzy funkcií produktu na optimalizáciu produktu a meranie úspešnosti a úžitku. V tomto prípade nie sú údaje, ktorých sa týka objednávka, súčasťou vyhodnotenia a dodávateľ ich odstráni alebo pseudonymizuje/anonymizuje.
    • Po druhé môže ísť v rámci služieb údržby a/alebo podpory o prístup k osobným údajom, ktoré má objednávateľ lokálne uložené.
  3. Okrem toho môže byť pri dopyte na diely podľa VIN potrebné, aby dodávateľ odoslal VIN na server príslušného výrobcu. Výrobca doplní VIN o určité informácie, ktoré sú potrebné na informáciu o dieloch a odošle späť objednávateľovi. Výrobca spracúva VIN tiež na vlastné účely a tým je samostatne zodpovedný v zmysle GDPR. Objednávateľ týmto dovoľuje dodávateľovi poskytnúť VIN výrobcovi na tieto účely.

(2) Druh údajov

Predmetom spracovania osobných údajov sú nasledovné druhy/kategórie údajov (vymenovanie/opis kategórií údajov)

  • Identifikačné čísla vozidiel (VIN) a/alebo štátne poznávacie značky zaevidované objednávateľom do online služby
  • Údaje o koncovom zákazníkovi zaznamenané objednávateľom v online službe, hlavne:
    • Údaje o odresách v rámci objednávok dielov
    • E-mailové adresy na odosielanie obrazovo-textových stránok
  • Údaje o zákazníkovi zaevidované koncovým zákazníkom v rámci registrácie v online službe, ako aj
  • Údaje o zákazníkovi uložené lokálne u objednávateľa (v rámci diaľkovej údržby vykonávanej zákazníckym servisom).
    • Osobné kmeňové údaje
    • Komunikačné údaje (napr. telefón, e-mail)

(3) Kategórie dotknutých osôb

Kategórie osôb dotknutých spracovaním zahŕňajú:

  • koncových zákazníkov objednávateľa

(4) Dodávateľ si vyhradzuje právo, anonymizovať alebo zhrnúť údaje objednávateľa, takže už nebude možná identifikácia jednotlivých dotknutých osôb a v tejto podobe ich používať na účely ich úpravy podľa potreby, ďalší vývoj a optimalizáciu, ako aj na poskytnutie služby dohodnutej podľa zadania hlavnej zmluvy. Strany sa zhodujú v tom, že anonymizované, resp. podľa vyššie uvedeného zadania združené údaje objednávateľa, sa už nepovažujú za údaje objednávateľa v zmysle tejto zmluvy.

(5) Dodávateľ môže údaje objednávateľa spracúvať a využívať na vlastné účely prípustné v zmysle zákona o ochrane osobných údajov, keď to dovoľuje zákonný povoľovací predpis alebo vyhlásenie o súhlase dotknutej osoby. Táto zmluva sa neaplikuje na takéto spracúvanie údajov.

3. Miesto spracúvania

Zmluvné dohodnuté spracovanie údajov sa uskutočňuje v prvom rade v Nemecku alebo v niektorom členskom štáte Európskej únie alebo v inom členskom štáte Dohody o Európskom hospodárskom priestore. Pokiaľ subdodávateľ spracúva údaje aj v treťom štáte, uskutočňuje sa to výlučne za splnenia osobitných predpokladov čl. 44 ff. GDPR.

4. Technicko-organizačné opatrenia

(1) Dodávateľ dokumentuje v súvislosti s udelením zákazky uvedené a potrebné technické a organizačné opatrenia, predovšetkým ohľadne konkrétneho vykonania objednávky a poskytne túto dokumentáciu objednávateľovi spoločne s týmto vyhlásením za účelom kontroly. V prípade akceptovania sa stanú zdokumentované opatrenia základom objednávky. Inak neuzatvoria strany žiadnu dohodu o službách.

(2) Dodávateľ zabezpečí bezpečnosť podľa čl. 28 ods. 3 písm. c, 32 GDPR najmä v spojení s čl. 5 ods. 1, ods. 2 GDPR. Celkovo ide u prijímaných opatreniach o opatrenia na ochranu údajov a na zabezpečenie úrovne ochrany, ktorá je primeraná pre riziko, ohľadne dôvernosti, integrity, disponibility ako aj zaťažiteľnosti systémov. Dodávateľ pritom zohľadňuje stav techniky, náklady implementácie a spôsob, rozsah a účel spracovania ako aj rozdielnu pravdepodobnosť vstupu a závažnosti rizika pre práva a slobody fyzických osôb v zmysle čl. 32 ods. 1 GDPR [podrobnosti v prílohe 1].

(3) Technické a organizačné opatrenia podliehajú technickému pokroku a ďalšiemu vývoju. V tomto zmysle môže dodávateľ realizovať alternatívne, adekvátne opatrenia. Pritom neklesne pod bezpečnostnú úroveň stanovených opatrení. Podstatné zmeny bude dokumentovať.

5. Oprava, obmedzenie a vymazanie údajov

(1) Dodávateľ nebude údaje, ktoré na základe objednávky spracováva, svojvoľne opravovať, vymazávať alebo ich spracovávanie obmedzovať, iba ak na základe zdokumentovaného pokynu objednávateľa. Ak sa dotknutá osoba obráti v tejto veci priamo na dodávateľa, dodávateľ túto žiadosť bezodkladne postúpi objednávateľovi.

(2) Ak to zahŕňa rozsah služieb, dodávateľ bezodkladne zabezpečí koncepciu vymazávania, právo na zabúdanie, opravu, portabilitu údajov a informovanie po dokumentovanom pokyne objednávateľa. Jednotlivé pokyny, ktoré sa odchyľujú od dohody o službách alebo vytyčujú dodatočné požiadavky vyžadujú predchádzajúci súhlas dodávateľa. Pritom treba zohľadniť, že dodávateľom poskytované online služby sú štandardné produkty, ktorých prispôsobenie požiadavkám objednávateľa, ktoré sa týkajú právnych predpisov o ochrane údajov, môžu vyvolať vysoké náklady. Tieto náklady ponesie na základe príslušnej individuálnej dohody v plnom rozsahu objednávateľ.

6. Zabezpečenie kvality a iné povinnosti dodávateľa

Dodávateľ je povinný okrem dodržiavania ustanovení tejto objednávky dodržiavať zákonné povinnosti podľa čl.. 28 až 33 GDPR, predovšetkým musí v tomto zmysle zabezpečiť dodržiavanie nasledovných povinností:

  1. písomne vymenovať pracovníka povereného ochranou údajov, ktorý vykonáva svoju činnosť podľa čl. 38 a 39 GDPR. Jeho kontaktné údaje budú oznámené objednávateľovi na účelom nadviazania priameho kontaktu. Zmena v osobe pracovníka povereného ochranou údajov musí byť bezodkladne oznámená objednávateľovi.
  2. Zachovanie dôvernosti v zmysle čl. 28 ods. 3 v. 2 písm. b, 29, 32 ods. 4 GDPR. Dodávateľ poverí vykonávaním prác len tých zamestnancov, ktorí boli zaviazaní zachovávaním dôvernosti a vopred oboznámení s relevantnými predpismi o ochrane údajov. Dodávateľ a každá dodávateľovi podriadená osoba, ktorá má prístup k osobným údajom, smie tieto údaje spracovávať výlučne v súlade s pokynmi objednávateľa, vrátane oprávnení udelených v tejto zmluve, ibaže by boli k spracovaniu povinní zo zákona.
  3. Realizácia a dodržanie všetkých potrebných technických a organizačných opatrení pre túto objednávku podľa čl. 28 ods. 3 s. 2 lit. c, 32 GDPR [podrobnosti v prílohe 1].
  4. Dodávateľ a objednávateľ spolupracujú na požiadanie s orgánom dohľadu pri plnení svojich úloh.
  5. Bezodkladné informovanie objednávateľa o kontrolných úkonoch a opatreniach orgánu dohľadu, pokiaľ sa vzťahujú na objednávku. To platí aj vtedy, ak príslušný orgán vedie vyšetrovanie v rámci priestupkového alebo trestného konania s ohľadom na spracovanie osobných údajov pri spracovaní objednávky u dodávateľa.
  6. Ak je vystavený objednávateľ kontrole orgánom dohľadu, priestupkovému alebo trestnému konaniu, nároku zo zodpovednosti dotknutej osoby alebo tretej osoby alebo inému nároku v súvislosti so spracovaním objednávky u dodávateľa , dodávateľ ho podporí podľa svojich najlepších schopností.
  7. Dodávateľ kontroluje interné procesy ako aj technické a organizačné opatrenia, aby zabezpečil spracovávanie údajov v rozsahu jeho zodpovednosti v súlade s požiadavkami platných zákonov o ochrane údajov a ochranu práv dotknutej osoby.
  8. Preukázateľnosť dotknutých technických a organizačných opatrení voči objednávateľovi v rámci jeho kontrolných oprávnení podľa bodu 7 tejto zmluvy.

7. Zákazky pre subdodávateľov

(1) Pod zákazkami pre subdodávateľov v zmysle tohto ustanovenia sa rozumejú také služby, ktoré sa priamo vzťahujú na poskytovanie hlavnej služby. K tomu nepatria vedľajšie výkony, ktoré dodávateľ uplatňuje napr. ako telekomunikačné služby, poštové/dopravné služby, údržbu a servis pre používateľa alebo likvidáciu nosičov údajov ako aj iné oparenia na zabezpečenie dôvernosti, disponibility, integrity a zaťažiteľnosti hardvéru a softvéru zariadení na spracovanie údajov. Dodávateľ je ale povinný pre zabezpečenie ochrany údajov a bezpečnosti údajov objednávateľa prijať aj v prípade externých vedľajších služieb primerané a zákonom zodpovedajúcu zmluvné dohody ako aj kontrolné opatrenia.

(2) Objednávateľ týmto dáva dodávateľovi všeobecný súhlas na prizvanie ďalších spracovateľov objednávky.

Objednávateľ súhlasí s poverením nasledujúcich subdodávateľov za podmienky zmluvnej dohody v zmysle čl. 28 ods. 2 – 4 GDPR:

Názov subdodávateľa

Adresa/krajina

Služba

Belenus LOB GmbH

Rüdesheimer Str. 23
80686 München
DEUTSCHLAND

Príprava celej internej a externej IT prevádzky

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA

Príprava zákazníckej podpory

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN

Príprava zákazníckej podpory

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM

Príprava zákazníckej podpory

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANCE

Príprava zákazníckej podpory

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZIL

Príprava zákazníckej podpory

Element1 Media GmbH

Rüdesheimer Str. 21
80686 München
DEUTSCHLAND

Spracovanie údajov zákazníka evidovaných v rámci registrovania

Výmena existujúceho subdodávateľa je prípustná, ak:

  • dodávateľ oboznámi objednávateľa s takýmto postúpením na subdodávateľa primerane vopred písomne alebo v textovej podobe a
  • objednávateľ do okamihu odovzdania údajov nepodá dodávateľovi písomne alebo v textovej podobe námietku voči plánovanému postúpeniu a
  • ak sa postúpenie vykoná na základe zmluvnej dohody resp. záväzného vyhlásenia v zmysle čl. 28 ods. 2 – 4 GDPR.

(3) Postúpenie osobných údajov objednávateľa subdodávateľovi a jeho prvý úkon sú povolené, až keď sú splnené všetky uvedené podmienky pre zadanie subzákazky.

(4) Ďalšie postúpenie subdodávateľom vyžaduje výslovný súhlas hlavného dodávateľa (min. textová podoba); všetky zmluvné ustanovenia v zmluvnom reťazci sa musia uložiť aj ďalšiemu subdodávateľovi.

8. Práva objednávateľa na kontrolu

(1) Objednávateľ ma právo v spolupráci dodávateľom vykonávať kontroly alebo v jednotlivom prípade ich nechať vykonať vymenovaným audítorom. Má právo náhodnými kontrolami, ktoré boli včas ohlásené a vykonávané v rámci bežných pracovných hodín, bez rušenie prevádzky u dodávateľa pri striktnom zachovaní prevádzkového a obchodného tajomstva dodávateľa, sa presvedčiť o dodržiavaní tejto dohody dodávateľom v jeho obchodnej prevádzke.

(2) Dodávateľ zabezpečí, aby sa objednávateľ mohol presvedčiť o dodržiavaní povinností dodávateľa podľa čl. 28 GDPR. Dodávateľ sa zaväzuje poskytnúť objednávateľovi na požiadanie potrebné informácie a predovšetkým preukázať realizáciu technických a organizačných opatrení. Objednávateľ môže spravidla vykonať jednu kontrolu počas kalendárneho roku; v prípade mimoriadnych udalostí sú prípustné ďalšie kontroly.

(3) Dodávateľ je oprávnený, podľa vlastného uváženia s prihliadnutím na zákonné povinnosti objednávateľa, neuverejniť informácie, ktoré sú citlivé s ohľadom na obchody dodávateľa, alebo ak by dodávateľ ich zverejnením sa previnil voči zákonným alebo zmluvným povinnostiam.

(4) Podľa voľby dodávateľa, môže preukázať takéto opatrenia, ktoré sa netýkajú len konkrétnej objednávky, namiesto kontrolou na mieste

  1. dodržiavaním schválených pravidiel správania podľa čl. 40 GDPR;
  2. certifikáciou podľa schváleného certifikačného postupu podľa čl. 42 GDPR;
  3. aktuálnymi testami, správami alebo výňatkami zo správ nezávislých inštancií (napr. auditor, revízia, pracovník poverený ochranou údajov, bezpečnostné oddelenie IT, audítori ochrany údajov, audítori kvality);
  4. vhodná certifikácia prostredníctvom auditu bezpečnosti IT alebo auditu ochrany údajov (napr. podľa štandardov BSI).

Predpokladom je, aby toto opatrenie objednávateľovi umožnilo primeraným spôsobom sa presvedčiť o dodržiavaní technických a organizačných opatrení podľa prílohy k tejto dohode.

(5) Za umožnenie kontrol objednávateľov môže dodávateľ uplatniť nárok na úhradu.

9. Oznámenie pri pochybeniach dodávateľa

(1) Dodávateľ podporuje objednávateľa pri dodržiavaní povinností uvedených v článkoch 32 a 36 GDPR týkajúcich sa bezpečnosti osobných údajov, ohlasovacích povinnosti pri problémoch s ochranou údajov, odhadov následkov ochrany údajov a predchádzajúcich konzultácií. K tomu patria o.i.

  1. zabezpečenie primeranej úrovne ochrany technickými a organizačnými opatreniami, ktoré zohľadňujú okolnosti a účely spracovania ako aj prognostickú pravdepodobnosť a závažnosť možného porušenia práva v dôsledku bezpečnostných medzier a umožňujú okamžité zistenie relevantných porušení
  2. povinnosť okamžite hlásiť objednávateľovi narušenie osobných údajov
  3. povinnosť podporovať objednávateľa v rámci jeho informačnej povinnosti voči dotknutým osobám a poskytnúť mu bez meškania v tejto súvislosti všetky relevantné informácie
  4. podpora objednávateľa pre jeho odhad následkov ochrany údajov
  5. podpora objednávateľa v rámci predchádzajúcich konzultácii s orgánom dohľadu

(2) Za poskytnutie podpory, ktorá nie je obsiahnutá v dohode o službách a nesúvisí s chybnými úkonmi dodávateľa, môže dodávateľ požadovať primeranú odmenu.

10. Oprávnenie objednávateľa udeľovať pokyny

(1) Ústne pokyny potvrdí objednávateľ obratom (min. v textovej podobe).

(2) Dodávateľ bude bezodkladne informovať objednávateľa, ak podľa jeho názoru niektorý pokyn porušuje predpisy o ochrane údajov. Dodávateľ je oprávnený s vykonaním pokynu čakať dovtedy, kým ho objednávateľ nepotvrdí alebo nezmení. Za náklady, ktoré týmto vzniknú dodávateľovi, môže dodávateľ voči objednávateľovi uplatniť nárok na úhradu.

11. Vymazanie a vrátenie osobných údajov

(1) Bez vedomia objednávateľa sa nebudú vyhotovovať žiadne kópie alebo duplikáty údajov. Výnimkou z toho sú záložné kópie, pokiaľ sú potrebné na riadne spracovanie údajov, ako aj údaje, ktoré sú potrebné na dodržanie zákonných úschovných povinností.

(2) Po ukončení zmluvne dohodnutých prác alebo skôr na základe výzvy objednávateľa - najneskôr pri ukončení dohody o službách - je dodávateľ povinný objednávateľovi vydať všetky podklady v jeho držbe, výsledky spracovania a využívania údajov ako aj súbory údajov, ktoré súvisia s objednávkou, alebo tieto po predchádzajúcom súhlase zničiť v súlade s predpismi o ochrane údajov. To isté platí pre testovací a nepodarkový materiál. Na požiadanie sa musí preložiť protokol o vymazaní údajov.

(3) Dokumentácie, ktoré slúžia na preukázanie riadneho spracovanie údajov v zmysle objednávky, bude dodávateľ uschovávať v súlade s príslušnými úschovnými lehotami aj po ukončení zmluvného vzťahu. Tejto povinnosti sa môže zbaviť ich odovzdaním objednávateľovi.

1. Dôvernosť (čl. 32 (1) b) GDPR)

Kontrola prístupu

  • Doklady o oprávnení
  • Karty prístupových kódov/prístupové transpondéry
  • Koncepcia oprávnenia prístupu
  • Monitorovacie zariadenia (napr. videomonitorovanie)
  • Predpis o používaní kľúčov
  • Predpis o preukazoch pre externé osoby, návštevníkov
  • Sprevádzanie návštevníkov vlastnými zamestnancami
  • Záznamy o prítomnosti návštevníkov
  • Zabezpečenie poplašným zariadením a/alebo podnikovou strážnou službou aj mimo pracovného času
  • Definované bezpečnostné oblasti a kontrolovaný vstup
  • Zabezpečený vstup pre dodávky a expedície
  • Zabezpečenie dverí (elektrický zatvárač dverí, čítačka preukazov, televízny monitor, vrátnik)
  • Kontrola zamestnancami (princíp 4 očí)
  • Opatrenia na zaistenie objektu (napr. špeciálne sklo, poplašné zariadenie, stráženie areálu)
  • Zvlášť zaistený vstup do počítačového strediska
  • Uchovávanie serverov v uzamykateľných miestnostiach
  • Uchovávanie dátových nosičov pod zámkom, resp. v uzamknutých miestnostiach
  • Uchovávanie záložných dátových nosičov (napr. pások, CD) v trezore
  • Pokyn o vydávaní kľúčov
  • Iné/špecifikácia vyššie uvedených opatrení:

Kontrola vstupu

  • Zašifrovanie sietí
  • Uzamknutie zariadení na spracovanie údajov
  • Identifikácia používateľa voči zariadeniu na spracovanie údajov
  • Poskytnutie a zabezpečenie identifikačných kľúčov
  • Zabezpečenie heslami pracovísk s obrazovkami
  • Funkčné a/alebo časovo obmedzené používanie osobných počítačov a identifikačné znaky
  • Predpis o oprávnení používateľa
  • Používanie individuálnych hesiel
  • Automatické zablokovanie účtov používateľov po viacnásobnom nesprávnom zadaní hesiel
  • Automatické zablokovanie obrazovky zabezpečenej heslom v prípade neaktivity (šetrič obrazovky)
  • Smernica o heslách s minimálnymi požiadavkami na komplexnosť hesla a interval aktualizácie
  • Hashing uložených hesiel
  • Proces udelenia oprávnení pri novom nástupe zamestnancov
  • Proces odobratia oprávnení pri zmene oddelenia zamestnancov
  • Proces odobratia oprávnení pri odchode zamestnancov
  • Povinnosť utajenia údajov podľa čl. 28 ods. 3 písm. B GDPR
  • Smernice o reorganizácii údajov
  • Protokolovanie a vyhodnotenie používania systému
  • Kontrolované zničenie dátových nosičov
  • Pracovný pokyn a postup spracovania pre zaznamenávanie údajov
  • Postup kontroly programu a schválenia
  • Iné/špecifikácia vyššie uvedených opatrení:

Kontrola prístupu

  • Stanovenie prístupového oprávnenia, koncepcia oprávnení
  • Stanovenie oprávnenia na zadávanie, zmenu vymazanie údajov
  • Oddelenie schválenia oprávnenia (organizačne) a
  • udelenia oprávnenia (technicky)
  • Koncepcia používania a prideľovania mechaník počítača
  • Predpis o obnovovaní údajov zo záloh (kto,
  • kedy, na koho požiadavku)
  • Pravidelná kontrola oprávnení
  • Obmedzenie voľnej a nekontrolovanej
  • možnosti vyhľadávania v databázach
  • Pravidelné vyhodnocovanie protokolov (protokolových súborov)
  • Čítačka preukazov na termináli
  • Čiastočné možnosti prístupu k súborom údajov a funkciám (čítanie, písanie, vykonávanie)
  • Protokolovanie prístupov k údajom, vymazaní a zmien údajov
  • Skener škodlivého softvéru na osobných počítačoch
  • Filtrovanie škodlivého softvéru pre web
  • Filtrovanie škodlivého softvéru/spamu pre e-mail
  • Firewally
  • Intrusion Detection/Prevention (IDS/IPS)
  • Obmedzený prístup k protokolovým súborom (len správcovia protokolov)
  • Ukladanie údajov protokolov na vyhradený server protokolov
  • Iné/špecifikácia vyššie uvedených opatrení:

Kontrola oddelenia

  • Oddelenie zákazníkov/mandantov
  • Oddelenie vývojového, testovacieho a produktívneho systému

2. Integrita (čl. 32 (1) b) GDPR)

Kontrola postúpenia

  • Bezpečná výmena údajov (SFTP/FTPS)
  • Výmena údajov cez pripojenie HTTPS (TLS 1.1 a 1.2)
  • Stanovenie oprávnenia na postúpenie, koncepcia oprávnení
  • Kontrola zamestnancami (princíp 4 očí)
  • Zabezpečený vstup pre dodávky a expedície
  • Správa dátových nosičov, kontrola stavu
  • Stanovenie oblastí, v ktorých sa musia nachádzať dátové nosiče
  • Zašifrovanie dôverných dátových nosičov
  • Zašifrovanie laptopov
  • Uchovávanie osobných údajov v uzamykateľných
  • bezpečnostných skriniach
  • Zákaz nosenia tašiek a inej batožiny do bezpečnostných oblastí
  • Bezpečné vymazanie dátových nosičov (napr. fyzické zničenie, viacnásobné prepísanie)
  • Bezpečná likvidácia papierov: uzavreté nádoby z kovu (tzv. kontajnery na ochranu údajov)
  • Predpis o zhotovovaní kópií
  • Zálohové kópie dátových nosičov, ktoré sa musia prepravovať
  • Predpisy o balení a odosielaní
  • Priame vyzdvihnutie, kuriérska služba, sprevádzanie transportu
  • Kontrola úplnosti a správnosti

Kontrola zadávania

  • Označovanie/klasifikácia zaznamenaných údajov
  • Stanovenie používateľských oprávnení (roly, profily)
  • Diferencované používateľské oprávnenia (čítanie, zmena, vymazávanie údajov, čiastočný prístup k údajom, resp. funkciám)
  • Organizačné stanovenie oprávnení na zadávanie
  • Protokolovanie zadania/vymazania údajov
  • Predpis o lehotách uchovávania na účely revízie/preukázania

3. Disponibilita a zaťažiteľnosť (čl. 32 (1) b) GDPR)

Kontrola disponibility

  • Koncepcia zálohovania údajov
  • Pravidelná kontrola koncepcie zálohovania údajov
  • Obmedzenie prístupu do serverových miestností na nevyhnutný personál
  • Zariadenia na hlásenie požiaru v serverových miestnostiach
  • Automatické hasiace zariadenia v serverových miestnostiach
  • Bezvodné hasiace prostriedky (napr. hasiaci prístroj CO2) v serverových miestnostiach
  • Klimatizované serverové miestnosti
  • Bleskoistky/prepäťová ochrana
  • Neprerušiteľný napájací zdroj
  • Záložný napájací zdroj
  • Vodné senzory v serverových miestnostiach
  • Umiestnenie zálohových systémov v osobitných miestnostiach a požiarnych úsekoch
  • Uchovávanie údajov v skriniach na zálohovanie údajov, trezoroch
  • Pravidelná kontrola obnoviteľnosti zálohovacích pamäťových médií
  • Zaistenie technickej čitateľnosti zálohovacích pamäťových médií do budúcnosti
  • Skladovanie zálohovacích pamäťových médií v potrebných skladovacích podmienkach (klimatizácia, potreba ochrany atď.)
  • Dohoda o odovzdaní záloh (údajov)
  • Pravidelná analýza slabých miest (ochrana areálu, ochrana budovy, vniknutie do sietí a IT systémov)
  • Redundantný pamäťový systém
  • Záložné počítačové strediská

4. Obnovenie disponibility a prístupu (čl. 32 32 (1) c) GDPR)

  • Krízový, resp. tiesňový plán (napr. voda, požiar, výbuch, hrozba atentátu, zrútenia, zemetrasenia)

5. Kontrola, posúdenie a hodnotenie (čl. 32 (1) d) GDPR; čl. 25 (1) GDPR)

Postup pre pravidelnú kontrolu, hodnotenie a vyhodnocovanie

  • Definovaný proces manažmentu ochrany údajov
  • Definovaný proces manažmentu incident response
  • Prednastavenia optimálne pre ochranu osobných údajov (čl. 25 GDPR)

Kontrola objednávky

  • Výber subdodávateľa z hľadiska starostlivosti (zvlášť s ohľadom na bezpečnosť údajov)
  • Usporiadanie zmluvy podľa zákonných predpisov (čl. 28 GDPR)
  • Centrálna evidencia existujúcich subdodávateľov (jednotný zmluvný manažment)
  • Kontroly vopred na mieste u subdodávateľa pred začiatkom zmluvy
  • Pravidelné kontroly na mieste u subdodávateľa po začiatku zmluvy (počas trvania zmluvy)
  • Kontrola koncepcie bezpečnosti údajov u subdodávateľa
  • Triedenie existujúcich certifikátov o informačnej bezpečnosti subdodávateľa
  • Udelenie pokynov na zlepšenie ochrany osobných údajov voči subdodávateľovi
  • Povinnosť zamestnancov subdodávateľa dodržiavať predpisy o ochrane osobných údajov