Jsme držitelem certifikátu na systém řízení bezpečnosti informací (ISMS) podle normy ČSN ISO/IEC 27001:2013. Ten prokazuje, že naše společnost přijala všechna nezbytná opatření k ochraně citlivých informací (kterými se zejména rozumí nejen osobní údaje, ale i zákaznické údaje jako celek), před neoprávněným přístupem, sladila interní postupy s požadavky normy a plní legislativní a jiné požadavky. Držba certifikátu nás zavazuje k přijetí přísných pravidel a k plnění požadavků na ochranu informací, zejména informací našich zákazníků včetně jejich osobních údajů. Jedním z požadavků je stanovení bezpečnostní politiky, která, mimo jiné, zahrnuje řízení bezpečnosti pro všechny osoby, platformy/systémy a zařízení (včetně mobilních), které budou přistupovat k informacím. Máme implementována technická a organizační opatření, která zajistí úroveň zabezpečení osobních údajů odpovídající danému riziku včetně schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů a procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. Zejména se jedná o: Důvěrnost (článek 32 odst. 1 písm. b) Obecného nařízení EU na ochranu osobních údajů – GDPR)
- Kontrola vstupu Zabezpečení systémů pro zpracovávání údajů před přístupem neoprávněných osob, např. prostřednictvím magnetických nebo čipových karet, klíčů, elektrických otvíračů dveří, bezpečnostní služby a/nebo vrátného, alarmu, videosystémů apod.
- Kontrola přístupu Zabezpečení systémů před neoprávněným použitím, např. prostřednictvím (bezpečnostních) hesel, mechanismů automatického zamykání, dvouúrovňového ověřovacího mechanismu, šifrování nosičů údajů apod.
- Kontrola přístupových oprávnění Zabezpečení, aby osoby bez příslušného oprávnění nemohly údaje číst, kopírovat, upravovat či vymazávat, např. prostřednictvím autorizačních konceptů, přístupových práv na základě příslušných potřeb a evidence přístupů.
- Kontrola odděleného zpracovávání Oddělené zpracovávání údajů, které byly shromážděny pro různé účely, např.: zajištění, že budou zpracovávány výhradně údaje daného klienta (multi-tenancy), nebo zpracovávání v izolovaném prostředí (sandboxing).
- Pseudonymizace (článek 32 odst. 1 písm. a), článek 25 odst. 1 GDPR) Zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření.
Integrita (článek 32 odst. 1 písm. b GDPR)
- Kontrola zpřístupňování údajů Zabezpečení, aby v průběhu elektronického přenosu nebo přepravy nemohly osoby bez příslušného oprávnění tyto údaje číst, kopírovat, upravovat či vymazávat, např. prostřednictvím šifrování, virtuálních privátních sítí (VPN), elektronického podpisu apod.
- Kontrola zadávání údajů Zajištění, aby bylo možné zpětně ověřit a zjistit, zda a kým byly osobní údaje do systémů pro zpracovávání údajů zadány, upravovány nebo z těchto systémů vymazány, např. prostřednictvím evidence oprávnění, vedení záznamů o zadávání údajů apod.
Dostupnost a odolnost systémů (článek 32 odst. 1 písm. b GDPR)
- Kontrola dostupnosti Ochrana údajů před náhodným nebo úmyslným zničením a/nebo ztrátou, např. prostřednictvím zálohování (online/offline; on-site/off-site), nepřerušitelných zdrojů napájení (UPS), antivirové ochrany, firewallů, zaznamenávání přenosových tras a krizových plánů;
- Schopnost obnovit dostupnost údajů (článek 32 odst. 1 písm. c GDPR);
Proces pravidelného testování, posuzování a hodnocení (článek 32 odst. 1 písm. d GDPR; článek 25 odst. 1 GDPR)
- Řízení ochrany údajů;
- Řízení reakcí na incidenty;
- Výchozí nastavení, která zajišťují ochranu údajů (článek 25 odst. 2 GDPR);
- Kontrola smluvní strany.
Jakožto člen koncernu Deutsche Telekom jsme implementovali požadavky Závazných podnikových pravidel pro ochranu soukromí při nakládání s osobními údaji v rámci koncernu Deutsche Telekom (viz. Závazná podniková pravidla). Tato pravidla tvoří jednotnou úpravu ochrany údajů na vysoké úrovni, která platí po celém světě pro nakládání s údaji jak v rámci jednotlivých společností, tak mezi jednotlivými společnostmi navzájem, pro předávávání údajů v rámci Evropské unie, tak i mimo ni. Pokud pro zajištění určité služby využíváme zpracovatele, je tento zpracovatel povinen dodržovat Technická a organizační opatření, které tvoří soustavu vzájemně propojených požadavků provádějících jednotlivá ustanovení Závazných podnikových pravidel tak, aby byla zajištěna vysoká míra ochrany údajů.
Technická a organizační opatření T-Mobilu jako správce
Naše služby používají nejmodernější bezpečnostní technologie. Jsme vybaveni střediskem kybernetické bezpečnosti, které v nepřetržitém provozu chrání infrastrukturu. Máme zaveden systém řízení bezpečnosti informací (ISMS), jehož cílem je zejména ochrana informací proti hrozbám, minimalizace nebezpečí škod vzniklých v důsledku neoprávněného zacházení s informacemi v důsledku neočekávaných situací a implementace preventivních opatření proti bezpečnostním incidentů. ISMS je zaměřen zejména na vybudování, zavádění, provoz, monitorování, přezkum, údržbu a zlepšování bezpečnosti informací. Při posuzování vhodné úrovně bezpečnosti vždy zohledňujeme rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů nebo neoprávněný přístup k nim. Implementovali jsme vhodná technická a organizační opatření, abychom zajistili úroveň zabezpečení odpovídající danému riziku, zejména schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů a zavedení procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. Máme zaveden systém řízení a dokumentace přístupů a oprávnění, který brání jak přístupu neautorizovaných osob k informacím, tak zneužití osobních údajů. Ke konkrétní informaci může přistoupit pouze osoba, která dané informace potřebuje pro výkon své činnosti. Veškeré aktivity s osobními údaji je možné po určitou dobu zjistit a přiřadit ke konkrétní osobě. Naši zaměstnanci jsou při nástupu do zaměstnání (a dále v průběhu trvání jejich pracovního poměru) pravidelně školeni v oblasti ochrany informací. Stejná povinnost platí i pro naše dodavatele (po dobu trvání smluvního vztahu). Naši zaměstnanci a osoby jednající za dodavatele jsou vázání mlčenlivostí. Veškeré osoby, které se dostanou do styku z informacemi, musí dodržet veškerá naše zavedená bezpečnostní pravidla a postupy. Z porušení těchto pravidel a postupů vyvozujeme důsledky. Prostory, ve kterých se nachází osobní údaje, jsou zabezpečeny v souladu se standardy Deutsche Telekom, zejména je zajištěno konstrukční zajištění prostor, kontrola vstupu, omezení přístupu dle potřebnosti a monitorovací systémy. Máme zavedenu politiku bezpečného používání internetu a elektronické pošty. V systémech zpracovávajících informace zaznamenáváme veškeré události. Máme nastavený systém pro řízení bezpečnostních incidentů. S ohledem na možné nové bezpečnostní hrozby, jsou naše zavedená bezpečnostní opatření neustále posuzována ve světle konkrétních okolností, aby se určila a zabezpečila vždy vhodná a aktuální úroveň ochrany. Každoročně podléháme auditu s cílem přezkumu souladu s požadavky ISO/IEC 27001:2013, právními předpisy a dalšími bezpečnostními požadavky (např.: požadavků v rámci koncernu Deutsche Telekom).
T-Mobile jako zpracovatel osobních údajů
V případě, že zpracováváme osobní údaje na základě smlouvy pro správce (a jsme tak v pozici zpracovatele), poskytujeme dostatečné záruky vhodných technických a organizačních opatření tak, aby byl zajištěn soulad s právními předpisy, které upravují ochranu osobních údajů vždy tak, aby byla zaručena maximální ochrana práv našich zákazníků, jakožto subjektů údajů. Zpracování osobních údajů probíhá vždy dle doložených pokynů správce. Vedle Technických a organizačních opatření, která implementujeme v rámci skupiny Deutsche Telekom a která jsou zárukou dostatečných vhodných záruk technických a organizačních opatření zajišťujících soulad s právními předpisy upravující ochranu osobních údajů a maximální ochranu práv našich zákazníků, implementujeme i technická a organizační opatření, která jsou požadována správcem. Subzpracovatelé – pokud ke zpracování osobních údajů pro správce odlišného od T-Mobilu použijeme další úroveň zpracovatelů (subzpracovatele), vždy se jedná o správcem písemně schválené subzpracovatele. Veškeré povinnosti vyplývající ze smlouvy mezi správcem a zpracovatelem, včetně přijatých technických a organizačních opatření musí splnit i subzpracovatel.
Partnerská řešení
Naše služby elektronických komunikací poskytujeme i ve spolupráci s třetími osobami, tedy jako součást jejich řešení, tzv. partnerská řešení. Pro vývoj a následnou produkci partnerských řešení, tedy různých řešení, našich obchodních partnerů, které podporujeme jako partner a dodavatel ICT služeb, klademe velký důraz na celkovou bezpečnost řešení. Bezpečnost je jedním z hlavních kritérií, podle kterých vybíráme vhodné partnery pro partnerská řešení. Stejně jako v situacích, kdy jsme v pozici správce nebo zpracovatele osobních údajů, tak i v případě partnerských řešení uplatňujeme Technická a organizační opatření.
Vzdálený přístup k zákaznických údajům
Máte-li jako náš zákazník přístup ke svým údajům, jsou vám údaje na našich portálech zpřístupněny pouze po vaší předchozí identifikaci a autentizaci pomocí přihlašovacích údajů. Bezpečný přístup k našim portálům je zaručen využitím nejmodernějších technologií a podporou odpovídajících standardů. Jakmile se přihlásíte svým uživatelským jménem a heslem, veškerý přenos dat mezi vaším prohlížečem a servery T-Mobilu je zajištěn šifrovanou komunikací. Certifikát zabezpečení vydala uznávaná certifikační autorita, společnost VeriSign, Inc.
Základní pravidla pro práci s heslem
Používejte silná hesla. Jednoduché heslo se dá snadněji rozluštit nebo odvodit a následně zneužít. Nepoužívejte proto slova nebo čísla, která mají souvislost s vámi nebo vašimi rodinnými příslušníky, jejich datem narození či telefonním číslem apod. Chraňte své heslo: Heslo si zapamatujte, nezapisujte si jej na poznámkové lístky, do diářů apod., nikomu je nesdělujte. Nepovolujte v nastavení počítače zapamatování hesel.