Spoléháme na důvěryhodné partnery a využíváme pouze dodavatele, kteří poskytují dostatečné záruky zavedení a dodržování vhodných technických a organizačních opatření tak, aby zpracování osobních údajů splňovalo požadavky platné legislativy a aby byla zajištěna ochrana práv subjektů údajů. V případě, že naše společnost pověří třetí stranu (dodavatele), aby za nás poskytoval určité služby, musí vedle smlouvy o poskytování služeb, která obsahuje ujednání specifikující plnění, jež má dodavatel poskytnout, rovněž uzavřít smlouvu o zpracování osobních údajů, která obsahuje povinnosti dodavatele jakožto strany pověřené zpracováním osobních údajů. Smlouva o zpracování osobních údajů vždy zavazuje dodavatele k dodržování pokynů ohledně druhu a způsobu zpracování osobních údajů, účelu jejich zpracování, k dodržování technických a organizačních opatřením, která zajistí zabezpečení osobních údajů a k tomu, aby osoby oprávněné zpracovávat osobní údaje byly zavázány k mlčenlivosti. Dodavateli je zakázáno použít osobní údaje (které mu byly svěřeny za účelem provedení zakázky) pro vlastní zpracovatelské účely či zpracovatelské účely třetích stran. Dodavatel je oprávněn využít k plnění třetí stranu pouze s naším souhlasem a je povinen zajistit, že subdodavatel plní stejné povinnosti, jako jsou smlouvou o zpracování uloženy dodavateli.
Technická a organizační opatření
Každý dodavatel je jako zpracovatel povinen, s ohledem na jím poskytované služby a s ohledem na rozsah, kontext, účel a míru různě závažných rizik pro práva a svobody fyzických osob, provést vhodná technická a organizační opatření, aby byla zajištěna odpovídající úroveň zabezpečení.Při posuzování vhodné úrovně bezpečnosti se zohledňují zejména rizika, jako náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů nebo neoprávněný přístup k nim. Technická a organizační opatření znamenají schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů a zajišťovat proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Kontrola vstupu
Cílem opatření je zabránit přístupu neoprávněných osob k systémům pro zpracování údajů, v rámci nichž jsou zpracovávány či používány osobní údaje (regulace fyzického přístupu), zejména se jedná o činnosti v následujících oblastech:
- Definice bezpečnostních prostor;
- Implementace účinných postupů pro povolování vstupu;
- Specifikace osob s oprávněním vstupu;
- Správa a evidence jednotlivých oprávnění ke vstupu po celou dobu životního cyklu;
- Evidence a pohyb návštěvníků a externích pracovníků.
Kontrola přístupu
Cílem opatření je zajistit, aby neoprávněné osoby nemohly používat systémy pro zpracování údajů (regulace používání datových systémů) a zabránit neautorizovaným osobám používat systémy zpracování dat, v nichž jsou osobní údaje uchovávány, zpracovávány nebo používány. Zejména se jedná o činnosti v následujících oblastech:
- Ochrana přístupu (autentizace);
- Speciální autentizace při přístupu do systému z vnějšího prostředí pro účely zajištění maximální úrovně ochrany;
- Jednoduchá autentizace pomocí uživatelského jména/hesla pro vysokou úroveň ochrany;
- Evidence přístupu;
- Zabezpečený přenos přihlašovacích údajů v síti;
- Zablokování hesla po neúspěšném pokusu/nečinnosti a proces pro opětovné nastavení zablokovaného přístupu;
- Identifikace oprávněných osob a jejich minimalizace;
- Správa a evidence jednotlivých přístupových oprávnění a prostředků autentizace;
- Adresné přidělování prostředků autentizace a přístupových identifikačních údajů;
- Pravidla chování uživatelů.
Přístupová oprávnění
Cílem opatření je zajistit, aby osoby oprávněné k používání systému pro zpracování údajů měly přístup výhradně k údajům, k nimž jsou oprávněny přistupovat, a aby neoprávněné osoby nemohly osobní údaje během zpracovávání či používání či po jejich zaznamenání číst, kopírovat, měnit ani mazat (regulace přístupu k údajům). Zejména se jedná o činnosti v následujících oblastech:
- Vytvoření autorizačního konceptu;
- Implementace přístupových omezení;
- Přidělení nezbytně nutného počtu oprávnění;
- Správa a evidence jednotlivých oprávnění pro přístup k údajům;
- Interní údržba, přístup k zařízením.
Kontrola zpřístupňování údajů
Cílem opatření je zajistit, aby v průběhu elektronického přenosu, předávání či nahrávání údajů na datový nosič nemohly neoprávněné osoby osobní údaje číst, kopírovat, měnit ani mazat a aby bylo možné prověřit a identifikovat zpracovatele, jimž mají být údaje přenášeny prostředky pro přenos dat (regulace přenosu dat). Zejména se jedná o činnosti v následujících oblastech:
- Stanovení subjektů/osob oprávněných přijímat informace/provádět přenos informací;
- Zpřísněná pravidla pro přenos do zahraničí;
- Šifrovaný přenos do externích systémů;
- Implementace bezpečnostních bran v tranzitních bodech;
- Posílení backend systémů – zabezpečení proti útokům a neoprávněnému přístupu k systémům a údajům z důvodu jejich zranitelnosti;
- Popis všech rozhraní a polí s přenášenými osobními údaji;
- Zabezpečené uchovávání údajů;
- Zabezpečené uchovávání na mobilních datových nosičích;
- Proces shromažďování a odstraňování údajů;
- Zavedení metod pro vymazávání a zničení údajů v souladu s předpisy na ochranu údajů;
- Vedení evidence o vymazání údajů;
- Předávání datových médií;
- Zákaz reprodukce údajů;
- Externí nosiče.
Nakládání s dokumenty obsahující osobní údaje
Cílem opatření je zajistit, že dokumenty jsou správně klasifikovány a řízeny po celou dobu životního cyklu. Zejména se jedná o činnosti v následujících oblastech:
- Tisk a kopírování dokumentů;
- Klasifikace dokumentů;
- Manipulace s dokumenty.
Kontrola pracovních postupů
Cílem opatření je zajistit, aby osobní údaje zpracovávané dodavateli byly zpracovávány pouze v souladu s pokyny objednatele (kontrola pracovních postupů). Zejména se jedná o činnosti v následujících oblastech:
- Pravidla pro subdodavatele;
- Rozdělení úkolů;
- Předání při skončení smluvního vztahu;
- Změny konfigurace.
Kontrola dostupnosti
Cílem opatření je zajistit ochranu osobních údajů proti náhodnému zničení či ztrátě (zajištění dostupnosti údajů). Zejména se jedná o činnosti v následujících oblastech:
- Koncepce zálohování;
- Krizový plán.
Kontrola zamýšleného použití
Cílem opatření je zajistit, aby údaje shromážděné pro různé účely byly zpracovávány odděleně (pravidlo odděleného zpracování údajů). Zejména se jedná o činnosti v následujících oblastech:
- Minimalizace objemu shromážděných údajů;
- Oddělené zpracovávání.
Organizační kontrola
Cílem opatření je zajistit, aby byly nastaveny interní kontroly plnění požadavků a každá osoba byla řádně proškolena. Zejména se jedná o činnosti v následujících oblastech:
- Implementace školících opatření;
- Oddělení a přidělování funkcí;
- Interní kontroly.