Dodatek k
vyřizování
objednávek
Tyto podmínky pro vyřizování objednávek doplňují Všeobecné obchodní podmínky společnosti Jungherz GmbH jako provozovatele značky AppConfector (dále jen „zhotovitel“). Vzhledem k tomu, že se jedná o pevnou součást těchto podmínek, vy jako zákazník (dále jen „zadavatel“) automaticky souhlasíte s tímto dodatkem v rámci obchodního vztahu. V případě rozporu mezi těmito předpisy a všeobecnými obchodními podmínkami mají pro zpracování objednávek přednost tyto předpisy.
Zhotovitel a zákazník jsou dále označováni společným termínem „strany“.
Strany se dohodly, že současně s nabytím účinnosti této smlouvy o zpracování na zakázku budou stávající smlouva o zpracování dat na zakázku mezi stranami podle § 11 německého federálního zákona o ochraně osobních údajů a veškeré další smlouvy o zpracování dat na zakázku ukončeny po vzájemné dohodě a nahrazeny touto novou smlouvou o zpracování na zakázku.
1. Obecné
(1) Zpracovatel zpracovává osobní údaje jménem Zákazníka ve smyslu čl. 4 bodu 8 a čl. 28 nařízení (EU) 2016/679 – obecného nařízení o ochraně osobních údajů (GDPR). Tato smlouva upravuje práva a povinnosti stran v souvislosti se zpracováním osobních údajů.
(2) Pokud se v této smlouvě používá pojem „zpracování údajů“ nebo „zpracování“ (údajů), platí definice „zpracování“ ve smyslu čl. 4 bodu 2 GDPR.
(3) Veškeré odkazy v této smlouvě na GDPR (nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)) se vztahují na GDPR v jeho aktuálním znění.
2. Předmět zakázky
Předmět zpracování, druh a účel zpracování, druh osobních údajů a kategorie dotčených osob jsou stanoveny v příloze 1 k této smlouvě.
3. Práva a povinnosti zadavatele
(1) Zákazník je správcem ve smyslu čl. 4 bodu 7 GDPR pro zpracování údajů jménem zpracovatelů. V souladu s čl. 4 odst. 5 této smlouvy je zpracovatel oprávněn informovat zákazníka, pokud je předmětem zakázky a/nebo pokynu zpracování údajů, které je podle jeho názoru právně nepřijatelné.
(2) Zadavatel je odpovědný za ochranu práv dotčených osob. Zpracovatel neprodleně informuje zadavatele, pokud dotčené osoby uplatní svá práva dotčené osoby vůči zpracovateli.
(3) Zadavatel má právo kdykoli vydat zpracovateli dodatečné pokyny týkající se druhu, rozsahu a postupu zpracování údajů. Pokyny lze vydat v textové podobě (např. e-mailem).
(4) Ustanovení týkající se případné náhrady dodatečných nákladů, které zpracovateli vzniknou v důsledku doplňujících pokynů vydaných zadavatelem, zůstávají nedotčena.
5. Zadavatel neprodleně informuje zpracovatele, pokud zjistí chyby nebo nesrovnalosti v souvislosti se zpracováním osobních údajů ze strany zpracovatele.
(6) V případě, že existuje povinnost informovat třetí strany v souladu s články 33 a 34 GDPR nebo jakákoli jiná zákonná oznamovací povinnost, která se vztahuje na klienta, je klient odpovědný za splnění této povinnosti.
4. Obecné povinnosti zpracovatele
(1) Zpracovatel zpracovává osobní údaje výlučně v rámci uzavřených smluv a/nebo v souladu s případnými doplňujícími pokyny vydanými zadavatelem. Výjimkou jsou právní předpisy, které mohou zpracovatele zavazovat ke zpracování údajů jiným způsobem. V takovém případě je zpracovatel povinen informovat zadavatele o těchto právních požadavcích před zahájením zpracování, ledaže by příslušný zákon takové oznámení zakazoval z důvodu významného veřejného zájmu. Účel, povaha a rozsah zpracování údajů se jinak řídí výlučně touto smlouvou a/nebo pokyny zadavatele. Jakékoli zpracování údajů, které se od toho odchyluje, je zpracovateli zakázáno,
pokud
k tomu nezískal písemný souhlas.
(2) Zpracovatel se zavazuje provádět zpracování údajů jménem zákazníka pouze v rámci Evropského hospodářského prostoru, pokud to není z technických důvodů nutné jinak.
(3) V oblasti zpracování osobních údajů v souladu s objednávkou zpracovatel zaručuje smluvní provedení všech dohodnutých opatření
. (4) Zpracovatel je povinen zorganizovat svou společnost a své provozní postupy tak, aby údaje zpracovávané zpracovatelem jménem zákazníka byly v každém jednotlivém případě zabezpečeny v nezbytném rozsahu a chráněny před neoprávněným přístupem třetích osob. Zpracovatel je povinen předem s klientem odsouhlasit změny v organizaci zpracování údajů jménem klienta, které jsou významné pro bezpečnost údajů.
(5) Zpracovatel je povinen neprodleně informovat klienta, pokud se domnívá, že pokyn vydaný klientem porušuje zákonné předpisy. Zpracovatel je oprávněn pozastavit plnění daného pokynu, dokud nebude potvrzen nebo změněn zadavatelem. Je-li zpracovatel schopen prokázat, že zpracování v souladu s pokyny zákazníka může vést k odpovědnosti zpracovatele podle čl. 82 GDPR, je zpracovatel oprávněn pozastavit další zpracování v tomto ohledu až do vyjasnění odpovědnosti mezi stranami.
(6) Zpracování údajů
jménem klienta
mimo obchodní prostory zpracovatele nebo subdodavatele je povoleno pouze se souhlasem klienta v písemné nebo textové formě. Zpracování údajů pro klienta v soukromých domácnostech je povoleno pouze se souhlasem klienta v písemné nebo textové formě v jednotlivých případech.
(7) Zpracovatel bude údaje, které zpracovává jménem klienta, zpracovávat odděleně od ostatních údajů. Fyzické oddělení není povinné.
5. Pověřenec pro
ochranu osobních
údajů zpracovatele
(1) Zpracovatel potvrzuje, že jmenoval pověřence pro ochranu osobních údajů v souladu s čl. 37 GDPR. Zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů měl nezbytnou kvalifikaci a odborné znalosti. Zpracovatel sdělí zákazníkovi samostatně v textové formě jméno a kontaktní údaje svého pověřence pro ochranu osobních údajů.
(2) Od povinnosti jmenovat pověřence pro ochranu osobních údajů podle odstavce 1 lze upustit podle uvážení zadavatele, pokud zpracovatel prokáže, že není ze zákona povinen jmenovat pověřence pro ochranu osobních údajů, a pokud zpracovatel prokáže, že existují provozní opatření, která zajišťují, že osobní údaje jsou zpracovávány v souladu s právními předpisy, ustanoveními této smlouvy a případnými dalšími pokyny zadavatele.
6. Oznamovací povinnosti zpracovatele
(1) Zpracovatel je povinen neprodleně informovat zákazníka o jakémkoli porušení předpisů o ochraně osobních údajů nebo uzavřených smluvních ujednání a/nebo pokynů daných zákazníkem, k němuž došlo v průběhu zpracování údajů jím nebo jinými osobami zapojenými do zpracování. Totéž platí pro jakékoli porušení ochrany osobních údajů zpracovávaných zpracovatelem jménem zákazníka.
(2) Zpracovatel dále neprodleně informuje zákazníka, pokud dojde k zásahu dozorového úřadu podle čl. 58 GDPR vůči zpracovateli a pokud se tento zásah může týkat i kontroly zpracování, které zpracovatel provádí jménem zákazníka.
(3) Zpracovatel si je vědom, že na klienta se může vztahovat oznamovací povinnost podle čl. 33 a 34 GDPR, která stanoví oznámení dozorovému úřadu do 72 hodin od zjištění. Zpracovatel bude zákazníkovi nápomocen při plnění oznamovacích povinností. Zpracovatel zejména neprodleně, nejpozději však do 48 hodin od zjištění takového přístupu, oznámí zákazníkovi jakýkoli neoprávněný přístup k osobním údajům zpracovávaným jménem zákazníka. Oznámení zpracovatele zákazníkovi musí obsahovat zejména následující informace:
- popis povahy porušení ochrany osobních údajů, pokud možno s uvedením kategorií a přibližného počtu dotčených osob, dotčených kategorií a přibližného počtu dotčených záznamů osobních údajů;
- popis opatření, která zpracovatel přijal nebo navrhuje přijmout k nápravě porušení ochrany osobních údajů, a případně opatření ke zmírnění jeho možných nepříznivých dopadů.
7. Povinnosti zpracovatele z pověření spolupracovat
(1) Zpracovatel z pověření podporuje klienta při plnění jeho povinnosti reagovat na žádosti o uplatnění práv subjektů údajů v souladu s články 12–23 GDPR. Platí ustanovení § 11 této smlouvy.
(2) Zpracovatel se podílí na sestavování seznamů činností zpracování ze strany zadavatele. Zpracovatel poskytne zákazníkovi nezbytné informace vhodným způsobem.
(3) S přihlédnutím k druhu zpracování a informacím, které má k dispozici, pomáhá zpracovatel zákazníkovi při plnění povinností stanovených v článcích 32–36 GDPR.
(4) Zpracovatel má právo požadovat od zákazníka za tyto služby přiměřenou odměnu odpovídající vynaloženým nákladům.
8. Kontrolní pravomoci
(1) Zákazník má právo kdykoli v nezbytném rozsahu zkontrolovat, zda zpracovatel dodržuje zákonné předpisy o ochraně osobních údajů a/nebo smluvní ujednání dohodnutá mezi stranami a/nebo zda zpracovatel dodržuje pokyny zákazníka.
Důkaz o plnění povinností uložených zpracovateli v souladu s GDPR by měl být primárně poskytnut prostřednictvím nezávislých zkušebních protokolů a certifikací.
Pokud má klient na základě faktických důkazů důvodné pochybnosti o tom, že zkušební protokoly nebo certifikace jsou nedostatečné nebo nesprávné, nebo pokud to odůvodňují zvláštní události ve smyslu čl. 33 odst. 1 GDPR v souvislosti s plněním zpracování objednávky klienta, může klient provést kontroly v souladu s odstavcem 8. (2).
(2) Aby mohl klient provést kontrolu zakázky a zejména zkontrolovat technická a organizační opatření přijatá u pověřeného zpracovatele před zahájením a pravidelně během zpracování údajů, pověřený zpracovatel umožní kontrolu neutrální třetí stranou (přísahovým auditorem) pověřenou klientem. Pověřený zpracovatel je oprávněn stanovit termíny kontroly podle provozních možností. Kontrola musí být umožněna v přiměřené lhůtě po podání žádosti. Alternativně může zpracovatel vyhovět právu klienta na kontrolu také tím, že předloží kontrolní zprávu vypracovanou nezávislým, přísahovým auditorem jménem zpracovatele. Uplatnění práva na kontrolu nesmí nepřiměřeně narušovat obchodní činnost zpracovatele ani být zneužívající.
(3) Zpracovatel je oprávněn požadovat od klienta přiměřenou odměnu za kontroly ve smyslu bodu 8. (2).
9. Podíl subdodávek
(1) Zadávání subdodávek zpracovatelem je přípustné pouze se souhlasem zákazníka v písemné formě. Zpracovatel zakázky uvede všechny subdodavatelské vztahy, které již existují v době uzavření smlouvy, v příloze 2 této smlouvy.
(2) Zpracovatel pečlivě vybere subdodavatele a před zadáním zakázky ověří, zda je subdodavatel schopen dodržet dohody uzavřené mezi zákazníkem a zpracovatelem. Zpracovatel zejména předem a pravidelně během trvání smlouvy ověří, zda subdodavatel přijal technická a organizační opatření požadovaná podle čl. 32 GDPR pro ochranu osobních údajů. Výsledek kontroly musí být subdodavatelem zdokumentován a na požádání předložen zákazníkovi.
(3) Zpracovatel je povinen si od subdodavatele vyžádat potvrzení, že tento jmenoval pověřence pro ochranu osobních údajů v souladu s čl. 37 GDPR. V případě, že subdodavatel pověřence pro ochranu osobních údajů nejmenoval, je zpracovatel povinen o této skutečnosti informovat zákazníka a poskytnout mu informace, z nichž vyplývá, že subdodavatel není ze zákona povinen pověřence pro ochranu osobních údajů jmenovat.
(4) Zpracovatel zajistí, aby se ustanovení sjednaná v této smlouvě a případné doplňkové pokyny zákazníka vztahovaly také na subdodavatele.
(5) Zpracovatel uzavře se subdodavatelem smlouvu, která splňuje požadavky čl. 28 GDPR. Kromě toho uloží zpracovatel subdodavateli stejné povinnosti v oblasti ochrany osobních údajů, jaké byly stanoveny mezi zadavatelem a zpracovatelem.
(6) Zpracovatel je zejména povinen smluvními ustanoveními zajistit, aby kontrolní pravomoci (článek 8 této smlouvy) zadavatele a dozorových orgánů platily i pro subdodavatele a aby byla dohodnuta odpovídající kontrolní práva ze strany zadavatele a dozorových orgánů. Dále musí být smluvně sjednáno, že subdodavatel bude tolerovat tato kontrolní opatření a případné kontroly na místě.
(7) Subdodavatelské vztahy ve smyslu odstavců 1 až 6 se nepovažují za služby, které zpracovatel získává od třetích stran jako čistě doplňkovou službu za účelem výkonu obchodní činnosti. Mezi takové služby patří například úklidové služby, čistě telekomunikační služby bez konkrétního odkazu na služby, které zpracovatel poskytuje pro zadavatele, poštovní a kurýrní služby, přepravní služby, bezpečnostní služby. Zpracovatel je nicméně povinen zajistit, a to i v případě doplňkových služeb poskytovaných třetími stranami, aby byla přijata vhodná opatření a technická a organizační opatření k zajištění ochrany osobních údajů. Údržba a servis IT systémů nebo aplikací představuje subdodavatelský vztah a zpracování na základě objednávky ve smyslu čl. 28 DSGVO, který vyžaduje souhlas, pokud se údržba a testování týká takových IT systémů, které se rovněž používají v souvislosti s poskytováním služeb pro klienta, a pokud je během údržby možný přístup k osobním údajům zpracovávaným
jménem
klienta.
10. Povinnost mlčenlivosti
(1) Při zpracování údajů jménem klienta je zpracovatel povinen zachovávat mlčenlivost o údajích, které obdrží nebo o nichž se dozví v souvislosti se zakázkou. Zpracovatel se zavazuje dodržovat stejná pravidla
ochrany
tajemství, jaká platí pro zadavatele. Zadavatel je povinen informovat zpracovatele o všech zvláštních pravidlech ochrany tajemství.
(2) Zpracovatel zaručuje, že je seznámen s platnými předpisy o ochraně osobních údajů a že je obeznámen s jejich uplatňováním. Zpracovatel dále zaručuje, že seznámil své zaměstnance s ustanoveními o ochraně osobních údajů, která se na ně vztahují, a zavázal je k zachování mlčenlivosti. Zpracovatel dále zaručuje, že zejména zavázal své zaměstnance podílející se na plnění zakázky k zachování mlčenlivosti a seznámil je s pokyny zadavatele.
(3) Povinnost zaměstnanců podle odstavce 2 musí být na žádost zadavatele prokázána.
11. Ochrana práv dotčených osob
(1) Za ochranu práv dotčených osob odpovídá výlučně zadavatel. Zpracovatel je povinen podporovat zadavatele při plnění jeho povinnosti vyřizovat žádosti dotčených osob v souladu s články 12–23 GDPR. Zpracovatel zejména zajistí, aby byly zadavateli bezodkladně poskytnuty informace v tomto ohledu, aby mohl splnit své povinnosti podle čl. 12 odst. 3 GDPR.
(2) Pokud je spolupráce pověřeného zpracovatele nezbytná pro ochranu práv subjektů údajů – zejména na informace, opravu, blokování nebo výmaz – ze strany klienta, přijme pověřený zpracovatel příslušná nezbytná opatření v souladu s pokyny klienta. Je-li to možné, bude zpracovatel podporovat zadavatele vhodnými technickými a organizačními opatřeními, aby mohl splnit svou povinnost reagovat na žádosti o uplatnění práv subjektů údajů. Zpracovatel je oprávněn požadovat od klienta za tyto služby přiměřenou odměnu.
(3) Tím nejsou dotčena případná ustanovení o možné úhradě dodatečných nákladů, které zpracovateli vzniknou v důsledku služeb spolupráce v souvislosti s uplatňováním práv dotčených osob vůči klientovi.
12. Povinnost mlčenlivosti
(1) Obě strany se zavazují zacházet se všemi informacemi získanými v souvislosti s plněním této smlouvy jako s důvěrnými po neomezenou dobu a využívat je pouze k plnění smlouvy. Žádná ze stran není oprávněna tyto informace zcela ani zčásti využívat k jiným účelům, než jsou výše uvedené, ani tyto informace zpřístupňovat třetím osobám.
(2) Výše uvedená povinnost se nevztahuje na informace, které jedna ze stran prokazatelně obdržela od třetích stran, aniž by byla povinna zachovávat mlčenlivost, nebo které jsou veřejně známé.
13. Zpracování
Zpracovatel neobdrží za tuto smlouvu samostatnou odměnu.
14. Technická a organizační opatření pro zabezpečení údajů
(1) Zpracovatel se zavazuje vůči zákazníkovi dodržovat technická a organizační opatření nezbytná pro splnění platných předpisů o ochraně osobních údajů. To zahrnuje zejména požadavky čl. 32 GDPR.
(2) Stav technických a organizačních opatření existujících v době uzavření smlouvy je k této smlouvě připojen jako příloha 3. Strany se shodují, že změny technických a organizačních opatření mohou být nezbytné pro přizpůsobení se technickým a právním podmínkám. Významné změny, které by mohly ovlivnit integritu, důvěrnost nebo dostupnost osobních údajů, budou předem dohodnuty zpracovatelem se zákazníkem. Opatření, která zahrnují pouze drobné technické nebo organizační změny a nemají negativní vliv na integritu, důvěrnost a dostupnost osobních údajů, může zpracovatel údajů provést bez konzultace se zákazníkem. Zákazník může kdykoli požádat o aktuální verzi technických a
organizačních
opatření
přijatých
zpracovatelem
. (3) Zpracovatel pravidelně a také podle potřeby kontroluje účinnost jím přijatých technických a organizačních opatření. V případě, že je třeba provést optimalizaci a/nebo úpravu, pověřený zpracovatel o tom informuje klienta.
15. Trvání zakázky
(1) Smlouva nabývá platnosti okamžikem zadání zakázky a je uzavřena na dobu neurčitou.
(2) Smlouva končí ukončením hlavní smlouvy (balíčku aplikací nebo jakékoli služby) bez nutnosti samostatného výpovědního řízení.
Veškeré povinnosti týkající se vymazání a vrácení po ukončení této smlouvy se řídí ustanovením § 16.
(3) Zadavatel může smlouvu kdykoli bez výpovědní lhůty vypovědět, pokud dojde k závažnému porušení předpisů o ochraně osobních údajů platných pro zpracovatele nebo povinností vyplývajících z této smlouvy, pokud zpracovatel není schopen nebo ochoten provést pokyn zadavatele nebo pokud zpracovatel v rozporu se smlouvou odepře přístup zadavateli nebo příslušnému dozorovému orgánu.
16. Ukončení
(1) Po ukončení smlouvy je zpracovatel povinen na žádost zákazníka vrátit mu nebo vymazat veškeré dokumenty, data a vytvořené výsledky zpracování či využití, které se mu dostaly do držení v souvislosti se smluvním vztahem. Vymazání musí být náležitě zdokumentováno. Zákonná povinnost uchovávání nebo jiné povinnosti k uchovávání dat zůstávají nedotčeny. V případě datových nosičů musí být tyto v případě výmazu požadovaného zadavatelem zničeny, přičemž musí být dodržena alespoň bezpečnostní úroveň 3 podle normy DIN 66399; zadavatel musí předložit doklad o zničení s odkazem na bezpečnostní úroveň podle normy DIN 66399.
(2) Zadavatel má právo kontrolovat úplné a smluvní vrácení a výmaz dat u zpracovatele. To lze provést také kontrolou zařízení na zpracování dat v prostorách zpracovatele. Kontrolu na místě oznámí klient s přiměřenou lhůtou.
17.
Zadržovací
právo
Strany se dohodly, že je vyloučeno uplatnění zadržovacího práva ze strany zpracovatele ve smyslu § 273 BGB (německý občanský zákoník) ve vztahu ke zpracovávaným datům a souvisejícím datovým nosičům.
18. Závěrečná ustanovení
(1) Je-li majetek zákazníka v prostorách zpracovatele ohrožen opatřeními třetích osob (např. zabavením nebo konfiskací), insolvenčním řízením nebo jinými událostmi, je zpracovatel povinen o tom zákazníka neprodleně informovat. Zpracovatel je povinen neprodleně informovat věřitele o skutečnosti, že data jsou zpracovávána v rámci zakázky.
(2) Doplňkové dohody vyžadují písemnou formu.
(3) Pokud by jednotlivé části této smlouvy byly neplatné, nemá to vliv na platnost zbývajících ustanovení smlouvy.
Příloha 1 – Předmět zakázky
1. Předmět a účel zpracování
Zakázka zadavatele pro zpracovatele zahrnuje následující práce a/nebo služby: Poskytování mobilních aplikací (podrobněji popsáno v příslušném platném popisu služeb), jakož i webových stránek s podobným obsahem. To zahrnuje shromažďování, zpracování a předávání zaznamenaných údajů.
2. Druhy osobních údajů
Pravidelně jsou zpracovávány následující druhy údajů: Provozní údaje, obsahové údaje, kontaktní údaje, osobní kmenové údaje a komunikační údaje (jméno, adresa, telefonní číslo, faxové číslo, e-mailová adresa).
3. Okruh dotčených osob
Okruh osob, kterých se zpracování údajů týká: Uživatelé vašeho účtu, volající a volaní účastníci nebo odesílatelé/příjemci SMS/faxů, zaměstnanci, zákazníci, obchodní partneři, zájemci a poskytovatelé služeb klienta.
Pokud je klient partnerem zpracovatele: Kontaktní, osobní kmenové a komunikační údaje (jméno, adresa, telefonní číslo, faxové číslo, e-mailová adresa) dodavatelů/společností doporučených partnerem, který zadal objednávku.
Klient je povinen informovat uživatele účtu a – v případě potřeby – podnikovou radu nebo srovnatelné zástupce o zpracování údajů uvedených v bodě 2.
4. Místo zpracování údajů:
Všechny údaje jsou zpracovávány na serverech v rámci Evropského hospodářského prostoru.
Příloha 2 – Subdodavatel
Pro zpracování údajů jménem zadavatele využívá zpracovatel služby třetích stran, které zpracovávají údaje jeho jménem („subdodavatelé“).
Zpracovatel využívá k poskytování svých služeb různé subdodavatele.
Těmito subdodavateli jsou zpočátku následující společnosti zpracovatele, které poskytují přípravné práce pro realizaci služeb zpracovatele. Mezi společnostmi existují nezbytné smluvní dohody o zpracování těchto údajů.
Jedná se o následující společnosti:
Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001
Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlín,
netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe
OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Francie
Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim
CopeCart GmbH, Ufnaustrasse 10, 10553 Berlín
Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irsko
Příloha 3 – Technická a organizační opatření zpracovatele
Zpracovatel přijme následující technická a organizační opatření pro zabezpečení údajů ve smyslu čl. 32 GDPR.
1. Důvěrnost
Kontrola přístupu
Aby se zabránilo neoprávněnému přístupu k systémům zpracování údajů, pomocí nichž se údaje zpracovávají nebo využívají, zavedl zpracovatel a jeho subdodavatelé, jako jsou Netcup a divize Google Cloud, rozsáhlé formální procesy kontroly přístupu.
Využívaná místa zahrnují serverovny a místnost se serverovou technikou. Pro přístup jsou vybraným zaměstnancům subdodavatele vydávány elektronické klíče. Klíče opravňují příslušného zaměstnance subdodavatele pouze k otevírání/zavírání jednotlivých dveří, které byly pro tento účel schváleny. Všechny operace otevření a zavření klíče jsou elektronicky zaznamenány spolu s jedinečným ID klíče. Za správu klíčů jsou odpovědní pouze zaměstnanci subdodavatele přímo pověření vedením.
Serverovna je trvale uzamčena a vstup do ní mají pouze vybraní zaměstnanci
subdodavatele
.
V rámci budovy dané lokality jsou přístupová práva zaměstnanců subdodavatele – i těch, kteří mají klíč – omezena na rozsah nezbytný pro konkrétní úkol, který mají vykonat.
Během pracovní doby se na trvale obsazené recepci provádí kontrola osob vstupujících do budovy. Mimo pracovní dobu jsou všechny vchody do budovy uzamčeny a zabezpečeny alarmem. Budova je navíc střežena bezpečnostní službou. Všechny poplachy poplašného systému jsou hlášeny přímo bezpečnostní službě.
Ve všech datových centrech jsou uplatňována standardní bezpečnostní opatření. Ta odpovídají nejmodernějšímu stavu techniky a osvědčeným postupům v odvětví IT. Patří mezi ně elektronické systémy kontroly přístupu s protokolováním, díky nimž mají do budovy přístup pouze oprávněné osoby, poplašné systémy, kamerový dohled uvnitř i venku, nepřetržitá ostraha, zabezpečení budovy ostnatým drátem a ochrana externími bezpečnostními službami, které jsou v případě poplachu automaticky informovány prostřednictvím vyhrazené poplašné linky.
Klíče od jednotlivých místností a klecí v datovém centru je nutné vždy vyzvednout u bezpečnostního personálu.
Kontrola přístupu
Aby bylo zajištěno, že osoby oprávněné k používání systému pro zpracování údajů mají přístup pouze k údajům, k nimž mají oprávnění, a že uložené nebo zpracovávané údaje nemohou být neoprávněnými osobami čteny, kopírovány, měněny nebo odstraněny, používá zpracovatel objednávek centrální systém pro správu přístupových oprávnění. Všechny přístupy jsou ukládány lokálně a na centrálním protokolovém serveru. Správcovská práva lze vykonávat pouze prostřednictvím centrálního administračního programu.
Přístup ke všem údajům je omezen v rozsahu nezbytném pro to, aby všechny oprávněné osoby mohly plnit své konkrétní úkoly. Jsou dodržovány zákonné požadavky na ochranu údajů, zejména požadavky obecného nařízení o ochraně osobních údajů (GDPR) a TKG.
Oddělení
Zpracovatel zpracovává data na serverových systémech, které jsou logicky odděleny systémem logických a fyzických přístupových kontrol v síti.
2. Integrita
Kontrola zadávání
Aby bylo zajištěno, že zpracovatel objednávek může následně zkontrolovat a zjistit, zda a kým byla data v systémech pro zpracování dat zadána, změněna nebo odstraněna, jsou všechny přístupy k uloženým datům zákazníka zaznamenávány lokálně a na centrálním protokolovém serveru.
Kontrola předávání
Aby bylo zajištěno, že data nemohou být během elektronického přenosu, přepravy nebo ukládání čtena, kopírována, měněna nebo odstraněna neoprávněnými osobami a že je možné ověřit, kam mají být data systémy pro přenos dat přenesena, podléhá přístup ke všem systémům, které zpracovávají data zákazníků, účinným kontrolám přístupu. Tyto mechanismy kontroly přístupu jsou již podrobněji popsány výše v bodě 3.
3. Dostupnost a odolnost
Zpracovatel používá ve všech systémech kombinaci redundantních systémů a záložních řešení, aby chránil uložená data a mohl je v případě potřeby obnovit. Tyto systémy jsou provozovány výhradně v prostorách zabezpečených a vybavených v souladu s aktuálním stavem techniky, které disponují nezbytnými systémy klimatizace, požární a kouřové signalizace a pro které existují podrobné havarijní plány.
4. Postupy pro pravidelnou kontrolu, posuzování a hodnocení
Všichni naši vlastní zaměstnanci i zaměstnanci subdodavatele jsou pravidelně školeni v otázkách ochrany osobních údajů. Tato školení jsou realizována zcela interně, takže je možné je přesně přizpůsobit otázkám relevantním pro zpracovatele. Během těchto školení jsou také podrobně řešeny individuální otázky.
Všichni zaměstnanci zpracovatele, kteří v rámci své práce přicházejí do styku se zpracováním osobních údajů, jsou povinni zacházet s osobními údaji důvěrně. To se pravidelně provádí při přijímání nových zaměstnanců prostřednictvím smluvního prohlášení o závazku, které musí každý zaměstnanec učinit.
Zpracovatel jmenoval pověřence pro ochranu osobních údajů. Pověřenec pro ochranu osobních údajů spolu se svými zástupci zajistí, aby byly dotazy subjektů údajů zodpovězeny včas.
Zpracovatel vede evidenci činností zpracování ve smyslu čl. 30 odst. 1 a 2 GDPR. Tento seznam činností zpracování není veřejný.
(k 16. únoru 2022)