Prohlášení o zpracování osobních údajů
MyCom Solutions, s.r.o.
Tento dokument je platný za společnost jako správce:
MyCom Solutions, s.r.o.
Prosek Point – budova A, 4. patro
Prosecká 851/64
190 00 Praha 9
IČ: 28528948
DIČ: CZ28528948
Popis dokumentu
Tento dokument je určen našim zákazníkům, obchodním partnerům, zájemcům o zaměstnání, zaměstnancům a široké veřejnosti a obsahuje prohlášení o zpracování osobních údajů poskytované ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR“). Prohlášení naplňuje povinnost poskytovat informace stanovené v článcích 13 a 14 a povinnost informovat subjekty osobních údajů o jejich právech a postupech pro uplatnění jejich práv podle článků 15 až 22 a 34 nařízení GDPR.
Zpracování osobních údajů
Zaměstnanci
Zaměstnanci během svého působení ve společnosti předávají osobní údaje a rovněž jsou o nich pořizovány údaje mající charakter osobních údajů ve značné rozmanitosti a proměnlivém rozsahu. Typicky se jedná o číslo zaměstnance, jméno, příjmení, rodné příjmení, titul, bydliště trvalé i přechodné (ulice a číslo, PSČ, město), datum narození, rodné číslo, číslo bankovního účtu (IBAN), název zdravotní pojišťovny, doplňkové důchodové spořitelny, číslo OP a další. Dále mohou být zpracovávány údaje rodinných příslušníků nebo členů domácnosti, tedy jména, příjmení a rodná čísla, údaje o příjmech, kopie rodných listů. K tomu se přidávají další komplexní informace při činnosti v IT systémech, jako jsou IP adresy, identifikátory, aktivita a časy operací, volaná telefonní čísla a časy volání, informace o odeslaných SMS a přenesených datech, informace v souvislosti s bezpečností práce, absolvovanými školeními, vydaným certifikáty a povoleními, pojištěním. Rovněž to mohou být údaje související s daňovými povinnostmi jako potvrzení o studiu, hypotečních úvěrech, invaliditě a změněné pracovní schopnosti, starobním důchodu, případně informace od státních orgánů jako nařízené srážky ze mzdy. Při výkonu práce mohou být pořízeny nahrávky hovorů, kamerové záznamy. Zdrojem těchto informací je ve většině případů sám subjekt údajů (personální dotazník, odevzdané výkazy a předané doklady), případně jeho činnost v automatických systémech a zanechaná digitální stopa. Osobní údaje se vyskytují podle své povahy i v obchodní korespondenci se zákazníky, v emailech a chatech, v poznámkách z jednání, jako autorství dokumentů, v radách a odpovědích zákazníkům. Volitelně se může jednat o fotografie, videonahrávky a hlasové nahrávky.
Zpracování osobních údajů provádíme v nezbytně nutném rozsahu z těchto důvodů:
- Plnění pracovní smlouvy a výkon práce
- Splnění právních povinností vyplývajících z pracovně-právního vztahu, zejména oznamovacích povinností vůči orgánům státní správy, soudům a policii a splnění archivační povinnosti
- Oprávněné zájmy při ochraně práv a právem chráněných zájmů, zejména ochrany informačních technologií, majetku i duševního vlastnictví, rozsah zpracovávaných údajů reflektuje pracovní pozici a pravomoci zaměstnance
- Oprávněné zájmy správce při plnění jeho hospodářských smluv se zákazníky, při řízení firmy a pro efektivní hospodaření, rozsah zpracovávaných údajů reflektuje pracovní pozici a pravomoci zaměstnance
Osobní údaje zpracováváme pouze po dobu, která je nezbytná vzhledem k účelům jejich zpracování, podle kterých se doba a rozsah liší:
- Pro plnění pracovní smlouvy a výkon práce po dobu trvání pracovního poměru; u výsledků vaší práce podle doby jejich využitelnosti
- Smluvní a předsmluvní korespondence, emaily a poznámky k plnění smlouvy po dobu trvání smlouvy, maximálně 5 let od vzniku
- V ostatních případech obvykle do 1 roku od vzniku, maximálně 3 měsíce od skončení pracovního poměru
- Pro splnění právních povinností ve vztahu k daňovým povinnostem po dobu 10 let od uplynutí rozhodného období
- Pro splnění právních povinností ve vztahu k důchodovém pojištění po dobu 30 let od uplynutí rozhodného období
- Pro ochranu práv a právem chráněných zájmů správce po dobu 5 let od pořízení údajů, s výjimkou kamerových záznamů, které jsou uchovány maximálně 1 měsíc od pořízení
- Pro oprávněné zájmy správce při plnění smluv po dobu 5 let
- U údajů zpracovávaných na základě souhlasu po dobu jeho platnosti
Osobní údaje jsou zpřístupněny podle jejich charakteru pracovníkům firmy nebo jejich partnerům, kteří vedou danou agendu, či jen jednateli společnosti. Mezi příjemce osobních údajů patří správa sociálního a důchodového pojištění, zdravotní pojišťovny, finanční úřady, úřady práce, inspektoráty práce, mobilní operátoři, pojišťovny škod, soudní orgány a policie. Zpracovateli údajů podle pokynů správce pak jsou servisní organizace systémů IT, firmy poskytující školení a testování v oblastech bezpečnosti práce, vzdělávání a odborného školení. Příjemci některých údajů zejména z oblasti bezpečnosti a auditu se mohou stát i zákazníci při zajišťování jejich oprávněných zájmů vyplývajících z ochrany práv a plnění jejich právních povinností ve vztahu ke smlouvám správce. Údaje nejsou předávány do zemí mimo EU. V případě, že bychom našim zákazníkům nebo dodavatelům mimo země EU potřebovali předat kontaktní údaje našich zaměstnanců, budou o tom tito zaměstnanci informování předem, nebo tak budou činit sami v rámci výkonu své práce.
Při tomto zpracování nedochází k automatizovanému rozhodování ani k profilování. V některých případech při tomto zpracování dochází k systematickému monitoringu, a to zejména činností prováděných v IT systémech, přístupu do prostředí klientů a dalších míst, kvůli zabezpečení a ochraně dat.
Aktuální a potenciální klienti a dodavatelé
V rámci naší obchodní činnosti a poskytování služeb, dodávka produktů, která je zaměřená především na firmy a organizace (B2B), dochází ke zpracování osobních údajů pracovníků našich zákazníků a dodavatelů. Tito pracovníci by měli být svým zaměstnavatelem informováni o takové možnosti. Předávání jejich osobních údajů vychází obvykle z jejich náplně práce, pracovní pozice. Vzhledem k tomu, že se primárně jedná o „pracovní“ identitu subjektů údajů, je riziku zásahu do osobnostních práv a způsobení škody těmto subjektům bezpochyby nižší. Získané údaje pocházejí většinou přímo od subjektu údajů nebo od jeho zaměstnavatele, resp. jeho kolegů. V případě statutárních orgánů nebo podnikatelů-fyzických osob (OSVČ) pak můžeme čerpat informace z veřejných zdrojů, jako např. z obchodního rejstříku, živnostenského rejstříku, insolvenčního rejstříku, profesní sociální sítě LinkedIn.
Zpracování osobních údajů provádíme v nezbytně nutném rozsahu z těchto důvodů:
- Z důvodu plnění smlouvy, zejména pak objednávek, smluv o dílo, smluv o poskytování služeb, dodávky našich produktů, který je základním oprávněným zájmem naší firmy.
- Z důvodu jednání o uzavření smlouvy, zejména pak nabídek, předvádění, odpovědí na dotazy, informování o produktech a službách, který je základním oprávněným zájmem naší firmy a vychází vstříc zájmům subjektů
- Oprávněné zájmy při ochraně práv a právem chráněných zájmů, zejména ochrany informačních technologií, majetku i duševního vlastnictví.
- Na základě souhlasu v případě, kdy je účelem aktivní přímý marketing našich produktů a služeb nad rámec legitimně očekávatelného rozsahu, vyplývajícího z předchozích důvodů.
Osobní údaje zpracováváme pouze po dobu, která je nezbytná vzhledem k účelům jejich zpracování, podle kterých se doba a rozsah liší. Zejména dbáme, aby v případě, že osoba již nadále není zaměstnancem zákazníka, a my se to dozvíme, byly uchovávané osobní údaje minimalizovány co do rozsahu i druhu.
- Pro oprávněné zájmy správce při plnění hospodářských smluv (B2B)
- Běžná předsmluvní obchodní korespondence, emaily a poznámky maximálně 3 roky od vzniku
- Podklady pro projektové analýzy a konfigurace, pokud obsahují osobní údaje a nedojde k uzavření hospodářské smlouvy maximálně 3 měsíce od ukončení předsmluvního jednání
- Smluvní korespondence a emaily a poznámky k plnění hospodářské smlouvy po dobu trvání smlouvy, maximálně 5 let od vzniku
- V ostatních případech do 1 roku od vzniku, maximálně 3 měsíce od skončení spolupráce se zákazníkem, jakožto zaměstnavatelem subjektu
- U nahrávek hovorů servisních hlášení maximálně 6 měsíců
- Přihlášky na školení, seznamy vydaných certifikátů, prezenční listiny 2 roky
- Předané vizitky, předené kontaktní údaje, kontaktní údaje z dotazů apod. do 1 roku
- Pro splnění právních povinností ve vztahu k daňovým povinnostem po dobu 10 let od uplynutí rozhodného období
- Pro ochranu práv a právem chráněných zájmů správce po dobu 5 let od pořízení údajů
- U údajů zpracovávaných na základě souhlasu po dobu platnosti souhlasu
Osobní údaje jsou zpřístupněny podle jejich charakteru primárně pracovníkům firmy, kteří vedou danou agendu, primárně jednateli společnosti. Mezi příjemce osobních údajů mohou v některých situacích patřit finanční úřady, úřady práce, soudní orgány a policie. Zpracovateli údajů podle pokynů správce pak jsou servisní organizace systémů IT. Příjemci základních kontaktních údajů pracovníků zákazníka se mohou stát při plnění jednotlivých smluv i naši dodavatelé a u základních kontaktních údajů dodavatelů i naši zákazníci, v tomto případě bychom předem na takovou situaci cizí pracovníky upozornili. Údaje v těchto případech nejsou předávány do zemí mimo EU.
Při tomto zpracování nedochází k automatizovanému rozhodování ani k profilování.
Webové rozhraní
V rámci naší obchodní činnosti a poskytování služeb, provozujeme na síti internet webové stránky. Stránky jsou přístupné anonymně, nebo po registraci pomocí přihlašovacích údajů do servisního rozhraní pro příjem a správu požadavků ze strany klientů. Přistupují k nim subjekty uvedené v předchozích kategoriích za účelem čerpání informací nebo komunikaci (např. zaměstnanci zapisují obsah a tvoří stránky, pracovníci zákazníků a dodavatelů podávají hlášení o servisních požadavcích, zájemci o produkty a služby vyhledávají informace). Při prohlížení stránek můžeme pořizovat nad rámec dříve uvedených osobních údajů ještě tyto údaje: adresa webové stránky, IP adresa, čas přístupu na stránku, adresa webové stránky odkud návštěvník přichází, prohlížeč a operační systém návštěvníka, preferovaný jazyk, přenesené množství dat, výskyt chyb v technickém zpracování, identifikátor session (vztahující se k přihlášení) a cookies.
Cookies jsou malé textové soubory, které se ukládají na vašem pevném disku v závislosti na používaném prohlížeči a které zajišťují přísun určitých informací do systému, který cookie uložil. Většina námi používaných cookies je po skončení relace prohlížeče smazána (tzv. cookies relace). Jiné cookies na vašem koncovém zařízení zůstávají a umožňují nám rozpoznat váš prohlížeč při další návštěvě (trvalé cookies). V nastaveních vámi používaného prohlížeče můžete přijímání cookies zamítnout nebo toto zamítnutí omezit např. pouze na cookies jiných subjektů, tzv. cookies třetích stran. Nastavení, k jakým účelům používat cookies můžete provést v příslušném nastavení funkcí našeho webu, kde můžete rovněž odvolat případně udělený souhlas.
Zpracování osobních údajů provádíme z těchto důvodů:
- Oprávněný zájem při provozování webu, zajišťující technickou funkčnost přihlášení a sledování identity prohlížeče během přecházení mezi stránkami webu – pro tento účel je použit identifikátor session (realizovaný jako cookies)
- Oprávněné zájmy při ochraně práv a právem chráněných zájmů, zejména ochrany informačních technologií, majetku i duševního vlastnictví, rozsah a účel zpracování se omezuje na monitorování technických logů pro zajištění bezpečnosti a stability webových serverů
Osobní údaje zpracováváme pouze po dobu, která je nezbytná vzhledem k účelům jejich zpracování, podle kterých se doba a rozsah liší.
- Pro oprávněné zájmy správce při provozování webu, pro přihlašování maximálně 13 měsíců. Vzhledem k tomu, že cookie jsou uloženy v prohlížeči návštěvníka, má plnou kontrolu nad jejich vymazáním on.
- Pro oprávněné zájmy správce při ochraně práv uchováváme bezpečnostní logy maximálně 6 měsíců
- Na základě souhlasu po dobu trvání souhlasu.
Při tomto zpracování může docházet k automatizovanému rozhodování i k profilování ve službách třetích stran a to příslušnými třetími stranami.
Zpracování na základě pokynu ze strany našich klientů
V rámci naší obchodní činnosti a poskytování služeb, která je zaměřená především na firmy a organizace (B2B), dochází ke zpracování osobních údajů na základě zpracovatelských smluv s těmito subjekty. Svojí povahou se jedná o dvě skupiny údajů:
- Údaje, které slouží pro účely plnění smlouvy mezi námi, jako zpracovatelem a naším zákazníkem, který je buď přímo správcem, nebo zpracovatelem. Příkladem mohou být konfigurační údaje systémů, seznamy uživatelů, IP adresy pracovišť, oprávnění, přihlašovací údaje. Většinou se jedná o osobní údaje osob, které mají se správcem nějaký právní vztah (jsou jeho zaměstnanci apod.) a jsou předávány ke zpracování v definovaném rozsahu podle specifikace ve zpracovatelské smlouvě.
- Údaje, které slouží účelům zákazníka, který je správcem, nebo které k nám zadal ke zpracování jako zpracovatel. U těchto údajů se zpracování omezuje na operace uložení nebo přenosu a často v šifrované a nám nepřístupné podobě.
Zpracování osobních údajů provádíme pro klienta výhradně podle jeho pokynů, a to z těchto důvodů:
- Z důvodu plnění smlouvy, zejména pak objednávek, smluv o dílo, smluv o poskytování služeb, a to za účelem údržby, konfigurace služby nebo servisovaných systémů klienta. Pro tento účel zpracováváme údaje v definovaném rozsahu.
- Z důvodu plnění smlouvy, zejména pak objednávek, smluv o dílo, smluv o poskytování služeb, a to operacemi uložení a přenosu. Pro tento účel zpracováváme veškeré údaje, které si zákazník uložil nebo přenesl, a to výhradně v jeho systému.
Osobní údaje zpracováváme pouze po dobu, která specifikována ve zpracovatelské smlouvě.
Osobní údaje v předem definovaném rozsahu za účelem údržby a konfigurací jsou zpřístupněny podle jejich charakteru pracovníkům firmy, kteří vedou danou agendu (servisní technici, IT technici). Ostatní údaje jsou zpřístupňovány pouze jejich správci, tj. našemu zákazníkovi, a to vždy podle jím zadaných oprávnění.
Při zpracování v definovaném rozsahu nedochází k automatizovanému rozhodování ani k profilování. Ostatní zpracování se řídí pokyny ve zpracovatelské smlouvě.
Práva subjektu údajů
V souvislosti se zpracováním osobních údajů mají subjekty těchto údajů níže uvedená práva.
Pro využití těchto práv může být nutné zjištění totožnosti tak, aby byla jistota, že právo využívá právě ta osoba, která je subjektem údajů. Zjištění totožnosti provádíme jako správce přiměřeně využívanému právu, v některých případech můžeme použít ověření právě pomocí těchto údajů (přihlašovací údaje).
Žádost můžete zaslat elektronickou poštou na email společnosti gdpr@mycom.cz.
Právo na přístup k osobním údajům
Právo na potvrzení
SÚ má právo získat od nás potvrzení, zda osobní údaje, které se jej týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
- účely zpracování
- kategorie dotčených osobních údajů
- příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích
- plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby
- existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování
- právo podat stížnost u dozorového úřadu;
- veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů
- skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů
- pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, máte jako subjekt údajů právo být informován o vhodných zárukách, které se vztahují na předání
Právo na kopii
SÚ má právo na kopii zpracovávaných osobních údajů. Kopii jsme schopni předat osobně, nebo odeslat zásilkou určenou do vlastních rukou, v tomto případě budeme požadovat úhradu poštovného. Pokud to bude možné, bude k dispozici kopie k předání elektronickou formou. V případě opakované žádosti o kopii předáme jen data, která jsme ještě nepředali, a která zpracováváme nově, nebo informaci, že žádné nové údaje nezpracováváme. Tím není omezena možnost vydat úplnou kopii údajů znovu za úhradu.
Právo na opravu nepřesných údajů
Pokud SÚ zjistí, že údaje, které o něm zpracováváme, jsou nepřesné, mylné, nepravdivé nebo neúplné, má právo na jejich opravu. Je naším zájmem udržovat informace co nejpřesnější! Na druhou stranu v některých archivních evidencích záměrně jsou udržovány údaje tak, jak byly platné v době jejich vzniku (např. bydliště ve smlouvě apod.).
V případě, že je žádosti o opravu vyhověno, oznámíme to případným původním příjemcům, leda by se to ukázalo jako nemožné nebo vyžadující nepřiměřené úsilí a pokud to SÚ bude požadovat, sdělíme, kdo byli tito příjemci.
Právo na výmaz
SÚ má právo, abychom jakožto správce bez zbytečného odkladu vymazali osobní údaje, které se jej týkají, a my jako správce máme povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
- subjekt údajů odvolá souhlas, na jehož základě byly údaje podle zpracovány, a neexistuje žádný další právní důvod pro zpracování
- subjekt údajů vznese námitky proti zpracování na základě oprávněných zájmů a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování pro účely přímého marketingu
- osobní údaje byly zpracovány protiprávně
- osobní údaje musí být vymazány ke splnění právní povinnosti stanovené
Jakožto správce máme nastaveny mechanismy pro zajištění automatické anonymizace či výmazu osobních údajů v případě, že již nejsou potřeba k účelu, pro nějž byly zpracovávány.
Právo na omezení zpracování
SÚ má právo nás požádat o omezení zpracování souběžně
- s uplatněním práva na opravu, než bude vaše žádost vyřízena
- v případě protiprávního zpracování místo jejich výmazu
- v případě, že potřebuje údaje pro určení, výkon nebo obhajobu právních nároků
- vznesl námitku proti jejich zpracování z důvodu oprávněného zájmu, do doby ověření, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů
Omezení zpracování znamená, že tyto osobní údaje mohou být, s výjimkou jejich uložení, zpracovány pouze se souhlasem, jako subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu.
Právo na přenositelnost OÚ
Pokud nám SÚ, k určitým údajům poskytl souhlas nebo zpracováváme data na základě smlouvy mezi námi, a přitom zpracováváme data automatizovaně, můžete nás SÚ požádat o jejich předání ve strukturovaném formátu.
Právo vznést námitku proti oprávněnému zájmu
Subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které se jej týkají, pokud jsou zpracovávány na základě námi deklarovaného oprávněného zájmu správce. Údaje přestaneme jako správce zpracovávat, pokud neprokážeme závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami SÚ, nebo pokud je nezpracováváme pro určení, výkon nebo obhajobu právních nároků.
Právo vznést námitku proti přímému marketingu
Pokud SÚ vznese námitku proti zpracování osobních údajů za účelem přímého marketingu, přestaneme údaje za tímto účelem zpracovávat a vyřadíme je z veškerého dalšího přímého marketingu.
Právo nebýt předmětem rozhodnutí založeného na automatizovaném rozhodnutí včetně profilování
Vzhledem k tomu, že jako správce údajů nevydáváme rozhodnutí, která by pro SÚ měla právní účinky, výhradně na základě automatizovaného zpracování nebo profilování, je uplatnění tohoto práva jen hypotetické.
Právo odvolat souhlas
Pokud nám k nějakému zpracování udělí SÚ souhlas, může tento souhlas odvolat, nejlépe obdobným způsobem, jakým byl souhlas udělen: pokud na webu, pak na webu, pokud emailem, pak emailem ze stejné adresy, pokud telefonicky, pak telefonicky ze stejného telefonního čísla. Vždy může souhlas odvolat písemně, nebo nás požádat o přehled udělených souhlasů se zpracováním. Souhlas se zpracováním cookies může také snadno odvolat jejich smazáním nebo jejich zablokováním ve webovém prohlížeči.
Právo obrátit se na dozorový orgán
Pokud není SÚ spokojen s tím, jak postupujeme při zpracování osobních údajů nebo jak naplňujeme práva v této souvislosti, může se se stížnostmi obracet na Úřadu pro ochranu osobní údajů.
Dozorový orgán:
Úřad pro ochranu osobních údajů
https://www.uoou.cz
Pplk. Sochora 27
170 00 Praha 7
Způsoby zpracování osobních údajů
Řízení rizik v oblasti zabezpečení informací
Společnost má zaveden formalizovaný program řízení podnikových rizik, jehož prostřednictvím lze identifikovat, analyzovat a hodnotit rizika a realizovat akční plány na zmírnění zjištěných rizik. Součástí řízení rizik zabezpečení informací ve společnosti je správa ohrožení zabezpečení, která zajišťuje, že nesprávné nastavení procesů, neaktualizované systémy nebo aplikace a jakékoli nedostatky budou efektivně odstraněny, sledovány a kontrolovány.
Organizace zabezpečení informací
Společnost pro zabezpečení informací vychází ze známých oborových norem a standardů upravujících kontrolní mechanismy zabezpečení informací, jako je například ISO 27002. Zaměstnanci jsou povinni chránit informace společnosti a veškeré údaje o partnerech nebo zákaznících. Dodavatelé společnosti a třetí osoby mají rovněž povinnost chránit informace společnosti a veškeré údaje o partnerech nebo zákaznících (což zahrnuje uplatňování konkrétních opatření na ochranu osobních údajů). Standard pro řízení přístupu třetích osob zavádí opatření, která minimalizují potenciální rizika spojená s přístupem třetích osob k informačním aktivům společnosti prostřednictvím systémů společnosti. Smlouvy s třetími osobami zahrnují povinnost oznamování porušení předpisů a právo k provedení auditu. Smlouvy s třetími osobami zahrnují požadavky na vlastnictví dat a vrácení nebo odstranění dat bezpečným způsobem po skončení platnosti smlouvy.
Zabezpečení v oblasti lidských zdrojů
V souladu s místními pracovněprávními předpisy jsou prováděny prověrky zaměstnanců a dodavatelů. Zaměstnanci, dodavatelé a třetí osoby mají v rámci pracovních podmínek povinnost zachovávání důvěrnosti. Zaměstnanci jsou povinni dodržovat zásady a standardy zabezpečení. Existují postupy pro odebírání přístupových čipů zaměstnancům, dodavatelům a třetím stranám a pro zrušení jejich přístupu k sítím/aplikacím/systémům při ukončení spolupráce. Rovněž existují postupy zajišťující odebrání přístupu zaměstnancům k aplikacím/systémům při změně jejich pracovní pozice či odpovědnosti.
Fyzické zabezpečení a zabezpečení prostoru
Vstup na pracoviště a do areálů s datovými centry kde jsou uložena data společnosti je chráněn zabezpečovacími systémy, stejně jako přístup do zabezpečených oblastí a samotných datových center. Tyto prostory jsou chráněny externím partnerem, u kterého jsou tato úložiště smluvně sjednána formou služby. Zařízení jsou chráněna proti přepětí nebo jiným nebezpečím způsobeným elektrickým proudem. V prostorách datových center jsou nainstalovány protipožární systémy a čidla pro detekci kouře, teploty a zaplavení. Ve všech datových centrech jsou k dispozici zdroje nepřetržitého napájení (UPS) a záložní generátory.
Zabezpečení sítě
Existují schválené standardy pro kontrolu zabezpečení síťových zařízení a zajištění jejich správné konfigurace. Vzdálený přístup přes VPN je chráněn pomocí dvouúrovňového ověřování a je možný pouze ze zařízení společnosti. Probíhá řízení síťového přístupu, aby se zabránilo připojení jakéhokoli nedůvěryhodného zařízení. Přístup na úrovni správce nebo privilegovaný vzdálený přístup jsou omezeny na uživatele s uděleným oprávněním (v nezbytně nutném rozsahu). Prostředí používaná pro testy a demonstrace pro zákazníky jsou oddělena od produkčního podnikového prostředí.
Správa řízení přístupu
Všem uživatelům je udělován přístup prostřednictvím jedinečného uživatelského účtu a povinných ověřovacích mechanismů. Oprávnění k uživatelským účtům a přístupová práva k datům jsou udělována v nezbytně nutném rozsahu na základě rolí, požadavků pracovních pozic. Uživatelská hesla musí splňovat určité požadavky na složitost tak, aby byla v souladu se zásadami pro hesla používaná pro zabezpečení informací.
Ochrana dat
Při interním i externím přenosu dat jsou využívány mechanismy na ochranu přenášených dat. U každého uživatelského zařízení a systému/úložiště služeb jsou využívány mechanismy na ochranu uložených dat, jako je šifrování celého disku, šifrování dat aplikací, anonymizace nebo tokenizace dat, ověřování, časový limit relací, přístupová práva uživatelů a protokolování/monitorování. Přístup k datům je standardně omezen a bude ověřen a povolen pouze prostřednictvím uživatelských účtů s řádně udělenými oprávněními.
SPOLUPRÁCE S DALŠÍMI STRANAMI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Disponujeme seznamem společností, které provádí zpracování osobních údajů pro naši společnost, která je jejich správcem, zpracovatelem. Vedle tohoto předání jsou plněny povinnosti o informovanosti vůči státním úřadům. Seznam v případě potřeby předložíme v aktuálním znění.