Zpracovatelská smlouva
Všechny starší verze Zpracovatelské smlouvy naleznete ZDE.
SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
PŘÍLOHA Č. 2 K PODMÍNKÁM POSKYTOVÁNÍ RAYNET CRM
(dále jen „Zpracovatelská smlouva”) uzavřená mezi:
- Vámi, kteří jste se rozhodli používat službu RAYNET;
(dále jen „Správce“ nebo „vy”)
a - RAYNET , IČO: 26843820, se sídlem Hlavní třída 6078/13, Poruba, 708 00 Ostrava, Česká republika, zastoupená Ing. Alešem Seifertem a Ing. Jaroslavem Bazalou, jednateli, zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě sp. zn. C 28180,
(dále jen „Zpracovatel“, „RAYNET”, nebo „my”)
(Zpracovatel a Správce dále společně jako „Smluvní strany“ a jednotlivě „Smluvní strana“).
Pokud budete využívat službu RAYNET CRM („Služba” nebo „CRM” ), bude RAYNET v pozici zpracovatele Osobních údajů, které nám poskytnete, zejména těch, které nahrajete do CRM. Služba je poskytována na základě Podmínek poskytování služby RAYNET CRM („Podmínky”). Uzavřením Smlouvy potvrzujete, že jste se seznámili a souhlasíte se Zpracovatelskou smlouvou. Tato Zpracovatelská smlouva se vztahuje na všechny uživatele, kteří mají ke Službě přístup, nebo ji používají a je právně závazná.
Přečtěte si proto prosím pečlivě tuto Zpracovatelskou smlouvu, která vymezuje podmínky zpracování Osobních údajů, za kterých je Služba poskytována. V případě dotazů, které se budou týkat zpracování Osobních údajů, nás můžete kdykoliv kontaktovat na dpo@raynet.cz.
1. Definice
Pro účely této Zpracovatelské smlouvy pracujeme s pojmy, které nejsou v Podmínkách definovány. Pro lepší přehlednost proto uvádíme, co jednotlivé definice znamenají, ledaže by z textu Zpracovatelské smlouvy vyplývalo jinak.
GDPR | Nařízení Evropského parlamentu a rady (EU) 2016/679; |
CCPA | Kalifornský zákon o ochraně soukromí spotřebitelů z roku 2018 (California Consumer Protection Act of 2018; |
PDPA | Zákon o ochraně osobních údajů z roku 2012 (Personal Data Protection Act of 2012) platný a účinný na území Singapuru; |
EEA | Evropský hospodářský prostor; |
Osobní údaje | jakékoliv informace o Uživateli, na základě kterých jej lze přímo či nepřímo identifikovat; |
Správce | Vy, jakožto náš zákazník a uživatel Služby ve vztahu k Osobním údajům, které nám poskytujete, zejména se jedná o Osobní údaje Vašich klientů které nahrajete do systému Aplikace; |
Zpracovatel | my, RAYNET, protože pro Vás v rámci Služby zpracováváme Osobní údaje, které nám poskytnete; |
Subzpracovatel | ty subjekty, subdodavatele služeb, které RAYNET využívá ke zpracování dat v rámci poskytování Služeb ve vztahu k Osobním údajům, které nám svěříte. |
Zpracování Osobních údajů | zjednodušeně se jedná o jakékoli nakládání s Osobními údaji - ať už je to jejich uložení, sdílení, smazání, nebo měnění; |
Výše uvedené definice jsou v souladu s pojmy dle GDPR.
Pokud pocházíte ze Singapuru, tak pojmy používané v této Zpracovatelské smlouvě, jako jsou „Subjekt údajů”, „Správce” a „Zpracovatel”, odpovídají pojmům „Individual”, „Organization” a „Data intermediary”, užívaným v rámci PDPA.
V případě, že sídlíte ve státě Kalifornie, jsou pojmy jako „Osobní údaje”, „Subjekt údajů”, „Správce” a „Zpracovatel” používané v této Zpracovatelské smlouvě ekvivalentem pojmů „Personal information”, „Consumer”, „Business” a „Service provider” dle CCPA. Zároveň v souvislosti s CCPA uvádíme, že v žádném případě Vaše Osobní údaje za finanční nebo jiné protiplnění neprodáváme, nepronajímáme nebo jinak nezveřejňujeme. Pokud Vaše Osobní údaje nějakým způsobem zpřístupníme třetí straně, činíme tak z důvodu poskytování našich Služeb nebo plnění naší zákonné povinnosti.
2. Úvod a krátký přehled obsahu smlouvy
2.1 Předmět a účel Zpracovatelské smlouvy
Uzavřením této Zpracovatelské smlouvy jako Správce pověřujete Zpracovatele, aby pro Vás prováděl zpracování Osobních údajů v souvislosti s poskytováním Služby. Cílem je zajištění ochrany Osobních údajů v rozsahu požadovaném právními předpisy. Rozsah zpracovávaných Osobních údajů naleznete v Příloze A této Zpracovatelské smlouvy.
2.2 Služba
Služba RAYNET spočívá v poskytování CRM softwaru. RAYNET poskytuje nástroje k nastavení, ovládání a správě a další funkcionality prostřednictvím Desktopu, Mobilní aplikace či API (včetně dalších nabízených funkcí) a další souvisejcí služby, jako je např. Zákaznická podpora.
2.3 Co znamená pozice Zpracovatele a Správce
Při užívání Služby nám předáváte Osobní údaje, jejichž jste Správcem. Tyto Osobní údaje následně na Váš pokyn a v rozsahu Vámi zvoleném zpracováváme. Při zpracování Osobních údajů jste v postavení Správce Osobních údajů.
2.4 Písemná forma
Smluvní strany písemně upravují pravidla Zpracování v této Zpracovatelské smlouvě.
2.5 Poznámky „lidsky řečeno”
Zpracovatelskou smlouvu jsme se snažili sepsat tak, aby byla co nejvíce srozumitelná. K tomu slouží i modré poznámky „lidsky řečeno”, ve kterých jsou příslušné části Zpracovatelské smlouvy shrnuty. Tyto poznámky ale nejsou závaznou součástí této Zpracovatelské smlouvy a slouží pouze k snadnějšímu pochopení jednotlivých závazků.
2.6 Definice
Definice pojmů v Podmínkách budou převzaty ve stejném významu i do této Zpracovatelské smlouvy.
2.7 Doba trvání Podmínek
Tato Zpracovatelská smlouva se uzavírá na dobu trvání Smlouvy podle Podmínek.
2.8 Okamžik uzavření a ukončení Zpracovatelské smlouvy
Zpracovatelská smlouva je uzavřena v okamžiku dokončení registrace za účelem užívání Služby (uzavření Smlouvy). Ukončit Zpracovatelskou smlouvu je možné současně a za stejných podmínek jako ukončení využívání Služby podle Podmínek.
2.9 Účinky ukončení
Ukončením Podmínek je ukončena i tato Zpracovatelská smlouva. Ukončením této Zpracovatelské smlouvy však nejsou dotčeny povinnosti Zpracovatele při předávání (navrácení) Osobních údajů Správci či jejich likvidaci a dodržování důvěrnosti informací.
Lidsky řečeno: Do CRM ukládáte osobní údaje svých klientů. My je pro Vás zpracováváme. Zákon nám přikazuje tento vztah písemně upravit. Ničeho se ale nebojte. K údajům, které do aplikace nahrajete, máme jen velmi omezený přístup. Půjde hlavně o data potřebná k diagnostice nebo statistice.
3. Společné povinnosti správce a zpracovatele
3.1 Zákonnost zpracování
Správce a Zpracovatel se zavazují dodržovat předpisy upravující ochranu Osobních údajů, které se na ně vztahují.
3.2 Součinnost
Správce a Zpracovatel se zavazují si být navzájem v nezbytném a přiměřeném rozsahu nápomocni při plnění povinností při zpracování Osobních údajů, které vyplývají ze vzájemně uzavřených smluv a právních předpisů, a to zejména v souvislosti s reakcemi na výkon práv subjektů údajů, s bezpečnostními incidenty a také i s vypracováním posouzení vlivu a s jednáním s dozorovými orgány. Smluvní strany se zavazují poskytnout nezbytné podklady pro vyřízení žádosti týkající se zpracování Osobních údajů podle Podmínek. Smluvní strana tyto podklady poskytne bez zbytečného odkladu, nejpozději však do 10 pracovních dnů od obdržení žádosti o poskytnutí součinnosti druhé Smluvní straně.
Lidsky řečeno: Jak Vy tak my se zavazujeme k tomu, že budeme dodržovat předpisy týkající se ochrany Osobních údajů. Zároveň, pokud by došlo ke kontrole nebo úniku dat, jsme povinni si vyjít vzájemně vstříc a poslat si důležité podklady.
3.3 Incident
Smluvní strana oznámí druhé straně, že se dozvěděla o porušení zabezpečení do 48 hodin od chvíle, kdy se o porušení dozví. Porušením je třeba chápat jakýkoliv případ porušení zabezpečení Osobních údajů, které může potenciálně vést k náhodnému nebo protiprávnímu zničení, změně nebo neoprávněnému poskytnutí nebo zpřístupnění Osobních údajů, které jsou zpracovány na základě Smlouvy ve znění Podmínek.
Lidsky řečeno: Pokud by jak na naší či Vaší straně došlo k porušení zabezpečení osobních dat, jsme povinni se o tom navzájem co nejdříve informovat. Zákon tady dává mantinel 48 hodin.
4. Práva a povinnosti zpracovatele
4.1 Omezení přístupu
Zpracovatel zajistí, aby byl přístup k Osobním údajům omezen pouze na (a) zaměstnance, kteří zpracovávají Osobní údaje v rámci pracovní náplně, a dále (b) osoby, které spolupracují se Zpracovatelem a v rámci spolupráce pro něj mohou zpracovávat Osobní údaje, a to v souladu s podmínkami této Zpracovatelské smlouvy a za účelem poskytnutí Služeb na základě Smlouvy ve znění Podmínek. Pokud se na tyto osoby nevztahuje zákonná povinnost mlčenlivosti, Zpracovatel zajistí jejich smluvní mlčenlivost.
Lidsky řečeno: S Osobními údaji, které do aplikace nahrajete, přijdeme do kontaktu pouze minimálně. I přes to se zavazujeme všechny osoby, které mají nebo by mohli mít k údajům přístup, zavázat k dodržování pravidel ochrany osobních údajů a povinnosti mlčenlivosti.
4.2 Závazek Zpracovatele týkající se přijatých opatření
Zpracovatel přijal a zavazuje se udržovat po celou dobu trvání této Zpracovatelské smlouvy vhodná technická a organizační opatření dle nařízení GDPR, která se na Zpracovatele vztahují. Přehled přijatých opatření naleznete v Příloze B této Zpracovatelské smlouvy.
4.3 Závazek Zpracovatele
Zpracovatel se zavazuje:
- 4.3.1 při zpracování osobních údajů dodržovat veškeré povinnosti vyplývající pro zpracovatele Osobních údajů z relevantních právních předpisů;
- 4.3.2 zpracovávat Osobní údaje výlučně na základě pokynů Správce učiněných dle této Zpracovatelské smlouvy, včetně v otázkách předání Osobních údajů do třetí země nebo mezinárodní organizaci;
- 4.3.3 oznámit bez zbytečného odkladu Správci případy, kdy je ze strany kontrolního úřadu zahájena kontrola nebo jiné řízení ve vztahu ke zpracování Osobních údajů Zpracovatelem, a poskytnout Správci veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení;
- 4.3.4 být Správci nápomocen při zajišťování souladu s povinnostmi Správce týkajícími se zabezpečení Osobních údajů při zohlednění povahy zpracování, které má Zpracovatel provádět;
- 4.3.5 umožnit Správci konání interních auditů, včetně inspekcí, prováděných Správcem nebo jiným auditorem, kterého Správce pověřil (dále jen “audit”). Audit musí být Zpracovateli oznámený nejméně 1 měsíc dopředu. Zpracovatel může vznést námitky proti jakémukoliv auditorovi, který byl pověřen Správcem, pokud není nezávislý nebo je v soutěžním nebo obdobném postavení vůči Zpracovateli. Na základě Zpracovatelem vznesené námitky má Správce povinnost pověřit jiného auditora;
- 4.3.6 ohlásit Správci každé porušení zabezpečení Osobních údajů, o kterém se dozví, a to bez zbytečného odkladu, nejpozději do 48 hodin od chvíle, kdy se o porušení zabezpečení dozví;
- 4.3.7 vést evidenci veškerých porušení zabezpečení Osobních údajů a přijatých nápravných opatření k zajištění odpovídající úrovně zabezpečení zpracování. Zpracovatel je povinen poskytnout Správci veškerou potřebnou součinnost spojenou s šetřením porušení zabezpečení a plnění povinností Správce;
- 4.3.8 být Správci nápomocen při doložení procesů či dokumentů, které prokazují, že Správce dodržuje pravidla příslušné právní úpravy ochrany osobních údajů.
Lidsky řečeno: Zavazujeme se dodržovat vše, co vyžaduje zákon a být nápomocni v případě jakýchkoliv problémů.
4.4 Úhrada nákladů
Smluvní strany se dohodly, že Zpracovatel má vůči Správci nárok na náhradu přiměřených nákladů spojených s poskytnutím součinnosti.
4.5 Mlčenlivost Zpracovatele
Zpracovatel se zavazuje dodržovat povinnost mlčenlivosti o všech Osobních údajích předaných Správcem, a bude je udržovat v tajnosti, nezveřejní je, nezpřístupní třetí osobě, a to ani jako celek, ani jejich části, ledaže má dojít k jejich předání na základě pokynu Správce, nebo pokud tak předpokládá právní předpis.
4.6 Obchodní tajemství
Všechny informace a dokumenty, které Zpracovatel Správci zpřístupní v souvislosti s auditem nebo inspekcí, tvoří součást obchodního tajemství Zpracovatele, a není-li stanoveno jinak, podléhají požadavkům na zachování důvěrnosti podle této Zpracovatelské smlouvy. Tyto informace a dokumenty smí být zpřístupněny pouze oprávněnému dozorovému úřadu.
4.7 Zákonnost zpracování
Povinnosti Zpracovatele týkající se ochrany Osobních údajů se Zpracovatel zavazuje plnit po celou dobu účinnosti Smlouvy, pokud z ustanovení Smlouvy, této Zpracovatelské smlouvy nebo příslušných právních předpisů nevyplývá, že mají trvat i po zániku její účinnosti.
4.8 Zapojení zpracovatelé a zapojení nového zpracovatele
Správce uděluje Zpracovateli souhlas se zapojením dalších Zpracovatelů. Zpracovatel zapojil do zpracování Osobních údajů poskytovatele Amazon Web Services, Inc. (AWS), Digital Solutions, s.r.o. (DigiSign) a Microsoft Azure (Azure OpenAI Service). Pokud bude Zpracovatel zapojovat jiné zpracovatele, informuje o tom Správce před touto změnou prostřednictvím e-mailu nebo přímo v uživatelském rozhraní. V případě, že Správce nebude se zapojením nového zpracovatele souhlasit, může svůj souhlas odvolat a podat námitku, a to nejpozději do 5 dní od doručení oznámení Zpracovatele. Podání námitky, a tedy nezapojení nového (pod)zpracovatele, může mít za následek znemožnění užívání Služby.
Lidsky řečeno: Nezvládneme všechno zajistit sami, proto využíváme služby dalších subjektů (potřebujeme například místo pro ukládání dat). Pokud budeme navazovat novou spolupráci, která se bude nějakým způsobem týkat zpracování Vašich dat, dáme Vám dopředu vědět.
4.9 Povinnost Zpracovatele v případě ukončení spolupráce
Zpracovatel se zavazuje, že v případě ukončení poskytování Služeb vymaže veškeré Osobní údaje a na žádost Správce je v souladu s touto Smlouvou vrátí, včetně veškerých kopií, pokud právo EU nebo České republiky nevyžaduje jejich uložení.
4.10 Vrácení dat
Správce si před ukončením spolupráce může na své zařízení ze systému Zpracovatele vyexportovat svá data. Případně může Správce požádat Zpracovatele o zaslání zálohovaných dat dle Podmínek, a to nejpozději do 80 dnů od zrušení Instance. Po uplynutí této lhůty jsou data Správce nenávratně smazána.
Lidsky řečeno: Pokud se rozhodnete, že už naše služby nechcete využívat, můžete si svá data stáhnout sami a nebo se nám ozvat s žádostí o poskytnutí zálohy dat. Vaše data po 80 dnech od zrušení instance mažeme, takže se nemusíte bát, že by Vaše data byla na našich úložištích navždy.
5. Práva a povinnosti správce
5.1 Zákonnost
Správce je odpovědný za to, že všechny činnosti Zpracování jsou zákonné a že Osobní údaje zpracovává za konkrétním účelem a na základě zákonného titulu.
5.2 Opatření Správce
Správce nese odpovědnost za:
- 5.2.1 dodržování právních předpisů týkajících se ochrany Osobních údajů
- 5.2.2 posouzení, zda technická a organizační opatření odpovídají požadavkům zabezpečení Osobních údajů,
- 5.2.3 přijetí technických a organizačních opatření, která zajistí bezpečnost Osobních dat.
Lidsky řečeno: To, jak s daty nakládáte, je na Vaši odpovědnost. Doporučujeme Vám, abyste při používání služby přijali dostatečná opatření, aby nedošlo k úniku dat.
5.3 Pokyny
Údaje zpracováváme pouze na základě pokynů Správce, které jsou v souladu s Podmínkami. Pokud by pokyn Správce šel nad rámec Podmínek, provede Zpracovatel příslušnou činnost zpracování až na základě písemné dohody se Správcem.
Lidsky řečeno: Osobní údaje pro Vás zpracováváme pouze v rozsahu stanoveném Podmínkami. Pokud byste po nás požadovali něco navíc, musíme se na tom nejdříve domluvit.
6. Předávání osobních údajů do zahraničí
6.1 Standardní smluvní doložky
V souvislosti s poskytováním Služeb využíváme Subzpracovatele, kteří mohou sídlit i mimo území EEA. V takovém případě s každým takovým Subzpracovatelem uzavřeme standardní smluvní doložku, abychom zajistili příslušnou míru ochrany Osobních údajů v souladu s GDPR.
7. California Consumer Privacy Act
7.1 Působnost
Tato kapitola se uplatní v případě, že pro Vás Osobní údaje zpracováváme dle CCPA (vztahuje se na Vás působnost CCPA).
7.2 Závazek Zpracovatele
Zpracovatel se zavazuje zpracovávat Osobní údaje v souladu s CCPA, zejména se zavazuje:
- 7.2.1 neprodávat Osobní údaje,
- 7.2.2 neuchovávat, nepoužívat nebo nezveřejňovat Osobní údaje za jiným účelem než je poskytování Služeb,
- 7.2.3 neuchovávat, nepoužívat nebo nezveřejňovat Osobní údaje mimo zpracovatelský vztah mezi Správcem a Zpracovatelem.
7.3 Zpracování Osobních údajů
Zpracovatel Osobní údaje pro Správce zpracovává na základě uzavření Smlouvy a přijetí Podmínek.
7.4 Závazek Správce
Správce se zavazuje, že své zákazníky řádně informoval o tom, že jsou jejich údaje používány nebo sdíleny v souladu s příslušnými ustanoveními CCPA. Správce nese odpovědnost za dodržování požadavků CCPA.
8. Závěrečná ustanovení
8.1 Právní řád
Pro záležitosti zvláště neupravené v této Zpracovatelské smlouvě platí obecně závazné právní předpisy. Zpracovatelská smlouva se řídí a bude vykládána v souladu s právním řádem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů. Smluvní strany se dohodly, že obchodní zvyklosti nemají přednost před žádnými ustanoveními zákona, a to ani před ustanoveními zákona, jež nemají donucující účinky.
8.2 Soudní příslušnost
V případě, že vznikne mezi Správcem a Zpracovatelem spor z této Smlouvy, je k řešení tohoto sporu věcně příslušný soud pro obvod města Ostrava.
8.3 Vyšší moc
Zpracovatel nenese odpovědnost za situace, kdy nemohl splnit svou povinnost vyplývající ze Zpracovatelské smlouvy z důvodu události označované jako vyšší moc (válka, nepokoje, terorismus, spory, stávky, požáry, epidemie či přírodní katastrofy).
8.4 Komunikace Smluvních stran
Smluvní strany se dohodly, že jejich komunikace týkající se Zpracovatelské smlouvy bude probíhat prostřednictvím e-mailových adres:
- 8.4.1 Správce: e-mailová adresa, kterou se Správce registroval ke Službě nebo kterou si v rámci Služby nastavil jako primární e-mailovou adresu;
- 8.4.2 Zpracovatel: podpora@raynetcrm.sk, DPO (oznámení bezpečnostního incidentu): dpo@raynet.cz;
8.5 Zákaz postoupení
Žádná Smluvní strana nesmí jakkoli postoupit nebo převést práva a povinnosti vyplývající z této Zpracovatelské smlouvy nebo související s touto Zpracovatelskou smlouvou bez předchozího písemného souhlasu druhé Smluvní strany.
8.6 Aktualizace a změny
Zpracovatel si vyhrazuje právo tuto Zpracovatelskou smlouvu upravit nebo aktualizovat. Pokud provedeme změny, které mění práva a povinnosti ze Zpracovatelské smlouvy, budete o tom včas srozuměni prostřednictvím e-mailu, který Vám zašleme. Pokud budete využívat nadále Službu, souhlasíte s aktualizovaným zněním Zpracovatelské smlouvy. Pokud se změnami nebudete souhlasit, přestaňte prosím Službu využívat.
8.7 Účinnost
Tato Zpracovatelská smlouva je účinná v tomto znění od 2. 4. 2024.
8.8 Přílohy
Součástí Zpracovatelské smlouvy jsou tyto přílohy:
- Příloha A: Povaha, rozsah, trvání a účel zpracování Osobních údajů,
- Příloha B: Technická a organizační opatření.
Příloha A
KE SMLOUVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
POVAHA, ROZSAH, TRVÁNÍ A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Povaha zpracování. Osobní údaje jsou zpracovávány automatizovaně prostřednictvím systémů Zpracovatele používaných Zpracovatelem pro poskytování Služby.
Účel. Účelem zpracování je umožnit Správci využívání Služby (plnění Smlouvy).
Právní důvod zpracování. Právním důvodem pro zpracování Osobních údajů v rámci poskytování Služby je plnění Smlouvy (ve znění Podmínek).
Rozsah zpracování: V závislosti na tom, jak Správce využívá Službu, mohou být v souvislosti s poskytováním Služby zpracovávány zejména tyto Osobní údaje:
- Kontaktní údaje: Jméno, příjmení, e-mail, telefonní číslo, adresa, IČO, sídlo, číslo bankovního účtu;
- Případně další Osobní údaje, zpracovávané výhradně na pokyn Správce.
Zvláštní kategorie Osobních údajů. Správce se zavazuje, že Zpracovateli nezpřístupní žádné Osobní údaje, které spadají do zvláštní kategorie Osobních údajů ve smyslu článku 9 GDPR. Zvláštní kategorie Osobních údajů mohou být zpracovány pouze po výslovné předchozí dohodě se Zpracovatelem.
Co jsou zvláštní kategorie Osobních údajů? Jsou to takové Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, pokud jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.
Subjekt údajů. Zpravidla se jedná o Osobní údaje zákazníků nebo klientů Správce, zaměstnanců Správce a jiných spolupracujících osob včetně dodavatelů, uživatelů webových stránek Správce, obchodních partnerů nebo jejich zaměstnanců či zástupců.
Doba zpracování. Osobní údaje jsou zpracovávány po dobu, po kterou jsou Smluvní strany vázány Smlouvou ve znění Podmínek, ledaže dohoda Smluvních stran nebo právní předpis nestanoví dobu delší.
Příloha B
KE SMLOUVĚ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ
Technická a organizační opatření. Bezpečnost je pro nás velmi důležitá, a proto soustavně pracujeme na tom, aby byly Vaše Osobní údaje chráněny. Při volbě opatření bereme v úvahu rozsah zpracování, rizikovost zpracování nebo stav naší techniky.
Technická opatření. Přijali jsme a zavazujeme se dodržovat následující opatření:
- HTTPS. Používáme zabezpečený https protokol. Šifrujeme data pomocí SSL/TLS („secure sockets layer / transport layer security“) pro veškeré předávání údajů.
- Zálohování. Každý den provádíme kompletní zálohu veškerých dat a souborů.
- Datové centrum. RAYNET Cloud CRM zabezpečuje jedna z největších a nejmodernějších IT infrastruktur na světě: Amazon Web Services (AWS). Datacentra AWS představují světovou špičku v oblasti fyzického i softwarového zabezpečení, umožňující odolat i kritickým situacím jako jsou živelné pohromy, masivní hackerské útoky nebo energetické havárie. Samozřejmostí jsou pravidelné zátěžové a penetrační testy.
- Pojištění dat. V oblasti ochrany dat jdeme dále, než je běžné u největších poskytovatelů ICT služeb. Všechna data, evidovaná ve Službě, jsou pojištěna proti poškození, krádeži nebo úniku.
- Monitoring a minimalizace. Přístupová hesla do informačních systémů (kde budou Osobní údaje zpracovány) a přístupy k Osobním údajům jsou kontrolovaná na úrovni jednotlivců. Všechny přístupy k datům monitorujeme.
- Zabezpečení přístupu. Kde je to možné, je přístup do systémů umožněn za využití dvoufaktorového ověření (2FA). Přístup do infrastruktury Služby je umožněn pouze z privátní sítě (VPN) skrze hardwarový bezpečnostní klíč, který je unikátně spárován s dedikovanými zařízeními.
- Aktualizace. Pravidelně provádíme aktualizace infrastruktury.
- Zabezpečení na úrovni aplikace. Vstup do Aplikace je chráněn unikátním uživatelským jménem a heslem. Sílu hesla a četnost jeho modifikace lze nakonfigurovat v administraci systému. Volitelně lze zapnout dvoufaktorový režim autentifikace. Díky povaze Aplikace lze snadno definovat oprávnění pro přístup k datům.
- Další opatření. Provádíme další interní hardwarová, softwarová a procesní opatření zvyšující bezpečnost dat.
Organizační opatření. Přijali jsme a zavazujeme se jako Zpracovatel vašich dat dodržovat následující opatření:
- Mlčenlivost. Naši zaměstnanci jsou zavázáni mlčenlivostí.
- Školení zaměstnanců. Naši zaměstnanci jsou řádně proškoleni a také dále pravidelně školeni ohledně ochrany Osobních údajů a seznámeni s pravidly bezpečné práce na pracovních zařízeních.
- Logování Zpracování Osobních údajů. Používáme systémy, které umožní jednoznačně identifikovat, které osoby k jednotlivým Osobním údajům přistoupili. Kdy a jak byly jednotlivé Osobní údaje změněny a nebo kdy a kým byly jednotlivé Osobní údaje smazány, a to i zpětně po dobu 30 dnů.
- Řízení přístupů k Osobním údajům. Zavazujeme se přijmout taková opatření, která zabezpečí, že k Osobním údajům budou moci přistupovat pouze oprávnění uživatelé a tito uživatelé budou mít přístup pouze k okruhu Osobních údajů v jejich kompetenci, pokud je to možné s ohledem na povahu zpracování Osobních údajů.
- Safe store. Hesla v provozním prostředí uchováváme na odděleném místě (Safe store), do nějž jsou evidovány logy, abychom mohli kontrolovat přístup zaměstnanců k jednotlivým Osobním údajům Uživatelů.
- Silná hesla. Veškerá naše hesla jsou v dostatečné délce a formátu, aby bylo maximálně zabráněno jejich prolomení. Zadání těchto hesel neprobíhá manuálně, ale prostřednictvím Safe store.
- Pseudonymizace Osobních údajů. Zavazujeme se zpracovávat Osobní údaje takovým způsobem, že dále nebudou moci být přiřazeny konkrétnímu subjektu Osobních údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně.
- Kontrola přenosu Osobních údajů. Přijali jsme taková opatření, která zabezpečí, že Osobní údaje nebudou moci být čteny, kopírovány, pozměňovány či mazány v průběhu jejich přenosu, přepravy či skladování.
- Vnitřní audit. Pravidelně vyhodnocujeme, jak můžeme minimalizovat zpracování Osobních údajů a jaká přijmout vhodná opatření.