Posouzení zpracování osobních údajů a přijetí záruk, opatření a mechanismů, 2021-02-04

Zásady ochrany osobních údajů

Provozovatel:

Obchodní jméno:           GOMMER s.r.o
Adresa:                             Mierová 1449/67, 924 01 Galanta, SR
IČO:                                   52186351
Právní forma:                  spol. s.r.o
Zapsán:                            Trnava, odd. Sro, vl. 43753 / T
Kontaktní údaje:            e-mail: gommer@gommer.sk
tel .:                                   00421948114666

dne 10.01.2021                                                          Schválil: PhDr. Csaba Losonszkí

 

Obsah

Preambula

Zkratky, pojmy a jejich výklad

1. Provozovatel

1.1 Seznam informačních systémů
1.2 Seznam osobních údajů
1.3 Stupeň bezpečnosti osobních údajů podle bezpečnostních standardů

2. Zpracovatelské operace

2.1 Seznam plánovaných zpracovatelských operací a jejich systematický popis

3. Účel zpracování osobních údajů

3.1 Posouzení nutnosti a přiměřenosti zpracovatelských operací ve vztahu k účelu

4. Posouzení splnění základních zásad

5. Posouzení rizika pro práva dotčené osoby

5.1 Práva dotčené osoby
5.2 Uplatnění práv dotčené osoby
5.3 Rizika pro práva dotčené osoby

6. Opatření provozovatele

6.1 Základní bezpečnostní cíle a minimální požadované bezpečnostní opatření
6.2 Opatření na eliminaci rizik, včetně záruk, bezpečnostních opatření a mechanismů zabezpečení ochrany osobních údaj osobných údajů
6.3 Opatření k prokázání souladu se zákonem č. 18/2018 Sb. o ochraně osobních údajů a o změně některých zákonů s přihlédnutím na práva a oprávněné zájmy dotčené a dalších fyzických osob, kterých se to týká

7. Závěrečná ustanovenia

 

Preambule

Na základě tohoto dokumentu, provozovatel provádí posouzení zpracovávání osobních údajů a jeho soulad se zákonem č. 18/2018 Sb. o ochraně osobních údajů a o změně některých zákonů a Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob při zpracovávání osobních údajů a o volném pohybu těchto údajů, kterým se zrušuje směrnice 95/46 / ES – zejména v souladu s čl. 25, 35 a 46 nařízení GDPR.

Výsledkem tohoto posouzení jsou přijaty záruky, bezpečnostní (technické, organizační a personální) opatření a mechanismy pro zajištění ochrany osobních údajů dotčených osob.

Na základě tohoto dokumentu provádíme i posouzení dopadů plánovaných zpracovatelských operací provozovatele na ochranu osobních údajů. Provozovatel před zahájením zpracování osobních údajů tedy provádí posouzení dopadů na ochranu údajů, aby posoudil zvláštní pravděpodobnost a závažnost vysokého rizika, přičemž zohlední povahu, rozsah, kontext a účely zpracování a zdroje rizika.

Podle důvodové zprávy k zákonu č. 18/2018 CFU o ochraně osobních údajů a o změně některých zákonů (dále též jako “zákon o ochraně osobních údajů”), provozovatel při posouzení dopadů na ochranu osobních údajů při vybraných v zákoně určených zpracovatelských operacích, které pravděpodobně povedou k vysokému riziku

a) posoudí vliv na ochranu osobních údajů ještě před samotnou konkrétní zpracovatelskou operací, a
to například
zmapuje cyklus toku osobních údajů, prostředí, ve kterém dochází ke zpracovávání, časové
rozhraní, podmínky zpracování, posoudí rozsah, množství osobních údajů, účel jejich zpracování,
včetně případného oprávněného zájmu, který sleduje,
ii. posoudí nutnost a přiměřenost zpracovatelských operaci ve vztahu k účelu,
iii. zhodnotí zdroj, povahu, osobitost a závažnost tohoto vysokého rizika pro práva dotčených
osob,
iv. posoudí jaké jsou bezpečnostní, personální / organizační a technické prostředky nebo opatření,
záruky a mechanismy pro zajištění ochrany osobních údajů a na prokázání shody se zákonem,
zejména při zohlednění práv a oprávněných zájmů dotčených osob a jiných osob, kterých se
zpracovatelská operace týká,
b) zajistí posouzení dopadu na ochranu osobních údajů i během zpracovávání těchto osobních údajů
například formou auditu ochrany osobních údajů nebo kontroly odpovědné osoby nebo
penetračními testy při zpracovatelských operacích,
c) přijme vhodná a účinná bezpečnostní opatření ke zmírnění vysokého rizika.

Pokud bude výsledkem tohoto posouzení dopadů zhodnocení, že nelze přijmout takové účinné a přiměřené opatření, která by zmírnila vysoké riziko (s ohledem na nejnovější technologie a náklady na provedení těchto opatření) vzniká provozovateli povinnost předchozí konzultace s úřadem.

Posouzení dopadů lze v kontextu bezpečnostních opatření přirovnat k posouzení zpracovatelských
činností, které podle předchozí právní úpravy, podléhaly povinnosti zdokumentovat přijata vhodná
bezpečnostní opatření v bezpečnostním projektu. Pokud tedy provozovatel podle předchozí právní
úpravy má přijaté a zdokumentované bezpečnostní opatření nebo bezpečnostní projekt, může tyto

v kontextu prováděných zpracovatelských operací přehodnotit ve smyslu nových povinností podle tohto zákona a zejména v kontextu jako jím zjištěná rizika mohou mít dopad na zpracovávané osobní údaje dotčené osoby a na případnou škodu, která by dotčené osobě porušením integrity jejích osobních údajů vznikla. V případě, že takový bezpečnostní projekt podle předchozí právní úpravy je souladný s tímto zákonem v některých částech, lze tyto použít k prokázání provedeného posouzení dopadů podle tohto zákona přiměřeně.

Podle § 42 odst. 4 zákona o ochraně osobních údajů, posouzení dopadů na ochranu osobních údajů obsahuje zejména

a) systematický popis plánovaných zpracovatelských operací a účel zpracování osobních údajů včetně
uvedení případného oprávněného zájmu, který sleduje provozovatel,
b) posouzení nutnosti a přiměřenosti zpracovatelských operací ve vztahu k účelu,
c) posouzení rizika pro práva dotyčné osoby a
d) opatření k eliminaci rizik včetně záruk, bezpečnostních opatření a mechanismů pro zajištění
ochrany osobních údajů a k prokázání souladu s tímto zákonem s přihlédnutím na práva a
oprávněné zájmy dotčené osoby a dalších fyzických osob, kterých se to týká.

Zkratky, pojmy a jejich výklad

PC                                              Pracovní stanice

LAN                                           Local Area Network (vnitřní síť výpočetní techniky)

Provozovatel                           GOMMER s.r.o, místo podnikání: Mierová 1449/67, 924 01 Galanta, IČO:
52186351

IS                                               Informačním systémem jakýkoli uspořádaný soubor osobních údajů které
jsou přístupné podle určených kritérií, bez ohledu na to, zda jde o systém
centralizovaný, decentralizovaný nebo distribuován na funkčním základě
nebo geografickém základě.

Nařízení GDPR                        Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna
2016 o ochraně fyzických osob při zpracovávání osobních údajů a
o volném pohybu těchto údajů, kterým se zrušuje směrnice 95/46 / ES

Zákon č. 18 / 2018Z.z.            Zákon č. 18/2018 CFU o ochraně osobních údajů a o změně některých
zákonů

Osobní údaje                          Osobními údaji jsou údaje o identifikované fyzické osoby nebo
identifikovatelné fyzické osoby, kterou lze identifikovat přímo nebo
nepřímo, zejména na základě obecně použitelného identifikátoru, jiného
identifikátoru, jako je například jméno, příjmení, identifikační číslo,
lokalizační údaje, nebo online identifikátor, nebo na základě jedné nebo
více charakteristik nebo znaků, které tvoří její fyzickou identitu,
fyziologickou identitu, genetickou identitu, psychickou identitu, mentální
identitu, ekonomickou identitu, kulturní identitu nebo sociální identity.

Zpracování osobních údajů   Zpracováním osobních údajů je zušlechťovací operace nebo soubor
zpracovatelských operací s osobními údaji nebo se soubory osobních
údajů, zejména získávání, zaznamenávání, uspořádávání, strukturování,
uchovávání, změna, vyhledávání, nahlížení, používání, poskytování
přenosem, šířením nebo jiným způsobem, přeskupování nebo
kombinování, omezení, vymazání, bez ohledu na to, zda se provádí
automatizovanými prostředky nebo neautomatickými prostředky.

Odpovědná osoba                    Odpovědnou osobou je osoba určená provozovatelem nebo
zprostředkovatelem, která plní úkoly podle zákona č. 18/2018 CFU

Souhlas dotčené osoby           Souhlasem dotčené osoby je jakýkoliv vážný a svobodný, konkrétní,
informovaný a jednoznačný projev vůle dotčené osoby ve formě
prohlášení nebo jednoznačného potvrzujícího úkonu, kterým dotyčná
osoba vyjadřuje souhlas se zpracováním svých osobních údajů.

Profilování                                  Profilovaný je jakákoli forma automatizovaného zpracování osobních
údajů spočívajícího v použití osobních údajů k vyhodnocení určitých
osobních znaků nebo charakteristik týkajících se fyzické osoby, zejména
na analýzu nebo předvídání znaků nebo charakteristik dotčené osoby
souvisejících s jejím výkonností v práci, majetkovými poměry, zdravím,
osobními preferencemi, zájmy, spolehlivostí, chováním, polohou
nebo pohybem.

Pseudonimizácia                       Pseudonymizáciou je zpracovávání osobních údajů způsobem, že jejich
není možné přiřadit ke konkrétní dotčené osobě bez použití
dodatečných informací, pokud se takové dodatečné informace
uchovávají odděleně a vztahují se na ně technická a organizační
opatření k zajištění toho, aby osobní údaje nebylo možné přiřadit
identifikované fyzické osobě nebo identifikovatelné fyzické osobě.

Šifrování                                     Šifrování je transformace osobních údajů způsobem, kterým opětovné
zpracování je možné pouze po zadání zvoleného parametru, jako je klíč
nebo heslo.

Porušení ochrany OÚ              Porušením ochrany osobních údajů je porušení bezpečnosti, které vede
k náhodnému nebo nedovolenému zničení, ztrátě, změně nebo k
neoprávněnému poskytnutí přenášených, uchovávaných osobních údajů
nebo jinak zpracovávaných osobních údajů nebo k neoprávněnému
přístupu k nim.

Dotyčná osoba                         Dotčenou osobou je každá fyzická osoba, jejíž osobní údaje se
zpracovávají.

Provozovatel                            Provozovatelem je každý, kdo sám nebo společně s jinými vymezí účel a
prostředky zpracování osobních údajů a zpracovává osobní údaje ve
vlastním jménem; provozovatel nebo konkrétní požadavky na jeho
určení mohou být stanoveny ve zvláštním předpise nebo mezinárodní
smlouvě, kterou je Slovenská republika vázána, pokud takový předpis
nebo tato smlouva stanoví účel a prostředky zpracování osobních údajů.

Zprostředkovatel                    Zprostředkovatelem je každý, kdo zpracovává osobní údaje jménem
provozovatele.

Příjemce                                   Příjemcem je každý, komu se osobní údaje poskytnou bez ohledu na to,
zda je třetí stranou; za příjemce se nepovažuje orgán veřejné moci, který
zpracovává osobní údaje na základě zvláštního předpisu nebo
mezinárodní smlouvy, kterou je Slovenská republika vázána, v souladu s
pravidly ochrany osobních údajů vztahujícími se na daný účel zpracování
osobních údajů.

Třetí strana                              Třetí stranou je každý, kdo není dotčenou osobou, provozovatel,
zprostředkovatel nebo jinou fyzickou osobou, která na základě pověření
správce nebo zpracovatele zpracovává osobní údaje.

 

1. Provozovatel

Provozovatel se v rámci své podnikatelské činnosti zabývá koupí zboží za účelem jeho prodeje konečnému spotřebiteli (maloobchod) nespecializovaných (velkoobchod), a to prodejem tříkolových kol.

Osobní údaje zákazníků provozovatele se nacházejí v listinné podobě v sedmipatrové budově na třetím patře v třípokojovém bytě, který je zajištěn bezpečnostními dveřmi.

1.1  Seznam informačních systémů

Provozovatel klasifikoval zpracovávané osobní údaje do následujících informačních systémů:

a)

      název informačního systému                                       zkratka používaná pro účely tohoto posouzení

Informační systém Účetní doklady                                                                     IS ÚD

b)

 název informačního systému                                       zkratka používaná pro účely tohoto posouzení

Informační systém Zákazníci                                                                          IS Zákazníci

1.2  Seznam osobních údajů

Provozovatel zpracovává následující osobní údaje:

  1. a) v IS ÚD:
    – jméno
    – příjmení
    – adresa
    – číslo účtu
    – další osobní údaje vyžadované zvláštními zákony na plnění povinností z pracovněprávních vztahů a
    ze smluvních vztahů uzavřených se zákazníky
  2. b) v IS Zákazníci:
    – jméno, příjmení
    – adresa
    – telefonní číslo
    – emailová adresa
    – další osobní údaje vyžadované zvláštními zákony na plnění povinností vyplývajících ze smluvních
    vztahů se zákazníky.

1.3  Stupeň bezpečnosti osobních údajů podle bezpečnostních standardů

Informační systémy provozovatele patří z hlediska rozsahu, možností narušení, počtu osob, které s nimi přicházejí do kontaktu, mezi málo ohroženy. Posouzení dopadů bylo provedeno s přihlédnutím a akceptováním následujících zákonů, pokynů, vyhlášek a norem:

➢ Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně
fyzických osob při zpracovávání osobních údajů a o volném pohybu těchto údajů ao
zrušení směrnice 95/46 / ES

➢ Zákon č. 18/2018 CFU o ochraně osobních údajů a o změně některých zákonů

➢ Stanoviska a usměrní Pracovní skupiny WP29 nařízení GDPR

2. Zpracovatelské operace

Zušlechťovací operace

Vycházeje z § 5 písm. e) zákona o ochraně osobních údajů se zpracovatelskou operací s osobními údaji rozumí zejména získávání, zaznamenávání, uspořádávání, strukturování, uchovávání, změna, vyhledávání, nahlížení, používání, poskytování přenosem, šířením nebo jiným způsobem, přeskupování nebo kombinování, omezení, vymazání, bez ohledu na to, zda se provádí automatizovanými prostředky nebo neautomatickými prostředky.

2.1 Seznam plánovaných zpracovatelských operací a jejich systematický popis

Systematický popis zpracování osobních údajů zákazníků

Osobní údaje zákazníků provozovatel získává zejména prostřednictvím formuláře nacházejícího se na

webové stránce https://www.gommer.sk/ nebo telefonicky, když zákazníci své osobní údaje nadiktují.

Po objednávce zboží ze strany zákazníka se nejprve ověřuje dostupnost zboží a obratem ještě v daný den se objednávka potvrzuje a kontaktuje se zákazník. Zboží se expeduje nejpozději do 3 dnů od obdržení objednávky.

Provozovatel zpracovává osobní údaje v listinné podobě i elektronicky.

Provozovatel provádí následující zpracovatelské operace s tímto popisem:

a) získávání osobních údajů

IS Zákazníci a IS ÚD

Provozovatel získává osobní údaje zákazníků prostřednictvím elektronického formuláře nebo

telefonicky, a to za účelem uzavření smlouvy a splnění zákonných povinností.

Provozovatel získává osobní údaje za účelem identifikace pro účely zákona č. 297/2008 Sb. o ochraně

proti legalizaci výnosů z trestné činnosti a o ochraně před financováním terorismu a o změně

některých zákonů.

b) uchovávání osobních údajů

Osobní údaje zákazníků jsou po zaevidování uchovávány v prostorách provozovatele.

c) poskytování osobních údajů

Provozovatel poskytuje osobní údaje státním institucím ve smyslu zvláštních předpisů. Pokud provozovatel poskytuje osobní údaje třetím stranám (§ 5 písm. r / zákona č. 18/2018 CFU) nebo příjemcem (§ 5 písm. Q / zákona č. 18/2018 CFU), za každých okolností provede opatření, aby prověřil bezpečnost zpracovávaných osobních údajů, zejména provede opatření, aby třetí strana a příjemce prokázaly, že jejich zpracovávání osobních údajů se provádí v souladu s tímto zákonem; až po takovémto prokázání umožní přístup k osobním údajům.

d) vymazání osobních údajů

Osobní údaje zákazníků jsou zlikvidovány hned po tom, jak pominul jejich účel; další uchovávání je možné pouze na základě zvláštních zákonů.

3. Účel zpracování osobních údajů

Účel zpracování osobních údajů
Podle důvodové zprávy k zákonu o ochraně osobních údajů je účel základním omezujícím faktorem zejména ve vztahu k seznamu nebo rozsahu zpracovávaných osobních údajů a ve vztahu k době zpracovávání, jakož i uchovávání zpracovávaných osobních údajů. Účel má být vymezen dostatečně jasně a určitě, aby z něj bylo jasné, jaké zpracovatelské operace na základě něj budou a nebudou probíhat, nebo jaké zpracovatelské operace dotčená osoba může očekávat, že s její osobními údaji na základě jeho vymezení mohou probíhat.

Zpracovávat osobní údaje k jinému účelu, než pro který byly získány je zakázáno, ledaže by tento jiný účel úzce souvisel s původním účelem zpracování, byl s ním slučitelný. Zpracování osobních údajů získaných na stanovený účel nevylučuje, aby takto získané osobní údaje nemohly být zpracovávány na tzv. privilegované účely, a to účely archivace, pro účely vědeckého nebo historického výzkumu a pro statistické účely v souladu s tímto zákonem a ve vztahu k přiměřeným zárukám pro práva dotčené osoby. Tyto záruky obsahují zavedení přiměřených a účinných technických a organizačních opatření zejména s cílem zajistit dodržování zásady minimalizace údajů, pseudonymizácie, pokud se tímto opatřením mohou dosáhnout uvedené účely. Další zpracování pro účely archivace, pro účely vědeckého či historického výzkumu nebo statistické účely se považuje za slučitelné se zákonnými zpracovatelskými operacemi.

Účelem zpracování osobních údajů provozovatelem v jednotlivých informačních systémech je:

IS ÚD
– zpracování účetních dokladů včetně plnění zákonných povinností podle zvláštních předpisů z toho
vyplývajících

IS Zákazníci

– uzavření kupní smlouvy nebo jakékoli jiné obchodní smlouvy, předsmluvní vztahy a identifikace pro
účely zákona č. 297/2008 Sb. o opatřeních proti legalizaci výnosů z trestné činnosti a o ochraně před
financováním terorismu a o změně některých zákonů.

3.1  Posouzení nutnosti a přiměřenosti zpracovatelských operací ve vztahu k účelu

Provozovatel provedl posouzení nutnosti a přiměřenosti zpracovatelské operace ve vztahu k účelu:

a) získávání osobních údajů

Provozovatel zpracovává osobní údaje dotčené osoby jen v nezbytném rozsahu, aby mohl uzavřít a plnit práva a povinnosti ze smluv uzavřených se zákazníky. Všechny osobní údaje jsou pro plnění smlouvy nezbytné.

Účelem získávání osobních údajů je uzavření smlouvy.

Zušlechťovací operace “získávání osobních údajů” je tedy ve vztahu k účelu nutná a přiměřená.

b) uchovávání osobních údajů

Provozovatel uchovává osobní údaje dotyčné osoby pouze během nezbytné doby, a to v zabezpečených prostorách provozovatele, v zařízeních výpočetní techniky a v listinné podobě v samostatné uzamykatelné skříni, do které má přístup provozovatel.

Účelem uchovávání osobních údajů je plnění smlouvy, umožnění vstupu do prostor provozovatele a odhalování kriminality.

Zušlechťovací operace “uchovávání osobních údajů” je tedy ve vztahu k účelu nutná a přiměřená.

c) poskytování osobních údajů

Provozovatel poskytuje osobní údaje příjemcům resp. třetím stranám pouze na základě smlouvy nebo zvláštního zákona.

Účelem poskytování osobních údajů je plnění smlouvy a splnění povinností podle zvláštního zákona.

Zušlechťovací operace “poskytování osobních údajů” je tedy ve vztahu k účelu nutná a přiměřená.

d) vymazání osobních údajů

Osobní údaje zákazníků jsou vymazány ihned po tom jak pominul jejich účel; další uchovávání je možné jen na základě zvláštních zákonů.

Účelem vymazání osobních údajů je splnění zákonné povinnosti podle zákona č. 18/2018 Z.z ..

Zušlechťovací operace “vymazání osobních údajů” je tedy ve vztahu k účelu nutná a přiměřená.

4. Posouzení splnění základních zásad

Podle § 6 až § 12 zákona o ochraně osobních údajů, mezi základní zásady patří:

I. Zásada zákonnosti

Osobní údaje lze zpracovávat pouze zákonným způsobem a tak, aby nedošlo k porušení základních práv dotčené osoby.

II. Zásada omezení účelu

Osobní údaje se mohou získávat pouze na konkrétní určený, vymezený a oprávněný účel a nesmějí se dále zpracovávány způsobem, který není slučitelný s tímto účelem; další zpracovávání osobních údajů na účel archivace, na vědecký účel, na účel historického výzkumu nebo na statistický účel, pokud je v souladu se zvláštním předpisem a pokud jsou dodrženy přiměřené záruky ochrany práv dotčené osoby podle § 78 odst. 8, se nepovažuje za neslučitelné s původním účelem.

III. Zásada minimalizace osobních údajů

Zpracovávané osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah daný účelem, na který se zpracovávají.

IV. Zásada správnosti

Zpracovávané osobní údaje musí být správně a podle potřeby aktualizována; musí být přijata přiměřená a účinná opatření k zajištění toho, aby osobní údaje, které jsou nesprávné z hlediska účelů, na které se zpracovávají, bez zbytečného odkladu vymazali nebo opravili.

V. Zásada minimalizace uchovávání

Osobní údaje musí být uchovávány ve formě, která umožňuje identifikaci dotyčné osoby nejpozději, dokud je to nutné pro účel, pro který jsou osobní údaje zpracovávány; osobní údaje mohou být uchovávány déle, pokud mají být zpracovávány výhradně pro účely archivace, na vědecký účel, na účel historického výzkumu nebo na statistický účel na základě zvláštního předpisu, a pokud jsou dodrženy přiměřené záruky ochrany práv dotčené osoby podle § 78 odst. 8.

VI. Zásada integrity a důvěrnosti

  1. Osobní údaje musí být zpracovávány způsobem, který prostřednictvím vhodných technických a organizačních opatření zaručuje dostatečnou bezpečnost osobních údajů, včetně ochrany před neoprávněným zpracováváním osobních údajů, nezákonným zpracováním osobních údajů, náhodnou ztrátou osobních údajů, výmazem osobních údajů nebo poškozením osobních údajů.

VII. zásada odpovědnosti

Provozovatel je zodpovědný za dodržování základních zásad zpracování osobních údajů, za soulad zpracování osobních údajů se zásadami zpracování osobních údajů a je povinen tento soulad se zásadami zpracování osobních údajů na požádání úřadu prokázat.
Předmětem přezkoumání a posouzení zásad jsou níže uvedené osobní údaje seskupeny v informačních systémech. Rozsah osobních údajů posuzujeme ve smyslu všech zásad podle § 6 až § 12 zákona o ochraně osobních údajů.

Provozovatel zpracovává tyto osobní údaje:

a) v IS ÚD:
– jméno
– příjmení
– adresa
– číslo účtu
– další osobní údaje vyžadované zvláštními zákony na plnění povinností z pracovněprávních vztahů a
ze smluvních vztahů uzavřených se zákazníky

b) v IS Zákazníci:
– jméno, příjmení
– adresa
– telefonní číslo
– emailová adresa
– další osobní údaje vyžadované zvláštními zákony na plnění povinností vyplývajících ze smluvních
vztahů se zákazníky.

Provozovatel posoudil základní zásady ve vztahu k osobním údajům a účelem následovně:

 

I. Zásada zákonnosti

Provozovatel respektuje a dodržuje zásadu zákonnosti.

Každé zpracování osobních údajů provozovatelem je zákonné, založené na legálním právním základě podle § 13 zákona o ochraně osobních údajů. Zpracování provozovatelem není protiprávní, ani neprobíhá na nelegálním právním základě a samotný účel zpracování není nelegitimní.

Právním základem zpracování osobních údajů seskupených v níže uvedených informačních systémech je:

IS ÚD:

– § 13 ods. 1 písm. c) zákona o ochraně osobních údajů: zpracování osobních údajů je nezbytné podle zvláštního předpisu; zvláštními předpisy jsou zejména
zákon č. 431/2002 Sb. o účetnictví ve znění pozdějších předpisů
zákon č. 222/2004 Sb. o dani z přidané hodnoty, ve znění pozdějších předpisů
zákon o dani z příjmů č. 595/2003 Sb. ve znění pozdějších předpisů
zákon č. 145/1995 Sb. o správních poplatcích, ve znění pozdějších předpisů
zákon č. 40/1964 Sb. Občanský zákoník, ve znění pozdějších předpisů
zákon č. 513/1991 Sb. Obchodní zákoník ve znění pozdějších předpisů

IS Zákazníci:

– § 13 odst. 1 písm. b) zákona o ochraně osobních údajů: zpracování osobních údajů je nezbytné pro
plnění smlouvy, jejíž stranou je dotyčná osoba, nebo k provedení opatření před uzavřením smlouvy
na základě žádosti dotčené osoby – provozovatel uzavírá s dotyčnými osobami smlouvu.

– § 13 odst. 1 písm. c) zákona o ochraně osobních údajů: zpracování osobních údajů je nezbytné podle
zvláštních předpisů.

II. Zásada omezení účelu

Provozovatel respektuje a dodržuje zásadu omezení účelu. Provozovatel získává osobní údaje pouze na konkrétní určený, vymezený a oprávněný účel. Účelem zpracování osobních údajů je:

IS ÚD
– zpracování účetních dokladů včetně plnění zákonných povinností podle zvláštních předpisů z toho
vyplývajících,

IS Zákazníci
– uzavření smlouvy nebo jiné obchodní smlouvy, předsmluvní vztahy a plnění zákonných povinností.

III. Zásada minimalizace osobních údajů

Provozovatel respektuje a dodržuje zásadu minimalizace osobních údajů. Provozovatel zpracovává jen přiměřené a relevantní osobní údaje v nezbytném rozsahu na účel, na který se zpracovávají.

IS ÚD

– provozovatel zpracovává jen ty osobní údaje, které jsou nezbytné ke splnění povinností vyplývajících
z zvláštních předpisů, a to zejména
– jméno
– příjmení
– adresa
– další osobní údaje vyžadované zvláštními zákony na plnění povinností z pracovněprávních vztahů a ze smluvních vztahů uzavřených se zákazníky

IS Zákazníci
– jméno, příjmení
– adresa
– telefonní číslo
– emailová adresa
– další osobní údaje vyžadované zvláštními zákony na plnění povinností vyplývajících ze smluvních
vztahů se zákazníky.
– provozovatel zpracovává jen ty osobní údaje, které jsou nezbytné pro uzavření smlouvy, na jednání
o předsmluvních vztazích a identifikace pro účely zákona č. 297/2008 Sb. o ochraně před legalizací
výnosů z trestné činnosti a o ochraně před financováním terorismu a o změně některých zákonů

Jméno a příjmení – na identifikaci kupujícího / obchodního partnera ve smluvních vztazích

Adresa – k identifikaci smluvního partnera, na doručení zboží, které je předmětem smlouvy

Telefonní číslo – pro účely komunikace při předsmluvních a smluvních vztahů se smluvním partnerem,

Emailová adresa – pro účely komunikace při předsmluvních a smluvních vztahů se smluvním partnerem,

IV. Zásada správnosti

Provozovatel respektuje a dodržuje zásadu správnosti. Zpracovávané osobní údaje jsou správné a na základě žádosti dotyčné osoby i aktualizované. Provozovatel se zavázal, že pokud nesprávný osobní údaj odhalí, má povinnost jej opravit, pokud je to možné, pokud ne, má povinnost ho zlikvidovat. V případě pokud dotyčná osoba kontaktuje provozovatele a požaduje opravu nesprávného osobního údaje nebo jeho likvidaci podle zákona, pokud se nesprávnost údaje potvrdí, provozovatel požadavku dotčené osoby na opravu neprodleně vyhoví. Provozovatel zpracovávané osobní údaje pravidelně kontroluje a aktualizuje (1x za 12 kalendářních měsíců ve smyslu bezpečnostního opatření č. 9 s názvem “Způsob, forma a periodicita výkonu kontrolních činností zaměřených na dodržování bezpečnostních opatření “), a to i po obsahové stránce, nejen gramatické. Provozovatel prověřuje správnost osobních údajů i v případě, že dotyčná osoba sama poskytne provozovateli nesprávné osobní údaje.

V. Zásada minimalizace uchovávání

Provozovatel respektuje a dodržuje zásadu minimalizace uchovávání. Osobní údaje uchovává ve formě, která umožňuje identifikaci dotyčné osoby nejpozději, dokud je to nutné pro účel, na který se osobní údaje zpracovávají; nejpozději však po dobu stanovenou zvláštním zákonem výhradně pro účely archivace. Provozovatel uchovává osobní údaje v listinné podobě a v počítačích nacházejících se v sídle provozovatele, a to v samostatné místnosti provozovatele. Mimo sídla provozovatel osobní údaje nezpracovává.

Provozovatel uchovává osobně údaje následovně:

IS ÚD
– provozovatel uchovává osobní údaje v tomto informačním systému po dobu trvání obchodního
vztahu a to k dosažení sledovaného účelu zpracování. Provozovatel zlikviduje osobní údaje z tohto
informačního systému poté jak pominul výše uvedený účel, na který se osobní údaje zpracovávají
t.j. do času uplatnění práv z reklamačního řízení zákazníků; osobní údaje se uchovávají déle, pokud
mají zpracovávat výlučně za účelem archivace, na vědecký účel, na účel historického výzkumu nebo
na statistický účel na základě zvláštního předpisu (např. podle § 31 odst. 2 písm. c / zákona č.
563/1991 Sb. o účetnictví: účetní doklady, účtové rozvrhy, účetní knihy / s výjimkou mzdových
listů/, odpisový plán, seznamy účetních knih, soupisy se uchovávají po dobu pěti let následujících
po roce, kterého se týkají).

IS Zákazníci
– provozovatel uchovává osobní údaje zákazníků v tomto informačním systému po dobu trvání 24 měsíců od doručení zboží (resp. takovou dobu, kterou výrobce zboží garantuje kupujícímu na uplatnění reklamace), který je předmětem uzavřené smlouvy resp. jiné obchodní smlouvy, neboť podle § 599 odst. 1 Občanského zákoníku může kupující uplatnit práva z odpovědnosti za vady u soudu ve lhůtě do 24 měsíců od převzetí zboží, případně po dobu, po kterou si lze uplatnit práva v promlčecí lhůtě. V případě, že bylo reklamačnímu řízení ve smyslu spotřebitelského práva vyhověno, tato lhůta se prodlužuje o dalších 24 měsíců (resp. takovou dobu, kterou výrobce zboží garantuje kupujícímu na uplatnění reklamace), během kterých si kupující může uplatnit další záruční opravu. Pokud by provozovatel jako prodávající zlikvidoval osobní údaje dříve než v době stanovené podle předchozí věty, nebyl by schopný ve smyslu občanského zákoníku vyřídit reklamaci kupujícího a to např. vrácením kupní ceny při odstoupení od kupní smlouvy, jestliže reklamace nebyla vyřízena v reklamační době. provozovatel může uchovávat osobní údaje déle, pokud mají být zpracovávány výhradně pro účely archivace, na vědecký účel, na účel historického výzkumu nebo na statistický účel na základě zvláštního předpisu.

Osobní údaje zákazníků zlikviduje provozovatel osobně.

VI. Zásada integrity a důvěrnosti

Provozovatel respektuje a dodržuje zásadu integrity a důvěrnosti. Osobní údaje zpracovává způsobem, který prostřednictvím vhodných technických a organizačních opatření zaručuje dostatečnou bezpečnost osobních údajů včetně ochrany před neoprávněným zpracováním osobních údajů, nezákonným zpracováváním osobních údajů, náhodnou ztrátou osobních údajů, výmazem osobních údajů nebo poškozením osobních údajů.

Data jsou uložena v počítači a ve vytištěné formě.

Provozovatel ve smyslu předchozích odstavců přijal následující technická a organizační opatření:

Bezpečnostní opatření č. 1 – Povinnosti operátora podle práv dotčené osoby
Bezpečnostní opatření č. 2 – Zpracování, uschovávání a likvidace osobních údajů z informačních systémů
Bezpečnostní opatření č. 3 – Popis povolených zpracovatelských činností a podmínky zpracování
osobních údajů
Bezpečnostní opatření č. 4 – Rozmnožování písemností obsahujících osobní údaje
Bezpečnostní opatření č. 5 – Rozsah odpovědnosti pověřených a odpovědných osob
Bezpečnostní opatření č. 6 – Klíčový režim provozovatele a povinnosti držitelů klíčů
Bezpečnostní opatření č. 7 – Povinnosti provozovatele při práci s automatizovanými IS
Bezpečnostní opatření č. 8 – Zálohování dat v počítačovém systému
Bezpečnostní opatření č. 9 – Způsob, forma a periodicita výkonu kontrolních činností zaměřených na
dodržování bezpečnostních opatření
Bezpečnostní opatření č. 10 – Postupy při haváriích, poruchách a jiných mimořádných situacích, včetně preventivních opatření.

VII. zásada odpovědnosti

Provozovatel respektuje a dodržuje zásadu odpovědnosti. Provozovatel si je vědom, že je zodpovědný za dodržování základních zásad zpracování osobních údajů, za soulad zpracování osobních údajů se zásadami zpracování osobních údajů a je povinen tento soulad se zásadami zpracování osobních údajů na požádání úřadu prokázat. Za tímto účelem vypracoval písemné posouzení dopadů na ochranu osobních údajů a písemné posouzení základních zásad, jimiž prokazuje soulad zpracování osobních údajů se zásadami zpracování osobních údajů. Provozovatel se zavazuje, že bude průběžně kontrolovat (Minimálně 1x za kalendářní měsíc) soulad zpracování osobních údajů se zásadami zpracování osobních údajů.

Na základě výše uvedeného posouzení základních zásad ve vztahu k osobním údajům provozovatel dospěl k závěru, že zpracování osobních údajů je v souladu a nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob při zpracovávání osobních údajů ao volném pohybu těchto údajů, kterým se zrušuje směrnice 95/46 / ES a Zákonem č. 18/2018 CFU o ochraně osobních údajů a o změně některých zákonů.

 

5. Posouzení rizika pro práva dotčené osoby

5.1 Práva dotčené osoby

Podle § 21 až § 28 zákona o ochraně osobních údajů, mezi základní práva dotčené osoby patří:

I.Právo na přístup k osobním údajům

Subjekt údajů má právo získat od správce potvrzení o tom, zda se zpracovávají osobní údaje, které se jí týkají. Pokud provozovatel takové osobní údaje zpracovává, dotyčná osoba má právo získat přístup k těmto osobním údajům a informace o
a) účelu zpracování osobních údajů,
b) kategorii zpracovávaných osobních údajů,
c) identifikaci příjemce nebo o kategorii příjemce, kterému byly nebo mají být osobní údaje
poskytnuté, zejména o příjemci ve třetí zemi nebo o mezinárodní organizaci, pokud je to možné,
d) době uchovávání osobních údajů; pokud to není možné, informaci o kritériích jejího určení,
e) právě požadovat od provozovatele opravu osobních údajů týkajících se dotyčné osoby, jejich
vymazání nebo omezení jejich zpracování, nebo o právu namítat zpracování osobních údajů,
f) právě podat návrh na zahájení řízení podle § 100,
g) zdroji osobních údajů, pokud osobní údaje nebyly získány od dotyčné osoby,
h) existenci automatizovaného individuálního rozhodování včetně profilování podle § 28 odst. 1 a 4;
vtěchto případech poskytne provozovatel dotyčné informace zejména o použitém postupu,  jakož io významu a předpokládaných důsledcích takového zpracování osobních údajů pro dotčenou osobu.

II. Právo na opravu osobních údajů

Dotyčná osoba má právo na to, aby provozovatel bez zbytečného odkladu opravil nesprávné osobní údaje, které se jí týkají. S ohledem na účel zpracování osobních údajů má dotčená osoba právo na doplnění neúplných osobních údajů.

III. Právo na výmaz osobních údajů

Dotyčná osoba má právo na to, aby provozovatel bez zbytečného odkladu vymazal osobní údaje, které se jí týkají.

IV. Právo na omezení zpracování osobních údajů

Dotyčná osoba má právo na to, aby provozovatel omezil zpracování osobních údajů, pokud

a) dotyčná osoba namítá správnost osobních údajů, a to během období umožňujícího provozovateli
ověřit správnost osobních údajů,
b) zpracování osobních údajů je nezákonné a dotyčná osoba namítá vymazání osobních údajů a žádá
namísto toho omezení jejich použití,
c) provozovatel již nepotřebuje osobní údaje pro účely zpracování osobních údajů, ale potřebuje
jejich dotyčná osoba na uplatnění právního nároku, nebo
d) dotyčná osoba namítá zpracování osobních údajů podle § 27 odst. 1, a to až do ověření, zda
oprávněné důvody na straně provozovatele převažují nad oprávněnými důvody dotyčné osoby.

V. Právo na přenosnost osobních údajů

Subjekt údajů má právo získat osobní údaje, které se jí týkají a které poskytla provozovateli, v strukturovaném, běžně používaném a strojově čitelném formátu a má právo přenést tyto osobní údaje dalšímu provozovateli, pokud je to technicky možné a pokud

a) se osobní údaje zpracovávají podle § 13 odst. 1 písm. a), § 16 odst. 2 písm. a) nebo § 13 odst. 1 písm. b) a
b) zpracování osobních údajů se provádí automatizovanými prostředky.

VI. Právo namítat zpracovávání osobních údajů

Dotyčná osoba má právo vznést zpracovávání jejích osobních údajů z důvodu týkajícího se její konkrétní situace vykonávané podle § 13 odst. 1 písm. e) nebo písm. f) včetně profilování založeného na těchto ustanoveních. Provozovatel nesmí dále zpracovávat osobní údaje, pokud neprokáže nezbytné oprávněné zájmy na zpracování osobních údajů, které převažují nad právy nebo zájmy dotyčné osoby, nebo důvody pro uplatnění právního nároku.

VII. Automatizované individuální rozhodování včetně profilování

Dotyčná osoba má právo na to, aby se na ni nevztahovalo rozhodnutí, které je založeno výlučně na automatizované zpracování osobních údajů, včetně profilování a které má právní účinky, které se jí týkají nebo ji obdobně významně ovlivňují.

5.2 Uplatnění práv dotčené osoby

Provozovatel se zavázal, že oznámí příjemci opravu osobních údajů, vymazání osobních údajů nebo omezení zpracování osobních údajů uskutečněné podle § 22, § 23 odst. 1 nebo § 24 zákona o ochraně osobních údajů, pokud se to neukáže jako nemožné nebo to nevyžaduje nepřiměřené úsilí. Provozovatel o příjemcích podle předchozí věty informuje dotyčnou osobu, pokud to dotyčná osoba požaduje.

Provozovatel přijal vhodná opatření a zavázal se poskytnout dotčené osobě informace podle § 19 a 20 a oznámení podle § 21 až 28 a 41 zákona o ochraně osobních údajů, které se týkají zpracovávání jí osobních údajů, ve stručné, transparentní, srozumitelné a snadno dostupné formě, formulované jasně, a to zejména při informacích určených zvlášť dítěti.

Provozovatel se zavázal poskytnout informace v listinné podobě nebo elektronické podobě, zpravidla ve stejné podobě, v jaké byla podána žádost. Pokud o to požádá dotčená osoba, informace může provozovatel poskytnout i ústně, pokud dotyčná osoba prokáže svou totožnost jiným způsobem.

Provozovatel se zavázal poskytnout součinnost dotčené osobě při výkonu jejích práv podle § 21 až 28 zákona o ochraně osobních údajů. V případech uvedených v § 18 odst. 2 nemůže provozovatel odmítnout jednat na základě žádosti dotyčné osoby při výkonu jejích práv podle § 21 až 28, pokud neprokáže, že dotčenou osobu není schopen identifikovat.

Provozovatel se zavázal, že poskytne dotčené osobě informace o opatřeních, která byla přijata na základě její žádosti podle § 21 až 28 zákona o ochraně osobních údajů, do jednoho měsíce od doručení žádosti. Uvedenou lhůtu může provozovatel v odůvodněných případech s ohledem na komplexnost a počet žádostí prodloužit o další dva měsíce, a to i opakovaně. Provozovatel je povinen informovat o každém takovém prodloužení dotčenou osobu do jednoho měsíce od doručení žádosti spolu s důvody prodloužení lhůty. Pokud dotyčná osoba podala žádost v elektronické podobě, provozovatel poskytne informace v elektronické podobě, pokud dotyčná osoba nepožádala o poskytnutí informace jiným způsobem. Pokud provozovatel nepřijme opatření na základě žádosti dotyčné osoby, je povinen do jednoho měsíce od doručení žádosti, informovat dotčenou osobu o důvodech nečinnosti a o možnosti podat návrh podle § 100 zákona o ochraně osobních údajů na Úřad pro ochranu osobních údajů.

Provozovatel poskytuje informace podle § 19 a 20 a oznámení a opatření přijatá podle § 21 až 28 a 41 bezplatně. Pokud je žádost dotyčné osoby zjevně neopodstatněná nebo nepřiměřená, zejména pro její opakující se povahu, provozovatel může
a) požadovat přiměřený poplatek zohledňující administrativní náklady na poskytnutí informací nebo přiměřený poplatek zohledňující administrativní náklady na oznámení nebo přiměřený poplatek zohledňující administrativní náklady na uskutečnění požadovaného opatření nebo
b) odmítnout jednat na základě žádosti.

Zjevnou neopodstatněnost žádosti nebo nepřiměřenost žádosti prokazuje provozovatel. Provozovatel může požádat o poskytnutí dodatečných informací potřebných k potvrzení totožnosti dotyčné osoby, pokud má oprávněné pochybnosti o totožnosti fyzické osoby, která podává žádost podle § 21 až 27; ustanovení § 18 tím není dotčeno. Informace, které má provozovatel poskytnout dotyčné osobě podle § 19 a 20, lze podat v kombinaci se standardizovanými ikonami s cílem poskytnout dobře viditelný, jasný a srozumitelný přehled zamýšleného zpracování osobních údajů. Standardizované ikony musí být strojově čitelné, pokud jsou použity v elektronické podobě.

Za účelem výše uvedených povinností provozovatele, jejichž splnění se zavázal, provozovatel přijal bezpečnostní opatření č. 1 – Povinnosti operátora podle práv dotčené osoby.

Provozovatel také vypracoval dokument nazvaný “Oznámení porušení ochrany osobních údajů Úřadu na ochranu osobních údajů “na základě, jehož oznámí Úřadu pro ochranu osobních údajů zjištěno porušení ochrany osobních údajů.

 

5.3 Rizika pro práva dotčené osoby

Provozovatel posoudil a definoval níže uvedená rizika pro práva dotčené osoby. Rizika jsou ohraničené nepředvídatelnými událostmi nebo činnostmi, které nelze ovlivnit. Zbytkové rizika mohou mít za následek částečně narušení IS nebo úplné narušení aktiv se znehodnocením IS ÚD, IS Zákazníci.

Vliv na znefunkčnění IS                                Rizika                                                            Hrozba

Částečné                                     Napadení hrubou silou                 Vyřazení bezpečnostního systému

Prolomení technických zábran
vstupů – bezpečnostních dveří

Ztráta nebo odcizení dat při
přenosu nebo přepravě údajů

Krádež dokumentů

Krádež technických prostředků
informačních systémů

Znefunkčnění technických prostředků
Částečné                                        Narušení aktiv následkem                 Porucha na vodovodním,
porúch technologických                     kanalizačním a topném
zařízení                                                   potrubí

Úplné                                              Živelná pohroma                                   Povodeň

Zasažení bleskem

Požár

Zemětřesení

Úplné                                                Teroristický útok                                   Výbuch

Zamoření

Požár

Úplné                                        Porucha na technologickém                      Výbuch plynu
zařízení                                                          Zamorenie priestoru

 

a) Seznam rizik v objektové bezpečnosti

  • ztráta nebo odcizení klíčů od prostorů provozovatele
    • nezamčené vstupních dveří do chráněných prostor provozovatele po odchodu z těchto
    chráněných prostor
    • překonání mechanických zábranných prostředků

b) Seznam rizik průniku osobních údajů k nepovolaným osobám

  • průnik neoprávněných a nepovolaných osob k počítačovým systémům, a to i v případě, že
    neoprávněná a nepovolaná osoba má krátkodobý zrakový kontakt s obrazovkou počítače
    • odcizení počítačového systému
    • ztráta nebo odcizení datových nosičů při přenosu domů, resp. na jiné pracoviště
    • zpřístupnění pevného disku nebo datových struktur z vnějšího prostředí neoprávněnými
    osobami z lokální počítačové sítě
    • zpřístupnění pevného disku nebo datových struktur z vnějšího prostředí osobami, které jsou
    připojené na internet

c) Seznam rizik ztrát osobních údajů a narušení integrity

  • narušení objektové bezpečnosti průnikem neoprávněných a nepovolaných osob do prostorů
    provozovatele s informačními systémy
    • zničení PC nebo jeho klíčových komponent vlivem živelné pohromy, požáru nebo povodně
    • zmocnění, resp. odcizení počítačového systému
    • poškození pevného disku PC při mechanické závadě
    • poškození pevného disku počítače nebo datových struktur vlivem počítačových virů
    • poškození pevného disku počítače nebo datových struktur z vnějšího prostředí neoprávněným
    přístupem ostatních uživatelů lokální počítačové sítě
    • poškození pevného disku počítače nebo datových struktur z vnějšího prostředí neoprávněným
    přístupem jiných uživatelů internetu

d) Seznam rizik při ztrátě dostupnosti osobních údajů

  • narušení integrity, dostupnosti, důvěrnosti programovým vybavením, které může mít chyby,
    které mohou způsobit poškození zpracovávaných osobních údajů
    • chyba programového vybavení může umožnit zpřístupnění prostředků automatizovaných
    informačních systémů neoprávněným osobám a následně zničení, odcizení, nežádoucí
    rozšiřování nebo neoprávněný přístup k osobním údajům

e) Seznam rizik v dokumentárních informačních systémech

    1. ztráta nebo odcizení listinných dokumentů zastupující osobou
    2. ztráta dokumentů uložených v informačních systémech při přenosu oprávněnou osobou
    3. šíření informací personálem provozovatele
    4. šíření informací nezlikvidovaných a nepotřebnými písemnostmi
    5. cílené získání informací o osobních údajích cizí osobou
    6. ztráta nebo odcizení dokumentů s osobními údaji oprávněnými osobami
    7. odcizení dokumentů s osobními údaji neoprávněnými a nepovolanými osobami

Za účelem eliminace zjištěných rizik pro práva dotyčné osoby, provozovatel přijal záruky
bezpečnostní opatření a mechanismy uvedené v následující části tohoto dokumentu.

 

6. Opatření provozovatele

6.1 Základní bezpečnostní cíle a minimální požadované bezpečnostní opatření

Při stanovování základních bezpečnostních cílů, minimálních požadovaných bezpečnostních opatření a standardů ochrany ohledem na výše uvedené posouzení dopadů na ochranu osobních údajů u provozovatele, jsme postupovali v první řadě na základě poznání prostředí provozovatele s přihlédnutím na dobrou praxi řešení a standardů při ochraně utajovaných skutečností a ochraně informačních systémů ve veřejné správě. Při specifikaci základních bezpečnostních cílů a minimálních požadovaných bezpečnostních opatření jsme použili zákony, vyhlášky a mezinárodní normy.

Bezpečnostními cíli provozovatele jsou:
a) zamezit vstupu nepovolaných a neoprávněných osob do prostorů provozovatele
b) minimalizovat rizika vzniku a šíření požáru, nebo zničení dat vlivem živelné pohromy
c) chránit osobní údaje před zpracováním a manipulací neoprávněnými osobami
d) vytvořit systém zpracování osobních údajů, který zamezí nepřehlednému a
nekontrolovanému používání osobních údajů, ztrátě, odcizení nebo zničení během práce s
IS ÚD, IS Zákazníci.
e) zajistit ochranu osobních údajů před neoprávněným šířením, odcizením, ztrátou,
poškozením, neoprávněným přístupem, změnou a rozšiřováním nebo zneužitím na jiný
účel, než byly zpracovávány
f) analyzovat možnosti napadení
g) stanovit úrovně bezpečnosti

 

Specifikace technických, organizačních a personálních opatření jednotlivých IS

Základními bezpečnostními opatřeními provozovatele je souhrn:

  1. a) technických
    b) organizačních
    c) personálních

opatření, která zajišťují ochranu osobních údajů v informačních systémech provozovatele: IS ÚD,
IS Zákazníci.

Ad a) Specifikace technických opatření a způsob jejich využití:

Technická opatření představují a zahrnují všechny určené technické prostředky určené pro zpracování, manipulaci, archivaci a skartaci osobních údajů IS ÚD, IS Zákazníci a všechny prostředky a metody ochrany určených technických prostředků. Používání technických prostředků pro zpracování osobních údajů je povoleno pouze osobám pověřenými seznamovat se s osobními informacemi a zpracovávat je.Technické prostředky jsou využívány zásadně pověřenými osobami, které mají tyto prostředky přiděleny. Zaměstnance (pokud ho má) odpovědného za výpočetní techniku ​​určí provozovatel.

Technickými prostředky pro účely zákona o ochraně osobních údajů jsou:

➢ Výpočetní technika, kterou se zajišťuje vytváření, zpracovávání, tisk a uchovávání dat a
informací. Výpočetní techniku ​​tvoří komplex zařízení (technické a programové vybavení,
periferní zařízení, a podobně) a jejich vzájemné propojení telekomunikačními systémy a
počítačovými sítěmi a datové nosiče (USB klíče, DVD, CD, apod.)

➢ Zařízení na vyhotovení psaného textu – tiskárny při osobních počítačích a serverech
rozmnožovací stroje. Zabezpečení uvedených technických prostriedkov- je prováděno
programovými, mechanickými, režimovými a technickými prostředky ochrany.

Programová metoda

             1) antivirová ochrana
– na každém uživatelském počítači, ve kterém se nachází IS ÚD, IS Zákazníci musí být
instalována antivirová ochrana
– průběžně musí být zajištěna kontrola aktualizace antivirových knihoven

             2) ochrana PC před nepovolaným přístupem a vstupní a přihlašovací hesla
– zajistit, aby nepovolané osoby nemohly nahlížet na chráněné údaje zobrazovány na
obrazovce počítače
– použití ochranných programů nebo zařízení proti průniku nepovolaných osob z jiných sítí,
tzv. FireWall, který např. ochraňuje počítačový systém během připojení do internetu proti
cíleným a náhodným přístupem z prostředí internetu
– každý uživatel počítače musí mít přiděleno heslo, kterým se autentifikuje, a toto uchovává v
tajnosti
– vhodně zvolená doba životnosti a délka a složení (složitost) hesla, dostatečně zabraňuje
úspěšným útokem zaměřeným na uhodnutí hesla
– hesla přístupu k programům se pravidelně mění
– stejná opatření platí i pro přístup k aplikacím
– v případě, že se údaje shromažďují v souborech (např. Txt, doc) tyto musí být zaheslované

               3) používání programů
– smí být používány pouze autorizované programy
– kontrola integrity získaného softwarového balíku před jeho instalací
– je zakázána instalace z prostředí internetu

               4) zálohování a ukládání dat
– pravidelně vytvářet zálohy databází
– aplikační software zálohovat před aktualizací
– chráněné údaje se neukládají na paměťové nosiče přístupné ze sítě, bez dalšího
zabezpečení, disky nesmějí být sdíleny v síti pro připojení k Internetu, bez dalšího
zabezpečení

Zakázáno (mimo oprávněných osob):
– měnit a nastavovat konfiguraci PC, ve kterém se nachází IS ÚD, IS Zákazníci
– vyřazovat ochranné prvky z činnosti
– instalovat programy
– umožnit přístup na PC neoprávněným osobám k IS ÚD, IS Zákazníci
– ukládat data s osobními údaji mimo míst k tomu určených

Co chráníme                       Před čím                                        Jak                                               Kdo

PC                                         přístup neoprávněné                  místnost se zamyká                pověřená osoba
osoby

PC                                         softwarový útok                           instalací a údržbou                 pověřená osoba
firewallu

uživatelské účty               vzájemnou výměnou hesel         informováním užívatelů          pověřená osoba
mezi oprávněnými, ale i              o nebezpečnosti prorazení
neoprávněnými osobami             hesla a možnosti jeho
zneužití

Mechanická metoda
– vybavení určených pracovišť plnými dveřmi a mechanickými zábrannými prostředky na ochranu
oken
– skříně, resp. prostory s nosiči dat se uzamykají
– místnosti se skříněmi se uzamykají bezpečnostním zámkem a osoby, jimž byly vydány klíče jsou
   evidované
– komisionální fyzická likvidace nosičů osobních údajů roztrháním, spálením nebo bezpečným
   smazáním paměťových nosičů

Režimová metoda
– v organizačním řádu určit režim vstupu na pracoviště, zákaz zdržovat se na pracovišti po pracovní
   době bez vědomí nadřízeného, ​​určení odpovědných zaměstnanců za bezpečnost, stanovit
podmínky vstupu na pracoviště a způsob opuštění pracoviště
– hesla a administrativní přístupy musí být zdokumentovány a uloženy v zapečetěné obálce v
uzamykatelné skříni, pokyn k jejich otevření může vydat pouze provozovatel prostřednictvím
pověřené osoby – otevření musí být zdokumentováno

Technická metoda
– zabezpečení internetové sítě pomocí technických zařízení před nepovolaným přístupem z internetu
– aplikace a hlavně databáze zálohovat buď na záložním PC nebo na CD nosičích
– pravidelně provádět revize elektriky a požární revize, revize komínů

Ad b) Specifikace organizačních opatření a způsob jejich využití:

Určení pracovních a bezpečnostních postupů

– zpracovat, shromažďovat a likvidovat osobní údaje IS ÚD, IS Zákazníci smí jen pověřené osoby
k tomu určeny. Zpracování údajů musí být v souladu se zákonem o ochraně osobních údajů.
Pověřené osoby se musí řídit všemi přijatými opatřeními a nařízeními vydanými provozovatelem.

Požadavky na organizační opatření

Zajištění bezpečnostních opatření při ochraně osobních údajů IS ÚD, IS Zákazníci pomocí organizačních opatření, kterými jsou organizovány pracovní činnosti a postupy při zajišťování celkové, informační a počítačové bezpečnosti.

Organizační opatření
– po pracovní době je zakázáno zdržovat se na pracovišti
– na pracovišti se pracovníci mohou pobývat pouze se souhlasem provozovatele

 Rozdělení kompetencí
– v případě mimořádné situace, kdy dojde k narušení bezpečnosti činnost koordinuje a řídí pověřený
zaměstnanec
– při narušení PC bezpečnosti, bezpečnosti v oblasti IS a sítě koordinuje činnost pověřený
zaměstnanec
– při narušení informační bezpečnosti v oblasti dokumentů, telefonních linek a mobilních sítí
koordinuje činnost pověřený zaměstnanec

Nakládání s nosiči údajů
– jakékoli materiální nosiče dat musí být zabezpečeny před přístupem neoprávněných osob

Místo uložení nosičů živých údajů
– údaje z IS ÚD, IS Zákazníci, jsou v listinné podobě v uzamykatelných prostorách provozovatele
– chráněné údaje v elektronické formě se ukládají na přenosné nosiče, a ty jsou uloženy v
uzamykatelných prostorách. Údaje, které jsou uloženy v PC se chrání následovně:
PC musí být chráněny antivirovým programem s pravidelnou aktualizací databází virů konkrétní
   programy musí být zaheslované, pro vstup do programů používá každý uživatel vlastní heslo. PC se
nacházejí v uzamykatelných prostorách. Pověřené osoby zpracovávají údaje na místě a způsobem
znemožňujícím odcizení dat. Pověřené osoby zajistí, aby nosiče dat při přenášení mezi místem
uložení a místem zpracování nemohly být zpřístupněny neoprávněným osobám.

Ad c) Specifikace personálních opatření a způsob jejich využití:

Používání technických prostředků pro zpracování informací je povoleno pouze osobám oprávněným seznamovat se s osobními informacemi IS ÚD, IS Zákazníci. Technické prostředky, jsou využívány zásadně zaměstnanci, kteří mají tyto prostředky přiděleny. Každá pověřená osoba je povinna zachovávat mlčenlivost o osobních údajích, se kterými přijde do styku; ty nesmí využít ani pro osobní potřebu a bez souhlasu provozovatele je nesmí zveřejnit a nikomu poskytnout ani zpřístupnit, mimo situací vymezených zákonem. Povinnost mlčenlivosti platí i jiné fyzické osoby, které v rámci své činnosti (např. údržba a servis technických prostředků) přijdou do styku s osobními údaji. Povinnost mlčenlivosti trvá i po zániku funkce pověřené osoby, nebo po skončení jejího pracovního poměru. Zaměstnanci, kteří mají přidělené technické prostředky, jsou zodpovědní za jejich správný chod a musí dodržovat všechny zásady práce s nimi.

Požadavky na personální opatření – kvalifikační předpoklady
– zpracovávat osobní údaje v IS ÚD, IS Zákazníci mají jen pověřené osoby:
– znalé práci na PC
– vyškolené pro práci s aplikačním programem
– ostatní pověřené osoby smějí zpracovávat osobní údaje pouze dokumentačně

Personální zajištění procesů
– proces zadávání údajů zajišťují pověřené osoby
– proces archivace zajišťuje pověřená osoba

Personální bezpečnost
– zaměstnanci musí být poučeni
– každý zaměstnanec je povinen zachovávat mlčenlivost zabezpečení zastupitelnosti
– nejdůležitější procesy při ochraně osobních údajů v IS ÚD, IS Zákazníci musí být zajištěny
zastupitelností

Zajištění dodržování bezpečnostních opatření:
– zaměstnanci musí být prokazatelně seznámeni s bezpečnostními opatřeními
– při přijímání zaměstnance do zaměstnání musí být zaměstnanec řádně poučen

Písemné poučení pověřených osob před uskutečněním první zpracovatelské operace s osobními údaji
Každá pověřená osoba musí být před uskutečněním první zpracovatelské operace s osobními údaji poučená. Provozovatel je povinen poučit osobu o jejích právech a povinnostech při zpracovávání osobních údajů; poučení obsahuje zejména vymezení rozsahu jejího oprávnění, povolených činností a podmínek zpracování osobních údajů.

Poučení o právech a povinnostech vyplývajících ze zákona a odpovědnosti za jejich porušení
– provede se poučení pověřených a odpovědných osob o právech a povinnostech vyplývajících ze
zákona a odpovědnosti za jejich porušení. O poučení se vyhotoví záznam o poučení pověřené osoby. Zpracovávány osobní údaje je třeba chránit před jejich poškozením, zničením, ztrátou, změnou, neoprávněným přístupem a zpřístupněním, poskytnutím nebo zveřejněním, jakož i před jinými nepřípustnými způsoby zpracovávání.

Vymezení zakázaných postupů nebo operací s osobními údaji

– zakázané postupy nebo operace s osobními údaji IS ÚD, IS Zákazníci jsou:
➢ zakazuje se sběr a zpracování osobních údajů od jiných dotčených osob než určí provozovatel
➢ zakazuje se sběr a zpracování osobních údajů nad rozsah nezbytný k zajištění účelu
➢ zakazuje se využívat a sdružovat získané osobní údaje pro jiné resp. rozdílné účely jako určil
provozovatel
➢ zakazuje používání kopírovaných nebo tištěných smluv, faktur resp. jiných dokumentů na jiné
účely než určil provozovatel
➢ zakazuje se neuchovávanie osobních údajů způsoby uvedenými v těchto opatřeních
➢ zakazuje se shromažďovat osobní údaje v takové formě, které neumožňují identifikaci dotčených
osob
➢ zakazuje používání osobních údajů, jejichž účel zpracování skončil
➢ zakazuje využívání osobních údajů na osobní potřebu, jejich zveřejnění nebo poskytnutí
a zpřístupnění jiným osobám
➢ zakazuje použít zpracovávané osobní údaje v rozporu s oprávněnými zájmy dotčené osoby
➢ zakazuje se takové jednání, které ohrožuje a poškozuje práva a právem chráněné zájmy a
neoprávněně zasahuje do práva na ochranu osobnosti a soukromí dotčených osob
➢ zakazuje se umožnění přístupu k získaným osobním údajům jiným než oprávněným osobám
➢ zakazuje se zpracovávání osobních údajů způsobem, který není v souladu s dobrými mravy a se
způsobem, který odporuje zákonu nebo jiným obecně závazným právním předpisem nebo jejich
obchází

Vymezení odpovědnosti za porušení zákona
– provozovatel poučí osoby o odpovědnosti za porušení zákona o čem vyhotoví písemný záznam

Poučení pověřených osob o postupech spojených s automatizovanými prostředky zpracování a souvisejících právech a povinnostech v prostorách provozovatele a mimo těchto prostor

– provozovatel provede poučení pověřených osob o postupech spojených s automatizovanými prostředky zpracování a souvisejících právech a povinnostech v prostorách provozovatele a mimo těchto prostor. O tomto poučení se vyhotoví záznam o poučení pověřené osoby

Seznámení pověřených osob s bezpečnostními opatřeními

– provozovatel seznámí pověřené osoby s bezpečnostními opatřeními informačních systémů

Postup při ukončení pracovního nebo obdobného poměru pověřené osoby

– při ukončení pracovního nebo obdobného poměru pověřené osoby je pověřená osoba povinna předat přidělené aktiva a provozovatel je povinen je převzít. Provozovatel zajistí zrušení přístupových práv a poučí pověřenou osobu o následcích porušení zákonné nebo smluvní povinnosti mlčenlivosti

Administrativní bezpečnost

➢ stanovit a uvést do praxe pravidla oběhu dokladů obsahujících osobní údaje tak, aby se
minimalizovaly možnosti ztráty, odcizení a šíření informací
➢ vybavit prostory provozovatele kancelářskými pomůckami, používání kterých zvýší bezpečnost
manipulace s písemnostmi
➢ definovat a používat evidence chráněných dokumentů
➢ stanovit organizaci rozmnožování písemností obsahujících osobní údaje
➢ stanovit pravidla vypůjčování, přenášení a přepravy písemností obsahujících osobní údaje
➢ organizačně zajistit zpracování dokumentů tak, aby za normálních okolností byl znemožněn
přístup cizích osob k dokumentaci
➢ vytvořit podmínky pro skartování nepotřebných dokumentů s osobními údaji v prostorách
provozovatele

Vymezení okolí informačních systémů IS ÚD a IS Zákazníci:

Vymezení okolí informačních systémů a jejich vztah k možnému narušení bezpečnosti

Okolí IS ÚD, IS Zákazníci tvoří:

  1. zaměstnanci provozovatele, kteří mohou narušit bezpečnost IS ať už z nedbalosti, nebo cíleně.
    Tyto osoby musí být poučeny a musí ši být vědomé disciplinárního a právního postihu v případě
    porušování předpisů.
  2. zákazníci, kteří z nedbalosti zaměstnanců mohou mít přístup k IS a mohou je poškodit, nebo
    odcizit jeho část.

iii.     servisní pracovníci zabezpečující údržbu a opravu techniky IS a zařízení na úschovu dokumentů
iv. osoby, které zajišťují servis jiných prostor provozovatele (servisní technici, zástupci a
dealeři firem, obslužný personál budov). Tyto osoby se nesmí zdržovat v blízkosti IS v
nepřítomnosti oprávněných osob

  1. nepovolané osoby, které mohou proniknout k IS prostřednictvím vloupání se do prostorů
    provozovatele nebo prostřednictvím internetu
  2. zprostředkovatelé, kteří pro provozovatele zpracovávají některé agendy (např. zpracování
    mzdové agendy)

6.2 Opatření na eliminaci rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů

Automatizované informační systémy IS ÚD, IS Zákazníci

Provozovatel bere na vědomí, že je třeba rozlišovat mezi zeměmi EU, třetími zeměmi považovanými EU za bezpečné a třetími zeměmi, které nezaručují dostatečný stupeň bezpečnosti.

Seznam využívaných automatizovaných informačních systémů

1. informační systém Účetní doklad

2. informační systém Zákazníci

Přístupová hesla pověřených osob k počítačům, resp. k výše uvedeným informačním systémem jsou dostatečné, počítač, kde jsou uloženy osobní údaje zákazníků je zabezpečený heslem. Bez zadání správného přístupového hesla se pověřená osoba nedostane k informačním systémům.

Provozovatel bere na vědomí, že přístupové heslo by mělo obsahovat minimálně 5 znaků včetně speciálních znaků a velkých i malých písmen.

Počet počítačů, jejich názvy, operační systémy atd. jsou specifikovány v příloze bezpečnostních opatření s názvem “Seznam aktiv a všech míst propojení sítí”.

Počet a názvy pracovních stanic, antivirových programů, serverů, multifunkčních zařízení a tiskáren, operačních systémů, připojení atd. jsou zaznamenány v příloze bezpečnostních opatření s názvem “Seznam aktiv a všech míst propojení sítí “, která je jejich nedílnou součástí.

Provozovatel bere na vědomí, že instalace antivirového programu a pravidelné (denní) udržování jeho aktualizace pomáhá chránit počítač před viry. Antivirové programy vyhledávají škodlivé kódy, které se snaží napadnout operační systém nebo nainstalované programy.

Provozovatel bere na vědomí, že FireWall je ochranný software, který kontroluje odchozí a příchozí komunikaci počítače. Na základě pravidel povoluje, zakazuje, případně omezuje komunikaci.

Provozovatel zpracovává osobní údaje v informačních systémech v listinné podobě. seznam využívaných neautomatizovaných informačních systémů – dokumentární zpracovány informační systémy:

  1. informační systém Účetní doklady
  2. informační systém Zákazníci

Výše uvedené informační systémy jsou v listinné podobě umístěny v uzamykatelné místnosti.

Provozovatel vede pro potřeby své evidence dokumentaci v tištěné nebo psané podobě.

Provozovatel bere na vědomí, že informační systémy lze pořadově očíslovat. takové očíslování zvyšuje přehled a účinnost hledání tištěné dokumentace.

Provozovatel zajišťuje likvidaci nepotřebných dokumentů s osobními údaji.

Provozovatel bere na vědomí, že nezlikvidovaných tištěných dokumentů je vážné narušení bezpečnosti, neboť čitelné dokumenty odhozeny do odpadu mohou být zdrojem citlivých a zneužitelných informací.

Opatření na eliminaci rizik, včetně záruk, bezpečnostních opatření a mechanismů pro zajištění ochrany osobních údajů:

a) Seznam rizik v objektové bezpečnosti

  • ztráta nebo odcizení klíčů od prostorů provozovatele

Opatření
➢ uzamykání vstupních dveří klíči, se kterými disponují pouze pověřené osoby a majitel
prostorů
➢ zajištění servisní služby na operativní výměnu uzamykání

  • nezamčené vstupních dveří do chráněných prostor provozovatele po odchodu z těchto

chráněných prostor

Opatření
➢ vždy po opuštění chráněných prostor provozovatele, kde se nenachází žádná pověření osoba
tyto prostory uzamknout

  • překonání mechanických zábranných prostředků

Opatření:

zálohování dat IS ÚD, IS Zákazníci

Rizika a záruky, bezpečnostní opatření, mechanismy na eliminování rizik:
Rizika jsou eliminovány

b) Automatizované informační systémy – IS ÚD, IS Zákazníci

Seznam rizik průniku osobních údajů k nepovolaným osobám

  • průnik neoprávněných a nepovolaných osob k počítačovým systémům, a to i v případě, že
    neoprávněná a nepovolaná osoba má krátkodobý zrakový kontakt s obrazovkou počítačeOpatření:
    ➢ zajištění objektové bezpečnosti
    ➢ zamezení přístupu neoprávněným osobám
    ➢ zamezení přístupu nepovolaným osobám
    ➢ umístění obrazovky počítače mimo zorné pole zákazníků a neoprávněných a
    nepovolaných osob
  • odcizení počítačového systémuOpatření:

➢ zajištění objektové bezpečnosti
➢ monitorovací systém
➢ uzamčení zálohového zařízení v uzamykatelné skříni, nebo k tomu určeného prostoru
• ztráta nebo odcizení datových nosičů při přenosu domů, resp. na jiné pracoviště

Opatření:
➢ bezpečné uložení paměťových nosičů
➢ používání doporučených zásilek

  • zpřístupnění pevného disku nebo datových struktur z vnějšího prostředí neoprávněnými osobami z lokální počítačové sítě

Opatření:
➢ definování přístupových práv a hesel do aplikací
➢ definování přístupových práv a hesel do síťových adresářů

  • zpřístupnění pevného disku nebo datových struktur z vnějšího prostředí osobami, které jsou připojené na internet

Opatření:
➢ konfigurace prohlížeče na vyšší bezpečnostní stupeň
➢ použití antivirových programů
➢ použití ochranných programů nebo zařízení (FireWall)

Rizika a záruky, bezpečnostní opatření, mechanismy na eliminování rizik:
Rizika jsou eliminovány

Seznam rizik ztrát osobních údajů a narušení integrity

  • narušení objektové bezpečnosti průnikem neoprávněných a nepovolaných osob do prostorů
    provozovatele s informačními systémy

Opatření:
➢ zvýšení objektové bezpečnosti
➢ záloha na přenosném médiu, která je uložena mimo prostor s IS

  • zničení PC nebo jeho klíčových komponent vlivem živelné pohromy, požáru nebo povodně
    opatření:

➢ záloha na přenosném médiu, která je uložena mimo prostor s IS

  • zmocnění, resp. odcizení počítačového systému

Opatření:
➢ zvýšení objektové bezpečnosti
➢ záloha na přenosném médiu, která je uložena mimo prostor s IS

  • poškození pevného disku PC při mechanické závadě

Opatření:
➢ pravidelná kontrola disku skenováním

  • poškození pevného disku počítače nebo datových struktur vlivem počítačových virů

Opatření:
➢ použití antivirových programů
➢ opatrná manipulace s podezřelými médii

  • poškození pevného disku počítače nebo datových struktur z vnějšího prostředí neoprávněným
    přístupem ostatních uživatelů lokální počítačové sítě

Opatření:
➢ definování přístupových práv a hesel do aplikací
➢ definování přístupových práv a hesel do síťových adresářů

  • poškození pevného disku počítače nebo datových struktur z vnějšího prostředí neoprávněným
    přístupem jiných uživatelů internetu

Opatření:
➢ konfigurace prohlížeče na vyšší bezpečnostní stupeň
➢ použití ochranných programů nebo zařízení (FireWall)
➢ použití antivirových programů

Rizika a záruky, bezpečnostní opatření, mechanismy na eliminování rizik:
Rizika jsou eliminovány

c) Seznam rizik při ztrátě dostupnosti osobních údajů IS ÚD, IS Zákazníci

  • narušení integrity, dostupnosti, důvěrnosti programovým vybavením, které může mít chyby,
    které mohou způsobit poškození zpracovávaných osobních údajůOpatření:
    ➢ používat pouze zákonným způsobem nabytý software
  • chyba programového vybavení může umožnit zpřístupnění prostředků automatizovaných
    informačních systémů neoprávněným osobám a následně zničení, odcizení, nežádoucí
    rozšiřování nebo neoprávněný přístup k osobním údajům

Opatření:
➢ používat pouze zákonným způsobem nabytý software

Rizika a záruky, bezpečnostní opatření, mechanismy na eliminování rizik:
Rizika jsou eliminovány

d) Seznam rizik v dokumentárních informačních systémech – IS ÚD, IS Zákazníci

  • ztráta nebo odcizení listinných dokumentů zastupující osobou

Opatření:
➢ pověřená osoba provede po skončení zastupování ověření (inventarizaci) úplnosti a
převzetí dokumentů s osobními údaji použité během zastupování

  • ztráta dokumentů uložených v informačních systémech při přenosu pověřenou osobou

Opatření:
➢ uzpůsobenou osobou je pouze pověřená osoba
➢ přenos písemností v zalepené obálce
➢ kontrola písemností při vrácení

  • šíření informací personálem provozovatele

Opatření:
➢ závazek mlčenlivosti
➢ zákaz používání dokumentů neoprávněnými osobami
➢ omezení příležitostí samostatně manipulovat s údaji a písemnostmi
➢ kontrola písemností při vrácení

  • šíření informací nezlikvidovaných a nepotřebnými písemnostmi

Opatření:
➢ zničení nebo znehodnocení dokumentů pod dohledem pověřené osoby
➢ vybavení provozovatele skartovacím zařízením

  • cílené získání informací o osobních údajích cizí osobou

Opatření:
➢ výběr pověřených osob podle spolehlivosti

  • ztráta nebo odcizení dokumentů s osobními údaji pověřenými osobami

Opatření:
➢ pořadové číslování dokumentů s osobními údaji
➢ písemnosti jsou v informačních systémech pevně připojené k obalu

  • odcizení dokumentů s osobními údaji neoprávněnými a nepovolanými osobamiOpatření:
    ➢ uzamykání písemností v uzamykatelné místnosti
    ➢ úklid prostor kde se nacházejí osobní údaje pod dohledem pověřené osoby

Rizika a záruky, bezpečnostní opatření, mechanismy na eliminování rizik:
Rizika jsou eliminovány

Použití bezpečnostních standardů a požadavků ochrany osobních údajů v IS ÚD, IS Zákazníci

STANDARDNÍ POŽADAVKY NA objektových BEZPEČNOST

Pro stanovení standardů a požadavků je východiskem:
➢ vyhláška Národního bezpečnostního úřadu č. 336/2004 CFU o fyzické bezpečnosti a
objektové bezpečnosti
➢ stanoviska a usměrní Pracovní skupiny WP29 nařízení GDPR
➢ zákony, vyhlášky a mezinárodní normy definované v bodě 1.3 tohoto dokumentu

Objekt provozovatele je zajištěn kombinací opatření fyzické a objektové bezpečnosti. Bezpečnostní standardy provozovatele jsou částečně odvozeny od standardů určených vyhláškou pro objekt kategorie “Vyhrazené” a od zásad, které používá veřejná správa při posuzování prostorů:
1) vstup do prostor provozovatele a pohyb osob v něm v pracovním a mimopracovní době
určuje provozovatel, resp. vlastník budovy
2) určit způsob a formy výkonu fyzické ochrany prostor provozovatele je v pravomoci
provozovatele
3) montáž mříže nebo fólie je na zvážení provozovatele, aby posoudil nebezpečí proniknutí do
objektu vzhledem k okolí prostor provozovatele a faktory, které mohou snížit riziko
4) dodržení zásady, že při snaze o násilné vniknutí do prostorů s IS ÚD, IS Zákazníci by měl
potenciální narušitel překonat minimálně dvě překážky.
Například:
➢ překonat uzamčené dveře budovy, ve které jsou umístěny prostory provozovatele, a
poté překonat uzamčené dveře prostoru, kde se nacházejí informační systémy IS ÚD, IS
Zákazníci
5) uzamykatelné prostory pro úschovu písemností obsahujících osobní údaje. úschovny
objekty nemusí být uzamykatelné v případě stálé fyzické ochrany prostoru strážní službou,
nebo pokud vstupní dveře do místnosti jsou uzamykány bezpečnostním zámkem s
bezpečnostním kováním
6) přidělování, používání, úschova a evidence klíčů do zámků a uzamykatelných prostorů
stanoví provozovatel, resp. vlastník budovy.

STANDARDNÍ POŽADAVKY NA BEZPEČNOST IS ÚD, IS Zákazníci

Pro stanovení standardů a požadavků zpracování písemností je východiskem:
➢ vyhláška Národního bezpečnostního úřadu č. 453/2007 CFU o administrativní bezpečnosti

Bezpečnostní standardy pro provozovatele jsou částečně odvozeny od standardů určených vyhláškou pro písemnosti stupně “vyhrazené” a částečně od zvyklostí používaných ve státní správě:

a) Standardy personální bezpečnosti

1) pověřené osoby byly poučeny o odpovědnosti zpracování osobních údajů o čem byl vyhotoven záznam o poučení pověřené osoby
2) součástí výběru zaměstnanců je posouzení jejich bezúhonnosti a spolehlivosti při dodržování bezpečnostních pravidel
3) osoby přicházející do kontaktu s osobními údaji jsou poučeny o povinnosti zachovávat mlčenlivost

Nadstandardní personální bezpečnost
➢ určená pověřená osoba vykonává pravidelně kontrolní činnost zaměřenou na dodržování
opatření při zpracovávání osobních údajů

b) Standardy administrativní bezpečnosti

                 Nové písemnosti, aktualizace a jejich používání

1) evidování osobních údajů provádějí výlučně pověřené osoby s písemným potvrzením
poučení a rozsahu pověření, kterým tuto kompetenci ukládají pracovní povinnosti. pracovní
povinnosti stanoví přesně, které osobní údaje má pověřená osoba právo zjišťovat a
evidovať
2) změny v písemnostech s osobními údaji mají právo provádět pouze pověřené osoby s písemným potvrzením poučení a rozsahu pověření
3) jednotlivé písemnosti v informačních systémech jsou upevněny k obalu tak, aby se zabránilo jejich vypadávání při běžné práci s nimi

                    Úschova písemností

1) písemnosti obsahující osobní údaje se ukládají do uzamykatelné místnosti provozovatele.

Požadavek na uzamykatelnost zařízení na úschovu písemností není závazná v případě stálé

fyzické ochrany prostorů strážní službou, nebo zamknutí vstupních dveří zámkem s

bezpečnostní vložkou a bezpečnostním kováním.

Přenášení písemností obsahujících osobní údaje

1) písemnosti s osobními údaji je možné přenášet výhradně v zalepené obálce nebo uzavřeném obalu, s otvorem přelepení lepicí páskou
2) písemnosti s osobními údaji přenášejí pouze k tomu určené pověřené osoby
3) pokud provozovatel obdrží zásilku v poškozeném obalu, prověří důvod poškození u doručující osoby a odsouhlasí obsah zásilky s odesílatelem
4) předání písemnosti pro přenos musí být zaznamenány v příslušné evidenci

                    Přeprava písemností

1) písemnosti obsahující osobní údaje se přepravují osobně, doporučenou poštovní zásilkou, nebo kurýrem
2) písemnosti, předány k přepravě jsou vedeny v evidenci

                  Rozmnožování a kopírování písemností

1) rozmnožováním se rozumí opakovaný tisk dokumentů z automatizovaného systému, vyhotovování fotokopií, odpisů a výpisů písemností
2) rozmnožovat písemnosti může jen pověřená osoba

                 Skartace písemností

1) písemnosti s osobními údaji se likvidují skartovacím zařízením, vymazáním z počítače, resp. datového nosiče nebo spálením pod komisního dohledem osob odpovědných za zpracování údajů zaznamenaných na médiích

              Zjištění neoprávněné manipulace s písemností

1) pověřená osoba odpovědná za ochranu osobních údajů provádí nejméně 1x za 12 měsíců kontrolu dodržování přijatých technických, organizačních a personálních opatření

Nadstandardní administrativní bezpečnost

➢ na práci s písemnostmi obsahujícími osobní údaje jsou vyhrazeny prostory, mimo dosah
nepovolaných a neoprávněných osob
➢ písemnosti obsahující osobní údaje jsou uchovávány v uzamykatelné skříni resp. prostoru určeném
výhradně pro tento účel
➢ práce s osobními údaji se řídí pracovním řádem, který stanoví pravidla pro používání,
odkládání, úschovu, archivaci a skartaci písemností

STANDARDNÍ POŽADAVKY NA BEZPEČNOST IS ÚD, IS Zákazníci

 

Pro stanovení standardů a požadavků hardwarové (HW) a softwarové (SW) IS ÚD, IS Zákazníci je východiskem:
➢ vyhláška Národního bezpečnostního úřadu č. 339/2004 CFU o bezpečnosti technických
prostředků
➢ stanoviska a usměrní Pracovní skupiny WP29 nařízení GDPR
➢ zákony, vyhlášky a mezinárodní normy definované v bodě 1.3 tohoto dokumentu

Na základě výše uvedených zákonů, vyhlášek a mezinárodních norem jsme stanovili následující bezpečnostní standardy:

1) použití operačních systémů na bázi WINDOWS
2) použití antivirového, antispywareového, antispamového programu a aktivace a správné
nastavení brány fireWall
3) ochranou počítačového systému je přístup do počítačového programu zadáním přístupového
hesla. Heslo by mělo obsahovat minimálně šest znaků a mělo by obsahovat čísla a i písmena
(malé i velké) nebo speciální znaky (*, “& apod.). Při nebezpečí prozrazení hesla, by mělo toto
v pravidelných intervalech měnit.

4) v případě počítačové sítě třeba pomocí uživatelských jmen, hesel a přístupových práv
konfigurovat systém tak, aby přístup k osobním údajům měli pouze oprávněné osoby
5) k zamezení ztráty nebo integrity databázových údajů v počítačových systémech je nezbytné
pravidelné zálohování dat na přenosná média. Tyto média je třeba uchovávat
v uzamykatelných prostorách provozovatele.
6) v souvislosti s dlouhodobým skladováním databázových údajů je třeba minimálně lx za 12
měsíců zálohovat všechny databáze počítačových informačních systémů a zálohy uložit na
zapisovatelný elkokapacitní nosič (např. CD R, CD-RW, DVD R, DVD RW, externí HDD apod.).

Nadstandardní HW a SW bezpečnost

➢ vyšším stupněm ochrany je definování hesla do počítače

ZABEZPEČENÍ IS ÚD, IS Zákazníci před hrozbou:

             Hrozby                                              Úroveň bezpečnosti                                   Opatření

  1. A) Prírodné udalosti

-Búrka, blesk                                           Globálna                                                  Technické zabezpečené

-potopa                                                   Zbytkové riziko                                       polohou technické

 

  1. B) Technologické havárie-požár Globální                                                      technické

 

  1. C) Sociálne

-Zastupování v práci                       Globální                                                      organizační, personální

  1. D) Organizační

-Kompetenční                                 Globální                                                     personální, organizační

 

  1. E) Výpadky

-Technologické                                  Globální                                                     technické, organizační

-Infraštruktúry                                  Globální, informační                                technické

-Komunikačné linky                         Informační, počítačoví                             technické

-Server                                               Globální, informační                                Organizační, personální
počítačoví

 

  1. F) Infiltrace Globální

-Lidské-vnitří                                                                                                        Personální, organizační

 

-Lidské-vnější

-počítačová                                    Počítačoví, informační,                            Technické, organizační

 

  1. G) Chyby

-HW                                              Počítačoví, informační                            Technické

-SW                                              Počítačoví                                                  Technické
Globální
-uživatelů                                                                                                        Personální, organizační

 

6.3 Opatření k prokázání souladu se zákonem č. 18/2018 Sb. o ochraně osobních údajů a o změně některých zákonů s přihlédnutím na práva a oprávněné zájmy subjektu a dalších fyzických osob, kterých se to týka

Provozovatel za účelem zajištění souladu zpracování osobních údajů se zásadami zpracování osobních údajů a se zákonem č. 18/2018 Sb. o ochraně osobních údajů a o změně některých zákonů a Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob při zpracováváním osobních údajů ao volném pohybu těchto údajů, kterým se zrušuje směrnice 95/46 / ES, přijal záruky, bezpečnostní opatření, mechanismy na eliminování rizik uvedené v tomto dokumentu a také následující technická a organizační opatření:

Bezpečnostní opatření č. 1 – Povinnosti operátora podle práv dotčené osoby
Bezpečnostní opatření č. 2 – Zpracování, uschovávání a likvidace osobních údajů z informačních systémů
Bezpečnostní opatření č. 3 – Popis povolených zpracovatelských činností a podmínky zpracování osobních údajů
Bezpečnostní opatření č. 4 – Rozmnožování písemností obsahujících osobní údaje
Bezpečnostní opatření č. 5 – Rozsah odpovědnosti pověřených a odpovědných osob
Bezpečnostní opatření č. 6 – Klíčový režim provozovatele a povinnosti držitelů klíčů
Bezpečnostní opatření č. 7 – Povinnosti provozovatele při práci s automatizovanými IS
Bezpečnostní opatření č. 8 – Zálohování dat v počítačovém systému
Bezpečnostní opatření č. 9 – Způsob, forma a periodicita výkonu kontrolních činností zaměřených na dodržování bezpečnostních opatření
Bezpečnostní opatření č. 10 – Postupy při haváriích, poruchách a jiných mimořádných situacích, včetně preventivních opatření

Kromě výše uvedených opatření, provozovatel se zavazuje, že

➢ před tím než od dotyčné osoby získá osobní údaje, které se jí týkají, poskytne dotčené osobě
při jejich získávání všechny informace podle § 19 a § 20 zákona č. 18/2018 Sb.

➢ v případě pokud je právním základem souhlas dotčené osoby podle § 13 odst. 1 písm. a)
zákona č. 18/2018 Sb., Prokazatelným zákonným způsobem tento souhlas od dotčené osoby
získá

➢ v případě pokud je právním základem oprávněný zájem provozovatele podle § 13 odst. 1
písm. f) zákona č. 18/2018 Sb., Tento oprávněný zájem provozovatel náležitým způsobem
prokáže

➢ v případě pokud osobní údaje bude zpracovávat zprostředkovatel, provozovatel uzavře před
zahájením zpracování osobních údajů se zprostředkovatelem smlouvu o pověření
zpracovávání osobních údajů
podle § 34 zákona č. 18/2018 Sb.

➢ vede písemné záznamy o zpracovatelských činnostech podle § 37 zákona č. 18/2018 Sb.

➢ zaměstnanců písemně pověří o pokynech při zpracovávání osobních údajů podle zákona č.
18/2018 Sb.

Provozovatel se v bodě 5.2 tohoto dokumentu zavázal a popsal, jakým způsobem bude uplatňovat práva dotčené osoby.

7. Závěrečná ustanovení

Na základě tohoto posouzení zpracování osobních údajů, provozovatel přijal záruky, bezpečnostní (Technické, organizační a personální) opatření a mechanismy pro zajištění ochrany osobních údajů dotčených osob.

Záruky, bezpečnostní (technické, organizační a personální) opatření a mechanismy pro zajištění ochrany osobních údajů dotčených osob, uvedené v tomto dokumentu, nabývají platnosti a účinnosti dnem podpisu statutárního orgánu provozovatele.