KODEX OCHRANY OSOBNÍCH ÚDAJŮ Leviat s.r.o.
Minimální bezpečnostní požadavky
1. ÚVODNÍ USTANOVENÍ
1.1 Společnost Leviat s.r.o. (dále jen „Společnost“) tímto vydává pro své obchodní partnery a dodavatele, jejich zaměstnance a jejich případné subdodavatele (dále společně jako „Partneři“ a jednotlivě jako „Partner“) tento závazný kodex ochrany informací (dále jen „Kodex“) s cílem zajistit dodržování příslušných právních předpisů a jiných požadavků v oblasti ochrany osobních údajů.
1.2 Elektronickou verzi tohoto Kodexu (v jeho aktuálním znění) lze nalézt na následujícím odkazu: www.halfen.cz
1.3 Společnost je oprávněna tento Kodex jednostranně měnit, doplňovat či aktualizovat, a to zejména v návaznosti na změny příslušných právních předpisů, doporučení příslušných dozorových orgánů a/nebo v zájmu zajištění cílů Společnosti v oblasti ochrany osobních údajů. Partner je povinen se průběžně seznamovat s aktuálně platným zněním tohoto Kodexu.
2. ZÁKLADNÍ POJMY
2.1 Není-li v tomto Kodexu uvedeno jinak, mají následující pojmy použité v tomto Kodexu níže uvedený význam:
„Audit“ má význam uvedený v článku 3.6 tohoto Kodexu;
„Citlivé osobní údaje“ znamená:
(a) zvláštní kategorie osobních údajů ve smyslu článku 9 Nařízení;
(b) osobní údaje týkající se rozsudků v trestních věcech a trestných činů ve smyslu článku 10 Nařízení; a
(c) jiné osobní údaje, které lze považovat za citlivé z jiného důvodu;
„Dokumentace bezpečnosti OÚ“ má význam uvedený v článku 4.1.3 tohoto Kodexu;
„Informace“ a „Osobní údaje“ má význam uvedený v článku 0 tohoto Kodexu;
„Kodex“ má význam uvedený v článku 1.1 tohoto Kodexu;
„Nařízení“ znamená nařízení Evropského parlamentu a Rady (EU) č.
2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES; „Oprávněný uživatel“ má význam uvedený v článku 4.4.1 tohoto Kodexu;
„Partneři“ a „Partner“ má význam uvedený v článku 1.1 tohoto Kodexu;
„Předpisy o ochraně osobních znamená příslušné právní předpisy o ochraně osobních údajů“ údajů, zejména Nařízení a Zákon ZOÚ;
„Smlouva o zpracování“ znamená smlouvu o zpracování osobních údajů mezi Společností, jako správcem, a Partnerem, jako zpracovatelem;
„Smlouva z obchodního vztahu“ znamená smlouvu mezi Společností a Partnerem, jejímž předmětem je dodávka produktů, služeb a/nebo jiných plnění mezi Společností a Partnerem;
„Společnost“ má význam uvedený v článku 1.1 tohoto Kodexu;
„Uživatelské ID“ má význam uvedený v článku 4.4.1 tohoto Kodexu;
„Zákon ZOÚ“ znamená platný a účinný český zákon upravující ochranu a zpracování osobních údajů;
„zaměstnanec“ znamená pracovníka pracujícího pro určitou osobu na základě pracovní smlouvy, dohody o pracovní činnosti, dohody o provedení práce, smlouvy o výkonu funkce či jiné obdobné smlouvy;
„Zmocněnec OÚ“ má význam uvedený v článku 4.1.2 tohoto Kodexu;
2.2 Pojmy, které jsou definovány v článku 4 Nařízení, jsou v tomto Kodexu používány ve stejném významu, jaký je přiřazen v článku 4 Nařízení.
3. ZÁKLADNÍ POVINNOSTI PARTNERA
Soulad s požadavky na zpracování osobních údajů
3.1 Partner je povinen zpracovávat osobní údaje získané od Společnosti nebo jménem Společnosti či osobní údaje shromážděné Partnerem pro Společnost (dále jen „Informace“ či „Osobní údaje“) v souladu s Předpisy o ochraně osobních údajů, Smlouvou o zpracování (byla-li uzavřena), Smlouvou z obchodního vztahu (byla-li uzavřena) a v souladu s tímto Kodexem.
Osvědčené postupy
3.2 Partner je povinen dodržovat při zpracování osobních údajů (a především při zpracování Osobních údajů) osvědčené postupy (best practices) v oblasti ochrany osobních údajů.
Školení
3.3 Partner je povinen zajistit účast zaměstnanců Partnera, kteří se podílí na zpracování osobních údajů, na pravidelných školeních týkajících ochrany osobních údajů. Na žádost Společnosti je Partner dále povinen zajistit účast vedoucích zaměstnanců Partnera, kteří se podílí na zpracování Osobních údajů, na školeních týkajících ochrany osobních údajů pořádaných Společností.
Obecná informační povinnost
3.4 Partner je povinen informovat Společnost o jakémkoli riziku porušení zabezpečení osobních údajů, které by mohlo mít dopad na Osobní údaje. Partner je povinen informovat Společnost o opatřeních přijatých Partnerem za účelem odstranění takového rizika a na vyžádání poskytnout Společnosti příslušné podklady.
3.5 Na žádost Společnosti je Partner povinen bez zbytečného odkladu řádně, úplně a pravdivě vyplnit dotazník Společnosti pro oblast ochrany osobních údajů, který je Společnost oprávněna zaslat Partnerovi kdykoliv během trvání smluvního či obchodního vztahu mezi Společností a Partnerem.
Audit
3.6 Společnost je oprávněna provést u Partnera (a jeho případných subdodavatelů) kontrolu plnění povinností Partnera (a jeho případných subdodavatelů) v oblasti ochrany osobních údajů a Partner je povinen Společnosti takovou kontrolu umožnit (dále jen „Audit“). Společnost oznámí Partnerovi minimálně deset (10) pracovních dní předem svůj úmysl zahájit provedení Auditu. Audit bude spočívat v provedení kontroly dokumentace, praktické realizace činností a ve fyzické kontrole prostor, kde jsou činnosti prováděné Partnerem pro Společnost vykonávány. Činnosti spojené s Auditem budou Společností prováděny tak, aby měly minimální dopad na provoz Partnera. Partner určí k provedení Auditu minimálně jednoho (1) vedoucího zaměstnance Partnera, který bude Společnosti při provádění Auditu nápomocen, přičemž se bude jednat o zaměstnance, který bude mít přístup do příslušných prostor a k příslušným dokumentům.
4. PRAVIDLA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
4.1 Bezpečnost Osobních údajů
Bezpečnost Osobních údajů
4.1.1 Partner je povinen zajistit, že přístup k Osobním údajům budou mít pouze osoby, které dané Osobní údaje potřebují pro výkon své práce či činnosti pro Partnera a pro účely plnění smluvních vztahů mezi Společností a Partnerem. Partner je povinen zajistit, že Osobní údaje nebudou použité pro jiné účely než pro účely plnění smluvních vztahů mezi Společností a Partnerem, ledaže příslušné právní předpisy závazné pro Partnera stanoví jinak.
Zmocněnec pro ochranu osobních údajů (Security Officer)
4.1.2 Není-li Partner povinen jmenovat pověřence pro ochranu osobních údajů, je Partner povinen jmenovat ze svých zaměstnanců osobu odpovědnou za oblast ochrany osobních údajů (dále jen „Zmocněnec OÚ“), která bude pověřena zajištěním plnění povinností Partnera v souvislosti se zpracováním Informací. Zmocněnec OÚ musí mít odpovídající znalosti a kompetence v oblasti ochrany osobních údajů a musí být vybaven dostatečnými zdroji a pravomocemi pro své úkoly.
Dokumentace bezpečnosti Osobních údajů
4.1.3 Partner je povinen dokumentovat všechna opatření přijatá ke splnění požadavků tohoto Kodexu. Tato dokumentace (dále jen „Dokumentace bezpečnosti OÚ“) musí být udržována aktuální a musí být revidována v případě změn v technickoorganizačních opatřeních přijatých Partnerem. Dokumentace bezpečnosti OÚ musí podléhat změnovému řízení a být dostupná zaměstnancům Partnera, kteří se podílejí na zpracování Osobních údajů. Partner je povinen uchovávat předchozí verze Dokumentace bezpečnosti OÚ a relevantních záznamů po dobu minimálně pěti (5) let po ukončení smluvních vztahů Partnera se Společností.
4.1.4 Dokumentace bezpečnosti OÚ musí pokrývat minimálně tyto oblasti:
(a) rozsah a detailní specifikaci systémů zapojených do ochrany bezpečnosti Osobních údajů;
(b) opatření a standardy, procedury a další dokumentaci zajišťující bezpečnost Osobních údajů, včetně řízení, kontroly a dohledu nad informačními systémy;
(c) strukturu souborů (či jiných úložišť Osobních údajů) a popis informačních systémů, pomocí kterých jsou Osobní údaje zpracovávány;
(d) bezpečnostní opatření spojená s modifikacemi a údržbou systémů používaných pro zpracování Osobních údajů, včetně vývoje a údržby aplikací, relevantní podporu dodavatelů, přehled opatření v oblasti fyzické bezpečnosti, včetně bezpečnosti budov nebo prostor, kde dochází ke zpracování Osobních údajů, zabezpečení prostředků pro zpracování informací a telekomunikační infrastruktury a kontrol prostředí;
(e) mechanismy pro zajištění integrity a důvěrnosti Osobních údajů;
(f) bezpečnost počítačů a telekomunikačních systémů, která zahrnuje procesy zálohování, antivirové ochrany, řízení komunikační bezpečnosti, bezpečnost spojenou s implementací a změnami software a databází, instalací softwarových oprav a bezpečnostních záplat, bezpečnost systémů připojených k Internetu, dohled nad obcházením bezpečnostních opatření, mechanismy logování pokusů o překonání opatření a/nebo získání neoprávněného přístupu;
(g) postupy pro hlášení, řízení a odpovědi na bezpečnostní události a incidenty;
(h) role, odpovědnosti a pravomoci osob majících přístup k informačním systémům a Osobním údajům; a
(i) postupy zálohování a obnovy, včetně odpovědných osob a identifikací dat, která musí být manuálně zpracována při procesu obnovy.
Záznamová povinnost
4.1.5 Partner je povinen pořizovat, uchovávat (minimálně tři (3) měsíce) a pravidelně přezkoumávat logy událostí ve vlastních systémech, aplikacích zaznamenávající aktivity uživatelů, výjimky, selhání a další události bezpečnosti informací. Musí být logovány i aktivity systémového administrátora. Na požádání je Partner povinen k těmto informacím poskytnout přístup Společnosti.
Technická opatření
4.1.6 Partner musí do svých systémů implementovat firewally, antiviry a systémy pro detekci a/nebo předcházení průnikům (IDS/IDP), které budou vždy pravidelně aktualizovány, udržovány na nejlepší možné úrovni a v souladu s oborovými osvědčenými postupy (best practices). Musí být přijata opatření k identifikaci neoprávněného přístupu k Osobním údajům a/nebo informačním systémům, a to i ve stádiu pokusu.
Přenos Osobních údajů
4.1.7 Pokud jsou Osobní údaje přenášeny pomocí sítí elektronických komunikací, musí být nastavena opatření pro řízení a kontrolu toku dat a musí být prováděn záznam času přenosu, identifikace přenesených Osobních údajů, cílovém umístění přenášených Osobních údajů a identifikaci Oprávněného uživatele, který přenos prováděl.
Zpracování Osobních údajů
4.1.8 Partner je povinen: (a) zdržet se veškerého jednání, které by mohlo mít za následek porušení Předpisů o ochraně osobních údajů, (b) zpracování vždy provádět v souladu Smlouvy o zpracování a/nebo Smlouvy z obchodního vztahu (byly-li uzavřeny), (c) v případě dožádání z jakékoli třetí strany, včetně orgánů státní správy týkajícího se Osobních údajů, je Partner povinen o takové skutečnosti Společnost neprodleně informovat a není oprávněn třetí straně takové údaje vydat, ledaže příslušné právní předpisy závazné pro Partnera stanoví jinak.
4.2 Zabezpečení prostředků používaných pro zpracování Osobních údajů
Instalování a provozování softwaru
4.2.1 Partner smí používat pouze legální software. Partner musí aplikovat postup pro interní schvalování používaného software. Partner musí zajistit, že všechen používaný software bude interně schválen. Software, firmware a hardware musí být minimálně jedenkrát za šest (6) měsíců revidován a přezkoumáván s ohledem na existenci bezpečnostních zranitelností a chyb. Partner musí průběžně zjišťovat zranitelnosti v používaném software/firmware/hardware a zajistit včasnou instalaci oprav a bezpečnostních záplat na systémech, kde jsou zpracovávány Osobní údaje s přihlédnutím k závažnosti zranitelnosti – pro kritické zranitelnosti v nejbližší možné době, pro vysoce závažné do jednoho (1) měsíce, pro středně závažné do dvou (2) měsíců, pro méně závažné do tří (3) měsíců, pokud Společnost neodsouhlasí jiný postup.
4.2.2 Alespoň jedenkrát ročně musí být prováděny penetrační testy systémů, ve kterých jsou zpracovávány Osobní údaje.
Antivirová ochrana
4.2.3 Všechny počítače Partnera musí mít nainstalovaný a provozovaný antivirový program. Antivirový program lze vypnout pouze v odůvodněných případech. Jakmile pomine potřeba vypnutí antivirového programu, musí být antivirový program znovu bezodkladně uveden do provozu.
Testování s reálnými daty
4.2.4 Testování informačních systémů Partnera při jejich implementaci a/nebo modifikaci nesmí používat reálná (živá) data, pokud to není nezbytné. Použití reálných (živých dat) je možné pouze v případě, že neexistuje žádná jiná smysluplná alternativa. V případě, že reálná (živá) data musí být použita, musí být toto použití omezeno na nezbytné minimum a musí být zajištěna technickoorganizační opatření v souladu s požadavky tohoto Kodexu.
4.3 E-mail a internet
Používání internetu a elektronických komunikačních sítí
4.3.1 Internet ani žádná elektronická komunikační síť nepatří mezi bezpečná média. Není-li se Společností dohodnuto jinak, Citlivé osobní údaje nesmí být nikdy posílány prostřednictvím internetu a/nebo elektronické komunikační sítě bez patřičného zašifrování nebo jiných opatření, které zajistí, že Citlivé osobní údaje nebudou čitelné a/nebo modifikovatelné třetí stranou.
4.3.2 Zákaz veřejných uložišť – Osobní údaje nesmí být za žádných okolností ukládány na veřejná úložiště, ani v zašifrované formě.
4.3.3 Partner musí zajistit, že jeho zaměstnanci nebudou stahovat spustitelné soubory z internetu na počítače využívané zpracování Osobních údajů. Zvýšená pozornost musí být také věnována užívání souborů z neznámých zdrojů, jelikož tyto mohou obsahovat škodlivý kód nebo virus. Veškeré soubory stažené z internetu jsou považovány za nevěrohodné a před jejich prvním užitím musí být ověřeno, že neobsahují viry nebo škodlivý kód.
Používání e-mailu
4.3.4 Všechny přílohy elektronické pošty musí být zkontrolovány na přítomnost virů. Potenciálně nebezpečné přílohy pošty musí být blokovány na serverech Partnera.
4.4 Přihlášení a hesla
Přístupová oprávnění
4.4.1 Partner je povinen zajistit, že:
(a) do informačních systémů používaných pro zpracování Osobních údajů bude obecně umožněn přístup pouze osobám, které k tomu mají příslušné oprávnění a které potřebují přístup do systémů pro výkon své práce či činnosti pro Partnera (dále jen „Oprávněný uživatel“);
(b) každému Oprávněnému uživateli bude vydán osobní a jedinečný identifikátor pro tyto účely („Uživatelské ID“). Uživatelské ID nesmí být nikdy ani v budoucnu postoupeno jiné osobě. Uživatelské ID lze doplnit více-faktorovou autentizací;
(c) bude veden aktuální seznam Oprávněných uživatelů a budou vytvořeny identifikační a ověřovací postupy pro veškeré přístupy do informačních systémů nebo pro provádění jakéhokoliv zpracování Osobních Údajů;
(d) pro každého jednotlivého Oprávněného uživatele nebo pro stejnorodou skupinu Oprávněných uživatelů budou vytvořeny autorizační profily, které budou před započetím jakékoliv aktivity Oprávněného uživatele nakonfigurovány takovým způsobem, aby byl umožněn přístup pouze k údajům a zdrojům, jež jsou k plnění povinností Oprávněných uživatelů;
(e) přístup k jakýmkoliv Osobním údajům bude Oprávněným uživatelům umožněn pouze po úspěšném ověření přístupových oprávnění; a
(f) přístupová oprávnění budou oprávněni přidělovat, měnit nebo odebírat pouze prověření a pověření pracovníci Partnera.
Řízení přístupu
4.4.2 Přístupy do operačních systémů a databází musí být správně nakonfigurovány tak, aby umožňovaly přístup pouze Oprávněných uživatelů po autorizaci.
4.4.3 Uživatelská hesla musí být pravidelně měněna, minimálně jedenkrát za tři (3) měsíce.
4.4.4 Hesla musí splňovat následující kvalitativní požadavky:
(a) minimální délka hesla je osm znaků,
(b) hesla musí obsahovat velká a malá písmena,
(c) hesla musí obsahovat číslice,
(d) hesla nesmí obsahovat žádné prvky, které by byly snadno spojitelné s Oprávněným uživatelem.
4.4.5 Partner je povinen zajistit, že budou používána silná hesla, která nejsou snadno uhodnutelná a že hesla budou známa pouze svému uživateli.
4.4.6 Hesla nesmí být uchovávána v nechráněném úložišti (např. papír, běžné textové soubory apod.).
4.4.7 Uživatelé musí mít za povinnost uchovávat autentizační údaje v tajnosti, toto se týká i prvků případné více-faktorové autentizace.
4.4.8 V případě nepoužití přístupových oprávnění (mimo systémové a technické účty) po dobu šesti (6) měsíců musí dojít k jejich deaktivaci.
Přezkoumávání oprávnění
4.4.9 Partner musí minimálně jedenkrát ročně přezkoumat pokračující potřebnost a správnost nastavených přístupových oprávnění a o tomto přezkoumání vést záznam.
Přístup do systémů Společnosti
4.4.10 V případě, že je Partnerovi umožněn přístup do systémů Společnosti, jsou o každém jednotlivém uživateli zpracovávány Společností následující údaje: jméno, příjmení, adresa, datum narození, telefonní číslo, informace o zaměstnavateli, přihlašovací jméno (username), zařazení v organizační struktuře a přidělené interní číslo, datum zahájení a ukončení činnosti.
4.4.11 Údaje jsou zpracovávány Společností povinně za účelem přístupu do systému, činnosti v systémech a ochrany oprávněných zájmů Společnosti po dobu 5 let od ukončení činnosti v systémech.
Logování přístupů
4.4.12 V zabezpečené auditní stopě musí být uchovávána historie přístupu k nebo zveřejnění Osobních údajů Oprávněnými uživateli.
4.5 Chování na pracovišti
Čistý stůl a prázdná obrazovka
4.5.1 Partner je povinen zajistit dodržování obecných zásad „čistého stolu“ (clean desk) a „prázdné obrazovky“ (clean screen), což znamená, že v případě nepřítomnosti zaměstnance na pracovišti nesmí zůstat volně přístupné položené dokumenty, přenosná média a softwarově neuzamčená zařízení (počítač, tablet, mobilní telefon, apod.). V případě práce s Osobními údaji na počítači (nebo na displeji přenosného zařízení) je zaměstnanec povinen se ujistit, že nikdo neoprávněný nemůže tyto informace vidět.
Zákaz sdílení přístupových oprávnění
4.5.2 Partner je povinen zajistit, že přidělená oprávnění nebudou předávána ani jinak sdílena s jinou než konkrétní oprávněnou fyzickou osobou.
4.5.3 Partner je povinen zajistit, aby nedocházelo k používání systémových nástrojů, které by mohly vést k překonání systémové nebo aplikační kontroly mimo situace, kdy se jedná o schválené testování buď těchto nástrojů, nebo příslušných systémů.
Ukládání dokumentů
4.5.4 Partner je povinen ukládat všechny dokumenty obsahující Osobní údaje (papírová podoba nebo elektronická na přenosných médiích) do uzamykatelných skříněk nebo uzamykatelných šuplíků pracovního stolu. Je doporučeno použít ohnivzdorné trezory či skříně. Klíče musí být ukládány na bezpečném místě.
4.6 Vzdálený přístup
Vzdálený přístup
4.6.1 Zaměstnanci Partnera jsou při využití technologií vzdáleného přístupu k prostředkům pro zpracování informací Partnera povinni dodržovat tyto zásady:
(a) připojovat se pouze schválenými zabezpečenými technologiemi; a
(b) připojení využívat pouze v případech odůvodněných jejich pracovním zařazením.
4.6.2 Pro práci se vzdáleným přístupem platí stejná pravidla jako pro práci v kanceláři. Při odchodu od notebooku je vždy nutné jej softwarově uzamknout, nebo se odhlásit. Přenosná zařízení ani tištěné dokumenty nesmí být nechávány bez dozoru.
4.7 Výměnná a přenosná zařízení
Výměnná média
4.7.1 Výměnnými počítačovými médii se rozumí zejména: diskety, CD/DVD/BluRay, USB flash disky, externí disky, mobilní telefony, tablety, a obecně přenosné nosiče informací.
4.7.2 Každý zaměstnanec Partnera je oprávněn na výměnná média umísťovat Osobní údaje jen v těch případech, kdy je to nezbytně nutné pro výkon jeho pracovní činnosti; za takto vytvořené médium je přímo odpovědný.
4.7.3 Datové soubory uložené na ukládacích médiích (CD, DVD, paměťové karty, USB paměti apod.) musí být před přenosem na firemní HDD nebo osobní počítač prověřeny za pomoci aktuální verze firemního antivirového softwaru.
Označování médií
4.7.4 Každé vytvořené/převzaté médium musí být označeno tak, aby bylo možné identifikovat uložené Osobní údaje.
Vynášení médií
4.7.5 Pokud to není nezbytně nutné z plnění činností Partnera pro Společnost, nesmí Osobní údaje opustit prostory Partnera. V případě vynášení informací mimo prostory Partnera (i v případě např. údržby) musí být média zabezpečena proti zcizení a neoprávněnému kopírování, manipulaci či přístupu k informacím na médiu umístěnými. Zejména není povoleno ponechání média v prázdném automobilu nebo na jiném místě mimo uzamčené prostory bez dozoru. Toto pravidlo platí i pro přenosné počítače.
4.7.6 Pro práci s médii obsahujícími Osobní údaje musí být nastaven systém zaznamenávání příchozích a odchozích médií, který bude umožňovat přímou nebo nepřímou identifikaci typu média, data a času odeslání/příjmu, odesílatele a příjemce, číslo média, typ informací na médiu obsažených, jak jsou odesílány a osobu odpovědnou za odesílání/příjem média. Tato osoba k tomu musí být náležitě oprávněna.
Odstranění dat z médií
4.7.7 Pokud pomine důvod uložení Osobních údajů na externím médiu, je zaměstnanec Partnera odpovědný za jejich odstranění, které může mít podobu:
(a) fyzického zničení nosiče – nutno provést u nepřepisovatelných přenosných zařízení (např.
skartace CD médií a disket). Pokud to je u konkrétního zařízení možné, je doporučena i jeho fyzická likvidace takovým způsobem, aby data z nosiče již nebyla dále čitelná; a
(b) důsledného softwarového zničení zapsaných informací – vymazání dat na přepisovatelných zařízeních musí být prováděno speciálním nástrojem, který zajistí fyzické vymazání informace ze zařízení a jejich fyzické přepsání náhodnými daty – např. WIPE (min. trojí přepis náhodnými daty), prosté zformátování média se za dostatečné nepovažuje).
Fyzická bezpečnost
4.7.8 Partner je odpovědný za fyzickou bezpečnost výměnných a přenosných zařízení a za ochranu Osobních údajů na nich uložených. Partner je povinen zajistit, že Osobní údaje jsou chráněny adekvátním způsobem šifrování tak, aby se v případě ztráty nebo odcizení zařízení zabránilo jejich vyzrazení.
4.8 Notebooky
Uživatelé notebooků
4.8.1 Partner musí zajistit, že Osobní údaje uložené na noteboocích jsou vždy zašifrované.
4.9 Tisk a papírové dokumenty
Tisk
4.9.1 Partner je povinen zajistit, aby byla nastavena a dodržována pravidla týkající se listinných dokumentů, včetně pravidel odebírání výtisků z tiskáren ihned po jejich vytištění tak, aby bylo zamezeno možnému přístupu nepovolaných osob k vytištěným dokumentům obsahujícím Osobní údaje.
4.9.2 Po uplynutí použitelnosti vytištěných informací je Partner povinen provést skartaci, či jinak zabezpečit zničení výtisků.
4.10 Zálohování dat
Zálohování dat
4.10.1 Partner je povinen zajistit, že data vzniklá z činnosti pro Společnost jsou ukládána na zálohovaná úložiště a že nemůže dojít k nezamýšlenému poškození a/nebo zničení dat.
4.10.2 musí definovat a v praxi dodržovat takové postupy zálohování a obnovy dat, že bude v případě bezpečnostního incidentu schopen data uvést do stavu platného v čase jejich ztráty nebo zničení.
4.10.3 Zálohy musí být prováděny minimálně jedenkrát týdně s výjimkou situace, kdy by v této periodě nedošlo k jejich změně.
4.10.4 Záložní kopie a postupy pro obnovu dat musí být uchovávány také off-site. Na takto uchovávané zálohy se vztahují všechna ostatní pravidla stanovená tímto Kodexem.
4.11 Bezpečnost zaměstnanců
Noví zaměstnanci / osoby mající přístup k Osobním údajům
4.11.1 Partner je povinen provést opatření, aby jeho zaměstnanci či jiné osoby, které budou mít přístup k Osobním údajům, byli prověřeni s ohledem na potenciální rizika spojená s případným únikem informací. Pouze zaměstnanci či osoby, kteří prokáží čestnost, integritu a diskrétnost mohou mít přístup k Osobním údajům a přístup do prostor, kde se s Osobními údaji pracuje a/nebo jsou uloženy. Se všemi zaměstnanci a stranami musí být Partnerem uzavřena dohoda o mlčenlivosti. Osoby, které partner využívá pro výkon činností, musí být bez zbytečného odkladu informovány a proškoleny o bezpečnostních opatřeních a požadavcích (včetně důsledků jejich porušení) a taková skutečnost musí být dokumentována (např. prezenční listina ze školení zaměstnanců atp.).
Změna pozice, pracovní náplně
4.11.2 V případě, že Oprávněný uživatel přechází na jinou pracovní pozici, je Partner povinen ihned zrevidovat všechny přístupy do systémů a vstupy do prostor Partnera a zajistit jejich odebrání, pokud již nejsou nutné.
Ukončení práce
4.11.3 Pokud dojde k ukončení výkonu činnosti Oprávněného uživatele u nebo pro Partnera, je Partner povinen zajistit, že všechna oprávnění (fyzické i logické přístupy) budou ihned zrušena. Partner je zejména povinen informovat Společnost o potřebě zrušit přístupová oprávnění do systémů Společnosti. V závislosti na pracovní náplni je nutné věnovat zvláštní pozornost zaměstnanci Partnera zejména v době od oznámení ukončení pracovního poměru do doby skutečného opuštění Partnera.
4.12 Fyzická bezpečnost – Kontrola vstupu
Kontrola vstupu
4.12.1 Vstup do prostor Partnera musí být zabezpečen a řízen. Partner musí zabránit pohybu neidentifikovaných osob. Partner musí zajistit, že nikdo neoprávněný nezíská přístup k Osobním údajům. Přístup do prostor, kde dochází ke zpracování Osobních údajů, musí být povolen pouze Oprávněným uživatelům.
4.12.2 Vstup do prostor, kde jsou uchovávány média a informační systémy obsahující Osobní údaje musí být omezen pouze na prověřené osoby. Musí být veden záznam vstupů do těchto prostor, záznam musí obsahovat minimálně jméno pracovníka, datum a čas přístupu.
Fyzické klíče
4.12.3 Partner je povinen zajistit přísnou kontrolu bezpečnostních klíčů (tj. klíčů, které umožňují vstup do prostor Partnera, kde dochází ke zpracování Osobních údajů). Každá osoba musí znát a dodržovat pravidla pro používání bezpečnostních i ostatních klíčů. Zvláštní pozornost musí být věnována situacím, kdy přístup a použití klíčů jsou umožněny osobám, které nejsou zaměstnanci Partnera (například dodavatelé, zejména při dlouhodobém užívání).
Návštěvy
4.12.4 Partner je povinen zajistit, aby návštěvy bez přidělených oprávnění nezískaly přístup k Osobním údajům. Partner je povinen zajistit, že návštěva bude doprovázena zaměstnancem Partnera po celou dobu jejího pobytu v prostorách Partnera.
4.13 Fyzická bezpečnost – Ochrana budov
Ochrana budov
4.13.1 Partner musí zajistit řádné používání prostředků fyzické bezpečnosti a jejich funkčnost (např. zajistit, že dveře, které mají zůstat zavřené, nebudou úmyslně otevřené).
Umístění infrastruktury
4.13.2 Informační systémy musí být umístěny ve fyzicky zabezpečeném prostředí. Musí být přijata opatření k zamezení neautorizovaného fyzického přístupu do prostor, kde jsou informační systémy a Osobní údaje umístěny.
4.14 Report incidentů
Report incidentů
4.14.1 P artner je povinen stanovit, dokumentovat a v praxi dodržovat procesy pro řízení bezpečnostních událostí a incidentů (a to i ve stádiu pokusu a/nebo podezření). Tyto procesy musí zahrnovat minimálně:
(a) postup pro ohlášení událostí/incidentů stanovenému týmu/zaměstnanci Partnera;
(b) jasně stanovený team / zaměstnanec pro řízení a koordinaci řešení bezpečnostního incidentu;
(c) v praxi otestovaný postup pro řízení odpovědi na incident, včetně požadavků na zajištění důkazů a přijatých opatření a včetně časové stopy a zapojených osob;
(d) nahlášení případů s dopadem na Osobní údaje prostřednictvím e-mailu; a
(e) spolupráci s bezpečnostním týmem Společnosti na řešení bezpečnostních událostí a incidentů.
4.15 Právní soulad
4.15.1 Partner musí jednoznačně identifikovat, dokumentovat a udržovat aktuální veškeré relevantní zákonné, předpisové a smluvní požadavky se vztahem k bezpečnosti informací a způsob, jakým je dodržuje.
Status 25.05.2018
1. ÚVODNÍ USTANOVENÍ
1.1 Společnost Leviat s.r.o. (dále jen „Společnost“) tímto vydává pro své obchodní partnery a dodavatele, jejich zaměstnance a jejich případné subdodavatele (dále společně jako „Partneři“ a jednotlivě jako „Partner“) tento závazný kodex ochrany informací (dále jen „Kodex“) s cílem zajistit dodržování příslušných právních předpisů a jiných požadavků v oblasti ochrany osobních údajů.
1.2 Elektronickou verzi tohoto Kodexu (v jeho aktuálním znění) lze nalézt na následujícím odkazu: www.halfen.cz
1.3 Společnost je oprávněna tento Kodex jednostranně měnit, doplňovat či aktualizovat, a to zejména v návaznosti na změny příslušných právních předpisů, doporučení příslušných dozorových orgánů a/nebo v zájmu zajištění cílů Společnosti v oblasti ochrany osobních údajů. Partner je povinen se průběžně seznamovat s aktuálně platným zněním tohoto Kodexu.
2. ZÁKLADNÍ POJMY
2.1 Není-li v tomto Kodexu uvedeno jinak, mají následující pojmy použité v tomto Kodexu níže uvedený význam:
„Audit“ má význam uvedený v článku 3.6 tohoto Kodexu;
„Citlivé osobní údaje“ znamená:
(a) zvláštní kategorie osobních údajů ve smyslu článku 9 Nařízení;
(b) osobní údaje týkající se rozsudků v trestních věcech a trestných činů ve smyslu článku 10 Nařízení; a
(c) jiné osobní údaje, které lze považovat za citlivé z jiného důvodu;
„Dokumentace bezpečnosti OÚ“ má význam uvedený v článku 4.1.3 tohoto Kodexu;
„Informace“ a „Osobní údaje“ má význam uvedený v článku 0 tohoto Kodexu;
„Kodex“ má význam uvedený v článku 1.1 tohoto Kodexu;
„Nařízení“ znamená nařízení Evropského parlamentu a Rady (EU) č.
2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES; „Oprávněný uživatel“ má význam uvedený v článku 4.4.1 tohoto Kodexu;
„Partneři“ a „Partner“ má význam uvedený v článku 1.1 tohoto Kodexu;
„Předpisy o ochraně osobních znamená příslušné právní předpisy o ochraně osobních údajů“ údajů, zejména Nařízení a Zákon ZOÚ;
„Smlouva o zpracování“ znamená smlouvu o zpracování osobních údajů mezi Společností, jako správcem, a Partnerem, jako zpracovatelem;
„Smlouva z obchodního vztahu“ znamená smlouvu mezi Společností a Partnerem, jejímž předmětem je dodávka produktů, služeb a/nebo jiných plnění mezi Společností a Partnerem;
„Společnost“ má význam uvedený v článku 1.1 tohoto Kodexu;
„Uživatelské ID“ má význam uvedený v článku 4.4.1 tohoto Kodexu;
„Zákon ZOÚ“ znamená platný a účinný český zákon upravující ochranu a zpracování osobních údajů;
„zaměstnanec“ znamená pracovníka pracujícího pro určitou osobu na základě pracovní smlouvy, dohody o pracovní činnosti, dohody o provedení práce, smlouvy o výkonu funkce či jiné obdobné smlouvy;
„Zmocněnec OÚ“ má význam uvedený v článku 4.1.2 tohoto Kodexu;
2.2 Pojmy, které jsou definovány v článku 4 Nařízení, jsou v tomto Kodexu používány ve stejném významu, jaký je přiřazen v článku 4 Nařízení.
3. ZÁKLADNÍ POVINNOSTI PARTNERA
Soulad s požadavky na zpracování osobních údajů
3.1 Partner je povinen zpracovávat osobní údaje získané od Společnosti nebo jménem Společnosti či osobní údaje shromážděné Partnerem pro Společnost (dále jen „Informace“ či „Osobní údaje“) v souladu s Předpisy o ochraně osobních údajů, Smlouvou o zpracování (byla-li uzavřena), Smlouvou z obchodního vztahu (byla-li uzavřena) a v souladu s tímto Kodexem.
Osvědčené postupy
3.2 Partner je povinen dodržovat při zpracování osobních údajů (a především při zpracování Osobních údajů) osvědčené postupy (best practices) v oblasti ochrany osobních údajů.
Školení
3.3 Partner je povinen zajistit účast zaměstnanců Partnera, kteří se podílí na zpracování osobních údajů, na pravidelných školeních týkajících ochrany osobních údajů. Na žádost Společnosti je Partner dále povinen zajistit účast vedoucích zaměstnanců Partnera, kteří se podílí na zpracování Osobních údajů, na školeních týkajících ochrany osobních údajů pořádaných Společností.
Obecná informační povinnost
3.4 Partner je povinen informovat Společnost o jakémkoli riziku porušení zabezpečení osobních údajů, které by mohlo mít dopad na Osobní údaje. Partner je povinen informovat Společnost o opatřeních přijatých Partnerem za účelem odstranění takového rizika a na vyžádání poskytnout Společnosti příslušné podklady.
3.5 Na žádost Společnosti je Partner povinen bez zbytečného odkladu řádně, úplně a pravdivě vyplnit dotazník Společnosti pro oblast ochrany osobních údajů, který je Společnost oprávněna zaslat Partnerovi kdykoliv během trvání smluvního či obchodního vztahu mezi Společností a Partnerem.
Audit
3.6 Společnost je oprávněna provést u Partnera (a jeho případných subdodavatelů) kontrolu plnění povinností Partnera (a jeho případných subdodavatelů) v oblasti ochrany osobních údajů a Partner je povinen Společnosti takovou kontrolu umožnit (dále jen „Audit“). Společnost oznámí Partnerovi minimálně deset (10) pracovních dní předem svůj úmysl zahájit provedení Auditu. Audit bude spočívat v provedení kontroly dokumentace, praktické realizace činností a ve fyzické kontrole prostor, kde jsou činnosti prováděné Partnerem pro Společnost vykonávány. Činnosti spojené s Auditem budou Společností prováděny tak, aby měly minimální dopad na provoz Partnera. Partner určí k provedení Auditu minimálně jednoho (1) vedoucího zaměstnance Partnera, který bude Společnosti při provádění Auditu nápomocen, přičemž se bude jednat o zaměstnance, který bude mít přístup do příslušných prostor a k příslušným dokumentům.
4. PRAVIDLA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
4.1 Bezpečnost Osobních údajů
Bezpečnost Osobních údajů
4.1.1 Partner je povinen zajistit, že přístup k Osobním údajům budou mít pouze osoby, které dané Osobní údaje potřebují pro výkon své práce či činnosti pro Partnera a pro účely plnění smluvních vztahů mezi Společností a Partnerem. Partner je povinen zajistit, že Osobní údaje nebudou použité pro jiné účely než pro účely plnění smluvních vztahů mezi Společností a Partnerem, ledaže příslušné právní předpisy závazné pro Partnera stanoví jinak.
Zmocněnec pro ochranu osobních údajů (Security Officer)
4.1.2 Není-li Partner povinen jmenovat pověřence pro ochranu osobních údajů, je Partner povinen jmenovat ze svých zaměstnanců osobu odpovědnou za oblast ochrany osobních údajů (dále jen „Zmocněnec OÚ“), která bude pověřena zajištěním plnění povinností Partnera v souvislosti se zpracováním Informací. Zmocněnec OÚ musí mít odpovídající znalosti a kompetence v oblasti ochrany osobních údajů a musí být vybaven dostatečnými zdroji a pravomocemi pro své úkoly.
Dokumentace bezpečnosti Osobních údajů
4.1.3 Partner je povinen dokumentovat všechna opatření přijatá ke splnění požadavků tohoto Kodexu. Tato dokumentace (dále jen „Dokumentace bezpečnosti OÚ“) musí být udržována aktuální a musí být revidována v případě změn v technickoorganizačních opatřeních přijatých Partnerem. Dokumentace bezpečnosti OÚ musí podléhat změnovému řízení a být dostupná zaměstnancům Partnera, kteří se podílejí na zpracování Osobních údajů. Partner je povinen uchovávat předchozí verze Dokumentace bezpečnosti OÚ a relevantních záznamů po dobu minimálně pěti (5) let po ukončení smluvních vztahů Partnera se Společností.
4.1.4 Dokumentace bezpečnosti OÚ musí pokrývat minimálně tyto oblasti:
(a) rozsah a detailní specifikaci systémů zapojených do ochrany bezpečnosti Osobních údajů;
(b) opatření a standardy, procedury a další dokumentaci zajišťující bezpečnost Osobních údajů, včetně řízení, kontroly a dohledu nad informačními systémy;
(c) strukturu souborů (či jiných úložišť Osobních údajů) a popis informačních systémů, pomocí kterých jsou Osobní údaje zpracovávány;
(d) bezpečnostní opatření spojená s modifikacemi a údržbou systémů používaných pro zpracování Osobních údajů, včetně vývoje a údržby aplikací, relevantní podporu dodavatelů, přehled opatření v oblasti fyzické bezpečnosti, včetně bezpečnosti budov nebo prostor, kde dochází ke zpracování Osobních údajů, zabezpečení prostředků pro zpracování informací a telekomunikační infrastruktury a kontrol prostředí;
(e) mechanismy pro zajištění integrity a důvěrnosti Osobních údajů;
(f) bezpečnost počítačů a telekomunikačních systémů, která zahrnuje procesy zálohování, antivirové ochrany, řízení komunikační bezpečnosti, bezpečnost spojenou s implementací a změnami software a databází, instalací softwarových oprav a bezpečnostních záplat, bezpečnost systémů připojených k Internetu, dohled nad obcházením bezpečnostních opatření, mechanismy logování pokusů o překonání opatření a/nebo získání neoprávněného přístupu;
(g) postupy pro hlášení, řízení a odpovědi na bezpečnostní události a incidenty;
(h) role, odpovědnosti a pravomoci osob majících přístup k informačním systémům a Osobním údajům; a
(i) postupy zálohování a obnovy, včetně odpovědných osob a identifikací dat, která musí být manuálně zpracována při procesu obnovy.
Záznamová povinnost
4.1.5 Partner je povinen pořizovat, uchovávat (minimálně tři (3) měsíce) a pravidelně přezkoumávat logy událostí ve vlastních systémech, aplikacích zaznamenávající aktivity uživatelů, výjimky, selhání a další události bezpečnosti informací. Musí být logovány i aktivity systémového administrátora. Na požádání je Partner povinen k těmto informacím poskytnout přístup Společnosti.
Technická opatření
4.1.6 Partner musí do svých systémů implementovat firewally, antiviry a systémy pro detekci a/nebo předcházení průnikům (IDS/IDP), které budou vždy pravidelně aktualizovány, udržovány na nejlepší možné úrovni a v souladu s oborovými osvědčenými postupy (best practices). Musí být přijata opatření k identifikaci neoprávněného přístupu k Osobním údajům a/nebo informačním systémům, a to i ve stádiu pokusu.
Přenos Osobních údajů
4.1.7 Pokud jsou Osobní údaje přenášeny pomocí sítí elektronických komunikací, musí být nastavena opatření pro řízení a kontrolu toku dat a musí být prováděn záznam času přenosu, identifikace přenesených Osobních údajů, cílovém umístění přenášených Osobních údajů a identifikaci Oprávněného uživatele, který přenos prováděl.
Zpracování Osobních údajů
4.1.8 Partner je povinen: (a) zdržet se veškerého jednání, které by mohlo mít za následek porušení Předpisů o ochraně osobních údajů, (b) zpracování vždy provádět v souladu Smlouvy o zpracování a/nebo Smlouvy z obchodního vztahu (byly-li uzavřeny), (c) v případě dožádání z jakékoli třetí strany, včetně orgánů státní správy týkajícího se Osobních údajů, je Partner povinen o takové skutečnosti Společnost neprodleně informovat a není oprávněn třetí straně takové údaje vydat, ledaže příslušné právní předpisy závazné pro Partnera stanoví jinak.
4.2 Zabezpečení prostředků používaných pro zpracování Osobních údajů
Instalování a provozování softwaru
4.2.1 Partner smí používat pouze legální software. Partner musí aplikovat postup pro interní schvalování používaného software. Partner musí zajistit, že všechen používaný software bude interně schválen. Software, firmware a hardware musí být minimálně jedenkrát za šest (6) měsíců revidován a přezkoumáván s ohledem na existenci bezpečnostních zranitelností a chyb. Partner musí průběžně zjišťovat zranitelnosti v používaném software/firmware/hardware a zajistit včasnou instalaci oprav a bezpečnostních záplat na systémech, kde jsou zpracovávány Osobní údaje s přihlédnutím k závažnosti zranitelnosti – pro kritické zranitelnosti v nejbližší možné době, pro vysoce závažné do jednoho (1) měsíce, pro středně závažné do dvou (2) měsíců, pro méně závažné do tří (3) měsíců, pokud Společnost neodsouhlasí jiný postup.
4.2.2 Alespoň jedenkrát ročně musí být prováděny penetrační testy systémů, ve kterých jsou zpracovávány Osobní údaje.
Antivirová ochrana
4.2.3 Všechny počítače Partnera musí mít nainstalovaný a provozovaný antivirový program. Antivirový program lze vypnout pouze v odůvodněných případech. Jakmile pomine potřeba vypnutí antivirového programu, musí být antivirový program znovu bezodkladně uveden do provozu.
Testování s reálnými daty
4.2.4 Testování informačních systémů Partnera při jejich implementaci a/nebo modifikaci nesmí používat reálná (živá) data, pokud to není nezbytné. Použití reálných (živých dat) je možné pouze v případě, že neexistuje žádná jiná smysluplná alternativa. V případě, že reálná (živá) data musí být použita, musí být toto použití omezeno na nezbytné minimum a musí být zajištěna technickoorganizační opatření v souladu s požadavky tohoto Kodexu.
4.3 E-mail a internet
Používání internetu a elektronických komunikačních sítí
4.3.1 Internet ani žádná elektronická komunikační síť nepatří mezi bezpečná média. Není-li se Společností dohodnuto jinak, Citlivé osobní údaje nesmí být nikdy posílány prostřednictvím internetu a/nebo elektronické komunikační sítě bez patřičného zašifrování nebo jiných opatření, které zajistí, že Citlivé osobní údaje nebudou čitelné a/nebo modifikovatelné třetí stranou.
4.3.2 Zákaz veřejných uložišť – Osobní údaje nesmí být za žádných okolností ukládány na veřejná úložiště, ani v zašifrované formě.
4.3.3 Partner musí zajistit, že jeho zaměstnanci nebudou stahovat spustitelné soubory z internetu na počítače využívané zpracování Osobních údajů. Zvýšená pozornost musí být také věnována užívání souborů z neznámých zdrojů, jelikož tyto mohou obsahovat škodlivý kód nebo virus. Veškeré soubory stažené z internetu jsou považovány za nevěrohodné a před jejich prvním užitím musí být ověřeno, že neobsahují viry nebo škodlivý kód.
Používání e-mailu
4.3.4 Všechny přílohy elektronické pošty musí být zkontrolovány na přítomnost virů. Potenciálně nebezpečné přílohy pošty musí být blokovány na serverech Partnera.
4.4 Přihlášení a hesla
Přístupová oprávnění
4.4.1 Partner je povinen zajistit, že:
(a) do informačních systémů používaných pro zpracování Osobních údajů bude obecně umožněn přístup pouze osobám, které k tomu mají příslušné oprávnění a které potřebují přístup do systémů pro výkon své práce či činnosti pro Partnera (dále jen „Oprávněný uživatel“);
(b) každému Oprávněnému uživateli bude vydán osobní a jedinečný identifikátor pro tyto účely („Uživatelské ID“). Uživatelské ID nesmí být nikdy ani v budoucnu postoupeno jiné osobě. Uživatelské ID lze doplnit více-faktorovou autentizací;
(c) bude veden aktuální seznam Oprávněných uživatelů a budou vytvořeny identifikační a ověřovací postupy pro veškeré přístupy do informačních systémů nebo pro provádění jakéhokoliv zpracování Osobních Údajů;
(d) pro každého jednotlivého Oprávněného uživatele nebo pro stejnorodou skupinu Oprávněných uživatelů budou vytvořeny autorizační profily, které budou před započetím jakékoliv aktivity Oprávněného uživatele nakonfigurovány takovým způsobem, aby byl umožněn přístup pouze k údajům a zdrojům, jež jsou k plnění povinností Oprávněných uživatelů;
(e) přístup k jakýmkoliv Osobním údajům bude Oprávněným uživatelům umožněn pouze po úspěšném ověření přístupových oprávnění; a
(f) přístupová oprávnění budou oprávněni přidělovat, měnit nebo odebírat pouze prověření a pověření pracovníci Partnera.
Řízení přístupu
4.4.2 Přístupy do operačních systémů a databází musí být správně nakonfigurovány tak, aby umožňovaly přístup pouze Oprávněných uživatelů po autorizaci.
4.4.3 Uživatelská hesla musí být pravidelně měněna, minimálně jedenkrát za tři (3) měsíce.
4.4.4 Hesla musí splňovat následující kvalitativní požadavky:
(a) minimální délka hesla je osm znaků,
(b) hesla musí obsahovat velká a malá písmena,
(c) hesla musí obsahovat číslice,
(d) hesla nesmí obsahovat žádné prvky, které by byly snadno spojitelné s Oprávněným uživatelem.
4.4.5 Partner je povinen zajistit, že budou používána silná hesla, která nejsou snadno uhodnutelná a že hesla budou známa pouze svému uživateli.
4.4.6 Hesla nesmí být uchovávána v nechráněném úložišti (např. papír, běžné textové soubory apod.).
4.4.7 Uživatelé musí mít za povinnost uchovávat autentizační údaje v tajnosti, toto se týká i prvků případné více-faktorové autentizace.
4.4.8 V případě nepoužití přístupových oprávnění (mimo systémové a technické účty) po dobu šesti (6) měsíců musí dojít k jejich deaktivaci.
Přezkoumávání oprávnění
4.4.9 Partner musí minimálně jedenkrát ročně přezkoumat pokračující potřebnost a správnost nastavených přístupových oprávnění a o tomto přezkoumání vést záznam.
Přístup do systémů Společnosti
4.4.10 V případě, že je Partnerovi umožněn přístup do systémů Společnosti, jsou o každém jednotlivém uživateli zpracovávány Společností následující údaje: jméno, příjmení, adresa, datum narození, telefonní číslo, informace o zaměstnavateli, přihlašovací jméno (username), zařazení v organizační struktuře a přidělené interní číslo, datum zahájení a ukončení činnosti.
4.4.11 Údaje jsou zpracovávány Společností povinně za účelem přístupu do systému, činnosti v systémech a ochrany oprávněných zájmů Společnosti po dobu 5 let od ukončení činnosti v systémech.
Logování přístupů
4.4.12 V zabezpečené auditní stopě musí být uchovávána historie přístupu k nebo zveřejnění Osobních údajů Oprávněnými uživateli.
4.5 Chování na pracovišti
Čistý stůl a prázdná obrazovka
4.5.1 Partner je povinen zajistit dodržování obecných zásad „čistého stolu“ (clean desk) a „prázdné obrazovky“ (clean screen), což znamená, že v případě nepřítomnosti zaměstnance na pracovišti nesmí zůstat volně přístupné položené dokumenty, přenosná média a softwarově neuzamčená zařízení (počítač, tablet, mobilní telefon, apod.). V případě práce s Osobními údaji na počítači (nebo na displeji přenosného zařízení) je zaměstnanec povinen se ujistit, že nikdo neoprávněný nemůže tyto informace vidět.
Zákaz sdílení přístupových oprávnění
4.5.2 Partner je povinen zajistit, že přidělená oprávnění nebudou předávána ani jinak sdílena s jinou než konkrétní oprávněnou fyzickou osobou.
4.5.3 Partner je povinen zajistit, aby nedocházelo k používání systémových nástrojů, které by mohly vést k překonání systémové nebo aplikační kontroly mimo situace, kdy se jedná o schválené testování buď těchto nástrojů, nebo příslušných systémů.
Ukládání dokumentů
4.5.4 Partner je povinen ukládat všechny dokumenty obsahující Osobní údaje (papírová podoba nebo elektronická na přenosných médiích) do uzamykatelných skříněk nebo uzamykatelných šuplíků pracovního stolu. Je doporučeno použít ohnivzdorné trezory či skříně. Klíče musí být ukládány na bezpečném místě.
4.6 Vzdálený přístup
Vzdálený přístup
4.6.1 Zaměstnanci Partnera jsou při využití technologií vzdáleného přístupu k prostředkům pro zpracování informací Partnera povinni dodržovat tyto zásady:
(a) připojovat se pouze schválenými zabezpečenými technologiemi; a
(b) připojení využívat pouze v případech odůvodněných jejich pracovním zařazením.
4.6.2 Pro práci se vzdáleným přístupem platí stejná pravidla jako pro práci v kanceláři. Při odchodu od notebooku je vždy nutné jej softwarově uzamknout, nebo se odhlásit. Přenosná zařízení ani tištěné dokumenty nesmí být nechávány bez dozoru.
4.7 Výměnná a přenosná zařízení
Výměnná média
4.7.1 Výměnnými počítačovými médii se rozumí zejména: diskety, CD/DVD/BluRay, USB flash disky, externí disky, mobilní telefony, tablety, a obecně přenosné nosiče informací.
4.7.2 Každý zaměstnanec Partnera je oprávněn na výměnná média umísťovat Osobní údaje jen v těch případech, kdy je to nezbytně nutné pro výkon jeho pracovní činnosti; za takto vytvořené médium je přímo odpovědný.
4.7.3 Datové soubory uložené na ukládacích médiích (CD, DVD, paměťové karty, USB paměti apod.) musí být před přenosem na firemní HDD nebo osobní počítač prověřeny za pomoci aktuální verze firemního antivirového softwaru.
Označování médií
4.7.4 Každé vytvořené/převzaté médium musí být označeno tak, aby bylo možné identifikovat uložené Osobní údaje.
Vynášení médií
4.7.5 Pokud to není nezbytně nutné z plnění činností Partnera pro Společnost, nesmí Osobní údaje opustit prostory Partnera. V případě vynášení informací mimo prostory Partnera (i v případě např. údržby) musí být média zabezpečena proti zcizení a neoprávněnému kopírování, manipulaci či přístupu k informacím na médiu umístěnými. Zejména není povoleno ponechání média v prázdném automobilu nebo na jiném místě mimo uzamčené prostory bez dozoru. Toto pravidlo platí i pro přenosné počítače.
4.7.6 Pro práci s médii obsahujícími Osobní údaje musí být nastaven systém zaznamenávání příchozích a odchozích médií, který bude umožňovat přímou nebo nepřímou identifikaci typu média, data a času odeslání/příjmu, odesílatele a příjemce, číslo média, typ informací na médiu obsažených, jak jsou odesílány a osobu odpovědnou za odesílání/příjem média. Tato osoba k tomu musí být náležitě oprávněna.
Odstranění dat z médií
4.7.7 Pokud pomine důvod uložení Osobních údajů na externím médiu, je zaměstnanec Partnera odpovědný za jejich odstranění, které může mít podobu:
(a) fyzického zničení nosiče – nutno provést u nepřepisovatelných přenosných zařízení (např.
skartace CD médií a disket). Pokud to je u konkrétního zařízení možné, je doporučena i jeho fyzická likvidace takovým způsobem, aby data z nosiče již nebyla dále čitelná; a
(b) důsledného softwarového zničení zapsaných informací – vymazání dat na přepisovatelných zařízeních musí být prováděno speciálním nástrojem, který zajistí fyzické vymazání informace ze zařízení a jejich fyzické přepsání náhodnými daty – např. WIPE (min. trojí přepis náhodnými daty), prosté zformátování média se za dostatečné nepovažuje).
Fyzická bezpečnost
4.7.8 Partner je odpovědný za fyzickou bezpečnost výměnných a přenosných zařízení a za ochranu Osobních údajů na nich uložených. Partner je povinen zajistit, že Osobní údaje jsou chráněny adekvátním způsobem šifrování tak, aby se v případě ztráty nebo odcizení zařízení zabránilo jejich vyzrazení.
4.8 Notebooky
Uživatelé notebooků
4.8.1 Partner musí zajistit, že Osobní údaje uložené na noteboocích jsou vždy zašifrované.
4.9 Tisk a papírové dokumenty
Tisk
4.9.1 Partner je povinen zajistit, aby byla nastavena a dodržována pravidla týkající se listinných dokumentů, včetně pravidel odebírání výtisků z tiskáren ihned po jejich vytištění tak, aby bylo zamezeno možnému přístupu nepovolaných osob k vytištěným dokumentům obsahujícím Osobní údaje.
4.9.2 Po uplynutí použitelnosti vytištěných informací je Partner povinen provést skartaci, či jinak zabezpečit zničení výtisků.
4.10 Zálohování dat
Zálohování dat
4.10.1 Partner je povinen zajistit, že data vzniklá z činnosti pro Společnost jsou ukládána na zálohovaná úložiště a že nemůže dojít k nezamýšlenému poškození a/nebo zničení dat.
4.10.2 musí definovat a v praxi dodržovat takové postupy zálohování a obnovy dat, že bude v případě bezpečnostního incidentu schopen data uvést do stavu platného v čase jejich ztráty nebo zničení.
4.10.3 Zálohy musí být prováděny minimálně jedenkrát týdně s výjimkou situace, kdy by v této periodě nedošlo k jejich změně.
4.10.4 Záložní kopie a postupy pro obnovu dat musí být uchovávány také off-site. Na takto uchovávané zálohy se vztahují všechna ostatní pravidla stanovená tímto Kodexem.
4.11 Bezpečnost zaměstnanců
Noví zaměstnanci / osoby mající přístup k Osobním údajům
4.11.1 Partner je povinen provést opatření, aby jeho zaměstnanci či jiné osoby, které budou mít přístup k Osobním údajům, byli prověřeni s ohledem na potenciální rizika spojená s případným únikem informací. Pouze zaměstnanci či osoby, kteří prokáží čestnost, integritu a diskrétnost mohou mít přístup k Osobním údajům a přístup do prostor, kde se s Osobními údaji pracuje a/nebo jsou uloženy. Se všemi zaměstnanci a stranami musí být Partnerem uzavřena dohoda o mlčenlivosti. Osoby, které partner využívá pro výkon činností, musí být bez zbytečného odkladu informovány a proškoleny o bezpečnostních opatřeních a požadavcích (včetně důsledků jejich porušení) a taková skutečnost musí být dokumentována (např. prezenční listina ze školení zaměstnanců atp.).
Změna pozice, pracovní náplně
4.11.2 V případě, že Oprávněný uživatel přechází na jinou pracovní pozici, je Partner povinen ihned zrevidovat všechny přístupy do systémů a vstupy do prostor Partnera a zajistit jejich odebrání, pokud již nejsou nutné.
Ukončení práce
4.11.3 Pokud dojde k ukončení výkonu činnosti Oprávněného uživatele u nebo pro Partnera, je Partner povinen zajistit, že všechna oprávnění (fyzické i logické přístupy) budou ihned zrušena. Partner je zejména povinen informovat Společnost o potřebě zrušit přístupová oprávnění do systémů Společnosti. V závislosti na pracovní náplni je nutné věnovat zvláštní pozornost zaměstnanci Partnera zejména v době od oznámení ukončení pracovního poměru do doby skutečného opuštění Partnera.
4.12 Fyzická bezpečnost – Kontrola vstupu
Kontrola vstupu
4.12.1 Vstup do prostor Partnera musí být zabezpečen a řízen. Partner musí zabránit pohybu neidentifikovaných osob. Partner musí zajistit, že nikdo neoprávněný nezíská přístup k Osobním údajům. Přístup do prostor, kde dochází ke zpracování Osobních údajů, musí být povolen pouze Oprávněným uživatelům.
4.12.2 Vstup do prostor, kde jsou uchovávány média a informační systémy obsahující Osobní údaje musí být omezen pouze na prověřené osoby. Musí být veden záznam vstupů do těchto prostor, záznam musí obsahovat minimálně jméno pracovníka, datum a čas přístupu.
Fyzické klíče
4.12.3 Partner je povinen zajistit přísnou kontrolu bezpečnostních klíčů (tj. klíčů, které umožňují vstup do prostor Partnera, kde dochází ke zpracování Osobních údajů). Každá osoba musí znát a dodržovat pravidla pro používání bezpečnostních i ostatních klíčů. Zvláštní pozornost musí být věnována situacím, kdy přístup a použití klíčů jsou umožněny osobám, které nejsou zaměstnanci Partnera (například dodavatelé, zejména při dlouhodobém užívání).
Návštěvy
4.12.4 Partner je povinen zajistit, aby návštěvy bez přidělených oprávnění nezískaly přístup k Osobním údajům. Partner je povinen zajistit, že návštěva bude doprovázena zaměstnancem Partnera po celou dobu jejího pobytu v prostorách Partnera.
4.13 Fyzická bezpečnost – Ochrana budov
Ochrana budov
4.13.1 Partner musí zajistit řádné používání prostředků fyzické bezpečnosti a jejich funkčnost (např. zajistit, že dveře, které mají zůstat zavřené, nebudou úmyslně otevřené).
Umístění infrastruktury
4.13.2 Informační systémy musí být umístěny ve fyzicky zabezpečeném prostředí. Musí být přijata opatření k zamezení neautorizovaného fyzického přístupu do prostor, kde jsou informační systémy a Osobní údaje umístěny.
4.14 Report incidentů
Report incidentů
4.14.1 P artner je povinen stanovit, dokumentovat a v praxi dodržovat procesy pro řízení bezpečnostních událostí a incidentů (a to i ve stádiu pokusu a/nebo podezření). Tyto procesy musí zahrnovat minimálně:
(a) postup pro ohlášení událostí/incidentů stanovenému týmu/zaměstnanci Partnera;
(b) jasně stanovený team / zaměstnanec pro řízení a koordinaci řešení bezpečnostního incidentu;
(c) v praxi otestovaný postup pro řízení odpovědi na incident, včetně požadavků na zajištění důkazů a přijatých opatření a včetně časové stopy a zapojených osob;
(d) nahlášení případů s dopadem na Osobní údaje prostřednictvím e-mailu; a
(e) spolupráci s bezpečnostním týmem Společnosti na řešení bezpečnostních událostí a incidentů.
4.15 Právní soulad
4.15.1 Partner musí jednoznačně identifikovat, dokumentovat a udržovat aktuální veškeré relevantní zákonné, předpisové a smluvní požadavky se vztahem k bezpečnosti informací a způsob, jakým je dodržuje.
Status 25.05.2018