textový blok zarovnaný na střed

GDPR

Co je GDPR?

Pod zkratkou GDPR se skrývá nařízení Evropského parlamentu a Rady (EU) č. 2016/679, obecné nařízení o ochraně osobních údajů. GDPR sjednocuje pravidla pro ochranu osobních údajů pro členské státy Evropské unie.

S více než ročním zbožděním byl přijat a ve sbírce zákonů vyhlášen i adaptační zákon č. 110/2019 Sb., o zpracování osobních údajů, který upravuje oblasti příslušející legislativě jednotlivých států, čímž GDPR modifikuje pro český právní řád.

Co přináší nového?

GDPR pro Českou republiku nepřineslo nic revolučního, jelikož dosavadní právní úprava byla na evropské poměry velmi přísná. Pro nás, jako poskytovatele digitální služby, platila většina požadavků kladená GDPR již na základě následujících právních předpisů:

  • zákon č. 101/2000 Sb., o ochraně osobních údajů (zrušen k 24. 4. 2019)
  • zákon č. 181/2014 Sb., o kybernetické bezpečnosti
  • zákon č. 480/2004 Sb., o některých službách informační společnosti

Jak GDPR souvisí s kybernetickou bezpečností?

GDPR, spolu s adaptačními národními předpisy, které jsou značně ovlivněny harmonizační činností Evropské unie, tvoří všeobecný právní rámec pro nakládání s osobními údaji fyzických osob. Tento systém chránící osobní údaje fyzických osob tvoří spolu s požadavky na technické zabezpečení digitálních služeb velmi podstatnou součást moderního systému kybernetické bezpečnosti.

Je cloud provider správcem nebo zpracovatelem?

Při poskytování cloudu vystupujeme ve vztahu k našim zákazníkům jak z pozice správce osobních údajů, tak i z pozice zpracovatele. 

Jako správce osobních údajů určujeme, jaké údaje o zákazníkovi k poskytování služby potřebujeme a jakým způsobem je budeme pro zajištění této služby a svých interních potřeb zpracovávat. Více o tom, jakým způsobem zpracováváme osobní údaje z pozice správce se dozvíte v našem Prohlášení o zpracování osobních údajů.

Jako zpracovatel osobních údajů přebíráme některé povinnosti zákazníků, kteří vůči třetím subjektům vystupují jako správci osobních údajů. Pro zajištění co nejvyššího možného zabezpečení dat jsme jako zpracovatel provedli dopadovou analýzu, která je zapracována do procesní dokumentace ISO/IEC 27001:2014.

Pověřenec pro ochranu osobních údajů

S ohledem na to, že poskytujeme výpočetní výkon pro zpracování velkého rozsahu dat, které mohou obsahovat i osobní údaje, jsme vytvořili pozici kvalifikovaného pověřence pro ochranu osobních údajů. Pověřenec dohlíží na zpracování osobních údajů jak z pozice správce, tak z pozice zpracovatele.

Zákazník tak díky využívání našich cloudových technologií dodrží zásadu integrity a důvěrnosti při zpracování osobních údajů a je schopen takový soulad doložit.

Pověřence je možné kontaktovat na e-mailové adrese: security@geetoo.com.

Jak GDPR vnímáme my?

GDPR přebírá původní roztříštěnou právní úpravu ochrany osobních údajů a přehledným způsobem ji sjednocuje, místy rozšiřuje a zdokonaluje. Přináší tak posílení právního postavení fyzických osob vůči podnikatelským subjektům, kteří s jejich osobními údaji operují. Evropská unie tak prostřednictvím vysokých sankcí násobí tlak na správce osobních údajů, kteří jsou nejen povinni zajistit soulad zpracování s GDPR, ale musejí být schopni tento soulad i řádně doložit.

Na základě čl. 32 odst. 1 GDPR je správce s přihlédnutím ke stavu techniky, nákladům provedení, povaze, rozsahu zpracování, kontextu a účelu zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, povinen provést náležitá technická a organizační opatření, aby zajistil úroveň odpovídající daným rizikům. To tedy pro Správce mimo přijetí náležitých interních procesů pro zajištění organizačních opatření znamená, že se musí věnovat i stránce technické.

Sami se podívejte, jakým způsobem mohou cloudové technologie podnikatelům pomoci při zajišťování souladu s GDPR.

Jaká jsou vhodná opatření dle čl. 32 odst. 1 GDPR

  • pseudonymizace a šifrování osobních údajů
  • schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování
  • schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů
  • procesy pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování

 
Naše role při zajištění souladu s GDPR

Jako smluvní dodavatel cloudových zajišťujeme profesionální úroveň zabezpečení dat zákazníka. Naše služby jsou díky těm nejmodernějším technologiím poskytovány na úrovni odpovídající současnému stavu techniky, kterou jsou zákazníci jako správci osobních údajů povinni zajistit.

Jako smluvní dodavatel cloudových zajišťujeme profesionální úroveň zabezpečení dat zákazníka. Naše služby jsou díky těm nejmodernějším technologiím poskytovány na úrovni odpovídající současnému stavu techniky, kterou jsou zákazníci jako správci osobních údajů povinni zajistit.

Mimo pseudonymizace, kterou je třeba zajistit ještě před migrací dat do cloudu, jsme schopni prostřednictvím vybraných produktů zbylé požadavky kladené na správce zajistit. Zásadním krokem k prokazatelnosti nastavených procesních a technických opatření byla certifikace nastavených procesů v rámci normy ISO/IEC 9001:2015 a ISO/IEC 27001:2014.

Data zpracovaná v cloudu mohou být šifrována již od zákazníka a na úrovni diskových polí mohou být podle zvoleného typu storage náhodně ukládána do datových bloků, čímž se omezí riziko jejich případného zneužití.

Zároveň zákazníkům umožňujeme rozhodnout a mít přehled o tom, kde jsou data uložena. Díky virtualizaci a pokročilým zálohovacím technologiím jsme schopni garantovat neustálou kontrolu nad uloženými daty, vysokou přístupnost k uloženým datům, jejich obnovitelnost, přenositelnost a garantovanou možnost výmazu uložených dat. V souladu s požadavky GDPR jsme zároveň zajistili kompletní smluvní potvrzení souladu všech procesů s našimi dodavateli.

Pověřence je možné kontaktovat na e-mailové adrese: security@geetoo.com