Zodpovědný přístup
Bereme naši roli maximálně zodpovědně, a proto je pro nás zajištění souladu našich produktů s neustále aktualizovanými právními předpisy důležité. Tento soulad je zaručen nejen v Data Protection Agreement, která je součástí naší smluvní dokumentace, ale i ve všech podmínkách přihlášení k našim on-line službám, ve způsobu, jakým jsou Vaše data i osobní údaje uchovávány a zejména ve způsobu, jakým k Vašim datům a osobním údajům přistupujeme.
K tomu se pravidelně školíme v oblasti nových metodik projektového řízení IT projektů a služeb, které začleňujeme do interních postupů. Certifikovanou procesní a smluvní dokumentaci stále prohlubujeme, díky čemuž držíme krok s nejnovějšími trendy v compliance.
General Data Protection Regulation
Pod zkratkou GDPR se skrývá nařízení Evropského parlamentu a Rady (EU) č. 2016/679, obecné nařízení o ochraně osobních údajů, které sjednocuje pravidla pro ochranu osobních údajů v Evropské unii. S více než ročním zpožděním byl přijat a ve sbírce zákonů vyhlášen i adaptační zákon č. 110/2019 Sb., o zpracování osobních údajů, který upravuje oblasti příslušející legislativě jednotlivých států, čímž evropské nařízení upravuje pro český právní řád.
Nový právní režim
GDPR pro Českou republiku nepřineslo nic revolučního, jelikož dosavadní právní úprava byla na evropské poměry velmi přísná. Pro nás, jako poskytovatele digitální služby, platila většina požadavků kladená GDPR již na základě kybernetického práva, jako je např. zákon č. 181/2014 Sb., o kybernetické bezpečnosti a zákon č. 480/2004 Sb., o některých službách informační společnosti.
GDPR a cloud
GDPR, spolu s adaptačními národními předpisy, které jsou značně ovlivněny harmonizační činností Evropské unie, tvoří všeobecný právní rámec pro nakládání s osobními údaji fyzických osob. Tento právní systém chránící osobní údaje fyzických osob klade zvýšené požadavky na procesní a technické zabezpečení digitálních služeb. Obchodní činnost našich zákazníků často spočívá v pokročilé datové analýze či správě obrovského množství osobních a jiných údajů v jejich informačních systémech. Pro nás, jako pro poskytovatele cloudových služeb, je tak nemyslitelné, abychom data našich zákazníků dále monetizovali např. jejich prodejem třetí osobě či datovou analýzou, jak je tomu často v jiných IT odvětvích.
Vztah správce a zpracovatele osobních údajů
Jako správce osobních údajů určujeme, jaké údaje o zákazníkovi k poskytování služby potřebujeme a jakým způsobem je budeme pro zajištění této služby a svých interních potřeb zpracovávat. Více o tom, jakým způsobem zpracováváme osobní údaje z pozice správce se dozvíte níže, v našem Prohlášení o zpracování osobních údajů. Jako zpracovatel osobních údajů přebíráme některé povinnosti zákazníků, kteří vůči třetím subjektům vystupují jako správci osobních údajů.
Naše role při zajištění souladu s GDPR
Jako smluvní dodavatel cloudových služeb zajišťujeme profesionální úroveň zabezpečení dat zákazníka. Naše služby jsou díky těm nejmodernějším technologiím poskytovány na úrovni odpovídající současnému stavu techniky, kterou jsou zákazníci jako správci osobních údajů povinni zajistit. Data zpracovaná v cloudu mohou být šifrována již od zákazníka a na úrovni diskových polí mohou být podle zvoleného typu storage náhodně ukládána do datových bloků či objektů, čímž se omezí riziko jejich případného zneužití a je možné nastavit různé politiky pro přístup a retenci dat.
Zároveň zákazníkům umožňujeme rozhodnout a mít přehled o tom, v jakém datovém centru a v jaké zemi jsou data uložena, což u zahraniční konkurence není často ani možné. Díky virtualizaci a pokročilým zálohovacím technologiím jsme ve vztahu k datům schopni garantovat neustálou kontrolu, vysokou dostupnost, jejich obnovitelnost, přenositelnost a garantovanou možnost výmazu. V souladu s požadavky GDPR jsme zároveň zajistili kompletní smluvní potvrzení souladu všech procesů s našimi dodavateli.
Data Protection Officer
S ohledem na to, že poskytujeme cloudiové služby pro zpracování velkého rozsahu dat, které mohou obsahovat (a nejspíše i obsahují) i velké množství osobních údajů, jsme vytvořili pozici kvalifikovaného pověřence pro ochranu osobních údajů. Pověřenec dohlíží na zpracování osobních údajů jak z pozice správce, tak z pozice zpracovatele.
Pověřence je možné kontaktovat na e‑mailové adrese: security@geetoo.com.
Regulace kybernetické bezpečnosti
Jako poskytovatel digitální služby podléháme přísné veřejnoprávní regulaci. Podléháme nejen zákonu o kybernetické bezpečnosti, ale i zákonu o některých službách digitální společnosti a zákonu o elektronických komunikací. V rámci kybernetické bezpečnosti jsme ze strany ČTÚ a NÚKIB evidování jako subdodavatel kritické infrastruktury a i v případě mimořádných situací, jako je plošný zákaz vychází, smíme obsluhovat naše technologie.
V praxi to znamená větší tlak regulátorů na plošné zvyšování bezpečnosti všech sítí a informačních systémů, na nichž je postavena moderní ekonomika. Za tímto účelem je od poskytovatelů digitálních služeb zákonem vyžadováno, aby podnikli odpovídající kroky v zájmu řízení bezpečnostních rizik a oznamování případů závažných narušení bezpečnosti vnitrostátním příslušným orgánům.
Zákon o kybernetické bezpečnosti
Cílem zákona č. 181/2014 Sb., o kybernetické bezpečnosti a prováděcí vyhlášky č. 82/2018 Sb., je zejména po transpozici Směrnice Evropského parlamentu a Rady EU č. 2016/1148 (EU NIS) dosáhnout vysoké společné úrovně bezpečnosti sítí a informačních systémů.
Kybernetická bezpečnost a ochrana osobních údajů
Požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti a prováděcí vyhlášky č. 82/2018 Sb. nemíří pouze na zpracování osobních údajů, ale na zpracování a uchování veškerých dat.
Ve smyslu § 2 písm. l) odst. 3 zákona č. 181/2014 Sb., o kybernetické bezpečnosti jsme poskytovatelem digitální služby, a tedy dle § 4 odst. 2 a 3 tohoto zákona jsme povinni mít zavedena vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využíváme v souvislosti se zajišťováním našich služby pro zákazníky, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit,testování a soulad s mezinárodními předpisy.
Jedná se tedy o velmi podobné požadavky, jaké na Správce osobních údajů klade čl. 32 GDPR. I v případě zákona č. 181/2014 Sb., o kybernetické bezpečnosti a prováděcí vyhlášky č. 82/2018 Sb. jsme vyžadované povinnosti zapracovali do procesní dokumentace systému managementu kvality ISO/IEC 9001:2016 a systému managementu bezpečnosti informací ISO/IEC 27001:2014, ISO/IEC 27017:2017 a ISO/IEC 27018:2017, který díky pravidelným auditům garantuje náležitou úroveň všech zavedených interních procesů.