B2B zpracovatelský rámec

Zpracovatelský režim je relevantní tehdy, pokud zákazník určuje účel a prostředky zpracování osobních údajů a PointOfArch pro něj tato data technicky zpracovává jako zpracovatel.

Typickým příkladem může být budoucí cloudové ukládání projektů, týmová synchronizace, správa organizace, serverové zpracování podkladů, sdílení projektových dat nebo dlouhodobá provozní archivace zákaznických údajů.

Samotný founder claim, kontaktní formulář, licenční účet nebo obchodní komunikace jsou zpravidla vlastním zpracováním PointOfArch jako správce a řeší je dokument Ochrana osobních údajů.

Zákazník vystupuje jako správce osobních údajů, pokud rozhoduje, jaká osobní data jsou v jeho projektech, dokumentech nebo týmu zpracovávána a k jakému účelu.

PointOfArch může vystupovat jako zpracovatel, pokud tato data zpracovává podle pokynů zákazníka v rámci poskytování softwaru, serverové infrastruktury nebo podpůrných služeb.

Předmětem zpracování může být technické zpřístupnění softwaru, správa účtů, serverové ověření licencí, cloudové ukládání, synchronizace, technická podpora, diagnostika, zálohování a bezpečnostní provozní opatření.

Účelem zpracování je umožnit zákazníkovi používat produkty PointOfArch pro odbornou práci s budovami, projektovými daty, licencemi, uživateli a návaznými výstupy.

Podle konkrétního nasazení mohou být zpracovávány zejména tyto kategorie údajů:

• identifikační a kontaktní údaje uživatelů zákazníka,
• údaje související s účtem, organizací, rolí a oprávněním,
• provozní logy, technické identifikátory zařízení a licenční stav,
• projektové podklady, pokud budou obsahovat osobní údaje,
• komunikace se zákaznickou podporou.

Subjekty údajů mohou být uživatelé zákazníka, zaměstnanci, spolupracovníci, kontaktní osoby, případně osoby obsažené v projektových podkladech.

PointOfArch by měl ve finální zpracovatelské smlouvě potvrdit zejména, že:

• zpracovává osobní údaje pouze na základě doložených pokynů zákazníka,
• zajistí mlčenlivost osob, které mohou mít k údajům přístup,
• přijme přiměřená technická a organizační bezpečnostní opatření,
• bez schváleného režimu nezapojí dalšího zpracovatele,
• pomůže zákazníkovi s přiměřenými žádostmi subjektů údajů, bezpečností a auditem,
• po skončení služby údaje podle pokynu vrátí, smaže nebo anonymizuje, pokud právní povinnost nevyžaduje něco jiného.

Finální smlouva by měla popsat zejména:

• řízení přístupů a oddělení oprávnění,
• serverové ukládání tajných klíčů a zákaz jejich přítomnosti v desktopové aplikaci,
• šifrování přenosu dat, bezpečné ukládání citlivých konfiguračních údajů a logování přístupů,
• zálohování, obnovu, monitoring a reakci na incidenty,
• minimalizaci dat a omezení retenčních dob podle účelu zpracování.

PointOfArch může pro provoz využívat hosting, databázové služby, platební brány, e-mailové nástroje, monitoring, podporu nebo jiné technické dodavatele. Pro produkční smlouvu je nutné uvést aktuální seznam relevantních subdodavatelů a pravidla jejich změn.

V aktuálním technickém směru přichází v úvahu zejména hostingová infrastruktura, databázová vrstva, e-mailové služby a platební infrastruktura podle toho, které části budou produkčně aktivní.

Finální zpracovatelská smlouva by měla stanovit proces oznámení bezpečnostního incidentu, rozsah spolupráce při řešení, kontaktní kanály, způsob dokumentace a přiměřenou součinnost pro audit nebo doložení plnění povinností.

Po ukončení spolupráce musí být jasně určeno, zda se zákaznická data exportují, mažou, anonymizují nebo po omezenou dobu uchovávají kvůli zákonným povinnostem, bezpečnosti či prokázání licenčního vztahu.

Pro první ostré spuštění doporučujeme tento dokument ponechat jako neveřejně připravený rámec nebo jako veřejnou informační stránku. Plnohodnotná zpracovatelská smlouva by měla být podepisována až v okamžiku, kdy zákazník skutečně ukládá nebo zpracovává osobní údaje ve službě PointOfArch jako ve zpracovatelském prostředí.