o aplikaci

Vaše data budou v bezpečí

Normy typu GDPR nejsou pro nás otravná opatření, ale skvělá možnost, jak si ověřit, že se data svých dárců a kontaktů dobře chráníte. Když se totiž o data staráte systematicky a máte přehled o vlastních procesech a digitálním aplikacích, kterým svá data svěřujete, budete pro vás ochrana dat hračkou a není třeba přidávat žádné nové formuláře nebo měnit systémy.

Naše aplikace Péče o dárce Vám zajistí dodržování několika základních pravidel, které vyžaduje jak GDPR, tak ochranu dat před zneužitím a úniky. Dodržování správného používání aplikace a nastavení je kontrolováno automatickými procesy i dohledem týmu podpory:

  1. Každý člověk, který přistupuje do aplikace, musí mít přiděleno telefonní číslo (pro zajištění určitých částí dat SMS kódem) a přístup (login) navázaný na neobecnou e-mailovou adresu.
  2. Každý uživatel, který přistupuje do aplikace, musí mít co nejmenší počet práv skutečně nutný nezbytně k práci v aplikaci (aplikace zároveň vychází vstříc bohatými možnosti nastavení přístupových práv).
  3. Každý kontakt (subjekt) uložený v aplikaci musí souhlasit se zpracováním údajů a údaje o tomto souhlas musí být odvolatelné a uložené v aplikaci, je vyžadován pro každý import dat a vkládání kontaktů.
  4. Ke každému kontaktu (subjekt) uloženému v aplikaci musí být dohledatelný zdroj těchto dat (který uživatel data založil, upravil, z jakého počítače apod.) a je strukturován (např. napojením kontaktu na akci, které se účastnil a kde dodal údaje nebo údaji o webovém formuláři, přes který kontakt přišel).
  5. Ke každé akci provedené v aplikaci jsou dohledatelné detaily o zdroji akce (který uživatel, kdy a z jakého počítače akci provedl).
  6. Kontakty mají v nejvyšší možné míře kontrolu nad Svým vlastními daty prostřednictvím profilu dárce.
  7. Stažení většího počtu dat (exporty) je povoleno speciálními uživatelskými právy.
  8. Odvolání/přidání používání některých dat (e-mail, telefon) kontaktů se automaticky kopíruje skrz všechny agendy a jejich dopad je v co nejvyšší míře automatický - např. odvolání souhlasu s příjmem newsletteru vyřadí kontakt z hromadných rozesílek a systémové úrovni a e-mail se neodešle, i když kontakt do rozesílky omylem zařadíte.
  9. Nutnost odesílat data z aplikace třetí straně jsou evidována a podložena článkem ve smlouvě o smlouva o zpracování osobních a citlivých dat.
  10. Minimalizace e-mailů (ze kterých lze vyčíst osobní údaje) pomocí úkolů a poznámek přímo v aplikaci (pro přístup je nutné přihlášení).

Technická opatření pro ochranu dat

  1. Aplikace je vyvíjena přímo provozovatelem, kontakt s Vámi není nikým nebo třetí stranou zprostředkován.
  2. Aplikace je přístupná pouze přes šifrované online připojení.
  3. Aplikace běží na doméně zákazníka, který má kontrolu nad DNS.
  4. Hesla na servery a další důležité komponenty jsou jištěna hardwarovými klíči.
  5. Napojení na rejstříky (vyhledávání geo pozic, ARES apod.) je skryto za proxy, které generuje náhodné dotazy pro zamaskování Vaší aktivity hledání.
  6. Vybrané části aplikace vyžadují dvojité ověření identity (e-mail + SMS).
  7. Aplikace běží na serverech v ČR a které jsou naším majetkem, a s výjímkou správce serverové infrastruktury jsme jediní, kdo k nim má přístup. Na základě SLA lze zajistit též úplné vlastnictví a vlastní fyzický server.
  8. Aplikace běží na serverech zajištěných ochranou proti DDoS a podobným útokům.
  9. Data aplikace (databáze i soubory) každého zákazníky jsou uloženy odděleně od jiných zákazníků.
  10. Vklady dat z IP adres a e-mailový adres zalistované jako SPAM se automaticky blokují.
  11. Hromadné e-maily se odesílají ze stejných serverů, na kterých běží aplikace (z ČR).
  12. Hromadné SMS se odesílají ze SIM karty registrované v ČR se jménem provozovatele aplikace.
  13. Aplikace nevyužívá technologie třetích stran s výjímkou aplikačního vybavení serveru (založené na prověřeném open-source řešení), ve kterém aplikace běží a o verzi, která je označena jako "stable".
  14. Aplikace není provozována v cloudové službě třetích stran (např. Amazon Web Services, Microsoft Azure, Google Cloud).
  15. Aplikace nevyužívá frameworky nebo kód třetích stran (frameworky), které jsou hostované na serverech třetch stran a které nelze interně auditovat na bezpečnost.
  16. Využití frameworků třetích stran je na minimální možné míře a je preferována vždy implementace vlastního řešení, na které se neprovádí hromadné útoky a které je plně pod kontrolou.
  17. Podpora aplikace, plánování vývoje a management vývoje je prováděn v specializované aplikaci podpory, která běží na serverech v ČR, výjimkou je použití Google Meet pro online přenosy.
  18. Data zákazníků využívaná k testování nebo vývoj, se při opuštění aplikaci vždy anonymizují.

Smluvní opatření

  1. Podezření na zneužití, nepatřičnou ochranu nebo únik osobních a citlivých dat je vyšetřováno v rámci dokumentovaných procesů, které se archivují a mají k nim dotčené subjekty transparentní přístup.
  2. Provozvatel je pojištěn pro případy nákladů na šetření a kompenzace incidentů úniku osobních dat do výše 40 000 EUR.
  3. Vaše data, která aplikace spravuje, jsou Vaším vlastnictvím v době trvání Licence i po ukončení Licence a máte všechna práva k přístupu, stažení a manipulaci s těmito daty s výjimkou jejich úprav, které by mohly v době trvání Licence vést k poškození funkce aplikace. V praxi máte přístup do fyzického úložiště (MySQL databáze a případně částí souborového Systému podpory) a i v případě ukončení Licence máte nadále přístup ke všem datům.
  4. V případě, že je třeba provést konzultace nad Vašimi daty ještě před podpisem SLA a smlouvy o zpracování osobních a citlivých dat, je podepsána smlouva NDA, která zajistí ochranu dat před počátkem jejich zpracování.
  5. smlouva o zpracování osobních a citlivých dat (dle norem GDPR) automaticky aktualizována elektronickým číslovaným dodatkem.
  6. Uzavírané smlouvy se řídí českým právním řádem.