PhotoRobot Techniczne i Organizacyjne Środki (TOMs)
Niniejszy dokument definiuje Techniczne i Organizacyjne Środki (TOMs) PhotoRobot zgodnie z artykułem 32 RODO: Wersja 1.0 – PhotoRobot Edition, uni-Robot Ltd., Czechy. Dokument został ostatnio zaktualizowany na dzień 31 grudnia 2025 roku i wspiera zgodność z zobowiązaniami umownymi PhotoRobot wynikającymi z DPA i SLA.
1. Wprowadzenie - PhotoRobot TOM-y
Niniejszy dokument opisuje Środki Techniczne i Organizacyjne (TOMs) wdrożone przez uni-Robot Ltd. (PhotoRobot) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przy przetwarzaniu danych osobowych zgodnie z artykułem 32 Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).
Te środki dotyczą obsługi usług PhotoRobot, w tym, ale nie tylko:
- PhotoRobot kontroluje chmurę
- PhotoRobot Cloud 2.0
- PhotoRobot steruje lokalnie (po połączeniu z usługami chmurowymi)
- API i powiązane usługi online
- Infrastruktura wspierająca i systemy wewnętrzne
Dokument ten pełni rolę autorytatywnego opisu TOM-ów PhotoRobot i może być cytowany w Umowach o Przetwarzaniu Danych (DPA), audytach oraz przeglądach bezpieczeństwa przedsiębiorstwa.
2. Zakres i zastosowanie
Opisane tutaj TOM-y dotyczą:
- Dane osobowe przetwarzane w imieniu klientów w ramach usług PhotoRobot
- Wewnętrzne dane operacyjne niezbędne do zapewnienia, utrzymania i zabezpieczenia usług
Środki te są uwzględniane:
- Stan techniki
- Koszty wdrożenia
- Charakter, zakres, kontekst i cele przetwarzania
- Zagrożenia dla praw i wolności osób fizycznych
3. Środki bezpieczeństwa organizacyjnego
3.1. Zarządzanie bezpieczeństwem informacji
PhotoRobot utrzymuje wewnętrzne polityki i procedury dotyczące bezpieczeństwa informacji, ochrony danych oraz akceptowalnego korzystania z systemów.
Obowiązki związane z bezpieczeństwem i ochroną danych są jasno określone w ramach organizacji, w tym wyznaczone osoby kontaktowe do spraw prywatności i prawa.
3.2. Poufność i świadomość pracownicza
- Pracownicy i wykonawcy są zobowiązani do przestrzegania obowiązków poufności
- Dostęp do systemów jest przyznawany na zasadzie "need to know"
- Świadomość bezpieczeństwa i ochrony danych jest promowana w ramach wdrażania i bieżących operacji
4. Kontrola dostępu i autoryzacja
4.1. Kontrola dostępu oparta na rolach (RBAC)
Dostęp do systemów i danych klientów jest kontrolowany za pomocą zasad kontroli dostępu opartej na rolach (RBAC).
- Użytkownicy otrzymują minimalne uprawnienia niezbędne do wykonywania swoich zadań
- Dostęp administracyjny jest ograniczony do osób upoważnionych
4.2. Uwierzytelnianie
- Silne mechanizmy uwierzytelniania są stosowane zarówno dla systemów wewnętrznych, jak i zewnętrznych
- Polityki haseł i dane dostępu są zarządzane bezpiecznie
- Dane dostępu nie mogą być udostępniane
5. Infrastruktura i bezpieczeństwo sieci
5.1. Hosting i infrastruktura chmurowa
Usługi PhotoRobot są hostowane na profesjonalnych dostawcach infrastruktury chmurowej (np. Google Cloud Platform), którzy wdrażają branżowe standardy kontroli bezpieczeństwa fizycznego i środowiskowego.
5.2. Ochrona sieci
- Ruch sieciowy jest chroniony za pomocą zapor sieciowych i kontroli dostępu
- Usługi dostępne publicznie są odizolowane od systemów wewnętrznych
- Komponenty infrastruktury są monitorowane pod kątem dostępności i zdarzeń bezpieczeństwa
6. Szyfrowanie i ochrona danych
6.1. Dane w transporcie
- Dane przesyłane między klientami a usługami PhotoRobot są szyfrowane za pomocą TLS/HTTPS
- Bezpieczne kanały komunikacji są egzekwowane dla API i interfejsów chmurowych
6.2. Dane w spoczynku
- Dane przechowywane w infrastrukturze chmurowej są chronione za pomocą mechanizmów szyfrowania udostępnionych przez dostawcę hostingu
- Dostęp do przechowywanych danych jest ograniczony do autoryzowanych systemów i personelu
7. Logowanie, monitorowanie i wykrywanie incydentów
7.1. Logowanie
- Logi systemowe są generowane dla zdarzeń operacyjnych i istotnych dla bezpieczeństwa
- Logi służą do diagnostyki, monitorowania i analizy incydentów
7.2. Monitorowanie
- Usługi są monitorowane pod kątem dostępności, wydajności i anomalii
- Alerty są wywoływane w przypadku nieprawidłowego zachowania lub zakłócenia usług
8. Reagowanie na incydenty i zarządzanie naruszeniami
PhotoRobot utrzymuje procedury dotyczące incydentów związanych z bezpieczeństwem, w tym naruszeń danych osobowych.
Procedury te obejmują:
- identyfikacja i ocena incydentów
- Środki łagodzące i ograniczające
- Eskalacja wewnętrzna
- komunikacja z klientami tam, gdzie jest to wymagane
- Zgodność z obowiązkami powiadamiania o naruszeniach wynikających z RODO (artykuły 33 i 34 RODO)
9. Kopia zapasowa, dostępność i ciągłość działania
9.1. Kopie zapasowe
- Kopie zapasowe danych są wykonywane w ramach standardowych operacji chmurowych
- Kopie zapasowe są wykorzystywane do celów odzyskiwania po awarii i ciągłości usług
9.2. Dostępność
- Podejmowane są rozsądne wysiłki, aby utrzymać wysoką dostępność usług
- Planowane prace konserwacyjne mogą powodować tymczasowe przerwy w obsłudze
Szczegóły dotyczące celów dostępności i czasu reakcji są opisane osobno w odpowiednich Umowach o Poziomie Usług (SLA).
10. Bezpieczny rozwój i zarządzanie zmianami
10.1. Bezpieczne praktyki rozwojowe
PhotoRobot stosuje uporządkowane procesy rozwojowe i wdrożenia, w tym:
- Rozdzielenie środowisk rozwojowych, testowych i produkcyjnych, gdzie to jest odpowiednie
- Kontrolowane procedury rozmieszczenia
- Kontrola wersji i śledzenie zmian
10.2. Aktualizacje i łatki
- Komponenty oprogramowania są aktualizowane, aby rozwiązać luki bezpieczeństwa
- Krytyczne aktualizacje są priorytetowane na podstawie oceny ryzyka
11. Podprocesory i podmioty trzecie
PhotoRobot może angażować podprocesorów do wsparcia świadczenia usług (np. hosting, usługi poczty).
- Podprocesory są wybierane na podstawie praktyk związanych z bezpieczeństwem i ochroną danych
- Aktualna lista podprocesorów jest utrzymywana osobno i udostępniana publicznie
12. Bezpieczeństwo fizyczne
Fizyczny dostęp do serwerów i centrów danych jest zarządzany przez dostawcę infrastruktury chmurowej i obejmuje:
- Kontrola dostępu
- Nadzór i monitorowanie
- Ochrona środowiskowa
PhotoRobot nie prowadzi własnych centrów danych.
13. Minimalizacja i przechowywanie danych
- Przetwarzane są tylko dane niezbędne do świadczenia usług
- Dane osobowe są przechowywane tylko tak długo, jak jest to wymagane do celów umownych, prawnych lub operacyjnych
- Okresy usuwania i przechowywania danych są określone w odpowiednich politykach i umowach
14. Przegląd i aktualizacje
Te techniczne i organizacyjne środki są okresowo przeglądane i aktualizowane w razie potrzeby, aby odzwierciedlić:
- Zmiany technologiczne
- Zmiany w usługach
- Ewoluujące wymagania dotyczące bezpieczeństwa i regulacji
Istotne zmiany mogą być komunikowane klientom w razie potrzeby.
15. Dane kontaktowe
Na pytania dotyczące tych technicznych i organizacyjnych miar:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praga 1
Czechy
E-mail: legal@photorobot.com
Ostatnia uwaga
Te TOM-y opisują aktualne techniczne i organizacyjne środki PhotoRobot i mają na celu zapewnienie przejrzystości i zapewnienia klientom pewności. Nie gwarantują one nieprzerwanej obsługi ani absolutnego bezpieczeństwa, lecz odzwierciedlają podejście oparte na ryzyku i proporcjonalne do ochrony danych i bezpieczeństwa informacji.