PhotoRobot tehničke i organizacijske mjere (TOMs)
Ovaj dokument definiše PhotoRobot-ove tehničke i organizacijske mjere (TOMs) u skladu sa članom 32 GDPR: Verzija 1.0 – PhotoRobot Edition, uni-Robot Ltd., Češka Republika. Dokument je posljednji put ažuriran 31. decembra 2025. godine i podržava usklađenost sa ugovornim obavezama PhotoRobot-a prema DPA i SLA.
1. Uvod - PhotoRobot TOM-ovi
Ovaj dokument opisuje tehničke i organizacijske mjere (TOM) koje provodi uni-Robot Ltd. (PhotoRobot) kako bi se osigurao odgovarajući nivo sigurnosti za obradu ličnih podataka u skladu sa članom 32 Opće uredbe o zaštiti podataka (GDPR).
Ove mjere se primjenjuju na rad PhotoRobot usluga, uključujući, ali ne ograničavajući se na:
- PhotoRobot kontroliše oblak
- PhotoRobot Cloud 2.0
- PhotoRobot upravlja lokalno (kada je povezan na cloud usluge)
- API-ji i povezane online usluge
- Prateća infrastruktura i interni sistemi
Ovaj dokument služi kao autoritativni opis PhotoRobot-ovih TOM-ova i može se koristiti u Sporazumima o obradi podataka (DPA), revizijama i sigurnosnim pregledima preduzeća.
2. Obim i primjenjivost
TOM-ovi opisani ovdje primjenjuju se na:
- Lični podaci obrađeni u ime korisnika kao dio PhotoRobot usluga
- Interni operativni podaci neophodni za pružanje, održavanje i zaštitu usluga
Mjere su osmišljene uzimajući u obzir:
- Stanje tehnike
- Troškovi implementacije
- prirodu, obim, kontekst i svrhe obrade
- rizici za prava i slobode fizičkih lica
3. Organizacijske sigurnosne mjere
3.1. Upravljanje informacijskom sigurnošću
PhotoRobot održava interne politike i procedure koje regulišu informacijsku sigurnost, zaštitu podataka i prihvatljivu upotrebu sistema.
Odgovornosti za sigurnost i zaštitu podataka jasno su definisane unutar organizacije, uključujući određene kontakte za privatnost i pravna pitanja.
3.2. Povjerljivost i informisanje zaposlenika
- Zaposlenici i izvođači su vezani obavezama povjerljivosti
- Pristup sistemima se daje na osnovu potrebe za znanjem
- Svijest o sigurnosti i zaštiti podataka promoviše se kao dio onboardinga i tekućih operacija
4. Kontrola pristupa i autorizacija
4.1. Kontrola pristupa zasnovana na ulogama (RBAC)
Pristup sistemima i podacima korisnika kontroliše se korištenjem principa kontrole pristupa zasnovane na ulogama (RBAC).
- Korisnicima se dodjeljuju minimalne privilegije potrebne za obavljanje svojih zadataka
- Administrativni pristup je ograničen na ovlašteno osoblje
4.2. Autentifikacija
- Snažni mehanizmi autentifikacije koriste se za interne i eksterne sisteme
- Politike lozinki i pristupne vjerodajnice se sigurno upravljaju
- Pristupne vjerodajnice ne smiju se dijeliti
5. Infrastruktura i mrežna sigurnost
5.1. Hosting i cloud infrastruktura
PhotoRobot usluge su hostovane na profesionalnim cloud infrastrukturnim provajderima (npr. Google Cloud Platform), koji implementiraju industrijske standarde fizičke i ekološke sigurnosne kontrole.
5.2. Zaštita mreže
- Mrežni saobraćaj se štiti korištenjem firewall-a i kontrola pristupa
- Javne usluge su izolovane od internih sistema
- Komponente infrastrukture se prate radi dostupnosti i sigurnosnih događaja
6. Enkripcija i zaštita podataka
6.1. Podaci u tranzitu
- Podaci koji se prenose između klijenata i PhotoRobot servisa su šifrirani korištenjem TLS/HTTPS
- Sigurni komunikacijski kanali se primjenjuju za API-je i cloud interfejse
6.2. Podaci u mirovanju
- Podaci pohranjeni unutar cloud infrastrukture zaštićeni su pomoću mehanizama enkripcije koje pruža hosting provajder
- Pristup pohranjenim podacima ograničen je na ovlaštene sisteme i osoblje
7. Evidentiranje, nadzor i detekcija incidenata
7.1. Logovanje
- Sistemski dnevnici se generišu za operativne i sigurnosno relevantne događaje
- Logovi se koriste za otklanjanje problema, praćenje i analizu incidenata
7.2. Praćenje
- Usluge se prate zbog dostupnosti, performansi i anomalija
- Upozorenja se aktiviraju u slučaju abnormalnog ponašanja ili prekida usluge
8. Odgovor na incidente i upravljanje povredama
PhotoRobot održava procedure za rješavanje sigurnosnih incidenata, uključujući curenje ličnih podataka.
Ove procedure uključuju:
- Identifikacija i procjena incidenata
- mjere ublažavanja i suzbijanja
- Unutrašnja eskalacija
- komunikacija sa kupcima gdje je to bilo potrebno
- usklađenost sa obavezama obavještavanja o povredama prema GDPR-u (Članci 33 i 34 GDPR-a)
9. Backup, dostupnost i kontinuitet poslovanja
9.1. Rezervne kopije
- Sigurnosne kopije podataka se obavljaju kao dio standardnih cloud operacija
- Rezervne kopije se koriste za oporavak od katastrofa i kontinuitet usluge
9.2. Dostupnost
- Ulažu se razumni napori da se održi visoka dostupnost usluga
- Planirane aktivnosti održavanja mogu uzrokovati privremene prekide u radu
Detalji o ciljevima dostupnosti i vremenima odgovora opisani su zasebno u važećim Sporazumima o nivou usluge (SLA).
10. Siguran razvoj i upravljanje promjenama
10.1. Sigurne razvojne prakse
PhotoRobot prati strukturirane procese razvoja i implementacije, uključujući:
- odvajanje razvojnih, testnih i produkcijskih okruženja gdje je to prikladno
- Kontrolisane procedure raspoređivanja
- Kontrola verzija i praćenje promjena
10.2. Ažuriranja i zakrpe
- Softverske komponente se ažuriraju kako bi se otklonile sigurnosne ranjivosti
- Kritična ažuriranja se prioritetno određuju na osnovu procjene rizika
11. Podprocesori i treće strane
PhotoRobot može angažovati podprocesore za podršku pružanju usluga (npr. hosting, email usluge).
- Podprocesori se biraju na osnovu njihovih sigurnosnih i praksi zaštite podataka
- Trenutna lista podprocesora se održava zasebno i javno dostupna
12. Fizička sigurnost
Fizički pristup serverima i data centrima upravlja provajder cloud infrastrukture i uključuje:
- Kontrole pristupa
- nadzor i praćenje
- Zaštita okoliša
PhotoRobot ne upravlja vlastitim data centrima.
13. Minimizacija i zadržavanje podataka
- Obrađuju se samo podaci neophodni za pružanje usluge
- Lični podaci se čuvaju samo onoliko koliko je potrebno za ugovorne, pravne ili operativne svrhe
- Periodi brisanja i čuvanja podataka definisani su u relevantnim politikama i sporazumima
14. Pregled i ažuriranja
Ove tehničke i organizacijske mjere se periodično pregledavaju i ažuriraju po potrebi kako bi odražavale:
- Promjene u tehnologiji
- Promjene u uslugama
- Razvijanje sigurnosnih i regulatornih zahtjeva
Materijalne promjene mogu biti obaviještene kupcima po potrebi.
15. Kontakt informacije
Za pitanja vezana za ove tehničke i organizacijske mjere:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Češka Republika
Email: legal@photorobot.com
Završna napomena
Ovi TOM-ovi opisuju trenutne tehničke i organizacijske mjere PhotoRobot-a i namijenjeni su pružanju transparentnosti i sigurnosti kupcima. Oni ne garantuju neprekidnu uslugu ili apsolutnu sigurnost, već predstavljaju pristup zasnovan na riziku i proporcionalan pristup zaštiti podataka i sigurnosti informacija.