PhotoRobot tekniske og organisatoriske foranstaltninger (TOMs)
Dette dokument definerer PhotoRobot's tekniske og organisatoriske foranstaltninger (TOM'er) i henhold til artikel 32 GDPR: Version 1.0 – PhotoRobot Edition, uni-Robot Ltd., Tjekkiet. Dokumentet er sidst opdateret pr. 31. december 2025 og understøtter overholdelse af PhotoRobot's kontraktlige forpligtelser under DPA og SLA.
1. Introduktion - PhotoRobot TOMs
Dette dokument beskriver de tekniske og organisatoriske foranstaltninger (TOMs), som er implementeret af uni-Robot Ltd. (PhotoRobot) for at sikre et passende sikkerhedsniveau for behandling af persondata i overensstemmelse med artikel 32 i den generelle databeskyttelsesforordning (GDPR).
Disse tiltag gælder for driften af PhotoRobot-tjenester, herunder men ikke begrænset til:
- PhotoRobot styrer skyen
- PhotoRobot Cloud 2.0
- PhotoRobot styrer lokalt (når den er forbundet til cloud-tjenester)
- API'er og relaterede onlinetjenester
- Understøttende infrastruktur og interne systemer
Dette dokument fungerer som den autoritative beskrivelse af PhotoRobot's TOMs og kan refereres til i Data Processing Agreements (DPA'er), revisioner og sikkerhedsgennemgange af virksomheder.
2. Omfang og anvendelighed
De TOM'er, der er beskrevet her, gælder for:
- Persondata behandlet på vegne af kunder som en del af PhotoRobot-tjenesterne
- Interne driftsdata, der er nødvendige for at levere, vedligeholde og sikre tjenesterne
Foranstaltningerne er designet med hensyn til:
- Det nyeste inden for kunsten
- Implementeringsomkostninger
- Behandlingens natur, omfang, kontekst og formål
- Risiciene for naturlige personers rettigheder og friheder
3. Organisatoriske sikkerhedsforanstaltninger
3.1. Informationssikkerhedsstyring
PhotoRobot vedligeholder interne politikker og procedurer, der regulerer informationssikkerhed, databeskyttelse og acceptabel brug af systemer.
Ansvar for sikkerhed og databeskyttelse er klart defineret i organisationen, herunder udpegede kontakter for privatliv og juridiske forhold.
3.2. Medarbejderfortrolighed og bevidsthed
- Medarbejdere og entreprenører er bundet af fortrolighedsforpligtelser
- Adgang til systemerne gives på need-to-know-basis
- Sikkerhed og databeskyttelsesbevidsthed fremmes som en del af onboarding og løbende drift
4. Adgangskontrol og autorisation
4.1. Rollebaseret adgangskontrol (RBAC)
Adgang til systemer og kundedata kontrolleres ved hjælp af rollebaserede adgangskontrolprincipper (RBAC).
- Brugere får de minimumsrettigheder, der er nødvendige for at udføre deres opgaver
- Administrativ adgang er begrænset til autoriseret personale
4.2. Autentificering
- Stærke autentificeringsmekanismer anvendes til interne og eksterne systemer
- Adgangskodepolitikker og adgangsoplysninger administreres sikkert
- Adgangsoplysninger må ikke deles
5. Infrastruktur og netværkssikkerhed
5.1. Hosting og cloud-infrastruktur
PhotoRobot-tjenester hostes på professionelle cloud-infrastrukturudbydere (f.eks. Google Cloud Platform), som implementerer industristandard fysiske og miljømæssige sikkerhedskontroller.
5.2. Netværksbeskyttelse
- Netværkstrafik beskyttes ved hjælp af firewalls og adgangskontroller
- Offentlige tjenester er isoleret fra interne systemer
- Infrastrukturkomponenter overvåges for tilgængelighed og sikkerhedshændelser
6. Kryptering og databeskyttelse
6.1. Data under transport
- Data, der overføres mellem klienter og PhotoRobot-tjenester, krypteres ved hjælp af TLS/HTTPS
- Sikre kommunikationskanaler håndhæves for API'er og cloud-grænseflader
6.2. Data i hvile
- Data, der er lagret i cloud-infrastrukturen, beskyttes ved hjælp af krypteringsmekanismer, som hostingudbyderen stiller til rådighed
- Adgang til lagrede data er begrænset til autoriserede systemer og personale
7. Logning, overvågning og hændelsesdetektion
7.1. Skovhugning
- Systemlogs genereres for operationelle og sikkerhedsrelevante hændelser
- Logfiler bruges til fejlfinding, overvågning og hændelsesanalyse
7.2. Overvågning
- Tjenester overvåges for tilgængelighed, ydeevne og afvigelser
- Advarsler udløses i tilfælde af unormal adfærd eller serviceafbrydelse
8. Hændelsesrespons og håndtering af brud
PhotoRobot vedligeholder procedurer for håndtering af sikkerhedshændelser, herunder persondatabrud.
Disse procedurer omfatter:
- Identifikation og vurdering af hændelser
- Afbødnings- og inddæmningsforanstaltninger
- intern optrapning
- Kommunikation med kunder, hvor det er nødvendigt
- overholdelse af GDPR-forpligtelsen om brudvarsling (artikler 33 og 34 i GDPR)
9. Backup, tilgængelighed og forretningskontinuitet
9.1. Backups
- Databackups udføres som en del af standard cloud-operationer
- Backups bruges til katastrofeberedskab og servicekontinuitet
9.2. Tilgængelighed
- Der gøres rimelige anstrengelser for at opretholde høj tilgængelighed af tjenester
- Planlagte vedligeholdelsesaktiviteter kan forårsage midlertidige driftsafbrydelser
Detaljer om tilgængelighedsmål og responstider er beskrevet separat i de gældende Service Level Agreements (SLA'er).
10. Sikker udvikling og forandringsledelse
10.1. Sikre udviklingspraksisser
PhotoRobot følger strukturerede udviklings- og implementeringsprocesser, herunder:
- Adskillelse af udviklings-, test- og produktionsmiljøer, hvor det er relevant.
- Kontrollerede udrulningsprocedurer
- versionskontrol og ændringssporing
10.2. Opdateringer og opdateringer
- Softwarekomponenter opdateres for at adressere sikkerhedssårbarheder
- Kritiske opdateringer prioriteres baseret på risikovurdering
11. Underbehandlere og tredjepart
PhotoRobot kan engagere underprocessorer til at understøtte servicelevering (f.eks. hosting, e-mailtjenester).
- Underprocessorer vælges på baggrund af deres sikkerheds- og databeskyttelsespraksis
- En aktuel liste over underprocessorer vedligeholdes separat og gøres offentligt tilgængelig
12. Fysisk sikkerhed
Fysisk adgang til servere og datacentre administreres af cloud-infrastrukturudbyderen og omfatter:
- Adgangskontroller
- Overvågning og overvågning
- Miljøbeskyttelse
PhotoRobot driver ikke sine egne datacentre.
13. Dataminimering og -opbevaring
- Kun data, der er nødvendige for servicelevering, behandles
- Persondata opbevares kun, så længe det kræves til kontraktlige, juridiske eller operationelle formål
- Sletnings- og opbevaringsperioder for data er defineret i relevante politikker og aftaler
14. Gennemgang og opdateringer
Disse tekniske og organisatoriske tiltag gennemgås periodisk og opdateres efter behov for at afspejle:
- Teknologiske ændringer
- Ændringer i servicen
- Udviklende sikkerheds- og lovgivningskrav
Væsentlige ændringer kan meddeles kunderne efter behov.
15. Kontaktoplysninger
For spørgsmål vedrørende disse tekniske og organisatoriske tiltag:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Tjekkiet
Email: legal@photorobot.com
Afsluttende note
Disse TOM'er beskriver PhotoRobot's nuværende tekniske og organisatoriske tiltag og har til formål at give kunderne gennemsigtighed og sikkerhed. De udgør ikke en garanti for uafbrudt service eller absolut sikkerhed, men afspejler en risikobaseret og proportional tilgang til databeskyttelse og informationssikkerhed.