EU Data Act

INFORMACE O MOŽNOSTECH EXPORTU DAT A O PROCESU ZMĚNY POSKYTOVATELE

Tato stránka poskytuje informace požadované podle nařízení (EU) 2023/2854 o harmonizovaných pravidlech pro spravedlivý přístup k údajům a jejich využívání („Data Act“) týkající se:

  • postupů a metod pro přechod k jinému poskytovateli služeb zpracování dat a přenos dat,
  • datových struktur, formátů a specifikací interoperability, ve kterých jsou exportovatelná data zpřístupňována,
  • kategorií dat a digitálních aktiv, která lze převést v průběhu změny poskytovatele,
  • jurisdikcí použitelných na ICT infrastrukturu využívanou ke zpracování dat, a
  • opatření přijatých k zabránění neoprávněnému mezinárodnímu přístupu veřejných orgánů k neosobním údajům uloženým v EU.

Práva popisovaná v této příloze se uplatní, pokud a v rozsahu, v jakém je Systém poskytován jako služba zpracování dat ve smyslu nařízení (EU) 2023/2854 o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání a o změně nařízení (EU) 2017/2394 a směrnice (EU) 2020/1828 („Data Act“). V rozsahu, v jakém poskytování Systému nenaplňuje definici služby zpracování dat podle Data Act, se tato práva Zákazníkovi nezakládají.

1. DOSTUPNÉ METODY ZMĚNY POSKYTOVATELE A PŘENOSU DAT

Subjekty používající Reenio mohou přejít k jinému poskytovateli služeb zpracování dat nebo migrovat na vlastní on-premise ICT infrastrukturu. K dispozici je následující metoda: Asistovaný export a podpora migrace. Na žádost může GARVIS Solutions s.r.o. poskytnout asistenci při migraci v rozsahu popsaném v tomto dokumentu.

2. TECHNICKÁ A DALŠÍ ZNÁMÁ OMEZENÍ

Ačkoliv se snažíme, aby změna poskytovatele a přenositelnost dat byly co nejplynulejší, mohou se uplatnit následující omezení:

  • Struktury a sémantika specifická pro službu - některá data (např. interní telemetrie, interní modely nebo proprietární logika) jsou úzce provázána s platformou Reenio a nejsou navržena pro export nebo použití mimo naše prostředí. Taková data nemusí být považována za „exportovatelná data“ podle příslušných právních předpisů a jsou proto ze standardních exportů vyloučena.
  • Závislosti na službách třetích stran - pokud využíváte integrace s nástroji třetích stran, mohou se na data v těchto nástrojích vztahovat jejich vlastní omezení co do exportu, formátů nebo dostupnosti API. Reenio nemůže zaručit přenositelnost dat, která jsou zpracovávána výlučně v prostředí těchto třetích stran.
  • Výkonnostní a kapacitní limity - velkoobjemové nebo časté hromadné exporty mohou podléhat omezením (rate-limitům), plánování nebo dávkovému zpracování, aby byla zachována stabilita a výkon Služby pro všechny zákazníky.
  • Konfigurace Subjektu a cílové prostředí - úspěšný import do cílového prostředí (jiný poskytovatel nebo on-premise systém) závisí na technických možnostech, konfiguraci a datovém modelu tohoto prostředí. Reenio neřídí a neodpovídá za omezení na straně cílového systému.

3. KATEGORIE EXPORTOVATELNÝCH DAT A DIGITÁLNÍCH AKTIV, DATOVÉ STRUKTURY A FORMÁTY

Rámec automatizovaně dostupných dat definuje aktuální stav API včetně popisu struktury:

  • https://manual.reenio.cz/cs/napoveda/integrace-a-aplikace/api,
  • https://reenio.cz/api-docs/index.html

Při poskytnutí komplexních dat je třeba brát ohled na jazykovou verzi (lokalizaci v rámci správy systému – jedna data ve více kopiích podle jazykové verze). Export se vždy váže ke konkrétnímu subjektu – registrace subjektu pod ID (IČ).

3.1 Vždy k dispozici on-line v administraci (Formát exportu: Excel)

  • Rezervace
  • Zákazníci
  • Platby a doklady k platbám

3.2 Na základě žádosti v podobě datového balíku v JSON formátu (dle struktury DB):

Zákazníci

  • Údaje zákazníka (vč. vazby na uživatele)
  • Přiřazené štítky
  • Vlastní datové položky zákazníka
  • Pohyby kreditů
  • GDPR udělené souhlasy
  • Historie komunikace

Uživatelé

  • Údaje o uživateli (bez hesla)

Rezervace

  • Údaje o rezervaci
  • Údaje z vlastních formulářů
  • Navazující platby/refundace
  • Údaje hodnotících dotazníků

Zdroje

  • Údaje o Místech
  • Údaje o Službách
  • Údaje o Zaměstnancích
  • Údaje o Zdrojích (spojení místa, služby, zaměstnance)

Dárkové poukazy a kódy

  • Údaje o poukazech
  • Skupiny poukazů
  • Kódy poukazů a jejich uplatnění/historie
  • Nabídky k prodeji poukazů
  • Prodeje poukazů a navazující platby
  • Údaje z vlastních formulářů

Termíny

  • Údaje jednotlivého termínu včetně nastavení cen
  • Vazba na šablonu „mapu sedadel“ vč. vnitřního popisu mapy
  • Vazby na navazující objekty (zdroje, vlastní zprávy, vzhled potvrzení, atd.)

Šablony

  • Definice šablon termínů
  • Definice map sedadel vč. vnitřního popisu
  • Definice šablony vzhledu potvrzení rezervace vč. vnitřního popisu
  • Definice šablony vzhledu poukazu vč. vnitřního popisu

Konfigurace

  • Údaje subjektu
  • Údaje Uživatelů a role/oprávnění
  • Nastavení rezervační stránky (vzhled, rozcestník, parametry fungování)
  • Obsahové informace (obchodní podmínky, informace o prodejním místě, informace na rez. stránce, texty do e-mailů)
  • Parametry časového nastavení, lokalizací, emailové adresy
  • Parametry nastavení plateb (fakturační údaje, parametry platebního procesu, DPH, pokladna, nabídka kreditů)
  • Parametry upozornění (pro zákazníka, pro administrátora, pro zaměstnance)
  • Parametry GDPR vč. definice souhlasů

Dny volna/blokace času

  • Definice časových úseků pro blokaci

Platby

  • Údaje o platbách (platební brána, platební terminál, převod, pokladna)
  • Údaje navazujících účetních dokladů
  • Vazby na důvod platby (rezervace, poukaz, kredit)

Vlastní zprávy

  • Definice vlastní zpráv (dle typu)
  • Definice skupin vlastních zpráv

Formuláře

  • Definice vlastních formulářů pro rezervace
  • Definice vlastních formulářů pro prodej poukazů
  • Definice formulářů pro hodnotící dotazníky (vazba na vlastní zprávy)

Úložiště

  • Údaje jednotlivých uložených souborů – vazba na zákazníka, rezervace, apod.
  • Balík (ZIP) skutečného obsahu úložiště

Reenio connect

  • Údaje historicky vytvořených PINů

Číselníky

  • Údaje štítků
  • Sazby DPH
  • Cenové varianty

3.3 Kategorie dat, která není možné z exportovat

  • Konfigurace napojení na třetí strany (analytika, smartemailing, alternativní přihlášení, Google Kalendář, Gmail, synchronizace kalendáře, platební brány apod.) - Specifické parametry a informace s bezpečnostním rizikem a přímou vazbou na integraci se systémem reenio na technické úrovni.
  • Konfigurace administračního prostředí (nastavení kalendářů, filtry, uživatelské kalendáře, apod.) - Provozní parametry a nastavení sloužící k úpravě pracovního prostředí administrace. Mimo reenio tyto údaje nejsou použitelné.
  • Konfigurace vložení systému do webu - Implementační přímá závislost na způsob integrace systému reenio na technické úrovni. Mimo reenio tyto údaje nejsou použitelné.
  • Provozní parametry a údaje systému reenio (balíčky předplatného, historie nákupů předplatného a kreditů, parametry SMS odesílání, parametry doplňkových funkcionalit např. úložiště, historie konzumace kreditů, atd.). - Mimo reenio tyto údaje nejsou použitelné.
  • Historické logy chování uživatele v administraci - Přímá vazba na interní strukturu aplikace a její vnitřní řešení, z bezpečnostních důvodů.
  • Šablony pro rezervace mimo termín - Nastavení sloužící k efektivitě pracovní postupů v administraci reenio. Mimo reenio to nemá smysl.
  • Konfigurace pro propojení s reenio connect - Specifická přímá vazba na integraci externích HW se systémem reenio na technické úrovni.
  • Data spojená se specifickými úpravami a funkcionalitami pro konkrétní zákazníky - Přímá vazba na externí řešení např. turnikety, které jsou řešeny samostatnou smlouvou.

4. ICT INFRASTRUKTURA A PŘÍSLUŠNÉ JURISDIKCE

Data jsou uložena v databázi v cloudu MS Azure v EU (Microsoft Azure: North Europe-Ireland) vč. průběžných záloh. Ty jsou ukládány automaticky také do redundantního datového centra West Europe-Netherlands. Příslušnou jurisdikcí ve vztahu k primární cloudové infrastruktuře je Irská republika.

5. OPATŘENÍ PROTI NEOPRÁVNĚNÉMU MEZINÁRODNÍMU PŘÍSTUPU VEŘEJNÝCH ORGÁNŮ

Reenio (GARVIS Solutions s.r.o.) je odhodláno zajistit, aby jakýkoli mezinárodní přístup veřejných orgánů k neosobním údajům uloženým v EU probíhal v souladu s příslušným právem EU a členských států. Zavedli jsme kombinaci technických, organizačních a smluvních opatření, která mají zabránit přístupu nebo zpochybnit požadavky na přístup, jež by byly v rozporu s právem EU nebo vnitrostátním právem.

Technická opatření zahrnují mimo jiné:

  • Logické a fyzické oddělení prostředí - Data uložená v EU jsou hostována v datových centrech v EU a jsou logicky oddělena od jiných prostředí.
  • Řízení přístupu a princip minimálních oprávnění - Přístup k produkčním systémům je přísně kontrolován, logován a omezen na oprávněné osoby na základě jejich role a nezbytné potřeby.
  • Šifrování - Data jsou chráněna při přenosu i v klidu pomocí průmyslově standardních mechanismů šifrování, v rozsahu umožněném příslušnou infrastrukturou a použitými službami.

Tato opatření snižují riziko, že zahraniční veřejné orgány získají přímý přístup k datům prostřednictvím poskytovatelů infrastruktury bez využití odpovídajících právních kanálů.

Organizační a smluvní opatření zahrnují:

  • Smluvní závazky poskytovatelů - Požadujeme, aby naši poskytovatelé cloudu a infrastruktury dodržovali příslušné právo EU a aby nás – v rozsahu dovoleném právem – informovali o jakýchkoli právně závazných žádostech veřejných orgánů o přístup k datům. Mezi námi a poskytovatelem infrastruktury jsou rovněž sjednány standardní smluvní doložky (SCC), pokud je to relevantní.
  • Interní postupy pro vyřizování žádostí - Pokud Reenio obdrží žádost veřejného orgánu mimo EU/EHP o přístup k datům uloženým v EU, bude: pečlivě posuzovat právní základ takové žádosti, ověřovat, zda je žádost slučitelná s právem EU a příslušným vnitrostátním právem, a žádost napadat nebo jí odporovat, pokud se důvodně domníváme, že je s těmito právními předpisy v rozporu nebo že přesahuje pravomoc žadatele.
  • Transparentnost vůči zákazníkům - Nebrání-li tomu právní překážky, budeme dotčené Zákazníky bez zbytečného odkladu informovat o takové žádosti a o dotčených datech, aby mohli přijmout vhodné kroky k ochraně svých zájmů.